Зубаpев Евгений

Обыкновенный ФАПСИзм

Евгений Зубаpев

ОБЫКНОВЕННЫЙ ФАПСИЗМ

Любопытство не порок, а такое хобби. Тем не менее это хобби позволяет жуликам прилично зарабатывать как на кражах информации, так и на прямом воровстве денег с компьютеpных счетов. И не надо думать, что Россию эта проблема не затрагивает. Еще как затрагивает - за душу берет!

Термин "хакер" стал впервые использоваться в Массачусетском технологическом институте в начале семидесятых годов. Так именовали молодых программистов, которые подрабатывали продажей самодельных компьютеров. Впоследствии журналисты начали называть хакерами всех компьютерных преступников.

Хакеров гораздо больше, чем обычно принято считать. Число пользователей международной сети "Интернет" сегодня превышает 400 миллионов, и вообще говоря, каждый из этих миллионов хоть единожды пытался влезть туда, куда лезть не следует, - просто потому, что любопытство присуще всем человеческим существам. Но преступления типа взломов приватных сетей или кражи денег с компьютерных счетов совершает, по оценке фонда Карнеги, лишь каждый десятый - остальным либо лень, либо они сознают незаконностъ подобных действий.

Перед вами дайджест самых знаменитых компьютерных преступлений. Даже простое их перечисление вызывает дрожь в коленках у банкиров, сотрудников спецслужб и мирных обывателей.

Хакеры могут все. Не верите? Прочтите и убедитесь сами.

Самая громкая воина нашего столетия проходит поразительно тихо. На этой войне обходятся без точечных бомбардировок и захватов заложников. Здесь калечат, убивают, крадут, фальсифицируют, засекречивают, взламывают и всячески изгаляются не над людьми - над информацией.

И главными противоборствующими сторонами выступают не добропорядочные бюргеры, с одной стороны, и обнаглевшие хакеры - с другой. Отнюдь - прежде всего война идет между государством и его гражданами.

Государство знает все, но хочет знать еще больше

Перлюстрация международных отправлений в СССР была показательным примером наглого и вопиющего нарушения конституционных прав гражданина. Но не следует думать, что подобная практика ушла в прошлое в России и вовсе не существует на Западе.

Более того, крупнейшие специалисты в области защиты информации сегодня откровенно заявляют: правительство США, как и любое другое, включая Россию, принимая законы об обязательной защите информации в государственных и частных коммерческих фирмах, на самом деле пытается получить доступ к конфиденциальной информации о своих гражданах. Что происходит?

Большой брат с американским акцентом

Любая западная фирма, желающая расширить свой бизнес за счет рынков третьих стран, рано или поздно сталкивается с ограничениями на экспорт некоторых технологий, имеющих двойное применение или просто слишком хороших для слаборазвитых стран.

Но если эта фирма согласится соблюдать определенные правила игры, подобный экспорт будет разрешен. Главное условие - засекречивание всей сопутствующей документации. Секретность достигается использованием специальных компьютерных программ, называемых криптографическими. Специальные государственные службы следят за тем, чтобы фирмы не скупились на покупку такого программного обеспечения и постоянно использовали его в своей работе. В заявлениях для прессы и открытых инструкциях делается упор на самые новейшие достижения криптографии, алгоритмы и программы, сертифицированные правительственными службами. Нас ежедневно уверяют, что именно эти программы гарантируют стопроцентную защиту от любого несанкционированного доступа. И напротив, говорится о том, что программы, созданные в частных или независимых от государства предприятиях, "взломает" даже ребенок.

Это преувеличение, на практике приводящее к большой лжи.

Стремление государственных секретных служб ввести свои правила шифрования частных и коммерческих данных означает лишь желание Большого брата выведать их. Для этого есть два подхода, и оба они активно применяются на пpактике.

"Стопроцентная защита"

Совсем затюканный западными стpанами Саддам Хуссейн потеpпел поpажение задолго до до войны в заливе. Имеющиеся в его pаспоpяжении самолеты "Миpаж" были поставлены фpанцузами. Коваpные лягушатники увеpяли покупателя, что электpоника этих самолетов имеет стопpоцентную защиту от несанкциониpованного доступа. Однако, когда дело дошло до войны, эта защита была сломана немедленно - одним кодовым сигналом, пущенным в обход хитроумной системы. Бортовые системы самолетов были отключены, и диктатор остался без авиации.

Подобный "черный вход" в якобы защищенную систему имеется в ЛЮБОЙ СЕРТИФИЦИРОВАННОЙ ГОСУДАРСТВОМ ПРОГРАММЕ, но об этом не принято распространяться вслух.

