Рыбный день #11: «Безопасность возвращается», или Первый feedback


Так уж получилось, что вокруг предыдущего «Рыбного дня» завязалась довольно-таки оживленная дискуссия, причем, что характерно — не в конференции по материалам сайта, а в моем почтовом ящике. Я, честно говоря, «почтовые» обсуждения вообще больше люблю — как правило, в переписке отсутствует стимул для того чтобы «повыпендриваться» перед аудиторией (аудитория-то всегда состоит из одного человека!), поэтому дискуссия получается намного более спокойной и плодотворной. А в этот раз вышло вообще замечательно — из вступивших в спор два человека настолько заразились темой, что даже согласились высказаться в письменной форме.



То, что в этом первом опыте «публичного feedback» довольно-таки беспощадно критикуются некоторые положения Рыбного дня #10 — это как раз нормально. Я вообще-то не имею привычки носить на голове некий тяжелый металлический предмет, олицетворяющие высокий социальный статус носящего, так что и падение означенного предмета с головы мне не грозит :). Другое дело, что высказав здравые, в общем-то, и правильные мысли, оба моих критика, по-моему, на некоторые вопросы ответить все равно не смогли. Поэтому я все же позволю себе поучаствовать в этом выпуске — в самом конце. Кстати, поскольку ответов этих я и сам не знаю, то займусь в основном любимым видом абсолютно безопасного секса — формулировкой самих вопросов :). Но сначала все же пусть выскажутся мои оппоненты.

Как вам это понравится…

Олег Кириллов, системный инженер, olegkirillov@*.com

Для того, чтобы решить, нужно ли защищаться, следует учесть еще несколько факторов. Проблема в том, что с ростом числа пользователей Internet, сама Сеть стала представлять собой огромный распределенный вычислительный ресурс. И если он успешно используется в «мирных» программах вроде расшифровки генома или поиска внеземного разума (SETI@Home), то наивно было бы полагать, что им не попытаются воспользоваться злоумышленники.

Администраторы безопасности корпоративных сетей знают, что максимум через пару часов после появления компьютера в Сети его обнаружат и начнут сканировать на предмет наличия дыр в системе безопасности. Эта активность — результат работы программ-скриптов, сами злоумышленники при этом, скорее всего, заняты чем-нибудь более интересным. В случае отсутствия защиты, просканировав ваш компьютер, скрипт получит достаточно полную информацию о вашей системе — версию, установленные патчи, частично — запущенные приложения. Собирается эта информация как на основании ответов на «легальные» запросы (система и браузер, в принципе, сообщают некоторые сведения о себе всем желающим), так и за счет «знания» скриптами наиболее хорошо известных «дырок» в системных службах. Например, чисто теоретически, у компьютера с ОС Windows 2000/XP и запущенной службой Windows Management Instrumentation, можно узнать практически все что угодно — нужно только заставить эту службу «поверить», что вы — системный администратор. Она дистанционно ответит на практически любой вопрос — даже относительно количества процессорного времени, используемого в данный момент определенным приложением.

На этом разведка заканчивается. Далее скрипт (или уже сам взломщик) вольны делать с вашим компьютером все что захотят — «подвесить» или перезагрузить систему, сделать ее неработоспособной и т.п. Однако чаще всего скрипт использует известные ему методы нарушения работы операционной системы или приложений для того, чтобы разместить на «поддавшейся» машине «троянского коня» — программу, которая позволит злоумышленнику удаленно управлять вашим компьютером незаметно для вас. Эта атака занимает по времени несколько секунд на модемном соединении и значительно меньше — на более скоростных. Заметить, что вас атаковали, практически нереально.

«Троянский конь» (жаргонный термин — «троян») может попасть к вам на машину и другими путями. Например, через почту. Всем памятна эпидемия хищений номеров ICQ — ее вызвал троян, распространявшийся по почте в виде вложенного исполняемого файла, замаскированного под картинку. Еще один путь — через печально известный своими многочисленными дырами Internet Explorer (впрочем, другие браузеры тоже не безгрешны). Направив вас на специально сконструированный сайт (чаще всего обильно приправленный порнографией, для привлечения максимального числа малоквалифицированных пользователей — любителей «клубники со льдом») злоумышленник может заставить браузер скачать и запустить троян, или небольшой промежуточный код, который скачает троян позднее.

