---------------------------------------------------------------
 Когда складываются вместе:

 Глобальная сеть интернет
 Уязвимость протокола TCP/IP
 Хакерская атака
 Техническая безграмотность
 Самостийность
 Журналистская ... ммм... как бы назвать... ...этика
 Денежные вопросы

       Возникают удивительные развлечения для читающей публики.

       Что позабавило в этой истории меня:

       1.  Обычно  молчаливые  сетевые  администраторы  ленятся
писать инструкции и  документацию  для  чайников,  но  зато  по
такому  поводу вторую неделю ведут горю^hячую дискуссию "Neon-V
vs.  Demos" и число артиклов в ней скоро  перевалит  за  третью
сотню.

       2.  Вот  говорят: "Виртуальный мир, виртуальные люди". И
вот газетный журналист, видимо  лицо  совершенно  физическое  -
удостоверение,  зарплата,  публикации  и  т.п.  влезает  в  мир
интернета  -  и  первое  за  что  он  "получает"  -   за   свою
"невиртуальность":  "...да  еще и без обратного адреса..." - не
имеет своего email - а значит, с точки зрения Интернета,  этого
человека не существует.

       3.  Естественно,  сама  статья  Руденко.  Просто кладезь
обалденных газетных  слоганов.  Можно  цитировать  буквально  с
любого места.

       P.S.  Есть  такой  замечательный  старый советский фильм
"Один из нас" с Георгием Юматовым в  главной  роли.  Фильм  про
удивительных   советских   людей   и   абсолютно  беспринципных
иностранных  шпионов,  не  имеющих  ничего  святого  за  душой.
Посмотрите, получите не меньшее удовольствие.


---------------------------------------------------------------

     Далее  идут сами статьи, надерганные мною из интернета без
разрешения авторов.   Причины,  подвигшие  меня  на  это  -  их
нечитабельность  -  до  одной очень медленная связь, а другая в
нечитабельной кодировке windows.
     Развлекайтесь.



Оригинал этого документа расположен на
http://www.star.spb.ru/~dz/online/on-26-08-97.htm

26 Августа 1997 года
- Поубывав бы!

из анекдота.

Украина - уникальное государство. 70 лет сидела в дерьме вместе с нами, и на тебе - как только Россия сделала попытку из этой вонючей ямы дернуться, Украина вспомнила про самостийность и отвоевала себе право... сидеть дальше в нем, родимом. Или попривыклось, или все, что делается не по уму, а по самости, ведет в дерьмо же, но вот факт - сидят. И оно, конечно, обидно: все вылезают а они - сидят. Да и эго зудит... и хочется его потеребить... почесать...

Не хочу сказать, что все они там такие. И не скажу. Но много - ужас. И все объясняют миру, в меру возможности, как хороша Украина, и сколь много горя перепало ей от России. Уж, вроде, и пообвык я слушать подобный плач на уровне общебытовом или среднеполитическом, но хайтек-шовинизм вижу впервые.

Итак. Краткое содержание предыдущих серий. Молодого украинского хлопца турнули с работы. Молодой российский хлопец за него заступился, и завалил оную работу кучей "мусора" через Интернет. В процессе заваливания крутой украинский провайдер чуть не дал дуба, и добрую неделю (!) пытался понять, что происходит. Потом пришел Руднев (АО Релком, Сове... гм... Россия) и, с помощью специалистов из "Демоса", какой-то палки и какой-то матери всех из избушки лесника разогнал, за полчаса найдя причину бардака. После чего украинский журналист поднял вселенский плач, рассказывая, как американский бекбон трещал под натиском мерзкого российского нарушителя спокойствия. Мировой Интернет был в опасности, не меньше!

Думаю, уместно будет для начала отослать читателя к оригиналу статьи, прежде чем продолжать. Прочтите, не пожалеете. Боевик, драма на драме, взлет и падение Интернет, международный терроризм гнусных русских хакеров - у автора дар, который я бы обозначил как помпеистость... или армагеддонство?

"ИНФОРМАЦИОННЫЙ ВАНДАЛИЗМ ИЛИ ЭЛЕКТРОННАЯ ВОЙНА? Из таких определений вынуждены выбирать специалисты, чтобы охарактеризовать драматические события, взорвавшие спокойствие в телекоммуникационных системах нескольких стран мира и поставившие миллионы пользователей глобальной телекоммуникационной сети Internet на грань технологической катастрофы."

Вот так вот. Чтоб жизнь медом не казалась. Ну конечно! Не может же крутой украинский журналист честно написать: "один мальчик из России уложил весь украинский Интернет, а остальные страны этого и не заметили толком"... И, главное, выбирать предлагается только из вандализма и войны, и автора совершенно не смущает то, что сам он пишет ближе к концу: "В частности, многими рассматривается версия о личной мести, реализованной с помощью компьютерной сети и направленной против компании "Neon-V" бывшим ее сотрудником, уволенным после конфликта с администрацией. В "Демосе" работал его приятель. Возможно, вместе они и разработали "оружие возмездия"." Гля, так это не вандализм был, и не война, а вовсе личная месть? Так бы и сказал.

Господин Руденко, автор статьи, имеет все основания полагать, что безобразие совершила не компания Демос, а ее сотрудник, частное лицо. Это же подтверждают и сам "Демос", и все, до кого мне удалось дотянуться в ходе проверки фактов. И наоборот, Руденко не имеет (не предъявляет, по крайней мере) фактов, которые бы наводили на мысль о причастности именно _фирмы_ "Демос" ко всему случившемуся. И тем не менее, статья упорно крутится вокруг идеи - "А Демос-то! Демос-то каков!". Сотрудник - что. Это неинтересно. Измазать бы продуктами жизнедеятельности целую фирму, да покрупнее! А чтоб было за что мазать, нужно переоценить масштабы произошедшего. Оказывается, не украинского провайдера завалили, а пол-Интернета поставили под угрозу полной дестабилизации и развала. И провайдер, к которому подключена "Global Ukraine", уже крупнейший в Америке, и вообще - "участки Internet, принадлежащие разным компаниям, в разных концах США внезапно оказывались на какое-то время парализованными и отрезанными от остального "сетевого мира". Вполне реальной стала угроза разрушительных последствий в компьютерных сетях американских пользователей. А учитывая исключительную роль американских сетей в глобальной, общепланетарной сети Internet, масштабы возможных неприятностей даже трудно было представить."

