This page is an archived copy on Gagin.ru personal site

InterNet magazine, number 26

Илья Медведовский

Информационная безопасность в России:
вчера, сегодня, завтра

Наука о компьютерной безопасности начала развиваться в нашей стране сравнительно недавно. Понимание того, что офисный или домашний компьютер не в меньшей степени нуждается в защите от злоумышленников, нежели сам офис или дом, пришло к нашим соотечественникам всего несколько лет назад. Между тем по мере развития компьютерной индустрии и интернета число тех, кто рад бы попользоваться чужими данными, растет прямо пропорционально числу новых юзеров. В этом номере журнала перед вами — история развития науки о компьютерной безопасности в России вкупе с разъяснением, откуда взялись российские хакеры и на какие разновидности они делятся. Оказывается, хакерами могут называть себя не только сопливые киберхулиганы, но и солидные спецы по системам безопасности. Пора узнать в лицо не только врагов, но и друзей.
Илья Медведовский (ilya@blader.com) к.т.н.
Эксперт по информационной безопасности
Автор книги «Атака на Internet»
(www.hackzone.ru/attack/)
Ведущий раздела «Информационная безопасность» журнала «BYTE/Россия»

Еще пару десятков лет назад такого направления, как информационная или компьютерная безопасность, в принципе не существовало. В конце 70-х — начале 80-х годов о таких ставших сегодня повседневными вопросах, как возможность получения удаленного несанкционированного доступа по сети, никто даже не задумывался. Базовый принцип, заложенный в основу сети при ее создании, остается неизменным: гарантированно доставить сообщение из одной точки сети в другую. Но разработчики семейства протоколов TCP/IP вряд ли представляли себе, что кто-нибудь может попытаться выдавать себя за другого пользователя, посылая пакеты от его имени; что кому-нибудь может прийти в голову пытаться нарушить работоспособность сетевых узлов, используя направленный шторм пакетов, — перечень технологий современных атак можно продолжать еще долго. Однако важно отметить, что практически все современные атаки базируются на слабостях, существовавших в системе безопасности семейства протоколов TCP/IP и инфраструктуре интернета уже двадцать лет назад. Именно недальновидности разработчиков тех лет мы обязаны тем, что сейчас мировое сообщество тратит колоссальные средства на обеспечение должного уровня безопасности сетевых объектов.

Обратимся к российской компьютерной истории. Когда в 1988 году произошел знаменитый инцидент с распространением в интернете червя Морриса, который повлек за собой заражение 6200 компьютеров и ущерб более 66 млн долл., Россия еще стояла вне мирового интернет-сообщества и только начинала постигать азы компьютерной безопасности, столкнувшись с первыми пришедшими к нам с Запада компьютерными вирусами. Именно в те годы и зародилась российская компьютерная вирусология, основателями которой можно по праву считать А. Безрукова, автора одной из первых серьезных отечественных книг по компьютерной вирусологии, и Д. Лозинского, создателя знаменитой антивирусной программы Aidstest. (В моих архивах сохранился Aidstest 270 версии, датируемый 03.03.1992.) Тогда же на волне победного шествия по российскому рынку IBM-совместимых компьютеров, операционной системы MS-DOS и эпидемий всевозможных компьютерных вирусов появились первые российские хакеры — исследователи вирусов, программ и тонкостей функционирования операционной системы. Впоследствии все хакеры разделились на две неравные части (как их теперь называют на Западе, White Hat и Black Hat). Одна из них — White Hat — выбрала в качестве своей основной специализации создание антивирусных программ и защитных систем, другая часть — Black Hat, или, как теперь часто говорят, «кракеры» — встала на путь создания компьютерных вирусов (таких вирусописателей, правда, оказалось меньшинство) и снятия защиты с коммерческих версий программных продуктов. Отметим, что снятие программных защит и сегодня является основной областью деятельности подавляющего большинства кракеров. Принципиальное различие между хакерами и кракерами состоит в целях, которые они преследуют. Основная задача хакера состоит в том, чтобы, исследуя вычислительную систему, обнаружить уязвимые места в ее системе безопасности и проинформировать об этом пользователей и разработчиков системы с целью последующего устранения найденных «дыр». Другая задача хакера — проанализировав защиту вычислительной системы, сформулировать необходимые требования и условия повышения ее уровня.