Что дальше? Трояны, как правило, настроены таким образом, что в определенное время, если компьютер подключен к Internet, они устанавливают соединение с «явочной квартирой» — компьютером, который злоумышленник специальным образом настроил, либо c публичными ресурсами — чат-комнатами, IRC-каналами или клиентами ICQ. Далее они ждут, когда на этот же ресурс зайдет «хозяин» и скажет что надо делать. Таким образом, ваш компьютер начинает жить отдельной от вас жизнью — участвовать в дальнейшей разведке чужих сетей, распространении троянов, атаках на чужие компьютеры и сети.

Фактически, злоумышленнику оказывается подчинена довольно большая вычислительная мощь, и чем больше скомпрометированных им машин, тем легче ему получить доступ к новым. Этот ресурс он уже может использовать по своему усмотрению. Причем его конечной целью по отношению к вам является отнюдь не желание получить доступ к каким-либо вашим данным — они ему не нужны. В его планы также не входит уничтожение информации на вашем компьютере (разве что в процессе «заметания следов») — напротив, он заинтересован сохранить в тайне свое присутствие как можно дольше.

Квалификация злоумышленника, при этом, совершенно не обязательно должна быть высокой, достаточно знать чуть больше чем обычный пользователь ПК. Получить практически готового трояна и скрипты для разведки и внедрения не составляет большого труда — они доступны на различного рода хакерских сайтах. Немного любопытства, немного терпения, чтобы прочитать описание — и вот вам очередной готовый «хакер».

Резюмируя все вышеописанное: любой компьютер, подключенный к Internet, сам по себе является достаточно ценным ресурсом, независимо от наличия на нем каких-либо данных. И можно с весьма высокой степенью вероятности предположить, что рано или поздно любой такой компьютер будет атакован (разведка тоже считается атакой). Если пользователю все равно, то можно и не обращать на это внимания — возится кто-то чужой на моем компьютере, да и ладно. Ну, инфицирует еще десяток моих приятелей, мне-то что, жалко, что ли? Если же предоставление своего компьютера в чужое безраздельное пользования не вызывает у вас энтузиазма, то стоит озаботиться хотя бы минимальными мерами безопасности. Они, в общем-то, очевидны, и не слишком сложны.

Как было описано выше, разведка проводится, как правило, автоматизированно. Это означает, что если скрипт не получит достаточно достоверной информации о потенциальной жертве, то, скорее всего не будет проводить атаку, ибо неполные данные чаще всего означают наличие системы защиты. А связываться с системой защиты не в интересах ни скрипта, ни злоумышленника — это повышает риск обнаружения. Гораздо легче поискать менее защищенный компьютер. Таким образом, уменьшить риск атаки из Сети можно установкой хотя бы какого-нибудь межсетевого экрана (firewall). В Сети сейчас доступно довольно много продуктов, представляющих собой персональные МСЭ (межсетевые экраны), часть из них распространяются бесплатно (производителей называть не буду, чтобы не обвинили в рекламе). Конечно, ни один из них не устоит, если за него возьмутся профессионально, но этого и не требуется. Достаточно того, чтобы он регулярно обновлялся и обеспечивал защиту от широко распространенных простейших видов атак, а также блокировал попытки провести разведку, либо предоставлял сканеру искаженную информацию (к примеру, если компьютер, работающий под управлением ОС Windows, прикидывается, что на нем установлена Linux — большая часть скриптов не сможет произвести атаку).

Вторая мера, которая, к счастью, уже становится, похоже, нормой — это обязательная установка антивирусного пакета. Хороший пакет обеспечит защиту и от вирусов, и от троянов. Желательно, чтобы он имел интеграцию с почтовыми клиентами, чтобы не занести заразу оттуда. Так же, как и в предыдущем случае, защиты от серьезной атаки он не обеспечит, но резко снизит риск. Третья необходимая составляющая — слежение за обновлениями операционной системы и регулярная установка апдейтов. У Microsoft есть какая-никакая система диагностики и рекомендации, для пользователей Linux и других ОС есть соответствующие рассылки. Более серьезные действия по обеспечению безопасности стоит предпринимать, если пользователю действительно есть что защищать.