Ну в самом деле - если бы только Украину завалили, было бы как-то скучно, и нет повода развести такой крик... а тут же - страдания за весь мир, не за себя. Ну, как он сам за себя не постоит! Ну, как не распознал угрозы с востока. Бдительные украинские журналисты должны позаботиться о нем, о мире-то.

Вот что еще меня рассмешило. Выяснив способ, которым была произведена бомбежка, сотруднки "Демоса", как и полагается, его не опубликовали, а отправили "куда надо": "Технические подробности инцидента могут быть переданы огласке только после консультаций с Cert и другими службами, занимающимися вопросами безопасности в Internet" (из письма М. Коротаева, "Демос"). Это - традиционная практика. Сначала информация о методе взлома распространяется по закрытым каналам, ищется противоядие, а затем все вместе публикуется открыто, чтобы все желающие могли защититься. Любому опытному специалисту, работающему с Интернетом, это известно "с пеленок". Но не крутым парням с Украины. Паранойя побеждает разум: "Складывается впечатление, что "Демос" столь ревностно бережет интеллектуальную собственность своих хакеров, дабы поберечь "секретное оружие" на "черный" день...".

И еще одна великолепная натяжка: ""Демос" же отказался предоставить технические детали атаки, вероятно, решив сохранить их на будущее. В ход пошли такие доводы: "...алгоритм настолько прост, что, узнав идею, ее может реализовать кто попало (результат этого уже видели). Джин и так вырвался из бутылки и расширять круг лиц, даже знакомых с симптомами, пока не существует способов защиты, крайне опасно. Если в результате неосторожного обращения с информацией в мире начнут "класть" "семитысячники" и все подряд с модема на 9600, хлопот не оберешься". На профессиональном сленге компьютерщиков "семитысячниками" называются мощные вычислительные машины-маршрутизаторы, стоимость каждой единицы которых исчисляется десятками, а то и сотнями тысяч долларов. Поэтому даже неискушенному в электронике читателю станет понятным прямой ущерб от выведения из строя таких машин."

Милок! О каком выведении из строя речь? Если ты правда думаешь, что denial of service attack ломает компьютеры, ты дурак, а если лжешь - подлец. Вот и выбирай.

Честно говоря, достало меня комментировать этот бред, ибо его там 30 килобайт, и почти на каждом шагу - оскорбленное достоинство, натяжки, паранойя и псевдонаучная чушь. Последний комментарий. Речь идет о письме "Демоса" на тему произошедших событий: "К примеру, бросается в глаза то, что его подписал не президент компании и не его непосредственные заместители, которые могут придать надлежащий официальный характер такому извинению. То, что в данном случае прибегли к услугам главного инженера отдела, как бы подчеркивайте второстепенность возникшего конфликта, определяло его как мелочь, не стоящую серьезного внимания." Во-первых, в нашей стране давно уже не принято вытыбываться, и письма больше пишут не для придания официального характера, а для решения возникающих проблем. По крайней мере, хочется на это надеяться. Как-то нам тут не до выпендрежа - работы много. Во-вторых, чтоб вы знали, Михаил Коротаев - один из старейших сетевиков России, один из тех, кто строил и наш, и ваш Интернет с нуля, от пола. И тот факт, что он и Руднев занимались решением ваших, подчеркиваю - ваших проблем, надо воспринимать с некоторой благодарностью. Если бы проблемой занялись президенты и генеральные директора, вряд ли решение пришло бы так быстро.

* * *

Проведя там пол-детства, я с нежностью и любовью отношусь к Украине вообще. Зная лично множество отличных, профессиональнейших украинских сетевиков, я никак не могу предъявить ей глобального обвинения в непрофессионализме. Очень надеюсь, что Руденко и иже с ним - исключение из правила. Даже уверен. Но уж больно мерзкое. Надо же было так искозлиться. Приношу свои извинения тем, кто умеет и знает, тем, кто не страдает комплексами и паранойей, всем нормальным людям, живущим в этой удивителной стране за употребление слова "Украина" в уничижительном контексте. Не к стране это относится - к козлам в ее пределах. :-(


У нас - событие. Впервые на вашем экране в составе выпуска dz online - материал независимого (от редакции;) автора. Представляю: Алексей Ильинский. Человек широкого круга интересов, отлично ориентирующийся в бурных потоках новых технологий мира компьютеров. Профессионал. Полагаю, в моих устах это - одна из самых серьезных похвал. Ценю профессионализм. Мне очень приятно видеть Алексея на наших страницах. Тем более, что весь сегодняшний выпуск сделан по его инициативе.


Пути интернетовских ссылок завели меня на очень интересный документ на сайте очень самостийной республики. Все бы ничего, да вот название hot-topic было завораживающим - Информационный вандализм или Электронная война?

Содержание документа, написаного неким Александром Руденко (без указания электронной атрибутики), завораживает еще больше - суть его в том, что один из крупнейших российских провайдеров Интернет-услуг "Demos" обвиняется в целенаправленном электронном нападении на маленького провайдера в городе Днепропетровске под названием Neon-V (www.neon.dp.ua).

Собственно содержание документа не стоит пересказывать - его надо просто прочитать (приятно, что в этот раз, самостийность отошла от национального языка, и представила документ на русском - уж не в рекламных ли целях ? ;) Лежит это творение на http://www.gu.kiev.ua/mirror/inetwar.html.

