А когда один из разработчиков SATAN, Дан Фармер, в декабре прошлого года применил это диагностическое средство для того, чтобы тайно обследовать более 2000 узлов Internet, критика вспыхнула с новой силой. Фармер использовал SATAN (сокращенное название от Security Analysis Tool for Auditing Networks - средство анализа безопасности при проверке сетей) в исследовательском проекте с целью оценки степени защиты основных правительственных и коммерческих серверов Web. Он обнаружил, что почти две трети узлов были уязвимы с точки зрения возможности проникновения в них хакеров.

Такая уязвимость может облегчить злоумышленнику чтение или разрушение расположенных на Web-сервере файлов, а также обеспечить ему доступ к другим хост-компьютерам сети. Свои выводы Фармер поместил на собственном Web-узле.

Фармер сказал, что он постарался не рекламировать обнаруженные им недостатки защиты и сохранить в тайне адреса обследованных узлов. Тем не менее некоторые эксперты по вопросам безопасности компьютеров обвинили его в том, что он не получил разрешения от администраторов соответствующих Web-узлов.

"Обследование чьего-либо узла без соответствующего на то разрешения недопустимо", - сказал эксперт по безопасности компьютеров Юджин Спаффорд из Purdue University, кстати, бывший преподаватель Фармера по вычислительной технике.

Фармер, потерявший работу в компании Silicon Graphics после распространения SATAN, видимо, предвидел такую реакцию. В своем отчете о результатах испытаний он написал: "Проведение несанкционированного технического обследования с целью детального анализа удаленных хост-машин или узлов, не являясь по сути делом незаконным, на самом деле никогда не поощрялось... Меня разбирало любопытство, но я был ограничен во времени. А поскольку я рассматривал данный проект, скорее, в культурном и философском аспекте, но никак не в юридическом, то осмелился пройти через осуждение, сознательно лишив себя доверия и вызвав всеобщее негодование Сети, но выполнил задуманное обследование".

Однако некоторые эксперты выступили в защиту Фармера. "То, что сделал Фармер, не является нарушением этических норм, - сказал консультант по вопросам информационной безопасности из компании Deloitte & Touche Уильям Мюррей. - Он проверял общественные системы, открыто используя доступное всем ПО, и описал то, что обнаружил".

"Разработав SATAN, Фармер попал в опалу, - сказал Мюррей. - Однако SATAN - полезная штука. Как аудиторы мы должны иметь средства, которые в точности выполняют то же, что и SATAN".

"Я разделяю мнение Фармера, хотя значительная часть специалистов не согласны с этим", - заметил президент National Computer Security Association Питер Типпет.

Типпет сравнил Фармера с прогуливающимся по улице человеком, который по пути дергает все двери и проверяет, закрыты ли они. Хорошо, если эту проверку осуществляет человек, имеющий на то законные основания, к примеру полицейский. Однако, по мнению Типпета, подобные действия неоправданны, если их совершает кто-либо другой.

Исполнительный директор Internet Security Systems Кристофер Клаус не согласен с тем, что допустимость анонимных обследований систем зависит от того, кто их выполняет. "Кто бы этим ни занимался, создается плохой прецедент", - считает он.

Поделитесь материалом с коллегами и друзьями