Security Focus

Перевод Татьяны Даниловой

Греческий миф гласит: провидец Лаокоон, жрец Аполлона, предупредил жителей Трои, чтобы те не впускали в город огромного деревянного коня, которого придумал Одиссей и сделал мастер Эпей. "Троянцы, не верьте коню! Чем бы это ни было, бойтесь греков, даже дары приносящих!" - как и 4000 лет назад, это знаменитое пророчество актуально и сегодня - применительно к загрузке неизвестных файлов.

Считается, что об опасности троянского коня нам известно все. Но следует рассмотреть и новые коварные юридические закавыки. За несколько прошлых месяцев суд Британии оправдал нескольких человек. Оправданы они были на основании "троянской защиты", которую мы, адвокаты по уголовным делам, называем "защитой ЭСКД - Это Сделал Кто-то Другой".

Троянская защита таит в себе две равно опасных проблемы: возможность оправдания виновного или осуждения невинного.

В первом случае, учитывая природу электронных улик, виртуально все расследование компьютерного преступления полагается на точные доказательства. Чтобы доказать, что Джон Доу хакнул, к примеру, компанию АВС, нужно собрать логи IP и многое другое; возможно, початиться с этим самым Джоном Доу в IRC, выбить ордер или повестку в суд для получения информации от его провайдера, предъявить запись действий, которые могли бы иметь отношение ко взлому. Лишь затем вы получите ордер, дающий право постучать в дверь Джона Доу и изъять его компьютер, - при условии, что являетесь агентом правоохранительных органов. Если в ходе судебной экспертизы компьютера будут найдены файлы, указывающие, что машина использовалась при доступе на взломанные сайты, сообщения электронной почты соответствующего содержания и даже коды, используемые для злонамеренных действий, то считайте, что мяч в корзине и виновный осужден. Правильно?

Неувязки в Соединенном Королевстве

Но что, если кроме всего этого вы обнаружили в компьютере трояна - скажем, одну из версий Optix Pro или другую программу для удаленного доступа? Означает ли присутствие такой программы автоматическое снятие обвинений с подозреваемого? Вероятно, нет. Однако, учитывая эфемерный характер электронных улик и то, что они всегда могут быть изменены, насколько вы, вы лично, уверены в виновности Джона Доу, даже если оснований для сомнения нет? Ведь чем выше квалификация хакера, тем более привлекательной целью станет он (или она) для других хакеров. Наконец, будучи хакером, станете вы хранить уличающие вас файлы на своей машине? Или все же скинете их на чей-нибудь чужой компьютер, как подкидывает кукушка свои яйца в чужие гнезда? Такие стратегии "парковки" своих файлов хакеры используют много лет.

Джулиан Грин был арестован в октябре 2002 года после того, как полиция при обыске его домашнего компьютера нашла детскую порнографию. У провайдера сохранились логи, указывающие на то, что Грин скачивал некие файлы, а присутствие детского порно на его компьютере, казалось бы, подтверждало обвинение и не оставляло сомнения в том, что он будет осужден.

Однако эксперт защиты нашел свидетельства того, что в компьютер Грина был подсажен троян, разработанный для перехвата управления браузером и перенаправления его на порносайты. Вероятней всего, троян попал в компьютер из файла, прикрепленного к сообщению электронной почты, - и такое предположение звучало тем правдоподобней, что у Грина был сын 13-ти лет. Не будучи в силах доказать, что Грин сознательно и преднамеренно скачивал детскую порнографию, суд отклонил обвинение.

То же самое произошло с 19-летним хакером Аароном Каффри, обвиненным Саутуоркским судом в организации DdoS-атаки на компьютеры Хьюстонского порта (Техас) в сентябре 2001 года, - менее чем через две недели после событий 11 сентября. Сервер порта был отключен, и анализ логов показал, что источником атаки был компьютер Каффри.

В отличие от дела Грина, судебная экспертиза компьютера не нашла следов троянских программ. На слушании в суде Каффри просто указал на возможность организации атаки посредством троянской программы и на то, что его случай относится к тем, когда есть основания для сомнений. Жюри с этим согласилось, и в октябре 2003 года Каффри был оправдан.

Троянский шантаж

Во второй половине декабря 2003 года компании всего мира сообщали о новом виде кибератак, которые продолжались, очевидно, около года. Кибервымогатели (как сообщалось, из Восточной Европы) угрожали "подсадить" детское порно в корпоративные компьютеры и затем сообщить об этом в полицию, если им не заплатят. Если шантажируемый не соглашался заплатить 30 долларов "отступных", хакер заявлял, что он сотрет содержимое жесткого диска или подложит туда детскую порнографию. Вероятность наличия троянов и та легкость, с которой их можно использовать, сделала эти угрозы весьма правдоподобными.

Два вышеописанных британских судебных дела иллюстрируют проблему "троянской защиты": она не только затрудняет применение электронных улик для окончательного доказательства вины, но и в известной мере упрощает изготовление и установку электронных свидетельств, не противоречащих обвинению. Фактически, владея некоторыми навыками и инструментами, можно не только подсовывать такого рода улики, но и делать это, не оставляя виртуальных следов, так, что установить невиновность вашей "цели" станет невозможным.

В троян, подсаживаемый для атаки на чужой компьютер или для скачивания предосудительных файлов, может быть встроена возможность самоуничтожения с последующим удалением с жесткого диска всех следов его существования. И доказать вашу невиновность, отвергнув очевидные улики, станет почти невозможно. Появление настоящего кибервымогательства и киберловушек - всего лишь вопрос времени, - если только они уже не существуют в реальности, - особенно теперь, когда приговоры за компьютерные преступления становятся просто драконовскими.

Конечно, во всем этом помогут надежные методы информационной безопасности. Предупреждение проникновения троянов, поиск злонамеренного кода, необычной активности и фильтрование спама, - все это поможет. Выручат и просмотр и анализ логов. И, конечно, можно обезопаситься от вторжения строгостями аутентификации и контроля доступа. Вот еще одна причина сделать то, о чем профессионалы компьютерной безопасности твердят годами.

Что касается Лаокоона, то первое же его экспертное заключение об опасности троянского коня и предупреждение троянцам нарушило волю Посейдона, и боги наслали змей, убивших и эксперта, и обоих его сыновей. Что доказывает верность еще одной аксиомы: ни одно доброе дело не остается безнаказанным.