Объять необъятное, или Безопасность в Интернет

Собственно, взяться за эту тему меня побудила отнюдь не сама проблема крайней уязвимости Большой Сети, а отношение к ней простых потребителей. Тех самых пользователей (они же "юзеры"), которые как раз и должны получать дополнительное удобство от общения с Интернет.

Какие только опасения ими не высказываются! А не украдут ли злоумышленники сверхсекретные результаты игры в тетрис, если к компьютеру секретарши будет подключен модем? А не взломают ли коварные хакеры наш пароль удаленного доступа к расчетному счету? Это же грозит полным крахом предприятию! Переубедить их очень сложно. Они читают газеты, смотрят телевизор и слушают радио, а там...

По данным исследования, проведенного компаниями Find и SVP, свыше 2.5 миллиона человек бесплатно пользуется услугами службы America Online (AOL), прибегая для этого к чужим адресам. По этим оценкам, реально службами компании AOL пользуется на 30% больше человек, чем число ее официальных подписчиков.

В телевизионной программе ВВС недавно прошло сообщение о том, что голландские хакеры во время войны в Персидском заливе украли с оборонных компьютеров США сотни военных секретов, в том числе данные о передвижении войск и параметры ракет, и предлагали их для продажи Саддаму Хусейну.

Обнаружен очередной серьезный дефект соответствующей подсистемы операционки Windows NT - уже третий за последние три месяца. (А совсем недавно сообщалось и о дефектах в системе обеспечения безопасности браузера Internet Explorer.) Это особенно неприятно в свете попыток руководства Microsoft позиционировать NT как наиболее защищенную альтернативу Unix.

А еще вирусы. Про червяка Морриса слышали? Эта программная гадость ухитрилась заразить весь Интернет и полностью парализовать его работу почти на двадцать восемь часов...

В общем, по невидимому и непонятному Интернету жуткими тенями бродят коварные хакеры и без зазрения совести взламывают любую защиту. Они семи пядей во лбу и коды вскрывают чуть ли не усилием взгляда.

Если так пойдет дальше, то рукой подать до костров инквизиции, ибо нет более опасного существа на свете, чем перепуганный и непонимающий человек. Это страшнее ядерной войны. В панике он способен на любые меры. Вплоть до самых крайних.

Если оставить на время патетику, то вопрос безопасности Интернет является одним из самых важных. Собственно, мы пусть со скоростью курьерской черепахи, но все же движемся в сторону полного растворения в болоте мировых коммуникаций. Согласен, с проворством "Белпак" тонуть можно долго и упорно, но кто мог поверить в восьмидесятом году, что заморские персональные компьютеры через десять лет появятся не только у персональных пенсионеров союзного значения, членов партии с тринадцатого года и Героев Советского Союза? Кто мог поверить, что они у нас вообще появятся? И прошло-то всего-ничего, а Интернет уже стал обиходным словом.

С одной стороны, мы значительно (не хочу думать, что навсегда) отстали от того самого Запада. По всем статьям отстали. Но, с другой стороны, такое положение вещей позволяет оценить путь, пройденный лидерами, и соотнести его с затраченными усилиями. Любая задача, как известно, может иметь несколько решений. И Всемирная паутина в этом отношении не является исключением. Вот давайте и попробуем понять, почему тысячи лучших умов трудятся над созданием идеального компьютера с идеальными программами, а другие люди все это взламывают. С умыслом и без.

Недаром считается, что будущее зарождается в прошлом. Сия мудрость особенно приложима к миру компьютеров. Именно то, в каких условиях и для чего создавался первый компьютер, и определило всю его дальнейшую судьбу, характер и наследственные болезни.

Ни для кого не секрет, что первый агрегат, очень сильно похожий на компьютер, был создан немцами в начале сороковых годов нынешнего века для шифровальных кодов. Да, уважаемые, именно для шифрования, и охранялся этот секрет очень серьезно. Даже серьезнее американского Манхэттенского проекта. Разведка на то и разведка, чтобы выведывать хорошо охраняемые секреты. Через некоторое время чертежи украли англичане и построили копию. Вообще-то, мы сейчас ворошим прошлое не из-за острой ностальгии. Как это ни смешно, но компьютер изобретали как автомат или бомбардировщик.

