Вита Мач
"Деловая хроника"
www.chronicle.ru
На каждый украденный хакером доллар приходится доллар, вложенный в компьютерную безопасность.О хакерах знает любая домохозяйка, однако мало что известно о тех, кто выстраивает систему обороны против нелегалов-взломщиков. Эта невидимая борьба продолжается все время: на каждый новый "лом" появляется новая технология по защите.
Сейчас в Москве действует около десяти крупных фирм, специализирующихся на компьютерной безопасности, есть милицейские подразделения. Однако чтобы борьба с хакерами носила системный характер, специалисты развитых стран стараются держать круговую оборону. Вот и в российском научном центре "Курчатовский институт" в ближайшее время появится официальный представитель международной организации CERT - нечто вроде санитарного патруля в Интернете - специально для профессиональных антихакеров.
Преступник-невидимка
Чтобы неспециалисту было понятнее, велика ли угроза от хакерской деятельности, профессионалы говорят так: сейчас любое преступление - ну, разве что кроме изнасилования - можно совершить с помощью компьютера. Вплоть до убийства. Представьте себе проникновение в сеть медицинского центра, в котором пациенты с искусственным сердцем и другими органами подключены к компьютеру. Или взлом сервера химического предприятия: стоит нарушить технологию, и все, массовое отравление. Можно возразить: это терроризм, а зачем, к примеру, заморочиваться вопросами защиты компьютера среднестатистической российской фирме?
"Риск компьютерного взлома для предприятия составляет от 15 до 20%, - утверждает Илья Трифаленков, начальник отдела средств и методов защиты информации фирмы "Инфосистемы Джет", одного из крупных игроков на рынке компьютерной безопасности. - Это для организации, которая имеет какую-то защиту. Понятно, что для фирмы, никак не позаботившейся о мерах предохранения, риск очень велик. Особенно это опасно для предприятия, которое не просто держит сервер как презентационную вывеску в Интернете, а начинает проводить через сеть платежи, заключать договоры и пр. Бывает, что бизнес парализуют таким образом: скажем, фирма принимает через Интернет заказы, а в результате взлома доступ клиентов на сервер может быть блокирован. То есть формально все вроде бы работает, а на самом деле бизнес стоит".
Очень распространено также сканирование информации - для предприятия, которое работает с клиентами и имеет их обширную базу данных, ущерб может быть сокрушительным. Илья Трифаленков также приводит такой пример: как-то в одной фирме в результате сбоя программы половинка файла соединилась с половинкой другого, после чего целый пакет перспективных планов фирмы ушел на совершенно посторонний адрес. По случайному совпадению это был почтовый ящик директора другого предприятия, которое тоже занималось аналогичными продажами, - то есть информация попала в руки конкурента. Такая удача дорогого стоит...
К группе риска относятся банки, интернет-магазины, через которые хакеры стараются раздобыть пароли и коды клиентов. Вот, к примеру, какая сложилась ситуация в одном из первых российских интернет-магазинов "Озон". "В день система безопасности "Озона" сталкивается в среднем со ста попытками проникновения, большая часть которых автоматически отражается установленными программными средствами, - сказал корреспонденту "ДХ" технический директор Георгий Ушаков. - Для отражения 10-15 атак требуются дополнительные действия системы. Один-два раза в неделю магазин подвергается нестандартным компьютерным атакам, при которых требуется работа специалистов по компьютерной безопасности". Цель атаки на интернет-магазины вообще и "Озон" в частности можно условно разделить на три группы: размещение в системе магазина якобы оплаченного заказа, полная или частичная остановка работы магазина, замена контента (содержания сайта).
В общем, раз уж человек настолько "приручил" компьютер, что обходиться без него ему все труднее, защита машины становится вопросом самообороны и жизнедеятельности фирмы. По оценке Ильи Трифаленкова, в среднем предприятия тратят на средства компьютерной обороны 10% от оборотных средств (это с учетом, что кто-то не тратит ничего, а кто-то - много). Высчитана также стоимость средней "корзины потребителя" - универсальный пакет, который включает в себя сетевой экран и прочие меры защиты. Она составляет от одной до 4 тыс. долл., это разовый вклад. Все остальное уже зависит от специфики деятельности фирмы, от того, что нужно более тщательно охранять, а что просто прикрыть от постороннего глаза.
Впрочем, все специалисты по компьютерной безопасности утверждают, что чаще всего взломы и кражи становятся результатом небрежной кадровой политики фирмы. "Часто на предприятии вербуют сообщника, который попросту подсказывает лазейку, - поясняет Илья Трифаленков. - Это дешевле и проще, чем ломиться из сети". Некоторое время назад на волне популярности талантливые хакеры могли устроиться на работу таким образом: взломать сервер желаемой компании и оставить визитную карточку - мол, если что, звоните. "Сейчас гораздо больше случаев, когда человека, замеченного в хакерстве, никуда не берут на работу, - говорит Михаил Ганев, руководитель российского проекта CERT. - Kaк говорится, сколько волка ни корми, он все в лес смотрит. Слишком многое им доверяется, и нет гарантии, что он этим не воспользуется в случае конфликта. А ведь гладко никогда не бывает - кому-то зарплата не понравилась или еще что-то. У нас одно время была идея создать такой черный список, но мы отказались - слишком скользкая тема. В общем, остается руководствоваться поговоркой, которая ходит среди программистов: увольняя системного администратора, глава фирмы должен подать ему пальто".
