Как уже сообщал Ъ (см. номер от 19 августа), в середине минувшего месяца в западной печати были преданы огласке сведения об аресте около года назад в Англии петербургского математика Владимира Левина, который сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и похитить $400 тыс. (по другим данным — $2,8 млн). Дело Левина привлекло пристальное внимание российских СМИ. Обсуждалась главным образом юридическая сторона проблемы защиты от "электронных похитителей", против которых российское законодательство пока бессильно. Однако, если российские банки и другие структуры, оснащенные современными компьютерными технологиями, будут учитывать, в каких не только правовых, но и технических и организационных условиях возможны подобные преступления, они смогут значительно снизить вероятность их совершения. Кроме того, чтобы успешнее бороться с "преступниками технотронной эры", полезно представлять себе их психологию.
Рассказывают обозреватели Ъ АЛЕКСАНДР Ъ-КОНДРАТЬЕВ и АЛЕКСАНДР Ъ-МАЛЮТИН.
Программные продукты — будь то несложная головоломка MineSweeper ("Сапер") или серьезная система автоматизации банка — создаются живыми людьми, поэтому в них почти наверняка есть хитрости, созданные умышленно или возникшие по недоразумению. Зная некоторые особенности MineSweeper, о которых ее авторы в документации скромно умалчивают, можно играть в эту игру феноменально быстро и без единой ошибки, хоть на пари. А обнаружив недостатки программной системы коммерческого банка, можно доставить ему массу неприятностей. Но не каждому такое по силам. Обнаружение "дыр" в компьютерных системах требует фанатизма и высочайшей квалификации — системы ведь тоже не дураки создают. Тех, кто обманывает создателей сложнейших компьютерных систем, называют суперпрограммистами или "хакерами", и Владимир Левин, несомненно, принадлежит к их числу.
Internet — открытая дверь для хакера
Как же мог хакер, сидя в Петербурге, попытаться взломать сейфы американского банка Citibank? Одна из причин того, что такое возможно в принципе, заключается в следующем: внутренняя компьютерная сеть Citibank, предназначенная, по идее, исключительно для сотрудников и клиентов банка, посредством глобальной системы Internet связана с тысячами других компьютерных сетей во всем мире. Это позволяет предоставлять сотрудникам и клиентам Citibank дополнительные услуги, например, по управлению своим счетом из любой точки мира, но в то же время таит в себе особые опасности. Хакер, которому известны ошибки или намеренно созданные "дырки" программного обеспечения Internet или системы Citibank, может выдать себя за клиента банка и вдоволь поуправлять каким-нибудь счетом по своему усмотрению.
Сразу оговоримся: достоверная информация о том, какой именно "дыркой" воспользовался Левин, содержится американцами в секрете (если, конечно, сами знают), поэтому в отношении техники "взлома" можно лишь строить более или менее правдоподобные предположения. Специалист по защите информации из Федерального агентства правительственной связи и информации, к которому мы обратились за консультацией, не исключил, что Левину удалось обнаружить некий недостаток программного обеспечения Internet, частично напоминающий тот, что семь лет назад позволил известному суперхакеру Моррису проникать практически в любой компьютер, имеющий выход на Internet.
Понятно, что сейчас опыт Морриса вчистую уже не повторить и Левин явно действовал иначе, но для иллюстрации того, как это делается, упрощенную схему атаки Морриса мы здесь все же приведем. Хакер разузнал, что в системе электронной почты Internet имеется возможность послать на чужой компьютер программу, замаскированную под безобидное текстовое сообщение. Согласно документации, такие сообщения не должны были превышать некоторого достаточно большого размера. Авторы системы не подумали, что в мире обязательно найдется человек, который установленный ими порядок попробует нарушить. Что же происходило, когда "почтовый ящик" получал слишком большое сообщение? Казалось бы, его "хвост" должен был попросту стираться. Однако все происходило по-другому. "Хвост" не уничтожался, а переправлялся в то место системы, где хранятся программы, ждущие своей очереди на выполнение. Если большое сообщение было полностью текстовым, то ничего более страшного, чем "зависание", с компьютером-получателем в этом случае не происходило. Но если в "хвосте" содержалась действительно программа, то она спустя какое-то время начинала работать и могла делать все, что только вообще может сделать компьютерная программа.
