Алексей ЛЕОНОВ, независимый эксперт
Логично предположить, что каждый читатель этой статьи пользуется Интернетом. Кто-то для развлечения или переписки с коллегами и друзьями, а кто-то для ведения бизнеса. Одни выходят в Сеть из дома, другие с работы, а некоторые из интернет-кафе, коих развелось великое множество. Кто-то подключается с помощью «древнего» модемного соединения, а есть и «вкушающие прелести» ADSL или Metro Ethernet. Но всех интернетчиков объединяет одно - никто не хочет стать мишенью для хакеров. Пользователю, по большому счету, неважно, какую атаку предпримет хакер: заразит компьютер червем или вирусом, наводнит сеть бесполезным трафиком (так называемая DoS-атака), украдет или удалит файлы - результат одинаково неприятен. И желание быть защищенным от хакерских проделок закономерно. Кто может помочь нам в этом? Конечно же, провайдер, который обеспечивает нас услугами Сети. Но горит ли он таким желанием?
Договорные необязательства
Количество провайдеров в нашей стране растет как грибы после дождя, и это понятно - бизнес не только малозатратный, но и прибыльный. И уйма предпринимателей, имеющих коммерческую жилку, но даже поверхностно незнакомых с вопросами безопасности, ринулась в телекоммуникационный бизнес.
К сожалению, большая часть их клиентов также незнакома с основами защиты информации. Но они и не должны их знать, справедливо считая, что защищать их от хакеров - святая обязанность провайдера. И, на мой взгляд, они правы. Ведь каждый из нас вполне обоснованно полагает, что борьба с террористами (а в некоторых странах хакеры приравнены к террористам) - дело ФСБ и других правоохранительных органов, которые обучены делать эту работу и имеют необходимые для этого средства. А значит, и с хакерами должны бороться специалисты. Большинство же интернет-провайдеров возлагают эту задачу на пользователя.
Вот только один частный пример. У одного из операторов связи, предоставляющего доступ в Сеть, в договоре записано: «Клиент обязуется своевременно информировать Оператора связи о наличии случаев несанкционированного доступа к Услугам». Но для этого надо как минимум иметь системы обнаружения вторжений, которые отслеживают такие действия. Клиент в лучшем случае «замечает» атаку только тогда, когда ему приходится оплачивать непомерно возросшие счета за Интернет.
Интересно и продолжение данного пункта. Провайдер обязуется «прекратить доступ Клиента к Услуге в течение одного часа (в рабочие дни и рабочее время) с момента обнаружения Клиентом несанкционированного доступа к Услуге и получения от Клиента письменного сообщения об этом» (выделено мною. - АЛ.). Парадокс в том, что провайдер обязан круглосуточно обеспечивать вам доступ в Интернет, а не только в рабочее время. А уж бюрократическое требование письменного заявления об атаке в эпоху Интернета выглядит просто абсурдно. Хотя с точки зрения снятия с себя ответственности все предельно логично - поставить как можно больше препон «взломанному» клиенту.
И таких договоров (как и провайдеров) пруд пруди. Но интересен не только факт требования от клиента «обнаружения и извещения». Как вы думаете, кто заплатит за ущерб, возникший по причине взлома биллинговой системы провайдера? Нет, не угадали - не провайдер, а именно вы. По крайней мере, так записано в договоре одного из известных операторов связи, действующего на рынке Москвы: «Все переговоры, осуществляемые с использованием предоставленных Клиенту индивидуальных кодов и паролей доступа, считаются переговорами, осуществленными Клиентом, и их стоимость оплачивается Клиентом в установленном настоящим Договором порядке».
Зато операторы запрещают пользователю множество действий, которые могут быть классифицированы как атаки. Причем ни на уровне государства, ни на уровне отрасли нет определений атаки, несанкционированных действий, взлома и сканирования. Однако операторы преспокойно вставляют в договор эти термины или дают ссылку на так называемые «Нормы пользования сетью Интернет», принятые рядом российских операторов связи (http://www.ofisp.org). Никакого юридического статуса эти «Нормы...» не имеют, а следовательно, принудительно заставлять пользователей соблюдать их оператор не может.
