Strona główna
Indeks tematów
Indeks osób
Spis alfabetyczny

 

CZY JEST BEZPIECZNIE?

LECH STĘPNIEWSKI


Miłośnicy kina pamiętają zapewne tę scenę z "Maratończyka" Johna Schlesingera, kiedy to Laurence Olivier w roli ukrywającego się hitlerowskiego zbrodniarza torturuje Dustina Hoffmana bormaszynką i wiercąc mu aż do gołego nerwu dziurę w zębie pyta raz za razem: "Czy jest bezpiecznie?" Ja sam od tamtej pory jakby mniej chętnie chadzam do dentysty.

Bezpiecznie oczywiście nie jest. Na ulicach są dresiarze, w sejmie posłowie, a w Internecie - hakerzy. Dziś będzie o tych ostatnich.

Gdy mówi się o bezpieczeństwie i komputerach, dominują dwa nastroje: paniki i lekceważenia. Przypomnijcie sobie, co działo się nie tak dawno w związku z "problemem roku 2000". Spodziewano się niemal końca świata, a przynajmniej kilku tygodni bez wody i bez prądu, to znaczy bez telewizji, bez której współczesny człowiek nie może przecież być pewien, że świat jeszcze istnieje. Ale nawet Stanisław Lem, człowiek nieprzesądny, ledwie kilka lat temu bez żenady opowiadał dziennikarzom, że on do Internetu podłączyć się nie zamierza, gdyż obawia się, że grasujące w sieci "makrowirusy" (przez co, jak wynikało z kontekstu, rozumiał wirusy szczególnie duże i tłuste) wyjedzą mu to i owo.

Hucpa i klapa roku 2000 doprowadziły z kolei do namnożenia się znawców, którzy z pobłażliwym uśmieszkiem tłumaczą publice, że "z tymi wirusami i hakerami to nabieranie gości, bo chodzi, panie, tylko o kasę". Ziarnko prawdy pewnie w tym jest, natomiast w wersji radykalnej pogląd ów przypomina przekonanie, że większość chorób wymyślają lekarze, by mieć potem za co pobierać sute honoraria.

Trudno jednak podejrzewać o machlojki lekarza, który stawia niepomyślną diagnozę, po czym od razu oświadcza, że nic tu po nim, bo lekarstwa nie ma. A taką właśnie diagnozę postawił w czerwcu Internetowi Stefan Gibson w swym "Liście otwartym do internetowych hakerów" List Stefana Gibsona w oryginale.

 

Poddaję się...

"Poddaję się. Poddaję się natychmiast, całkowicie i bezwarunkowo. Nie żartuję" - tak się ów list zaczyna. A potem jest coraz straszniej:

"Mam zamiar dokładnie i wyczerpująco wyjaśnić całemu światu, dlaczego nie istnieje żadna obrona przeciwko pewnemu rodzajowi internetowego ataku, który wy, chłopcy, możecie zmajstrować.

Chcę to zrobić, ponieważ świat dalej tego nie pojmuje.

Przyszło mi też do głowy, że możecie sobie pomyśleć, jakobym ja myślał, że nic mi nie grozi, skoro udało mi się zablokować atak przy użyciu komputerów zombie. Chcę więc być pewny, że zrozumieliście, iż nie mam takich złudzeń.

Kilka godzin temu, w czasie pierwszego prawdziwego i nie dającego się zablokować ataku, jakiego kiedykolwiek doświadczyliśmy, rozmawiałem przez telefon z dziennikarzem. Spokojnie wyjaśniłem mu, że właśnie zostaliśmy zaatakowani i wywaleni z Sieci. Trochę panikując zapytał mnie, co mam zamiar z tym zrobić, a ja odpowiedziałem mu, że mam zamiar zrobić sobie długi spacer po plaży, ponieważ i ja i wy wiemy, że nie można absolutnie nic zrobić, by obronić się przed prawdziwym, profesjonalnym atakiem Odmowy Usługi".

