,
Оригинал: http://www.softerra.ru/review/security/16968/
Теория доказательств
«Когда сверху обращают внимание вахмистров на то,
что не исключена возможность появления в их районе
разведчиков, жандармские вахмистры начинают
вырабатывать этих разведчиков оптом. Если война
продлится, то все жандармские отделения превратятся в сумасшедшие дома.»
Ярослав Гашек. «Похождения бравого солдата Швейка».
Хотя с начала года не было недостатка в пессимистических предсказаниях на тему компьютерного будущего, но действительность все же оказалась куда мрачнее. Начиная с 12 февраля Microsoft разослала уже 5 версий бюллетеня (MS02-006), предупреждающего об уязвимости протокола SNMP. Поскольку переполнение буфера обнаружилось во всех версиях Windows, то в первую очередь «заплаты» были выпущены для линии NT/2000/XP. Как обычно в них оказались ошибки, потребовавшие исправления самих патчей. Серия Win9x, видимо вследствие среднего уровня риска для обнаруженной дыры, все еще ожидает своей очереди.
Тем временем вновь «порадовал» Internet Explorer (IE). Помимо всевозможных напастей, так или иначе связанных с автоматизацией (MS02-005, 009, 013), умельцы нашли способ запускать на удаленной машине любую программу без помощи скриптов и ActiveX. Пример у меня не сработал. Для достижения желаемого эффекта (увидеть Калькулятор или Блокнот) потребовалось соорудить во FrontPage страницу попроще. А вот MS Word 2000 стартовать вовсе не захотел — пришлось воспользоваться режимом Preview из FrontPage. Происходящее было весьма занимательным. Сначала появился инсталлятор Office, но установочный диск требовать не стал. После непродолжительных раздумий на экране всплыли однотипные сообщения о невозможности зарегистрировать библиотеки типов для URLPKR.DLL, HTMED.DLL, BLDWIZMG.DLL, CSOF.DLL — все, как ни странно, из комплекта Visual Studio (рис. 1) и только потом окно самого Word'а.
Рис. 1. И чего ему не хватает?
Интересно, кто-нибудь понимает, что там на самом деле творится внутри Виндов? Я тут недавно попался на «совет» по настройке, в котором утверждалось, что SPOOL32.EXE (спулер печати) при отсутствии принтеров можно удалить и сэкономить на нем пару мегабайт оперативной памяти. Преодолел сопротивление System File Protection (SFP) из Windows Me — вроде бы проблем не возникло. Вскоре понадобилось перенести данные в Word через буфер (Clipboard). Чего проще Копировать — Вставить. Дудки, выставляются песочные часы и редактор повисает. Все остальные программы спокойно работают. Вернулся спулер — восстановилась и вставка. Каким образом эти функции связаны между собой?
Съем информации со светодиодов модемов, составление карты сети ЦРУ по данным поисковика Google, направленная антенна для перехвата информации в беспроводных сетях на основе банки из-под чипсов, — это уже 1 апреля, но не как День смеха, а как All Fools' Day — День всех дураков.
На фоне вот такого абсурда происходит «усиление борьбы» с «компьютерной преступностью». Зачинщиком традиционно выступают отцы заморской демократии. В отместку за то, что глобальные шпионские сети проворонили нью-йоркскую трагедию, непричастные к ней злобные хакеры и киберхулиганы-недоумки уравнены в правах с террористами и убивцами — пожизненное заключение стало реальностью. Мало-помалу и Совет Европы подготовил конвенцию борьбы с киберпреступностью. Теперича вирусы и детская порнография должны быть повсеместно объявлены преступными злодеяниями.
За бледнолицыми Большими Братьями поспешают наши законодатели. Импортировав продукт высоких технологий с не менее высокими изъянами, технологически неразвитые государства вынуждены перенимать заморский (анти) криминальный опыт. Конечно, белорусский «червонец» за «компьютерный саботаж» или «разработку вредоносных программ» — это все-таки не Америка, а Россия и Украина вообще на 3-5 лет либеральнее, однако «новые приключения неуловимых» российских хакеров могут завершиться большими неприятностями.