Моррис хотел, чтобы его программа в нужный момент была в состоянии уничтожать информацию выбранных им жертв. Клиентов Internet спасло лишь то, что сама хакерская программа была написана с ошибками, и Морриса быстро разоблачили.
После этой истории программное обеспечение Internet подверглось тщательнейшей ревизии, многие ошибки были исправлены, а "дырки" закрыты. Поэтому эксперт фирмы Sovam Teleport (одна из фирм, осуществляющих подключение к Internet) начисто отрицает предположение о вине Internet во "взломе" Citibank: "Можно ли обвинять авиакомпанию в том, что на ее самолете в город прилетел взломщик, нашел в городе банк и ограбил его? Да, конечно, если некий банк подключается к Internet, то в нем как бы появляется еще одна дверь. Так надо же, наверное, дверь на замок запирать".
Человеческий фактор в системе безопасности
Эту аналогию — с дверью в банк — продолжил в беседе с корреспондентом Ъ источник, близкий к сообществу питерских хакеров, в которое входил и Владимир Левин: "На двери в Citibank замок, разумеется, висел. Но ключ от него, верите ли, лежал под ковриком. В этом банке еще год назад была одна из самых слабых в мире систем защиты от несанкционированного доступа в корпоративную сеть. Ничего удивительного, что там перебывала половина питерских сетевых хакеров — и самых сильных, и не самых. Володю, я думаю, кто-то просто подставил. Его поймали, а с декабря прошлого года в Citibank установлена новая система защиты. Вот и рискнули теперь шум поднять. Понятно: сейчас для взлома Citibank нужна и впрямь очень высокая квалификация". По словам нашего эксперта, сегодня в Москве имеется примерно 10 программистов "суперквалификации", в Петербурге — 20-30, а в других городах России таких умельцев нет. Приводя эту оценку, мы не можем, справедливости ради, не повторить вкратце официальный комментарий Citibank (подробнее см. номер от 19 августа): случай с Левиным — первый в истории Citibank, попытка взлома была сразу обнаружена, и каналы возможных хищений перекрыты.
Как бы там ни было, то, что на хакерском сленге именуется "ключом под ковриком" и относится к системам защиты информации в корпоративных компьютерных сетях, на наш взгляд, нуждается в пояснении. Авторитетная американская организация NCSC в своей "Оранжевой книге" определила семь степеней защиты информации — от полной открытости (степень D) до практически абсолютной недоступности (A), которая в силу невероятной дороговизны целесообразна разве что для исключения хулиганского запуска ракеты с ядерной боеголовкой. Считается, что американский банк может чувствовать себя в безопасности, если пользуется второй по силе степенью защиты (B1), но банки предпочитают пятую степень (C2), экономя деньги и рассчитывая на авось. Российские же банки пока "выручает" низкий уровень наших телекоммуникаций, что затрудняет действия хакеров. Если же российский банк внедряет передовые технологии, то и он попадает в зону риска. Источник, пожелавший остаться неназванным, сообщил, что вскоре после запуска Тверьуниверсалбанком своего проекта международных пластиковых карточек (Ъ писал об этом), кто-то попытался "залезть" в этот банк из-за рубежа.
Но технический и экономический аспекты проблемы — не единственные. Специалист ФАПСИ в беседе с корреспондентом Ъ несколько раз повторил, что "проблема защиты информации — это во многом проблема персонала корпорации". И дело не только в том, что в Citibank могли работать сообщники петербургских хакеров, просто пользователи сетей вообще склонны пренебрегать элементарными правилами защиты информации. Например, правилами придумывания паролей на вход в систему. Существуют (и приводятся в хакерской периодике) специальные каталоги буквосочетаний, наиболее часто употребляемых в качестве пароля, изучается психология людей, которым приходится пароли придумывать. Так что если вы Иванов, не берите себе пароль "Иванов", "Ivanov" или "Ivan". Даже "Sidorov" не берите, потому что для настоящего эксперта угадать такой пароль г-на Иванова ничуть не сложнее.
С точки зрения служб защиты информации в банках, более или менее хороший пароль выглядит примерно так: "4о)F^_!ДБ%~N9-Ф(", и менять его надо раз в неделю. Но кто, скажите, в здравом уме добровольно согласится на эту пытку? К тому же сама технология работы в сети иногда вынуждает пользователей заводить себе примитивные пароли. Ъ уже рассказывал (см. номер от 3 июня) о том, что работа брокеров на валютной бирже одно время была организована так, что коммерческое преимущество получал тот участник биржевой игры, кто "пропишется" в системе раньше всех. Неудивительно, что наибольшее распространение на этой бирже получил пароль, набираемый одним-единственным нажатием клавиши Enter.