Документ потрясающ по идеологической нагрузке - начиная от хвалебных пассажей в адрес сотрудников "Глобал Юкрейн", которые несколько дней подряд, без сна и отдыха боролись со зловредным незнакомцем, и победили таки его ("Но есть и профессиональное, и нравственное удовлетворение: ведь свой долг перед клиентами, соотечественниками, коллегами они выполнили с честью. А значит -- все в порядке."); и заканчивая подозрениями в акте диверсии, направленном по коммуникационным центрам страны, ставящем под угрозу национальную безопасность:

"Электронный удар, сознательно направленный по стратегически важным центрам коммуникаций суверенного государства, ставящий под угрозу национальную безопасность страны и благополучие многих ее граждан, -- это уже действия качественно иного порядка. Вполне логично сравнить их, скажем, с полетом разведывательных самолетов для проверки реакции сил ПВО -- ведь в ходе электронных атак "прощупывались" способы информационной защиты объектов, имеющих стратегическое значение для Украины."

Все это очень интересно с точки зрения эмоционального накала автора и целей данного документа. Но еще интересней факты, последовательно рассказывающие о ходе нападения и кампании по противостоянию. И что-то в этих фактах вызывает некоторые сомнения, которые я и попытаюсь изложить ниже.

А факты таковы. Однажды в июле, сотрудники компании Neon-V заметили, что сервера и оборудование "выглядели сильно перегуженными". Расследование выявило причину - толстый поток "электронного мусора" идущий неизвестно откуда, но с явно диверсионной целью. Дальше больше - этот же поток мусора, перегрузил канал центрального киевского провайдера "Глобал Юкрейн" а в последствии и аплинк GU - Digex, обладающего "оптоволоконными каналами с гигантской пропускной способностью - 45 мегабит в секунду" (что GU, имеющего primary link на 1MB через спутник, должно действительно потрясать... Кстати, проследим путь пакетов - через Штаты, потом через спутник и через GU на Neon). Причем нагрузка была чрезвычайно высокой и даже приводила к сбоям в коммутаторах, что настолько утомило Digex, что он сподобился поставить себе семитысячную киску. В общем по всем Штатам пошел обвал и закупорка линков. :) В конце концов, вход мусору через Digex закрыли и мусор пошел другим потоком - "по второму каналу днепропетровцев - через Релком". Релком это тут же заметил и подключился к общей борьбе с врагом. Ну и победили, разумеется, поймав за руку Demos.

А теперь, собственно, несоответствия:

Проследим путь "мусора": сначала через Штаты, потом через Релком. А источник, по утверждению защитников, находился на машине в офисе компании Demos. Сходим на Demos и поглядим их выходные каналы в MCI - два по 2Mb. Посчитаем - насколько должны быть забиты эти два канала демоса, чтобы четыре дня атаковать далекие компьютеров Neon-V? НАСКОЛЬКО они должны быть загружены, чтобы вызвать проблемы с 45MBными каналами Digex? Сложим все российские каналы вместе - не дотягиваем почти до половины (afair). И никто не заметил потока мусора на этой стороне? Неужели?

Немного информации о компании Neon-V (благо ее можно найти на том же сервере, что и вышеупомянутый документ):

neon.dp.ua

Organization, address JV "Neon-V",
pr. Gagarina, 74, 4 floor,
Dnepropetrovsk, Ukraine
E-mail postmaster@neon.dp.ua
Phones +380 562 764774,+380 562 765294 (fax)
Admin. contacts Lednev Vladimir Vladimirovich
Technical contacts Doroshenko Ruslan Valer'evich

Phone lines:

8 - V.34 (28800) rotary-line
10 - V.32b (14400) rotary-line

Links to other sites:

sync 64K carrier.kiev.ua
4LL (28800) ktts.kharkov.ua
4LL (2x33600) multippp gu.kiev.ua
sync (64K) gu.kiev.ua

Что бросается в глаза сразу - отсутсвие "второго" линка на Релком. Куда же он делся? Может, у аплинков его найдем? Ан нет. Единственный провайдер, имеющий линк на Россию из вышеперечисленных - carrier.kiev.ua. Правда одна деталь - он имеет 128K на Demos :). Тогда каким боком выплыло участие Релкома в общей борьбе с общим врагом?

Что же произошло на самом деле 18 июля? Кто творит темные дела в Demos? Откуда в этой войне появился Релком? Что двигало автором документа (авторами/коллективом товарищей?), отнюдь не специалистом в области коммуникаций, да еще и без обратного адреса для ответов/комментариев - борьба за правду, или выход на "BattleField" электронной войны с Demos (а может, с Большим Братом, развивающим свои коммуникации и постоянно угрожающим независимому бывшему родственнику?). Или это отголоски ожидаемых изменений карты соединений в связи с "большим" выходом на рынок "РосТелекома"? Или борьба за провайдерский рынок России? А может банальная некомпетентность при отражении SYN атаки? :) (Для тех, кто на спутнике: шутка.) Вопросов много, а ответов на них - только сей документ, с которого все началось еще 9 августа, и с тех пор ситуация так и остается без изменений. (Прим. ред: Некоторую информацию от противоположной стороны мы уже получили. См. ниже.)

Я не в коем случае не собираюсь петь хвалу Демосу и обвинять GU в лжи и национализме. Такой случай мог иметь место. Теоретически. Практически - тоже, но это надо доказать (если есть желание). То, что было опубликовано на www.gu.kiev.ua - не более чем рекламная статья журналиста, суть и цель которой может быть интерпретирована по разному, и я больше склоняюсь отнюдь не к варианту "антидемосовской коалиции". А вы? :)

P.S. Можете себе представить смертельно перегруженый, к примеру, 2520, на котором подключено два хвоста по 64K? :) Как они там меряют загруженность канала, состоящего из пары малтилинковых ppp? :) Они бывают там не загружены? :)


Информация из "Демоса":

Редакция благодарит Андрея Васильева ("Демос") за предоставленные сведения, и Алексея Ильинского за инициацию и материал в номер.

