Развитие и распространение любой технологии имеет, обычно, как хорошие, так и плохие последствия. Internet — не исключение. С одной стороны, человечество получило мгновенный доступ к огромным массивам разнообразнейшей информации, теперь можно, не вставая со стула, установить контакты с самыми разными людьми. Но с другой стороны, пользователи уже стонут от огромного количества спама, борются с таким количеством сетевых злоумышленников, которое в обычной off-lineжизни невозможно.

Бытует мнение, что виртуальный мир глобальных компьютерных сетей опасен не более чем обычный физический мир. Если сравнивать эти миры в целом, то, наверное, так оно и есть, но если сравнивать эти миры с позиции среднестатистического российского пользователя, то эти миры будут значительно различаться. Проблема в том, что большинство из нас в своей нынешней реальной жизни, скорее всего, не соприкоснется, например, с жителями островов Полинезии, а вот в виртуальной жизни непременно столкнется с другой ментальностью и с другой совокупностью морально-этических принципов.

С 2005 года по инициативе Николаса Негропонте развивается программа «Ноутбук каждому ребенку» (One Laptop per Child, OLPC). Компьютерами, питаемыми от генератора, приводимого в движение мускульной силой человека, однако, поддерживающих беспроводные сетевые технологии, предлагается осчастливить все «слаборазвитые» страны и тем самым преодолеть «цифровое» неравенство. Намерения благие, но если все эти компьютеры подключить к Сети, то все пользователи из слаборазвитых стран начнут «развиваться», а плохому, как известно, учатся гораздо быстрее, чем хорошему. Оставим в стороне вирусы, трояны и прочие вредоносные программы — о них написано много и подробно, — а остановимся на менее известных, но не менее значимых угрозах.

Атаки на информационную инфраструктуру

К информационной инфраструктуре Internet относят адресное пространство (все множество IP-адресов) и систему доменных имен (Domain Name System, DNS). Адреса необходимы для маршрутизации, а имена для того, чтобы не запоминать цифровые IP-адреса. Соответствия между именем и адресом устанавливает DNS-сервер. Все пространство имен иерархическое, и для получения необходимого адреса нужно обойти множество серверов. Задайтесь вопросом: много ли IP-адресов вы знаете? По какому адресу размещен, например, yandex.ru или www.osp.ru? Имя заменяет адрес, но не отменяет его. Компьютеры в сети все равно устанавливают соединения между собой, используя адреса. А что произойдет, если вывести из строя или существенно затруднить работу системы доменных имен? Перестанет «ходить» почта, не будут открываться страницы сайтов.

Атаки на DNS

Уязвимость DNS «энтузиасты» проверяют регулярно, обычно каждые пять лет. Седьмого февраля 2007 года атака на три корневых DNS-сервера длилась несколько часов и стала самой мощной с 2002 года. Тем не менее она — благодаря современным технологиям защиты системы доменных имен — осталась практически незамеченной для большинства пользователей Сети. Хакеры намеревались с помощью большого количества бессмысленных запросов добиться перегрузки основных DNS-серверов., которая должна была привести к нестабильной работе значительного числа серверов по всему миру. Нападавшие пытались скрыть свое местонахождение, но, тем не менее, эксперты установили, что основная часть хакерских запросов исходила из Южной Кореи.

Атака 21 октября 2002 года заставила разработать новые требования к функционированию корневых серверов, технологиям их подключения и географического размещения. Пол Вакси (ISC), автор наиболее распространенного сервера DNS — BIND, приводит следующие параметры этой атаки: каждый сервер во время атаки должен был обслужить поток от 50 до 100 Мбит/c; общий объем составлял примерно 900 Мбит/c; трафик в основном состоял из пакетов ICMP, TCP SYN и UDP; адреса источников были рандомизированы и на момент атаки присутствовали в таблицах маршрутов. Из тринадцати корневых серверов восемь оказались практически недоступны.

