Компьютерные преступления

"Поймай шпиона"


Эта история началась в США. В августе 1986 года 35-летний Клиффорд Столл, бывший хиппи и подающий надежды студент, а затем талантливый астроном, стал системным администратором информационной сети Лаборатории имени Лоуренса Беркли (ЛБЛ) Калифорнийского университета в Сан-Франциско. Ее двенадцать супер ЭВМ стоимостью 6 млн. долларов - один из крупнейших вычислительных центров мира, занятых решением задач и формированием банков данных в области теоретической физики. Он и составляет основу информационной сети ЛБЛ-Нет ("Net" - по-английски "сеть"), которая раскинулась на всю страну.

Подавляющее большинство научных, коммерческих и даже военных информационных сетей прямо или косвенно связаны друг с другом - иначе они во многом теряют смысл. Ими охвачены тысячи научно-исследовательских центров и лабораторий, проектных организаций, фирм и университетов. Для обмена данными в этой поистине глобальной информационной системе используются и обычные телефонные каналы, и специальные кабельные линии, и другие средства связи, вплоть до спутниковых. Отдельные ЭВМ подключаются к сети через модемы - устройства модуляции-демодуляции. Модулятор преобразует выходные сигналы ЭВМ для их оптимальной передачи по внешним коммуникациям; в демодуляторе принятый извне сигнал снова обретает форму, удобную для обработки в машине.

Новая престижная служба Столла началась, казалось бы, с презренной прозы. На следующий день после зачисления в штат ему, словно какому-то бухгалтерскому ревизору, пришлось искать причину недостачи в 75 центов в счетах на оплату машинного времени. Мог ли он знать, что с этой ничтожной суммы начнется почти годовое расследование, которое вскроет серьезнейшее покушение на военные секреты США и даст материал для целой книги, принеся автору немалую известность...

Всякая гражданская компьютерная сеть, кроме всего прочего, - обычное коммерческое предприятие, поставщик информационных услуг. Ее центральные ЭВМ (ЦЭВМ) автоматически принимают и выполняют заказы абонентов (расчеты, машинное моделирование, подбор статистических данных и т.д.) и передают результаты на их терминалы.
А в конце месяца, опять-таки автоматически, оформляются и высылаются клиентам счета на оплату их заказов. В сети ЛБЛ-Нет час работы с ПЭВМ стоит 300 долларов.

В этих счетах и предстояло разобраться Столлу. Итоговая сумма за прошедший месяц не соответствовала затратам машинного времени. И хотя разница составляла всего 75 центов, беспокойство было принципиальным.

В мощной информационной сети метод составления счетов абсолютно надежен. При каждом, даже самом кратком, обращении в систему обязательно регистрируется имя и код абонента, адрес его терминала, время вхождения в сеть с точностью до долей секунды, услуги, подлежащие оплате, и время выхода из сети. Здесь работают несколько независимых бухгалтерских программ: одна управляет данными, другая подсчитывает стоимость каждой операции, третья подводит итоги за месяц, четвертая ищет в списке абонентов их банковские реквизиты и печатает счета. Поэтому даже ничтожная, в несколько центов, ошибка тревожит ничуть не меньше, чем расхождение в сотни долларов. Дело тут не в деньгах, а в возможных сбоях программ, а то и вмешательстве злоумышленников.

Просмотрев список обращений в ЛБЛ-Нет за прошедший месяц, Столл сразу обнаружил сюрприз. Программа зарегистрировала никому не известного Хантера, который подключился к системе буквально на несколько секунд (те самые 75 центов), воспользовавшись чужим кодом. При этом он сумел приказать машине не оформлять счет (в принципе это возможно для опытного программиста). В таком случае не регистрируется и адрес терминала нарушителя. Но поскольку машинное время несжимаемо, оно приписывается законному владельцу кода, хотя и остается неоплаченным.

Полностью застраховаться от махинаций с информационными сетями практически невозможно, хотя в них и предусмотрены защитные меры. Попробуем пояснить это с помощью наглядной аналогии.

