Нужно ли украинцу хакера бояться?
12 сентября Верховная Рада приняла в первом чтении проект Закона «Об электронной цифровой подписи». Напомним, что ранее в парламенте прошел второе чтение Закон «Об электронных документах и электронном документообороте», где предусмотрено понятие «электронная цифровая подпись» (ЭЦП). Оба закона тесно связаны между собой, поэтому рассмотрение последнего и логично, и необходимо.
Законопроект предусматривает, что ЭЦП приравнивается в правовом статусе к собственноручной. Причем ее «электронная сущность» не может быть основанием для признания такой подписи недействительной.
В проекте, в частности, закрепляется статус-кво ЭЦП в банковской системе — особенности использования цифровой подписи в банках определяет НБУ по согласованию со специально уполномоченным центральным органом исполнительной власти в сфере криптографической защиты информации.
Принятие в Украине законодательной базы, регулирующей систему электронного документооборота, — важный шаг.
В прошлом году электронная подпись была легализована в странах ЕС и США, позже — в России и Беларуси. Внедрение электронного документооборота послужило мощным стимулом для развития электронной торговли и е-банкинга, увеличило скорость прохождения и согласования документов в госструктурах.
Однако, как это часто бывает, очередное достижение научно-технического прогресса ставит перед человечеством и новые проблемы, а порой усугубляет старые. Об этом — статья нашего корреспондента.

 

 

