Следить за базаром

Целостность и авторство данных и программ, выкачиваемых из Сети, должно контролироваться человеком в обязательном порядке. Очередное тому подтверждение - история с хакерской модификацией Sendmail.

Сегодняшняя колонка необычна: прочтя первую пару абзацев, догадаться о сути всего материала будет непросто. Но - попробуйте сделать это и ответить на вопрос, поставленный в середине заметки, не заглядывая в конец. Поверьте (и убедитесь сами): таких возможностей, какая предоставляется нам всем сегодня, бывает очень немного. Впрочем, к делу.

Несколько дней назад руководители крупнейшего на планете проекта распределённых вычислений, SETI@Home - того самого, в рамках которого вот уже три года ведётся поиск сигналов от внеземных цивилизаций - обнародовали планы по реорганизации проекта. Перемен будет две: прежде всего, вместо радиотелескопа обсерватории Аресибо, что в Пуэрто-Рико, планируется задействовать более мощный инструмент австралийской обсерватории Паркса (Parkes Observatory) - это позволит акцентировать внимание на центральных областях нашей Галактики, существенно увеличив шансы на успех поисков. Кроме того, будет полностью переработана программа-клиент, долгие годы честно служившая на благо проекта. Новое клиентское программное обеспечение уникально по своему составу: специально для него, в Университете Беркли, в Калифорнии (том самом, что играет главную роль в управлении SETI@Home), написали программный механизм BOINC - позволяющий решить две основных проблемы, мешавших эффективной работе проекта. Это проведение апгрейда (до сих пор для того, чтобы перевести всю массу участников SETI@Home - а их 2 октября стало больше 4 миллионов! - на работу с новой версией клиентского софта, требовалось до одного года), который станет автоматическим и уже не будет требовать участия владельца машины (код будет выкачан и установлен программой самостоятельно), и работа в составе одной программы множества компонент с разными задачами - таким образом, SETI@Home сможет работать уже не только над поиском сигналов от внеземного разума, но и, к примеру, искать испаряющиеся чёрные дыры (предсказанные совсем недавно Стивеном Хокингом) и работать над многими другими задачами, может быть даже никак не связанными с астрофизикой.

А теперь скажите: не царапнуло ли ваш слух что-то при чтении этой новости? Нет, речь не о возможных грамматических ошибках или неправильно выстроенных фразах - о деталях самой истории. У меня, когда я впервые услышал о планах SETI@Home, такая царапинка была - но она так бы и осталась личным впечатлением, если бы не предоставившийся вчера счастливый случай: уже другая, внешне никак с предыдущей не связанная, история, приключившаяся с разработчиками классической программы Sendmail.

Тем, кто работал с *NIX-подобными системами, объяснять, что такое Sendmail - излишне. Если же такого опыта у вас ещё нет, достаточно сказать, что Sendmail - по сути, мощная программа для работы с электронной почтой - родилась больше двадцати лет назад и стала настоящей вехой в компьютерной эволюции (кстати, именно её использовал червь Морриса в ходе первой глобальной киберэпидемии). Сегодня она развивается на принципах Open Source специальной организацией, консорциумом Sendmail, и вот уже два года как в коде этой программы не обнаруживается ни одной (!) серьёзной уязвимости - настолько он вылизан усилиями тысяч энтузиастов. Однако, от ошибок не застрахован никто: 8 октября, Координационным центром CERT было опубликовано предупреждение об обнаружении в дистрибутиве Sendmail версии 8.12.6 шпионской закладки. Этот кусок кода, будучи скомпилирован вместе с самим Sendmail, устанавливает связь с неким Интернет-сервером, предоставляя автору закладки ограниченный удалённый доступ к данным и программам, хранимым на заражённой машине. Перезагрузка убивает трояна, но изюминка истории не в этом. Хакер, взломавший FTP-сервер Sendmail.org и модифицировавший выложенный там дистрибутив, поступил весьма хитро: он заставил сервер отдавать модифицированную версию (с закладкой) дистрибутива Sendmail лишь в одном случае из десяти. Иначе говоря, лишь 10% пользователей, скачавших пакет, получили заражённую версию (это примерно 200 человек - не считая тех сотен, которые качали программу со всевозможных зеркал). По всей видимости, именно это помогло махинации оставаться незамеченной на протяжении целой недели - с 28 сентября по 6 октября.

История с Sendmail как две капли воды похожа на ту, что приключилась с два месяца назад с пакетом OpenSSH. А пару лет назад почти в точности это же самое произошло с Microsoft и Windows. И, конечно же, эти случаи не уникальны - а потому, получая информацию с удалённого узла, сколь железными бы ни были гарантии его держателей, не стоит забывать о самоконтроле. Избежать проблем всегда возможно - если контролировать целостность и авторство исходных кодов вручную (впрочем, быть может, кто-то слышал об исключениях?). А теперь представьте себе, что будет, если вместо (или вместе с нею) новой версии очередного компонента для SETI@Home - устанавливающимся автоматически! - неким злоумышленником на официальные серверы будет выложен обычный компьютерный вирус…