Подобным атакам периодически подвергаются не только корневые DNS-серверы, но и серверы регистраторов доменных имен, и серверы хостинг-провайдеров, и корпоративные серверы доменных имен. Например, только на DNS-серверы российского регистратора доменных имен компании RU-CENTER злоумышленники в сентябре-октябре 2007 года «наливали» по 300-400 Мбит/c. Серверы выдержали, но подобные показатели — не предел.

Основной источник запросов — взломанные компьютеры обычных пользователей, и количество таких компьютеров можно оценить, например, по остаточному «вирусному» DNS-трафику. Программы-трояны действуют по командам, которые они сами запрашивают с управляющих компьютеров. Имена и адреса этих компьютеров постоянно отслеживаются и блокируются антивирусным программным обеспечением. Заблокированные имена уже никому не нужны, и они «выгорают» — удаляются из доменных зон. Тем не менее взломанные компьютеры продолжают посылать запросы на эти имена, что и фиксирует система DNS.

К примеру, в национальном домене RU первые несколько сотен наиболее популярных доменных имен — это не имена поисковых систем или систем бесплатной почты, а имена доменов, на которые вирусы посылали запросы или отчеты. Причем «затрояненные» машины имеются практически во всех блоках IP-адресов, которые выделены RIPE NCC для работы в России и предназначены для подключения конечных пользователей. К слову сказать, на одну Москву выдано 127 млн. IP-адресов, распределенных по 52 тыс. блоков. Развитие широкополосного доступа в столице и рост числа подключенных таким образом пользователей чреват и увеличением количества взломанных персональных компьютеров, тем более что рост во многом обусловлен подключением пользователей старших возрастных категорий, которые рассматривают Сеть в качестве источника информации и не искушены в технологиях защиты.

Фишинг

Фишинг — атака на конечного пользователя сети с использованием ресурсов инфраструктуры, а именно системы доменных имен. Само название «phishing» возникло от соединения двух английских слов: password — пароль и fishing — рыбная ловля. Уже из названия можно догадаться, что фишеры всевозможными способами пытаются «выудить» у пользователей личную (секретную) информацию: пароли, например, от банковских аккаунтов, номера кредитных карт и т.д. На первый взгляд, это сделать очень сложно, однако мошенники придумали вполне работоспособную схему — они организуют массовые рассылки электронных писем от имени популярных брендов, например, от имени крупного банка. В эти письма они вставляют ссылки на фальшивые сайты — копии настоящих. Перейдя по такой ссылке, клиент компании введет свои логин и пароль и отправит личные данные прямо в руки злоумышленнику.

Опасная сетевая «чума» докатилась и до нашей страны, подтверждением может служить история с компанией Yandex. В ночь с 15 на 16 мая 2007 года была зафиксирована фишинговая атака на пользователей электронной платежной системы «Яндекс.Деньги». Фишеры рассылали по российским почтовым адресам от имени администрации службы сообщение следующего содержания: «Уважаемый пользователь! Согласно пункту 4.6.2.5. Соглашения об использовании Системы «Яндекс.Деньги», Ваш счет заблокирован. Необходима реактивация счета в системе. Для реактивации проследуйте по ссылке либо свяжитесь с одним из наших операторов». Для того чтобы ввести пользователя в заблуждение, фишеры не просто сочинили текст от имени администрации платежной системы, но и использовали визуальный обман: зарегистрировали домен, написание которого визуально похоже на написание yandex — yanclex.ru. Сочетание латинских букв c и l при беглом прочтении можно вполне принять за букву d.

Бум фишинга на Западе пришелся на 2003 год, когда ФБР назвала его «самой свежей и наиболее тревожной новой угрозой в Internet». Теперь же расцвет фишинга наблюдается и в России — если в прошлом году атаки русских фишеров были редки и не отличались особой изощренностью, то в нынешнем они уже признаны самыми опасными в мире.