Вообще-то говоря, эти рекомендации — перекладывание проблем с больной головы на здоровую. По-хорошему, защитой от вторжений должны заниматься изготовители операционных систем, ибо это их продукты содержат ошибки, благодаря которым становится возможным «взлом» компьютера. Но с Linux community взятки гладки (получил продукт бесплатно — вот и разбирайся сам), а с Microsoft судиться — денег не хватит (да и лицензия круг возможных предъявляемых претензий сужает почти до точки). Так что в реальной ситуации единственный способ уменьшить риск для себя и своих знакомых — защищаться самостоятельно.

Не ходите, дети, в Африку гулять

Сева Глущенко, инженер сети, gvs@*.net

Вольные рассуждения о том, что ждет несведущего пользователя в туманных глубинах всепланетной компьютерной сети Internet.

Мне, пришедшему в Internet в середине 1996 года с широко открытыми глазами и практически нулевой информацией, сложно представить себе, что именно чувствует начинающий путешественник, как еще говорят, серфер, отправляясь «покорять Internet» сейчас. Как количество, так и качество ресурсов сети с тех пор изменилось очень сильно, скорости подключений возросли на порядок, местами и на два, сама распространенность Глобальной Сети возросла безмерно. Никого уже не удивляют холодильники или микроволновки, которые сами ходят в Internet узнать из библиотеки на сайте производителя, как обходиться с тем или иным продуктом, информацию о котором они получают из штрих-кода на упаковке (правда, такие торжества технологии пока встречаются больше в Японии, чем у нас).

Однако основное, я думаю, осталось неизменным все же: мы приходим в Internet с ощущением, что мир необъятен, неизведан, весь лежит у наших ног, и ждет покорения и освоения. Оборотная сторона медали, то бишь тот факт, что не только мир принадлежит нам, но и мы принадлежим миру, доходит до сознания не сразу. И чаще всего, первое осознание этого факта сопряжено с какой-нибудь горестью: злой хакер украл пароль, и нам заблокировали доступ, браузер неожиданно открыл сорок восемь окошек, после чего практически заблокировал весь компьютер, и так далее, и тому подобное.

Можно сравнить Internet с океаном, наверху которого может царить безмятежно тихая погода, однако буквально в метре под уровнем воды нас может поджидать тихая, но быстрая акула. Можно — с лесом, в который мы, Красны Шапочки, отправляемся то ли за пирожками, то ли за бабушкой, но встречаем по дороге все больше волка. Я не хочу излишне сгущать краски — бывает и так, что проводишь в Internet часы, дни, месяцы и даже годы, и ни разу не нарываешься на неприятность крупнее спама в почтовый ящик. Тем не менее — тысячи (я не преувеличиваю) пользовательских рабочих станций, ежедневно пребывают во взломанном состоянии, и используются без ведома их хозяев — чаще всего, с предосудительными целями. Две распространенных ошибки, которые совершают пользователи по поводу безопасности собственных компьютеров, звучат примерно так:

Ошибка первая: «Это слишком сложно, я в этом ничего не понимаю, пусть все так и работает».

Да, безусловно, к настройке системы безопасности надо приложить некоторое количество умственных усилий :). Инструментальные средства на доступном пользователю уровне, тем не менее, существуют, и их конфигурирование смерти не подобно. Для платформы Windows наиболее развитым по возможностям (c точки зрения автора) является ZoneAlarm. Кстати, у этого программного обеспечения существует и бесплатная версия. Хотите альтернатив — наберите в любом крупном поисковом сайте (например, Google) словосочетание «personal firewall», и исследуйте результаты поиска.

После установки любой такой персональный защитник будет беспокоить вас вопросами о том, какому из приложений следует разрешить доступ к сети, а какому не следует. Именно на этом этапе и потребуется максимальное количество сообразительности и внимания — бездумно нажимая «Да» («Yes») в ответ на все вопросы, вы не получите защиты, но только лишь ложное чувство защищенности. Не стесняйтесь выяснять подробно, что это за приложение хочет получить доступ к сети. Не стесняйтесь отказывать ему в доступе — если у вас что-нибудь важное перестанет работать, можно зайти в настройки firewall и скорректировать их. А вот запретить то, что было ранее необоснованно разрешено, чаще всего забываешь — оно же «не мешает» ;).

