Безразличие к преступности в Интернет

Недавно я опубликовал статью о нормализации преступности. Она не относилась непосредственно к Интернет. Теперь эта статья продолжает серию о безопасности информационных технологий и развивает предыдущую тему, рассматривая её с несколько другого ракурса. Нам известно о множестве случаев взлома компьютерных инфраструктур самых различных организаций, повторяющихся уже несколько десятилетий. Самые вопиющие из них освещены в прессе, и о них поневоле становится известно даже тем, кто вопросом информационной безопасности вообще не интересуются. Но вот отклика такие новости почти не находят. Вероятно, большинство считают, что к ним это не относится и на их жизни вообще никак не влияет. Это заблуждение.

Если сложить количество записей личной информации, украденных преступниками у их жертв за всю историю существования Интернет, то число приблизится к населению Земли или даже превысит его. Данные практически каждого, кто имеет какое угодно присутствие в Интернет, уже были украдены в той или иной форме. Мы мельком читаем это в новостях и тут же забываем, переведя взгляд на другие заметки, а потом мы удивляемся, что это нам звонят мошенники, точно знающие наш телефонный номер, имя, адрес, индивидуальные номера регистрации налогоплательщика, номера банковских счетов и остатки средств на них и другую информацию. Нам бы задуматься и связать первое с последним, но наше внимание рассеяно и не видит связи, а она есть.

Человечеству подсунули Интернет, как развлечение, игрушку, средство отдохнуть и расслабиться. Так вот: нас обманывали и продолжают обманывать. Он совершенно не такой. Присутствие в Интернет сопровождается такой же опасностью, как пешая прогулка по скоростному шоссе между полос. Там нас может сбить автомобиль, а здесь наши данные могут попасть в руки преступников, или они могут получить доступ к нашим устройствам и программному обеспечению.

Кто виноват?

Виноваты многие. Во-первых, те, кто этот интернет спроектировал и выпустил в общий доступ. Это были высоко-классные специалисты своего дела, выпускники профильных ВУЗов с учёными степенями и званиями. Они сосредоточились на единственной задаче создания работоспособной инфраструктуры, способной надёжно передавать пакеты с данными на большие расстояния. Это им удалось. Если задуматься, то это чудо, что из городка Магуде в Мозамбике запрос успешно достигает страницы Алиэкспресса в Шенжене в Китае, а ответ возвращается обратно за какие-до десятые доли секунды. Вот только никаких механизмов соблюдения законности эти поистине гениальные учёные и инженеры не потрудились создать. Им это в голову не пришло. Все меры, о которых известно на данный момент, были созданы впоследствии, как реакция на противоправные действия, начавшиеся в Интернет сразу по его введении в эксплуатацию.

Во-вторых виноваты абсолютно все государственные служащие, которые одобрили и позволили передавать данные по сетям, проложенным в подземных коммуникациях, подвешенным на столбы или по радиоволнам запущенных в космос спутников. Эти одобрения когда-то были выданы без каких-либо требований обеспечения безопасности и соблюдения законности. Они подмахнули подсунутые им документы, не вернув их на доработку.

Ну и в третьих, виноват каждый из нас. Мы прошляпили полнейшее беззаконие, творящееся на просторах Интернет с самого его создания и по нынешний день. Мы не увидели лес сквозь деревья. В результате данные утекают, а пенсионерки переводят и передают в виде наличных свои сбережения преступникам. Причём, это только надводная часть айсберга. Что ещё они там творят, многие даже не подозревают, а это может распространяться на торговлю людьми и органами, использование ничего не подозревающих граждан, как мулов при незаконном перемещении предметов и данных, и многие другие злоупотребления.

Что делать?

Я прекрасно отдаю себе отчёт в том, что зря сотрясаю воздух. Никакого намёка на то, что кто-то заинтересуется этой темой, и что что-либо изменится, не наблюдается. В этом нет ничего удивительного, раз Интернет настолько подмят под себя преступными сообществами, но я всё же продолжу, потому что так моя совесть будет чиста.

После терактов 11 сентября добрая половина Земного шара приняла законодательство о противодействии отмыванию денежных средств и финансированию терроризма. Во многом это законодательство является громко и красиво звучащей пустышкой, но всё же в нём есть и рациональные зёрна: оно создаёт и регулирует процесс и инфраструктуру отчётности и обмена данными между правоохранительными органами и финансовыми организациями в области соблюдения соответствующих законов. Каковы бы ни были его недочёты, а их немало, кое-как эта схема действует. Почему бы не сделать нечто подобное в Интернет?

