Подводные камни работы в Сети.

ПСИХОЛОГИЧЕСКИЕ ВОЙНЫ В СЕТИ
Хроника одной войны

МОЖНО ЛИ УЛИЧИТЬ ЗЛОУМЫШЛЕННИКА?
Читая заголовки

Кто позволил себе эту дьявольскую шутку?
Схватить его и сорвать с него маску, чтобы мы знали,
кого нам повесить поутру на крепостной стене!

Э. А. По

Итак, свершилось. Мы стали равноправной частью Internet. Мы можем пользоваться всеми доступными сервисами - как бесплатными, так и платными. Все выглядит хорошо, можно даже сказать замечательно. Если бы не один маленький нюанс, имеющий, как оказалось, очень большое значение. Механизмов взаимодействия с западными провайдерами в части решения проблем конечных пользователей Сети у нас нет. "О чем это речь? - спросит пытливый читатель. - Зачем это рядовому пользователю понадобится якшаться с каким-то там западным провайдером?" И будет на первый взгляд прав - но только на первый.

Итак, в чем же заключается скрытая доселе проблема?

Пока в Сети все спокойно, пока действуют нормальные человеческие отношения - все хорошо. Но периодически в Сети возникают весьма непростые конфликты. Как правило, все начинается со столкновения интересов. В какой-нибудь телеконференции, как у нас в Relcom, так и в Internet, вдруг появляется человек, не реагирующий ни на что и считающий, что раз он физически недоступен, то может творить что угодно. В случае, если это западные конференции (Usenet) и это западный корреспондент - применяемые меры весьма эффективны. В случае, если это Relcom и корреспондент этот, так сказать, "наш" - меры, положа руку на сердце, несколько однобоки: если "наш" нарушил что-то "у них", виновника просто-напросто отключают, дабы не позориться лишний раз перед Западом. Но вот допустим, что в конференциях Relcom завелся нарушитель из Internet. Ситуация отнюдь не выдуманная - сейчас все конференции Relcom доступны и на западных серверах Internet. Что же мы можем предпринять в этом случае? Как выясняется, адекватного механизма воздействия на него просто-напросто нет. Жалобы наших абонентов к провайдеру нарушителя (например - из Нью-Йорка, США) оказываются всего лишь гласом вопиющего в пустыне. Наш абонент и его интересы слишком малы, чтобы их там замечали, а наши крупные провайдеры обычно слишком загружены текущей работой по регулировке взаимодействий друг с другом и распределением каналов связи, чтобы заниматься проблемами каких-то абонентов.

Если в какой-либо из телеконференций идет просто перманентная перебранка, то это еще можно как-то игнорировать: рано или поздно она в конце концов выдохнется. Но, как "вдруг" выяснилось, в Internet встречаются не только нормальные, уравновешенные пользователи. Есть и прямая их противоположность. Как их отличить? Да, пожалуй, никак. На адресе электронной почты ведь не стоит штамп медицинского учреждения. Просто такой пользователь внезапно "слетает с катушек" и начинает "давить" и "уничтожать" всеми доступными средствами своих оппонентов. Одним из средств такого давления служат ставшие доступными программы-мэйлбомберы. В чем суть их применения? На адрес (или на "почтовый ящик") жертвы такой атаки внезапно обрушивается шквал всевозможной ненужной информации. Трафик достигает тысячи писем в сутки, что составляет обычно несколько мегабайт совершенно бесполезной информации.

Могут возразить, что лучший способ избежать подобной участи - не ввязываться в периодически возникающие в конференциях Relcom склоки и скандалы. Это действительно лучше всего, но не всегда выполнимо. Бывают ситуации, в которых кто-то сочтет для себя невозможным молча игнорировать происходящее. Можно ли за это обвинять? Вряд ли, у всех свои жизненные взгляды и принципы. Свобода слова - одна из основных прелестей Internet. И, как и всякая свобода, она имеет свою оборотную сторону. Что же реально можно предложить в качестве персональных мер предупреждения и урегулирования подобных проблем?

  • Во-первых, избегать использования псевдонимов на узловых машинах. Ваш адрес должен непременно быть прописан в DNS вашего сервис-провайдера от сети Relcom или любой другой. В этом случае, чтобы при атаке свести трафик к нулю, адрес достаточно будет удалить из DNS.
  • Во-вторых, по возможности избегайте участия во всяческих "разборках".
  • В-третьих, можно использовать так называемый forward-account на одном из серверов Internet, предоставляющих сервис на бесплатной основе. В случае необходимости вы можете оперативно сменить свой forward-account на новый.