Другой пример — атаки на ЗАО «Райффазенбанк Австрия». Прошла массовая рассылка писем якобы от службы по работе с клиентами, в которой говорилось, что в банке проводится модернизация системы безопасности и клиентам нужно щелкнуть по приведенной в письме ссылке и обновить свои данные. Ссылка вела на посторонний сайт, который внешне повторяет страницу входа в онлайновую систему Raiffeisen Connect, через которую можно отслеживать состояние счетов, а при наличии кода PIN2 и проводить с ними операции. Впрочем, фишеры осложнили себе задачу тем, что написали свое письмо с огромным количеством ошибок. С другой стороны, в письме мошенники подставили обратный адрес в домене raiffeisenbank.ru, действительно принадлежащем банку, и поэтому фильтры фишинга браузеров на поддельный сайт не среагировали.

Фишинг-страницы создаются с таким расчетом, чтобы не вызвать подозрения у пользователя, и хотя внешне они действительно похожи, имеется ряд признаков, выдающих мошенников.

  • Адрес страницы. Серьезные организации имеют достаточно простые доменные имена, и в них никогда не содержится IP- адрес. Например, адрес типа 134.67.35.41/pub/www.bankofamerica.com/index.php сразу должен вызвать подозрение — это не сайт Bank of America. Упомянутый адрес можно «подозревать» и с точки зрения того, что последовательность между повторяющимися «/» в адресе страницы названа по аналогии с адресом настоящего банка -фишеры надеялись отвлечь внимание от IP-адреса и запутать пользователя. Но адреса фишинг-страниц могут быть и без IP, например, kuuku.pochta.ru/www.bankofamerica.com/index.php, где фишеры надеялись замаскировать реальный домен страницы (kuuku.pochta.ru) и получить личные данные клиентов банка.
  • Наличие защищенного соединения (https://… в адресной строке страницы). Любой банк или подобная организация для доступа пользователей к своему аккаунту используют защищенные протоколы, а вот фишеры — пока еще нет.

Следующие признаки потребуют знания некоторых основ языка html и годны, скорее, для автоматизированной проверки страниц на фишинг, чем для индивидуального анализа.

  • Адресат вводимых данных в формы. Посмотрев на адрес скрипта, который получает данные из форм, можно многое сказать о странице. Например, если испытуемая страница банка отсылает данные на адрес типа aleksweb1.by.ru/script.php, то сразу ясно, что за страницу мы открыли.
  • Изображения и скрипты. Часто фишеры на своих доменах держат только саму страницу или «скелет» сайта — html(php) файл(ы), а наполнение (изображения, скрипты и пр.) загружаются с хостинга организаций, под чьи сайты маскируется страница. Подобное не может не настораживать — сложно представить ситуацию, когда владелец сайта не имеет возможности держать весь сайт на одном хостинге.
  • Ссылки. Встроенные в фишинговую страницы ссылки, для большей схожести с реальными сайтами, ведут на страницы настоящих, не фишинговых сайтов, фальшива только одна страничка, на которой нужно ввести данные. Это тоже можно использовать для выявления фишинга — нужно всего лишь сравнить домены, на которых располагается мультимедиа, страницы сайта, адресаты ссылок и форм. Для правильной страницы они все должны быть одинаковыми. Бывают и «наскоро сколоченные» фишинговые страницы, ссылки на которые ведут просто на ту же самую страницу или на несуществующий адрес. Это также весьма серьезный показатель опасности.

Многие браузеры, такие как Internet Explorer 7 или Mozilla Firefox 2, имеют встроенные фильтры распознавания фишинга и предлагают динамическую защиту для обеспечения безопасности пользователей, большинство из которых не могут сами отличить настоящий Web-узел от мошеннической копии. Благодаря интерактивной службе, обновляющейся несколько раз в час, фильтры фишинга в упомянутых обозревателях объединяют новейшую информацию о поддельных Web-узлах и делятся ею с пользователями, чтобы заблаговременно предупреждать их об опасности.