Да, кое-где что-то подобное существует. В какой-то момент некоторые государства обязали организации, предоставляющие доступ в Интернет, вести и сохранять журналы доступа. На словах звучит красиво, но если задуматься, то это полная ерунда. Так мало кого можно поймать, но вдаваться в подробности причин в формате этой статьи не стоит и непродуктивно, поэтому пока поставлю на этом точку. В конце концов, делается вопиюще мало, тогда как это было бы не сложно, если на минутку отложить в сторону жадность и лень.

Кому-нибудь объяснили, что вообще такое Интернет? Подключая очередного подписчика к этой сети, провайдеры проводят с ними какой-либо ликбез, какой-то курс молодого бойца на предмет того, какие опасности в нём таятся, чего следует и не следует делать, чего нужно опасаться? Я о таких мерах ещё ни разу не слышал. Уверен, что практически нигде провайдеры не обязаны предпринимать подобные шаги, а нам бы стоило обязать их. Меня лично каждый очередной провайдер лишь поздравлял с подключением и желал весело провести время. Возможно, если бы вместе с модемом или проводом для подключения к подъездному маршрутизатору выдавали листок с перечнем опасностей и мер противодействия им, который можно было бы повесить на стену возле монитора, то у мошенников и хакеров не было бы столько жертв. Если у вас дела обстоят иначе, то мои вам поздравления: хоть кто-то что-то делает.

Много кого возмущают правонарушения в Интернет против детей. Ещё бы не! Но останавливает ли это тех, кто предоставляют детям доступ туда? Может быть, в последнее время процесс стронулся с мёртвой точки: одна или две страны ограничивают доступ в соцсети до достижения определённого возраста. Но чёрт возьми, на дворе 2025й год, а Инернету уже под сорок. Чего вы, чёрт возьми, ждали все эти десятилетия? Вы такие осторожные, когда речь идёт о других видах деятельности, но тут почему-то допустили вседозволенность в среде, где заведомо известно о деятельности преступников всех мастей. Чего вы ждали? Боялись признать это?

Прошерстив архивы прессы, можно найти достаточно примеров доведения подростков до самоубийства издевательствами или сколнения к совершению преступлений, и всё через Интернет, чтобы сосчитать их не хватило пальцев на обоих руках. Казалось бы, если это может спасти хотя бы одного, то ввести ограничения стоило бы сразу, но нет, никто не стал это делать, и даже настоящего обсуждения в обществе не наблюдается. Другие, даже статистически ничтожные причины вызывали гораздо более резкий отклик, вплоть до глобальной истерии, но не Интернет. Он что, неприкасаемая тема-табу?

Кого это должно беспокоить?

Безразличие контроллирующих органов к судьбе пользователей Интернет превращается в безразличие самих пользователей, которых не предупредили, и которым никто и ничего не объясняет. По сути, никто, кроме падких на сенсации журналистов, не информирует общественность о таящихся в Интернет опасностях, да на работе кое-где иногда проводят курсы по соблюдению правил безопасности, только вот какой процент населения является их аудиторией?

Внимательный читатель, конечно же, заметил массу неопределённых частей речи, которыми изобилует эта статья, да и другие в серии: кое-где, кто-то, иногда, местами, временами. Ими характеризуется полная картина состояния дел в Интернет в частности и в сфере информационных технологий вообще. Что-то делается, но ничего существенного. Нет ни стандартов, ни правил, ни законов. Всё держится на соплях и усилиях отдельных энтузиастов (если верить им на слово). Единичные усилия не в счёт, потому что они мало влияют на общее положение вещей. Интернет был и остаётся всепланетным Диким Западом. Разумеется, в организациях картина иная, чем крупнее, тем разительнее. Там для передаваемого по сетям пакета ситуация, как в концлагере: шаг вправо, шаг влево — расстрел на месте. Но их решения дорого стоили и редко выходят за их стены на пользу обществу.

Самое сложное — это объяснить широкой публике, что происходит, как и почему. Простой человек, считающий Инетрнет и антенну беспроводной сети, торчащую из маршрутизатора за шакфом в углу, одним и тем же, не интересуется техническими подробностями, и даже если бы интересовался, то всё равно был бы не в силах многое понять, потому что это вовсе не простая область деятельности. Даже у профессионалов, которых обучают сетевой безопасности на специализированных курсах, уходят годы на полное освоение некоторых понятий и практик. Может быть, если перевести дискуссию в денежное русло, понимание наступит легче и быстрее? Сформулирую это так: если вы лично не будете соблюдать правила безопасности в Интернет, то вы можете лишиться части или всех своих сбережений и собственности. Так понятнее?

