Уязвимости Интернета

Существуют по меньшей мере пять основных уязвимых мест в архитектуре самого Интернета.

Во-первых, это система адресации, которая всегда знает, кто и где находится в Интернете.

Интернет-провайдеров иногда называют операторами, поскольку они оперируют трафиком в Интернете. Разнообразные компании производят маршрутизаторы, серверы, программное обеспечение, но именно интернет-провайдеры объединяют их. Для удобства давайте разделим интернет-провайдеров на две категории.

Существуют национальные интернет-провайдеры, они владеют и управляют тысячами километров оптоволоконных кабелей, которые проложены по всей стране, соединяя крупные города. В США действует шесть таких крупных провайдеров (Verizon, AT& T, Qwest, Sprint, Level 3 и Global Crossing). Их называют магистральными интернет-провайдерами. Как только магистраль доходит до вашего города, она соединяется с множеством более мелких провайдеров, которые обслуживают местные предприятия и ваш дом. Интернет-провайдерами могут быть телефонные компании или кабельное телевидение. Их кабели связывают ваш дом со всем остальным миром.

Чтобы представить, как все работает, и найти некоторые уязвимые места Интернета, посмотрим, что происходит, когда я соединяюсь с Интернетом. Я включаю ноутбук и открываю браузер. При этом я сразу выхожу в Интернет и попадаю на свою домашнюю страницу. Допустим, это будет веб-страница консалтинговой фирмы, в которой я работаю. Итак, сидя в своем домашнем офисе в округе Раппаханнок (штат Вирджиния), у подножья Аппалачей, а делаю клик мышкой, и мой браузер переносит меня на wwwjnycompany.com. Поскольку компьютер слов не понимает, адрес нужно перевести на машинный язык единиц и нулей. Для этого браузер использует систему доменных имен. Это что-то вроде телефонной справочной службы — вы называете имя человека, и вам дают его телефонный номер. Офис моей консалтинговой фирмы расположен в 120 километрах от моего дома в Вирджинии, но ее веб-страница находится на удаленном сервере в Миннеаполисе и имеет адрес, например, 123.45 678.90. Столько цифр сложно запомнить. К счастью, этого и не нужно. Браузер обращается к системе доменных имен, чтобы найти адрес. Он посылает сообщение в базу данных сервера, который является составной частью сложной иерархии компьютеров, формирующих систему доменных имен. Для кибервоинов система доменных имен — идеальная мишень. Ее создавали, практически не задумываясь о безопасности, поэтому хакеры легко могут менять информацию и перенаправлять вас на фальшивые веб-страницы.

Когда я открываю браузер, он посылает запрос на сервер, где расположена нужная вше веб-страница. Запрос разделяется на серию пакетов, каждый из которых передается отдельно. Давайте проследим путь одного пакета от моего компьютера до сайта. Первый «прыжок» совершается с компьютера на встроенную с него карту wi-fi, где пакеты превращаются в радиоволны и перелетают по воздуху на мой домашний wi-fi-маршрутизатор. Если этот маршрутизатор недостаточно защищен, хакеры могут проникнуть в компьютер через wi-fi соединение. Маршрутизатор еще раз преобразовывает сигнал и отправляет его моему местному интернет-провайдеру в быстро растущий городок под названием Кэльпепер. Это прекрасное местечко, но до центра киберпространства от него далековато. Поскольку город расположен далеко от зоны возможного ядерного взрыва, направленного на Вашингтон, именно здесь хранятся базы данных финансовых и правительственных институтов: например, узел AT& T (Американской телефонно-телеграфной компании) расположен на Аллее любовников, 13 456 (вот как!). Линия моего интернет-провайдера проходит через весь город до места, где электроны моего запроса конвертируются в фотоны, чтобы попасть в оптоволоконную сеть AT& T. Затем пакет попадает в Морристаун (штат Нью-Джерси), где передается на вашингтонский маршрутизатор AT& T, затем возвращается в Нью-Джерси, на этот раз в Мидлтаун. Мидлтаунский маршрутизатор передает пакет в первичному интернет-провайдеру Level 3. Попадая в магистраль Level 3, пакет проходит через три разных узла в Вашингтоне. К этому времени расстояние, пройденное пакетом по радиоволнам, медным проводам и высокоскоростным участкам оптокабелей, превысило 1300 километров, хотя оказался он на расстоянии всего 120 километров от места отправки. Последний маршрутизатор Level 3, находящийся в Вашингтоне, передает его на огромной скорости в Чикаго (наконец-то мы хоть куда-то продвинулись), где он проскакивает еще два маршрутизатора Level 3, а затем отправляется в Миннеаполис. Вместо того чтобы сразу попасть к нашему хостинг-провайдеру, пакет проходит еще 1120 километров до следующего маршрутизатора Level 3, находящегося в офисе компании в Колорадо, откуда пересылается обратно интернет-провайдеру нашей компании, в Миннеаполисе, и на наш веб-сервер. Чтобы преодолеть расстояние в 1450 километров до Миннеаполиса, наш пакет прошел около 3220 километров, но весь этот процесс длился не более нескольких секунд.

