«Люки» и «закладки»

Теоретически абсолютно любую компьютерную систему можно взломать (правда, в ином случае на это может потребоваться столько времени, что результаты взлома станут уже никому не нужны). Во всяком случае любая компьютерная система, особенно «распределенная» (чьи узлы не находятся в одной географической точке), может подвергаться и подвергается целому ряду атак. В первую очередь атаки можно разделить на внешние, «автор» которых не имеет доступа к внутренней информации и пользуется лишь общедоступными сведениями и ресурсами, и внутренние, когда атакующий является инсайдером — автором, легальным пользователем системы и т.п.

В принципе использование современных методов стойкой криптографии позволяет построить достаточно надежную закрытую сеть передачи данных, даже если использовать сети общего доступа (например каналы обычного Интернета). На самом же деле системы, носящие стратегический характер, как в случае с ГАС «Выборы», просто изолируются от сетей общего доступа (как говорится, лучшая сетевая защита — 10 сантиметров чистого воздуха). И действительно, случаи успешных внешних атак на подобные закрытые системы крайне редки и в подавляющем большинстве случаев становятся возможными именно благодаря утечке внутренней информации — например, в результате увольнения инсайдера (впору вспомнить совет из сисадминского фольклора: «Увольняя системного администратора, рассчитайтесь с ним по долгам, проводите до дверей и лично подайте пальто»).

Первое, что приходит в голову при разговоре о внутренних атаках: так называемые люки или закладки, позволяющие производить некоторые действия в обход установленных правил работы с системой. Они встраиваются в систему ее разработчиками для удобства отладки, а потом могут быть либо случайно забыты, либо оставлены сознательно — вполне возможно, с подрывными целями. Еще один возможный вид атаки: добавление в систему программ, позволяющих отслеживать действия пользователя и «подправлять» их, как это проделывают программы-троянские кони, терроризирующие современный Интернет. Возможна и простая, но эффективная атака обыкновенными компьютерными вирусами. Наконец, самым слабым звеном любой автоматизированной системы является человек-оператор, который вводит в нее исходные данные. Зачем тратить время на подбор паролей, когда можно просто подкупить оператора? Зачем изобретать хитроумные способы атаки, когда можно просто попросить системного администратора сымитировать аппаратный сбой? Кроме того, людям вообще свойственно ошибаться. Банальная опечатка в программе, и один из «Аполлонов» вместо того, чтобы спокойно облетать Луну, начинает вращаться вокруг своей оси. Следовательно, обязательный компонент защищенной системы — контроль за действиями пользователя и максимальная защита от последствий возможных ошибок (т.н. защита от дурака).

Теперь посмотрим, как обстоят дела с защищенностью у ГАС «Выборы». Нижний уровень системы, на котором вводится основной объем информации, — территориальные избирательные комиссии (ТИК), верхний — Федеральный центр информатизации при Центральной избирательной комиссии РФ (ФЦИ). Надо сказать, что участковые избирательные комиссии не входят в ГАС «Выборы», поэтому о безопасности «начального» подсчета в этом материале судить невозможно. Информация от ТИК «наверх» передается с помощью ведомственной электронной почты, преимущественно по обыкновенным телефонным линиям. Непосредственного доступа к базе более высокого уровня нет, все общение происходит через почтовый ящик. Это не слишком удобно с точки зрения оперативности обновления информации, но оборачивается плюсом с точки зрения безопасности системы. Разумеется, всякий вход в систему из Интернета полностью исключен, так что любители рассказов о страшных хакерах, нажимающих через Интернет красную кнопку, могут спать спокойно.

Защита от внешнего доступа обеспечивается как с помощью аппаратных ключей, так и с помощью паролей, которые регулярно меняются. Все действия пользователей протоколируются. Шифрование информации и электронная подпись вовсе не используются, и это основная претензия к защищенности системы. Конечно, возможность внешнего проникновения тут чисто теоретическая (пароль доступа понадобится в любом случае, а случаи ошибочного ввода фиксируются, так что попытка перебора паролей обречена на провал, да и ограничение по времени довольно жесткое), но подобное решение можно считать более или менее приемлемым лишь до тех пор, пока результаты работы ГАС не имеют юридической силы.