Мощная ЭВМ подобна огромному отелю, где каждым клиент имеет отдельный информационный массив - своего рода гостиничный номер, которым ом может пользоваться в любое время, не мешая другим.


Для посторонних "номер" недоступен, так как открывается только "личным ключом" абонента - кодовым словом. Служебные массивы, естественно, открываются особыми ключами, и к ним не подходят коды пользователей.

Только у администрации гостиницы есть ключи-отмычки или дубликаты, открывающие двери всех номеров и технических служб. Так и администратор ЦЭВМ. Он один владеет кодами всех информационных массивов: "номеров" клиентов, операционных систем, бухгалтерии и т.д. Только он имеет право также читать и, если надо, менять любые программы и данные.



Но отель невозможно превратить в неприступную крепость. Нельзя оставить в нем единственную дверь и за каждым клиентом и служащим запирать ее на амбарный замок. Нельзя установить на каждом входе посты со строгой проверкой документов. Гостиница - не кладовая и не секретный объект, и в таком режиме просто не будет нормально работать. Поэтому злоумышленник почти всегда может проникнуть в вестибюль, на этажи, а при большей сообразительности - и завладеть ключом от номера.

Немало "слабых мест" для нелегального проникновения имеют и мощные вычислительные системы. За более чем 20-летнюю историю компьютерных преступлений здесь накопился свой богатый арсенал приемов и методов. Вот несколько примеров.

Ученые - гости крупных университетов или научных центров часто получают право бесплатного доступа к местной информационной сети по общему паролю "приглашенный". Это не только жест гостеприимства, но и способ привлечения новых абонентов. Набрав общий пароль, а затем слово "кто", компьютерный пират может узнать имена подобных пользователей и их коды, то есть завладеть несколькими "ключами от номеров".

Другой типичный случай. Некоторые фирмы выпускают ЭВМ, в которых (на момент поставки клиенту) один из стандартных доступов открывается каким-либо общим кодовым словом - допустим, "администратор" или "система". Естественно, после покупки машины нужно сменить этот временный код на секретный.


Но ответственный за ЭВМ, часто блестящий ученый, беспечно относится ко всякому крючкотворству вроде защиты данных и не всегда утруждает себя сменой "входных замков".

Чем сложнее вычислительная система, чем больше у нее внешних функций и оконечных устройств, тем больше удается подобрать к ней разных отмычек. Преодолев "входные двери", опытный взломщик шаг за шагом проникает во все звенья системы и наконец овладевает ею почти как сам администратор. Для этого в ЦЭВМ вводится программа типа "троянский конь". По внешним признакам она полностью имитирует обычные, но заставляет машину выполнять непредусмотренные и даже прямо запрещенные операции, нужные пирату. Он может считывать засекреченные файлы, стирать и переписывать защищенные массивы или участки оперативной памяти, передавать блокирующие сигналы на внешние устройства или ложные сообщения на другие ЭВМ, а хитрая программа к тому же уничтожает следы его преступных действий. Теперь злоумышленник способен устроить диверсию, наносящую многомиллионный ущерб, или похитить информацию, которая иногда и вовсе бесценна. Конечно, все это доступно только программисту высокого класса.

Изучить технику компьютерных пиратов, как и гостиничных воров, не так уж и трудно. Главная проблема - поймать за руку конкретного нарушителя и доказать его вину, иначе просто нет смысла обращаться в суд. Дело осложняется тем, что во многих странах сама по себе кража компьютерной информации до сих пор не считается преступлением. Нужно еще убедить суд в том, что совершено, например, денежное хищение или раскрытие государственной тайны.

Но так или иначе, главная цель любого "компьютерного" сыщика найти терминал, с которого работает пират. В принципе это вполне возможно, но задача резко усложняется, если он грабит данную ЭВМ через множество промежуточных сетей и линий связи. Надо успеть проследить всю цепочку, пока он остается на линии, - иначе приходится ждать следующего "сеанса".