В корпорациях идет бесконечная война нерадивых пользователей и бдительных администраторов компьютерных систем. Допустим, администраторы исправляют систему, делая невозможными "прозрачные" пароли типа Enter. Новый сложный пароль кажется пользователю слишком трудным для запоминания. Он прикрепляет к монитору компьютера самоклеющийся листочек Post-It с этим паролем. Через несколько дней администратор обнаруживает этот листок и устраивает скандал. Тогда пользователь выбрасывает листочек... и записывает свой "хороший" пароль в текстовый файл на жестком диске.
Вот с этого-то момента, если компьютер подсоединен к сети, имеющей выход в Internet, пароль незадачливого пользователя становится доступен хакерам всего мира. Именно это имел в виду наш консультант, заявивший, что "год назад пароли работников Citibank валялись повсюду" в его компьютерной сети. Итак, самое уязвимое место любой технической системы — чисто человеческое разгильдяйство.
Плюсы и минусы высокой квалификации
Лет десять назад, в эпоху начала перестройки, зарубежные фирмы с удовольствием стали брать на работу специалистов из СССР. Что может быть лучше русского гения, знающего компьютер до тонкостей и согласного на зарплату американской уборщицы?
Тем не менее мода на яйцеголовых из России быстро пошла на убыль. Оказалось, что ведущие русские программисты действительно очень талантливы, но мало кто из них способен на ежедневную рутинную работу. По словам начальника отдела информатизации Русского продовольственного банка Алексея Рассказова, не так давно он принял на работу нескольких хакеров. Но вскоре был вынужден уволить, обнаружив их на редкость малую пригодность к методичному созидательному труду.
Пока что подавляющее большинство российских банков не имеют полноценного выхода в Internet. Необходимость этого дорогого удовольствия для России неочевидна, а штучки хакеров с каждым днем все изощреннее. Но уж если жизнь заставит, то к появлению в банке новой электронной двери следует отнестись самым серьезным образом. По словам г-на Рассказова, он намерен перед вступлением в Internet попросить питерскую группу хакеров взломать сеть его банка. Если они не сумеют сделать этого за крупное вознаграждение — все в порядке, можно работать во всемирной сети.
Вообще-то среди компьютерщиков немало всесторонне обученных специалистов, способных быть просто исправными служащими. Но программирование — не только рутина, но еще и творчество. А творцы, как известно, неуживчивы. Увы, в России и на Западе компьютерный андерграунд состоит из амбициозных личностей с невыносимым характером. Держать их в штате компании — тяжкое бремя, уволить — опасно. Разозленный хакер может запрограммировать компьютерную систему банка так, что она выключится через месяц после его увольнения, да еще предварительно затерев всю информацию о счетах клиентов.
Недаром в популярном американском руководстве для топ-менеджеров говорится: "Увольняйте системного программиста внезапно. Вежливо проводите его до дверей и подайте шляпу. Обещайте ему помощь в случае трудностей. Дружески помашите рукой. И главное — категорически запретите охране впускать его на территорию!"
Говорят, некоторые компании на Западе отказывают в приеме на работу людям со слишком высокой квалификацией. Ведь такой человек скорее всего будет недоволен своим положением, а значит, потенциально опасен. В России же эта проблема стоит еще более остро. В процессе развала наших НИИ огромное количество программистов сменили профессию, и сегодня их можно встретить на каких угодно рабочих местах в любой фирме. Так вот, полезно представлять себе, какой именно квалификацией должен обладать и обладает на самом деле ваш грузчик или, скажем, секретарша. Если первый читает в рабочее время Playboy, а вторая — Cosmopolitan, не ругайте их сильно, они нормальные люди и преданные фирме сотрудники. Но если ваша секретарша днем подает кофе так, что не придерешься, а по вечерам дома штудирует журнал "Открытые системы", тогда задумайтесь...
