Часть I Ландшафт

Компьютерную безопасность часто представляют абстрактно: «Эта система защищена». Продавец программного обеспечения может сказать: «Эта программа гарантирует защиту вашей сети» или «Мы обеспечиваем безопасность электронной коммерции». Подобные заявления неизбежно несут на себе отпечаток наивности и упрощенчества. Это означает, что обращается больше внимания на безопасность программы, чем на безопасность системы. Первый вопрос, который следует задать в таком случае: «От кого и от чего защищена система?»

Это актуальный вопрос. Представьте себе продающуюся безопасную операционную систему. Обеспечит ли она защиту от ручной гранаты, если та попадет прямиком в ваш процессор? Или от того, кто нацелит видеокамеру непосредственно на вашу клавиатуру или экран монитора? От того, кто «просочился» в вашу компанию? Скорее всего нет: не потому, что эта операционная система плоха, но потому, что некто более или менее осознанно воплощает конструкторские решения, в которых определено, какие виды возможных атак эта операционная система будет предотвращать (и, возможно, предотвратит), а какие она будет игнорировать.

Проблемы усугубляются, когда подобные решения принимаются недостаточно обдуманно. И не все всегда так очевидно, как в предыдущем примере. Защищает ли система безопасности телефонной линии от того, кто может вас случайно подслушать, от перехватчика, имеющего большие финансовые возможности или от национального разведывательного управления? Защищает ли система безопасности банка от мошенничества клиентов, от мошенничества продавцов, от мошенничества банковского кассира или от мошенничества управляющего банком? Приведет использование другого изделия к усилению или ослаблению безопасности? Точное понимание того, что может обеспечить отдельно взятая технология безопасности и чего она не может, является слишком сложным для большинства людей.

Безопасность нельзя представить только в белом или только в черном цвете; контекст часто играет большую роль, чем сама технология. Тот факт, что надежная операционная система не может защитить от ручной гранаты, не означает, что она бесполезна; он означает только, что мы не можем просочиться сквозь стены, дверные замки и оконные решетки. Каждая конкретная технология занимает свое важное место в общей концепции безопасности системы. Система может быть защищена от обыкновенных преступников, или от промышленного шпионажа определенного типа, или же от национального разведывательного управления с его шпионской сетью. Система может быть защищена до тех пор, пока не появились некие новые достижения математики, или в течение некоторого определенного промежутка времени, или от определенных типов атак. Как любое прилагательное, слово «безопасный» не имеет смысла вне контекста.

В первой части книги я предпринял попытку рассмотреть основы контекста безопасности. Я расскажу о возможных угрозах для цифровых систем, о типах атак и о типах нападающих. Затем я расскажу о том, что желательно для системы безопасности. Я сделаю это прежде, чем обсуждать конкретные технологии, поскольку невозможно грамотно оценить технологии безопасности без знания ландшафта. Так же как вы не сможете понять, каким образом стены замка защищают его жителей, не погрузившись в атмосферу средневековья, вы не сможете понять, каким образом работает брандмауэр или Интернет с шифрованием данных вне контекста той среды, в которой они действуют. Кто такие нападающие? Чего они хотят? Какими инструментами располагают? Без базовых представлений о таких вещах невозможно разумное обсуждение понятия безопасности.

Глава 2 Опасности цифрового мира

Этот мир – опасное место. Грабители подстерегают, чтобы наброситься на вас, когда вы идете по плохо освещенной аллее; искусные мошенники строят планы, как лишить вас денег, отложенных на старость; коллеги всеми силами стремятся разрушить вашу карьеру. Синдикаты организованной преступности распространяют коррупцию, наркотики и страх с поразительной эффективностью. В наличии также сумасшедшие террористы, ненормальные диктаторы и неконтролируемые остатки бывших супердержав, которые отличаются скорее взрывоопасностью, чем здравым смыслом. Кроме того, если верить газетам, есть еще монстры в пустынях, руки, торчащие из могил, от которых мороз пробирает, и ужасные инопланетяне, перевозящие детей Элвиса. Иногда удивительно все-таки, что мы прожили настолько долго, чтобы построить достаточно стабильное общество для проведения этого обсуждения.

Но мир – еще и безопасное место. Хотя опасности в индустриальном обществе вполне реальны, все же они – скорее исключения. В это иногда трудно верить в наш век сенсаций – газеты лучше продаются с заголовком «Трое прохожих случайно застрелены в перестрелке», чем «У двухсот семидесяти миллионов американцев небогатый событиями день» – но это правда. Почти все ходят каждый день по улице и не подвергаются нападению грабителей. Почти никто не умирает от случайного выстрела, не страдает от надувательства мошенников и, приходя домой, не сталкивается с сумасшедшими мародерами. Большинство компаний не являются жертвами вооруженного грабежа, жуликоватых банковских менеджеров или насилия на рабочих местах. Менее одного процента удаленных взаимодействий, позволяющих вести дела на расстоянии, без непосредственного контакта, приводят к жалобам какого-либо рода. Люди, как правило, честны: они обычно твердо придерживаются неписанных общественных правил. Законность в нашем обществе, в общем, на высоком уровне.