Понимая, что преступник может действовать под разными именами, Столл заинтересовался сообщением с противоположного конца страны, с Атлантического побережья.


Некто по фамилии Свентек пытался получить доступ к секретной информации военной ЭВМ в штате Мэриленд с кодовым именем Докмастер. Но в Калифорнийском университете Джо Свентека прекрасно знали как одного из асов программирования. Невероятно, чтобы такой известный специалист ввязался в противозаконную игру с военным вычислительным центром. А уж если он и впрямь пытался "взломать" Докмастер, то, конечно, сумел бы не оставить следов. Да и вообще, как тут же выяснилось, великий программист в это время проводил отпуск в Англии, в деревне, в десятках миль от мало-мальски приличного компьютера.

Итак, код Свентека явно присвоил кто-то другой. И Столл сразу подумал о Хантере. Для поимки пирата можно создать специальную программу и ввести ее в какой-нибудь небольшой компьютер, еще официально не подключенный к сети. Она декодирует все поступающие в нее сигналы и скрытно фиксирует имена пользователей, время их обращения и т.п., причем так, что никто посторонний обнаружить ей работу не может. В данном случае программа отслеживала два имени - Хантер и Свентек.

Капкан сработал во вторник 2 сентября: в 12.33 имя Свентека появилось на контрольном терминале. Но нарушитель и на этот раз вошел в систему лишь на считанные секунды, так что нечего было и надеяться засечь адрес его терминала. В ответ администратор-охотник вооружился целым арсеналом портативных ЭВМ, телексных систем и принтеров, взятых взаймы на разных кафедрах университета. Превратив свой кабинет в настоящий центральный пост контршпионажа, он ночевал здесь в спальном мешке среди мигающих и стучащих приборов. Теперь Столл мог зафиксировать первый же шаг злоумышленника.

Лже-Свентек объявился снова в одну из ближайших ночей. Проник он уже не по телефонной линии, как в прошлый раз, а через специальную сеть передачи данных фирмы "Тимнет". Это более совершенная система связи, в которой информация от десятков абонентов сжимается в так называемые пакеты и передается по кабелю с повышенной пропускной способностью, а на входе в компьютер опять расшифровывается.


Такая обработка не только гарантирует отсутствие помех, но и ускоряет, а значит, и удешевляет передачу для каждого отдельного пользователя.

На этот раз, видимо, уже закончив разведку, неизвестный действовал смело, хотя ни на секунду не терял бдительности. Постоянно страхуясь, стараясь не выдать своего присутствия, он хозяйничал в сети три часа, проявив незаурядные способности программиста, а также прекрасное знание операционной системы УНИКС, работающей в компьютерах ЛБЛ. Главное - он сумел обмануть программный комплекс АТРУН - инспектора и сторожа ЭВМ, который каждые пять минут проверяет все массивы информации и очищает их от посторонних элементов, для чего имеет полный набор "электронных ключей". Это святая святых всей системы, доступ к которой имеют лишь несколько доверенных сотрудников.

Лже-Свентек создал настоящего "троянского коня" - программу, по всем параметрам сходную с АТРУН, но работавшую строго в интервалах между пятиминутными "обходами" программ-патрулей настоящего АТРУНа. С его помощью пират спокойно ограбил компьютер. А дальше... Столл просто не верил своей аппаратуре. Преступник обнаглел настолько, что, не удовлетворившись вычислительной системой ЛБЛ, тут же подключился через нее к военной сети МИЛ-Нет в Небраске и, судя по всему, тщательно обшарил ее ЦЭВМ!

Дело на 75 центов запахло крупным шпионажем. Поскольку практически все компьютерные сети прямо или косвенно связаны между собой, то, войдя в самую "невинную" гражданскую систему, можно подключиться через нее и к секретной военной сети. И хотя военные компьютеры особенно прочно защищены от нелегального доступа, хороший программист может не без успеха попытаться обмануть и их защиту.

Но увы, пока что не удалось определить даже номер линии "Тимнет", с которой работал шпион, не говоря уже об адресе его терминала.