Бели бы кибервоинам захотелось отправить этот пакет в неправильном направлении или не дать ему попасть куда-либо, у них было бы минимум две возможности. Во-первых, как уже говорилось, можно было атаковать «справочную службу» Интернета — систему доменных имен и отправить меня на другую страницу, возможно, поддельную и очень похожую на ту, которая вше нужна, где я мог оставить номер своего банковского счета и пароль. Помимо вмешательства в систему доменных имен с целью перехвата запроса кибервоины могут атаковать саму систему. Так произошло в феврале 2007 года, когда шесть из тринадцати крупнейших доменных серверов высшего уровня подверглись DDoS-атаке. Как и в истории с Эстонией и Грузией, на серверы стали поступать тысячи запросов в секунду. Два атакованных сервера вышли из строя, в том числе и тот, который управляет трафиком Министерства обороны. Четыре сервера сумели справиться с атакой, перенаправив запросы на другие сервера, не тронутые хакерами. Атака продолжалась восемь часов, следы ее вели в Тихоокеанский регион. Хакеры остановились, либо испугавшись, что их обнаружат, либо, что более вероятно, потому, что они только тестировали свои возможности. В 2008 году Дэн Камински продемонстрировал, как искушенный противник может взломать систему. Он представил программу, которая открывает доступ к системе доменных имен и спокойно разрушает базу данных. После этого система начинает выдавать неверные номера. Даже неправильная адресация способна вызвать полный хаос в Интернете. Одна из компаний, занимающихся кибербезопасностью, нашла 25 разных способов взломать систему доменных имен, уничтожить или выкрасть данные.

Второе уязвимое место в Интернете — пограничный шлюзовый протокол. За несколько секунд и три тысячи километров пути моего пакета хакер имеет возможность перехватить его в момент перехода в сеть AT& T. Компания AT& T предоставляет самые безопасные и надежные интернет-услуги в мире, но и она уязвима. Когда пакеты попадают в магистраль, оказывается, что AT& T никак не связана с моей компанией. А кто связан? Пакеты проверяют базы данных всех крупных интернет-провайдеров. Там они находят информацию от Level 3: «Если вы хотите попасть на mycompany.com, идите сюда». Так система маршрутизации регулирует трафик в пунктах объединения интернет-провайдеров, там, где один заканчивает работу, а другой начинает, на границе.

BGP — пограничный шлюзовый протокол — основная система, используемая для маршрутизации пакетов. На пакетах есть ярлыки с адресами «куда» и «откуда», а протокол BGP, как работник почты, решает, на какую сортировочную станцию отправить пакет. Протокол BGP, кроме того, устанавливает «равноправные» отношения между двумя разными маршрутизаторами двух разных сетей. Чтобы пакет перешел из AT& T в Level 3, нужно, чтобы маршрутизаторы этих провайдеров имели BGP-соединение. Как говорится в отчете Internet Society, некоммерческой организации, занимающейся развитием интернет-стандартов, «в протоколах BGP нет внутренних механизмов защиты от атак, которые изменяют, удаляют или фальсифицируют данные, что может привести к нарушению всего процесса маршрутизации в сети». То есть когда Level 3 говорит: «Если вы хотите попасть на mycompany.com, идите сюда», никто не проверяет, правда ли это. BGP-система работает на доверии, а не по любимому принципу Рональда Рейгана «доверяй, но проверяй». Если какой-нибудь злоумышленник, сотрудник крупного интернет-провайдера, пожелает воспользоваться Интернетом в своих целях, он легко сможет это сделать, взломав таблицы пограничного шлюзового протокола. Это можно сделать и снаружи — достаточно изменить команды пограничного шлюзового протокола, и интернет-трафик не достигнет своего пункта назначения.

Любой, кто занимается сетевым управлением в крупных интернет-провайдерах, знает об уязвимых местах системы доменных имен и протокола BGP.

