Первая поправка к Конституции США гласит: «Конгресс не должен принимать законов, ограничивающих свободу слова». Вторая глава Конституции РФ содержит статью 29-ю: «Каждому гарантируется свобода мысли и слова». Это основы любой демократии, но, как принято говорить, «дьявол – в деталях». И в конкретной реализации основ, как добавил бы главный персонаж «Писем Баламута», написанных Клайвом Льюисом.
1.На прошлой неделе крупнейшая в России площадка публичного политического дискурса, «Живой журнал», вышла из строя. По заявлениям управляющей компании SUP, на серверы ЖЖ была проведена обширная DDoS-атака. Это означает, что к серверам было создано большое количество обращений, превысившее их мощность. Запросы можно представить в виде очереди. В случае DDoS-атаки ожидание в ней становится дольше времени, отведенного на соединение. Запросы, «положившие» ЖЖ, шли, согласно данным SUP, из разных стран: от Саудовской Аравии до Японии, почему такую атаку и называют «распределенной». Обычно такие атаки проводятся ботнетами, т.е. сетями компьютерных вирусов, проникших в разные компьютеры. Заражение ботнетами, однако, обычно сильно локализовано и не пересекает границы стран. Обращает внимание и то, что до атаки ЖЖ начал переход на систему кэширования Varnish, которая пока работает крайне неустойчиво.
Свобода слова на практике – это в том числе возможность высказывать свое мнение. ЖЖ такую возможность до определенной степени реализовал. Вне зависимости от того, кто были авторы недавней атаки и каковы были их мотивы, следствием их действий стало ограничение свободы слова в РФ. Самое время подумать о средствах защиты. От DDoS-атак абсолютной защиты не существует, т.к. запросы от ботнета ничем не отличаются от запросов обычных пользователей.
Тем не менее, существуют статистические методы, позволяющие блокировать те IP-адреса, с которых идут массированные запросы. Такие системы защиты предлагает Sisco и многие другие компании. Учитывая нарастающее использование таких атак, защита от них должна стать обязательными для крупных публичных сайтов. Нетрудно заметить, что кардинальным устранением уязвимости был бы переход социальных сетей и блогов на распределенную архитектуру. При таком решении выход из строя одного или нескольких узлов никак не влияет на устойчивость сети в целом. Информация в ней дублируется много раз на разных узлах. Однако технических воплощений распределенных социальных сетей пока практически нет. Исключение – недостаточно развитый Thimbl.
2. «В последнее время проблема использования в сетях связи общего пользования шифровальных криптографических средств – в первую очередь иностранного производства – вызывает все большую озабоченность ФСБ. Распространяются различные программные средства, позволяющие шифровать трафик. Это, в частности, такие сервисы, как Gmail, Hotmail и Skype». Я привел слова руководителя центра защиты информации и спецсвязи ФСБ Александра Андреечкина. Он высказался на заседании правительственной комиссии по федеральной связи и технологическим вопросам информатизации и добавил, что «бесконтрольное использование таких сервисов может привести к масштабной угрозе безопасности России».
О чем тут речь? Gmail использует протокол https, который, в отличие от обычного http (без s), шифрует сообщения. У каждого сервера, на котором установлен https, есть подтвержденный третьей стороной сертификат о том, что это именно тот сервер, на который направлен запрос. Кроме того, такие серверы оперируют публичными ключами. В комбинации с ключом для данного соединения https гарантирует, что посланное от пользователя к серверу зашифрованное сообщение может расшифровать только сам сервер. На практике это означает, что перехват трафика (например, провайдером) не позволяет прочитать содержимого. Похожую технологию использует и Skype: он шифрует трафик и, кроме того, проводит его по многим пользователям, что дополнительно затрудняет определение исходного пользователя и дешифровку.
Все это создает проблемы для тех, кто пытается отслеживать общение людей в Интернете в крупных масштабах. Ошибкой было бы считать при этом, что посланные по Gmail сообщения или разговор по Skype недоступен для посторонних. При наличии достаточных технических средств данные, передаваемые по этим сетям, могут быть оперативно дешифрованы. Весь вопрос в том, кем и в каких масштабах ведется дешифровка. В том числе поэтому вряд ли стоит ожидать запрета этих услуг в РФ или где бы то ни было.
Как и в случае с ЖЖ, единственным надежным решением вопроса о безопасности общения в Интернете представляются распределенные и в особенности пиринговые сети. Технологии давно позволяют их создать. Кстати, это было бы в своем роде возвращение к истокам Интернета, когда он был собственно сетью компьютеров без центральных узлов в виде сервера. Протокол finger через тридцать с лишним лет после создания вновь становится актуальным.
Дмитрий Крылов, PhD, независимый эксперт по инновационным технологиям
Читайте еженедельную колонку Дмитрия Крылова в разделе «Технологии с Крыловым»
