БЕЗОПАСНОСТЬ
В PC Week/RE, № 20/2001, с. 42 была опубликована моя статья “Угрожает ли Фемида российским хакерам”, посвященная тому, как на практике действует Управление по борьбе с преступлениями в сфере высоких технологий (известное как Управление “Р”, недавно переименованное в Управление “К”). Я надеялся, что ситуация изменится, тем более что после этой публикации получил много писем от сотрудников региональных отделов по борьбе с компьютерной преступностью, подтверждающих мою правоту. Но этого не произошло. Появилось немало интервью сотрудников Управления “Р”, в которых рассказывалось о том, как продвигается борьба с компьютерными преступниками (газета “Ведомости”, журнал “Хакер”, агентство CNews, телепередача “Человек и закон” и т. д.). В них утверждалось, что наказание неизбежно и ни один компьютерный хулиган не уйдет от ответственности. Однако приходится констатировать, что ситуация на экране (или на печатных страницах) существенно отличается от реальной. Например, показателен ответ руководителя московского Управления “Р” Д. В. Чепчугова на вопрос журналиста газеты “Ведомости” о применении хакерских методов и средств. Ответ был категоричен: “Нет. Никаких хакерских методов мы не используем”. В качестве причин отказа от этих средств названо две: противоречие закону и неприменимость хакерских методов в работе по расследованию преступлений.
Позволю себе прокомментировать его ответ. Во-первых, что такое хакерские методы? Никакой разницы между ними и “нехакерскими” методами нет. Существуют даже схожие термины “black hat” и “white hat”, т. е. люди, использующие одни и те же методы, но с разными целями. “Черные шляпы” - это и есть хакеры, которые с помощью сканирования, подбора паролей и т. д. взламывают чужие системы с целью нанесения им ущерба или по другим мотивам (см. статью “Почему вы можете стать жертвой хакеров”, PC Week-Online, 14 февраля 2002, pcweek.ru/?ID=181653), среди которых получение прибыли - не самое главное. “Белые шляпы” - это специалисты по защите информации, использующие вышеназванные методы с тем, чтобы выяснить возможные способы проникновения хакеров в сеть и “заткнуть” все дыры до того, как ими воспользуются злоумышленники. В обоих случаях применяются одни и те же методы и средства, различаются только цели. Хакеры выполняют свои действия со злым умыслом, заранее зная, что и для чего они делают. Кстати, о средствах. В интервью “Ведомостям” руководитель Управления “Р” ГУВД Москвы заявил, что ему не доводилось видеть “хакерский софт”, не содержащий троянцев и “прочих вредоносных инсталляций”. А как же Nmap, dsniff, L0phtCrack, John the Ripper, SARA, netcat и огромное множество других утилит, которые используются по обе стороны баррикад? Они давно известны и поставляются в исходных текстах для того, чтобы любой специалист смог изучить их и убедиться в отсутствии недекларированных возможностей. Мало того, одна из таких утилит - сканер уязвимостей Nessus - даже сертифицирована Государственной технической комиссией при Президенте РФ.
С чем же работает Управление “Р”, вылавливая виртуальных преступников на просторах Рунета? “Мы используем профессиональное программное обеспечение”, - утверждает Д. В. Чепчугов. Я бы поверил в это (все-таки со времени последней моей публикации об Управлении “Р” утекло немало воды), если бы не несколько моментов. В одном из телеинтервью было продемонстрировано такое “профессиональное” ПО. На вопрос журналиста о том, как отследить реальный адрес злоумышленника, была запущена программа VisualRoute, которая является не более чем красивым графическим интерфейсом к утилите traceroute, входящей в состав ОС Unix и Windows и призванной изучать маршрут движения IP-пакетов по сети. Но эта утилита непригодна для отслеживания злоумышленников, действующих через промежуточные, в том числе зарубежные серверы (см. статью “Видит око, да зуб неймет”, PC Week/RE, № 13/2002, с. 20), и тем самым заметающих свои следы. А совсем недавно, 24 сентября, выступая на конференции “Системы информационной безопасности в корпоративных сетях”, представитель Управления “Р” вынужден был признаться, что в бюджете МВД нет статьи расходов на приобретение лицензионного ПО, а также на оплату услуг Интернета. С трибуны прозвучали и более настораживающие откровения. Оказывается, 95% всего ПО в МВД - нелицензионное и уже две недели Управление “Р” не имеет выхода в Интернет, так как у них сгорел модем, а денег на новый нет. После этого последовал призыв к компаниям, занимающимся информационной безопасностью, и Интернет-провайдерам помочь милиционерам, кто чем может.