(Я осознаю, что предыдущий абзац представляет собой чрезмерное упрощение сложного мира. Я пишу эту книгу в Соединенных Штатах в конце второго тысячелетия. Я пишу ее не в Сараево, Хевроне или Рангуне. У меня нет опыта, исходя из которого я мог бы рассказать, каково жить в тех местах. Мои личные представления о безопасности происходят из опыта жизни при стабильной демократии. Эта книга о безопасности с точки зрения индустриального мира, а не мира, раздираемого на части войной, подавляемого тайной полицией или контролируемого криминальными структурами. Эта книга об относительно небольших опасностях в обществе, в котором главные угрозы уже отведены.)

Нападения, криминальные или нет, представляют собой исключения. Это события, застающие людей врасплох, «новости» в прямом смысле слова. Они нарушают общественный уклад, разрушают жизнь тех, кто стал их жертвой.

Неизменная природа атаки

Что отличает киберпространство от его двойника – реального мира в «плоти и крови», если отбросить технологические изыски и графические пользовательские интерфейсы? Как и физический мир, виртуальный мир населен людьми. Эти люди взаимодействуют с другими, образуют сложные социальные и деловые взаимоотношения, живут и умирают. В киберпространстве существуют сообщества, большие и малые. Киберпространство наполнено коммерцией. Там заключаются соглашения и контракты, там случаются разногласия и конфликты.

И опасности в цифровом мире отображают опасности физического мира. Если в последнем существуют опасности хищений и растрат, то точно так же они существуют и в первом. Если грабят физические банки, то ограбят и цифровые. Вторжение в частную жизнь – всегда проблема, независимо от того, имеет ли оно облик фотографа с телеобъективом или хакера, который перехватывает сообщения частного характера. Правонарушения в киберпространстве включают в себя все, что вы можете видеть в физическом мире: воровство, рэкет, вандализм, страсть к подглядыванию и подслушиванию, эксплуатацию, вымогательство, мошенничество и обман. Присутствует даже опасность реального физического ущерба в результате выслеживания, нападения на систему контроля воздушных перевозок и т. п. В первом приближении сообщество живущих в режиме онлайн такое же, как и сообщество тех, кто далек от компьютерных сетей. И, тоже в первом приближении, вторжения в цифровые системы будут такими же, как и нападения на их реальные аналоги.

Это означает, что, бросая взгляд в прошлое, мы можем точнее увидеть, что принесет будущее. Нападения будут выглядеть по-разному – взломщик будет оперировать цифровыми взаимодействиями и точками входа в базы данных вместо отмычек и монтировок, террористы выберут мишенью информационные системы вместо самолетов – но мотивация и психология будут теми же. Это также значит, что нам не понадобится совершенно другая правовая система в будущем. Если наше грядущее похоже на былое – за исключением некоторых особенностей, – тогда правовая система, которая работала в прошлом, вероятно, будет работать и в будущем.

Вилли Саттон грабил банки, потому что там хранились деньги. Сегодня деньги находятся не в банке, они перемещаются по компьютерным сетям. Каждый день банки мира переводят друг другу миллиарды долларов при помощи простого изменения чисел в компьютерной базе данных. Между тем, средняя величина единичной кражи из физических банков ненамного превышает 1500 долларов. И киберпространство будет представляться злоумышленникам все более соблазнительным – объем электронной торговли возрастает с каждым годом.

Где деньги – там преступность. Ограбление банка или магазина спиртного, надевание лыжной маски и размахивание пистолетом 45-го калибра не совсем устарело.

Но это – не тот метод, который предпочтет преступник, чтобы продумать план, если он совсем не одурел от наркотиков. Организованная преступность предпочитает нападать на крупные системы, чтобы получать большую добычу. Мошенничество с кредитными картами и контрольными системами стало с годами более изощренным. Жульничество с расчетными автоматами следует тому же принципу. Если мы не увидели до сих пор широко распространенного мошенничества с системой платежей в Интернете, то это потому, что там еще нельзя получить крупные деньги. Когда деньги там будут, преступники попытаются их украсть. И как видно из истории, они в этом преуспеют.

Нарушение конфиденциальности также не является чем-то новым. Удивительное множество юридических документов является достоянием общественности – это записи с общим доступом: имущественные сделки, продажа кораблей, гражданские и уголовные судебные разбирательства и приговоры, банкротство. Хотите узнать, кто владеет вон тем кораблем и сколько он за него заплатил? Это можно сделать. Такова роль общего доступа к базам данных. Еще больше приватной информации содержится в 20 000 (или около того) персональных баз данных (в США), которые находятся в корпорациях: финансовые подробности, медицинская информация, особенности образа жизни.

Сыщики (частные и полицейские) уже давно используют эти и другие данные, чтобы разыскивать людей. Для этого используют даже данные, которые по общему мнению считаются конфиденциальными. Ни один частный следователь из телесериала не обходится без друга в местной полиции, готового поискать имя, номер автомашины или уголовные записи в полицейских файлах. Полиция постоянно пользуется корпоративными базами данных. И каждые несколько лет какого-нибудь скучающего оператора информационно-поисковой системы ловят на выискивании налоговых деклараций знаменитостей.

Специалисты по маркетингу уже давно используют любые данные, которые могут заполучить, чтобы «вычислить» определенных людей. В Соединенных Штатах личные данные принадлежат не тому человеку, которого они характеризуют, а организации, собравшей их. Информация о ваших финансах не является вашей собственностью, она принадлежит вашему банку. Ваша медицинская информация принадлежит не вам, а вашему врачу. Врач дает клятву, что сохранит ваши личные секреты, но страховые агенты и этого не делают. Вы действительно хотите, чтобы любой знал о вашем пороке сердца или наследственной глаукоме? Как насчет вашего алкоголизма или неприятностей с венерическим заболеванием двадцатилетней давности?