Работа оператора в любой момент может быть проконтролирована наблюдателями, ввод данных из протокола участковой избирательной комиссии производится при обязательном присутствии одновременно представителей участковой и территориальной избирательных комиссий (УИК и ТИК). В процессе ввода автоматически проверяются контрольные соотношения между числовыми данными протокола, при несовпадении выдается сообщение об ошибке. В случае успешного ввода данные распечатываются, сверяются с протоколом УИК и только после этого отправляются по электронной почте. Так что на нижнем уровне придраться не к чему, защита от ошибки или злого умысла оператора представляется исчерпывающей.

Правда, на рабочих местах операторов устанавливается операционная система MS-DOS. Конечно, хотелось бы, чтобы в этих компьютерах использовались более современные ОС, обеспечивающие ограничения доступа, — любой Unix или Windows NT, но тут все уже упирается в существующую техническую базу, оставшуюся в основном на уровне четырехлетней давности. В утешение можно сказать, что доступ к компьютерам все же физически ограничен, а непосредственно перед выборами все программное обеспечение устанавливается с нуля. При запуске программных комплексов подсчитываются контрольные суммы исполняемых файлов, кроме того, обеспечивается антивирусная защита антивирусами компании «Диалог-Наука».

Наконец, мы подходим к самому интересному моменту — возможности существования люков в ГАС «Выборы». С достаточной уверенностью можно исключить наличие люков, оставшихся по вине отдельных программистов, — окончательной сборкой системы занимается независимое подразделение, контролирующее соответствие программных кодов техническому заданию. С другой стороны, кто может поручиться, что само техническое задание не включало требования ввести в систему подобные люки? Увы, тут мы вступаем на скользкий путь предположений. Такой поворот событий представляется возможным, но крайне маловероятным. До тех пор, пока результаты работы ГАС носят чисто информационный характер и контролируются ручным пересчетом, акция с фальсификацией результатов может быть проделана ровно один раз, после чего, во-первых, доверие к ГАС будет подорвано раз и навсегда, во-вторых, это рикошетом ударит по действующей власти. Поэтому, если даже «люки» в системе и существуют, можно с большой долей уверенности утверждать, что они никогда не будут использованы до придания «гасовским» подсчетам юридической силы.

Сделать однозначный вывод об уровне безопасности ГАС довольно сложно. Программные решения, используемые в системе, конечно же, далеки от идеала. Частично это обусловлено банальным отсутствием денег, которых требует внедрение некоторых современных информационных технологий, частично тем, что система несет на себе груз технологических решений пятилетней давности и некоторые ее компоненты откровенно устарели. Тем не менее система постоянно развивается (сейчас в строю уже версии 5.1 большинства подсистем), использование той же цифровой подписи и стойкой криптографии уже в ближайших планах разработчиков (и тогда будет решена проблема перехвата и подмены информации). На данном этапе уровень безопасности, обеспечиваемый системой, можно оценить как достаточный, хоть и не отличный. Но только на данном этапе.

От составителя Save As: Кстати, о взломе ГАС "Выборы" на родном сервере Димы Леонова недавно был опубликован прелюбопытный литературный текст, очень рекомендую.

Интернет: СМИ или не СМИ?