Что касается операционной системы Linux и разнообразных UNIX'ов, то практически любой современный UNIX имеет пакетный фильтр на уровне ядра системы. Поэтому построить свою защиту в нем можно без привлечения дополнительных программных средств, хотя, возможно, это потребует больше работы с документацией ;).

Ошибка вторая: «А зачем мне что-то защищать? На моем компьютере вообще ничего интересного нет. Хотят смотреть — пусть смотрят».

Ответ, увы, категорически неверный. Подсмотреть могут, как минимум, пароль на подключение (видимо, платное) к сети, и ответственность за это несете вы. Даже если подключение бесплатно для вас, кто-то за него все-таки, видимо, платит, посему не создайте этому кому-то дополнительных проблем. Но эта проблема на самом-то деле минимальна по сравнению с другими, настоящими проблемами, которые возникают, когда чей-то компьютер взломан и используется не по назначению и без ведома владельца. Злоумышленник может совершать таким образом как мелкие пакости, вроде входа на форумы и гостевые книги сайтов и оставления там нецензурщины, так и крупные — рассылать спам, устроить атаку на какой-нибудь сервер… Через один ваш компьютер, конечно, много не сделают, но злоумышленники, которые занимаются такими вещами всерьез, обычно имеют десятки и даже сотни таких взломанных компьютеров в своем подчинении. И достаточно всего-то нескольких десятков мелких ручейков, чтобы в итоге образовать довольно мощный поток, выводящий из строя атакуемый сайт, IRC сервер или что-нибудь аналогичное.

Вывод из всего вышесказанного не фатален, но и не особо утешителен: любой компьютер, подключенный к сети, является потенциальным, а зачастую и реальным объектом атаки. Какой ущерб от нее можете понести вы? Потерянный платный доступ к сети, украденные или утерянные (второе бывает весьма печально, особенно если писать, например, диссертацию и не делать резервных копий, а винчестер вдруг отформатировал злобный вирус) данные. Однако в умелых и недобрых руках ваш компьютер превратится в инструмент взлома и атак других компьютеров в сети, а претензии за это будут предъявлять владельцу, то есть вам. Не очень-то приятная перспектива, не правда ли? Конечно, разобравшись, в чем дело, с вас снимут все претензии, но сам процесс разбирательства вряд ли будет приятен, займет время и потратит нервы. Приемлемая ли это цена за беспечность?

Лень человеческая, однако, сильна, потому даже зная о возможных последствиях собственной безалаберности, далеко не все торопятся выстроить защитный бронежилет вокруг мягкого желтого пузика своей рабочей станции. Аргументируется это теорией вероятности (почему это будут ломать именно меня?), низкой привлекательностью (что возьмешь с dial-up), системой безопасности провайдера, наконец (ах, эти волшебные буквы NAT).

Да, безусловно, все это спасает — до некоторой степени. А потом появляется очередной гений от сохи, который пишет самораспространяющийся вирус (так называемого «червя») — и мы наблюдаем несколько сотен зараженных им машин в самых разных уголках земного шара. Как наблюдаем? А очень просто: этот червь, заразив компьютер, выпускает в IRC псевдопользователя (так называемого бота), посредством которого он может управляться. И не помогут никакие NAT'ы, ибо соединение осуществлено не снаружи, а изнутри. Распространяется это чудо враждебной мысли как правило тривиально — через зараженные почтовые вложения. И сколько бы ни советовали пользователям не открывать вложения к письмам подозрительного содержания, даже если пришли они от знакомых (вроде бы), сколько ни проходило уже волн подобных заражений, все равно на каждое новое изобретение в этом направлении найдется несколько сотен, а то и тысяч тех, кто заразит свой компьютер. В мировых масштабах, казалось бы, немного. Увы, для создания проблем хватает.

