Ни для кого не секрет, что современные горизонты информационной безопасности простираются далеко за границы компьютерных систем, но так было не всегда. На заре появления информационных систем вопросам безопасности уделялось не самое пристальное внимание. Естественно, что в начале большее значение имела разработка и внедрение самих систем. Упрощение и ускорение обработки и обмена информацией были в приоритете. Более того, низкая насыщенность компьютерными системами и крайне ограниченный круг допущенных к ним людей не предвещали никаких серьёзных проблем, связанных с вопросами их безопасности.

Даже спустя годы после формирования основной структуры глобальной информационной сети вопросы безопасности оставались вторичными. Однако когда на подмостки этого театра начали выходить юные дарования с чрезмерной тягой к изучению нового, мир оказался к этому не готов. Потребовалось несколько десятков лет, чтобы выявить критические слабости систем и раскрыть тонкости технологий, лежащих в фундаменте интернета и его приложений. Если вы посмотрите на то, для чего был разработан интернет и для чего он на самом деле используется сейчас, вы увидите, что он никогда не задумывался как инструмент коммерции.

Лавинообразный рост количества интернет-компаний, который в итоге привёл к одному из самых известных экономических кризисов, помимо негативных последствий фактически послужил становлению глобальной сети. Хотя больше принято критиковать доткомовский бум, именно в это время сформировалась транспортная система глобальной сети.

Эпоха интернета в детских штанишках богата множеством историй. Многие из них послужили побудительными мотивами для самых разных вещей, но меня всегда больше всего интересовали истории, так или иначе затрагивающие вопросы безопасности. Некоторые действия, которые сегодня однозначно трактуются как преступления, не всегда были таковыми, и сегодня я расскажу историю, последствия которой навсегда изменили облик сети.

Всё началось 7 февраля 2000 года. Крупнейший поисковик того времени Yahoo! лёг отдохнуть примерно на час. В течение последующих нескольких дней были атакованы другие крупные коммерческие сайты, включая Amazon, Dell, eBay и CNN. Эта вакханалия продолжалась примерно 8 дней. Мир ещё не сталкивался с таким беспрецедентным поведением сети.

К тому времени интернет стал неотъемлемой частью экономики Северной Америки, переживавшей невероятный экономический бум электронной коммерции (сейчас мы знаем к чему это привело). Многие стартапы того времени оказались пустышками и не занимались ничем кроме агрессивного маркетинга. Другие всё-таки выжили, но понесли серьёзные потери. Конечно, причины краха доткомов не столь однозначны, как простой «перегрев» рынка, и носили комплексный характер. Правда, на мой не слишком профессиональный взгляд кажется, что одной из тех соломинок, переломивших хребет верблюду NASDAQ в марте 2000 года, стали те самые атаки на крупные компании, которые привели к значительным репутационным потерям и усилили негативный эффект падения доверия к компаниям новой экономики. 

В выступлениях на слушаниях Конгресса США отмечали, что правительственные и коммерческие компьютерные системы настолько плохо защищены, что их, по сути, можно считать беззащитными. Тот факт, что работа многомиллионной компании легко может оказаться под угрозой из-за действий всего лишь одного человека, вызвал всеобщую обеспокоенность.

Так состоялся бенефис одной из самых популярных и разрушительных на сегодняшний день типов атак — DDoS. Причиной этого явления послужили действия 15-летнего канадского подростка Майкла Калса. Свою атаку на Yahoo! Майкл назвал проектом Риволта (Rivolta), что в переводе с итальянского означает «восстание» или «бунт».

Обычно целью DoS-атаки является доведение системы до невменяемого состояния, при котором она не сможет выполнять свои функции по обслуживанию её пользователей. Раньше к такому состоянию системы приходили из-за ошибок в программном обеспечении или чрезмерных нагрузок на канал или систему целиком. На первый взгляд, ничего страшного, а с другой стороны, простой системы и потеря данных в результате этого никогда ещё не приводили к чему-либо хорошему. Коммерческим системам такие проблемы грозят как минимум недовольством, а то и потерей клиентов и достаточно серьёзными убытками.

Одним из самых неприятных свойств DDoS-атаки является её легитимность и прозрачность, поскольку ресурсов сети или производительности системы при массовых запросах может не хватить любой системе. Как определить легитимность запроса к системе? Казалось бы, всё просто: если он исходит от враждебного хоста его необходимо пресечь, если от пользователя системы — пропустить. Но сразу возникает вопрос о том, как определить качество запроса?

В пределе выхода из этой ситуации нет. Известно множество случаев, когда системы «падали» в результате вполне себе, так скажем, «уважительных» причин. В США этот эффект получил имя Slashdot-эффект. Ограничение всех запросов к системе приведёт лишь к оттоку пользователей, а в коммерческих приложениях еще и к снижению доходов.