Мир наполнен опасными людьми. Точнее сказать, они нередко встречаются. Вот и не очень благозвучное слово “хакер” у всех на слуху. Средства массовой информации сделали классную рекламу этой сравнительно новой профессии. И потянулись в нее талантливые молодые люди. Как же!? Ведь “хакер” – это звучит гордо! В этом слове есть столь привлекательный для молодежи вызов обществу.
На самом деле хакер – это программист, специализирующийся в некоторой специфической области. Что можно к ней отнести? Это “взлом” компьютерных программ. Т.е. приведение в работоспособное состояние программ, защищенных их авторами от не санкционированного использования. Естественно, без разрешения этих самых “жадных” авторов. Подбор или кража всевозможных секретных паролей. Написание вирусов – программ, обладающих возможностью автоматически присоединяться к другим программам и данным, таким образом распространяться (подобно колючкам репейника), выполняя при этом какую-нибудь шпионскую или разрушительную работу. Вирусов, делающих что-то полезное, мне пока не встречалось. Можно сказать, что большая часть деятельности хакеров лежит либо за границами морали, либо за границами закона.
Конечно, всем вышеперечисленным можно заниматься и вполне легально с пользой для государства и даже, иногда, для общества, будучи военным, например, или милиционером. В рамках служебных обязанностей, так сказать. Но тогда и слово “хакер” не применяется. Тогда говорят, например, “старший математик-программист, майор такой-то”.
Хотя в изначальном значении хакер (от англ. to hack - успешно управлять) - высокопрофессиональный и весьма любопытный программист, способный к нетривиальным решениям, в настоящее время это слово используется почти исключительно как обозначение человека злонамеренного, асоциального и безусловно опасного, то есть является синонимом слова "взломщик" в применении к компьютерам и сетям.
Что ж, жизнь формирует язык, накладывая новый отпечаток на слова. К старому значению мы уже, пожалуй, больше никогда не вернемся.
Пресса пестрит проделками и “подвигами” хакеров. Хакеры взломали Интернет-страницу экономического форума в Давосе. Злоумышленники похитили конфиденциальную информацию о некоторых самых богатых и влиятельных участниках. Полученные секреты хакеры направили в одну из швейцарских газет. Взломщики сообщили журналистам номера кредитных карт и мобильных телефонов, а также частные адреса. Раскрытые секреты касались, среди прочих, Билла Гейтса и палестинского лидера Ясира Арафата. Организаторы форума признали, что им неизвестны личности компьютерных взломщиков, но заявили о проведении глубокого расследования.
Хакеры взломали сайт министерства экономики Испании. Было заменено содержание раздела, посвященного развитию предприятий в Испании, текстом, содержащим требования "не забывать" о ситуации в Палестине, Боснии и Кашмире. Представитель министерства сообщил, что действия хакеров не нанесли ущерба базам данных этого государственного учреждения. Это не первое нападение на веб-узлы испанских государственных структур. Ранее хакерская группировка разместила на сайте испанского правительства фотографию премьер-министра с рогами и зубами вампира. Представляете реакцию премьер-министра?
Судя по всему, этой же хакерской группировкой был взломан официальный сайт министерства экономики Украины в 2001 году. По крайней мере, целью взлома было размещение таких же как и в испанском случае политических требований. Видимо, поддержка украинцев понадобилась…
Неизвестный хакер, протестуя против глобализации, взломал сайт компании “Pepsi”, видимо, считая ее одним из узурпаторов экономики мира. Почему он решил, что мир можно завоевать безалкогольным напитком – не ясно. Однако, он смог разместить на главной странице сайта компании огромную антиглобалистскую петицию в стихах.
Все это, конечно, портит нервы людей, предоставлющих информацию обществу, наносит ущерб имиджу солидных людей и фирм, но действительно серьезного вреда, все же, не приносит. Это, все равно, что покрыть неприличными надписями фасад свежеотремонтированного офиса.
Есть, конечно, и примеры посерьезнее. Два молодых воронежца заразили вирусом один из компьютеров атомной станции. Они разослали найденный в Интернете вирус по 400 электронным адресам, включая областную администрацию, Нововоронежскую АЭС, некий банк, больницу и налоговую полицию. Они утверждали, что разослали вирус ради шутки. Но поскольку в список рассылки попали такие серьезные организации, за дело всерьез взялись правоохранительные органы. Молодые люди рассылали вирус под видом рекламного продукта. Первыми засланный "шутниками" вирус обнаружили атомщики, которые и сообщили об этом в соответствующие инстанции. Злоумышленники были задержаны в момент работы в Интернете, доступ к которому был получен по одному из украденных ими паролей.
Вы обратили внимание: во всех вышеперечисленных случаях речь шла об атаках на компьютеры, подключенные к Интернету. А они согласно всем ГОСТам, правилам и инструкциям не должны содержать секретных данных любой, пусть даже самой низшей степени.  Это все равно, что хранить ключи от своей квартиры в почтовом ящике, висящем на улице. Компьютер, сертифицированный для хранения секретных данных, должен быть в обязательном порядке ФИЗИЧЕСКИ отделен от любых сетей.
Однако, в случае с атомной станцией все же существовала гипотетическая опасность заражения внутренних компьютеров станции своими же сотрудниками путем занесения информации  с зараженного компьютера. В этом случае специалисты проявили бдительность. Всегда ли ее хватит?
А вот еще не рядовой случай. Лидер движения сопротивления Восточного Тимора, нобелевский лауреат Хосе Рамос Орта, пригрозил, что если Индонезия сорвет проведение честного и свободного референдума о предоставлении независимости Восточному Тимору, движение сопротивления, имеющее в своем составе более 100 хакеров, начнет массированную “кибер-атаку” на банковскую и военную системы страны, в ходе которой экономика страны будет уничтожена.
