Информационные войны – мифы и реальность

Написано в ноябре 1999 года

Редкая неделя обходится без сенсации из мира «хакеров» – то стащили суперсекретный документ прямо из «центрального принтера» Пентагона, то захватили управление компьютером крупнейшего госпиталя и отключили аппарат искусственного дыхания американскому генералу. А уж как воруют деньги из банков – просто удивительно, что в банках еще вообще остались какие-то деньги. Неужели все настолько плохо и информационная цивилизация загнала сама себя в угол, решив покончить самоубийством?

Попробуем отделить мифы от реальности. Для начала зададимся вопросом – cui bono? Кому выгодно раздувать реальные скандалы или придумывать их, если реальных не произошло? Первое, что приходит в голову – журналисты. Надо же о чем-то писать, а компьютерная образованность еще далеко не повальная как в нашей стране, так и в той же Америке. Можно запускать любые «утки», не очень переживая за последствия. Специалисты-компьютерщики такую чушь вообще не читают, а для обывателя сойдет.

Второе заинтересованное лицо – спецслужбы. Частенько журналисты получают информацию именно от них, а не выдумывают ее сами. Зачем это нужно спецслужбам? Ответ прост – деньги. В американском конгрессе, так же, как и в российской Думе, сидят далеко не компьютерные гении и «навешать лапшу» им можно запросто. А под это дело получить лучшее финансирование, деньги на специальные программы по борьбе с компьютерной преступностью, да и просто почувствовать себя нужными обществу, в конце концов!

Опираются все эти «страшилки» в основном на всемирную компьютерную сеть – Интернет. Ведь как теперь удобно какому-нибудь Васе Пупкину из Урюпинска, сидя в одних трусах дома у компьютера, между двумя бутылочками пива взломать компьютерную сеть НАСА. Раньше, в доинтернетовскую пору, приходилось содержать огромный штат резидентов-шпионов, морочить голову с их ловлей, представлением широкой публике и дальнейшим обменом на таких же своих неудачников, отловленных противной стороной. Широкое развитие Интернета осчастливило спецслужбы – представить публике какую-то бумажку, на которой якобы зафиксировано проникновение Васи в сеть НАСА намного проще, чем показать реального Васю, схваченного за руку при попытке…

Хотя любой здравомыслящий человек (не конгрессмен и не депутат Думы) наверняка задумается – а зачем, собственно, подключать к Интернету компьютеры, в которых хранится такая суперсекретная информация? Мы вам скажем по огромному секрету – их и не подключают к Интернету. Существуют замкнутые компьютерные сети того же Пентагона или НАСА, в которые доступа снаружи просто физически нет. Те интернетовские странички, которые НАСА представляет широкой публике, хранятся совсем на других компьютерах и худшее, что с ними может проделать злобный хакер Вася – заменить американский флаг на изображение голой тети.

А как же, спросите вы, локальные компьютерные сети компаний выходят в Интернет? Ведь сегодня практически в любой крупной компании или банке существует своя локальная сеть компьютеров. Здесь существует два решения.

Первое и самое простое – отсутствие выхода из локальной сети в Интернет. На самом деле, объясните, зачем банковскому клерку на своем рабочем месте иметь выход в Интернет? Почитать анекдоты, пока клиентов нет? И из-за этого поставить под угрозу всю внутреннюю информацию? Или тому же чиновнику Пентагона. Что ему делать в Интернете в рабочее время? Единственное, что приходит в голову – почитать, что пишут про Пентагон сегодня газеты во всем мире. Но для этого существует служба Public Relations, чьи компьютеры соединены с Интернетом, но не имеют выхода во внутреннюю локальную сеть.

Второе решение – использование специальных программ для ограничения доступа извне в локальную сеть. Называется этот класс программ – firewall (по-русски несколько странно – брандмауэр), типа пожарника, который стоит в театре за кулисами и присматривает за взбалмошными актерами, которые бросают окурки куда не попадя. Задача простая – пропускать во внутреннюю сеть только те пакеты информации, которые были затребованы и отсекать все прочие. На рынке существует масса программ этого класса на любой вкус и цену – от 40 долларов до супернавороченных ценой в несколько тысяч. Заинтересованные могут посмотреть на ConSeal PC Firewall (http://www.signal9.com) или AtGuard (http://www.atguard.com).

Кстати, о файерволах. Существующие коммерческие программы опробованы в тысячах компаний и дают надежную, гарантированную защиту от хакерских атак извне на локальные сети. Но, как известно, у русских собственная гордость. ФАПСИ или ФСБ по определению не могут пользоваться «вражескими» программами (между прочим, некоторые из них разработаны русскими программистами), имеющимися на свободном рынке. Они изобретают собственные, которые, не будучи опробованы в массовом порядке, наверняка имеют массу дырок в защите.