Кстати, около года назад в сети ФИДО шло активное обсуждение этого вопроса. Один из пользователей Интернета был отключен своим оператором за якобы проведенное сканирование. Его попытка доказать свою невиновность не увенчалась успехом, и он, пытаясь выяснить законность отключения, был вынужден обратиться к специалистам по информационной безопасности и юристам. Ответ был получен, но большой пользы ему не принес: отключение было незаконным, но бороться с оператором бесполезно -его ресурсы многократно превышают возможности отдельных абонентов.
Виртуальный хостинг
Иметь свой сайт сегодня престижно. Но ведь именно провайдер открыл вам двери в мир Интернет, электронной коммерции и баснословных барышей. И кто-то уже видит себя вторым Джеффом Безосом (основатель Amazon), однако... в один совсем не прекрасный момент вдруг оказывается, что «родной» сервер недоступен не только вам, но и вашим клиентам. А еще через пару часов выясняется, что хакер преодолел все препоны, выставленные на его пути провайдером, и уничтожил все ресурсы. Чьи ресурсы? И ваши в том числе. Еще через день вы с ужасом узнаете, что все «нажитое непосильным трудом» безвозвратно утеряно, так как провайдер не посчитал нужным сделать резервные копии.
Как всегда, в такой ситуации возникает сакраментальный вопрос: кто виноват? Провайдер уверен: виновник всех бед - арендатор места на его сервере, т.е. вы. У вас же другая точка зрения (и я, кстати, на вашей стороне).
Зачем пользователю задумываться о безопасности своего сайта? Об этом должно думать лицо, предоставляющее ресурсы. Ведь провайдеру платят не только за гигабайты, но и за услуги хостинга, а защита ресурса - неотъемлемая часть такого сервиса.
Но, увы, так считаете только вы и я, хотя имя нам, пользователям, легион. Я сам являюсь владельцем нескольких небольших сайтов-проектов, которые «хостятся» у разных известных московских провайдеров, и не понаслышке знаю о сложившейся практике. Ни один из операторов никогда не давал мне никаких рекомендаций по защите своего сайта (кроме набившей оскомину - «не давайте свой административный пароль никому»). Ни один из них не включил в договор пункт о своей ответственности за сохранность и безопасность доверенных ему ресурсов. Наоборот. Один из заключенных мною договоров гласит: «Провайдер не несет ответственности перед Абонентом за задержки и перебои в работе, происходящие прямо или косвенно по причине, которая находится вне сферы разумного контроля со стороны Провайдера. Провай
Проблема в том, что такой позиции придерживаются практически все операторы связи, а потому у нас с вами просто пет выбора и приходится подписывать подобные договоры, надеясь только на себя (или на авось).
Игра в карточки
Карты экспресс-оплаты - очень удобный способ подключения к Интернету. Достаточно купить такую карточку в любом киоске «Союзпечати», и доступ к безграничным возможностям Всемирной паутины обеспечен. Но, покупая карточку, вы можете не знать, что обещает вам провайдер с точки зрения информационной безопасности. Регистрируясь и получая доступ, вы «не глядя» соглашаетесь с его так называемым договором-офертой, в котором нет ни слова о вашей защите.
Например, в договоре из 8 пунктов одной известной компании раздел 7 «Ответственность оператора» начинается со слов: «Оператор не несет ответственность за...», а последний, восьмой, звучит и того лучше: «Оператор не несет ответственность за обеспечение безопасности оборудования и программного обеспечения Абонента, используемого для получения Услуг». Комментарии, как говорится, излишни.
«Карточные» пользователи - самые беззащитные с точки зрения безопасности, так как за счет массовости такой услуги и из-за низкой доходности отдельно взятого абонента оператору невыгодно заниматься еще и безопасностью этого индивидуума. «Взломали? Ну и ладно. Не буду же я из-за 10-долларовой карточки напрягаться», примерно так рассуждает оператор. К сожалению, приходится признать, что подобная тактика себя оправдывает: карточки покупают, количество клиентов у оператора растет.
А все потому, что пользователю просто некуда деться -подход «ничегонеделания» пропагандируют и претворяют в жизнь все провайдеры услуг Интернета.