Начнём с того, что пакеты по сетям Интернет передаёт как правило программное обеспечение. Даже если кажется, что это делает устройство, то всё равно внутри него работают программа или несколько. Подлинно аппаратных решений осталось крайне мало, хотя они когда-то составляли значительную долю подключённых устройств. Любая программа, что бы ни заявлялось в её описании, может передавать куда угодно в Интернет любые пакеты и принимать любые пакеты откуда угодно из Интернет, если этому не создано препятствий. Когда любой пользователь что-то печатает на своём устройстве, будь это персональный компьютер с любой операционной системой, мобильное устройство или что угодно ещё, когда он разговаривает при помощи программы для Интернет-звонков, когда он снимает видео при помощи встроенной или подключённой камеры, все эти данные (текстовые, аудио и видео) могут отправиться не по назначению, если ПО на устройстве или где-то между устройством или получателем запрограммировано это делать.

Почему так бывает? Потому что в этом заинтересована организованная преступность. Она хочет знать всё про всех, чтобы иметь возможность выявлять самые лакомые возможности незаконно обогатиться и пользоваться ими. Им всё равно, какое влияние это окажет на общество, потому что ими овладело неудержимое желание обогащения. Они просто не могут устоять перед возможностью поживиться за чужой счёт и действуют соответственно: сами или с чужой помощью создают вредоносное ПО, распространяют его везде, куда могут получить доступ, и осуществляют несанкционированное использование устройств и средств передачи данных.

Как можно узнать о том, что это происходит? Для этого придётся довериться другим техническим средствам: специализированному ПО вроде WireShark или устройствам. Только захватив пересылаемые по сетям пакеты и проанализировав содержащуюся в них информацию, можно понять, что происходит. Этому есть ряд препятствий. Во-первых, на сегодняшний день значительная доля пакетов зашифрована. Из них можно только почерпнуть, куда они отправлены, но не что в них содержится. Во-вторых, даже адрес получателя может не нести никакой смысловой нагрузки, потому что он может быть ложным, а перехват этих пакетов может осуществляться где-то по пути следования. А тут ещё нас должна сверлить задняя мыслишка: а правду ли нам сообщает WireShark?

Для этой концепции существуют термины: уменьшение атакуемой поверхности и исключение векторов атак. Чем меньше адресов и портов доступны для взаимодействия, тем меньше риск ущерба. Пользуясь Интернет, следует уменьшать атакуемую поверхность до минимума. К сожалению, мало кто, кроме профессионалов, знают, как это делать. Этим, естественно, пользуются и преступники, подсовывая пользователям якобы ПО для обеспечения безопасности, таковым не являющееся.

Закрытие всех каналов, которые не требуются для намеренной передачи данных через Интернет, также является эффективным способом сокращения атакуемой поверхности и устранения векторов атак. Для этого служат брандмауэры, которые могут располагаться на устройствах пользователей, маршрутизаторах, и много где ещё. Они полезны, и их много не бывает.

Меня трудно обвинить в слепом одобрении компании Microsoft в общем и его ПО в частности, но оно выгодно отличается от бесплатных операционных систем, пытающихся составить им конкуренцию: Linux и других. Во встроенном брандмауэре Microsoft Windows разграничение доступа к Интернет распространяется на отдельные исполняемые файлы. С его помощью можно с лёгкостью разрешать и запрещать доступ на уровне программ: например, Хрому разрешить выход куда угодно по 80 порту HTTP (важность которого в последнее время падает, но пока не достигла нуля) и 443 порту HTTPS протокола TCP, а какому-нибудь средству связи только на IP-адрес его сервера и только по его конкретному порту UDP.

В Linux и других операционных системах с открытым кодом это затруднительно и требует непростых телодвижений. Сами концепции защиты в них трудны для понимания даже профессионалами и вовсе не интуитивны, в отличие от Windows, где всё просто и понятно. Вот истинное лицо создателей бесплатного ПО с открытым кодом: десятилетиями их не волнует безопасность пользователей, сколько бы они ни утверждали обратное. Они создали культ и молча наблюдали, как его последователи с пеной у рта унижали Microsoft, обвиняя его во всех тяжких, а сами плевать хотели на безопасность. К счастью, в последнее время наметилась тенденция на появление более лёгких в настройке брандмауэров для Linux, например OpenSnitch, но он пока переживает болезни роста и ещё непригоден к использованию всеми и каждым.