Я читаю новости, общаюсь с людьми, осмысливаю происходящее, и делаю выводы. Эта страничка - место, куда попадают некоторые из них. Иногда это просто издевки, иногда это - логические построения, иногда - шутки... Не стоит относиться к нижесказаному уж слишком всерьез. Однако, если нечто показалось Вам любопытным - пишите мне, пообщаемся. Если Вы нашли в сети нечто интересное, и хотите, чтобы я это откомментировал - обязательно пишите. Если у Вас возникла хоть какая эмоция - опять пишите. Мне любопытно.

Design (if any) and contents of these pages are © Dmitry Zavalishin, 1996-1997.


Оригинал этого документа расположен на http://www.gu.kiev.ua/mirror/inetwar.html
ЗЕРКАЛО НЕДЕЛИ СУББОТА, 9 АВГУСТА 1997 ГОДА.

Александр РУДЕНКО


ИНФОРМАЦИОННЫЙ ВАНДАЛИЗМ ИЛИ ЭЛЕКТРОННАЯ ВОЙНА?

Из таких определений вынуждены выбирать специалисты, чтобы охарактеризовать драматические события, взорвавшие спокойствие в телекоммуникационных системах нескольких стран мира и поставившие миллионы пользователей глобальной телекоммуникационной сети Internet на грань технологической катастрофы.

Даже самый большой пожар начинается с крохотной искорки или слабенького огонька спички, наводнение -- с маленького ручейка. Вот и в данном случае лавина дестабилизации, распространившаяся на компьютерные сети нескольких стран, началась, казалось бы, с частного, хотя и крайне агрессивного, даже циничного действия. Специалисты московской компании "Демос" -- одного из известнейших Internet-провайдеров на рынке России, вопреки всем юридическим и нравственным нормам сотрудничества в глобальной телекоммуникационной сети, разработали программу, вызывающую дестабилизирующие процессы в электронных системах сети и в качестве "мишени" для своего "оружия" избрали украинскую компанию "Neon-V", обеспечивающую Internet-услуги в Днепропетровске. Агрессия была осуществлена в июльские дни -- в самый пик отпускного периода, когда люди меньше всего ожидают неприятностей и меньше всего настроены на борьбу с ними.

Но атака принесла не только запланированный злоумышленниками эффект. Неожиданно для них "оружие", после поражения цели, вырвалось из под контроля и начало терроризировать компьютеры, маршрутизаторы, каналы и другие объекты в сетях глобальной компьютерной сети в Украине, России, США и других странах, достав даже космические каналы связи над американским континентом. Получилось так, что самый сильный удар приняли на себя даже не днепропетровцы, избранные в качестве непосредственной "мишени", а компании, обеспечивавшие фирме "Neon-V" каналы связи в Internet, прежде всего -- "Глобал Юкрейн" в Украине, "Релком" -- в России, "Digex" -- в США. В качестве разрушающих средств использовались потоки электронного "мусора", которые по командам злоумышленников переполняли сетевые компьютерные системы в диапазоне атаки, резко осложняя функционирование крупных участков глобальной информационной сети Internet и грозя полностью парализовать их деятельность.

Лишь самоотверженность и профессионализм согласованных действий специалистов киевской компании "Глобал Юкрейн" и их зарубежных партнеров смогли сначала остановить угрозу, а затем и обезвредить ее источник.

"Демос" прислал извинение за разрушительные действия, учиненные его сотрудниками, сообщив о том, что "лица, допустившие злостное нарушение производственной дисциплины", строго наказаны. Но отказался назвать их фамилии и должности и даже не вспомнил о возмещении убытков, понесенных жертвами атаки. В обмене мнениями пo Internet компьютер зафиксировал саркастическую неофициальную реплику сотрудника московской компании в ответ на желание Киева предать инцидент огласке: "Если речь идет о юридической процедуре, то у вас вряд ли что-то получится. Убытков будет больше, чем от происшедшего инцидента. Ведь виновные находятся в другом государстве. Не устраивать же международный скандал с требованием их выдачи от российских властей?"

По всей вероятности, пришел черед отреагировать на столь дерзкий вызов уже государственным структурам Украины. Но кто первым выполнит свои обязанности по защите личного благополучия соотечественников и безопасности государства в целом -- Генеральная прокуратура? Министерство иностранных дел? Министерство информации? Или другие органы, которые не формы ради принято называть компетентными?

Так выглядит ситуация вкратце. Но беглый перечень cобытий не отображает значительного количества фактов, имеющих важное значение для безопасности людей и государств в современном мире, использующих телекоммуникационные технологии. Поэтому мы считаем своим долгом рассказать о происшедших драматических событиях более подробно.

Сейчас кажется даже, что сюжет разворачивавшихся перипетий более напоминает фантастический триллер, нежели реально происходившие события. Но именно суровая земная реальность приближавшейся угрозы вынудила многих людей в разных концах планеты забыть об отдыхе, зачастую -- о сне и еде и объединиться в борьбе с общей опасностью. Достаточно невинный, на первый взгляд, ручеек "электронного мусора", нахлынувший из неведомого поначалу источника, тщательно замаскировавшегося в недрах глобальной информационной сети, на поверку оказался весьма коварным оружием, обладающим тщательно подобранной и весьма извращенной разрушительной комбинацией вполне обыденных (с точки зрения специалистов) свойств.

В результате "атаки", несмотря на то, что она велась всего по одной-двум вполне конкретным "мишеням", серьезная опасность нависла над магистральными системами и каналами компьютерной связи Internet. Вызывая совершенно немыслимые перегрузки попадавшегося на ее пути оборудования и каналов, она приводила к потерям данных, хаотическим отказам оборудования и другим ЧП в нескольких странах. Таким образом была наполовину парализована работа не только самих магистралей сети, но и всех, кто этими магистралями пользуется, -- а это огромные массивы технических структур на земле и в космосе, компьютерные сети компаний, банков, государственных учреждений и многие другие объекты.