    • То, что вопросы борьбы с подобными проблемами очень слабо отработаны в Internet в целом, утешает слабо. Сеть в данном вопросе - по-прежнему "дикая и страшная", поскольку вопрос этот очень сложный. Он затрагивает проблему взаимодействия не только пользователей и провайдеров, но и проблему взаимного сосуществования в Internet различных сетей, его составляющих и имеющих зачастую разные внутренние правила и этические нормы.

    Но все это не может служить оправданием бездействию официальных органов сети, отдавших вышеперечисленные проблемы на откуп механизмам "самоорганизации". Что это за механизмы? Все те же, что и во все времена - если нет закона, то в дело вступает грубая сила. Раньше человек выламывал в ближайшем лесу дубину побольше и потяжелее; в Internet вместо дубины - многомегабайтные удары по почтовым системам. Приносит ли это пользу Сети? Вряд ли, поскольку такие коллизии зачастую блокируют работу каналов и серверов, занятых пересылкой и перемалыванием многих мегабайтов бесполезной информации. Фактически оказывается, что больные и неуравновешенные люди используют организационные проколы в работе Сети для сведения счетов и удовлетворения своих болезненных притязаний.

    Возможно, наиболее очевидное решение этой проблемы состоит в создании в сети Relcom некоей службы координации, к которой в сложных ситуациях обращались бы пользователи. Эта служба могла бы принимать какие-то меры по отношению к зарубежным корреспондентам, злоупотребляющим собственной безнаказанностью, путем взаимодействия с провайдерами нарушителей. Все-таки к голосу крупного провайдера (как правило, но тоже - увы - не всегда) прислушиваются с большим вниманием, нежели к жалобам простых пользователей.

    Еще один путь решения данной проблемы, хотя бы применительно к межсетевым конференциям FIDO-Relcom, заключается во введении механизма автоматического шлюзования и модерирования, с использованием имеющегося механизма управления модерируемыми конференциями в Relcom/Usenet. Тогда статья, отправленная на какой-либо из серверов Internet/Relcom, вначале поступает на шлюз Relcom-FIDO, где автоматически проверяется на совпадение со списком адресов нарушителей. Статьи, отправленные с адресов нарушителей, уничтожаются; прошедшие же проверку отправляются по NNTP на сервер Internet/Relcom для помещения в телеконференцию. Такие меры позволили бы отсекать статьи нарушителей и избегать таким образом создания поводов для возникновения конфликта в телеконференциях.

    Автор не приводит реальных имен и адресов по этическим соображениям. Домены провайдеров указаны реальные.

    Юрий Василенко - сетевой администратор предприятия электрических сетей, г. Семипалатинск, Казахстан. С ним можно связаться через Internet по адресу: yura@raptor.spl.kz.

    ПСИХОЛОГИЧЕСКИЕ ВОЙНЫ В СЕТИ

    Хроника одной войны

    Пролог: истоки конфликта

    Начиналось все довольно обыденно и повседневно. В одной из конференций Relcom, где тусуются люди, обсуждающие все, относящееся к своему хобби, в конце 1996 года появился новый участник (далее - "американец", а в кавычках - потому, что он из перестроечных советских эмигрантов) с обратным адресом из CompuServe.com. Как и многие новички, он начал свою деятельность с постинга весьма претенциозных статей, по многим аспектам содержащих ляпы и неточности. Это было вполне нормально, и, как принято в Сети, его поправили. Раз, и другой, и третий. Подобное участие действия на него не возымело. "Ну что же - пусть будет так, дитя повзрослеет - одумается", - решило сетевое сообщество.

    В это же время наш "американец" затеял большой шум в одной из конференций Usenet, нисколько не стесняясь в выражениях. Подтекст был тот же самый, что в большинстве случаев такого рода - "я один умный, а все вокруг - дураки". После примерно двухнедельного потока грязи и разборок "американец" исчез из конференций Usenet, видимо лишившись за свои выходки использовавшегося им адреса на CompuServe.com.

    Но дело не закончилось: в дальнейшем мы будем видеть "американца" уже с новым адресом, находящимся на домене одного из нью-йоркских Internet-провайдеров - brainlink.com.

    Нарастание напряженности

    Примерно в разгар своей usenet-эпопеи этот "американец" начал публикацию своих коммерческих предложений в нашей, по сути своей некоммерческой, конференции Relcom и параллельно - публиковать в ней же большой поток всевозможных сведений (в основной массе своей - ошибочных) об аппаратуре и аксессуарах к ней, чтобы по возможности придать себе вид компетентного в данном вопросе человека.

