Цифровые детективы

"Если предприятия сами не станут к нам обращаться, мы не в состоянии будем контролировать ситуацию, не сможем понять схему действия подобных группировок", - считает Чарльз Оуэнс, глава подразделения финансовых преступлений ФБР.

Рэпалус из CSI отмечает, что сотрудники компаний предпочитают скрывать факты нападений из нерешительности, либо опасаясь появления негативных откликов в прессе. Так, руководство Citibank в течение года со времени первой атаки предпочитало не вводить ФБР в курс дела.

"Существует миф, что будто бы стоит заявить о каком-либо происшествии в правоохранительные органы, на следующий день соответствующая информация появится на первых полосах газет, - говорит Гейде. - На самом деле все происходит совсем не так". Само собой разумеется, что Гейде и его коллеги независимо от ступеньки на служебной лестнице, которую они занимают, отказались сообщить для данной статьи подробности одной из компьютерных атак. По утверждению главы CITAC, ФБР ставит своей целью "не выдавать секреты потерпевших".

Гейде подчеркнул, что компьютеры могут играть разную роль в криминальной истории. Они выступают в качестве "пострадавших" (для примера можно привести случай, когда шведский хакер вывел из строя 911 компьютеров во Флориде), а также "соучастников" преступления.

В самом деле компьютеры широко используются для совершения преступлений, начиная с мошенничества, азартных игр, распространения порнографии и заканчивая незаконным переводом денег, различными махинациями вроде "пирамид" или кражи интеллектуальной собственности. Поймать же преступника с поличным очень непросто, ибо, как утверждает Гейде, "дьявольские плоды и даже орудия преступления могут покоиться в нейтральной компьютерной системе".

Начальник отдела CART ФБР Майк Ноблетт убежден в том, что сотрудники компаний могут сделать ряд шагов, чтобы защитить свое имущество. "Руководство корпорации должно заранее решить, какие действия предпринять в случае нападения", - советует он. Однако и Ноблетт, и Гейде поспешили подчеркнуть, что все это не более чем временные меры. "Если кто-то извне хочет получить доступ к вашей продукции или вашим данным, можно закрыть перед ним одну дверь, но он, скорее всего, будет ломиться в другие, пока, наконец, не попадет внутрь", - предостерегает Гейде.

Ноблетт также рекомендует без промедления ставить в известность органы правопорядка о предполагаемом преступлении, поскольку потеря времени может привести к частичной или полной утрате улик.

Кроме того, специалисты советуют следить за новинками в области брандмауэров. Рэпалус отмечает, что у многих появляется соблазн установить код и забыть о нем. В каждом брандмауэре есть свои щели - по мнению Оуэнса, руководству компаний не следует недооценивать важность обучения персонала. Он призывает вводить проверку сотрудников параллельно с инструктированием персонала относительно так называемого социального инжиниринга, когда, например, позвонивший человек представляется администратором системы, чтобы получить пароли и другую информацию, необходимую для входа в систему.

Защищайтесь от хакеров их оружием

Чтобы бороться с хакерами, нужно знать своего врага - или по крайней мере владеть его оружием. Все больше экспертов по информационной безопасности приходит к выводу, что предотвратить незаконные вторжения в сеть помогает знание того, что происходит, когда хакеры, пользуясь различными программами несанкционированного доступа, зондируют сеть с целью выявить ее уязвимые места.

По-видимому, наиболее известным инструментом ревизии сети является Security Administrator Tool for Analyzing Networks (SATAN) (ftp://stp.win.tue.nl/pub/security/). SATAN - это Unix-приложение, которое осуществляет поиск наиболее распространенных слабых мест защиты, например средств настройки протокола передачи файлов FTP. Программа SATAN стала популярным инструментом хакеров. С ее помощью системные администраторы могут закрывать легко вычисляемые бреши в системе защиты до того, как хакер воспользуется ими.

Обратив другое оружие хакеров против них самих, администраторы также смогут повысить безопасность своих сетей. В качестве примера можно привести условно-бесплатную программу разгадывания паролей Crack (ftp://coast.cs.pdue.edu/pub/tools/unix/crack). Она просматривает файл паролей, сопоставляя его со словарями и другими вероятными источниками выбора паролей.

Crack, по отзывам специалистов, работает достаточно быстро и генерирует сообщения о всех случаях успешной разгадки в специальном регистрационном журнале. Многие настоятельно рекомендуют систематически использовать эту утилиту.

Еще один инструмент хакеров, программа "сплошного" прозвона телефонных номеров ToneLoc (ftp://ftp.paranoia.com/pub/toneloc/tl110.zip), помогает администраторам обнаружить ответвления, с помощью которых работники компании подключают к своим ПК незарегистрированные модемы, создавая тем самым точки входа в используемые ими системы, возможно, лишенные защиты. Такие случаи на удивление распространены.

По мнению некоторых руководителей информационных служб, ответственных за обеспечение безопасности, самые крупные предприятия, несомненно, изучат возможность использования получаемых из Internet инструментов, помогающих оценить надежность защиты.