Есть конкретная задача. Есть ограничения по срокам и стои мости. Компетентными органами отбираются специалисты для нахождения решения - и на-гора выдается результат. Вот тут-то и "порылась" собака. Когда лучшие умы человечества корпели за кульманами и счетами, ни одна живая душа не задумывалась над влиянием будущего изобретения на другие аспекты человеческой культуры. Да и над воздействием культуры на компьютер тоже как-то не думали. Не до того было. По этому решался один конкретный вопрос - генерация шифров. А безопасность, устойчивость и надежность обеспечат те, кому это положено по долгу службы. Сами посудите, человечество тысячи лет отбивает обычными молотками собственные пальцы, но так никто и не взялся за переработку самой концепции ударного инструмента с целью повышения его эксплуатационной безопасности.

Компьютер сделали. Война закончилась. И оказалось, что чудо криптографии является идеальной счетной машинкой. Что на ней считать, это уже другой вопрос. В тот момент и был перейден Рубикон. Огромные, неуклюжие и примитивные ламповые шкафы с проводами попали в руки бизнесменов. Получилось как в рекламе: пейте меньше, пейте лучшего качества. Головастые профессионалы приложили свои способности (и выделенные деньги) к трем основным направлениям: уменьшению размеров и облегчению обслуживания, увеличению производительности и срока непрерывной работы, теоретической проработке окружающего мира с целью переложить его на сухой язык математических формул, пригодных к программированию.

Сказано - сделано. Уже в конце пятидесятых годов каждая крупная корпорация или исследовательский центр имели по компьютеру. Но подход к ним не изменился. Это был еще один удобный инструмент для экономии средств и для извлечения прибыли. Ребят с протокольными физиономиями и офицерскими званиями заменили такие же ребята с такими же лицами, только без званий, ибо в частных службах охраны их не присваивают. Права не имеют, да и зачем, собственно? Несмотря на технические и технологические нововведения компьютерами продолжали называть галереи гудящих шкафов, требовавших отдельных помещений и особых условий. Доступ к ним был строго ограничен (как и в старые времена). Да и общались с ними в подавляющем большинстве сами конструкторы или, на худой конец, их преданные ученики. То есть люди, от реальной жизни оторванные и во многих вопросах абсолютно дремучие. Кроме того, с вычислительной техникой всегда хватало проблем, чтобы еще и про блажь всякую думать. Таким образом, грабли, лежащие прямо на дороге, опять никто не заметил...

Огромные ресурсы, задействованные в компьютерной области, просто не могли не дать нужных результатов. Просто по определению не могли. Что и продемонстрировала нам история. Языки программирования возникали как грибы после дождя. Сроки наработки на отказ перевалили за несколько месяцев и начали стремительно приближаться к годовой отметке. Гудящие шкафы стали значительно меньше, прохладнее и обросли самой различной периферией. От перфораторов до принтеров и текстовых дисплеев. С ними было значительно удобнее и проще работать. Компьютеры стали понятнее. Вот в этот момент и появились первые трещинки в плотине, отделяющей мирную размеренную жизнь от того хаоса, в котором мы теперь живем. В компьютеры начали вкладывать деньги... Оказалось, что значительно проще, дешевле и удобнее решать задачу контроля, учета и хранения информации именно с помощью вычислительной техники. И, что самое главное, намного проще обеспечить требуемый уровень безопасности. Вместо "просвечивания" сотен и тысяч людей теперь можно было обойтись единицами, ну десятками, в крайнем случае.