Kim jest ten straszący cały świat Stefan Gibson i cóż to za tajemniczy atak Odmowy Usługi?

 

Facet od dziur i łat

Stefan Gibson, szef Gibson Research Corporation, należy do znanych specjalistów od wykrywania luk w zabezpieczeniach rozmaitych programów. Luki te m.in. sprawiają, że ludzie niedobrzy i pozbawieni skrupułów mogą włamać się do komputera użytkownika takiego programu i wedle swojej fantazji narozrabiać. Gdy dziura w programie zostaje wykryta, jego autorzy zazwyczaj opracowują tzw. łatę (patch), która nieco modyfikuje program i dziurę usuwa. Wtedy wszyscy się cieszą i klepią po plecach - do czasu wykrycia kolejnej dziury. Nikt bowiem nie jest doskonały.

Gibson zasłynął niedawno stworzeniem prostego narzędzia do testowania komputerowych firewalli. Firewalle (czyli po polsku: ściany przeciwogniowe) są to - w najpospolitszej wersji - wyspecjalizowane programy mające chronić komputer znajdujący się w sieci przed niepowołanym dostępem. I to w obie strony. Innymi słowy: nikt z zewnątrz nie powinien móc dostać się do naszego komputera, np. przesyłając nam skrycie dane, których sobie nie życzylibyśmy, ale również nasz komputer nie powinien niczego wysyłać w sieć bez naszej zgody. Firewall naturalnie nie jest jakimś cudownym zabezpieczeniem, m.in. nie zabezpiecza przed skutkami własnej głupoty i dlatego większość wirusów etc. beztroscy użytkownicy ściągają sobie z sieci sami! Ale dzięki niemu świadomy użytkownik powinien przynajmniej wiedzieć, co się z jego komputerem w sieci dzieje.

Otóż programik Gibsona (LeakTester - do ściągnięcia ze strony GRC) wykazał, że większość popularnych firewalli bywa często właściwie bezradna wobec nieco tylko sprytniejszych tzw. koni trojańskich. Mianem tym określa się kategorię podstępnych programów, które oprócz wykonywania pożytecznych funkcji (np. zaprezentowania jeszcze jednej gołej Pameli Anderson) potrafią w sposób niewidoczny dla użytkownika przeszukać jego dysk, wykraść różne ciekawe informacje, po czym wysłać je pod odpowiedni adres internetowy, gdzie zapewne czeka na nie już jakiś pan ciekawski. Czasem zaś - i to jest najgroźniejsze! - po prostu posyłają hen, w sieciową przestrzeń, meldunek o gotowości do dalszej pracy. Wówczas twórca konia trojańskiego wie już, że ma w sieci do dyspozycji kolejny komputer, z którym może zdalnie zrobić, co zechce.

Tak przygotowany komputer nazywa się w gwarze hakerów komputerem zombie. Można się nim zwyczajnie pobawić, np. skasować na nim wszystkie pliki na literę "n" albo pomrugać diodami na klawiaturze. Można go też użyć jako narzędzia do przeprowadzenia ataku Odmowy Usługi w jego rozbudowanej wersji - rozproszonym ataku Odmowy Usługi, kiedy to na jedną komendę dziesiątki (setki, tysiące...) komputerów ze wszystkich stron świata uaktywniają się przeciwko upatrzonej ofierze. Ich prawdziwi właściciele w tym samym czasie dalej bez przeszkód piszą listy do cioci lub liczą podatki i nawet nie podejrzewają, że zostali właśnie wcieleni do zdyscyplinowanej i bezlitosnej armii.