Захватчики доменов

Обычно в качестве доменного имени используется какое-либо краткое словесное обозначение, отождествляемое пользователем с владельцем домена: фрагмент наименования или товарного знака для юридических лиц и фамилия или псевдоним для физических лиц. Помимо этого регистрируются более общие слова в качестве доменного имени (car.ru, mashuk.ru), номера телефонов и иные обозначения. Такие пользователи регистрируют домены для собственных нужд и именуются добросовестными. Однако есть еще киберсквоттеры — сетевые деятели, пытающиеся извлечь выгоду из регистрации доменного имени, к которому не имеют ни малейшего отношения, с целью его перепродажи владельцу сходного средства индивидуализации (еще не имеющему домена) или иному заинтересованному лицу.

Киберсквоттеры не нарушают закон, но пользуются отсутствием четкого правового статуса доменного имени (в российском законодательстве доменное имя соотнесено только с товарным знаком). Целью киберсквоттеров чаще всего становятся крупные компании, у которых рано или поздно возникает необходимость в собственном сайте. Иногда (если речь идет о владельцах товарных знаков) правообладатели подают на киберсквоттера в суд, но чаще бывает так, что начинаются переговоры, результатом которых становится покупка/продажа доменного имени по цене, в тысячи раз превышающей стоимость регистрации домена.

Иногда киберсквоттеры претендуют на уже зарегистрированный домен и пытаются его заполучить. Способы при этом используются разные, но самый распространенный — предоставление регистратору поддельных документов.

Тайпсквоттинг — еще одна проблема, связанная с мошенничеством, жертвами которого становятся самые обычные граждане. Тайпсквоттинг возможен благодаря:

  • вариативности написания того или иного доменного имени (ru-center / rucenter);
  • ошибкам в его написании (skoda — shkoda, kommersant — commersant);
  • неверному указанию домена верхнего уровня (классическим примером тайпсквоттинга является сайт www.whitehouse.com — истинный сайт Белого дома находится по адресу www.whitehouse.gov).

Только в расчете на то, что пользователь при наборе адреса сайта пропустит точку после www, в домене RU зарегистрировано 284 домена второго уровня. Для обычного пользователя www.lenta.ru и wwwlenta.ru — это почти одно и то же, а с «компьютерной» точки зрения — это совершенно разные домены (домены второго уровня — lenta и wwwlenta). Экономический расчет прост: ошибки в наборе популярных доменов люди будут делать всегда, а значит, будет и устойчивая посещаемость доменов-двойников, на которых размещена реклама. Реклама на подобных доменах вполне способна не только окупить затраты мошенников на содержание доменных имен, но и приносить серьезный доход, вне зависимости от того, удастся ли их когда-либо продать или нет.

В России Роспатент обоснованно настаивал на недопустимости регистрации доменов, коммерческое использование которых может нанести вред владельцу созвучных товарных знаков, однако российские законодатели ограничились лишь внесением в Закон о товарных знаках поправок. В этих поправках нарушением прав владельца товарного знака признается включение в доменное имя обозначения, совпадающего или сходного до степени смешения с зарегистрированным товарным знаком.

В последнее время внимание международного интернет-сообщества сконцентрировано еще на одной проблеме — хайджекинге (от англ. hijacking — риск захвата доменных имен). Речь идет о похищениях доменов — преступном присвоении доменных имен, по праву принадлежащих их законным владельцам. Похищение домена может иметь самые неприятные последствия и нанести серьезный материальный ущерб владельцу домена, вплоть до разрушения бизнеса компании. «Сопутствующий ущерб», как правило, несут клиенты и деловые партнеры владельца украденного домена. Происшествия, связанные с похищением доменных имен, зачастую являются результатом ошибок при регистрации, несоблюдения правил передачи доменов, пренебрежения элементарными правилами регистрации и использования доменов регистраторами, их партнерами и самими владельцами доменов.

Владелец домена обычно приобретает его для того, чтобы создать сайт и разместить на нем определенную информацию. В отличие от IP-адресов, доменное имя выполняет такую важную функцию, как индивидуализация сайта. Чем богаче история сайта, тем ценнее и узнаваемее становится его доменное имя, это похоже на «историческую ценность» ювелирного изделия, полученного человеком по наследству. Если доменное имя представляет собой некую ценность, оно становится мишенью для мошенников.

