Дата
15.02.2000
Автор
Скрыт
Источник
Русский Журнал
Сохранённая копия
Internet Archive
Original Material

Настик Грызунова. Невод. Выпуск 62.


Русский Журнал / Net-культура / Невод
www.russ.ru/netcult/nevod/20000215.html

Невод. Выпуск 62.
Настик Грызунова

Дата публикации: 15 Февраля 2000

Обзор текущих сетевых событий и публикаций

Теория и практика диверсий

В сю прошедшую неделю средства массовой информации демонстрировали свои способности в области профессионального анализа и профессиональной истерики: до такого состояния их довела серия атак на Yahoo!, eBay, Amazon.com, CNN, Buy.Com, E*Trade, ZDNet и Datek Online Holdings. Пожалуй, сопоставимый по масштабу резонанс вызвал в свое время разве что вирус Melissa, а затем - юридические пируэты Microsoft.

Как всегда, когда случаются глобальные события, ни скрыть, ни проигнорировать которые мы не в состоянии, из них пришлось делать выводы. Выводы эти не то чтобы удручающи, однако, малоприятны, как любое явление, открытое сто лет назад, с которым довелось столкнуться только сегодня: теоретически вроде бы знали, что все именно так, но как-то не предполагали, что оно себя реально проявит. Итак, выводы.

Во-первых, дела с компьютерной безопасностью обстоят из рук вон плохо. Это вовсе не откровения как для экспертов, так и для широкой публики, но получить по этой давно известной причине трехдневный кибертеррор было довольно неприятно. Впрочем, некоторые специалисты утверждают, что низкий уровень развития средств защиты компьютерных систем - естественное дело, потому что технологии компьютерной безопасности в своем развитии не успевают за развитием Интернет-технологий в целом. То есть того, что имеет смысл защищать, гораздо больше, чем средств защиты. Очень логично.

Во-вторых, крупные защищенные системы в случаях, когда речь идет не о прямых хакерских атаках, а о таких нападениях, какие мы наблюдали на прошлой неделе - атака по методу "denial-of-service" происходит в два этапа: сначала хакер взламывает произвольные компьютеры и внедряет на них "трояна", затем эти произвольные компьютеры в назначенный час сходят с ума и начинают забрасывать некий определенный сервер мегабайтами запросов, и будь сервер хоть трижды защищен, он, вероятнее всего, будет парализован под этой лавиной - так вот, в случае такого рода атак крупные системы зависят от уровня обеспечения безопасности мелких. Это означает, что шанс быть слегка покалеченной остается у любой системы вне зависимости от профессиональных качеств ее системных администраторов, но в прямой зависимости от профессиональных качеств системных администраторов тридцати миллионов других систем. В общем, нерадостная картина, сходная со схемами функционирования экосистем в общем виде.

В-третьих, получается, что обеспечение компьютерной безопасности - всеобщая обязанность, но обеспечить ее поголовное выполнение практически нереально. CERT и так старается. Толку мало.

Единственными, кто получил минимальную выгоду от всего этого кибервоенного бедлама, оказались компании, профессионально занимающиеся компьютерной безопасностью: их акции на Wall Street довольно серьезно подскочили. Кроме того, Клинтон, который носится со своим планом усиления безопасности американских компьютерных систем, получил лишний - и довольно убедительный - довод в пользу принятия этого своего плана.

Авторство атаки пока не выяснено. Нельзя сказать, что ФБР настроено уж очень оптимистично по поводу поимки хакеров. Кое-что выяснить, впрочем, удалось: например, обнаружилось, что, помимо всего прочего, в атаках участвовали компьютеры университетов Санта-Барбары и Стэнфорда - впрочем, это лишь две машины из нескольких десятков. По последним данным, виновников всего этого торжества следует искать в Германии - чем и занимается ФБР.

Поскольку в первые дни после атак правоохранительные органы лишь растерянно разводили руками, средства массовой информации в поиске хоть каких-нибудь разъяснений предпочитали общаться собственно с хакерами. Те, естественно, тоже не могли сообщить ничего конкретного; однако сетевой андерграунд единодушно постановил, что атаки - дело рук каких-то кретинов (" It could be virtually anyone. Except for non-jerks. You have to be a jerk to pull this kind of stunt ," - написал Ричард Брандт в Upside Today). Софт, необходимый для организации атаки по методу "denial-of-service" опубликован на множестве сайтов. Особых знаний для такой атаки не требуется (впрочем, представители Yahoo! утверждают, что хакеры хорошо представляли себе структуру их системы, и, следовательно, не совсем дилетанты). Большинство наблюдателей несколько смущены тем обстоятельством, что до сих пор никто не взял на себя ответственности за происшедшее - для хакерского сообщества это не слишком типичное поведение (с другой стороны, тюремное заключение сроком на 5-10 лет и штраф в 250 тысяч долларов - плохой стимул к рассекречиванию). Брайан Мартин, представитель Attrition.org в четверг сообщил, что получил какое-то письмо с подробностями проведения атаки, однако уверенности в том, что автор письма и есть автор акции, у Мартина нет.