С другой стороны, основная задача кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации — иначе говоря, для того, чтобы ее украсть, подменить или объявить о факте взлома. Кракер по своей сути ничем не отличается от обычного вора, взламывающего чужие квартиры и крадущего вещи. Он взламывает вычислительные системы и крадет чужую информацию. Итак, кардинальное различие между хакерами и кракерами в том, что первые — исследователи компьютерной безопасности, а вторые — воры или вандалы. Хакер в данной терминологии — это специалист. В качестве доказательства приведу определение из словаря Guy L. Steele:

HACKER, сущ. 1. Индивидуум, который получает удовольствие от изучения деталей функционирования компьютерных систем и от расширения их возможностей, в отличие от большинства пользователей компьютеров, которые предпочитают знать только необходимый минимум. 2. Энтузиаст программирования; индивидуум, получающий удовольствие от самого процесса программирования, а не от теоретизирования по этому поводу. Данная трактовка термина «хакер» отличается от принятой в средствах массовой информации, которые, собственно, и привели к подмене понятий. В последнее время многие специалисты по компьютерной безопасности (особенно на Западе) стали аккуратнее относиться к этим терминам, и мы с моими коллегами в подобной их трактовке уже не одиноки.

Низменность мотивов кракеров и отсутствие у них стремления к профессиональному росту приводят к тому, что 90% из них остаются «чайниками», которые взламывают плохо администрируемые системы, в основном используя чужие программы (обычно такая программа называется exploit). Причем это мнение 10% профессиональных кракеров — бывших хакеров, ставших на путь нарушения закона. Их, в отличие от кракеров-«чайников», остановить действительно очень сложно, но, как показывает практика, отнюдь не невозможно. Очевидно, что для предотвращения возможного взлома или устранения его последствий требуется пригласить квалифицированного специалиста по информационной безопасности — профессионального хакера.

Однако было бы несправедливо сваливать в одну кучу всех кракеров, однозначно называя их ворами. По моему мнению, кракеров можно разделить на три следующих класса в зависимости от цели, с которой осуществляется взлом: вандалы, «шутники» и профессиональные взломщики.

Вандалы — самая известная (во многом благодаря широкому распространению вирусов, а также творениям некоторых журналистов) и, надо сказать, самая малочисленная (к счастью) группа кракеров. Их основная цель — взломать систему для ее дальнейшего разрушения. К ним можно отнести, во-первых, любителей команд типа rm -f -d *, del *.*, format c:/U и т.д., и, во-вторых, специалистов по написанию вирусов или «троянских коней». Совершенно естественно, что весь компьютерный мир ненавидит кракеров-вандалов лютой ненавистью. Эта стадия кракерства характерна для новичков, и кракер через нее быстро проходит, если продолжает совершенствоваться (ведь довольно скучно осознавать свое превосходство над беззащитными пользователями). Кракеров, которые даже с течением времени не минуют эту стадию, а только оттачивают свои навыки разрушения, иначе чем социальными психопатами не назовешь.

«Шутники» — наиболее безобидная часть кракеров (конечно, в зависимости от того, насколько злые они предпочитают шутки), основная цель которых — известность, достигаемая путем взлома компьютерных систем и внесения туда различных эффектов, выражающих их неудовлетворенное чувство юмора. Ущерб, наносимый «шутниками» компьютерным системам и их администраторам, чаще всего несущественен (он скорее может быть моральным, чем материальным). Это наиболее распространенный в интернете класс кракеров — обычно они взламывают веб-сервер для того, чтобы оставить там упоминание о себе. Случаи такого взлома делятся на невинные шалости начинающих и рекламные акции профессионалов.