Билль сената США S266 от 1991 года откровенно требует, чтобы американское криптографическое оборудование содержало ловушки, известные лишь АНБ - Агентству национальной безопасности. В 1992 году ФБР предложило конгрессу закон,- облегчающий подслушивание телефонных pазговоров, но он был провален. Тогда в 1993 году Белый Дом начал кампанию за утверждение в качестве государственного стандарта криптографической микросхемы CLIPPER для употребления при засекречивании в телефонах, факсах и электронной почте. Однако разработчики, компания АТ&Т, не скрывают, что у правительства есть ключик от "черного входа" в систему вне зависимости от того, какой сложности пароль назначит наивный пользователь.

"Общественные гарантии"

Второй подход в обжуливании потенциальных клиентов основан на системе так называемых открытых ключей, только полная совокупность которых может позволить владельцу расшифровать любое сообщение в системе.

Пользователь читает только свои сообщения, но если дело доходит до серьезных и законных причин (например, решение суда или интересы национальной безопасности), стоит собрать, скажем, десять уважаемых граждан, которым розданы части главного ключа, как тайное станет явным.

Подобный подход был справедливо раскритикован большинством специалистов. По мнению Аллена Шиффмана, главного инженера фирмы Terisa Systems, Калифорния, технология "ключ у третьей стороны" не только не будет использоваться за рубежом, но и вообще представляет собой еще один ход правительства США для удержания технологии шифрования в стороне от прогресса. "А разве применил бы Форд систему защиты, разработанную в фирме Toyota, если бы ключи от системы были у японского правительства?" - вопрошает Джим Бидзос, президент авторитетной корпорации RSA Data Security.

Среди корпоративных пользователей, ищущих гарантий того, что важные данные не будут перехвачены, даже сама возможность поверить правительству полностью исключается. И это в Америке, где спецслужбы регулярно получают увесистые оплеухи за малейшие попытки проникнуть в частные дела гражданина. Кто же в России поверит правительству, которое ни разу в истории не было откровенно со своими гражданами?!

Зачем ФАПСИ такие большие уши

Федеральное агентство правительственной связи и информации России - структура, аналогичная американской АНБ. Но поскольку работает она в России, для удовлетворения своего профессионального любопытства использует методы попроще. Например, дискредитацию систем защиты, разработчики которых сознательно исключают возможность "черных входов", а также все программы, в разработке которых ФАПСИ не участвовало.

Дело в том, что сейчас во многих городах страны ФАПСИ созданы некие научно-технические центры, занимающиеся внедрением собственных защитных систем. Эти разработки немедленно получают необходимые для продвижения на рынок сертификаты качества, выдаваемые, разумеется, ФАПСИ. И независимые конкуренты бьются жестко - ФАПСИ отказывается лицензировать чужую продукцию, сколь хороша бы она ни была. К тому же последнее - надежность, как вы уже поняли, - традиционно лишнее качество для Большого брата любой национальной принадлежности.

Со времени своего создания и поныне ФАПСИ развернуло грандиозную пропагандистскую кампанию против подобных фирм. Вот пример информации, опубликованной во многих СМИ.

"О шифросредствах, не гарантирующих защиты. По имеющимся в отделе лицензирования и сертификации ФАПСИ сведениям, ряд российских фирм разработчиков и производителей средств защиты информации получили сертификаты на разработанные ими шифросредства в обход существующей системы...

...ФАПСИ предупреждает потенциальных пользователей, что данные сертификаты не могут удостоверять соответствие указанных продуктов действующим России требованиям к шифровальным средствам и гарантировать обеспечение безопасности обработанной с их помощью информации".

В числе упомянутых программ - система "Кобра", программа, о которой даже зарубежные специалисты говорят как о самой совершенной и научно обоснованной криптосистеме. Ежегодно проводятся семинары и научные конференции, где сотни уважаемых математика всех стран обсуждают перспективы "Кобры" и оригинальный алгоритм, разработанный российскими программистами.

Чуть раньше в "Московском комсомольце" появилас статья, авторы которой заявляли буквально следующее "Шифры, созданные коммерческими структурами ФАПСИ расколет за обеденный перерыв".

ФАПСИ давится "Коброй" третий год, хотя имеет в своем распоряжении все материалы разработчиков, включая алгоритмы, тексты и подробное описание, а также огромные машинные и людские ресурсы.

Пусть скажет математик

Разработчики и владельцы проекта "Кобра" - вообще-то говоря, не коммерческие, а государственные организации. Просто правительство посоветовало им заняться хозрасчетным самообслуживанием, отказав в бюджетном финансировании.

Государственный научно-исследовательский институт моделирования и интеллектуализации сложных систем (ИМИСС) и научно-технический центр "Спектр"

Госкомоборонпрома - вот кто бросил вызов ФАПСИ.

Я поговорил с авторами прямо в их логове - Технопарке Электротехнического университета.