Нарушение конфиденциальности может легко привести к мошенничеству. В рассказе «Бумажная луна» Джой Дэвид Браун пишет о трюках, к которым прибегали в период Великой депрессии для продажи Библий и родственных товаров, цены на которые внезапно упали. В другого рода аферы сейчас вовлечены матери и вдовы солдат, погибших на заокеанской войне: «Всего за несколько пенни в день мы позаботимся об их могилах» – и обманщики получают свой куш. Во многих частях страны коммунальные службы установили систему на основе телефонной связи, позволяющую считывать показания счетчиков: воды, электричества и т. п. Эта идея будет казаться грандиозной до тех пор, пока какие-нибудь предприимчивые преступники не начнут использовать ее для определения времени отъезда хозяев в отпуск. Или пока они не догадаются использовать систему аварийного контроля, которая с точностью до цента показывает еще и подробности аренды здания. Если данные могут быть использованы, кто-нибудь попробует это сделать – с компьютером или без него.

В киберпространстве нет ничего нового. Детская порнография – старая история. Отмывание денег – уже видели. Причудливые культы, предлагающие вечную жизнь в обмен на ваш чек, – даже надоело. Преступники не хуже и не лучше деловых людей понимают, для чего можно использовать сеть; они только переиначивают свои старые трюки под новые возможности, учитывая тонкие подробности и эксплуатируя размах сети и ее тенденцию к росту.

Изменяющаяся природа атаки

Опасности могут быть теми же, но киберпространство все видоизменяет по-своему. Хотя нападения в цифровом мире могут иметь те же цели и использовать многие из тех методов, что и нападения в физическом мире, все же они будут существенно различаться. Они будут проще и шире распространены. Будет сложнее проследить, поймать, доказать вину злоумышленника. И их действие будет более разрушительным. У Интернета есть три новых свойства, которые помогают осуществить атаку. Любое из них – угроза, все вместе они способны вселить ужас.

Автоматизация

Автоматизация – это друг нападающего. Если умный фальшивомонетчик изобрел способ чеканки безукоризненных пятицентовых монет, никто не будет беспокоиться. Фальшивомонетчик не сумеет сделать достаточно много этих монет, чтобы оправдать время и усилия. Телефонные хулиганы могли звонить бесплатно из телефонов-автоматов в пределах определенной местности практически сколько угодно с 1960-х до середины 1980-х. Конечно, телефонная компания была недовольна, что привело к грандиозным шоу с попыткой поймать этих людей, – но хулиганы не сильно повлияли на итоговую прибыль компании. В самом деле, вы не можете украсть столько десятицентовых телефонных звонков, чтобы это сказалось на доходе компании с многомиллиардным капиталом, особенно если себестоимость услуг близка к нулю.

В киберпространстве все иначе. Компьютеры имеют неоспоримое преимущество при решении повторяющихся, скучных задач. Наши фальшивомонетчики могут отчеканить миллион электронных пятицентовиков во время сна. Так называемая тактика «поэтапных нападений» – кража каждый раз небольшой части денег, по кусочкам, от каждого счета, приносящего процентный доход, – прекрасный пример того, что было невозможным без компьютеров.

Если вы спланировали крупную аферу, при помощи которой можно очистить чьи-нибудь карманы, а она срабатывает только один раз из 100 000 попыток, вы умрете с голоду, прежде чем ограбите кого-то. В киберпространстве вы можете настроить свой компьютер на поиск одного шанса из ста тысяч. Возможно, вы будете находить по целой дюжине таких шансов ежедневно. Если вы в состоянии привлечь другие компьютеры, то сможете находить сотни шансов.

Быстрая автоматика совершает атаки, даже если возможное число успешных попыток мизерно. Атаки, которые были слишком несущественны, чтобы обращать на них внимание в физическом мире, могут быстро стать основной угрозой в цифровом. Многие коммерческие системы совершенно не заботятся об этих мелочах: дешевле игнорировать их, чем с ними бороться. Им придется думать иначе с приходом цифровых систем.

Киберпространство, кроме того, прокладывает новую просторную дорогу для нарушения конфиденциальности просто в результате факта появления автоматизации. Предположим, вы проводите маркетинговую кампанию, направленную на богатых любящих родителей, вместе с детьми коллекционирующих марки с изображениями пингвинов. Это слишком трудоемко – ходить по всему городу и находить богатых граждан с детьми, которые любят пингвинов и интересуются марками. Для компьютерной сети нет ничего проще, чем сопоставить маркетинговую базу данных почтовых индексов людей с определенным годовым доходом, записи о датах рождения, списки подписчиков rec collecting stamps[2] и данные покупателей книг о пингвинах на Amazon com. Интернет дает в руки средства, позволяющие собрать все данные о человеке, когда-либо внесенные в пользовательскую сеть. Бумажные данные, даже если они общедоступны, трудно искать и трудно сопоставлять. Компьютеризованные данные найти существенно проще. Данные, внесенные в сеть, можно найти удаленно и сравнить с другими базами данных.