Взломщики — это профессиональные кракеры, пользующиеся наибольшим почетом и уважением в кракерской среде. Их основная задача — взлом компьютерной системы с серьезными целями, например с целью кражи или подмены хранящейся там информации. Как правило, для того чтобы осуществить взлом, необходимо пройти три основных этапа: исследование вычислительной системы для выявления в ней изъянов, разработка программной реализации атаки и, наконец, непосредственное ее осуществление. Естественно, настоящим профессионалом можно считать только того кракера, который для достижения своей цели проходит все три стадии. С некоторой натяжкой профессионалом можно также считать того кракера, который, используя добытую третьим лицом информацию о слабых местах в системе, пишет программную реализацию атаки (exploit). Осуществить третью стадию, используя чужие разработки, очевидно, может практически каждый. Если абстрагироваться от объекта кражи, то работа взломщиков — это обычное воровство. К сожалению, у нас, в России, с моральной оценкой этих действий все обстоит не так просто. Конечно, взлом компьютерных систем ни в коем случае нельзя назвать достойным делом, но в стране, где большая часть находящегося у пользователей программного обеспечения является пиратским (хотя ситуация, похоже, постепенно меняется в лучшую сторону — становится модным использовать легальное ПО), то есть полученным в бесплатное использование не без помощи тех же взломщиков, почти никто не имеет морального права «бросить в них камень». Самая многочисленная категория кракеров занимается именно снятием защиты с коммерческих версий программных продуктов, изготовлением регистрационных ключей (registration key) для условно-бесплатных программ (shareware) и т.п.

Итак, вернемся к нашей истории. Следующая важнейшая эпоха в историческом развитии компьютерных технологий в России — это эпоха сетей, которые пришли в Россию в начале 90-х годов. Но на формирование направления науки, связанного с информационной безопасностью, вовсе не интернет в то время оказал, на мой взгляд, решающее влияние. 1992—1993 годы можно считать началом экспоненциального роста применения сетевых технологий в России, и именно начало широкого применения локальных компьютерных сетей повлекло за собой формирование в российской науке нового направления, связанного с безопасностью компьютерных технологий, или, как сейчас принято выражаться, информационной безопасностью. Произошло это потому, что применение компьютерных сетей позволило обрабатывать большие массивы информации и предоставлять большому числу удаленных пользователей доступ к ней (именно поэтому в государственных и крупных частных фирмах России тогда начался массовый переход от бумажной формы обработки информации к электронной). Во-вторых, применение сетей привело к появлению сред, принципиально организованных как многопользовательские, — когда данные на персональном компьютере уже могут быть доступны не только локальному пользователю, но и удаленному (сетевому) пользователю. Экспоненциальное развитие сетей и информационных технологий привело к тому, что в 1994 г. из общей, тогда еще аморфной науки об информационной безопасности выделилось новое направление, связанное с безопасностью компьютерных сетей.

Одним из стимулов развития этого направления невольно стали спецслужбы. В частности, одна из российских спецслужб заказала нескольким имеющимся тогда в России центрам по компьютерной безопасности работу по анализу защищенности существовавших тогда на рынке операционных систем, одной из которых была сетевая ОС Novell NetWare 3.12. В результате этой работы, легшей в основу нового направления, была обнаружена неизвестная на тот момент атака, связанная с внедрением в сети ложного файл-сервера. Результаты работы возглавляемой мной группы были затем опубликованы в 4-й главе книги «Теория и практика информационной безопасности», вышедшей в 1996 году. Не менее важным событием стало обнаружение Евгением Ильченко в 1996 году «дыры» в системе безопасности 4 версии ОС Novell NetWare, позволяющей подменить администратора сети даже в случае использования цифровой подписи. Тогда представительство Novell в России пошло с Евгением на сделку — за обещание не публиковать описание слабого места системы он получил несколько компьютеров Compaq. Насколько я знаю, случай подобной сделки между хакером и компанией — производителем софта, предполагающий неразглашение информации о найденной «дыре», является уникальным и практически единичным. Если бы эта история произошла не почти 5 лет назад, а сейчас, фамилия Ильченко приобрела бы мировую известность. А так эту историю помнят очень немногие. Интересно, что только несколько лет спустя западная группа Nomad лишь частично (!) смогла обнаружить найденное группой Ильченко слабое место!