Ситуация осложнялась тем, что источник "атаки" было крайне непросто обнаружить. Ведь этот выпад не был похож на целенаправленную, элегантную и продуманную кражу со взломом. Происходившее скорее напоминало банальную "бытовую месть", когда кто-то, желая навредить одному человеку, исподтишка засыпает мусором лифт многоэтажки, дабы жертва такой с позволения сказать "агрессии" не могла в нем ездить. Его не интересует то, что в таком случае жертвами становятся также и все остальные жильцы подъезда. Как говорится, большого ума для такого шкодничества не надо, зато вредителя трудно выследить, и еще труднее доказать его вину. В данном случае в качестве пострадавших жильцов многоэтажки оказались пользователи глобальной телекоммуникационной сети Internet, охватывающей более 150 стран мира.

Компания "Глобал Юкрейн", одной из первых столкнувшись с агрессией, фактически могла рассчитывать лишь на свои собственные силы, особенно вначале операции по предотвращению электронного наводнения информационной "грязи". К счастью, у ее сотрудников оказалось достаточно профессионализма и иных качеств, чтобы защитить себя, своих клиентов, а потом и полностью обезвредить источник опасности.

Но -- начнем с хронологии событий. Утром 18 июля на двух главных серверах фирмы "Neon-V" -- провайдера Internet-услуг в Днепропетровске -- были замечены странные явления. И сами сервера, и принадлежащие фирме каналы связи с глобальной телекоммуникационной сетью выглядели сильно перегруженными. При этом и скорость, и эффективность комплекса резко снизилась. Проверка показала, что сервера фирмы "Neon-V" кто-то засыпает огромным количеством ненужных, "мусорных" пакетов данных. Причем источник атаки тщательно маскировался.

Проверка дала возможность предположить, что в более слабом варианте похожее вмешательство могло начаться еще раньше -- 7 июля, а одиннадцать последующих дней злоумышленнику понадобилось для того, чтобы все же подобрать в своей самодельной программе -- своеобразном "генераторе информационного "мусора" -- совершенно бессмысленную, зато наиболее опасную комбинацию режимов, многократно усиливающую интенсивность потока и фактически превращающую его в стихийное "информационное наводнение", обладающее значительной разрушительной мощностью.

Временем применения этого оружия было избрано утро пятницы -- дня, когда люди, естественно, уже настраивались на выходные и даже не подозревали о лавине "грязи", несущейся к ним из глубин информационного океана.

Потоки "мусора" сразу привлекли внимание странным поведением. На первый взгляд, они казались хаотичными, но после тщательного анализа удалось определить в поведении осмысленную систему. Предположение несколько раз перепроверялось, и к 15.00 18 июля ни у кого уже не оставалось сомнений в том, что речь идет о целенаправленной агрессии.

В таких случаях необходимо срочно разработать фильтры, способные остановить поток, не мешая нормальной работе сети. Однако эта задача неожиданно "застопорилась": оказалось, что "пакеты", несущие "мусор", умышленно "скроены" таким образом, чтобы максимально осложнить задачу создателям защитных систем. В частности, "грязь" не поддавалась "отсеву" стандартными средствами.

Необходимо было в условиях острейшего цейтнота и психологического напряжения искать уникальные средства защиты. Тем не менее, уже к вечеру 18 июля специалисты "Глобал Юкрейн" сумели сделать почти невозможное -- в несколько раз уменьшили силу "мусорного" потока. При этом нагрузка спутникового канала между Киевом и США оставалась необычайно высокой, но пока еще терпимой.

Понятно, что последующие суббота и воскресенье выходными считались только номинально. Атаки продолжались, то утихая, то нарастая с новой силой. Причем сила потока увеличивалась постепенно, будто злоумышленник испытывал пропускные способности изобретенной им "помпы", нагнетавшей информационную "грязь" в избранном направлении.

ЧП стало заметным уже в международном масштабе. Первыми забили тревогу американцы -- специалисты корпорации "Orion Network Systems" и крупнейшего lnternet-провайдера США -- компании "Digex Group", обслуживавшие американскую сторону канала США--Киев. Поток "грязи", проходивший по их каналам, превысил все допустимые пределы. От необычайно высокой нагрузки последовали кратковременные отказы в работе магистральных маршрутизаторов -- компьютеров, выполняющих важнейшие функции регулирования информационных потоков в электронной сети. Причем сбои происходили на технике, обслуживающей внутриамериканские оптоволоконные каналы "Digex" и имеющие гигантскую пропускную способность в 45 мегабит в секунду. Начались перебои и в работе маршрутизаторов других крупных американских коммуникационных фирм на стыках с магистральной высокоскоростной сетью компании.

При упомянутых отказах потоки "мусора", следуя технологическим законам Internet, немедленно разворачивались в поисках нового пути к цели, что приводило через несколько минут к перегрузке и затем кратковременному отказу другого мощного маршрутизатора, затем приходила очередь следующего "выпадать" из цепи, за ним -- еще и еще... Различимо участки Internet, принадлежащие разным компаниям, в разных концах США внезапно оказывались на какое-то время парализованными и отрезанными от остального "сетевого мира". Вполне реальной стала угроза разрушительных последствий в компьютерных сетях американских пользователей. А учитывая исключительную роль американских сетей в глобальной, общепланетарной сети Internet, масштабы возможных неприятностей даже трудно было представить.

Поднятые в выходной день "по тревоге" американские инженеры, недооценив сначала эффект атаки, решили бороться с обнаруженной перегрузкой путем замены наиболее перегруженного маршрутизатора на более мощный. С этой целью был выбран самый мощный и современный из производимых всемирно известной фирмой "Cisco Systems". Замена оборудования была окончена около 4 часов утра по американскому времени в понедельник. 21 июля. Можете представить себе попутно, каким выдался этот уик-энд для заокеанских специалистов. Впрочем, как и в Киеве -- хотя по местному времени здесь было 11 утра, никто в "Глобал Юкрейн" в прошедшие выходные не позволил себе даже мало-мальски расслабиться -- шли четвертые сутки практически без сна и отдыха.

