Господа, тост!

«Засада» информационного общества

Верховная Рада порадовала граждан Украины, а особенно всех работников ИТ-отрасли свежим законом. На этот раз — «Про основні засади інформаційного суспільства в Україні на 2007—2015 роки». Это тот, который в прошлом году был «на 2006—2015». Выпущен он в свет, очевидно, с целью заполнить смысловые пробелы своих предшественников — Законов «О Национальной программе информатизации», «О концепции Национальной программы...» и, может, еще каких-то — запомнить все эти архиважные документы трудно.

Принятый в период зимних праздников закон почему-то напоминает застольный тост, растянутый на 17 страниц формата А-4. Все добрые пожелания, которые только можно придумать в связи с информационным обществом, изложены здесь пространно и с многочисленными повторами. Законодатели говорят, что «одним из главных приоритетов Украины является стремление построить ориентированное на интересы людей, открытое для всех и направленное на развитие информационное общество». И что у нас уже сейчас «сформированы определенные правовые основы построения информационного общества». А еще «Украина готовит и имеет значительное количество высококвалифицированных специалистов по ИКТ» и скоро будет «государственная поддержка новых «электронных» секторов экономики (торговли, предоставления финансовых и банковских услуг и тому подобного)», так же, как и «сохранение культурного наследия Украины путем его электронного документирования» — но все равно, много чего еще нужно «поддержать» и «увеличить».

А заканчиваются «основы» тем, что их внедрение «позволит обеспечить положительные изменения в жизнедеятельности общества и человека». Даже не вникая в подробности того, как нововыстроенное информационное общество повлияет на «жизнедеятельность человека» (есть перестанем, что ли?), в конце документа все равно хочется добавить: «Счастья, здоровья и долгих лет жизни».

Космического зла от «основ» ожидать не стоит — разве что немного бюджетных денег пойдет на развитие очередной «стратегической концепции» в прикормленном институте или аналитическом центре. Эту концепцию потом обсудят на дежурном круглом столе — и успешно забудут. К моменту создания «основ» на «2009—2019».

Беспокоит другое. Такие благодушные декларации намерений имели бы право на существование, если бы в ИТ-сфере Украины действительно царили рождественский мир, покой и процветание. Или если бы у нас этой отрасли совсем не было — тогда развивать ее стало бы еще легче.

Взамен имеем другое. Когда в декабре прошлого года антиспамовая корпорация Spamhouse опубликовала результаты исследования, которые доказывали, что «самый эффективный» спамер в мире живет в Украине, ни один мускул, кажется, не дрогнул на лицах ни наших членов правительства (чтобы приказать проверить информацию), ни наших правоохранителей (чтобы коварного спамера поймать) или убедиться, что его в мире нет и не было, а все «результаты исследования» — не более чем коварная PR-провокация. Поскольку история, как ни крути, для имиджа государства вышла просто волшебная. Теперь каждый американец или европеец из тех, кто читал эту информацию (а поскольку Spamhous-контора авторитетна, то перепечатали новость все кому не лень), стирая с почтового ящика очередные полсотни писем о Виагре по демпинговой цене и увеличении отдельных частей тела, будет думать: «Вот он, привет с Украины...» А отмыться от этого никто даже не попытался — все дописывали «основы».

Снова-таки в конце прошлого года, по неофициальным данным, активизировались фишинговые атаки на клиентов отдельных украинских банков. Фишинг — это когда у клиента тем или иным способом (как правило, имитируя сайт самого банка или известного интернет-магазина) выманивают его банковскую информацию для получения доступа к счету. В этой отрасли Украина хоть и не на переднем крае прогресса, как в случае со спамом, но тоже вполне вписывается в тенденции глобального прогресса. Еще бы, у нас же, согласно «основам», «достаточное количество ИТ-специалистов»! Например, за минувший год в мире было отслежено и закрыто 609 тысяч сайтов, которые пытались незаконными способами добыть банковскую информацию посетителей. При этом 277 тысяч из этих сайтов были созданы и уничтожены за декабрь прошлого года. И дело не в том, что мошенники зарабатывали на рождественские подарки — просто в Интернете появилось программное обеспечение для автоматической генерации таких сайтов. Так что в ближайшем будущем на смену (хотя скорее — в дополнение) профессиональным киберпреступникам можно ожидать большие группы «кулхацкеров», которые с помощью написанной чужими руками программки захотят заработать и себе на хлебушек с маслом. И речь идет в этом случае именно о фундаментальной опасности для описанных в «основах» «технологий электронного бизнеса», которые законотворцы собираются «активно внедрять». А деньги, то есть возможность безопасного их перемещения с кредитной карточки покупателя на банковский счет продавца — это кровь современного «Интернета для домохозяек», и не только для них. И разговоры о бизнесе без надежных и безопасных финансовых транзакций так и останутся разговорами.

Любопытно, пробовал ли кто-то из творцов «основ и концепций» по крайней мере для себя выяснить, насколько украинская банковская система и правоохранительные органы готовы к борьбе с фишинговой заразой? Ведь задача эта сложнее, чем отловить за год двоих-троих одурелых от безделья и безнаказанности банковских служащих, которые что-то перевели «не туда» — а именно такими успехами в борьбе с киберпреступностью привыкли хвалиться украинские милиционеры. Пытался ли кто-то примерно оценить, есть ли в Украине бот-сети, и если да (а почему-то думается, что это так), то какого они размера? Боты — это зараженные троянскими программами компьютеры (как правило, из числа тех, которые имеют постоянный доступ в Интернет), которыми управляют злоумышленники без ведома владельцев и в «свободное от работы время» их используют для массированной рассылки рекламы, атак на посторонние сайты и массы других интересных вещей. По мнению многочисленных экспертов, более половины киберпреступлений сегодня осуществляется именно с использованием таких «зомбированых» компьютеров. Но все эти вещи, кажется, выходят за рамки компетенции творцов «основ».

