Панове, тост!

«Засада» інформаційного суспільства

Верховна Рада порадувала громадян України, а надто — всіх працівників ІТ-галузі свіжим законом. Цього разу — «Про основні засади розвитку інформаційного суспільства в Україні на 2007 — 2015 роки». Це той, що минулого року був «на 2006 — 2015». Випущений він у світ, вочевидь, з метою заповнити смислові прогалини своїх попередників — закону «Про Національну програму інформатизації», закону «Про концепцію Національної програми…» і, може, ще якихось — запам’ятати всі ці архіважливі документи важко.

Ухвалений у період зимових свят, закон чомусь нагадує застільний тост, розтягнутий на 17 сторінок формату А-4. Усі добрі побажання, які тільки можна вигадати у зв’язку з інформаційним суспільством, викладено тут розлого і з численними повторами. Законодавці кажуть, що «Одним з головних пріоритетів України є прагнення побудувати орієнтоване на інтереси людей, відкрите для всіх і спрямоване на розвиток інформаційне суспільство». І що в нас вже нині «сформовано певні правові засади побудови інформаційного суспільства». А ще «Україна готує і має значну кількість висококваліфікованих фахівців з ІКТ», і скоро буде «державна підтримка нових «електронних» секторів економіки (торгівлі, надання фінансових і банківських послуг тощо)», так само, як і «збереження культурної спадщини України шляхом її електронного документування» — але однаково, багато що ще треба «підтримати» і «збільшити».

А закінчуються «основні засади» тим, що їх впровадження «дасть можливість забезпечити позитивні зміни в життєдіяльності суспільства і людини». Навіть не вдаючись у подробиці того, як новозбудоване інформаційне суспільство вплине на «життєдіяльність людини» (їсти перестанемо, чи що?) наприкінці документа все рівно хочеться додати «Щастя, здоров’я і многих літ».

Космічного зла від «засад» очікувати не варто — хіба трохи бюджетних грошей піде на розвиток чергової «стратегічної концепції» у пригодованому інституті чи аналітичному центрі. Ту концепцію потім обговорять на черговому круглому столі — й успішно забудуть. До моменту створення «засад» на «2009 — 2019».

Непокоїть інше. Такі благодушні декларації намірів мали б право на існування, якби у ІТ-сфері України справді панував різдвяний мир, спокій і процвітання. Або якби у нас цієї галузі зовсім не було — тоді розвивати її стало б іще легше.

Натомість маємо інше. Коли у грудні минулого року антиспамова корпорація Spamhouse опублікувала результати дослідження, які доводили, що «найефективніший» спамер у світі живе в Україні, жоден мускул, здається, не здригнувся на обличчях ані наших урядовців (аби наказати перевірити інформацію), ані наших правоохоронців, аби підступного спамера спіймати або переконатися, що його на світі немає і не було, а всі «результати дослідження» — не більше, ніж підступна PR-провокація. Бо історія, як не крути, для іміджу держави вийшла просто чарівна. Тепер кожен американець чи європеєць із тих, котрі читали цю інформацію (а оскільки Spamhous-контора авторитетна, то передрукували новину всі, кому не ліньки), витираючи з поштової скриньки чергових півста листів про Віагру за демпінговою ціною і збільшення окремих частин тіла, буде думати: «ось він, привіт з України…» А відмитися від цього ніхто навіть не спробував — усі дописували «засади».