Сегодня DDoS — это зачастую коммерчески ориентированная и скоординированная атака, запускаемая с использованием большого количества скомпрометированных хостов. Время идеализированно настроенных цифровых «террористов» давно прошло. Сейчас это всего лишь бизнес, а в нём, как известно, все средства хороши. Принципы маршрутизации, использующиеся в сети, одинаковы для всех — как для «пионеров», так и для «хулиганов». На данный момент мы можем лишь снизить вероятность и мощность этих атак и их последствий. Но это я немного отвлёкся, вернёмся на двадцать лет назад.

Уже к середине февраля 2000 года Mafiaboy, онлайн альтер-эго Майкла, засветилось в заголовках практически всех новостных изданий. Кульминацией этого информационного потока стал саммит по кибербезопасности в Белом доме, созванный президентом США Биллом Клинтоном 15 февраля.

12 сентября 2001 года суд Квебека вынес приговор Майклу, заключавшийся в восьми месяцах открытого содержания под стражей, годичном испытательном сроке с ограничениями на использование сети и некоторых типов программного обеспечения, а также скромному штрафу в размере 250 долларов США (из-за нарушений условий залога). Такой приговор кажется чрезвычайно мягким и значительно меньше потенциальных двух лет (не говоря уже о более крупном штрафе и более длительном испытательном сроке), которые могли бы быть отбыты в гораздо менее «открытых» условиях содержания под стражей. Скорее всего, на мягкость приговора повлияло событие гораздо более серьёзного масштаба, произошедшее за день до оглашения приговора, и эти обстоятельства стёрли Mafiaboy с первых полос новостных изданий.

На самом деле арест Майкла мало что сделал для умиротворения в сфере электронной коммерции, поскольку всего несколько недель спустя громко заявил о себе последний из серии буйствующих и мутирующих вирусов — «ILOVEYOU» (это история, заслуживающая отдельного повествования).

Американским и канадским следователям потребовалось два месяца, чтобы выявить и, наконец, арестовать Майкла, хотя он не очень то и скрывался, поскольку о своих «подвигах» сообщал в профильных IRC-чатах.

Некоторые специалисты по безопасности, в частности известный хакер Кевин Поулсен (Тёмный Данте), писали, что Mafiaboy не является хакером в общепринятом смысле, так как он не был программистом, а всего лишь использовал программное обеспечение, написанное кем-то другим, т. е. был «скрипт-кидди».

«Он был всего лишь подростком, который завладел готовыми DDoS-инструментами и совершал подражательные атаки, которыми тупо хвастался в IRC».

Так факт его обнаружения и ареста из-за того, что он хвастался своими достижениями, в первую очередь соответствовал стандартной мотивации для взлома. Один техник из Калифорнийского университета в Санта-Барбаре, где располагалась одна из зомби-сетей Mafiaboy, охарактеризовал его работу как «неряшливую», и оставившую очевидный след. Следователям просто требовалась возможность проанализировать журналы маршрутизаторов захваченных компьютеров и, таким образом, отследить обратную связь с другими взломанными машинами и канадским сегментом сети.

Криминалистический анализ журналов маршрутизаторов — обычная практика в компьютерной безопасности. Поэтому такой опытный хакер, как Поулсен, очень критически подошёл к анализу деяний Mafiaboy и предположил что ФБР намеренно раздули историю с Майклом до исторических масштабов, характеризуя её как «веху» в усилиях по борьбе с киберпреступностью.

Эта версия может показаться достаточно убедительной, поскольку многие «хакерские» признаки слишком идеально подходят к делу Mafiaboy и легко накладываются на линии защиты и обвинения.

В то время как Mafiaboy подвергался резкой критике со стороны своих «коллег», его адвокат Ян Романовский разрабатывал стратегию защиты, заключающуюся в том, что мотивом было общественное благо, а не злонамеренный ущерб. На судебном процессе Майкл признал себя виновным с оговоркой, что он был хакером в «белой шляпе», который в конечном итоге хотел помочь создать более совершенные системы безопасности, а взломы просто доказывали наличие проблем и в то же время были гигантскими шагами в направлении решения этих проблем.

Линия обвинения настаивала на серьёзности преступления и его экономических последствий, а также на том, что обвиняемый не проявил особого раскаяния. Это утверждение горячо оспаривалось защитой в сочетании с аргументами о ненасильственном характере действий. Защита не увенчалась полным успехом, в конце концов, преднамеренный преступный умысел был доказан, и Mafiaboy был приговорен.

С самого начала к этому делу проявлял большой интерес Национальный центр защиты инфраструктуры США (NIPC), а информация, собранная двумя ключевыми следователями по вопросам безопасности в США, была передана через ФБР в федеральную полицию Канады (RCMP) на ранних этапах событий. Таким образом, случай Mafiaboy никогда не был только канадским. Это была общая североамериканская ситуация с «глобальными» последствиями.