Зато влияние власти сводится к «пряникам» в виде многословных концепций и «кнутов» в виде бессистемных, непоследовательных, а часто вредных руководящих и правовых инициатив. Которые обычно направлены на получение выгоды в лучшем случае конкретными государственными учреждениями, в худшем — конкретными государственными людьми.

Особенно показательным в этом плане получилось выступление министра образования Станислава Николаенко 9 января уже нынешнего года, на Дне правительства в Верховной Раде. В поисках ресурсов для своего ведомства он нашел просто-таки золотую жилу — богатые и непуганые ИТ-компании. Вот и родилась идея: «По нашему мнению, необходимо, чтобы компании, занимающиеся информационными технологиями, до десяти процентов дохода направляли на информатизацию школы». Даже когда исключить мысль о том, какой была бы реакция в любой цивилизованной стране на «десятину для храмов знаний», все-таки остается вопрос, почему именно ИТ-компании? Ведь речь идет о денежном налоге, а не о натуральном оброке, при котором было бы понятно, что каждый платит тем, что имеет. С журналистов, в таком случае, пришлось бы требовать десять процентов положительных статей о налоговой — вместо налогов. А МВД должно было бы требовать десять процентов от дохода наркоторговцев, рэкетиров и сутенеров на развитие своей материальной базы.

И хорошо, если бы была возможность предположить, что важный министр просто оговорился. Тем не менее, будучи близко знакомым с историей регулирования ИТ-отрасли, не приходится сомневаться, что любая сказка здесь может стать былью. Достаточно вспомнить приказ времен Червоненко в Министерстве транспорта — о «размере сайта в байтах». Или дивной красоты законопроект экс-спикера Литвина — об обязательной платной установке словарей одной конкретно взятой коммерческой структуры на каждый проданный в стране компьютер. Или прочитать закон о защите персональных данных, принятый почти синхронно с «основами» — по которому, складывается впечатление, можно привлечь к ответственности половину интернет-магазинов, являющихся тем самым «электронным бизнесом», который развивать так горячо стремится государство.

И единственное утешение, что украинская власть в своем стремлении контролировать и при этом доить ИТ-сферу пока малосведуща, а потому бессистемна. По крайней мере была такой до последнего времени. Все происходит по схеме: «кавалерийский наскок — наблюдение за реакцией — отступление». После чего на некоторое время наступает пауза. Поэтому и живут пока «недоразвитые» интернет-магазины, «недоучтены» интернет-СМИ и недобиты правоохранителями файлообменные сети. Еще и показывают неплохие, как для Украины, темпы роста — один только рынок интернет-рекламы едва ли не удваивается каждый год. Но, не исключено, что именно в этом и кроется настоящая ловушка — по мере того, как ИТ-пирог будет обрастать новыми, сладкими и аппетитными лепешками и кремовыми фигурками, паузы между руководящими указаниями будут становиться все короче... Так что спешите жить, уважаемые.

По данным известной аналитической компании Netcraft, в завершившемся 2006 году в Интернете было обнаружено около 609 000 мошеннических сайтов, созданных фишерами для различного рода преступных действий, например шантажа пользователей, подделки под известные банки и интернет-магазины. Все это делалось с одной целью — заполучить, под тем или иным предлогом, деньги либо персональные данные пользователей. Специалисты отмечают, что 2006 год можно смело назвать годом интернет-мошенников, так за год количество случаев мошенничества выросло в 14 раз. Особенно бурную активность интернет-мошенники проявили в последнем квартале 2006 года, когда начали использовать автоматические средства для генерации сайтов-подделок в большом количестве.

Примечателен также и рост количества заблокированных мошеннических сайтов: если раньше ежемесячно блокировалось от 1 000 до 20 000 сайтов-подделок, до в октябре 2006 года их количество выросло до 45 000, в ноябре — до 135 000, а в декабре — до 277 000!

Специалисты говорят, что за данными цифрами скрываются не растущие армии сетевых мошенников, а средства, применяемые ими. Так, например, в прошлом году в Netcraft в течение каждого месяца фиксировали появление новых программ, которые быстро разворачивали целые сети фишинговых сайтов на взломанных серверах.

Среди таких сетей, известных также как Rockphish или просто R11, присутствовали дюжины сайтов известных банков, причем, попав на сервер, данное ПО для разворачивания сайтов мгновенно создавало множество копий данного сайта. Также активно фишеры использовали и DNS-серверы, создавая фиктивные поддомены у тех или иных банков, интернет-магазинов и других учреждений. Все это делалось для ввода пользователей в заблуждение и создания иллюзии того, что они находятся на подлинном сайте, где можно оставить номера своей кредитной карты, адреса и другие данные.

Аарон Корнблюм, главный юрист подразделения Internet Safety Enforcement корпорации Microsoft, считает, что основой современной киберпреступности являются сети зомбированных компьютеров с широкополосным выходом в Интернет.

Бот-сети в настоящее время широко используются злоумышленниками для рассылки спама, организации DoS-атак на неугодные ресурсы и осуществления фишерских махинаций. По данным компании Symantec, в первой половине текущего года количество зомбированных машин превышало 4,5 миллиона. Причем владельцы таких компьютеров, как правило, даже не подозревают, что киберпреступники имеют полный доступ к их системам.

Сейчас в каждый отдельный момент времени рассылку спама и вредоносного контента осуществляют порядка 50 тысяч зомбированных машин. Причем поскольку киберпреступникам не нужно оплачивать трафик, в сообщения может быть включена графика большого объема или документы. Фактически, отмечают эксперты, бот-сети определяют экономику и расстановку сил в мире киберпреступности.