Так что же, все, воодушевившись приобретенным знанием, решительно взялись за устранение лазеек в собственном компьютере? Увы, нет. Начнем с того, что недалекий пользователь статей и справочников на эту тему вообще не читает (ну к вам-то это, думаю, не относится ;), посему и делать ничего не будет, пока как минимум не узнает про существование самого понятия «сетевой безопасности». Далее, даже будучи осведомлен, не всякий пользователь посчитает риск негативных последствий высоким, а сами последствия — неприемлемыми. К сожалению, чувство гражданской ответственности нынче не в моде — после советских десятилетий у людей выработалась стойкая аллергия к призывам экономить воду или выполнять пятилетку за три года. Впрочем, в какой-нибудь Бразилии или в тех же Штатах засилья агитпропаганды и не наблюдалось, а с чувством ответственности там ничуть не лучше, а если судить по количеству зараженных компьютеров, то многократно хуже (хотя на самом-то деле это не показатель, просто Internet там в пересчете на единицу населения распространен куда сильнее, а подключения имеют большую скорость).

И здесь уже в игру вступает Internet-провайдер, эта загадочная и непостижимая форма жизни, которая откуда-то берет весь этот Internet и продает нам доступ к нему, — игрок, которого большинство пользователей ошибочно размещает не на своей стороне баррикад. На самом деле провайдер пользователю не враг, пользователи — его хлеб. И все же он выдвигает ряд условий, которые необходимо соблюдать при подключении. Разумеется, все они так или иначе внесены в договор подключения, но подписываемые бумаги у нас традиционно очень мало кто читает ;). В этих условиях, в частности, записано и требование соблюдения безопасности своего соединения. Конечно, вряд ли провайдер будет заниматься проверками выполнения этого требования — но, с другой стороны, обнаружив его несоблюдение даже чисто случайно — имеет полное право заблокировать вам доступ в сеть. Не из абстрактной вредности, кстати, но с целью остановить распространение заразы или исключить атаки на чужие компьютеры.

Условия подключения по всему миру более или менее одинаковы: запрещается спам, атака чужих ресурсов, требуется обеспечение безопасности своих ресурсов (рабочих станций, серверов, что у кого есть), где-то они сформулированы непосредственно в договоре подключения, где-то форумы провайдеров вырабатывают коллективный документ и ссылаются на него в своих договорах, как это было сделано у нас, в России.

Следует отметить, что находятся и те, кто оспаривают эти простые и достаточно разумные правила, и считают себя вправе их нарушать. Но позвольте, чем эти правила принципиально отличаются от, скажем, правил пользования метрополитеном или правил поведения в самолете? Соблюдаете правила — все в порядке. Не соблюдаете — к вам появляются претензии, в том числе денежные, ибо вы ставите под угрозу здоровье и безопасность, как свои, так и окружающих. То, что в случае с Internet речь идет не о физической безопасности, а о компьютерной, принципиальной роли не играет.

Если все так строго, спросите вы, так откуда же берутся все эти взломщики, спамеры, продавцы ворованных кредитных карт и прочая шушера, предлагающая разнообразные подзаконные или незаконные операции за ваши деньги? Отвечаю: нет, не все так строго. Точнее — не везде одинаково строго. Существуют и другие провайдеры, которым не то что бы все равно, но не хватает то ли техники, то ли людей, то ли всего сразу, чтобы поддерживать порядок в собственной сети. А может, и желания тоже не хватает. Результат, как правило, один: рано или поздно их сети оказываются в специально поддерживаемых списках сетей, из которых не принимаются соединения. В некоторых случаях — только почтовые, или, например, ICQ. Чаще — просто никакие. Этот процесс может занимать время, иногда довольно существенное, потому что любой провайдер стремится обеспечить своим клиентам максимальную доступность сети и на вычеркивание ее кусков идет с неохотой, но когда других альтернатив не остается, связь прекращается.

Я успел несколько отклониться от темы компьютерной безопасности в сети, но лишь потому что попытался охватить проблему в целом. На современном этапе развития сеть Internet представляет собой чрезвычайно разнородное объединение, которое, тем не менее, имеет выработанные нормы взаимодействия и требует от всех своих элементов соблюдения этих норм. Те же, кто эти нормы не соблюдает, оказывается в изоляции, будь то пользователь, которому провайдер отрезал доступ, или провайдер, который потворствовал своим пользователям в несоблюдении норм и был блокирован остальными провайдерами. И на пользовательском уровне обеспечение безопасности своего компьютера оказывается одним из ключевых моментов выполнения этих самых норм, которые, по сути, сводятся к простому правилу: живи и не мешай жить другим. Надеюсь, выполнение этого правила не составит для вас труда и обеспечит вам долгие и приятные часы пребывания в сети, не отягощенные происками взломщиков.