Непосредственно перед выборами в Государственную думу температура сетевой политической активности поднялась непривычно высоко. Что немедленно вызвало массу вопросов — ведь Интернет в России до сих пор является практически девственным правовым полем. Скажем, по закону «О выборах депутатов Государственной Думы» (с.57, с.59) на политической рекламе, появляющейся в СМИ, должен быть указан источник оплаты. Если же это «просто» рекламная продукция, то в таком случае на ней надо бы писать еще массу вещей: наименование и юридический адрес изготовителя, наименование организации-заказчика, а также информацию о тираже и дату выпуска. Можно ручаться, что, например, изготовитель крохотного баннера с текстом «Выбор один - Бородин», «прокрученного» на российских сайтах не один миллион раз в предвыборные дни, даже и не подумал об этом. Не подумал даже не потому, что «суровость российских законов компенсируется необязательностью их исполнения», а потому, что Интернет все еще воспринимается как некая «надзаконная» среда. Да и кто вообще должен выполнять этот закон, если реклама показывается на сайте через, скажем, обменную сеть? Сам сайт? Но ведь рекламы на самом сайте нет — есть только программный код, вызывающий ее в браузер пользователя из некоторого третьего места. Совершенно неясно, кого именно считать публикатором, — эта ситуация немыслима в среде «нормальных» СМИ.

Вернемся к exit polls. В чем, собственно, виноват ФЭП? За три дня до выборов любое российское СМИ по тому же закону (ст.54) обязано прекратить публикацию опросов общественного мнения. Не являющийся официальным СМИ ФЭП (пусть и владеющий рядом зарегистрированных сетевых изданий), расположенный на сайте www.fep.ru, регистрирует в международном домене .com доменное имя www.election99.com и открывает под этим именем сайт на американской территории, в подсети балтиморской компании Alabanza. На нем и появились с утра в день выборов результаты социологических опросов, служившие единственным источником достоверной информации для многочисленных наблюдателей. Днем ФЭП из-за технических трудностей переносит таблицу с exit polls на российские сервера www.fep.ru и elections.ru и сразу начинает испытывать сильное давление со стороны властей. Председатель ЦИК Александр Вешняков вступает в переговоры с провайдером ФЭПа компанией «Телеком-Центр», требуя от нее «принять меры к закрытию этих серверов и невозможности возобновления их работы». Тогда пресловутая таблица начинает раздаваться всем желающим вебмастерам, и в течение часа появляется на сотнях сайтов. Казалось бы, публикаторы опросов, не являясь СМИ, были в своем праве, публикуя у себя на сайтах все что угодно — хоть в России, хоть в Америке. Однако любому незаинтересованному наблюдателю ясно, что в этот момент они являлись самыми настоящими СМИ, пусть в законе это никак и не прописано.

Разбирательства по этому поводу еще впереди. Однако, если следовать логике Вешнякова, то нужно наказывать всех, кто последовал примеру ФЭП. И, следовательно, признать СМИ любой сетевой сайт, вплоть до последней домашней странички про любимую кошечку. Этим и собирается, в частности, заняться министр связи и информатизации Леонид Рейман (см. соответствующий выпуск Save As). В данный момент Интернет-сайты в терминах действующего законодательства не являются средствами массовой информации. Этот статус приобретают лишь те сайты, которые сами себя объявили СМИ, получив соответствующую лицензию Министерства печати РФ. Статус остальных совершенно неясен.

Развитие Интернета успешно ломает множество устоявшихся представлений, и приходится задумываться над многими вещами, определенными, казалось бы, раз и навсегда. Можно не сомневаться, что после инцидента на нынешних выборах власти обратят пристальное внимание на соответствие законодательства современным реалиям. К сожалению, времени подготовить общественное мнение и разработать Интернет-законодательство, устраивающее все стороны, уже нет — поэтому изменение законов будет, скорее всего, чрезмерно жестким.

Примечание: в тот момент, когда я выкладывал этот текст в онлайн, стало известно о реакции, в частности, Генпрокуратуры. В настоящий момент то, подлежит регистрации издание или нет, определяется по его желанию и тиражу (см. Закон о СМИ, ст.12). Ныне, по словам начальника управления по надзору за исполнением законов и законности правовых актов Тамары Пахоменко, Генпрокуратура собирается обратиться во вновь избранную Думу с законодательной инициативой — предложить объявить весь Интернет средством массовой информации. (подробнее см. здесь). Вопрос о том, СМИ данный сайт или не СМИ, будет решаться "на глазок". Глупость несусветная.