Персона без охраны
Казалось бы, ситуация с выделенными сетями (и ADSL-доступом как неким промежуточным звеном между «выделенкой» и dial-up-доступом) должна выглядеть иначе - ведь доходность от одного пользователя в этом случае выше, чем в «карточном» Интернете. Но, как и в случае с виртуальным хостингом, оператор не намерен заниматься вашей защитой. Более того, он перекладывает все обязанности по защите на самого пользователя.
В частности, в одном из договоров на оказание услуг говорится: «Абонент обязан принять надлежащие меры по такой настройке своих ресурсов, которая препятствовала бы недобросовестному использованию этих ресурсов третьими лицами, а также оперативно реагировать при обнаружении случаев такого использования».
«Спасение утопающих...»
Увы, но известное имя и опыт на рынке телекоммуникаций еще не гарантия осведомленности в вопросах безопасности. История знает множество случаев взломов или иных инцидентов нарушения защиты на серверах крупнейших провайдеров. Из западных имен можно назвать America Online, Akamai, Cable & Wireless, WorldCom, Swissonline, Earthlink, Qualcomm и т.д. Из «наших» - ValueHost, «Укртелеком», «МТУ-Интел», «Арминко», «Демос-Интернет» и др.
Из наиболее громких примеров стоит вспомнить web-сервер американского интернет-провайдера Web Communications, который был выведен из строя 7 и 14 декабря 1996 г. на 9 и 40 часов соответственно. Эта атака, получившая название SYN Flood, нарушила деятельность более 2200 корпоративных клиентов компании. Однако заявление президента Web Communications К. Шефлера не прозвучало для клиентов «будущими гарантиями»: «Мы, вероятно, недооценили серьезность вопросов защиты. Не следовало полагать, что такое с нами никогда не случится». Очевидно, он, как и его коллеги, считает, что «спасение утопающих - дело рук самих утопающих».
Для обеспечения собственной безопасности надо использовать различные системы защиты - персональные (Agnitum Outpost Firewall, Cisco Security Agent, Kerio Personal Firewall и т.п.) и сетевые (Cisco Pix, защитные маршрутизаторы Cisco 800, механизмы, встроенные в сетевое оборудование и т.д.). Но это дополнительные средства, и в первую очередь - финансовые.
Что же ожидает нас в ближайшем будущем? Я лично уповаю на Концепцию информационной безопасности, которую Мининформсвязи планирует принять в самое ближайшее время. В концепции (http://www.rans.ru) определены обязанности оператора связи, среди которых - обеспечение базового уровня защищенности своей сети и, как следствие, своих клиентов.
Что касается юридического решения вопросов нарушения защиты клиента, то, к сожалению, российские реалии отличны от зарубежного опыта, где операторы (пусть даже поневоле) задумываются о безопасности своих пользователей. У «них» клиент всегда может подать иск против провайдера, из рук вон плохо исполняющего свои обязанности и не дорожащего своим главным достоянием - клиентской базой.
Примеры таких исков известны. Например, в августе 2001 г. после эпидемии Code Red американскому провайдеру Qwest DSL пришлось выложить кругленькую сумму, когда в результате выхода из строя оборудования Qwest DSL его клиенты лишились нормального доступа в Интернет. Но исками дело не ограничивается. Операторы могут разделить участь английской интернет-компании CloudNine, которая в 2002 г. была вынуждена объявить о своем банкротстве в результате DoS-атаки на ее ресурсы. Этой компании с шестилетним стажем работы на рынке пришлось закрыть бизнес и продать базу данных своих клиентов конкуренту - компании Zetnet. Один из основателей CloudNine, Э. Мизти, считает, что атака против них была грамотно спланированной акцией, которая продолжалась не один месяц. В течение длительного времени злоумышленники собирали информацию о ключевых серверах и их пропускной способности. В решающий момент был нанесен удар, от последствий которого CloudNine так и не смогла оправиться. «Мы не знаем, почему наша компания стала предметом интереса хакеров и кто за всем этим стоит. Неизвестно, кто будет следующим, однако это атака не только против нас, но и против наших клиентов», - сказал Э. Мизти.
Все эти примеры, безусловна, поучительны, но для нас, российских клиентов, ситуация остается прежней: когда серверы операторов подвергаются атаке, страдают пользователи, а провайдеры не несут никакой ответственности за причиненный ущерб.
Список литературы
Журнал «ИнформКУРЬЕРСвязь» № 8, 2005 год.