При определенных обстоятельствах получение этих данных незаконно. Частных лиц неоднократно преследовали в судебном порядке за просмотр секретных файлов полиции или информационно-поисковых систем. При других условиях это действие вполне обоснованно называется добычей данных. Например, большие компании, имеющие базу данных кредитных карт: Experian (раньше – TRW), TransUnion и Equifax, имеют горы сведений почти о любом человеке в США. Эту информацию собирают, сортируют и продают любому, кто готов за нее заплатить. Базы данных кредитных карт содержат ошеломляющее количество фактов о том, как люди привыкли тратить деньги: где они живут, что едят, как проводят отпуск – все это можно там найти. DoubleClick пытается построить базу данных, содержащую информацию об индивидуальных привычках веб-серферов[3]. Даже магазин бакалейных товаров ведет специальные карты постоянных покупателей, что позволяет получать данные о предпочтениях последних. Компания Acxiom специализируется на соединении информации частных и общедоступных баз данных.

Новым здесь является не то, что данные выплывают наружу, а то, как просто их можно собирать, использовать и злоупотреблять ими. И дела становятся все хуже: собирается все больше данных. Банки, авиалинии, каталоги компаний, фонды медицинского страхования – все они хранят информацию частного характера. Множество веб-сайтов собирают и продают персональные данные. А почему нет? Хранение данных дешево и, может быть, когда-нибудь пригодится. Такие разнообразные архивы в конце концов появляются в общедоступной сети. И все больше и больше данных оказывается собрано и снабжено перекрестными ссылками. Автоматизация переводит добычу информации на новую ступень.

Действие на расстоянии

Как любят подчеркивать специалисты по технологиям, Интернет не имеет границ или естественных ограничений. Любые две вещи одинаково тесно связаны, будь они расположены в разных концах комнаты или планеты. Одинаково просто активизировать работу компьютера в Тулузе с компьютера в Тунисе и с компьютера в Таллахассии (Tallahassee). He нравятся законы о цензуре или законы о компьютерных преступлениях в вашей стране? Найдите страну, которая вам нравится больше. Страны вроде Сингапура пытались ограничить возможности своих граждан в отношении поиска в Сети, но строение Интернета делает задачу блокировки его отдельных частей неосуществимой. По мнению Джона Гилмора, «цензура Интернета – это его повреждение и разгром».

Это означает, что нападающим в Интернете не нужно находиться где-то рядом со своей добычей. Нападающий может сидеть за компьютером в Санкт-Петербурге и атаковать компьютер Ситибанка в Нью-Йорке. Такое изменение положения вещей породило гигантские последствия для безопасности. Раньше, если вы строили товарный склад в Буффало, вам приходилось беспокоиться только о преступниках, которые могли бы приехать в Буффало и вломиться в ваш склад. С тех пор как благодаря Интернету все компьютеры стали равноудалены от любого другого компьютера, вам надлежит принимать во внимание преступность всего мира.

Глобальная природа Интернета также затрудняет поиск преступников и их обвинение. Найти нападающих, ловко скрывающих свое местонахождение, может быть почти невозможно, и, если вы даже найдете их, что будете делать? Преступность ограничена только в том, что касается политических границ. Но если у Интернета не существует физической территории, на которой можно было бы его контролировать, то кто обеспечит его безопасность?

К настоящему времени все правоохранительные органы, которые могли бы предъявить претензии к Интернету, уже пытались это сделать. Данные пришли из Германии? Тогда это в юрисдикции немецких законов. Они адресованы в Соединенные Штаты? Тогда это дело американского правительства. Они проходили через Францию? Если так, французские власти ответят qu'il s'est passe[4]. В 1994 году операторов компьютера BBS в Милпитасе, штат Калифорния, – где находились и люди и компьютеры – судили и признали виновными в суде Теннесси, потому что кто-то в Теннесси сделал междугородный телефонный звонок в Калифорнию и загрузил порнографические картинки, которые, как обнаружилось, разрешены в Калифорнии, но неприличны в Теннесси. Операторы BBS никогда до судебного процесса не бывали в Теннесси. В июле 1997 года 33-летняя женщина была осуждена швейцарским судом за отправку порнографии через Интернет – хотя с 1993 года она жила в США. Имеет ли это какой-то смысл?

Тем не менее обычно преследование судебным порядком невообразимо трудно. До того, как их «вычислят», преступники могут использовать неразбериху в качестве ширмы. В 1995 году 29-летний хакер из Санкт-Петербурга заработал 12 миллионов долларов, вломившись в компьютер Ситибанка. Ситибанк случайно обнаружил взлом и вернул себе большую часть денег, но встретил огромные сложности с выдачей хакера, чтобы подвергнуть его суду.

Такая разница в законах между различными штатами и странами может даже привести к высокотехнологичной форме выбора области юрисдикции. Иногда это работает в пользу обвинителя, как, например, осуждение в Теннесси калифорнийской BBS. В других случаях она идет на пользу преступникам: преступному синдикату, у которого достаточно денег, чтобы предпринять широкомасштабную атаку на финансовую систему, не так трудно найти страну, у которой слабые законы о компьютерной преступности, несомненно продажные офицеры полиции и никаких договоров о выдаче преступников.