Коммерческие программные продукты, как утверждает Питер Шипли, независимый программист и эксперт по проблемам хакерства, не всегда можно назвать самыми лучшими и полезными. Например, в часто используемом компиляторе C-программ GCC устранены все известные ошибки. "Хорошо бы, - заметил он, - чтобы то же самое сделала Microsoft". Кроме того, ряд распространителей бесплатных программ в Internet уделяет большое внимание их модернизации и сопровождению.

Вместе с тем некоторые руководители корпораций по информационным системам не согласились с утверждением Шипли, что они могут бесплатно получить по Internet все что угодно, начиная от криптосредств, инструментов мониторинга сети и заканчивая защищенными средствами контроля доступа.

Деловые пользователи хотят заручиться поддержкой, оказываемой известными поставщиками, а также иметь свободу поиска заказных приложений и услуг по интеграции. Но при наличии многочисленных аппаратных платформ и прикладных программ поддержка и услуги по интеграции, оказываемые поставщиками, имеют важнейшее значение.

Очень возможно, что лучший способ защитить компьютерные системы - это воспользоваться услугами людей, доказавших свои способности в деле их взлома. Так как никто не может знать недостатки защиты лучше хакеров, то стоит попробовать нанять парочку этих молодцов, дабы помочь остальным избежать соблазна.

А может быть, я ошибаюсь. Если человек один раз попался на воровстве, поверит ли ему кто-нибудь после этого?

Расс Хейли, президент Secure Network Systems, от одной только мысли об этом приходит в ужас. "Взять на работу бывшего хакера - это все равно, что поручить охрану склада бывшему вору, - говорит он. - Мы гарантируем нашим клиентам, что любой сотрудник, уличенный в хакерстве, мгновенно перейдет из разряда служащих в разряд безработных".

"Наша позиция обусловлена тем, что мы строим свои отношения с заказчиками исключительно на доверии, - пояснил Хейли. - Соглашаясь на установку наших систем, они открывают перед нами свои самые сокровенные сетевые секреты".

Хейли также отметил, что защитить сеть на самом деле не так уж сложно, но для этого нужна строгая дисциплина. А хакеры никогда не отличались особой дисциплинированностью. Потому они и хакеры.

Тем не менее Хейли добавил, что для повышения эффективности защиты его сотрудникам приходится осваивать тонкости взлома. "Для этого мы изучаем материалы хакерских конференций и особое внимание уделяем тем элементам защиты, которые составляют предмет их бесед, - сказал он. - Кроме того, мы моделируем ситуации взлома нашей системы защиты".

Многие представители информационного сообщества разделяют его мнение, по крайней мере на бумаге. Хотя имеются руководители, которые не против видеть у себя в штате бывшего хакера или хотя бы проконсультироваться у него. Ряд организаций вообще отказывается комментировать этот вопрос. Сюда относятся Национальный центр по компьютерным преступлениям, входящий в состав ФБР, и святая святых - Управление национальной безопасности (УНБ).

Сотрудница ФБР отвергла все попытки взять у нее интервью, а из УНБ мы не получили никаких ответов на факсы и телефонные звонки. Однако один глубокоуважаемый консультант по безопасности информационных систем подтвердил, что обе организации в прошлом не брезговали услугами хакеров, по крайней мере в качестве информаторов.

Если не брать во внимание подобные случаи, то как же все-таки бывший хакер может попасть на работу, связанную с защитой информации? Первый способ, конечно же, тщательно скрывать этот позорный факт своей биографии. Это может сработать, если данного хакера ни разу не ловили с поличным. Но с другой стороны, если работа человека никогда не была связана с защитой информации (что легко может быть проверено потенциальным работодателем), как же тогда объяснить наличие громадного опыта в этой области?

Мэтью Хэрриган придумал оригинальное решение - он организовал собственную компанию, состоящую исключительно из бывших хакеров. Теперь он получает деньги за то, что раньше делал ради удовольствия.

Хэрриган рассказал о том, как однажды, "ломая защиту какой-то безвестной фирмы", он вдруг осознал, что ему хочется показать этим людям, насколько уязвима их система, а заодно и посоветовать, как "заштопать дыру в защите". В результате на свет появилась фирма MicroCosm, которая специализируется на экспериментальных проникновениях, выработке стратегии защиты информации и создании безопасных Web-приложений.

Как объяснил нам Хэрриган, хакеры часто лучше других разбираются в проблемах, связанных с безопасностью. Ведь чтобы взломать систему, надо сначала найти ее уязвимые места. "Для того чтобы стать профессионалом, требуется настойчивость и хорошие мозги, - сказал Хэрриган. - Мне нужны люди, разбирающиеся в сквозном шифровании, переполнении буферов, электронной коммерции и сетевых протоколах".

Хэрриган не берет на работу хакеров, не желающих бросать свое ремесло. "Мне очень сложно принять на работу человека, привлекавшегося к ответственности, ведь это свидетельствует о безрассудности или безответственности. Но одно дело привлекаться к ответственности, и совсем другое - нарушать закон из злых побуждений. Во втором случае я ни за что не возьму человека к себе в компанию. Я непримирим к людям, уничтожающим данные ради собственного удовольствия".