Все лучше осваивая ремесло компьютерного контрразведчика, бывший астроном составил небольшую программу, которая избавила его от массы приборов и ночных дежурств.


Как только Лже-Свентек входил в сеть ЛБЛ, все его действия регистрировались автоматически. К наблюдениям подключились специалисты "Тимнет". И наконец кончик нити удалось ухватить: соединение шло из Окленда (4 км от Сан-Франциско), через терминал телефонной компании "Белл". А оттуда сообщили, что след ведет по линии дальней связи 5096 через всю страну в город Маклин, штат Вирджиния. Снова Атлантическое побережье!

Однако это было все, чем могла помочь Столлу администрация "Белл", - по американским законам сведения о номерах телефонов абонентов компания имеет право давать только полиции. Но контрразведчика, вступившего на тропу войны, уже ничто не могло остановить. Он внимательно прослушал магнитофонные записи переговоров персонала линий, сделанные во время совместной охоты на Лже-Свентека, и уловил слова: "Связь в Вирджинии через 427... или 448?.. и подключение к 1060". Оставалось набрать по телефону код Вирджинии - 703, а затем попробовать номера 427 1060 и 448 1060. Второй из них откликнулся звуком, характерным для модема компьютера. Этот номер принадлежал фирме "Митр", работающей на Пентагон.

Ничего не скажешь - находка для шпиона... Здесь, за глухой оградой вооруженные патрули с собаками охраняют сверхсекретное производство военных ЭВМ. Вместе с администрацией фирмы Столл прежде всего проверил - действительно ли номер "Митр" занят каждый раз, когда пират работает в сети ЛБЛ. И хотя это быстро подтвердилось, продвинуться дальше не удалось. "Узнать адрес терминала очень трудно, - объяснили специалисты по информационной безопасности. - В нашей сети компьютеры соединены одним общим кабелем. Чтобы определить источник вызова, придется "вручную" декодировать адреса всех без исключения пакетов".

Но Столл сумел использовать максимум информации для облегчения задачи. Он обратил внимание на огромную задержку ответов при обмене данными - свыше трех секунд. Это означало, что пират выходил на терминал "Митр" с линии очень большой протяженности.



Правда, если просто умножить три с лишним секунды на скорость света и разделить пополам, получилось бы, что шпион сидит не только вне Америки, но вообще где-то за орбитой Луны - на расстоянии около полумиллиона километров. Но дело в том, что при дальней передаче информации главное запаздывание связано с обработкой. Большую часть пути сообщения проходят в пакетной форме, причем на каждом этапе перекодируются, а для этого, естественно, требуется время. Значит, чтобы оценить истинное расстояние, надо узнать суммарное время формирования пакетов на всем маршруте, то есть число соответствующих устройств. Тоже не просто, но, конечно, легче, чем расшифровывать подряд адреса.

Понятно, что параллельно этой работе Столл ни день не забывал следить за успехами своего "крестника".

А успехи были просто блестящие - ведь Лже-Свентек тоже работал не покладая рук. За несколько недель он протоптал дорожки к таким объектам, посещение которых сделало бы честь самому матерому шпиону:

- военная база в Алабаме, где он получил сведения о боеготовности ядерных ракет большой дальности;

- сверхзащищенная научная военная сеть, куда он проник по паролю "Кромвель" и коду 1674 (год смерти его сына), обнаруженным в файлах ЛБЛ-Нет;

- информационный центр ЦРУ, где обшарил четыре компьютера;

- лаборатория искусственного интеллекта Массачусетского технологического института;

- сеть МИЛ-Нет в Небраске, откуда он упорно подбирался к секретам фирмы СРИ - разработчика (какая ирония!) средств защиты военных линий связи;

- лаборатория реактивного движения в Пасадене, проектирующая космические челноки "Шаттл".