Следующим вполне логичным шагом после изучения брешей в сетевой ОС Novell NetWare стала начавшаяся в 1996 году работа по анализу безопасности семейства протоколов TCP/IP и инфраструктуры интернета. Выполнение этой работы позволило нам обнаружить ряд неизвестных в ту пору (и в англоязычном интернете тоже) серьезных «дыр» в инфраструктуре и протоколах глобальной сети. Часть разработанных тогда нами технологий атак до сих пор не получила широкого распространения. Результаты нашей работы мы частично опубликовали в 1997 г. в первой российской книге, посвященной вопросам сетевой безопасности, — «Атака через Internet» (www.hackzone.ru/attack). В 1999 году вышло следующее издание нашей книги, и в том же году автор этой статьи защитил первую и пока, по моим сведениям, в России «хакерскую» кандидатскую диссертацию, посвященную вопросам анализа безопасности компьютерных сетей.

Итак, мы плавно подошли к сегодняшнему дню. Экспоненциальное развитие рунета привело к тому, что когда я вспоминаю существовавшие в 1997 г. ресурсы, посвященные вопросам безопасности, мне сложно поверить, что тогда их насчитывалась всего пара десятков, а количество посещений у лидеров (например, у HackZone, www.hackzone.ru) исчислялось сотней хитов в день. Впрочем, об этом лучше может рассказать создатель «ХакЗоны» — мой друг и соавтор Дмитрий Леонов.

А что же нынешние сетевые хакеры, специалисты по сетевой безопасности? Где они? До недавнего времени, менее года назад, если они и были, то находились в глубоком подполье. В России не было ни одной засветившейся в СМИ неформальной группы сетевых хакеров (или скорее кракеров). Сейчас ситуация в этой области несколько «исправляется», но пока результат остается тем же.

Так кто же на сегодняшний день в России действительно занимается вопросами оказания услуг в области обеспечения безопасности корпоративных сетей? Для ответа на этот вопрос вернемся в начало 90-х. Именно тогда стали создаваться первые в России секьюрити-компании, оказывающие услуги в области информационной безопасности, — в основном их учредителями становились бывшие сотрудники спецслужб, которые использовали имеющиеся у них связи. Их «заказчиками» были и остаются банки, а также различные государственные учреждения и ведомства. Рынка соответствующих услуг в России как не было, так до сих пор и нет. Все решают связи в «соответствующих» структурах. К чести некоторых из созданных тогда компаний, часть из них сегодня обладает штатом хороших специалистов и способна достаточно эффективно работать на этом псевдо-рынке.

Однако, воспользовавшись их услугами по оценке безопасности своей сети, не стоит надеяться на объективность. У них обычно припрятан «туз в рукаве» — готовое, наиболее выгодное для секьюрити-компании безопасное решение, которое выносится не в результате оценки реального требуемого для заказчика уровня безопасности, а в зависимости от объема поставки и наиболее выгодных дилерских скидок на секьюрити-продукты. Поэтому, приглашая в качестве консультанта (аудитора) компанию, которая одновременно является и поставщиком собственных продуктов и решений, не стоит надеяться на объективность.

С другой стороны, заказчик, желая оценить уровень безопасности своих ресурсов и на основании полученной оценки обеспечить их безопасность, может воспользоваться услугами не так давно появившихся на рынке «вольных» хакеров — обычно молодых людей с темным прошлым. Да, эти хакеры неплохо знают особенности ОС, но понимания того, что обеспечение безопасности — это сложнейший комплексный процесс, требующий большого как практического, так и теоретического опыта и научной основы, у них пока нет и не может быть — этому нужно учиться. Естественно, эти группы «специалистов» не имеют лицензии на работу в области секьюрити в России; у них нет опыта работы с серьезным корпоративным заказчиком и самое главное — у них сомнительная репутация взломщиков. А ведь специалист по безопасности — это как врач, его допускают в святая святых. Вряд ли кто-либо решится посвящать в тайны своей автоматизированной системы даже хорошего специалиста, если у него сомнительная репутация. Сейчас на Западе активно обсуждается вопрос, можно ли и стоит ли нанимать бывших взломщиков (не хакеров, а именно взломщиков) на работу. С одной стороны, западные инвесторы вложили более 10 000 000 долл. в известную хакерскую неформальную группировку L0pht и создали на ее базе компанию @stake (www.atstake.com), а их бывший лидер, хакер по кличке Mudge, стал вице-президентом вновь созданной компании. Но недавно стало известно, что руководители новой компании не приняли на работу бывшего коллегу — кракера, притом именно из этических соображений, — дабы не уронить репутацию компании в глазах ее клиентов! Вопрос о том, брать ли на работу хакеров с «темным» прошлым, до сих пор активно дискутируется многими специалистами, и однозначного ответа на него нет, да и быть не может.

