Опубликовано в журнале Новый Мир, номер 3, 2005
“Троянские кони, летящие на горшки с медом”
Высокие технологии развиваются настолько стремительно, что за ними не поспевают ни законодатели, ни службы безопасности. Электронные деньги и связанное с ними мошенничество становятся обыденным делом. Но далеко не всегда ясно — был ли нарушен закон. Иногда вроде бы очевидно, что нарушения были, но закона, который был бы нарушен, еще нет. Нужно его срочно принимать. А мы уже столкнулись с новым витком проблем. Простое перенесение привычной практики реального мира в мир цифровой оказывается некорректным. Сегодня существует огромный разрыв в понимании проблемы киберпреступности между тем, кто принимает закон, и тем, кто реально действует в цифровом пространстве. Деятели цифрового мира — иногда их называют хакерами — часто несравнимо лучше подготовлены, чем консервативные по своей природе законодательные и судебные власти. Как схватить за руку вора, если он действует за десятки тысяч километров от места преступления и от пострадавшего? Что такое доказательство вины, если все улики можно уничтожить совершенно бесследно или подделать абсолютно неотличимо?
Иногда нарушители сетевого спокойствия действуют вполне бескорыстно, хотя в последнее время такого рода “бескорыстие” встречается все реже и реже. Но называть людей преступниками без решения суда нельзя. А в киберпространстве часто бывает так: сначала происходит нечто вопиющее, а только потом задним числом разрабатывается и принимается закон. Так и было (а во многих странах и есть) со спамом. Но закон не имеет обратной силы (в цивилизованных странах).
DDoS-атака (Distributed Denial of Service Attack), или “распределенная атака на отказ от обслуживания” на сегодняшний день в Сети — явление довольно распространенное. Что оно собой представляет? Любой сайт расположен на каком-то физическом сервере и соединен с Интернетом каналами с конечной пропускной способностью. Если вдруг сотни тысяч людей захотят одновременно зайти на сайт, то сервер не справится с обработкой запросов, а каналы — с пропуском трафика. Если ситуация не дойдет до критической, то пользователю просто придется подолгу ждать ответ, но когда количество запросов превысит некоторый порог, ответы вообще перестанут приходить. И сайт будет заблокирован. Он перестанет существовать. Иногда это происходит случайно, когда вдруг всех начинает интересовать какой-то проект или новость и сервер не выдерживает. Так, например, было 11 сентября 2001 года, когда на сайтах американских информационных агентств загружалась ровно одна страница, на которой было сообщение: пользуйтесь другими средствами массовой информации. Но можно организовать DDoS-атаку и намеренно. Собрать побольше единомышленников и всем миром навалиться на нелюбимый сайт. Так тоже бывает, но такие случаи довольно редки: несмотря на всю коммуникабельность Сети, собрать народ для атаки не так-то просто.
В последние два-три года стало понятно, что DDoS-атаку может организовать и один человек, и связано это с таким явлением, как botnet (“bot” — личинка овода, “net” — сеть). Компьютер (особенно если это домашняя машина, а не надежно защищенная корпоративная сеть) может быть заражен троянской программой (“троянская” — это давно уже термин). Эта программа попадает на компьютер пользователя, как правило, при неосторожном обращении с электронной почтой (например, открытии вложений в письмо неизвестного происхождения) или когда злоумышленник использует уязвимости браузера и операционной системы. Особенность этой программы в том, что она может вообще ничего не делать, иногда в течение довольно долгого времени. Единственное, чем занят такой “троянский конь”, — он слушает Сеть. Чаще всего он слушает определенный чат. Компьютеры, зараженные троянскими программами, образуют botnet, который подчиняется командам удаленного хозяина. Иногда botnet включает несколько тысяч компьютеров по всему миру. Команда отдается в чате. Хозяин пишет совершенно невинную фразу, которая, кроме прочего, содержит имя сайта. “Личинки” ловят команду и начинают бомбардировать сайт автоматически порождаемыми запросами. Запросы идут из многих точек мировой Сети, идут с высокой частотой, и сайт, который они атакуют, начинает задыхаться, перестает отвечать на реальные запросы и, наконец, смолкает для всех его пользователей.
Авторитетная аналитическая компания IDC привела данные, согласно которым осенью 2004 года два из трех компьютеров, подключенных к Сети, были заражены троянскими программами или другими формами spyware — шпионского программного обеспечения. Даже если эти цифры серьезно завышены, ясно, что проблема имеет глобальный характер. Размеры бедствия стали предметом серьезного обсуждения, когда 26 июля 2004 года в течение нескольких часов были заблокированы сразу несколько поисковых систем, в частности Google (кроме того Lycos, Yahoo и Altavista), а ведь Google — это несколько десятков тысяч компьютеров, и наработка на отказ Google требует просто чудовищного трафика. А между тем он замолчал. Целью атаки, вероятно, была не сама поисковая система: подавляющее большинство запросов были составлены таким образом, чтобы в результатах поиска оказалось как можно больше почтовых адресов — вот эти-то адреса и интересовали организаторов атаки на поисковики. И вдруг сами поисковики не выдержали…
А теперь зададимся вопросом: нарушает ли закон человек, организующий DDoS-атаку или распространяющий троянские программы и контролирующий собственный botnet? Кажется, ответ очевиден: да, конечно. Ведь он может нанести (и наносит) реальные убытки. Но если мы спросим, какой именно закон нарушает такой человек, ответить будет гораздо труднее. Скажем, американец из штата Юта (в разных штатах США за распространение spyware предусмотрена разная ответственность, а в России, например, не предусмотрено никакой) может контролировать botnet, распространенный в основном на компьютерах Юго-Восточной Азии, а атаковать он может сайт, физически расположенный в Австралии. По каким законам преследовать этого хакера? Ответа на сегодняшний день нет. В статье, посвященной проблеме массового распространения шпионских программ, “New Scientist” <http://www.newscientist.com/article.ns?id=dn6616> привел показательный пример. Компания, занятая спутниковым телевидением, заказала и оплатила серию DDoS-атак на сайты конкурентов. Сайты были заблокированы. Конкуренты понесли серьезные убытки, пострадала их деловая репутация. Было проведено расследование, и компания, оплатившая атаку, была привлечена к суду. Сейчас появляются расценки на DDoS-атаку. Своеобразная услуга стоит сравнительно недорого — от 500 до 1500 долларов в зависимости от того, насколько большую сеть контролирует хакер и насколько долгое время должна продолжаться атака. Долго атаковать очень трудно. Как только троянская программа начинает порождать большой объем исходящего трафика, ее довольно быстро обнаруживают и, следовательно, могут уничтожить — например, обновив антивирус или установив межсетевой экран. Но сам факт появления цен на подобные услуги говорит о том, что бескорыстное вредительство уходит в прошлое, анонимная слава (а именно такова слава вирусописателя) не очень привлекает молодое поколение, а все больше привлекают реальные деньги.