Сама по себе идея казалась просто идеальной. Быстрые, бесстрастные, объективные и неутомимые машины способны мгновенно выполнить любое задание. И вновь случилась шутка, древняя как мир. Один древний император собрался завоевать военную славу. Другие ее виды уже имелись, ибо его страна была величайшей и процветающей. Как водится, собрав огромную армию, этот кандидат в стратегические гении решил проконсультироваться у самого лучшего провидца. В этом походе, сказал оракул, ты, император, разрушишь самое великое государство в мире. Надо заметить, что и потенциальный противник был не из слабых (иначе зачем на него зариться, да еще такую прорву солдат собирать?). Обрадовался император и, окрыленный добрым предсказанием, отправился оружием побрякать. В результате его войско было наголову разбито, а страна захвачена, разграблена и разодрана на части. Не устояли остальные соседи перед соблазном урвать кусок задарма. Прав оказался провидец. Рухнула величайшая империя. Его же не просили уточнить - какая...

Компьютеры быстро вошли в моду и произвели эффект сильного наркотика. Сначала - полный улет. Потом - привыкаешь. И только в конце становится страшно - но поздно. В невиданных ранее количествах вкладывались деньги во все новые и новые архивы. Для их хранения покупались все новые и новые компьютеры и обучались специалисты. В конце концов один маленький комочек снега вызвал гигантскую лавину, захлестнувшую весь мир.

Вот вы, например, согласитесь за собственный счет перейти с платформы IBM на Mac? Сильно сомневаюсь. Это потребует полной замены всего - от программного обеспечения до ваших знаний. А сколько времени уйдет на перенос и верификацию данных, вообще оценить трудно. Да что тут говорить. До сих пор во многих организациях Минска продолжают эксплуатировать первые версии редакторов Word и "Лексикон" только потому, что долго и нудно (с их точки зрения) заниматься перелопачиванием уже имеющегося объема данных. И это я еще намеренно не акцентирую внимания на вопросе стоимости программного обеспечения и путей его получения...

Окончательно злой джин вырвался из бутылки, когда компьютер впервые стал персональным. Очень маленький, по сравнению с родителями, ПК получил в наследство их полный генотип. Тут-то и оказалось, что процессору, этому сердцу любого вычислительного агрегата, абсолютно наплевать на последствия собственных действий. В него вообще не заложено само понятие ответственности. Он скорее похож на первого каменщика, который просто кладет кирпичи, из знаменитой притчи о строителях храма. Процессор просто складывает или вычитает числа (если же он ММХ, то делает то же, только сразу над массивом однородных чисел). Даже операция умножения/деления реализована через сложение. С его точки зрения следует выполнять абсолютно любую команду, которую отдаст операционная система. ОС, в свою очередь, сродни малограмотному водителю с автобазы в советские времена. Не важно - что везти. Не важно - куда везти. И тем более не важно - зачем вообще это везти. Главное - правильно оформленный путевой лист. Конечно, когда систему просят выполнить нечто уже совсем идиотское, она взбрыкивает и хандрит. Но в остальных случаях для нее что вирус, что легальная программа - одинаковый набор бессмысленных команд, подлежащих выполнению.

До этого момента всю основную работу в области безопасности выполняли сами люди. Сначала особый отдел. Потом - отдел пропусков. После - начальник сектора. За ним - начальник отдела. Кто угодно, только не компьютер. Он и сегодня остается простым рядовым исполнителем набора инструкций разной разрядности. Только теперь некому отсекать шаловливые ручки у особо "завернутых" индивидуумов.

В обществе всегда присутствовал элемент шизонутости. Все эти маньяки, психи, насильники и растлители. Они были всегда. Только сегодня темп жизни значительно возрос и этих отщепенцев стало несколько больше. Плюс свободный доступ любого человека к компьютерам и коммуникациям. Дальше - как в восточной сказке. Нашел малограмотный крестьянин лампу с джином. Однако обрадовался рано. Джин согласился, но при условии, что приказы будут исполнены только в течение текущих суток. Дехканин был, конечно, совсем темный, но успел усвоить в церковно-приходской школе, что смена дня и ночи как-то связаны с вращением Земли. Хитрым он был, этот счастливчик. Первое, что он приказал джину, - остановить Землю. Исполнительный джин выполнил приказ, и возникшие ураганы такого наворотили, что оставшееся стало малопригодным для жизни. Крестьянин даже не догадывался о свойствах воздуха как газа, а исполнительный джин не подозревал, что крестьянин сам не ведает, что творит.