По мнению Хэрригана, существует две категории хакеров: те, которые "мечтают проникнуть в сеть ФБР, потому что это круто", и "настоящие" хакеры, которым интересна сама задача взлома. Хэрриган предпочитает иметь сотрудников из второй группы. "Когда мы нанимаем человека, то тщательно анализируем его позицию в отношении наших клиентов, - говорит он. - Ему следует понять, что это поворотный момент в его жизни и что к работе надо относится самым серьезным образом".

За отказ от прежних детских забав Хэрриган гарантирует новому работнику чувство глубокого удовлетворения от успешно выполненной задачи. "В 99,9% случаев наши усилия по проникновению в ту или иную систему приносят успех", - заявил он.

Еще один бывший хакер, в настоящее время занимающийся системами безопасности, говорит, что, с тех пор как он стал законопослушным гражданином, его дела идут великолепно. "То, чем я раньше занимался ради развлечения, теперь делаю легально, - сказал он. - К тому же мне за это очень хорошо платят".

По иронии судьбы первый большой заказ этот бывший хакер получил от компании, которую сам же взломал пару лет назад. "Причем они знали, что это была моя работа, - рассказал он. - Забавный у нас с ними разговор получился".

Согласно исследованию, проведенному двумя американскими экспертами, сильные системы шифрования могут в будущем свести на нет усилия по соблюдению международного законодательства. Их использование уже не раз помогало уйти от ответственности виновникам громких преступлений.

"Среди преступных группировок быстро растет популярность средств кодирования информации, - заявил один из авторов отчета Уильям Бау, занимавший высокий пост в ФБР, а ныне вице-президент корпорации Science Applications International. - Пока эти средства не мешают следить за соблюдением закона. Но вот-вот разразится буря - положение стремительно меняется, поэтому вопрос требует немедленного рассмотрения".

Отчет, озаглавленный "Шифрование и новые технологии на службе у организованной преступности и международного терроризма"(Encryption and Evolving Technologies in Organized Crime and Terrorism), написан Бау в соавторстве с Дороти Деннинг, профессором теории вычислительных машин и систем из Джорджтаунского университета в Вашингтоне. Как сказал Бау, их совместная работа опубликована Государственным центром стратегической информации (National Strategy Information Center), занимающимся вопросами политики, преступности и терроризма.

По данным отчета, в мире совершается по меньшей мере 500 преступлений с привлечением средств шифрования, причем их число растет с каждым годом на 50-100%. Тем не менее до сих пор не создана база данных, куда бы стекалась статистика преступности с использованием кодирования. По словам Бау, такая база безусловно поможет законодательным органам "принимать обоснованные решения".

В отчете не определена позиция авторов в отношении политики Администрации Клинтона по вопросу о средствах шифрования. Как известно, она ограничивает экспорт из США сильных программ кодирования, если их разработчик не представит систему восстановления ключа - систему, позволяющую правительственным организациям получить доступ к ключам для расшифровки данных. Правительство также ищет пути поощрения использования систем восстановления ключа в пределах страны.

Политика Клинтона вызвала яростные протесты со стороны активных защитников прав человека и представителей компьютерной индустрии, которые заявили, что клиенты не захотят предоставлять третьим лицам доступ к их ключам шифрования. Кроме того, некоторые специалисты в области технологий шифрования озабочены тем, что ключи для расшифровки важных данных о деятельности предприятий попадут в третьи руки.

По словам Бау, он лично поддерживает такую политику, но, учитывая актуальность технологий кодирования для коммерческих предприятий, равно как и для соблюдения закона, "следует организовать тщательное рассмотрение данного вопроса".

В отчете говорится об использовании шифрования при организации ряда международных преступлений, таких как взрывы в нью-йорском и токийском метро, шпионская деятельность Олдрича Эймса, а также взрыв в Международном центре торговли. Взлом шифра необязательно способствовал раскрытию преступлений, однако, как утверждает Бау, шифрование сдерживало действия правительственных организаций, что приводило к грандиозным дополнительным расходам.

Например, обвиняемый по делу о взрывах в нью-йоркском метро в 1995 году, закодировал множество файлов на своем компьютере, используя собственную разновидность шифра, к которой было крайне сложно подобрать ключ. Правда, когда открыли файлы, то обнаружилось, что они содержат детскую порнографию и личную информацию, не имеющую отношения к данному делу. А вот другая информация с этого же компьютера пригодилась при проведении расследования.

В предисловии к опубликованной работе говорится, что, поскольку мощные системы кодирования все чаще встраиваются в коммерческие приложения для настольных компьютеров и сетей, они становятся более доступны и получают широкое распространение. Однако авторы не ставили своей целью доказать, что технологии шифрования "изначально плохи, и их использование должно быть ограничено".

Вооpужены компьютеpами и очень опасны

Опpос ФБР и амеpиканского Hационального института компьютеpной безопасности о наиболее pаспpостpаненных компьютеpных пpеступлениях