    В двух словах - суть сводилась к предложению "под честное слово", без каких-либо документальных гарантий с его стороны, посылать ему в США наличные доллары (с помощью службы денежных переводов Western Union) для приобретения всевозможной аппаратуры и аксессуаров к ней. Все это говорилось от лица якобы существующей фирмы, но ни банковских, ни каких-либо иных реквизитов не было. Нормально ли это выглядело? Отнюдь. Все-таки опыт пирамид и скороспелых банков кое-чему научил. Отдавать деньги первому встречному безо всяких гарантийных документов, согласитесь, по меньшей мере неразумно.

    "Американцу" попробовали объяснить, что он занялся своим так называемым "бизнесом" в неудачном месте и попросили прекратить публиковать рекламу сомнительного содержания. В ответ внезапно полился уже знакомый по конфликту в Usenet поток грязи и оскорблений. Наши участники, вступившие в обсуждение происходящего, угодили в "килл-файл" (фильтр входящей почты) этого "американца". Поток рекламы нарастал. Персональные обращения и разъяснения использовались все реже. Урезонить "американца" оказалось невозможно. Попытки жалоб к его провайдеру не возымели никакого действия.

    В качестве меры противодействия ряд участников с нашей стороны начал публикацию статей, разъясняющих сообществу конференции проблемы вероятной потери денег и потенциальной непорядочности таких "торговцев", а также - весьма низкую квалификацию "американца" в специальных вопросах.

    Черное воскресенье

    16 марта 1996, воскресный день. На адреса наших участников данного конфликта внезапно обрушился многомегабайтный трафик, содержащий в себе тысячи бесполезных писем. Вскоре по получаемым письмам всем им удалось однозначно установить источник атаки - это был уже знакомый всем "американец". Нашим участникам пришлось сменить адреса, чтобы избавиться от потока писем, а также прекратить использовать свои реальные адреса в телеконференции. В адрес провайдера "американца" тут же были направлены письма с жалобами, содержащие данные, подтверждающие авторство их абонента в выполнении описанных действий. В телеконференцию также были направлены описания действий "американца". Тем не менее, все наши участники закрыли свои атакованные адреса и прекратили постинг с действующих адресов своих статей в телеконференцию. "Американец", чувствуя свою полную безнаказанность, начал с удвоенной энергией слать в телеконференцию статьи и рекламу.

    Продолжение следует?

    26 марта, среда. На новые адреса одного из наших участников обрушилась новая атака. Эти адреса оказались засвеченными в одной из телеконференций Usenet. На сей раз атаковали и почтовые ящики root пользователя корпоративного сервера, к которому был подключен данный участник. В результате пришлось срочно изменять название домена корпоративного сервера со всеми сопутствующими проблемами (оповещение клиентуры и проч.). Новая атака проводилась уже не с домена brainlink.com, а с пробных входов другого провайдера, расположенного в Нью-Йорке. Наш "американец" избрал себе в качестве "крыши" IBM.NET, но не стал ничего менять, и список листов рассылки однозначно указал на его авторство.

    Попутно был атакован и крупный корпоративный сервер, на котором находился адрес другого нашего участника. Там были атакованы все адреса, которые смог выявить "американец". Дело начало принимать новый оборот. Хулиган явно упивался чувством безнаказанности. А зря. К решению конфликта привлекли "самого главного" провайдера СНГ - kiae; попутно был включен forward всей почты с этих адресов "американцу". Результатом явилось то, что "американец" лишился своего адреса и страницы Web на brainlink.com и на CompuServe.com.

    Эпилог

    Каков же финал? "Американец" вновь всплыл в телеконференции. У него опять страница Web на brainlink.com, и пишет он с адреса на CompuServe.com. Однако после всего происшедшего с ним скорее всего никто не будет иметь дела.

    Выводы

    Мы уже читали и про психоделическую угрозу из Internet, и про сатанизм, и про другие негативные вещи. Рассматривались в основном Web-сервисы. Но незамеченной (или попросту игнорируемой) оказалась еще одна угроза - зарубежные корреспонденты в наших конференциях, пользующиеся своей безнаказанностью. Такие, как этот не в меру говорливый "американец". Что может сделать в подобной ситуации пострадавшая сторона? К сожалению, практически ничего.

    МОЖНО ЛИ УЛИЧИТЬ ЗЛОУМЫШЛЕННИКА?

    Читая заголовки

    Предположим, вас атаковали. Первая реакция - эмоциональная. Выражение типа "Какая сволочь это сделала?!" будет одним из самых мягких. Итак, попробуем выяснить, кто же это сделал - на конкретных примерах из практики.

    Так или иначе - но при массовом оформлении подложной подписки злоумышленнику вряд ли удастся избежать ошибок. Сообщения о них придут на ваш адрес - ведь подписка оформлялась от вашего имени путем подмены содержания поля From: в отправляемых хулиганом письмах.