Music.Ru: перепрятушки

Проект Music.Ru переехал и теперь проживает по адресу http://zvuki.ru/ . Переезд сопровождался заламыванием рук и довольно напряженным публичным выяснением отношений с бывшим инвестором компанией Port.Ru.

В изложении создателей Music.Ru сюжет выглядел следующим образом. После двух с половиной лет существования в статусе малобюджетного проекта со всеми полагающимися этому статусу прекрасными особенностями Music.Ru в сентябре 1999 года обрел в лице компании Port.Ru инвесторов. По условиям сделки Port.Ru выкупал долю Music.Ru, принадлежавшую Интернет-провайдеру Rinet, а также право на администрирование домена music.ru; впоследствии, Port.Ru должен был стать владельцем контрольного пакета Music.Ru (просто контрольного пакета - за отсутствием акций - то есть 51% стоимости проекта). В сентябре Port.Ru выкупил у компании Rinet ее долю в Music.Ru и получил домен music.ru на предмет администрирования. Спустя некоторое время (а именно - четыре месяца) создателям Music.Ru было предложено заниматься своим проектом без участия Port.Ru. Предложение Music.Ru и Rinet разрешить ситуацию, просто отыграв назад и вернув Port.Ru деньги, у бывших инвесторов одобрения не встретило. Таким образом, Music.Ru лишился инвесторов и домена music.ru, а Port.Ru - проекта Music.Ru и денег, заплаченных компании Rinet за принадлежавшую ей долю проекта.

В изложении представителей Port.Ru история, разумеется, смотрится иначе. Как сообщается в официальном заявлении компании в связи с конфликтом с создателями Music.Ru говорится, что Port.Ru отказался от сотрудничества с Павлом Ходаковым, поскольку последний не выполнил никаких обязательств перед Port.Ru, и " к февралю 2000 года сайт оставался в том же законсервированном состоянии, в каком он находился полгода назад, накануне покупки его акций нашей компанией ".

16 февраля создатели Music.Ru проводят в Москве в клубе "Бункер" пресс-конференцию, на которой они представят отчет о своей работе в течение последнего года. Обещано, что именно за последние пять месяцев отчет будет особенно содержательным. В общем, отказываясь от бессмысленных попыток понять, кто же прав, и вообще отказываясь от намерения решать подобные вопросы, могу лишь предположить, что существует некая средняя линия между официальной позицией Port.Ru и позицией Music.Ru (последняя была весьма эмоционально поддержана, в частности, моей статьей в Vesti.Ru). Искать эту среднюю линию я не собираюсь, но догадываюсь, что она-то и есть реальные события. По всей видимости, все участники, как это всегда бывает, друг друга неправильно поняли.

Минсвязи: денег, вышли мне денег

Китайская электростанция: десять тысяч китайцев в шелковых трусах ездят по эбонитовой палочке.

Глава Министерства связи и информатизации РФ Леонид Рейман предложил правительству срочно выделить средства на продолжение работ по "проблеме-2000". По его данным, некоторые федеральные органы решали "проблему-2000" вручную, переводя системы на ручной режим, останавливая их или переустанавливая системную дату. Среди этих министерств, по словам Реймана, - Министерство обороны, Министерство внутренних дел, Министерство по чрезвычайным ситуациям, Министерство юстиции, Министерство по налогам и сборам, Государственный таможенный комитет, Федеральное агентство правительственной связи и информации, Федеральная служба безопасности, Федеральная служба налоговой полиции, Федеральная служба охраны, Служба внешней разведки, Российское агентство по системам управления, Министерство торговли, Министерство иностранных дел и Судебный департамент при Верховном Суде.

Разрыдаться разве что? В Беркли психотерапевты организуют группу пациентов, впавших в депрессию из-за того, что они так старательно готовились к 1 января, а 1 января ничего не случилось. Мир уже забыл, что ждал наступления 2000 года как потенциальный конец света. Жизнь наладилась. Ничего не произошло. Никто не умер. Ничего не взорвалось. И в этой идиллической обстановке Минсвязи РФ снова хочет денег на решение проблемы, которая не случилась полтора месяца назад.

Теоретически я могу допустить, что на всей территории России "проблема-2000" так и решалась - поменять системную дату с 1999 года на 1998, все обесточить и лечь спать на источник самовозгорания. Но только теоретически. Потому что если допустить мысль, что во всех перечисленных Рейманом учреждениях к 2000 году готовились таким образом, то можно свихнуться от ужаса. С другой стороны, почему бы и не допустить, что все системы почти всех министерств всей Российской Федерации держатся на таких соплях.

Новости вкратце