К сожалению, меры, предпринятые американскими инженерами, не принесли положительного эффекта. Как выяснилось позже, злоумышленникам удалось длительным подбором комбинаций режимов подобрать ранее никому неизвестный и заведомо бессмысленный "букет" параметров "пакетов" данных, который создавал видимую нагрузку на маршрутизаторы в десять раз большую, чем она была на самом деле. При реальной мощности потока "мусора" в 2,5 мегабит в секунду измеренная американскими инженерами видимая его мощность составляла примерно 25 мегабит в секунду. Таким образом замена маршрутизатора в США произвела обратный эффект. Начав справляться с перегрузкой новый мощный маршрутизатор резко увеличил и мощность потока, направленного на "Глобал Юкрейн" и "Neon-V". B результате созданные здесь к этому времени защитные фильтры перестали спасать. Даже части "мусора", все же взломавшего преграду, оказалось достаточно для того, чтобы внутренняя инфраструктура сети "Глобал Юкрейн" также начала давать учащающиеся сбои.

Дальше -- больше: спутниковый канал США -- Киев оказался не в состоянии справиться с нагрузкой. Потери содержащих нужную и полезную информацию "пакетов" достигли в этом канале 25%. А сам канал, имеющий пропускную способность в 1 миллион бит в секунду, был загружен "мусором" уже более чем на треть.

Таким образом, перед "Глобал Юкрейн" встала угроза невозможности обеспечить качественный сервис своим клиентам. А это в свою очередь могло сказаться на деятельности множества учреждений, компаний, банков и других пользователей -- ведь киевская компания обслуживает почти половину отечественного рынка Internet-услуг. Положение усугублялось и тем, что у "Глобал Юкрейн", как ни у кого другого, обслуживаются исключительно ответственные клиенты: администрация Президента страны, Совет национальной безопасности, парламент, стратегические правительственные структуры, Национальный банк Украины, министерства обороны, внутренних дел, иностранных дел, экономики, финансов, машиностроения, конверсии и оборонно-промышленного комплекса, статистики и др., территориальные органы государственной администрации, множество компаний, банков, фирм, предприятий, учреждения Национальной академии наук, научные, научно-исследовательские, конструкторские учреждения других ведомств... А разве менее ответственны каналы компьютерной связи, используемые посольствами, консульствами, зарубежными представительствами известных западных бизнес-структур и другими иностранными клиентами, также широко сотрудничающих с "Глобал Юкрейн" и ценящих ее высокую профессиональную репутацию.

Специалисты киевской компании приняли меры для того, чтобы информационные системы клиентов не были открыты всем "сетевым ветрам", а значит, и не подставились под магистральное направление атаки. Этот маневр отвел удар от многих пользователей сети украинского провайдера, некоторые клиенты не пострадали даже в малейшей степени. Но уже одно то, что в самый разгар рабочего дня начала давать сбои мощная коммуникационная структура "Глобал Юкрейн" и ее партнеров, обеспечивающая выход почти половины украинских пользователей системы Internet во внешний "сетевой мир", -- являлось чрезвычайным происшествием.

А тем временем технологическая драма вовлекала в свой водоворот все новых и новых лиц. В частности, активизировался крупнейший российский Internet-провайдер -- акционерное общество "Релком". И отнюдь не случайно. Ведь после того, как "Глобал Юкрейн" во вторник 22 июля временно прекратил анонсирование фирмы "Neon-V" через американскую компанию "Digex", весь удар атаки развернулся в направлении второго канала днепропетровцев, идущего именно через "Релком". В результате там также стали стремительно "падать" маршрутизаторы, поскольку у этой российской компании с "Демосом" задействован прямой канал обмена информацией довольно высокой мощности.

Постепенно добрались и до главного виновника событий. В Киеве начала приносить плоды "операция" по обнаружению "разрушителя". Логика задействованного сценария была простой: время от времени злоумышленник, по всей вероятности, должен будет наведываться на место событий, дабы выяснить, что здесь происходит. Дело даже не в том, что, как говорят, даже убийцу тянет на место преступления невзирая на риск быть разоблаченным: в данном случае, учитывая явно экспериментальный характер применяемой новинки, можно было предположить, что автор несомненно поинтересуется содеянным, если даже не для тщеславия, то ради того, чтобы определить масштаб разрушений, учиненных им. Но как выявить именно этот "запрос" в огромном потоке хаотичной информации, продолжавшем поступать со всех сторон не только на серверы "Neon-V" или "Глобал Юкрейн", но и на значительный "электронный массив" других пользователей информационного пространства Украины, подключенных к Internet? Ведь злоумышленник прекрасно понимал, сколь невыгодно ему быть обнаруженным. И раз он сумел столь тщательно обеспечить свое инкогнито до сих пор, то уж наверняка не менее тщательно постарается замаскировать и в дальнейшем свои "контрольные визиты" на "поле атаки". Да и в любом случае вычленить кратковременный тестзапрос в бурлящем "селевом" потоке информационной "грязи" крайне сложно.

Однако, казалось бы, невозможное -- получилось. Компьютеры зафиксировали: "некто" очень осторожно, но все же довольно настойчиво время от времени "зондировал" обстановку и в "Neon-V", и в сети "Глобал Юкрейн". 22 июля уже можно было четко сказать, что это "детали одной мозаики" -- "следы" одного "исполнителя". Ухватившись за эту "ниточку", киевляне вышли и на ее другой конец. "След" вывел на московский офис компании "Демос".