Стоит также коснуться квалификации сотрудников Управления “Р”. В интервью CNews.ru (www.cnews.ru/news/ebusiness/2002/02/08/20020208141804.shtml) Д. В. Чепчугов сказал о том, что в его ведомстве работают не только “прекрасные технические специалисты в области защиты информации”, вышедшие из вузов (о том, как готовят таких специалистов в российских вузах, см. статью “Особенности российской системы образования в области защиты информации”, PC Week/RE, № 25/2002, с. 20), но и “хорошие оперативники”. Однако на уже упомянутой конференции представитель Управления по борьбе с преступлениями в сфере высоких технологий признался, что “сложность раскрытия преступлений связана с наличием у преступников специальных знаний в области электронной техники. Мы, к сожалению, такими знаниями не обладаем”. Как говорится, без комментариев.
Разноголосица присутствует во многих высказываниях сотрудников Управления “Р”. Так, г-н Чепчугов в интервью CNews утверждает, что компьютерный сыщик должен “вести разговор с противником на равных, а еще лучше - быть на голову выше него”. А 24 сентября на конференции по безопасности прозвучала совсем другая точка зрения: “Для доказательства не надо быть лучше хакера”. Но как же так? Чтобы собрать доказательства и представить их в суде, сыщику надо разбираться в действиях хакера. Лишь в этом случае он сможет не только на законных основаниях предъявить обвинение, но и доказать виновность компьютерного преступника. Иначе большинство дел, даже доведенных до суда, там могут и “рассыпаться”.
Помимо слабой технической оснащенности и недостаточной квалификации у сотрудников Управления “Р” наблюдаются определенные проблемы и с законодательством в области компьютерной преступности. Например, согласно действующему законодательству, проникновение в сеть любой компании без нанесения ей ущерба не является преступлением. В то же время Открытый форум Интернет-провайдеров (OFISP, www.ofisp.org) считает такие действия незаконными, но поскольку многие российские провайдеры включают в текст своих договоров с клиентами положения “Норм пользования сетью”, разработанные этим общественным объединением, возникает некоторая нестыковка.
Как было заявлено на конференции “Системы информационной безопасности в корпоративных сетях”, Управление “Р” ГУВД Москвы внесло ряд предложений по расширению 28-й главы Уголовного кодекса и созданию подзаконных актов, направленных на устранение имеющихся недостатков в нормативной сфере и приведение ее в соответствие с общемировой практикой. К сожалению, ознакомиться с данными предложениями невозможно, так как Управление “Р” не раскрывает их сущности, отделываясь общими словами.
Понемногу ситуация в регионах, связанная с нехваткой отделов, занимающихся компьютерными преступлениями, начинает меняться. А некоторые подразделения даже обзавелись своими представительствами в Интернете (например, Самарское и Ставропольское управления - www.p.samara.ru и www.stavropol.net/r). Кроме того, появились сайты, посвященные компьютерной преступности, в частности www.crime-research.org и cybercrime.report.ru. Так что в публикациях недостатка уже нет.
В целом можно отметить, что, пока государство не обратит внимание на данную проблематику, органы внутренних дел практически ничего не смогут противопоставить компьютерным преступникам. Сыщики будут заниматься детской порнографией в Интернете, неопытными ворами паролей, незаконными переговорными пунктами и т. д. Но как только правоохранительным органам придется столкнуться с действительно серьезным взломщиком, их бессилие проявится в полной мере. С автором можно связаться по адресу: akiviristi@mail.ru.