Теперь вернемся к банкам. Все помнят нашумевшую историю про русского хакера Левина, укравшего у Ситибанка несколько миллионов долларов. Периодически возникают новые скандалы, в которых фигурируют хотя и меньшие, но все равно захватывающие дух суммы. Про того же Левина написано было все, что смогли откопать журналисты – и полная биография, и подробное описание того подвала, в котором стоял знаменитый компьютер, с которого проводились операции, и подельники, обналичивавшие перечисленные суммы. И только одно издание, между делом, заметило, что пароль для доступа к компьютерной сети Ситибанка он, скорее всего, получил от знакомой, которая работала в московском филиале Ситибанка.

А ведь этот факт – ключевой во всей истории! Взломать компьютерную сеть банка, защищенную от доступа извне дорогим файерволом – задача практически невыполнимая. Есть только один вариант – легальный доступ к сети, который предусмотрен для зарубежных филиалов банка, сотрудников, выезжающих в командировки, крупных доверенных клиентов, проводящих свои операции через Интернет. Подобрать пароль, дающий доступ – задача тоже нереальная. Обычно даются три попытки, после трехкратного ошибочного ввода адрес блокируется и с него уже не подключиться.

Здесь мы подошли к важнейшему выводу, ради которого и писалась вся статья. Итак: 90% несанкционированного доступа к информации – ошибка или преступление, то есть – человеческий фактор. И только 10% – технические взломы. Однако, мы имеем в виду сейчас только серьезные организации, для неподготовленного домашнего пользователя технический взлом намного более реален и опасен. О методах защиты от таких взломов мы поговорим в одной из следующих статей, а сейчас остановимся на «человеческом факторе».

Что такое пароль? Это – секретная комбинация символов, известная ограниченному кругу людей и дающая доступ к определенным ресурсам. Так храните же его в секрете! Вы даже не представляете, сколько раз нам доводилось видеть пароли, записанные на липкой бумажке, приклеенной к монитору компьютера. А сколько паролей, которые можно подобрать даже не с третьего, а с первого раза? Имя собственное, дата рождения, марка автомобиля – все это категорически не годится для пароля. Запомните одну очень важную вещь – пароль не должен быть осмысленным словом. Существует масса программ подбора паролей по словарю. Выработайте свою собственную систему ассоциаций, чтобы запомнить комбинацию.

Например «vP27mA48dT19tV14» запомните таким образом: чередуются две буквы, первая маленькая, вторая большая, потом – две цифры. «vP» – Вася Пупкин, то есть я сам, 27 – номер моей квартиры, потом «mA» – мама и последние две цифры ее года рождения, потом «dT» – дядя Толя, родился 19-го числа, а «tV» – тетя Валя, родилась 14-го. Главное правило – чередовать буквы и цифры, заглавные и строчные буквы, и чтобы пароль был не короче хотя бы 10-12 символов. Такой пароль подобрать или взломать практически не возможно. Постройте надежную ассоциацию, чтобы пароль не записывать на бумажке. Или, если уж записали на самый крайний случай, спрячьте ее как следует.

И – не доверяйте случайным людям. Сколько мы слышали историй про «взлом» пароля для доступа к собственному банковскому счету с домашнего или офисного компьютера, которые всегда разрешались одним и тем же способом. На вопрос – кто вам устанавливал эту программу, был обычный ответ: знакомый компьютерщик. «А он видел ваш пароль?» – «Ну да, он же пробовал, как работает программа». «А вы сменили пароль после этого?» – «Да нет, как-то не задумался… Он такой хороший парень, я его уже три года знаю, он всегда мне помогает».

Мы не сомневаемся, что ваш знакомый – замечательный парень. Но он всего-навсего человек, хотя и компьютерщик. А человеки имеют обыкновение встречаться с себе подобными и даже иногда при этом пить пиво, например. И общаться. Как вам такой диалог: «А знаете, вчера одному ламеру ставил банковскую программу, так у него пароль – VPUPA, прямо смех какой-то» – «А это не тот, у которого счет в Автобанке?» – «Ну да, как раз он». Результат понятен? (Ламер – не разбирающийся в компьютерах человек на слэнге компьютерщиков).

Мы надеемся, что сумели развеять некоторые мифы об «информационных войнах». Здравый смысл и разумные ограничения помогут вам сохранить вашу информацию и деньги в неприкосновенности.

Павел Шевчук
Михаил Берг