Первый раз — на спектакле о ведьмах в местном театре, второй — во время демонстрации нового программного продукта. Вообще я довольно часто присутствую на демонстрациях разных программ и в большинстве случаев боюсь разве что заснуть, но на сей раз сидела как на иголках. Эран Решеф, один из учредителей и вице-президент компании Perfecto Technologies показывал, почему он считает, что людям необходим разработанный компанией пакет для защиты Web-серверов от хакерских атак, который стоит ни много ни мало 50 тыс. долл.
На моих глазах Решеф превращал чуть ли не любой Web-сервер в личную площадку для игр. Хотя и он сам, и большинство технических специалистов компании — в прошлом бойцы элитного инженерного подразделения израильской армии, Решеф утверждал, что не обладает особым хакерским талантом, и свои способности оценивал как средние. По его словам, практически всякий, кто способен запустить свой Web-сервер, сможет остановить чужой, если обладает моральным кодексом взломщика. Те же самые навыки (и тут я испугалась не на шутку) могут быть использованы для извлечения с сервера конфиденциальной информации о его пользователях.
Я не хотела бы оповещать хакеров, которым попадется на глаза этот текст, об ожидающих своего часа «дырах» в защите серверов. Поэтому не буду называть те места, куда проникал Решеф, — но вы их наверняка знаете, а может быть, даже ведете там дела. Минут пятнадцать он редактировал HTML-текст и проделывал еще какие-то фокусы, после чего по экрану начинали ползти имена и пароли программистов сервера.
В разных электронных магазинах, включая принадлежащий одной из ведущих компьютерных фирм, Решеф клал товары в свою тележку, а потом изменял их цену, как ему вздумается. Он загрузил себе информацию о постоянных клиентах авиакомпании и описал мне, как на глазах шефа большой посреднической фирмы, работающей в Сети, заключал сделки от его имени.
«Это плохо, — заявил Решеф в какой-то момент своей демонстрации. — Игра окончена: я могу прямо сейчас сделать (на этом сервере) все, что захочу».
Защитники-рэкетиры?
Решефу не пришлось ни обходить брандмауэры, ни взламывать шифры. Для вторжений ему хватало Web-браузера и определенного ноу-хау, к которым иногда добавлялось чуть-чуть программного кода. Решеф (и, предположительно, хакеры, использующие свои способности не так безобидно) ищет Web-страницы с мелкими программистскими ошибками. Эти ошибки (как утверждает Решеф, большинство программистов время от времени их допускают) предоставляют в распоряжение знающего злоумышленника точку входа на сервер. А имея туда доступ, он может причинить любой вред.
Сам Решеф этого не делает — он порядочный человек, а на все свои вторжения предварительно получил согласие владельцев серверов. И все же, вспоминая Решефа, я невольно представляю его себе персонажем из сериала The Sopranos, который продает защиту от страшной банды налетчиков, освоивших высокие технологии.
Вскоре после того, как я присутствовала на демонстрации Решефа, мне попалось на глаза сообщение о том, что некий популярный сервер новостей (его я тоже не буду называть) был полностью выведен из строя одним или несколькими неизвестными хакерами. Я позвонила менеджеру сервера, чтобы узнать, было ли вторжение произведено по способу, показанному мне Решефом. Она ответила отрицательно. У них просто была проблема с FTP-сервером, которая теперь разрешена. Кроме того, она сказала, что описанное мною невозможно. «Вам не пришло в голову, что это может быть рекламой чудодейственного средства? — спросила меня менеджер. — Вот болезнь, а вот лекарство, которое нужно, чтобы ее вылечить?» Я решила, что это резонный вопрос, и навела некоторые справки.
«Проблема, с которой борется Perfecto, напрямую связана с деньгами, — возражает Майк Зборей, вице-президент и руководитель исследований в аналитической фирме Gartner Group. — Взгляните на типичный Web-сервер, сконфигурированный для использования в Сети. Люди, создающие эту конфигурацию, не особенно скрупулезны насчет лежащего в ее основе кода и насчет того, насколько надежно они обезопасили свой контент. Когда сервер готов к работе, они его запускают. Достаточно ли это хорошо для электронной торговли? Вероятно, нет».
