Николай Боевкин - Вторжение

– При чем здесь эти люди? – спросите вы. А вот при чем.

Джон (он же Йоганн, он же Янош Лайош) фон Нейман – американский (он же немецкий, он же венгерский) математик, известен как отец традиционной компьютерной архитектуры, в которой программы и данные хранятся в одной памяти.

Фон Нейман был прирожденным аналитиком, рассказывают, что в детстве, в отличие от обычных ботаников, он брал в туалет не одну, а сразу две книги в расчете на то, что первой может в случае каких-то затруднений не хватить.

На самом деле архитектура фон Неймана была творением достаточно большой группы исследователей, работающих над проектом компьютера EDVAC. В эту группу входили очень известные люди, в частности, разработчики первой электронной вычислительной машины ENIAC Джон Мочли и Преспер Эккерт. Джон фон Нейман был консультантом проекта, он же подготовил предварительный отчет под названием «First Draft of a Report on the EDVAC», который стал первой широко известной работой по компьютерам.

Несмотря на то, что архитектура EDVAC сформировалась в результате обсуждений внутри группы еще до того, как фон Нейман подключился к проекту, представитель Армии США Герман Голдстайн, напечатавший отчет, поставил на обложке только его имя.

Кстати говоря, почему этот отчет стал широко известен, тоже очень большой вопрос. Дело в том, что EDVAC, так же как и большинство компьютерных проектов того времени, разрабатывался в интересах Армии США и был строго засекречен. С какой стати этот же самый Голдстайн разослал копии доклада во многие университеты США и Англии, совершенно непонятно.

Так что о том, кого персонально нужно «благодарить» за изобретение архитектуры, с которой мучились потом многие поколения инженеров и программистов, история умалчивает, но уж точно не фон Неймана.

Так вот, поскольку программы и данные находятся в одной памяти и в принципе ничем не отличаются друг от друга, дизассемблер не может их разделить и переводит в исходный текст любую белиберду, попавшуюся ему на пути.

Чтобы еще больше осложнить дело, создатели боевых киберпрограмм обычно шифруют их код, причем шифруют многократно. То есть Диспетчер в начале своей работы скорее всего расшифровывает какую-то часть кода, которая, в свою очередь, расшифровывает следующий блок, и так далее до посинения.

Поэтому без хирургического вмешательства нам никак не обойтись.

В принципе, исследование боевого робота отладчиком сильно напоминает эндоскопию с той лишь разницей, что ты заранее не знаешь, куда этот самый эндоскоп вставлен. Приходится ориентироваться на месте.

Стало быть, помещаем Диспетчера в так называемую «песочницу» – программную среду, которая полностью контролирует его работу. Это необходимо, чтобы блокировать всякие зловредные действия, ну и просто для ориентировки. Затем с помощью отладчика устанавливаем остановы в различных критических точках и ныряем в код. Как только какое-либо событие срабатывает, выныриваем в отладчик, осматриваемся (привет эндоскопу) и разбираемся, что творит Диспетчер. И так до тех пор, пока не изучим в подробностях все его принципиальные части.

Затем нам придется ампутировать те органы Диспетчера, которые отвечают за взаимодействие с боевыми роботами, они нам совершенно ни к чему. А вот модули, работающие с хозяином и Исполнителем, подвергнутся только косметической коррекции: нам нужно просто контролировать эти взаимодействия.

И в заключение помещаем перевербованного таким образом Диспетчера на компьютер U-000646, откуда он был ранее так безжалостно изъят.

Теперь дело за коллегами Frodo, они будут неусыпно «пасти» Диспетчера в расчете на то, что хозяин с ним свяжется. Если это произойдет, попытаются вычислить, где последний находится. Хакер будет, естественно, прыгать с сервера на сервер, из страны в страну, но ребята из Управления «К» тоже не лыком шиты. Подключат провайдеров, Интерпол и, скорее всего, найдут. Здесь важно продержаться как можно дольше, пока хозяин не заподозрит, что он «под колпаком».

А может, наши смежники будут действовать по-другому, просто позволят снять очередную сумму, проведут платеж под своим контролем через многочисленные промежуточные операции и возьмут паразитов тепленькими при снятии денег. Хотя есть риск – здесь работа идет с реальными деньгами, никакая «кукла» не прокатит. Такой вот парадокс, электронные деньги иногда бывают гораздо вещественнее купюр, хотя и не пометишь их никак, и даже номеров не перепишешь. В общем, им, операм, виднее.

Теперь можно взяться и за Исполнителя, нужно разобраться, наконец, что и как он натворил. Вставляем ему наш «эндоскоп» и погнали. Через какое-то время картина проясняется – всего планировалось провести шесть платежей, значит, два у нас еще в перспективе. Это хорошо – увеличиваются шансы, что хозяин вернется. Да и нам неплохо – все-таки удалось сэкономить банку немного деньжат. Правда, уже проведенные четыре платежки потянут на годовой бюджет небольшого государства, но здесь уж ничего не попишешь.

Остается один мелкий вопрос: как Исполнителю удалось залезть в банковскую систему и выдать себя за операционистов. Ничего особенного, эксплуатация очередной уязвимости в широко распространенной операционной системе одной хорошо и печально известной компании. Получив таким образом права суперпользователя 15 15 Суперпользователь – служебная учетная запись в операционной системе, имеющая неограниченные права , он перехватил пароль администратора баз данных и просто добавил нужные записи в главную бухгалтерскую книгу.

Кстати, подавляющее количество взломов компьютерных систем является прямым следствием той самой фон Неймановской архитектуры, ведь самая распространенная техника проникновения – тривиальное переполнение буфера. Допустим, программист зарезервировал под принимаемые данные один килобайт памяти, этого должно хватить под любой осмысленный запрос. Если он забудет проконтролировать размер помещаемых в буфер данных, хакер впендюрит туда несколько больше, затерев таким образом либо исполняемый код, либо, чаще всего, адрес возврата (так называемая технология «срыва стека»). В переданных данных располагается на самом деле программа, которая и выполняет необходимые хакеру действия.

Так что в кибернетическом беспределе, творящемся сегодня в Интернете, на самом деле виновата прежде всего злополучная команда EDVAC.

В общем, пора подводить черту. Расследование завершено, Управление «К» работой загружено, остается только ждать и молиться.

А меня вот сильно занимает совсем другой вопрос: как насчет рецидивов, нет, не в «Омеге», здесь враг больше не пройдет. Но злоумышленник такого уровня вполне может проявиться в других местах и с такими же последствиями. Ждать ли очередной атаки?