Люди вроде Стива Кента из BBN Labs в Кембридже (штат Массачусетс) придумали несколько способов сокращения этих уязвимостей, но Федеральная комиссия по связи не требует от интернет-провайдеров применять эти разработки. Правительственные органы США используют безопасную систему доменных имен, но в коммерческой инфраструктуре такой практики не существует. Решения по системе доменных имен принимаются в неправительственной международной организации ICANN (Ассоциация по присвоению имен и номеров (портов) Интернета), где никак не могут прийти к соглашению о системе безопасности. В результате мишенью кибервоинов может являться сам Интернет, но большинство специалистов по кибербезопасности считают, что это маловероятно, поскольку Интернет необходим для осуществления атаки.

ICANN демонстрирует еще одно уязвимое место Интернета — систему управления. На самом деле Интернетом никто не руководит. Во времена юности Интернета АКРА (Агентство по перспективным исследовательским проектам МО США) исполняло функции сетевого администратора, но сейчас этим никто не занимается. ICANN более других организаций близка к тому, чтобы взять на себя ответственность за управление хотя бы частью Интернета. ICANN гарантирует, что веб-адреса будут уникальны. Компьютеры — логические устройства, и они не любят неопределенности. Если бы в сети Интернет существовало два разных компьютера с одним и тем же адресом, маршрутизаторы не знали бы, что делать. ICANN решает эту проблему, ведя работу по присвоению адресов, но, решая одну из проблем управления Интернетом, не занимается другими. Более десятка межгосударственных и неправительственных организаций играют различные роли в управлении Интернетом, но никакие полномочные органы не обеспечивают общего руководства или контроля.

Третье уязвимое место Интернета: все, что обеспечивает его работу, является открытым, незашифрованным. Когда вы перемещаетесь, большая часть информации пересылается открыто, в незашифрованном виде. Это как FM-радиостанция, которая транслирует песни Pink Floyd, и любой может настроиться на ее волну. Приемник, купленный в Radio Shack, позволяет прослушивать переговоры дальнобойщиков и в большинстве городов — полицейских. В некоторых городах полиция даже зашифровывает сигналы, чтобы гангстерские банды не могли прослушивать их разговоры.

Интернет, в общем-то, работает по такому же принципу. Большая часть данных передается открыто, и только лишь небольшая доля трафика зашифрована. Единственная разница в том, что настроиться на чей-то интернет-трафик несколько сложнее. Интернет-провайдеры имеют к нему доступ (и могут предоставлять его правительству), поставщики услуг электронной почты вроде gmail поступают так же (даже если отрицают это). В обоих случаях вы, пользуясь их услугами, соглашаетесь на то, что они могут видеть ваш веб-трафик или электронные письма. Третья сторона, чтобы получить доступ к трафику, должна его отслеживать, используя для перехвата снифферы.

Сниффер — это устройство, перехватывающее интернет-трафик, которое может быть установлено в любой операционной системе и применяется для перехвата трафика пользователей локальной сети. Когда сниффер попадает в локальную сеть, любой абонент системы может перехватить весь трафик. Стандартный протокол Ethernet дает вашему компьютеру команду игнорировать все, что не адресовано ему, но это не значит, что он должен так поступать. Продвинутый сниффер способен просматривать весь трафик сети Ethernet Ваши соседи могут узнать все, что происходит на вашей интернет-улице. Еще более совершенные снифферы могут обмануть сеть посредством так называемого «незаконного посредника». Маршрутизатор считает, что сниффер является компьютером пользователя. Вся информация посылается на сниффер, копируется и только потом уже попадает к реальному адресату.

На многих сайтах (но не везде) используются безопасные каналы связи, когда вы входите в систему, чтобы ваш пароль не был открыт любому, кто пытается его перехватить. Когда передача пароля завершена, вас из соображений стоимости или скорости зачастую переводят в небезопасный режим. Но даже если передачу невозможно перехватить или данные посылаются в нечитаемом виде, это не значит, что вы в безопасности. Регистратор работы клавиатуры, небольшая зловредная программа, без вашего ведома установленная на ваш компьютер, отслеживает все, что вы печатаете, а затем тайно передает эту информацию. Конечно, чтобы такой регистратор проник в ваш компьютер, вы должны совершить какую-то глупость: к примеру, посетить зараженный сайт или загрузить файл из электронного письма от торо, кому вы не доверяете. В октябре 2008 года на ВВС сообщали о том, что «ученые из Security and Cryptography Laboratory из Swiss Ecole Polytechnique Federale продемонстрировали, что злоумышленники могут с помощью радиоантенны „полностью или частично распознавать нажатие кнопок клавиатуры“, улавливая электромагнитное излучение, возникающее при нажатии».