Уже довольно давно Зборей предупреждает клиентов о том, что они должны усерднее заботиться о защите серверов от подобных вторжений, либо затыкая «дыры» самостоятельно, либо — в последнее время — покупая пакет Perfecto. Для убедительности он иногда был вынужден сам выступать в роли хакера. «Я делаю это далеко не так хорошо, как Решеф, но и мне удавалось получать неограниченный доступ к серверам. Я поступаю так, только чтобы показать незащищенность людей». Аналогичная демонстрация Решефа убедила Кая Педерсена, вице-президента по технологиям компании Quote.com, предоставляющей данные по финансовому рынку, что их серверу необходим пакет Perfecto. «Я решился на это, когда Решеф поменял мой пароль и получил права доступа к серверу», — объясняет Педерсен.
Ладно, я перепугана. И естественно, в первую очередь меня тревожит собственный кошелек. Я практически живу в Сети. Что же, моя жизнь и финансы — открытая книга для любого умного негодника, имеющего браузер? Все зависит от обстоятельств.
«Если бы у меня был магазин, я бы смертельно боялся, — говорит Зборей. — Если бы у меня был банк, я бы тоже смертельно боялся. И всякий, кто заведет в своей компании extranet-сеть, определенно должен побеспокоиться, если через нее ходят не подлежащие разглашению данные компании».
С другой стороны, считает Зборей, потребителям нечего волноваться по поводу состояния защиты в Web: «Я не боюсь пользоваться кредитной карточкой [в электронных магазинах], — компании, выдающие их, освобождают меня от ответственности за мошеннически произведенные траты на сумму более 50 долл.». Почти так же обстоят дела и в электронных банках: деньги вкладчиков застрахованы как от электронного, так и от любого другого грабежа.
Следите за своим кошельком
Несмотря на подобные заверения, при ведении дел в Сети следует все-таки соблюдать осторожность. «На большинстве серверов, где производится электронная торговля, обычно помещается информация о мерах безопасности с описанием способов защиты транзакций, — говорит Мэтью Девост, старший аналитик компании Security Design International, который консультирует по вопросам безопасности большие корпорации и фирмы, занимающиеся электронной торговлей. —Найдите этот текст и внимательно прочтите его перед вводом личной информации».
Если такого текста нет, а вам нужно от сервера больше, чем просто сделать покупку, позвоните в компанию и как следует расспросите знающего сотрудника о том, насколько хорошо обеспечена безопасность. Выясните, пользуются ли они услугами сторонней организации для проверки своей защиты. Обычно представители компаний неохотно сообщают подробности, поскольку не желают выдавать никаких секретов, но вам необходимо убедиться, что надлежащие меры по защите сервера от вторжения приняты.
«В настоящее время лишь небольшой процент клиентов звонит нам, чтобы спросить о безопасности, — рассказывает Педерсен из Quote.com. — В основном это те, кто разбирается в технологии и кого интересует, как мы защитим информацию, касающуюся стоимости их имущества. Но я думаю, что такие вопросы будут становиться все более обычным явлением по мере того, как люди начнут понимать уязвимые места. Я считаю, что они должны задавать подобные вопросы».
Нет безопасности в числах
Разумеется, Web никогда не освободится полностью от угроз для безопасности. «На свете много сообразительных людей, — говорит Девост. — И они всегда найдут дорогу к тому, что им нужно». К сожалению, нет простого способа определить, насколько безопасен сервер. Частично это связано с нежеланием администрации Web-узлов обнародовать информацию о защите, а частично — с ее беспечностью.
Девост считает, что рано или поздно должны появиться «знаки одобрения», которыми будут награждаться хорошо защищенные серверы. Уже существуют организации, выдающие аналогичные «знаки» серверам, где надежно охраняется личная информация, так почему бы не сделать и «знак» для безопасности?
Да, и еще одно. Если вы руководите Web-сервером, не бросайте вызов хакеру — это будет ошибкой. Я сказала Эрану Решефу о предположении менеджера сервера новостей, что бизнес-модель Perfecto основана на всучивании шарлатанского средства от несуществующей болезни. Через полчаса Решеф сообщил мне, что получил доступ к исходным текстам программ этого сервера, и добавил: «Это значит, что я могу сделать почти все, в том числе остановить сервер».
Поскольку Решеф — порядочный человек, сервер, о котором идет речь, остался целым и невредимым — на сей раз. Но если бы у меня был бизнес в Web или я имела бы планы его завести, я бы очень серьезно подумала о его безопасности.
ОБ АВТОРЕ
Кристина Вуд — редактор и автор PC World.