Проблема наша многогранна, а однозначное ее решение… невозможно?

Владимир Рыбников, редактор iXBT.com, puree@ixbt.com

Итак, системный инженер и сотрудник провайдерской компании довольно-таки подробно рассказали нам, почему сетевой безопасности следует уделять внимание даже в том случае, когда, казалось бы, ничего ценного у нас на компьютере не находится. Соглашусь, и немного присыплю голову пеплом по поводу своего оптимизма на прошлой неделе — оказывается, как бы мы не увиливали от необходимости ставить personal firewall и качать многомегабайтные заплатки с Windows Update — кажется, никуда мы от этого все равно не денемся :). Однако немного неясным осталось другое: а кто же все-таки реально отвечает за те действия, которые производят злоумышленники посредством взломанных компьютеров. Главный-то вопрос как раз в том, является ли несоблюдение правил сетевой безопасности все-таки личным делом каждого (то есть конкретный человек, будучи предупрежден о возможных последствиях, все же имеет право на все начхать и оставить свой компьютер таким же «голым»), или же все-таки защиту компьютера от посягательств извне следует признать обязанностью каждого пользователя, и, соответственно, наказывать за несоблюдение этого правила.

Вариант первый: а все равно — пошли они все лесом!…

Итак, какие точки зрения на данный вопрос мы уже имеем? Первая, самая простая: «Безусловно, это мое личное дело, и ничье больше. Спасибо за предупреждения и разъяснения, но в гробу я всех вас видал, и все равно делать буду то, что мне заблагорассудится». Я буду все точки зрения рассматривать с двух сторон, пытаясь найти в них как положительные, так и отрицательные стороны. Отрицательная сторона данной точки зрения очевидна, и нам ее объяснили выше целых два раза подряд: компьютер, чей владелец отказывается от его защиты, становится источником «заразы», проблем, и даже деструктивных действий по отношению к другим компьютерам. Вред — налицо. Однако, как ни странно, несмотря на нарочито грубоватую формулировку, в данной точке зрения все-таки есть и положительная сторона. Какая? Элементарное подтверждение таких близких всему цивилизованному миру идей как свобода выбора и частная собственность.

Свобода выбора предполагает, что человек, зная возможные последствия, тем не менее, имеет право делать даже тот выбор, который, казалось бы, является отнюдь не лучшим. Это его право. Концепция частной собственности подразумевает, что человек, являющийся владельцем чего-либо, имеет право делать с этим предметом практически все, что ему заблагорассудится, ибо обладает на него неотъемлемыми правами. Таким образом, я, как владелец компьютерной системы, разумеется, имею право принять решение об отказе от использования средств сетевой безопасности на своем личном компьютере. Кто-то, быть может, скажет, что абсолютной свободы цивилизованное общество не признает тоже, равно как и права частного собственника делать вообще все что угодно со своей собственностью. Обычно действует простое и мудрое правило: «так, чтобы не страдали другие». Можно «сделав свой выбор» стать вором — но рано или поздно сядешь в тюрьму. Да и дом свой, стоящий рядом с другими домами, поджигать не рекомендуется, будь ты хоть десять раз его владельцем.

Однако не стоит забывать, что в данном случае собственно владелец компьютера никаких асоциальных действий не совершает. Совершают их другие люди — они и есть нарушители. И, в общем-то, в позиции «Я плачу налоги — а вы уж как-нибудь ловите преступников, лично же я их ловить не собираюсь, иначе за что я плачу эти чертовы налоги?!», — тоже есть резон. Компьютер — это не ружье. Ружье я обязан хранить в сейфе и препятствовать доступу к нему посторонних — об этом предупреждают при его покупке. Компьютер — не автомобиль, я не «сдаю на права» перед тем как сесть за клавиатуру, и «правил движения в Internet», утвержденных на уровне закона — не существует. С точки зрения опасности для окружающих, для закона компьютер находится на том же уровне, что и телевизор или кофеварка. Кто-нибудь слышал про обязательную охрану кофеварок? Подытоживаем: законодательно обязательность соблюдения правил сетевой безопасности не подтверждена, и вряд ли может быть подтверждена, потому что потенциально вступает в противоречие с правами человека.