Распространение технических приемов

Третье свойство – это легкость, с которой опыт удачных атак распространяется по киберпространству. НВО – компанию, занимающуюся кабельным телевидением, не очень заботит, что кто-нибудь может создать дешифратор для их базы. Для этого требуется время, сноровка и некоторое количество денег. Но что, если этот «кто-нибудь» опубликует простой метод получения любым человеком бесплатного спутникового телевидения? Без всякой работы? Безо всякого оборудования. «Просто наберите эти семь цифр на вашем пульте дистанционного управления, и вам никогда больше не придется платить за кабельное телевидение». Это может увеличить количество пользователей, не производящих платежи, до миллионов и ощутимо повлиять на прибыльность компании.

Физические фальсификации – это сложная, но решаемая задача. Двадцать лет назад мы продавали шаху Ирана какие-то старые машины глубокой печати. Когда к власти пришел аятолла Хомейни, он сообразил, что гораздо выгоднее печатать стодолларовые банкноты, чем иранские риалы. ФБР называет эти подделки суперзнаками, поскольку они почти безупречны. (Вот почему в США изменили дизайн денег.) В то время как ФБР и секретные службы заламывали руки, Министерство финансов произвело некоторые подсчеты: иранские печатные станки могут печатать только какое-то количество денег в минуту, в году только столько-то минут, то есть можно посчитать максимальное количество фальшивых банкнот, которое иранцы в силах выпустить. Казначейство решило, что это количество фальшивок не повлияет на денежную стабильность, так что не стоит серьезно беспокоиться о национальной безопасности.

Если бы производство фальшивых денег использовало электронику, все было бы по-другому. Электронный фальшивомонетчик может автоматизировать процесс, написать программу и поместить ее где-нибудь на одном из веб-сайтов. Люди будут загружать эту программу и запускать необнаруживаемое производство фальшивых электронных денег. К полудню эта информация могла бы оказаться в руках первых 1000 фальшивомонетчиков; следующие 100 000 получили бы ее в течение недели. Денежная система США смогла бы разрушиться за неделю. Уже не существовало бы максимального предела усиления мощности этой атаки – в киберпространстве она может возрастать экспоненциально.

Интернет представляет собой еще и совершенную среду для распространения удачных приемов нападения. Только первому нападающему приходится быть изобретательным, все остальные могут просто использовать его программы. После того, как автор изобретения включает их в какой-нибудь архив, удобно расположенный где-нибудь в экономически отсталых странах, любой способен загрузить и использовать их. И, однажды выпущенные в свет, они уже не поддаются контролю.

Мы рассматривали эту проблему на примере компьютерных вирусов: дюжина сайтов позволяет вам загрузить компьютерные вирусы, наборы инструментов для их конструирования и модели самих вирусов. Ту же картину мы видим с хакерскими инструментами: комплекты программного обеспечения, которые вызывают поломку компьютеров, крушат серверы, обходят защиту от копирования или используют недостатки конструкции браузеров, чтобы красть данные из машин пользователей. Вирусы Интернета всегда порождают вирусы на гибких дисках, что выглядит как необычная и привлекательная забава. Организация атак вида «отказ в обслуживании», направленных на основные веб-сайты, как в 2000, не требует никакой изобретательности: достаточно загрузить и запустить программу-сценарий. И поскольку электронные коммерческие системы широко распространены, мы видим, что автоматизированные нападения направлены и на них тоже.

Компьютерные атаки доказывают то, что преступникам не нужно обладать сноровкой, чтобы преуспеть.

Упреждающие меры вместо ответных

Традиционно коммерческие системы бегали наперегонки с мошенничеством: оперативная, в режиме онлайн, проверка кредитных карт была лишь ответной мерой на участившиеся кражи последних. Этот метод не сработает в Интернете, потому что время в нем течет очень быстро. Кто-то может провести успешную атаку на систему кредитных карт Интернета, написать программу, чтобы автоматизировать нападение, и за 24 часа программа станет доступна для полумиллиона людей по всему миру, и большинство из них невозможно будет потом ни в чем обвинить. Я представляю себе консультанта по безопасности, который входит в офис главного администратора и говорит: «У нас есть два варианта. Мы можем принять любую транзакцию как действительную, будь она законной или мошеннической, или не принимать ни те, ни другие». Главный администратор окаменел бы перед необходимостью такого выбора.

Глава 3 Атаки

Я собираюсь обсудить три основных класса атак. Преступные атаки относятся к наиболее явным, и этому типу я уделю основное внимание. Но два других класса – атаки, приводящие к огласке, и «законные» атаки – могут быть гораздо более разрушительными.

Преступные атаки

Что такое преступные атаки, понять просто: каким образом, атакуя эту систему, я смогу получить максимальную финансовую выгоду? Нападающие бывают разные: от преступников-одиночек до изощренных синдикатов организованной преступности, от «своих людей», решивших заработать «быстрых денег», до правительств, нацеленных на борьбу с инфраструктурой другой страны.

Мошенничество

Мошенничать пытались со всеми когда-либо изобретенными коммерческими системами. Недобросовестные торговцы пользовались неправильными весами для того, чтобы обсчитывать покупателей; те же, в свою очередь, соскабливали серебро и золото с ободков монет. Подделывали все: деньги, акции, кредитные карты, чеки, аккредитивы, заказы на поставку, фишки казино. Современные финансовые системы – чеки, кредитные карты и сети банковских автоматов – ежегодно терпят многомиллионные потери из-за мошенничества. Электронная торговля не будет ничем отличаться, не изменятся и методы преступников.