Тут уж поневоле задумаешься. Нобелевский лауреат все же. Он тааакое может придумать… Хотя, с другой стороны, экономика Индонезии продолжает жить и здравствовать по сей день.
Банковские электронные системы, вообще говоря, защищены от взлома лучше простых информационных сетей. Все банки сейчас предоставляют доступ к счетам через компьютер по системе “клиент-банк”. Защита денег от кражи при этом базируется на серьезном математическом достижении – электронной цифровой подписи (ЭЦП). Случаев ее подделки в мире не зарегистрировано. Вряд ли это вообще возможно. И уж, по крайней мере, здесь не хакер сопливый нужен, а, как минимум, математик с мировым именем.
ЭЦП не имеет ничего общего с копиями подписей директора и главного бухгалтера, переданными по электронной почте. Это – специальный код, построенный специальной программой в соответствии с требованиями соответствующего ГОСТа, присоединяемый к передаваемому документу. Код этот, вообще говоря, – каждый раз разный. Он зависит от содержания передаваемого документа. Построить его, не зная секретного ключа, практически невозможно. По крайней мере, при сегодняшнем состоянии математики для его подбора необходимо осуществить перебор 1026 вариантов, а в некоторых схемах ЭЦП и значительно больше. Проверить же правильность подписи (а заодно и неизменность переданного по каналам связи документа) довольно легко. Это делается с помощью второго - открытого (не секретного) ключа.
Однако, и здесь на сцене (точнее, за кулисами) могут появиться хакеры. Они могут использовать так называемые криптовирусы, которые сведут на нет премудрости и достижения математики. Например, в момент подписания криптовирус может перехватить секретные ключи (и скопировать их в нужное место для дальнейшего использования). Кроме того, уже при проверке подписи он может заставить систему "сказать", что подпись верна, хотя на самом деле это не так. Возможно создание криптовируса, который, попав в систему, "подсунет" программе ЭЦП слабые ключи. Например, если ключи генерируются на основе датчика случайных чисел, который использует встроенный таймер, вирус может изменить показания таймера в компьютере, а затем вернуть все назад. Впоследствии эти ключи могут быть легко вскрыты злоумышленником. Далее этот вирус уже не нужен, он сделал свое дело и уничтожив сам себя, скроет следы преступления.
Конечно,  не дремлют и математики. Прошло всего чуть более 20 лет с тех пор как Диффи и Хеллман предложили свою знаменитую схему ЭЦП с открытым распределением не секретных ключей, а оценка ее криптостойкости значительно снизилась. Прогресс в области решения задачи дискретного логарифмирования, на которой был основан российский ГОСТ Р 34.10-94, заставил принять новый ГОСТ Р 34.10-2001, основанный на трудоемкости решения другой задачи - дискретного логарифмирования в группе точек эллиптической кривой. Конечно, математики не останутся равнодушными и к этой проблеме…
А тут еще и новый поворот темы. Недавно появилась сенсационная статья одного из лидеров российской практической криптографии М.М.Грунтовича "О "двуличии" в алгоритмах цифровой подписи". В ней приведены способы подбора совершенно одинаковой (и при этом верной!) ЭЦП для разных документов. Например, для платежного поручения в 1000000 грн и 3 грн… Улавливаете, смысл? Злоумышленник может отправить  первое поручение банку, а затем заявить, что он просил снять с его счета всего 3 грн и предъявить банку в качестве доказательства второе платежное поручение с совершенно правильной ЭЦП. Разницу, естественно, потребует вернуть! В статье математически доказана возможность этого и в схеме ЭЦП Эль-Гамаля, и в схемах обоих российских ГОСТов, и в схемах DSA, ECDSA, RSA…
В комментариях директора Всероссийского НИИ проблем вычислительной техники и информатизации В.А.Конявского говорится: “Результаты настолько неожиданны, что вполне могут привести к радикальным изменениям, вплоть до корректировки недавно принятого закона "Об электронной цифровой подписи".
Конечно, не стоит пугаться и бежать перекладывать свои деньги из коммерческого банка в банку стеклянную. С чужого счета злоумышленник, применяя эту методику, деньги снять не сможет. А на своем их для начала нужно иметь. Так или иначе, ему придется потом доказывать в суде, что он хотел перечислить именно 3 грн, а не больше. Судьям же придется решать нелегкий вопрос: ”Кто фальсифицировал документ: банк или клиент?” Но это – не наши проблемы, если мы, конечно, - не банкиры и не судьи.
На рассмотрении в Верховном Совете Украины сейчас находится целый ряд законопроектов на эту тему: “Об электронных документах и электронном документообороте”, “Об электронной цифровой подписи”, “О национальной депозитарной системе и особенностях электронного оборота ценных бумаг на Украине”. 06.09.2002 г на рассмотрение IV сессии поступил проект Постановления о принятии за основу Закона Украины об ЭЦП. Что ж, наши депутаты находятся в выгодном положении. У них есть возможность принять закон с учетом всего вышеперечисленного.
Однако, как говорится, на закон надейся, а сам не плошай! Если на вашем компьютере, подключенном в какую-либо сеть (а особенно Интернет!), есть секретные с вашей точки зрения данные, перепишите их на внешние носители (CD R, CD RW, дискеты, наконец), а затем сотрите с жесткого диска способом, не допускающим их восстановление. Не уповайте на антивирусы и брандмауэры. Они полезны, но панацеей не являются! Если в вашей бухгалтерии есть компьютер, работающий по системе “банк-клиент”, отключите его от всех сетей. Не допускайте к нему никаких посторонних лиц. Храните ключевую дискету пуще печати вашей организации. Ведь эта неказистая дискета заменяет и подписи первых лиц и печать одновременно!  Береженого Бог бережет!
При тщательном выполнении этих простых правил пользоваться компьютером вообще и ЭЦП в частности будет не опаснее, чем просто жить. А жить, конечно, опасно, но так интересно!
 

Виктор Романовский
Оригинал статьи, опубликованной в газете "Деловая Одесса", №38, 20.09.2002

banrefe5.gif, 15K, REFRIGERATORRR!!!