Шутки шутками, а попытки создать идеальную операционную систему для идеального компьютера очень похожи на строительство огнестойкого резервуара для бензина из бумаги и дерева. Все упирается в необходимость обеспечения совместимости новых разработок с уже имеющимися решениями. Теми самыми решениями, ущербность которых и надо устранить.

Для того чтобы если не победить окончательно, то хотя бы минимизировать потери, следует разложить по полочкам сами источники нарушения безопасности данных. Сегодня, кроме физических поломок оборудования, существуют всего три основные причины головной боли с этой самой безопасностью.

Прежде всего - невероятная сложность программного кода. Все эти Win95, NT и прочие "мерлины" написаны множеством программистов на основании достаточно формализованных заданий. Использование объектных методов программирования только усложнило дело, ибо этих объектов одновременно работает столько много, что не представляется возможным даже перечислить все возможные их сочетания. Именно из-за этой непредсказуемости и возникают легенды про электронных шайтанов и виртуальных джинов. В общем, дефекты алгоритмов есть всегда. Хорошие программы отличаются от плохих отсутствием явных "глюков" в наиболее часто используемых режимах. Может быть, еще быстрым написанием и распространением заплаток при обнаружении очередного "бага". И все! Второе - это вирусы и троянские кони. Так как с точки зрения центрального процессора ночью все кошки черны, то есть все команды одинаковы. Не будем составлять обобщенный портрет злыдня-хакера. Уж больно дело неблагодарное. Достаточно принять как должное, что вирусы были, есть и будут всегда. Одно время с ними пытались бороться, переводя компьютер в защищенный режим работы. На какое-то время это помогло. Но, опять же, как гласит народная мудрость, нет таких крепостей, которые нельзя было бы взять. В этом году в России был обнаружен файловый вирус PM.Wanderer, использующий защищенный режим. Причем он достаточно корректно и стабильно соседствует с другими программами и драйверами, также использующими защищенный режим. Барьер взят. Если это смогли сделать один раз, смогут и повторить.

Последнее - это откровенно наплевательское отношение специалистов и пользователей к обеспечению собственной безопасности. Ден Фармер, автор печально известного и очень полезного зонда для проверки безопасности SATAN, недавно провел маленькое исследование. Он заглянул на выбранные случайным образом узлы банков, газет, на коммерческие системы Интернет и в федеральные компьютеры США. То есть на узлы, которые должны были бы иметь изощренную защиту. Используя в своих опытах простой неагрессивный метод, он обнаружил, что более 60% (повторяю - более 60%) систем можно взломать или уничтожить. Что еще более удивительно, так это то, что защита этих узлов была в два раза слабее, чем защита обычного Web-узла общего назначения.

Отчет Дена весьма любопытен и изложен очень доступно для любого читателя-неспециалиста, так что почитайте его (http://www.trouble.org/survey/). Кроме того, от 9 до 24% узлов вышли бы из строя в случае заражения вирусом любой из двух ответственных и широко используемых программ. Со стороны узлов не было предпринято попыток уклониться от ответов, однако лишь три узла из более чем 2,000 поинтересовались, что последует за этим неавторизованным опросом. Я уже не говорю о практически легальных книгах и электронных файлах с длиннющими перечнями наиболее часто используемых электронных имен и паролей. Можно, конечно, смеяться, но чаще всего пользователи именуют себя Богом, мастером, хакером или своим собственным реальным именем.

Собственно, из всего сказанного напрашивается только один вывод: персональный компьютер стал неотъемлемой частью человеческого общества. Разрубить гордиев узел путем поголовного отказа от всего вычислительного уже невозможно. Кардинальным способом решить проблему через массовую замену оборудования и программ на что-либо новое тоже невозможно по причине консервативности человеческого общества.