Аферы

Национальная компьютерная лига выделила пять наиболее распространенных в сети афер – это продажа интернет-услуг, продажа разнообразных товаров, аукционы, пирамидальные и многоуровневые маркетинговые схемы и благоприятные возможности для деловой деятельности. Люди читают какое-нибудь соблазнительное письмо в электронной почте или посещают привлекательный веб-сайт и отсылают деньги в какой-то абонентский ящик, и все заканчивается тем, что они или не получают ничего взамен, или получают ничего не стоящий хлам. Все очень похоже на физический мир: множество людей просто обмануто.

Разрушительные атаки

Разрушительные атаки – это сфера деятельности террористов, наемных служащих, склонившихся к мести, или хакеров, ушедших в подполье. Разрушение – это преступная атака (редко бывает, чтобы разрушение чужого имущества было законным), но часто при этом отсутствуют корыстные мотивы. Вместо них нападающие просто задают себе вопрос: «Каким образом я могу вызвать наибольшие повреждения, нападая на эту систему?»

Существует много разновидностей разрушительных атак. В 1988 году кто-то написал компьютерный вирус, направленный непосредственно на компьютеры, принадлежащие Electronic Data System. Он не произвел слишком больших разрушений (в действительности нанес небольшой ущерб NASA), но цель была именно такова. В начале 2000 года мы наблюдали массовые атаки, приводящие к отказам в обслуживании, на Yahoo! Amazon com, E*Trade, Buy com, CNN и eBay. Умелый нападающий, вероятно, может неделями подавлять работу провайдера. Фактически хакер, обладающий достаточным мастерством и подходящими моральными устоями, может, вероятно, «разрушить» весь Интернет.

На другом конце спектра – те, кто открыто вламывается через парадную дверь с бомбой. Нападения США на иракские системы коммуникаций в Персидском заливе, по-видимому, лучший тому пример. Группа французских террористов Comitee Liquidant ou Detournant les Ordinateurs (Комитет компьютерной ликвидации и сдерживания) в начале 1980-х разбомбила компьютерные центры в районе Тулузы. Более эффектным было лишь сожжение Александрийской библиотеки в 47 году до н э. (Юлием Цезарем), в 391 году н э. (христианским императором Феодосием I) и в 642 году н э. (Омаром, халифом Багдада) – все это, кстати, превосходные уроки, наглядно демонстрирующие важность резервного копирования.

Кража интеллектуальной собственности

Интеллектуальная собственность – это не только производственные секреты и базы данных компаний. Это также электронные версии книг, журналов и газет, цифровое видео, музыка и фотоснимки, программные средства и частные базы данных с платным доступом. При этом сложность задачи заключается не в сохранении права собственности на данные, а в том, как организовать контроль, чтобы получать соответствующие выплаты за данные прежде, чем они станут общедоступными.

Компании, занимающиеся программным обеспечением, хотят продавать свои программы легальным покупателям, избегая того, чтобы пираты изготовили миллионы нелегальных копий и продали (или раздали) их всем желающим. В 1997 году Альянс коммерческого программного обеспечения (Business Software Alliance) установил на своей веб-странице счетчик, который показывал, какие потери несет индустрия из-за пиратства: 482 доллара в секунду; 28 900 долларов в минуту; 1,7 миллиона долларов в час; 15 миллиардов долларов в год. Эти цифры завышены, так как сделано ложное допущение, что всякий, кто пользуется пиратской копией, например 3D Studio Max компании Autodesk, заплатил бы за легальную продукцию 2995 долларов (или 3495 долларов, если брать розничную цену). Распространенность пиратства в сфере программного обеспечения сильно зависит от страны: считается, что 95% программ в Китайской Народной Республике – пиратские, тогда как в Канаде таких только 50%. (Лидирует Вьетнам с 98% пиратского программного обеспечения.) Эти потери выводят из себя компании, занимающиеся программными средствами.

Пиратство может принимать различные масштабы. Это и распространение дисков среди друзей, и загрузка из Интернета, и крупномасштабные операции по изготовлению копий (обычно проводящиеся на Ближнем Востоке).

Пиратство также может быть совершено по отношению к данным. Подделывают ли музыкальные диски, которые продают в закоулках Бангкока, или МР3-файлы с той же музыкой, которые распространяют через Веб, – электронную интеллектуальную собственность воруют все время. (И, конечно, это в полной мере относится к цифровым изображениям, цифровому видео и электронному тексту.)

Общая нить этих рассуждений состоит в том, что компании хотят контролировать распространение своей интеллектуальной собственности. Такая позиция, хотя она совершенно обоснована, противоречит тому, что, собственно, представляет собой электронный мир. Последний имеет свои особенности: в отличие от физических вещей, информация может находиться в двух местах одновременно. Ее можно копировать бесконечно. Кто-то может отдавать часть информации и одновременно сохранять ее. Когда информация распространится повсюду, может стать невозможным проследить ее местонахождение. Если цифровая копия Короля-льва когда-нибудь будет распространяться по Интернету, Дисней не сумеет удалить все копии.

Недозволенное копирование – не новая проблема; она так же стара, как индустрия звукозаписи. Когда я учился в школе, у меня были магнитофонные записи музыки, которые были мне не по карману; и точно так же поступали все остальные мои знакомые. Тайвань и Таиланд долгое время были источником поддельных CD. Русская мафия развивает индустрию видеопиратства, а китайские триады все в большей степени вовлекаются в подделку программных средств. Ежегодные промышленные потери были оценены в 11 миллионов долларов в год, хотя это число, возможно, тоже основывается на ложных предположениях.

