Omega Engineering, ставшая одной из самых крупных жертв компьютерного терроризма, в апреле собирается начать судебный процесс против своего бывшего администратора сети Тимоти Ллойда, которого она обвиняет в умышленном уничтожении компьютерных файлов, повлекшем за собой ущерб в размере 10 млн. долл. В последних числах февраля Федеральный окружной суд предъявил Ллойду, жителю Вилмингтона (шт. Делавэр), обвинение по двум пунктам: преднамеренное причинение ущерба сети Omega и кража компьютерного оборудования на сумму 50 тыс. долл.

По утверждению представителей компании, Ллойд, бывший ведущий разработчик компьютерных сетевых программ, заложил "логическую бомбу", которая сработала после его увольнения. В результате были уничтожены все файлы на сетевых серверах, работающих под управлением операционной системы компании Novell. Механизм, приведший к "детонации" этой бомбы, до сих пор не известен.

По словам Ала Дифранциско, директора Omega по кадрам, сотрудники офиса компании, расположенного в Бриджепорте (шт. Коннектикут), придя однажды на работу, обнаружили, что все файлы на серверах NetWare уничтожены. "Сначала мы и не предполагали, что это продуманная диверсия, - говорит Дифранциско. - Мы не сразу поняли, что именно произошло".

В Omega Engineering регулярно проводилось резервное копирование серверов локальной сети, однако на этот раз обнаружилось, что резервирование жестких дисков преднамеренно отменено.

Компания сразу обратилась за помощью к консультанту по компьютерам, имя которого представители Omega до начала слушаний не называют. По словам Дифранциско, этот консультант уже принимал участие в ряде "компьютерных" судебных процессов и обладает достаточными знаниями, чтобы собрать очевидные доказательства причастности Ллойда к разработке программы с заложенной в ней логической бомбой. Компания передала собранные улики в Министерство юстиции. Сотрудники разведслужбы провели обыск в доме Ллойда, где обнаружили часть украденного в Omega компьютерного оборудования.

Что же советует руководство Omega Engineering компаниям, желающим защититься от недобросовестных администраторов сети? "Прежде всего постарайтесь использовать лучшие технологии, а также хранить резервные копии ваших файлов вне офиса", - заявил Дифранциско.

По мнению экспертов по защите, логическая бомба, как правило, представляет собой программу, которая срабатывает в определенное, заранее установленное время, производя при этом какие-либо вредоносные действия, к примеру, уничтожение всех файлов или форматирование жестких дисков. "В самом простом случае логическая бомба может являться сценарием, который запускает набор команд по удалению файлов", - считает Крис Байрнс, вице-президент консалтинговой компании Meta Group по вопросам стратегии управления серверами и системами. По мнению Байрнса, компьютерные бомбы гораздо проще "заложить" в локальные сети, чем в мэйнфреймы, поскольку защищенный доступ к программам на мэйнфреймах обычно бывает строже.

Как бы там ни было, главное, по мнению Байрнса, состоит в том, что практически никто, кроме администратора сети, не в состоянии внедрить в нее логическую бомбу. Если пользователь не обладает правами администратора в Novell NetWare или, к примеру, не имеет возможностей суперпользователя (root) в Unix-системе, он этого сделать не сможет. Как отметил Байрнс, "кроме системного администратора, учинить диверсию с помощью логической бомбы может только хакер".

При этом Байрнс отметил, что оборудование для защиты сети, продаваемое компаниями Security Systems и Netect, не спасает от логических бомб. Более того, на рынке сейчас практически нет средств защиты, способных противостоять такого рода диверсиям. Тем не менее производитель антивирусных программ, компания Safe Technologies, в настоящее время разрабатывает ПО, которое при обнаружении несанкционированных действий может перехватывать "злонамеренный" код. Впрочем, внимание к этой проблеме со стороны разработчика антивирусного ПО не случайно: с технической точки зрения логическая бомба не относится к вирусам, поскольку не способна себя тиражировать; тем не менее она может переноситься вирусом.

Адам Шостак, директор Netect по технологическим вопросам, считает, что опасность диверсий даже в небольших компаниях существенно снизится, если функции поддержки сети не будут прерогативой одного администратора, а распределятся между несколькими сотрудниками.


Можно ли предотвратить взрыв логической бомбы?

Тимоти Ллойд, бывший главный проектировщик программ для компьютерной сети, одновременно исполнявший обязанности администратора сети компании Omega Engineering, обвиняется во "взрыве" 30 июля 1996 года логической бомбы (программы, срабатывающей в определенное время и производящей при этом вредоносные действия), в результате чего было уничтожено все программное обеспечение компании, а убытки составили 10 млн. долл.

Можно ли было предотвратить эту локальную информационную катастрофу? Вполне вероятно. Можно ли минимизировать ущерб и сократить время простоя за счет усиления защиты? Безусловно. Так считают эксперты по защите и руководители компании. "То, что произошло в Omega, - классическая ситуация инспирированной изнутри хакерской атаки, в данном случае "глубоководной логической бомбы", которая сдетонировала в определенное время и "взорвала" сеть. От терактов подобного рода защититься, пожалуй, труднее всего", - считает Уильям Кук, партнер юридической фирмы Brinks Hofer Gilson & Lione.

Похоже, владельцы Omega Engineering, крупной (свыше 1000 сотрудников) частной компании, выпускающей высокотехнологичные измерительные и контрольные приборы для государственных ведомств (в том числе для NASA и Военно-морского флота США), так же, как и руководители многих других компаний, пострадавших подобным образом, слишком поздно осознали необходимость использования адекватного защитного механизма. Как отметил Ал Дифранциско, директор по кадрам компании Omega, журналы регистрации неопровержимо свидетельствуют о причастности к данному происшествию Ллойда - несмотря на то, что все его привилегии и права доступа в Omega были ликвидированы еще 10 июля, в день его увольнения. Именно журналы регистрации стали основой предъявленного Ллойду обвинения.

Первое заседание Окружного суда США по делу Ллойда состоится 20 апреля в Ньюарке. В случае, если Ллойда признают виновным, ему грозит пять лет заключения в федеральной тюрьме с поражением в правах и еще 10 лет, если будет доказано, что он украл компьютерное оборудование Omega на сумму 50 тыс. долл. По словам представителя Государственной коллегии адвокатов США, каждый из пунктов обвинения предусматривает штраф в размере от 250 тыс. долл. до суммы, в два раза превышающей размер ущерба, понесенного компанией в результате этого преступления.

Так в чем причина происшедшего? Прежде всего в том, что Ллойд не только отвечал за составление программ для компьютерной сети компании, но и являлся сетевым администратором Omega. За 11 лет работы на этом посту он узнал все входы и выходы системы и имел все привилегии супервизора, позволяющие добавлять, изменять и удалять любую информацию, содержащуюся в сети. Дифранциско считает, что Ллойд использовал свои знания, чтобы внедрить и замаскировать логическую бомбу в "недрах" операционной системы NetWare компании Novell, а также чтобы отключить службы резервного копирования и восстановления, мешая тем самым возобновлению нормальной работы компании.

Примечательно, что после того, как Omega понесла огромный ущерб от "взрыва" логической бомбы, в компании была установлена наилучшая на сегодняшний день система защиты. Кроме того, как подчеркнули представители компании, руководство Omega приняло совершенно твердое решение "не хранить все яйца в одной корзине". "Теперь мы уверены, что вся информация из нашей базы данных дублируется, а тексты программ и файлы хранятся в надежном месте вне офиса", - подчеркнул Дифранциско.

- Лаура ди Дио,
Computerworld, США

Поделитесь материалом с коллегами и друзьями