    Пример 1.
    Вам пришло такое сообщение об ошибке:

    This is a MIME-encapsulated message
-VAA15680.858477601/relay2.langley.af.mil
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
The original message was received at 
Sat, 15 Mar 1997 20:52:16 -0500
from dyna73.remote.brainlink.com [206.127.34.73]
 --- The following addresses had permanent fatal errors -
LISTSERV@AMERICAN.EDU
 --- Transcript of session follows ---
554 LISTSERV@AMERICAN.EDU... relay traffic prohibited
554 LISTSERV@AMERICAN.EDU... Service unavailable
-VAA15680.858477601/relay2.langley.af.mil
Content-Type: message/delivery-status
Reporting-MTA: dns; relay2.langley.af.mil
Arrival-Date: Sat, 15 Mar 1997 20:52:16 -0500
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Final-Recipient: RFC822; LISTSERV@AMERICAN.EDU
Action: failed
Status: 5.5.0
Last-Attempt-Date: Sat, 15 Mar 1997 21:00:01 -0500
-VAA15680.858477601/relay2.langley.af.mil
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Received: from KuvfhLC 
(dyna73.remote.brainlink.com [206.127.34.73])
by relay2.langley.af.mil (8.8.5/8.8.5) with SMTP
id UAA15608 for LISTSERV@AMERICAN.EDU; 
Sat, 15 Mar 1997 20:52:16 -0500
Date: Sat, 15 Mar 1997 20:52:16 -0500
From: <атакуемый адрес>
Message-Id: <199703160152.UAA15608@relay2.langley.af.mil>
-VAA15680.858477601/relay2.langley.af.mil-

    Посмотрим на него. В поле From: указан ваш (атакуемый) адрес. Посмотрим поле Message-Id:, о котором в февральском номере LAN за 1997 год говорилось как о неопровержимом указателе на хулигана и его провайдера. На данном примере видно, что все совсем не так: тут просто указан промежуточный пункт Internet, обработавший исходное сообщение. Кроме того, ряд почтовых программ допускает произвольное изменение содержимого данного поля. Чтобы докопаться до автора, нам надо посмотреть на поле Received:. Эти поля значительно сложнее подделать. И обратите внимание на то, что таких полей может быть несколько. В нашем случае принимаем во внимание первое, самое нижнее. Именно там будет указана та точка входа, с которой инициировалась атака. В приводимом примере это нью-йоркский провайдер brainlink.com, и атака была предпринята с бюджета KuvfhLC (dyna73.remote.brainlink.com [206.127.34.73]). По этим данным провайдер нарушителя может однозначно установить (если, конечно, сочтет нужным), кто именно из его абонентов отправил письмо.

    Пример 2.
    Рассмотрим еще одно сообщение об ошибке:

    This is a MIME-encapsulated message
-LAC21521.859394583/relay2.langley.af.mil
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
The original message was received at 
Wed, 26 Mar 1997 11:36:08 -0500
from slip166-72-84-156.ny.us.ibm.net [166.72.84.156]
--- The following addresses had permanent fatal errors 
listserv@anthrax.ecst.csuchico.edu
 --- Transcript of session follows ---
554 listserv@anthrax.ecst.csuchico.edu... 
relay traffic prohibited
554 listserv@anthrax.ecst.csuchico.edu... 
Service unavailable
-LAC21521.859394583/relay2.langley.af.mil
Content-Type: message/delivery-status
Reporting-MTA: dns; relay2.langley.af.mil
Arrival-Date: Wed, 26 Mar 1997 11:36:08 -0500
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Final-Recipient: RFC822; listserv@anthrax.ecst.csuchico.edu
Action: failed
Status: 5.5.0
Remote-MTA: DNS; lfi-ms-ncc1.langley.af.mil
Last-Attempt-Date: Wed, 26 Mar 1997 11:43:03 -0500
-LAC21521.859394583/relay2.langley.af.mil
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Received: from fODdTcJN 
(slip166-72-84-156.ny.us.ibm.net [166.72.84.156])
by relay2.langley.af.mil (8.8.5/8.8.5) with SMTP
id LAA21040 for listserv@anthrax.ecst.csuchico.edu; Wed, 26 Mar 1997 11:36:08 -0500
Date: Wed, 26 Mar 1997 11:36:08 -0500
From: <атакуемый адрес>
Message-Id: <199703261636.LAA21040@relay2.langley.af.mil>
-LAC21521.859394583/relay2.langley.af.mil-

    Что мы можем выяснить из него? Атака проводилась, судя по всему, через демонстрационный (ознакомительный) бюджет нью-йоркского узла IBM.NET. В этом случае прямых доказательств, указывающих на абонента brainlink.com, уже не было. Но список лист-серверов - тот же самый, что и при первой атаке.