Не зря ведь по всему «цивилизованному» миру создаются специальные службы для борьбы с киберпреступлениями. Финансирование, штаты, карьерный рост — все по-настоящему, «всерьез и надолго». Но и победные реляции тоже необходимы, как воздух. А то что же получается? Шумим о происках «русской компьютерной мафии», а как доходит до суда, то все больше «переживающие трудное время» шалунишки из Америки да Европы. Кабы не доверчивые провинциалы Иванов с Горшковым, так и рапортовать было бы не о чем. Ну ничего, после ужесточения закона и упрощения процедуры сбора доказательств киберзлодеи будут перемещаться за решетку пачками.
Параллельно компьютерная безопасность и борьба с киберпреступлениями оформляются и как раздел научной деятельности: вводятся учебные курсы, пишутся диссертации и монографии, проводятся конференции и симпозиумы. Так что в скором времени виртуальные бандиты окажутся в «ежовых рукавицах» научно обоснованного правосудия.
В представлении многих наших соотечественников научная криминалистика ассоциируется с экспертом Кибрит из сериала «Следствие ведут знатоки». Железные доказательства ее исследований не оставляли кинозлодеям никаких шансов избежать наказания. Сейчас, конечно, творчество, к примеру, Андрея Кивинова ^;[1] внесло существенные коррективы в представления о работе правоохранительных структур. Романы Дмитрия Черкасова ^;[2] вообще могут ликвидировать светлый образ борцов с преступностью (по крайней мере в одном, отдельно взятом, городе на Неве). А жутко положительных аналитика с Петровки Каменскую и частного детектива Дубровского лучше все-таки не подпускать к компьютерам. Меньше сраму будет.
Впрочем, что взять-то с «мастеров художественного цеха»? «Академиев не кончали». Но и на сайтах профессиональных борцов с киберпреступностью можно отыскать журналистские утверждения, что взлом Сити-банка чуть было не привел «к гигантскому мировому финансовому кризису».
До недавнего времени цифровые доказательства даже при рассмотрении так называемых «компьютерных преступлений» не играли решающей роли в суде. Не могло быть и речи о вынесении приговора только на основании «виртуальных улик». Обвинение предпочитало находить «убедительные аргументы» для заключения договора: признание вины в обмен на минимальное наказание. Идеальным доказательным вариантом считалась провокация в стиле «агента тайной полиции Бретшнейдера». Наиболее известные у нас примеры — это капитально подготовленное дело Иванова с Горшковым и большой мыльный пузырь со Скляровым. Впрочем, американским гражданам иногда тоже достается.
«Но всему прекрасному приходит конец». Прецедент по делу Никодемо Скарфо [Nicodemo Scarfo] (судья Николас Политан [Nicholas Politan]) подвел бы юридическую базу под шпионские технологии ФБР. И все же судебного разбирательства опять не будет. Под давлением обстоятельств “Little Nicky” пошел на досудебную сделку. А ФБР, получив хоть и неподтвержденный прецедент, обзавелось индульгенцией на применение своих «Волшебных фонарей» под прикрытием обеспечения национальной безопасности.
В связи с резким ужесточением наказаний, от заключения компьютерного эксперта зависит жизнь человека. Поэтому проблема доказательной силы таких экспертиз, опирающихся на последние достижения в науке и технологиях серьезно волнует западное общество, чего, к сожалению, не скажешь о нашем. В 1990 г. журнал Scientific American публикует статью Питера Нойфельда и Невилла Колмана «Когда наука выступает в качестве свидетеля» ^;[3]. Хотя она посвящена сомнительному применению в судебной практике методов анализа ДНК, но базовые положения этой работы можно слово в слово перенести на компьютерные технологии. Судите сами:
«… для того, чтобы суд мог правильно оценить данные судебно-медицинской экспертизы, адвокаты и судьи должны хоть в какой-то степени быть знакомы с изучаемым вопросом. К сожалению, адвокаты удовлетворяются чаще всего тем, что оценивают квалификацию и опыт специалиста (запросы об университетской деятельности и научных трудах) и удостоверяют факты, на основании которых были сделаны заключения экспертов. Причина этого довольно проста: большинство адвокатов и судей не владеют специальными научными знаниями для тог, чтобы решить вопрос о принятии свидетельства специалиста в качестве доказательства. Судьи зачастую думают (ошибочно, по нашему мнению), что правосудие будет отправлено лучшим образом, если решение вопроса о весомости свидетельства специалиста отдать на суд присяжных заседателей.