Четвертым уязвимым местом Интернета является его способность распространять вредоносные программы — вирусы, «черви» и весь так называемый мэлвер. Они используют как дефекты программ, так и ошибки пользователя, к примеру переход на зараженный сайт или открытие сомнительных прикрепленных файлов. Вирусы—это программы, передающиеся от пользователя к пользователю (через Интернет или через портативные носители, например флэш-накопители), которые нарушают нормальную работу компьютера, обеспечивают тайную точку доступа к системе либо крадут конфиденциальные сведения. «Червям» не требуется помощь человека для перехода к другому пользователю, они копируют сами себя, используя известные уязвимые места и прокладывая путь по Интернету. С помощью фишинга злоумышленники стараются заставить пользователя выдать важную информацию — номер банковских счетов, код доступа. Для этого создают электронные сообщения и поддельные веб-сайты, якобы связанные с законным бизнесом, чаще всего банковским.

Весь трафик перемещается по Интернету практически или совсем бесконтрольно. Почти всегда пользователь сам ответствен за собственную безопасность. Большинство интернет-провайдеров не предпринимают даже самых простых шагов для того, чтобы воспрепятствовать вредоносному трафику, отчасти потому, что это дорого и замедляет работу, а также из соображений прайвеси.

Пятое уязвимое место Интернета в том, что это одна большая децентрализованная сеть. Создатели Интернета не хотели, чтобы его контролировали правительства, ни в одиночку, ни коллективно, поэтому они спроектировали систему, в которой приоритет отдается децентрализации, а не безопасности. Основные идеи Интернета начали формироваться в начале 1960-х, и современный Интернет глубоко пропитан настроениями той эпохи. Многие считают Интернет изобретением военных, на самом деле он детище хиппи из кампусов Массачусетского технологического института, Стэнфорда и Беркли. Их финансировало управление перспективного планирования оборонных научно-исследовательских работ, но сеть управления перспективных исследовательских программ была создана не только для обеспечения коммуникаций Министерства обороны. Изначально она связывала четыре университетских компьютера: Калифорнийского университета в Лос-Анджелесе, Стэнфордского университет, Калифорнийского университета в Санта-Барбаре и, как ни странно, Университета Юты.

После создания сети ARPANET пионеры Интернета быстро переключились на то, как связать ARPANET с другими развивавшимися тогда сетями. Для этого они разработали протокол, используемый и по сей день. Роберт Канн, один из тех десяти человек, которых обычно считают создателями Интернета, сформулировал четыре его принципа. Их стоит привести здесь:

1. Каждая сеть должна сохранять индивидуальность. Для подключения к Интернету сети не должны подвергаться переделкам.

2. Коммуникации должны идти по принципу «максимум возможного». Если пакет не прибыл в пункт назначения, источник должен передать его повторно.

3. Для связывания сетей должны использоваться черные ящики (позднее их назовут шлюзами и маршрутизаторами). Шлюзы не должны хранить информацию о протекающих через них потоках данных. Они должны оставаться максимально простыми, без использования сложных средств восстановления после разного рода сбоев.

4. Не должно существовать глобальной системы управления.

Протоколы, разработанные на основе этих принципов, с одной стороны, содействовали широкому развитию сетевых технологий и созданию Интернета, каким мы знаем его сегодня, но с другой—именно они посеяли семена проблем безопасности.

Авторы этих фундаментальных принципов и представить не могли, что кто-нибудь помимо исполненных благих намерений ученых из университетов и правительственных организаций будет использовать Интернет. Он предназначался для исследовательских целей, обмена идеями и управления важнейшими системами. Таким образом, он должен был стать сетью сетей, а не сетями правительства, финансовых организаций и т. д. Он был разработан для тысяч исследователей, а не для миллиардов пользователей, которые не знакомы между собой и не доверяют друг другу.

На протяжении 1990-х годов Интернет считался силой добра. Не многие сторонники Интернета готовы были признать, что он нейтрален. Он облегчает обмен информацией между учеными и ведение законной электронной коммерции, но также позволяет террористам обучать новобранцев или транслировать в прямом эфире казнь в провинции Анбар. Интернет, во многом как территории племен в Пакистане или южноамериканский кокаиновый треугольник, не подконтролен никому, и поэтому сюда стягивается преступность.