Но поскольку в Интернет нет стандартов, то, даже настроив наш брандмауэр на ограничение доступа, мы в какой-то момент будем вынуждены «просверлить в нём ещё одну дыру», потому что какой-нибудь владелец ресурса присвоит ему нестандартный порт, например какой-нибудь 8080 или 8443, и нам придётся открывать доступ Хрому и к этому порту. Чтобы не давать его для всех ресурсов, нам придётся создать отдельное правило на конкретный адрес. А тут ещё под ноги лезет проблема динамической смены IP-адресов. Настроили мы разрешать один, а он взял и сменился. Меняйте правила или разрешайте доступ для целой сети. И тут возникает вопрос: а не прячется ли на ней помимо нашего разрешённого ресурса какой-нибудь злоумышленник. Видите, как всё непросто? А я ведь только поверхность этой проблемы царапнул! Вас кто-нибудь о таком предупреждал? Кстати, кому-нибудь объяснили, что такое порт, протокол и адрес, как в школе объясняют, что такое улица, дом и корпус? Врядли.

Кстати об адресах! Их скрывают даже те, кому, казалось бы, следовало бы их афишировать. Например, тот же Microsoft и авторы разных вариантов того же самого Linux отказываются сообщать пользователям, с каких именно адресов их продукты будут скачивать обновления. Отчасти их можно понять: сообщив этот адрес, они облегчили бы задачу тем, кто могут попытаться перехватывать обновления и подменять их или заражать, чтобы подсунуть пользователям вредоносное ПО. Но это соображение надумано, а на самом деле оно совершенно другой природы: облачной. Держать и распространять обновления через облака дешевле, вот и весь сказ. Экономия и прибыль затмевают всё остальное. Те же поисковые движки вроде Google или Bing не афишируют свои адреса. Владельцы ресурсов могли бы разрешить их, но нет, им эту задачу не облегчают, а приводит это к слишком большой поверхности атаки. И кто теперь друг, а кто враг? Как на Диком Западе: прав тот, у кого ружьё?

Самым лучшим решением, как ни цинично звучит, является отказ от использования Интернет вообще для видов деятельности, требующих высокий уровень безопасности и сопровождающихся высоким риском. Кое-какое подспорье могут оказать виртуальные частные сети, ведущие к необходимым ресурсам, но они имеют ограниченную полезность. Кое-что могут заблокировать брандмауэры, но и они не полностью непроницаемы для изощрённых атак.

Частично риск попадания приватных данных не в те руки смягчается шифрованием. Но для этого должны, опять-таки, соблюдаться несколько условий. Первое, главное и самое очевидное, заключается в том, что данные должны быть действительно зашифрованы. Тут не всё так однозначно. Некоторые программы шифруют лишь текстовые сообщения, но не видео и не звук. Достаточно в разговоре упомянуть свой счёт в банке, и об этом могут узнать злоумышленники. На глаз трудно понять, происходит такое или нет. Кого-нибудь о таком предупредили?

Ещё одним аспектом, ослабляющим безопасность, является нехватка пользовательского ПО, позволяющего настраивать брандмауэры и выявлять проблемы с их настройкой. Зачастую пользователю, отчаявшемуся предоставить доступ той или иной программе, приходится открывать его шире, чем необходимо, просто потому что он не знает, чего эта проклятая программа требует, и чего ей не хватает. Полностью отключив защиту и наконец подключившись к созвону, обычно пользователь вздыхает с облегчением и так всё и оставляет: приходи, кто хочет, бери, что хочет.

Обо многом из того, о чём я пишу в этой серии, невозможно узнать, не получив богатый опыт работы в области информационных технологий. Это не вина общественности, что она об этом ничего не знает. Многие обстоятельства и факты тщательно скрывают, и узнать о них можно, лишь столь же тщательно наблюдая за происходящим длительное время, как пришлось и удалось мне. Наблюдая за потоками информации в Интернет и сопоставляя их с поведением участников этого процесса, нельзя не заметить, что всё не так, как выглядит с первого взгляда; некоторые не являются теми, за кого себя выдают; кое-какие действия не соответствуют их заявленным целям. Короче, не всё то золото, что блестит, и не следует быть падким на обещания хорошей и приятной жизни. Чем красивее сказка об услугах и программном обеспечении, тем более горьким, скорее всего, окажется разочарование. Иными словами, не обжёгшись на молоке, мало кто из нас дует на воду.

Повторюсь: когда государства взяли на себя почтовое сообщение, были приняты законы, вводящие ответственность за вскрытие чужих писем или за доставление их не по адресу. Когда был изобретён телеграф, были приняты похожие меры. Когда к территориальным водам одного государства подходит военный корабль другого, войска приводятся в боевую готовность, и в море выходят суда с пушками и ракетами. Но вот когда всех подключили к Интернет, почему-то и законодатели, и общество промолчали. Всем сказали, что Интернет необязателен, но потом тихой сапой перенесли туда и совершенно обязательные услуги, без которых не обойтись без всё возрастающих затрат времени и средств, а то и вообще. Разумен ли такой подход? Решите сами.