 

Jak wykończyć barmana

Na czy polega atak Odmowy Usługi? W grubym uproszczeniu można to sobie wyobrazić tak:

Do baru wchodzi kilku klientów. Podchodzą do barmana i jednocześnie składają zamówienie: ten chce piwa, tamten wódki dobrze zmrożonej, a Lemoniadowy Joe - oczywiście lemoniady. Dobry barman poradzi sobie w tej sytuacji bez trudu. Świetny barman być może potrafi obsłużyć naraz pięciu albo i dziesięciu gości. Ale gdyby pojawiły się ich nagle trzy tuziny, przekrzykujące się nawzajem i prócz zwykłych zamówień żądające także rozmienienia dziesięciu złotych na jednogroszówki oraz klucza do toalety, każdy barman będzie musiał skapitulować. W końcu ogłupiały znieruchomieje, niezdolny do spełnienia nawet tak nieskomplikowanej prośby, by Martini, które zawsze zamawia pewien przystojny i wysportowany pan, było wstrząśnięte a nie zmieszane. Odmówi obsługi...

Kilka tuzinów zmówionych ze sobą klientów zarzucających w jednej chwili swymi zamówieniami barmana, to właśnie coś w rodzaju rozproszonego ataku Odmowy Usługi.

Najwygodniejszym rozwiązaniem byłoby usunięcie tych dowcipnisiów jeszcze zanim zdążą podejść do barmana i narobić zamieszania. Niestety, nie można postawić przy drzwiach bramkarza, który wyławiałby i wywalałby na ulicę wyłącznie klientów z głupimi życzeniami, bo jakie kto ma życzenie, okazuje się dopiero przy kontuarze. Żaden z klientów nie ma też na czole wypisane, skąd przychodzi, co np. umożliwiałoby zareagowanie w momencie, gdy w drzwi dziwnym trafem wkracza kolejny bywalec konkurencyjnego baru.

Bardzo podobnie wygląda to w Internecie!

Do wielkich zalet Sieci należy - jak już pewnie wszyscy wiedzą - jej nadmiarowość (fachowcy mówią: redundancja). To dzięki niej Sieć jest tak odporna na uszkodzenia. Gdy jakiś router (z grubsza: urządzenie pośredniczące między mniejszymi kawałkami Sieci) przestaje działać, inne routery zestawiają ad hoc nowe połączenie i pakiet danych zaadresowany do komputera w Waszyngtonie pędzi, dajmy na to, nie przez Londyn, a przez Mławę.

Kliknij, by powiększyć [21 KB]
[Zobacz, jak to wygląda, na poglądowym diagramie]

Stare sieciowe legendy utrzymują też, że ponieważ wstępny zarys idei Internetu opracowywano na zamówienie wojskowych, Sieć może wytrzymać nawet spory atak atomowy. Ale również dlatego, że Sieć działa tak, jak działa, można w każdej chwili wyeliminować z niej dowolny komputer "zatykając" go miliardami pakietów danych płynących nieprzerwanym strumieniem z armii komputerów zombie na rozkaz wydany z... No właśnie - diabeł wie skąd, bo w takiej anarchicznej strukturze, jak Sieć, centra dowodzenia niezmiernie trudno jest namierzyć.

Każdy pakiet danych zawiera wprawdzie adres docelowy oraz swój unikalny adres źródłowy, ale w praktyce router bierze pod uwagę jedynie ten pierwszy. Dba przede wszystkim o to, by jak najszybciej "dostarczyć towar", a źródło pochodzenia staje się ważne dopiero wtedy, gdy pakiet dociera do miejsca przeznaczenia i rozpoczyna się procedura odpowiedzi. Ale wtedy jest już za późno - barman ma na głowie kolejnego klienta. Nikt też po drodze nie sprawdza, czy adres źródłowy nie jest przypadkiem fałszywy, a sam pakiet - nie całkiem prawidłowy. Ufa się temu, co podaje nadawca, no bo skoro czeka na odpowiedź, byłby chyba idiotą, gdyby coś tu pokręcił. Podobnie bary nie zakładają, że ich goście przychodzą jedynie po to, by sobie pobełkotać do barmana.

Absolutna niemożność obrony przed prawdziwym i profesjonalnie przeprowadzonym rozproszonym atakiem Odmowy Usługi nie wynika więc według Gibsona z tego, że komputery nieraz wariują, programy mają dziury, etc. - ale z samej natury Internetu! Jeśli zatem komuś się to nie podoba, niech nie przymierza się do jakichś reperacji, bo nie ma tu nic do reperowania, ale niech raczej zabierze się do budowania nowej Sieci opartej na zupełnie innych zasadach.