У электронных данных нет никакого волшебного иммунитета против подделок. Фактически они уникальны в том смысле, что их можно копировать совершенно точно. В отличие от моих кассет, качество незаконных цифровых видеодисков с Королем-Львом или программных продуктов не ухудшается – это еще один оригинал. Препятствовать такому распространению – это все равно, что пытаться осушить воду, – попробуйте сами.

Присвоение личности

Зачем красть у кого-то, когда вы просто можете стать этим человеком? Это существенно проще и может оказаться намного более выгодным: получить стопку кредитных карточек на чужое имя, наделать крупных долгов и затем исчезнуть. Это называется присвоением личности и является высокоразвитой сферой деятельности преступников. В Альбукерке (Нью-Мексико) преступники проникали в дома именно для того, чтобы забрать чековые книжки, свидетельства о кредитных картах, квитанции и другие финансовые документы, выискивая номера социального обеспечения, даты рождения, места работы и номера счетов.

Такие вещи происходят все время. В США в течение одного только 1999 года сообщалось о тысячах случаев присвоения личности. Устранение последствий может стать тяжелой и изнурительной задачей.

Положение становится все хуже. По мере того как установление личности приобретает электронную форму, процедура присвоения упрощается. В то же время, поскольку все больше систем используют электронную идентификацию, присвоение становится все более выгодным и менее опасным. Зачем вламываться в чей-то дом, если вы можете оперативно собрать необходимую информацию о личности?

А жертвы беспомощны. Они сообщают засекреченную информацию любому, кто спрашивает, многие пишут номера водительских прав на чеках. Они выбрасывают счета, банковские квитанции и т. п. Они слишком доверчивы.

В течение долгого времени мы могли не опасаться за системы удаленной идентификации. Но теперь стало понятно, что «девичья фамилия матери» не может уже являться ее элементом (особенно сегодня, когда эта фамилия зафиксирована в исчерпывающей открытой базе данных на генеалогическом веб-сайте), хотя она и использовалась достаточно долго и за это время преступники неплохо погрели на ней руки. Сейчас это уже ушло в историю, и, смею надеяться, мы уже никогда не будем столь наивны.

Кража фирменной марки

Идентификация в виртуальном пространстве жизненно важна и для фирм, и для отдельных индивидуумов. Разработка фирменного знака требует времени и денег. Такого рода идентификация – это больше чем надпись, лозунг и навязчивая мелодийка для рекламы. Это – продукция, кирпичные здания, работники службы по работе с покупателями, вещи, которые можно потрогать, люди, с которыми можно поговорить. Марка означает репутацию.

В Интернете препятствия минимальны. Любой может иметь веб-сайт – от Ситибанка до Фреда-храни-деньги-в-матрасе. И многие так и делают. Как пользователи узнают, какие сайты стоит посетить, на каких – сделать закладку, а с какими установить взаимоотношения? Тысячи компаний продают компьютеры в Сети. Какие из них действительно надежны, а какие не заслуживают доверия?

Снабжение товара торговой маркой – единственное, что может здесь помочь. Когда Веб был впервые представлен на публичное обозрение, специалисты утверждали, что он возвещает конец big brand[5]. Поскольку любой мог войти в Сеть и соревноваться с узнаваемыми брендами, торговые марки становились бессмысленными. Действительность доказала полную противоположность этому предположению: поскольку любой может войти в Сеть и соперничать с громкими именами, единственный способ отличить продукцию – ее фирменный знак. Пользователи запоминают знак и возвращаются на сайты, которым они доверяют. Знаки имеют реальную ценность, и их имеет смысл воровать.

Например, малайзийская компания хотела продавать презервативы, используя торговую марку Visa. Малазийцы заявили, что не имеют ничего общего с компанией кредитных карт, но эта «игра слов» дает им своего рода пропуск. Провести настоящую Visa не удалось – компания предъявила иск. Она победила, и я считаю, что такой прецедент имеет важное значение для защиты права собственности на фирменный знак.

Киберпространство предоставляет широкие возможности для кражи фирменного знака. В 1998 году кто-то подделал запрос на передачу имени домена в Network Solution и украл Sex com; настоящий владелец до сих пор еще пытается вернуть его назад[6]. В другом случае некий сантехник заменил телефонный номер на сайте другого такого же специалиста на свой. Преступные синдикаты в Лас-Вегасе сделали подобный трюк с телефонными номерами эскорт-услуг. Атаки такого рода не представляют собой ничего нового. Элмон Строугер был предпринимателем из Канзас-Сити. Он был убежден, что телефонисты перенаправляют звонки, поступающие к нему, в фирмы-конкуренты, поэтому в 1887 году изобрел телефонный диск, дабы исключить телефонистов.

Некоторые знатоки устраивают свой веб-сайт таким образом, чтобы красть трафик с других веб-сайтов; это известно как редирект, перенаправление (page-jacking). В Сети есть и тайпсквоттеры, «пираты» опечаток, регистрирующие имя домена, которое выглядит как имя оригинального веб-сайта, написанное с опечаткой. Так поступают создатели многих порносайтов. Даже большие компании не чуждаются такого рода приемов: когда стал популярен 1-800-COLLECT, компании MCI и AT&T создали свою службу телефонных разговоров, оплачиваемых абонентом, которому звонят. У AT&T ею стала 1-800-C0LLECT (нуль вместо буквы «О» – наиболее распространенная ошибка набора), a MCI опустился до того же, зарегистрировав 1-800-0PERATOR с тем же нулем вместо буквы «О», но в другом месте. Некоторые подобные приемы сегодня запрещены, и я надеюсь, что в будущем запретят и остальные.