Ведение дел под именем sex.com принесло миллионы долларов как исконному владельцу домена, так и похитителю домена, и любой, кто смог бы успешно зарегистрировать такое имя и организовать аналогичный бизнес, добился бы точно такого же финансового успеха. Были случаи, когда домен похищали с целью инициирования публичного скандала и нанесения урона имиджу и деловой репутации владельца домена, что приводило к потере клиентов и доверия потребителей. Известны случаи кражи доменных имен для шпионажа за их владельцами.

Громким делом стала потеря крупной интернет-компанией домена panix.com в 2005 году. Домен был передан новому владельцу с нарушением процедуры подачи документов о передаче домена. В данном случае имела место вина регистратора, не уделившего достаточного внимания формальному соблюдению процедуры передачи домена (принимающий регистратор не получил одобрения от владельца домена). Приведенный пример далеко не единственный. В разное время из-за подделки тех или иных документов своих владельцев несанкционированно меняли домены: Sex.com, ClubVibes.com, Commercials.com, iFly.com, Hackers.com, Wifi.com, Nike.com, Babayiz.biz, HZ.com, HushMail.com, Ssk.org, Ebay.de.

Похищение доменов случается и в зоне RU, но чаще всего кражи происходят в домене COM из-за упрощенной процедуры регистрации и передачи прав на домен. Как и любые другие воры, похитители доменов выбирают для кражи самые дорогие объекты. Например, домен Sex.com был украден путем передачи поддельного факса и возвращен законному владельцу спустя семь лет после похищения (после этого законный владелец тут же продал домен за 12 млн. долл). Но справедливость не всегда торжествует. Некоторые похищенные домены так и не были возвращены их законным владельцам (например, Hackers.com, Wifi.com).

Часто похищение доменов осуществляется по принципу, который лучше проиллюстрировать конкретным примером с доменом Commercials.com. Злоумышленник выбрал своей целью домен, для которого в контактных данных был указан адрес электронной почты владельца, созданный в другом домене (владелец Commercials.com указал e-mail rent@blinktv.net). Злоумышленник начал следить за состоянием регистрации домена blinktv.net и, когда истек срок его регистрации, он совершенно законно зарегистрировал это доменное имя. После этого новоиспеченный владелец настроил DNS так, что все электронные сообщения любому пользователю @blinktv.net, доставлялись в его почтовый ящик. Затем под видом владельца домена Commercials.com он запросил у регистратора пароль, с помощью которого смог отправить запрос для передачи домена новому владельцу.

В российской практике также есть аналогичные примеры. Когда владелец домена, совпадающего с названием одного подмосковного города, обнаружил, что домен перешел к другому лицу, он обратился в правоохранительные органы. На основе его заявления было возбуждено уголовное дело по ст. 327 УК РФ (подделка документов) и ст. 159 ч. 2 УК РФ (мошенничество с причинением значительного ущерба). Правонарушителя ждет до семи лет лишения свободы.

Порой обладатели теряют свои домены из-за собственной халатности, забывая вовремя производить оплату перерегистрации на следующий срок. В этом случае домен удаляется из базы и его может зарегистрировать другое лицо. Именно таким образом, по вине провайдера, в зоне COM «потерял» свой домен издательский дом «Коммерсантъ» в конце 90-х годов. Обратно имя пришлось отбирать уже в судебном порядке у оперативно зарегистрировавшего освобожденный домен киберсквоттера. Такие известные домены, как rocit.ru, dni.ru и портал Lycos.ru, на время оказывались отключенными по аналогичным причинам, правда, до потерь дело не доходило. Забывали продлевать домены и крупные компании в других зонах. Например, в «подвешенном» состоянии оказывались домены популярного журнала «eWeek» (eweek.com), газеты «Washington Post» (washpost.com).