Бюро жалоб на хакеров
Теперь уже не только в Америке есть компьютерная полиция. И в России с хакерами борются правоохранительные органы - соответствующие подразделения работают при МВД. Однако профессионалы компьютерной безопасности стараются делать ставку на превентивные меры: предупрежден - значит, вооружен. Как и в любом бизнесе, здесь стараются примкнуть к международной корпоративной тусовке. В ближайшее время на базе Курчатовского института начнет действовать официальный представитель международной организации CERT. Она была создана в Америке для того, чтобы собирать и систематизировать информацию по инцидентам (кто-то кого-то взломал или куда-то вторгся), выпускать рекомендации - что в таких случаях делать. В настоящее время в разных странах действует большое количество CERT - такие маленькие "сертики". Они есть при крупных академических сетях, при больших организациях, у которых сложная разветвленная сеть, при центробанках. "Сертики" выработали правила сосуществования друг с другом, устраивают конференции, в которых принимают участие и российские специалисты. "Поначалу мы пытались копировать большой CERT, выпуская какие-то аналитические материалы, а потом поняли, что это не наше, - рассказывает руководитель проекта российского CERT Михаил Ганев. - Руководство сети RBNet, при которой мы существуем, решило, что сеть должна соответствовать стандартам, которые сейчас в Европе приняты. Условия нам удалось выполнить легко: и по квалификации специалистов, и по прочим параметрам. Так мы стали подразделением сети, и в ближайшее время, я думаю, появимся в списках организации FIRST - Forum of Incident Response and Security Teams (она объединяет "сертиков" по всему миру)".
Практически деятельность российского CERT уже началась и выглядит так. Мы сидим в кабинете с Михаилом Ганевым, и ему приносят распечатку только что пришедшего е-mail. Некий господин из Голландии сообщает, что ему на электронный почтовый ящик пришла реклама детского порно из России под названием Best Lolitas - c предложением стать "подписчиком" и указанием цен. Реклама рассылается наобум, в надежде зацепить клиента, однако тут не сработало - попали к добропорядочному гражданину. Он возмутился. Иностранцы - народ дисциплинированный, а тем более когда дело касается преступлений с детьми. В общем, голландец начал искать, куда бы сообщить о случившемся. "Иностранцы уже в этом смысле воспитаны: все, кто хочет пожаловаться на взлом, ищут "сертиков" у той страны, откуда атака, - поясняет Михаил Ганев. - А поскольку упомянутый голландец, прокинув цепочку адресов, по которым пришла реклама детского порно, увидел, что следы ведут в Санкт-Петербург, он вышел на нас, на российский CERT. Что мы будем делать? Мы не имеем полномочий разбираться, мы можем помочь - так сказать, поставить диагноз и направить к специалистам. Нам это проще сделать - мы тут живем. Скажем, происходит активность в каком-то большом институте (им трудно следить за всем, что у них происходит в сети). Мы сообщаем: проверьте, у вас либо хакер завелся, либо кто-то из сотрудников балуется. Ну а в случаях явного криминала - как, например, с детским порно, мы, разумеется, сообщим в милицию".
Прочие крупные игроки этого рынка сдержанно отзываются о грядущем появлении филиала CERT. "Аффилированным участником СЕRТ может быть любая организация, - говорит начальник отдела АО "Инфосистемы Джет" Илья Трифаленков. - В принципе очень много организаций обмениваются информацией с CERT, не являясь официальными представителями, а просто понимая полезность этих контактов". "Безусловно, это значимое событие - для компании "Р-Альфа". Я не склонен считать, что рынок как-либо отреагирует на данное известие. К тому же активный обмен информацией обычно слабо связан с эффективностью противодействия атакам. Так что пока мы не планируем участия в работе CERT", - сообщил "ДХ" генеральный директор НИП "Информзащита" Владимир Гайкович. В целом профессионалы сходятся во мнении, что для организаторов российского CERT (фирмы "Р-Альфа") это спонсорская деятельность, которая не сулит прямой материальной выгоды, однако она рассчитана на дивиденды имиджевого характера. Плюс доступ к "сертовской" информационной базе.
Тем временем российский CERT принимает пострадавших. По словам Михаила Ганева, жалобы можно поделить на следующие категории. Основная жалоба - на спам. Это как раз голландский случай: когда по почте приходит реклама либо что-то непристойное неизвестно от кого. На втором месте - сканирование: когда кто-то с помощью специальной программы пытается узнать, как устроена ваша сеть, какие сервисы доступны. Считается, что сканирование - первый этап перед атакой. То есть сначала нужно понять, что у вас есть, чем можно воспользоваться. Такое же количество жалоб приходит на рассылку вирусов. Дальше идут взломы. Люди зафиксировали и сообщают: вот, мы засекли с такого-то сайта - просим прекратить. Взломы встречаются несколько раз в месяц (хотя вообще-то они происходят чаще, чем о них сообщают). По европейской статистике, чаще всего там сталкиваются с так называемыми DOS-атаками (Denial of Service). Это когда в одно место посылается большое количество запросов, канал связи с системой перезагружается, и она становится недоступной для клиентов. В России с этим сталкиваются не так часто - техника не позволяет проводить такие массированные атаки. Это один из редких случаев, когда российская отсталость работает в плюс.
Обсудить на Форуме