К концу операции в ней скоординированно и четко работали специалисты Днепропетровска, Киева, их российские и американские коллеги. В частности, в поиск злоумышленника включился еще один крупный провайдер из России -- "Релком". Приглашая его в международную "коалицию поиска", расчет делался не только на опытность, профессионализм этой компании, одной из первых в СНГ взявшейся за внедрение Internet. В данном случае вполне можно было надеяться на то, что непосредственный конкурент "Демоса", обнаружив неправомерные действия, не станет их укрывать, а предпримет шаги, диктуемые этикой глобальной сети, призывающей пользователей к решению всех проблем на основе взаимного уважения, недопущения злонамеренных действий ни в чей адрес. Кроме того, коллег из "Релкома" поторапливало уже и то, что потоки информационной "грязи" весьма подпортили обстановку и в ее электронном хозяйстве, и мириться с этим дальше они также не желали.

Переговоры через Internet, традиционно, заняли немного времени и принесли положительный результат. "Релком" включился в операцию. Специалисты этой компании вскоре подтвердили вывод киевлян: источник электронных атак действительно находился в "Демосе".

Тогда 22 июля киевляне послали свой первый официальный запрос компании, осуществлявшей агрессию. В ответ -- молчание. Попросили подключиться к решению проблемы вновь "Релком". Через некоторое время "Демос" вышел на связь с Киевом. Выяснив сущность претензий, попытался было отклонить обвинения. Однако факты опровергнуть невозможно, пришлось соглашаться.

После предварительного диалога в сети потянулось тягостное ожидание уже сугубо официальной реакции из Москвы. Хотя атаки прекратились, сотрудники "Глобал Юкрейн" все же не позволяли себе ослабить внимание, пребывая в полной готовности отразить очередной выпад злоумышленников.

Лишь через несколько дней, 26 июля, было принято по электронной почте Internet долгожданное письмо: "В результате злостного нарушения производственной дисциплины сотрудниками отделения Internet компании "Демос", в период с 18.07.97 г. по 22.07.97 г. имели место перебои в работе отдельных машин и роутеров в сетях EUnet/Relcom, Global Ukraine и компании "Neon-V".

После того, как 22.07.97 центр управления сетью Demos/Internet был проинформирован о проблеме, источник неприятностей выявили и ликвидировали. Виновные строго наказаны.

Технические подробности инцидента могут быть переданы огласке только после консультаций с Cert и другими службами, занимающимися вопросами безопасности в Internet.

"Демос" благодарит сотрудников Центра управления сетью EUnet/Relcom за предоставление всей необходимой информации и сотрудничество.

Компания "Демос" приносит свои извинения пострадавшим и надеется, что этот неприятный инцидент не послужит причиной ухудшения отношении между нами. В свою очередь надеемся, что при появлении подобных проблем соответствующие службы компании "Демос" будут также информироваться.

Главный инженер отделения Internet компании "Демос" Коротаев Михаил Владимирович".

За внешней формальной вежливостью текста нетрудно уловить довольно пренебрежительное отношение авторов к пострадавшим. Высокомерие сквозит и в общем духе, и "между строк" процитированного письма. К примеру, бросается в глаза то, что его подписал не президент компании и не его непосредственные заместители, которые могут придать надлежащий официальный характер такому извинению. То, что в данном случае прибегли к услугам главного инженера отдела, как бы подчеркивайте второстепенность возникшего конфликта, определяло его как мелочь, не стоящую серьезного внимания. А на языке деловой этики такое подчеркнутое занижение статуса объяснения определяет не что иное, как заведомое унижение лица, которому приносится вынужденное признание в допущенных ошибках -- так сказать, по-барски, снисходя похлопать бедолагу по плечу, подчеркнув даже в процессе извинения разные уровни, на которых находятся оба. Унижению способствует и то, что за помощь в письме благодарятся лишь специалисты из "Релкома" -- остальные, конечно же, не достойны столь "солидного" признания, даже если они и взвалили на свои плечи главное бремя предотвращения катастрофических последствий в сети Internet. Куда уж тут и думать о том, чтобы узнать о результатах служебного расследования, о виновных и степени вины, им инкриминированной, о том, что из себя представляет это самое -- "строго наказаны". Ни слова не говорится и о совершенно естественных в таких случаях проблемах возмещения ущерба, причиненного теми самыми "злостными нарушителями дисциплины".

Ведь вдумаемся в то, что произошло на самом деле: в одном из подразделений крупнейшей компании -- провайдера Internet -- в ее служебном помещении, на ее служебной технике, в служебное время разрабатывалась и реализовалась компьютерная программа, разрушающая другие компьютерные системы, и затем служебными же средствами доставлялась в мировую телекоммуникационную сеть, подвергая невиданной до сих пор опасности благополучие, личное и материальное, миллионов людей и множества компаний, фирм, учреждений, организаций. Ставилась на грань катастрофы даже безопасность целых государств. Что значит в данном случае извинение инженера отдела, подчиненные которого спровоцировали инцидент?

Более того -- опасность не ослабела и после пресловутого "строгого наказания виновных". Скорее, наоборот -- стократ возросла. Ведь даже чуть-чуть приоткрыв завесу тайны над возникшей ситуацией, специалисты занервничали, увидев и в будущем значительные опасности. "Демос" же отказался предоставить технические детали атаки, вероятно, решив сохранить их на будущее. В ход пошли такие доводы: "...алгоритм настолько прост, что, узнав идею, ее может реализовать кто попало (результат этого уже видели). Джин и так вырвался из бутылки и расширять круг лиц, даже знакомых с симптомами, пока не существует способов защиты, крайне опасно. Если в результате неосторожного обращения с информацией в мире начнут "класть" "семитысячники" и все подряд с модема на 9600, хлопот не оберешься". На профессиональном сленге компьютерщиков "семитысячниками" называются мощные вычислительные машины-маршрутизаторы, стоимость каждой единицы которых исчисляется десятками, а то и сотнями тысяч долларов. Поэтому даже неискушенному в электронике читателю станет понятным прямой ущерб от выведения из строя таких машин. Так стоит ли господам из "Демоса" делать вид, что ничего серьезного не произошло? А ведь эта компания отказалась не только от опубликования технических подробностей атаки, но и от проведения контрольного эксперимента для уточнения технических деталей и подробностей влияния атаки на маршрутизаторы. Почему? Складывается впечатление, что "Демос" столь ревностно бережет интеллектуальную собственность своих хакеров, дабы поберечь "секретное оружие" на "черный" день...