Вариант второй: совесть, господа, нужно все-таки иметь

Ближе всего к такой позиции, как я понял, находится Олег Кириллов. Суть ее также проста: «Никто меня не заставляет соблюдать правила сетевой безопасности, но, тем не менее, я, как культурный, цивилизованный человек, осознаю проблемы, которые могу создать другим людям своей безалаберностью, и поэтому соблюдаю указанные правила добровольно». Легче всего выделить положительные стороны: во-первых, соблюдая правила сетевой безопасности, человек действительно освобождает многих других людей от потенциального заражения, атак, и прочих проблем. Во-вторых — люди, способные по своей воле взять на себя ответственность, которую им, в общем-то, никто не имеет права навязать, как правило подходят к вопросу довольно серьезно, и поэтому можно не сомневаться, что в пределах своей компетентности и знаний они сделают все необходимое для защиты своего компьютера.

Однако и отрицательный момент тоже лежит на поверхности: «добровольчество» уже само по себе, изначально, предусматривает не всеобщую распространенность некоего подхода, а его замкнутость в пределах определенной группы. Фактически, это все равно как если бы «Правила дорожного движения» и ГАИ было предложено заменить «Уставом добровольного общества вежливых водителей» и его активистами, швыряющими в «подрезающих» на светофоре нахалов пачками агиток данного общества. Фактически, второй вариант просто сглаживает проблему, делая упор на ту самую пресловутую «гражданскую ответственность» и просвещение, но решить ее как таковую не способен в принципе. Простите за жесткий пример, но даже несмотря на то, что пукать в общественном месте считается ну просто очень неприличным, и знают об этом практически все — до полного пропадания данного явления еще очень и очень далеко…

Вариант третий: не умеете — научим, не хотите — заставим

Я сразу же скажу, что мне данный вариант видится не как родившийся самостоятельно, а исключительно как «отрыжка» провайдеров на наличие большого количества апологетов первого варианта. Фактически, это нечто вроде активной самообороны, к которой были вынуждены перейти люди, страдающие от неразберихи, бардака и малолетних «кулхацкеров» сильнее всех. И поскольку закон, как я уже говорил выше, пока что молчит, было принято решение заменить его обязательствами пользователя перед провайдером, являющимися неотъемлемой частью договора на предоставление услуг доступа в Internet. «Либо ты будешь соблюдать правила — либо я имею право тебя отключить» — вот как это выглядит одной фразой. В общем-то, логично. И даже, казалось бы, правильно. Положительная сторона видна сразу: не на основании закона, но на основании Договора, пользователь обязуется соблюдать меры безопасности на своем компьютере. Никакие его права при этом не нарушаются: не хочешь — не заключай договор. Волки сыты, овцы — целы. С одной стороны — принуждение, с другой — на «почти добровольной основе». Однако… Однако далее у нас намечаются все необходимые составляющие для начала эскалации — «гонки вооружений».

Потому что отнюдь не все провайдеры (как уже писал выше Сева Глущенко) согласны включать подобный пункт в свой договор, и, соответственно, нам нужны жесткие меры борьбы не только с сравнительно безобидным пользователем, который, в частном случае, по сравнению с провайдерской конторой может быть аки былинка на ветру, но и с «козлищами» в своем собственном стаде. То есть со своим же братом-провайдером, который упорно не хочет вести своих клиентов в светлое будущее абсолютной сетевой безопасности под дулами персональных firewall :). Если же бороться еще и теми же способами, что описаны во второй части этого материала т.е. отключением — то становится даже как-то немного не по себе… Сегодня один конгломерат провайдеров отключил одну «паршивую овцу», завтра — одно из объединений отключило полностью другое объединение, а то в отместку отключило от «своей части Internet» первое… А послезавтра требуемый нам сайт попал на другую сторону «полосы крупномасштабных военных действий» (хоть и не квартируется ни у одного из членов враждующих объединений), в результате чего доставляется нам по простому и немудрящему пути Владивосток — Нью-Йорк — Буэнос-Айрес — Колумбия — Пекин — Москва, и грузится за счет этого со скоростью 1 килобайт в минуту. Если вообще грузится…