Проблема научной безграмотности дополняется тенденцией судей не сомневаться в весомости того или иного научного доказательства, если оно уже однажды было принято другим судьей в качестве доказательства по другому делу. Эта практика основывается на широко известном положении о «прецеденте» с целью сохранения единообразия в отправлении правосудия. В случаях применения судебно-медицинской экспертизы частый отказ судов взглянуть по-новому на основополагающие научные принципы является причиной многих случаев неверного отправления правосудия». ^;[4]
И ФБР в деле о компьютерных доказательствах ведет себя точь-в-точь как и с анализом ДНК:
« На нескольких предварительных слушаниях, где были подвергнуты сомнению анализы ДНК, проведенные ФБР, бюро отказалось представить исходные данные экспертизы, ссылаясь на свою привилегию «не заниматься самокритикой». ФБР также выступило против проведения проверки своих результатов независимыми экспертами, заявив, что ни один человек, не являющийся сотрудником ФБР, не способен оценить его деятельность».
Такой вот образец для подражания.
Компьютерная преступность действительно превратилась в крайне серьезную проблему. Но она опирается на технологии, от которых открещиваются сами разработчики. В лицензионном соглашении в разделе об обязанностях производителя сплошь и рядом записано «никакой ответственности» . В частности и за появление класса script kiddies, процветающих на макроошибках программного обеспечения. Никакой ответственности не несут также раззявы, умудряющиеся допускать внешние подключения к сетям, контролирующим технологические процессы. Вот «австралийский хакер затопил город нечистотами» и получил за это 2 года тюрьмы. А что руководство и обслуживающий персонал системы контроля за канализацией совсем ни при чем? Хотя бы пожурили за разгильдяйство.
Для принятия результатов экспертизы в суде «основополагающая научная теория должна быть общепризнанна научной общественностью^; метод проведения анализов должен быть надежным^; в каждом конкретном случае этот метод должен быть применен надлежащим образом».
До недавнего времени считалось само собой разумеющимся, что внедрение «троянского коня» компрометирует всю информацию в поражаемой системе. Уровень безопасности нынешних компьютерных технологий можно однозначно охарактеризовать, исходя из деятельности главного советника Буша по защите киберпространства Ричарда Кларка. Администрация США не видит другого способа обеспечить эту защиту, кроме как создать изолированную от всего мира сеть. Это означает, что ведущие американские компьютерные эксперты не могут для имеющихся систем гарантировать ни сохранности данных, ни их корректного использования, ни… Вообще ничего не могут гарантировать. Нужно все создавать заново.
Интересно, как они смогут аргументировать в суде надежность цифровых улик, получаемых ФБР с помощью троянских технологий?
[1] ^;— ^; Акценты в книгах и известном телесериале «Менты» весьма различаются. Впрочем, это только мое личное мнение.
[обратно к тексту]
[2] ^;— ^; Смотри серию «Пацаны России»: «Шансон для братвы», «Канкан для братвы».
[обратно к тексту]
[3] ^;— ^; Neufeld, PJ and Colman, N “When Science Takes the Witness Stand” Scientific American (1990) 262(5), p.p. 18-25. На русском языке «В мире науки», 1990, № 7, с. 6-14.
[обратно к тексту]
[4] ^;— ^; Дополнительные подробности и примеры судебных ошибок можно найти по этому адресу. Аналогичный материал опубликован в The Scientist “Disorder In The Court When Science Takes The Witness Stand” (для доступа требуется бесплатная регистрация).
[обратно к тексту]