Многие американские штаты рассматривают законы, направленные на борьбу со spyware. И впереди на лихом коне Арнольд Шварценеггер — губернатор Калифорнии, развивший осенью 2004 года прямо-таки нездешнюю активность в борьбе со шпионскими программами (а заодно и с нарушителями копирайта). Но ситуация совсем не простая. Компания “Lexmark” производит принтеры. И хорошие принтеры. Вдруг ее доброе имя возникло на новостных лентах именно в связи со spyware. Компанию обвинили в том, что она вместе с драйвером принтера устанавливает на компьютер пользователя дополнительную программу, которая ведет учет количества напечатанных страниц и износа картриджа и отсылает эту информацию на сайт “Lexmark”. Конечно, такая статистика представляет большую ценность для производителя, но санкции на установку программы пользователь не давал. “Lexmark” утверждала, что ничего подобного не делала, но, по-видимому, слукавила. В принципе, если бы “Lexmark” запросила разрешение на такого рода программу, многие пользователи дали бы его. Но она поступила своевольно. В этом случае видна зыбкость границы между санкционированными программами и spyware. Это может быть одна и та же программа, разница только в том, получила она разрешение на установку или нет.
Как только компьютер подключается к Сети не по телефонной линии, а через широкополосный доступ, например DSL-модем, он сразу же становится объектом интенсивных атак. Компьютеры, не защищенные межсетевым экраном и антивирусным пакетом, используются компаниями, собирающими статистику о вредоносном программном обеспечении. Эти машины называются “горшки с медом”. Причем речь не идет об участии человека в этих атаках, а только об автоматическом сканировании любых подключений, которое ведут десятки тысяч программ, прощупывающих Сеть.
Корреспонденты газеты “USA Today” провели эксперимент, продолжавшийся две недели. Они взяли шесть таких “горшков с медом” и попробовали выяснить, сколько “мух” они к себе приманят. При тестировании не учитывались атаки, требующие непосредственного участия самого пользователя, — например, заражения, полученные после посещения веб-сайтов (известно, что наибольшее количество заразы содержат именно порносайты), не учитывались и почтовые вирусы, для активизирования которых необходимо открыть вложение в электронное письмо. То есть экспериментаторы считали пользователя человеком предельно аккуратным. Но тем не менее попытки вторжения на тестовые компьютеры начались сразу после подключения к Сети, и интенсивность атак стремительно нарастала: в среднем 341 попытка в час против компьютера с операционной системой Windows XP. Девять попыток заражения закончились удачно. Одной аккуратности уже недостаточно, чтобы чувствовать себя в Сети спокойно, необходимы меры активной защиты, и особенно важен межсетевой экран, контролирующий общение компьютера с глобальной Сетью. А согласно информации той же IDC, 60 процентов пользователей Интернета просто не знают, что такое межсетевой экран и чем он отличается от антивируса.
Реальная опасность, которую представляет собой сегодняшнее состояние Сети, дала возможность очень многим людям, по своей профессиональной деятельности от проблем Интернета бесконечно далеким, заявить о необходимости ужесточения законов и введения жесткого контроля над Интернетом. Арнольд Шварценеггер здесь не одинок. В России чуть ли не все государственные чиновники высказались о необходимости регулирования Сети. А министр культуры Александр Соколов договорился до того, что назвал Интернет “стоглавой гидрой”, которая вышла из-под контроля. На что обозреватель “Вебпланеты” <www.webplanet.ru> язвительно заметил: “Зевс тебе в помощь, Геракл ты наш”. К сожалению, наши чиновники забыли старую истину: у каждой проблемы есть простое, ясное и неправильное решение. Но правильное решение, которое может оказаться очень сложным и идти к которому придется долго и трудно, часто буквально ощупью находя тонкие компромиссы, — такое решение искать все равно нужно. Пока ситуация выглядит примерно так: возникает некое явление, которое выглядит как нарушение, проходит время, оно классифицируется как преступление, и формулируется закон. Но привлечь к ответственности удается очень немногих, потому что само явление уже утратило актуальность и сменилось другим, столь же подозрительным. И так далее. И здесь как нигде необходимы терпение, внимание и компетентность, которой государственным чиновникам так часто недостает.