Опять-таки, с пользователями… У нас в конференции, на обсуждении «Рыбного дня #10» был приведен один презабавнейший текст, являющийся, по словам запостившего, частью Договора с провайдером. Приведу его полностью: «…Пользователь обязуется не привлекать Исполнителя и его филиалы или компании, действующие по поручению Исполнителя, ответчиком или соответчиком по любым обязательствам и расходам, связанным с нарушением данного Соглашения Пользователем или другими лицами, использующими его имя пользователя и пароль; или связанным с использованием Услуги или сети Интернет; или связанным с помещением или передачей любого сообщения, информации, программного обеспечения или других материалов в сети Интернет Пользователем или другими лицами, использующими его имя пользователя и пароль…». То есть фактически — за то, что было сделано с вашего компьютера, отвечаете только вы, и никак иначе. Меня лично немного покоробило одно: простите, а что — сотрудник САМОГО ПРОВАЙДЕРА в силу своих служебных обязанностей и/или полномочий не может узнать мое имя и пароль и воспользоваться им в преступных целях? И что — в этом случае я тоже обязан «…не привлекать Исполнителя и его филиалы или компании, действующие по поручению Исполнителя, ответчиком или соответчиком по любым обязательствам и расходам…»? Как-то странновато получается, согласитесь…

Еще один аспект: хорошо, меня предупредили о том, что оставлять систему «голой» нельзя, и я обязался соблюдать правила сетевой безопасности. Кто именно будет проверять, насколько хорошо я их соблюдаю, и как он будет это делать? Цитируя Олега Кириллова: «…конечно, ни один из них <персональных firewall — прим. ред.> не устоит, если за него возьмутся профессионально…», — то есть компьютер, который настраивал пусть и добросовестный, но обычный пользователь — обладая соответствующей квалификацией взломать можно все равно. А если квалификация хакера не просто «соответствующая», а довольно высокая — то может не помочь даже настройка вашей системы системным администратором провайдера (и провайдеров, бывает, тоже «ломают»). То есть фактически, если взлом нашего компьютера считается нарушением Договора с провайдером — то нам остается только молиться, чтобы мимо нашего компа «пронесло» хакеров покруче, и ломать его пытались только юные пионэры. Как-то совсем невесело… Если же все будет сведено к элементарной выборочной хаотической проверке соблюдения правил сетевой безопасности путем запуска самим провайдером описанных выше «ломательных скриптов» — то сразу же возникает вопрос: а кто будет утверждать список скриптов, от которых должен быть защищен «образцовый компьютер»? А не будут ли эти списки разными у разных провайдеров или разных их объединений? А как их обновлять? А как будут соотноситься четкие, чеканные формулировки Договора, заключаемого, быть может, на несколько месяцев или даже на год — и необходимость чуть ли не ежедневно изменять процедуру тестирования «образцового компьютера» на безопасность путем добавления очередных хакерских шедевров?

Заключение

С чего начали — тем и закончили. Фактически, в третьем варианте мы приходим к той же проблеме, что описана в варианте втором, «добровольческом» — односторонняя инициатива пользователей, не поддержанная ничем кроме их энтузиазма, решить проблему не может, но не сможет ее решить и опять-таки односторонняя по своей сути «оборонная инициатива» провайдеров по принуждению пользователей. Словом, ситуации, когда либо у одной из сторон вдруг резко взыграла совесть, либо другая решила «поиграть мускулами» — как мне видится, вряд ли могут привести к чему-то кроме весьма локальных, частных достижений, которые все равно утонут в пучине общего бардака. Что же делать? А я ведь в самом начале предупредил — не знаю. Наверное, какое-то решение (или комплекс мер, позволяющих свести к минимуму последствия хакерской активности), рано или поздно будет найдено. Вы считаете, что знаете, какое? Пишите нам — чем черт не шутит…




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.