Мало того: побывав на базах ВВС США, в ФРГ, на Окинаве и Гавайях, проникнув в банки данных Пентагона, арсеналов ВМФ, центров разработки самолетов и ракет, а также торговцев оружием, компьютерный взломщик получил огромный объем информации о вооружениях, особенно ядерных. Между делом он посетил и Европейский центр ядерных исследований в Женеве (ЦЕРН), а также ряд крупнейших фирм - производителей ЭВМ.



В то же время, войдя во вкус расследования и набравшись уникального опыта, контрразведчик решил лично испытать прочность защиты секретных информационных сетей. Из своей квартиры, через обычный персональный компьютер, под прикрытием кода лаборатории Беркли, он почти без труда залез в ЦЭВМ многострадальной фирмы "Митр". Разобравшись в ее программах, Столл понял, что шпион оставил здесь того же "троянского коня", что и в родной ЛБЛ, после чего в течение полугода выходил оттуда на охоту по всем Соединенным Штатам, а фирма к тому же оплачивала его тяжкий труд оптом и в розницу.

Между тем специалистам "Митр" удалось наконец взять хоть какой-то реванш - вычислить чистую задержку ответа при работе шпиона. Она дала примерное расстояние до нарушителя 11,2-12,8 тыс. км. На таком удалении от восточного побережья США находится Западная Европа.

По ряду соображений первой решили проверить трансатлантическую линию спутниковой связи фирмы IТТ. Догадка подтвердилась: каждый раз, когда работал Лже-Свентек, к этой линии, через западногерманскую систему связи "Датекс" (аналог американской "Тимнет"), подключался один и тот же абонент. Его код указывал на Бременский университет. И как только руководство университета разрешило следить за своей информационной сетью, был обнаружен терминал, с которого преступник входил в "Датекс". Но... и он оказался не последним звеном цепи!

Это выяснилось в один прекрасный майский день, когда окончательно зарвавшийся шпион пошел на штурм сети космического командования ВВС США - стратегического центра космической обороны. Столл моментально связался с экспертами по межконтинентальным коммуникациям фирмы "Тимнет", которые заранее расставили давно отработанные ловушки во всех звеньях линии связи. В течение минуты цепочка не только подтвердилась, но была прослежена дальше. Бременский университет оказался ни при чем - подключение шло с какого-то телефонного номера в Ганновере. Впрочем, этого и следовало ожидать.


Если фирма "Митр" платила за художества шпиона на внутриамериканских линиях, логично, чтобы кто-то в Европе оплачивал его трансконтинентальные связи...

Итак, преступник подобрался к тайнам "звездных войн". Явно назрел момент, который выразительно обозначается словами "пора брать". Но для этого предстояло решить последнюю и очень трудную задачу. Требовалось заставить пирата непрерывно проработать на линии несколько часов, чтобы дать органам юстиции неоспоримые доказательства шпионажа в полном соответствии с законами ФРГ.

Было решено создать фиктивную информационную сеть, до мельчайших подробностей имитирующую сверхсекретную военную. Не мудрствуя лукаво, ее назвали просто: SDI-Net (SDI - по-русски СОИ, то есть стратегическая оборонная инициатива).

Несколько дней Столл с коллегами загружали в ЭВМ фантастические проекты новых спутников, инструкции по обслуживанию сверхмощных лазеров, мобилизационные планы и тому подобное. В список пользователей SDI-Net ввели исключительно генералов. Для полной натуральности сеть не только снабдили богатым арсеналом средств защиты, но и до отказа набили массивы всеми бюрократическими перлами военной администрации: скучнейшими досье вспомогательного состава, неисчислимыми служебными записками, объемистыми интендантскими ведомостями...

Как и рассчитывали охотники, шпиону понадобилось несколько часов для наслаждения запретным плодом. Этого времени вполне хватило для неоспоримого доказательства факта шпионажа. На рассвете 23 июня 1987 года полиция Ганновера вошла в помещение маленькой информационной фирмы Focus Computer GmbH и одновременно в квартиру ее служащего Матиаса Шпеера, талантливого двадцатилетнего программиста и наркомана... Добытые им разведданные он продавал секретной службе бывшей ГДР.


Содержание раздела