Знову-таки наприкінці минулого року, за неофіційними даними, активізувалися фішингові атаки на клієнтів окремих українських банків. Фішинг — це коли у клієнта в той або інший спосіб (як правило — імітуючи сайт самого банку чи відомого інтернет-магазину) видурюють його банківську інформацію з метою отримання доступу до рахунку. В цій галузі Україна хоч і не на передньому краї прогресу, як у випадку зі спамом, але теж цілком вписується у тенденції глобального прогресу. Ще б пак, у нас же, згідно з «засадами», «достатня кількість ІТ-фахівців»! Приміром, за минулий рік у світі було відстежено і закрито 609 000 сайтів, які намагалися незаконними способами добути банківську інформацію відвідувачів. При тому 277 000 з цих сайтів були створені і знищені за грудень минулого року. І річ не в тому, що шахраї заробляли на різдвяні подарунки — просто в Інтернеті з’явилося програмне забезпечення для автоматичної генерації таких сайтів. Так що в найближчому майбутньому на зміну (хоча швидше — на доповнення) до професіональних кіберзлочинців можна чекати великі гурти «кулхацкерів», які з допомогою написаної чужими руками програмки захочуть заробити і собі на хлібець з маслом. І йдеться в цьому разі саме про фундаментальну небезпеку описаним у «засадах» «технологіям електронного бізнесу», які законотворці збираються «активно впроваджувати». А гроші, себто можливість безпечного їх переміщення з кредитної картки покупця на банківський рахунок продавця, — це кров сучасного «інтернету для домогосподарок», і не тільки для них. І розмови про бізнес без надійних і безпечних фінансових транзакцій так і залишаться розмовами.

Цікаво, чи пробував хтось із творців «засад і концепцій» принаймні для себе з’ясувати, наскільки українська банківська система і правоохоронні органи готові до боротьби з фішинговою заразою? Адже завдання це складніше, ніж відловлювання протягом року двох-трьох одурілих від неробства й безкарності банківських службовців, які щось перевели «не туди» — а саме такими успіхами у боротьбі з кіберзлочинністю звикли хвалитись українські міліціонери. Чи намагався хтось приблизно оцінити, чи є в Україні бот-мережі, і якщо так (а чомусь думається, що це так), то якого вони розміру? Боти — це заражені троянськими програмами комп’ютери (як правило, з числа тих, які мають постійний доступ до Інтернету), які керуються зловмисниками без відома власників і у «вільний від роботи час» використовуються для масованого розсилання реклами, атак на сторонні сайти і маси інших цікавих речей. На думку численних експертів, понад половину кіберзлочинів сьогодні здійснюється саме з використанням таких «зомбованих» комп’ютерів. Але всі ці речі, здається, виходять за межі компетенції творців «засад».

Натомість вплив влади зводиться до «пряників» у вигляді багатослівних концепцій, та «батогів» у вигляді безсистемних, непослідовних, а часто — шкідливих керівних та правових ініціатив. Які зазвичай спрямовані на отримання вигоди у кращому разі — конкретних державних установ, у гіршому — конкретних державних людей.

Особливо показовим у цьому плані вийшов виступ міністра від освіти Станіслава Ніколаєнка 9 січня вже нинішнього року, на Дні уряду у Верховній Раді. У пошуках ресурсів для свого відомства він напав просто-таки на золоту жилу — багаті й нелякані ІТ-компанії. От і народилася ідея: «На нашу думку, необхідно, щоби компанії, які займаються ІТ-технологіями, до десяти відсотків прибутку спрямовували на інформатизацію школи». Навіть коли відкинути думку про те, якою була б реакція у будь-якій цивілізованій країні на «десятину для храмів знань», все-таки залишається запитання — чому саме ІТ-компанії? Адже йдеться про грошовий податок, а не про натуральний оброк, при якому було б зрозуміло, що кожен платить — чим має. З журналістів, у такому разі, довелось би вимагати десять відсотків позитивних статей про податкову — замість податків. А МВС мало би вимагати десять відсотків від прибутку наркоторговців, рекетирів і сутенерів на розвиток власної матеріальної бази.

І добре, якби була можливість припустити, що поважний міністр просто обмовився. Проте, будучи близько знайомим з історією владного регулювання ІТ-галузі, не доводиться сумніватися, що будь-яка казка тут може стати бувальщиною. Досить згадати наказ часів Червоненка у міністерстві транспорту — про «розмір сайта у байтах». Чи дивовижної краси законопроект екс-спікера Литвина — про обов’язкове платне встановлення словників однієї конкретно взятої комерційної структури на кожен проданий у країні комп’ютер. Чи прочитати закон про захист персональних даних, ухвалений майже одночасно із «засадами», — за яким, складається враження, можна притягти до відповідальності половину інтернет-магазинів, які й є отим самим «електронним бізнесом», що його розвивати так гаряче прагне держава.