Главный конструктор Александр Молдовян:

- Понимаете, я не могу утверждать, что правительство сознательно ищет лазейки для своих секретных служб. Хотя это общемировая практика, но прямых доказательств нет и никогда не будет. Наоборот, недавно я был приглашен на заседание Совета безопасности России, где обсуждались именно вопросы защиты информации и предотвращения преступлений в сфере компьютерных систем.

- Приглашение было связано с вашим детищем - "Коброй"?

- В том числе и с ней, хотя обсуждаемые вопросы были шире проблем шифрования.

- Кто-нибудь, кроме вас, может поведать мне о том, что "Кобра" это хорошо?

- Несколько тысяч пользователей, точное количество не могу назвать - коммерческая тайна. В основном это региональные управления Сбербанка, ФСБ, милиции и т. п.

- Серьезные клиенты...

- Их можно охарактеризовать иначе - организации, не желающие, чтобы в их дела совал нос какой-нибудь чиновник из Москвы в обход закона.

- А если этого потребуют по закону?

- Если какой-либо банк, закрывший свои компьютеры "Коброй" в соответствии с инструкцией, не пожелает расшифровать, скажем, список клиентов или их счета, расшифровка займет лет тридцать.

- Даже если будут конфискованы компьютеры с информацией?

- Ну да, ведь под "Коброй" информация всегда зашифрована разумеется, на винчестере тоже. Была ситуация, когда один из наших клиентов попросил помочь восстановить базу данных, не сообщив пароль. Мы отказались, несмотря на огромные деньги, которые нам предлагали. И не потому, что нам деньги не нужны, - просто мы лучше всех понимаем, что это невозможно сделать в разумные сроки.

- ФАПСИ считает иначе...

- Год назад в Калининградском филиале Сбербанка решался вопрос какой системой закрывать банк, "Коброй" или "Аккордом". Последняя система разработана при поддержке ФАПСИ и всячески ею рекламировалась. Руководство банка получило своим программистам "взломать" обе системы. Так вот, "Аккорд" был "взломан", а "Кобра" устояла, несмотря на приз в $20000.

- Почему же "Кобру" не расхватывают на лету?

- По нашим данным, мы держим лидерство в продажах подобных систем. ФАПСИ нам не конкурент, тем более что мы получили лицензию Гостехкомиссии, которая дает нам законное право на разработку и установку систем защиты информации типа "Кобра", но в неофициальных беседах банкиры жалуются, что им буквально запрещают покупать нашу систему под угрозой лишения банковских лицензий и навязывают систему ФАПСИ.

- Но ФАПСИ не ведает банковскими лицензиями...

- Напрямую - нет. Но это же правительственная организация, вы что, не понимаете...

- Я понимаю, что это незаконно...

Защищайтесь

Сегодня специальной аппаратурой и программными средствами засекречивания оборудованы не только тысячи банков и специфических организаций в России, но даже резиденция Патриарха. Как правило, российские пользователи справедливо не доверяют зарубежным системам, взлом которых стал любимым развлечением хакеров и всяких джеймсов бондов. Однако и российские государственные системы тоже могут быть ненадежными - когда над Охотским морем советскими истребителями был сбит корейский пассажирский самолет, правительство США уже через неделю представило в ООН дешифровку переговоров наших военных летчиков со станциями слежения. Но с тех пор прошло пятнадцать пет. Разработаны, сертифицированы и активно используются десятки отечественных систем шифрования. Ниже приведены характеристики шести наиболее популярных из них.

??????????????????????????????????????????????????????????????????? ?Название ?Класс ?Защита ?Защита при ?Защита при краже? ?программы ?защищенности?секретной ?установке на?ЭВМ или носителя? ? ?информации ?информации?нотебук ? ? ??????????????????????????????????????????????????????????????????? ?Снег 1.0 ? 2 ? + ? - ? + ? ?Снег-ЛВС1 ? 6 ? + ? - ? + ? ?Dallas Lock? 6 ? - ? - ? - ? ?Secret Net ? 6 ? - ? + ? - ? ?Аккорд ? 6 ? - ? - ? - ? ?Кобра ? 4 ? + ? + ? + ? ???????????????????????????????????????????????????????????????????

Тpи из шести имеют кpиптогpафическую защиту, то есть теоpетически не могут быть взломаны за pазумное вpемя ( менее десяти лет) даже сотpудниками ФАПСИ и уж тем более любопытствующими хакеpами. Однако если пpавда то, что пpавительство pезеpвиpует за собой пpаво "чеpного входа" в любую систему, значит, секpеты pоссиян всегда сможет пpочитать, фигуpально выpажаясь, Боpис Ельцин. Что ж, все pавно отечественные системы лучше - вы же не хотите, чтобы ваши личные письма читал еще и Билл Клинтон?