О дождях, рождающих хакерское мировоззрение
Что же касается "внештатных" хакеров, которые ни в какой корпорации не состоят и ни на кого не работают, то о них вкратце можно рассказать следующее. В России в 80-е годы сложился своеобразный психологический тип "человека из компьютерной тусовки". Это замкнутый мир молодых людей лет 18-22 ("стариков", которым под тридцать, немного, но тоже есть), собирающихся в полулегальных клубах, куда получить доступ труднее, чем в компьютерную сеть Citibank образца прошлого года. Они не стремятся к большим деньгам. Главное для них — убедительный переход из ламеров (обычных программистов) в хакеры, признание коллег и общение в своем узком кругу. Они потому и прессу не любят: стандартная реакция хакера на журналиста — "no comments". А некто "Брейкер" (обратите внимание на этимологию клички) вообще заявил нам, что некомпетентен в каких-либо компьютерных вопросах, ничего не слышал и не знает. При том, что компетентность для этих людей — дороже матери родной, и новички хакерских клубов ходят в ламерах месяцами. Там с этим строго. Не проявишь способностей к "взлому" или "предашь тусовку" — коллеги мигом отключат от сервера, читай — мирового информационного пространства. Но чересчур восхищаться хакерами и почитать их за трудоголиков все же не стоит. Большинство из них не создают новых полезных программ, а лишь вторгаются в чьи-то уже существующие.
Просто им интересно первым бесплатно "скачать" по сети новую версию программы откуда-нибудь из Нью-Йорка. Или "подвесить" компьютер в Пентагоне. Или залезть в сеть какого-нибудь Citibank. Подобные запросы у компьютерных вундеркиндов окончательно формируются в возрасте 13-15 лет и далее сохраняются навсегда. Зрелый хакер лет 28-30 в психологическом плане мало чем отличается от тинэйджера. Та же неуправляемость и способность делать лишь то, что нравится самому, а нравится им всем только одно — хозяйничанье без спросу в чужих компьютерных системах. Это делается, как правило, по ночам (время московское), поскольку "днем по нашим телефонным сетям через модем не прозвонишься".
Группы хакеров существуют во многих крупных городах России. По понятным причинам больше всего их в Москве и Петербурге. Как утверждают знающие люди, наиболее дики ("склонны к неконтролируемым творческим выходкам") питерские хакеры. Маленький пример на десерт. Несколько лет назад государство Израиль имело выход в Internet только через Финляндию, и любимым развлечением компьютерных фанатов Петербурга было отключение от финского сервера всех израильтян сразу. Говорят, на питерцев как-то по-особому действует дождливый климат и вечно обиженное мироощущение бывшей столицы. Очень похоже на правду. Во всяком случае, интеллигентно протестующая ментальность питерской рок-тусовки явно передалась и тусовке компьютерной.
Вот из этой полуподпольной компьютерной богемы и вышел, по словам его коллег, обидчик Citibank Владимир Левин.
Наивность хакеров — и смешно и грустно
Высочайшая квалификация хакеров в деле исследования компьютерных систем соседствует с искренней наивностью. Выбрав себе узкое направление деятельности, хакер доводит там свое мастерство до совершенства, но в прочих областях остается крайне ограниченным. Возникают курьезы.
Из года в год на 1 апреля программисты американской компьютерной корпорации Sun Microsystems ("короля Internet") шутят над своим обожаемым шефом Скоттом Макнили примерно одинаково: прячут его автомобиль со все большей изощренностью. Однажды Макнили обнаружил свою машину, стоящей на маленьком островке посреди озера, в другой раз — прямо у себя в кабинете. Когда же российские партнеры Sun Micro на 1 апреля сообщили американцам, что российское правительство решило послать одного сотрудника Sun в космос, "кандидаты", как ни смешно, нашлись — они и подумать не могли, что бывают шутки иного рода, нежели над Макнили и его авто.
В России же наивным хакерам сейчас не до смеха. Их потенциал известен преступным группировкам. Подкупить хакера нелегко, но можно обмануть и вынудить "взломать" банк. Бояться вроде бы нечего, поскольку антихакерского законодательства в стране сегодня нет, как нет пока у правоохранительных органов России и спецподразделений по борьбе с хакерами. Но вскоре после "взлома" банк-жертва начинает собственные поиски преступников, а те смотрят на хакера и думают: пользы от очкарика больше никакой, а знает много... Возможно, еще и по этой причине в описываемом нами случае электронные воры забрались не в российский банк. И по этой же причине хакеры обособляются и тщательно скрывают свои истинные имена.