Есть такой большой человек Стив Джобс. Один из отцов-основателей компьютеров Apple. Примерно десять лет назад он попробовал разработать совершенно новую систему с учетом уже вскрытых недостатков. И сделал-таки! Назвал это чудо символическим именем Next (следующий). Все в этом следующем было передовым. И процессор, и операционная система, и даже CD-ROM вместо всех накопителей. И что? Да ничего! Пять лет этот энтузиаст за собственные деньги проталкивал несомненно выдающуюся систему, лишенную хронических болезней нынешних платформ, и в итоге был вынужден вернуться в родные стены Apple. Слишком кардинальным и несовместимым оказался Next. Не собрал он критической массы приверженцев. Теперь пылится в музее вычислительной техники как интересный экспонат. Не более того.

Таким образом, получается, что безопасность в Интернет является понятием относительным и временным. Да и о какой безопасности можно вообще говорить, если недавно компания McAfee объявила, что правительство США разрешило ей экспортировать продукты шифрования, в которых используется технология шифрования с 56-разрядным ключом, а уже через месяц стандарт шифрования данных на основе алгоритма DES с 56-разрядным ключом, об "адекватности" которого не уставали твердить представители американского правительства, был посрамлен с использованием обычного ПК на базе процессора Pentium. Взлом шифра с таким ключом, последствия которого отзовутся далеко за пределами узких технических кругов, был осуществлен группой студентов университета, программистов и ученых, прельстившихся обещанной премией DES Challenge, сумма которой составляет всего 10 тысяч долларов. Спонсором, предоставившим премиальный фонд, выступила фирма RSA Data Security, дочернее предприятие корпорации Security Dynamics Technologies, находящееся в ее полной собственности.

За клавиатурой Pentium-ПК, на котором был взломан код, сидел Майкл К. Сандерз, сотрудник компании iNetZ (Солт-Лейк-Сити, штат Юта), специализирующейся на предоставлении услуг в сфере электронной коммерции. Сандерз является участником группы пользователей компьютеров, известной под названием DESCHALL и возглавляемой программистом Рокки Версером из Лавленда (штат Колорадо). Компанией RSA была поставлена задача расшифровать сообщение, закодированное с использованием одобренного правительством алгоритма Data Encryption Standard (DES) с 56-разрядным ключом. Для ее решения методом "грубой силы" была использована вычислительная мощь центральных процессоров университетских и корпоративных машин, разбросанных по всей территории Соединенных Штатов. По словам Версера, его группа распространила по Интернет ПО, использующее для взлома шифра не занятые основной работой такты центральных процессоров подключенных к этой сети компьютеров.

Собственно, единственным выходом из тупика является создание у себя "особого отдела" собственными силами. Для этого существуют многочисленные программы (антивирусные, криптозащиты, мониторинга и т.д.), которые обязательно нужно покупать. Только легальное владение позволит получать заплатки, если в процессе эксплуатации будут найдены дыры, и информацию о новых версиях. Лучше всего (если речь идет не о домашней машине) нанять квалифицированного специалиста с приличными полномочиями для постоянного отслеживания организационных нюансов.

И помните, беда не сможет войти в вашу систему, если вы сами ее добровольно не впустите. Любая электронная почта подлежит тотальному контролю на вирусы. Проверяться должен каждый диск, вставленный в дисковод. Если вы любитель "поскользить по линкам", то избегайте всяких рекомендуемых действий, смысл которых вам непонятен. В подавляющем большинстве вас очень туманно попросят предоставить неограниченный доступ к вашему компьютеру. Конечно, даже строгое соблюдение этих правил не избавит от проблем, но значительно уменьшит их количество.

Александр Запольскис


Компьютерная газета. Статья была опубликована в номере 27 за 1997 год в рубрике безопасность :: разное

©1997-2024 Компьютерная газета