Читаем Третья мировая война. Какой она будет полностью

Бели бы кибервоинам захотелось отправить этот пакет в неправильном направлении или не дать ему попасть куда-либо, у них было бы минимум две возможности. Во-первых, как уже говорилось, можно было атаковать «справочную службу» Интернета — систему доменных имен и отправить меня на другую страницу, возможно, поддельную и очень похожую на ту, которая вше нужна, где я мог оставить номер своего банковского счета и пароль. Помимо вмешательства в систему доменных имен с целью перехвата запроса кибервоины могут атаковать саму систему. Так произошло в феврале 2007 года, когда шесть из тринадцати крупнейших доменных серверов высшего уровня подверглись DDoS-атаке. Как и в истории с Эстонией и Грузией, на серверы стали поступать тысячи запросов в секунду. Два атакованных сервера вышли из строя, в том числе и тот, который управляет трафиком Министерства обороны. Четыре сервера сумели справиться с атакой, перенаправив запросы на другие сервера, не тронутые хакерами. Атака продолжалась восемь часов, следы ее вели в Тихоокеанский регион. Хакеры остановились, либо испугавшись, что их обнаружат, либо, что более вероятно, потому, что они только тестировали свои возможности. В 2008 году Дэн Камински продемонстрировал, как искушенный противник может взломать систему. Он представил программу, которая открывает доступ к системе доменных имен и спокойно разрушает базу данных. После этого система начинает выдавать неверные номера. Даже неправильная адресация способна вызвать полный хаос в Интернете. Одна из компаний, занимающихся кибербезопасностью, нашла 25 разных способов взломать систему доменных имен, уничтожить или выкрасть данные.

Второе уязвимое место в Интернете — пограничный шлюзовый протокол. За несколько секунд и три тысячи километров пути моего пакета хакер имеет возможность перехватить его в момент перехода в сеть AT&T. Компания AT&T предоставляет самые безопасные и надежные интернет-услуги в мире, но и она уязвима. Когда пакеты попадают в магистраль, оказывается, что AT&T никак не связана с моей компанией. А кто связан? Пакеты проверяют базы данных всех крупных интернет-провайдеров. Там они находят информацию от Level 3: «Если вы хотите попасть на mycompany.com, идите сюда». Так система маршрутизации регулирует трафик в пунктах объединения интернет-провайдеров, там, где один заканчивает работу, а другой начинает, на границе.

BGP — пограничный шлюзовый протокол — основная система, используемая для маршрутизации пакетов. На пакетах есть ярлыки с адресами «куда» и «откуда», а протокол BGP, как работник почты, решает, на какую сортировочную станцию отправить пакет. Протокол BGP, кроме того, устанавливает «равноправные» отношения между двумя разными маршрутизаторами двух разных сетей. Чтобы пакет перешел из AT&T в Level 3, нужно, чтобы маршрутизаторы этих провайдеров имели BGP-соединение. Как говорится в отчете Internet Society, некоммерческой организации, занимающейся развитием интернет-стандартов, «в протоколах BGP нет внутренних механизмов защиты от атак, которые изменяют, удаляют или фальсифицируют данные, что может привести к нарушению всего процесса маршрутизации в сети». То есть когда Level 3 говорит: «Если вы хотите попасть на mycompany.com, идите сюда», никто не проверяет, правда ли это. BGP-система работает на доверии, а не по любимому принципу Рональда Рейгана «доверяй, но проверяй». Если какой-нибудь злоумышленник, сотрудник крупного