Лари Робертс, написавший первую версию протокола управления передачей, сознавал, что создает небезопасную систему, но не хотел замедлять развитие новой сети и тратить время на настройку программного обеспечения. У него есть простое объяснение — это была маленькая сеть. Вместо того чтобы пытаться написать безопасную программу, контролирующую распространение информации, Робертс пришел к выводу, что значительно проще защитить линии передачи, зашифровав соединения между всеми и каждым компьютером сети. В конце концов, первые маршрутизаторы стояли в безопасных помещениях в правительственных организациях и академических лабораториях. Самое главное было — защитить информацию во время передачи между двумя точками сети. В том решении не учитывалось будущее распространение новой технологии за пределы шестидесяти с небольшим компьютеров, которые тогда составляли всю сеть. Этими компьютерами управляли проверенные люди. Присоединиться к сети могли только проверенные организации, преданные идее продвижения научных достижений. Благодаря такой немногочисленности, если в сети происходило что-нибудь плохое, не составляло особого труда узнать, кто виноват.

Затем Винт Серф покинул Агентство по перспективным исследовательским проектам и присоединился к MCI.[8]Винт мой друг, с которым я не согласен по вопросам безопасности Интернета. Но Винт — один из той группы людей, которые по праву зовутся отцами Интернета, поэтому его мнение по связанным с Интернетом вопросам значительно важнее моего. Кроме того, Винт, которого вы никогда не увидите без галстука-бабочки, — обаятельный парень и теперь работает в Google, что опять же говорит в его пользу. MCI (которая теперь является частью AT& T) была первой телекоммуникационной компанией, проложившей часть магистральных каналов и предложившей новые технологии корпорациям и даже через интернет-провайдеров домашним пользователям. Винт создал протокол управления передачей вместе с проблемами безопасности, которые теперь стоят перед значительно более широкой аудиторией и которые нельзя решить посредством кодирования соединений. Ведь никому не было точно известно, кто присоединялся к сети MCI.

В любой крупной системе есть слабые места. Сегодня сеть Интернет разрослась настолько, что уже IР-адреса подходят к концу. Когда Интернет развивался, изобретатели придумали систему для идентификации каждого устройства, которое будет подключаться к сети. Они решили, что все IP-адреса должны состоять из 32-разрядов, чего достаточно для присвоения 4, 29 миллиарда IP-адресов. Они и представить не могли, что когда-нибудь нам потребуется больше. Сейчас на планете проживает порядка 6, 8 миллиарда человек. По текущим стандартам, каждый второй обладает более чем одним IР-адресом. Даже сегодня этого недостаточно. Запад становится все более зависимым от Интернета, растет число пользователей в странах второго и третьего мира, поэтому 4, 29 миллиарда IP-адресов может не хватить на всех, кто пожелает присоединиться к Всемирной паутине. С проблемой нехватки адресов еще можно справиться, если мы перейдем на протокол IPv6 до того времени, как исчерпаются все IP-адреса IPv4, то есть если через пару лет большинство устройств смогут работать по новому стандарту. Но если на мгновение задуматься, возникнет повод для переживаний.

Пентагон рисует такой сценарий на не слишком далекое будущее. Каждый солдат в зоне конфликта станет узлом (хабом) сети, и около десятка устройств, которые он использует, будут также подключены к сети, для чего им понадобятся уникальные IP-адреса. Если вы прогуляетесь по какому-нибудь магазину современной бытовой техники, то заметите, каким количеством стиральных машин, фенов, посудомоечных машин, микроволновых печей и холодильников можно управлять через Интернет. Если вы задержались на работе, но хотите, чтобы к вашему возвращению духовка нагрелась до 220 градусов, вы заходите на сайт, получаете доступ к своей духовке и указываете нужную температуру прямо с рабочего стола компьютера. Все это значит, что к тому времени, как мы перевалим за 4, 29 миллиарда веб-адресов, зависимость нашего общества от Интернета невероятно возрастет и коснется всего, начиная от управления термостатами и заканчивая обороной страны, а проблемы безопасности усугубятся. О том, что это значит для конфликтов в реальном мире, большинство политиков из Пентагона до недавних пор предпочитали не думать. Ведь если у вас есть возможность воздействовать на разные устройства через Интернет, вам под силу не только украсть деньги. Вы можете нанести реальные повреждения, в том числе и нашим вооруженным силам.