Иногда при регистрации корпоративных доменных имен сотрудники фирмы регистрируют домены на себя лично, а не на юридическое лицо. В этом случае при увольнении они подчас «забирают» с собой корпоративные домены.

Нередки случаи возникновения споров по поводу принадлежности домена, связанные с превышением полномочий должностных лиц: оспариваются полномочия лица, подписавшего письмо о передаче домена (когда наемные менеджеры «уводят» домены у владельцев компании).

Сегодня доменные споры решаются и в пользу владельцев товарных знаков, и в пользу владельцев доменов. Многое зависит от обстоятельств дела, от представленных доказательств, кроме того, имеет значение квалификация представителей сторон, знание предмета и процессуальных норм. Российские судьи, так же как и их зарубежные коллеги, при рассмотрении доменных споров в 80% случаев выносят решения в пользу правообладателей товарных знаков. В месяц в российских судах проводится порядка десяти-двенадцати судебных заседаний по спорам о доменах. Бывает, слушания растягиваются на годы, иногда спор разрешается судом за три месяца. Наметилась такая тенденция: истцы, владельцы товарных знаков, кроме требований о запрещении использования знака в доменном имени, заявляют требования о взыскании денежной компенсации за незаконное использование товарного знака — уже были взысканы суммы в 500 тыс. и 1 млн. рублей.

Агрессивная среда

Распределенные атаки на инфраструктуру, фишинг и кражи доменных имен чреваты для жертв как материальными, так и моральными потерями, причем возможна полная потеря бизнеса из-за действий злоумышленников. Следует четко понимать, что и организация систем для распределенных атак, и разработка фишинговых технологий и, тем более, доменные войны — это бизнес, в который вкладываются огромные средства.

Расширение Internet — это расширение всех без исключения видов бизнеса, с ним так или иначе связанных, и если не развивать технологии информационной безопасности, то агрессивность Сети будет возрастать по мере присоединения к ней все большего числа пользователей, не разделяющих мировозрения житетелей развитых стран Старого и Нового Света. n

Андрей Воробьев (vaa@ripn.ru) — начальник отдела РосНИИРОС, Павел Сергеев, Павел Храмцов (paulkh@yandex.ru) — сотрудники РНЦ «Курчатовский институт» (Москва).


По статистике Gartner, количество фишинговых махинаций за последние два года выросло в два раза. На уловки сетевых злоумышленников попадаются миллионы пользователей Сети, причем каждая из жертв теряет в среднем 1300 долл. США.

Количество фишерских рассылок, заманивающих пользователей на подставные сайты, растёт на 56% в месяц, утверждает Anti-Phishing Working Group. По подсчётам группы, жертвами фишеров становится каждый десятый получатель поддельных писем. А аналитики Gartner называют приблизительное общее число жертв только в Америке — 1,78 млн. — и приводят приблизительную сумму, похищенную у американцев с помощью краденых реквизитов — 2,4 млрд. долл.


Сколько киберсквоттеров в России?

Официальных данных по числу киберсквоттеров нет — их и не может быть, так как это явление не определено законодательно. Однако есть статистические данные РосНИИРОС, оператора реестра домена RU, которые позволяют косвенно судить о масштабах киберсквоттинга в России. Например: 36,5% (в 2004 г. — 77,3%) владельцев доменов зарегистрировали по одному доменному имени, по два домена — у 12% владельцев, тремя доменами владеют 6,7% администраторов, четырьмя — 4,7%. В ведении 3,5% владельцев находятся по пять доменных имен. Свыше пяти и до десяти доменов у 7,3%, от одиннадцати до двадцати — у 8,3% владельцев, свыше 20 до 50 — у 8,14%, свыше 50 и до 100 — у 4,3%. Если в 2004 году лишь менее чем у 0,1% владельцев было сосредоточено в одних руках свыше ста доменов второго уровня, то в начале 2006 года таких владельцев насчитывалось уже более 8,1%. Максимальное число доменов, зарегистрированных на одно лицо, составляет 1638 (в 2004 г. — 1047).