І єдина втіха, що українська влада у своєму намаганні контролювати і при тому доїти ІТ-сферу поки є малообізнаною, а тому безсистемною. Принаймні була такою до останнього часу. Все відбувається за схемою — «кавалерійський наскок — спостереження за реакцією — відступ». Після чого на якийсь час западає пауза. Тому й живуть поки «недорозвинуті» інтернет-магазини, «недообліковані» інтернет-ЗМІ і недобиті правоохоронцями файлообмінні мережі. Ще й показують непогані, як для України, темпи зростання — от сам лиш ринок інтернет-реклами замалим не подвоюється кожного року. Але, не виключено, що саме в цьому і криється справжня пастка — у міру того, як ІТ-пиріг обростатиме новими, солодкими й апетитними коржами й кремовими фігурками, паузи між керівними вказівками ставатимуть дедалі коротшими… Отож поспішайте жити, шановні.

За даними відомої аналітичної компанії Netcraft, минулого 2006 року в Інтернеті було виявлено близько 609 тис. шахрайських сайтів, створених фішерами для різноманітних злочинних дій, наприклад шантажу користувачів, підробки під відомі банки й інтернет-магазини. Усе це робилося з однією метою — отримати під тим чи іншим приводом гроші або персональні дані користувачів. Фахівці зазначають, що 2006 рік можна сміливо назвати роком інтернет-шахраїв, оскільки за цей час кількість випадків шахрайства зросла в 14 разів. Особливо бурхливу активність інтернет-шахраї виявили в останньому кварталі 2006 року, коли почали використовувати автоматичні засоби для генерації безлічі сайтів-підробок.

Примітним також є і зростання кількості заблокованих шахрайських сайтів: якщо раніше щомісяця блокували від 1 000 до 20 000 сайтів-підробок, то у жовтні 2006 року їхня кількість зросла до 45 000, у листопаді — до 135 000, а у грудні — до 277 000!

Фахівці кажуть, що за цими цифрами криється не зростання армії мережних шахраїв, а засоби, застосовувані ними. Так, наприклад, торік у Netcraft протягом кожного місяця фіксували появу нових програм, які швидко розгортали цілі мережі фішингових сайтів на зламаних серверах.

Серед таких мереж, відомих також як Rockphish або просто R11, були присутні дюжини сайтів відомих банків, причому, потрапивши на сервер, дане ПЗ для розгортання сайтів миттєво створювало безліч копій даного сайта. Активно фішери використовували також і DNS-сервери, створюючи фіктивні піддомени у тих чи інших банків, інтернет-магазинів й інших установ. Усе це робилося для введення користувачів в оману і створення ілюзії того, що вони перебувають на справжньому сайті, де можна залишити номери своєї кредитної карти, адреси й інші дані.

Аарон Корнблюм, головний юрист підрозділу Internet Safety Enforcement корпорації Microsoft, вважає, що основою сучасної кіберзлочинності є мережі зомбованих комп’ютерів із широкосмуговим виходом в Інтернет.

Бот-мережі нині широко використовуються зловмисниками для розсилання спаму, організації DoS-атак на неугодні ресурси та здійснення фішерських махінацій. За даними компанії Symantec, у першій половині року кількість зомбованих машин перевищувала 4,5 мільйона. Причому власники таких комп’ютерів, як правило, навіть не підозрюють, що кіберзлочинці мають повний доступ до їхніх систем.

Сьогодні у кожен окремий момент часу розсилання спаму та шкідливого контенту здійснюють близько 50 тисяч зомбованих машин. Причому оскільки кіберзлочинцям не потрібно оплачувати трафік, у повідомлення може бути включена графіка великого обсягу або документи. Фактично, зазначають експерти, бот-мережі визначають економіку та розстановку сил у світі кіберзлочинності.