Читая отписку из "белокаменной", невольно представляешь себе нравственную атмосферу, которая вполне могла стать питательной средой для злоупотребления в отношении к партнерам, не заслуживающим должного уважения. Ведь проучить "провинциалов" можно даже и в шутку, "запустив им ежа под череп", -- пусть пошевелятся? Высокомерие развязывает руки и для других, гораздо более недружественных действий. К сожалению, такие прецеденты не одиноки. В печати, в частности, уже проскакивали публикации о некоторых похожих "шалостях", опять же странным образом связываемых с деятельностью того же "Демоса". К примеру, один из банков, не удовлетворившись работой с данным провайдером, перешел к другому. Через какое-то время последовало "наказание": солидные клиенты, выходя по каналам Internet на web-сайт банка, неожиданно обнаруживали здесь не финансовые показатели, а... порнографические картинки. Полнейшей неожиданностью стало это открытие и для местных сотрудников. Тогда обнаружить злоумышленника, "подбросившего" вульгарную не только информационную, но и нравственную "грязь", не удалось. Мы также не собираемся бросать упрек за тот инцидент именно "Демосу". Но не кажется ли странным уже в контексте упомянутых июльских атак столь симптоматичное совпадение "почерков".

Впрочем, в нашем случае уровень угроз, которым были подвержены многие провайдеры Internet и их клиенты в разных регионах мира и прежде всего в Украине, вынуждает предполагать и более серьезные версии. Электронный удар, сознательно направленный по стратегически важным центрам коммуникаций суверенного государства, ставящий под угрозу национальную безопасность страны и благополучие многих ее граждан, -- это уже действия качественно иного порядка. Вполне логично сравнить их, скажем, с полетом разведывательных самолетов для проверки реакции сил ПВО -- ведь в ходе электронных атак "прощупывались" способы информационной защиты объектов, имеющих стратегическое значение для Украины. Не исключается и версия испытания в упомянутом инциденте нового средства массового выведения из строя компьютерных систем в глобальной коммуникационной сети. Ведь ни для кого не секрет: с тех пор как Internet вырвался из-под контроля военных технологически, не давая возможности контролировать прохождение здесь информации, у людей в погонах (в том числе и у спецслужб) весьма важной профессиональной задачей стало -- в нужный момент суметь заблокировать ту или иную сферу в телекоммуникационной сети или же вообще вывести ее из строя.

А отношение к этике в таких случаях -- вопрос особый. Невольно вспоминаются нашумевшие процессы в США над устроителями испытаний новых видов бактериологического оружия на мирном населении. Миллионы граждан, входящих в метро в разных городах Америки, даже не подозревали о том, что в вентиляционные системы подземки военспецы запускали вирусы, наделенные определенными свойствами, а затем собиралась медицинская статистика заболеваний, вызванных упомянутыми микровозбудителями недугов. В результате появлялись данные об эффективности пользования метро для распространения уже других, более серьезных вирусов, обладающих более мощным поражающим воздействием, -- на случай войны. Все делалось "строго по науке": проценты, цифры, экспертные заключения... И -- ноль эмоций по поводу бесчеловечности таких манипуляций. Ведь у логики воины -- своя этика: беспощадно уничтожить людей, названных врагами.

И что же? Возмущение общественности вылилось в громкие скандалы, запомнившиеся судебные процессы и серии публикаций. Затем все постепенно затихло, и специалисты поговаривают, что в военных биологических лабораториях нынче лишь более осторожно делают свое дело на том же уровне "этики войны".

Не похожий ли рецидив присутствует и в нашем случае? Во всяком случае даже для того, чтобы исключить подобные сценарии развития событий, на столь болезненный вопрос должны ответить многие серьезные государственные структуры.

Но пока что в данной истории еще многое неясно. Начавшись как детектив, ситуация и сейчас оставила многие вопросы, на которые смогут дать ответы лишь следственные органы, эксперты при самом тщательном разбирательстве и анализе. В частности, многими рассматривается версия о личной мести, реализованной с помощью компьютерной сети и направленной против компании "Neon-V" бывшим ее сотрудником, уволенным после конфликта с администрацией. В "Демосе" работал его приятель. Возможно, вместе они и разработали "оружие возмездия". Но это лишь предположение, которое проверяется.

Но нельзя этот конфликт оставить без надлежащего реагирования, пустить события на самотек. Ведь рецидивы "грязевого информационного наводнения" вновь возможны. И если от спички, брошенной в лесу, сгорают огромные площади зеленых насаждении, то что будет, если "информационный пожар", аналогичный июльскому, вспыхнет в ином месте? Ведь такой уровень, который обеспечивает "Глобал Юкрейн", в Украине имеют немногие...

У сотрудников киевской компании и ныне все еще осунувшиеся лица и круги под глазами -- не исчезают быстро следы от бессонных суток и изнурительного поединка с опасностью. Но есть и профессиональное, и нравственное удовлетворение: ведь свой долг перед клиентами, соотечественниками, коллегами они выполнили с честью. А значит -- все в порядке.

Жаль лишь, что электронная атака ворвалась в жизнь этих людей именно в те дни, когда все нормальные люди просто отдыхают. А может, на это и рассчитывали злоумышленники?


Александр РУДЕНКО

ЗЕРКАЛО НЕДЕЛИ СУББОТА, 9 АВГУСТА 1997 ГОДА.

Популярность: 34, Last-modified: Sat, 06 Sep 1997 07:17:08 GMT