Вопрос о впечатляющих и гиперболичных оценках экономического ущерба, причиненного DDoS-атаками Mafiaboy, заслуживает отдельных замечаний. По некоторым данным, нанесённый им экономический ущерб составил более миллиарда долларов США. Однако оценки потерь — это всего лишь оценки, полученные путем спекуляций и экстраполяции: потери доходов, рыночной капитализации, затрат на модернизацию дыр в безопасности и восстановление доверия потребителей. Эти потери потенциальны, а не реальны. Переход от миллионов через сотни миллионов к миллиардам никогда не был ни оправдан, ни объяснён. Скорее всего, такие впечатляющие цифры появились в результате информационного шока. Проведённые DDoS-атаки отнюдь не были первыми в истории, просто впервые они были направлены против топовых компаний и получили широкий резонанс в прессе. Также суд отмечал, что столь крупные убытки в итоге не были затребованы пострадавшими компаниями для возмещения ущерба. Ни одна корпорация не обратилась в суд с требованием о возмещении убытков.

Также одним из последствий проведённых атак стало налаживание более тесных контактов федеральных служб с интернет-провайдерами, ранее склонными к замалчиванию случаев взлома и простому закрытию скомпрометированных аккаунтов. Случай Mafiaboy очень нагляден, поскольку ранее были заблокированы четыре аккаунта, зарегистрированных по месту жительства Mafiaboy за хакерскую деятельность тремя отдельными провайдерами, но о подозрительной активности перед большой волной атак с этих учётных записей никогда не сообщалось.

За прошедшее время неоднократно предпринимались попытки художественного осмысления произошедшего, однако по условиям приговора Mafiaboy не может каким-либо образом извлекать репутационную или финансовую выгоду, прямо или косвенно, от своих подсудных действий. Однако для меня немного непонятно, как это судебное решение коррелирует с изданными книгами. Вряд ли Майкл Калс ничего за них не заработал.

Так был ли Майкл «хакером» в экстремальном смысле этого слова или всё-таки на тот момент он был обычным подростком, использовавшим чужие наработки для бахвальства?

Как всегда, во многих противоречивых делах истина лежит где-то посередине. Во многом такая ситуация была спровоцирована как следственными органами, так и прессой. В отдельные моменты следователи представляли Майкла как злого гения, возможно, для того, чтобы представить свою работу по задержанию опасного преступника в выгодном свете. Пресса, как обычно, была рада подыграть властям и преувеличивала факты и реалии дела, представляя его как потрясающий потенциальный прорыв в расследовании одной из самых громких хакерских атак в истории. От обвинения во взломе около тысячи веб-сайтов и сотен серверов до миллиардных убытков. Наряду с неопровержимыми фактами, представленными в отношении ареста, в деле было огромное количество откровенной пурги.

Интересным фактом этого безумия в СМИ было то, как пресс-службы следственных органов пытались манипулировать общественным мнением, представляя Майкла обычным подростком (особенно после помпезных заявлений о поимке крайне опасного преступника). Несколькими днями ранее парень был потенциальной угрозой для общества, которая заслуживала внимания самых именитых журналистов и пресс-конференции на Капитолийском холме, а спустя совсем небольшой промежуток времени он представлялся каким-то тупым подростком. Понятно, что изначально полиция была рада сообщить о мощном ударе по киберпреступности, но теперь они не хотели, чтобы у кого-то сложилось впечатление, будто парень особенный и он стал знаменитостью, как Кевин Митник. Однако как Митник сам говорил в интервью CNN 2005 года, он также видел, как пресса манипулировала его репутацией и преступлениями, иногда называя его «Усамой бен Митником».

Один из аспектов дела Mafiaboy заключался в том, что в соответствии с канадским законодательством реальное имя Майкла не должно было быть названо в связи с его несовершеннолетием, однако вскоре оно всё равно стало достоянием общественности. Так как в подпольной хакерской культуре дескриптор привилегирован в ущерб настоящим именам, после того как реальное имя Майкла стало известным, на нём как на хакере можно было ставить крест. Вообще вопрос о привилегиях привлекает внимание к акту авторства любой атаки и ставит его под сомнение. Автор — это тот, кем станет хакер после выхода на «пенсию» (или ареста), претендуя, таким образом, на историю своих действий как на свою интеллектуальную собственность. Но пока он активен, он остаётся анонимным, сохраняя дихотомию своей личности онлайн и офлайн. Как только между ними устанавливается однозначная связь — хакер «выходит в тираж».

Сегодня Майкл — эксперт по информационной безопасности и CEO компании DecentraWeb. В 2008 году в соавторстве с Крейгом Сильверманом издал биографическую книгу Mafiaboy: How I Cracked the Internet and Why It's Still Broken. Сейчас в продаже издание 2011 года — Mafiaboy: A Portrait of the Hacker as a Young.

НЛО прилетело и оставило здесь промокод для читателей нашего блога:
-15% на заказ любого VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.