 

Trzynastolatkami się nie zajmujemy

Ten Internet, jaki dziś mamy, jest w istocie bezbronny - powiada Gibson. Konstruujący go inżynierowie - pisze - "tak dziwili się widząc, że to w ogóle działa, że wizja złośliwych hakerów czerpiących radość z rozmyślnego nadużywania systemu, była ostatnią rzeczą, o jakiej myśleli".

Słabym pocieszeniem są też używane przez Gibsona określenia w rodzaju: "prawdziwy atak", "profesjonalnie przeprowadzony" etc. Jeśli członkowie elitarnego cechu kasiarzy potrafią otworzyć każdą kasę na świecie, istnienie kas pancernych dalej ma sens - inaczej nikt nie podchodziłby do okienka w banku, by pobrać pieniądze. Ale w tym wypadku "elita" wygląda osobliwie: atak, który na siedemnaście godzin wyłączył z Internetu serwer Gibson Research Corporation, był dziełem trzynastoletniego hakera!

Gibson go nie namierzył. 13-latek o stosownym pseudonimie "Złośliwiec" sam się do niego zgłosił (ma się rozumieć, w sposób gwarantujący mu pełną anonimowość) i wyjaśnił - robiąc przy tym potworną ilość błędów ortograficznych - że zaatakował, bo poczuł się obrażony pewnymi wcześniejszymi wypowiedziami Gibsona na temat młodocianych hakerów. I tyle.

"Witajcie w nowym wspaniałym świecie trzynastoletnich terrorystów internetowych!" - skomentował to Gibson, dodając jednocześnie, że chyba teraz dla każdego jest już jasne, iż nie można mieć stabilnej gospodarki internetowej w sytuacji, gdy trzynastoletnie dzieci są w stanie arbitralnie decydować o wyłączeniu dowolnego serwera.

W dodatku mogą się za to zabierać całkowicie bezkarnie! Gdy Gibson w trakcie swego prywatnego śledztwa skontaktował się z FBI, agenci na wiadomość, że chodzi o trzynastolatka, natychmiast poradzili mu uprzejmie, by dał sobie spokój. Długie i kosztowne śledztwo w najlepszym wypadku skończy się bowiem i tak jedynie wizytą kilku agentów w domu dzieciaka i rozmową z rodzicami. "W tym kraju jego młodość jest tarczą nie do przebicia" - dodali.

Dlatego w kolejnej rozmowie ze "Złośliwcem" Gibson spróbował perswazji odwołującej się raczej do przyszłości niż do teraźniejszości. "Powiedziałem «Złośliwcowi», że jeśli nie zmądrzeje, za pięć lat tarcza osłaniająca jego młodzieńcze wybryki zniknie i wtedy może znaleźć się w poważnych kłopotach. Odpowiedział mi, że miał poważne kłopoty z FBI, kiedy skończył osiem lat - za włamywanie się do serwerów rządowych".

*

Właśnie na łaskę i niełaskę takich dzieci jesteśmy zdani. A dzieci, o czym dobrze wiedział już święty Augustyn, nie są bynajmniej niewinnymi istotkami. Teraz okazuje się, że mogą znienacka wyłączyć portal naszego e-banku, gdy sprawdzamy rachunek, zablokować encyklopedię, gdy piszemy pilny artykuł albo nawet odciąć serwer drukarni, do której za kilka godzin powinien zostać przesłany Internetem niniejszy numer "Najwyższego Czasu!"...

Bo dawno już minęły te beztroskie czasy, kiedy młodzi chłopcy dając upust swej grzesznej złości ograniczali się skromnie do kradzieży paru gruszek.


© Lech Stępniewski lipiec 2001

Strona główna
Indeks tematów
Indeks osób
Spis alfabetyczny