Итак, подводя итог вышесказанному, попробуем сформулировать ответ на вопрос, что сейчас можно увидеть на российской секьюрити-сцене. С одной стороны — фирмы, строго ориентированные на крупных заказчиков, которые находят заказы в основном благодаря имеющимся связям. С другой стороны — «пионеры» с кракерским прошлым, неплохо знающие тонкости операционных систем, но плохо представляющие себе процесс обеспечения информационной безопасности в комплексе. Кто же посредине, спросите вы? Никого — по крайней мере, пока. На мой взгляд, свободную нишу сможет занять компания, которая соединит связи и опыт работы с крупными заказчиками со знанием тонкостей систем. Мы уже сделали первый шаг в эту сторону, открыв не так давно Центр независимого секьюрити-консалтинга (cisc.hackzone.ru). Также не будем забывать, что в России еще не сформировался рынок «мелких» клиентов в области секьюрити. Небольшие российские фирмы пока не могут позволить себе расходы на безопасность. Но эта ситуация, очевидно, должна скоро измениться — достаточно взглянуть на западный рынок, где безопасность — прерогатива отнюдь не только индустриальных гигантов. Поэтому компания, которая будет способна ориентировать свою деятельность и на рынок «мелких» клиентов, в будущем также будет иметь, на мой взгляд, неплохие перспективы.

В заключение я хотел бы еще раз привлечь внимание читателей к тому гигантскому пути, который прошла Россия за последние несколько лет в области информационных технологий и информационной безопасности. Еще несколько лет назад о безопасности своих сетей в основном задумывались лишь крупные финансовые учреждения, и то не потому, что им действительно нужно было что-либо серьезно защищать, а потому, что этого требовала политика их руководства. Сегодня уже есть информационные ресурсы, которые действительно требуют должного уровня защиты, и пренебрежение вопросами информационной безопасности может нанести серьезный урон как государственным, так и крупным частным компаниям. Что нас ждет впереди? Не стоит гадать и изобретать велосипед: посмотрим на состояние информационных ресурсов в США и на то, какое внимание в Штатах уделяют проблеме обеспечения безопасности сетей. По оценкам аналитиков, мы отстаем от них примерно на несколько лет. Несложно сделать вывод, что информационная безопасность, которая сейчас является одной из самых перспективных и быстро развивающихся областей на Западе, будет не в меньшей степени востребована и у нас. Поэтому тем руководителям и ИТ- менеджерам компаний, которые смотрят в будущее, стоит уже сейчас внимательно и объективно оценить безопасность своих сетей и не руководствоваться поговоркой «Пока гром не грянет — мужик не перекрестится».

Прим. ред.: Редакция журнала считает своим долгом заявить: мы не вполне согласны с автором статьи в том, что касаетс использования слов «хакер» и «крэкер». Безусловно, публикации в СМИ повлияли на закрепление отрицательного образа слова «хакер», однако говорить, что именно СМИ создали этот образ — во многом подменять причину и следствие. Если бы на свете не существовало называющих себя хакерами зловредных подростков, предел мечтаний которых — украсть чей-нибудь крутой UIN, слово «хакер» украшало бы не обложку популярного журнала, публикующего способы прослушивания чужого автоответчика, а обложку авторитетного издания для сетевых специалистов. Безусловно, можно верить в то, что «настоящие хакеры» не шлют бессмысленных писем с вирусами, но пока сами вандалы не начнут называть себя иначе, СМИ будут использовать те формулировки, которые большинство читателей воспринимает как привычные и понятные.


В оглавление номера This page is an archived copy on Gagin.ru personal site