Судебное преследование

К сожалению, судебное преследование в киберпространстве может быть затруднено. Казалось бы, преступления точно такие же – ведь кража противозаконна: хоть аналоговая – хоть цифровая, хоть на линии – хоть без нее. Набор действий тоже одинаков: злоупотребление, подделка, рэкет, мошенничество – как и квалификация, и преследование по закону в соответствии с уголовным кодексом. Законы против таких поступков (вместе с инфраструктурой уголовного правосудия для того, чтобы претворять их в жизнь) уже есть. Были приняты и некоторые новые законы, специально для цифрового мира, но мы пока не знаем всех их тонкостей. Но темп работы судебной системы отличается от темпа развития Интернета, и США может потребоваться десятилетие на то, чтобы упразднить плохо работающий закон или понять, как на самом деле нужно его применять.

Через какое-то время законы будут лучше отражать действительность цифрового мира. Несколько лет назад, когда поймали группу немецких хакеров, взломавших компьютерные системы США, у немецкого правительства вовсе не было уголовных законов, по которым их можно было бы осудить. Сегодня уже некоторые уголовные кодексы расценивают как преступление поступки вроде взлома удаленных компьютерных систем, тогда как старые законы о посягательстве не очень-то касались правонарушителей, удобно сидящих в своих спальнях, в то время как команды, поступающие по телефонной сети с их компьютера, совершают правонарушения. Постепенно законы о преследовании, вторжении в частную жизнь, авторском праве и подстрекательстве приспосабливаются к условиям мира, в котором вещи работают не совсем так, как все привыкли.

В конечном счете люди осознают, что нет смысла писать законы, которые специфичны для какой-либо технологии. Мошенничество есть мошенничество вне зависимости от того, что является средством – почта, телефон или Интернет. Правонарушение не становится более или менее преступным, если в нем используется криптография. (Нью-йоркские продавцы, которые в 1999 году при помощи Palm Pilot[7] копировали номера кредитных карт покупателей, не были бы менее виновны, если бы использовали ручку и бумагу.) И вымогательство не становится лучше или хуже, если его осуществляют с использованием компьютерного вируса, а не старомодных компрометирующих фотографий. Хорошие законы написаны так, чтобы не зависеть от технологии. В мире, где технологии движутся вперед намного быстрее, чем заседания Конгресса, только они и могут работать. Механизмы для более быстрого и чуткого законодательства, может быть, когда-нибудь и появятся.

Вмешательство в частные дела

Вмешательство в частные дела не обязательно будет преступлением, но может им стать (оно, например, может быть прелюдией к присвоению личности). В США почти все такие вторжения законны. Людям не принадлежит информация о них самих. Если кредитное бюро или фирма, занимающаяся маркетинговыми исследованиями, собирают о вас информацию – о ваших личных привычках, схеме покупок, финансовом статусе, физическом здоровье, – они вправе продать сведения любому, кому захотят, без вашего ведома и согласия. Впрочем, это везде по-разному. Законы о неприкосновенности частной жизни в большей части Европы (охватывающей Европейский Союз), на Тайване, в Новой Зеландии и Канаде более суровы.

Другие типы вмешательства в частные дела тоже считаются законными. Когда нанимают частного детектива, чтобы собрать информацию о человеке или компании, это законно до тех пор, пока он не использует никаких противоправных методов. Любого рода вмешательство полиции в частную жизнь законно при наличии ордера, но многое законно и без него. (Знаете ли вы, что полиции США не нужен ордер, чтобы потребовать сделать копии с фотопленок, которые вы сдали на проявку?)

Существует два принципиально разных типа вторжений в личную жизнь: направленная атака и сбор информации. При направленной атаке злоумышленник хочет узнать все об Алисе. Если Алиса – человек, то атака называется преследованием. Если «Алиса» – компания, то это производственный шпионаж. Если «Алиса» – правительство, то такую атаку называют национальной разведкой или шпионажем. Любая из этих атак доведет вас до тюрьмы при использовании одних методов и не приведет к подобному результату при использовании других.

Компьютерные меры безопасности могут защитить Алису от направленной атаки, но только до определенного момента. Если злоумышленников достаточно хорошо финансируют, они всегда их обойдут. Например, установят жучок в офисе Алисы, перероют ее мусор или будут следить за ней при помощи телескопа. Информация есть информация, и компьютерные меры безопасности защищают ее, пока она в компьютере. Такие меры работают против бесконтактных атак. Они заставляют злоумышленников подбираться поближе к Алисе и делают вторжение в частную жизнь более опасным, дорогим и попадающим в сферу действия разных неприятных законов.

Сбор информации – это другой тип вторжений в личную жизнь. Такие атаки используют косвенные методы. Предположим, злоумышленнику нужен список всех вдов не моложе 70 лет, у которых в банке не менее миллиона долларов, которые за прошлый год участвовали более чем в 8 благотворительных акциях и подписываются на астрологический журнал. Или список всех жителей США, подписанных на AZT[8]. Или тех, кто посещал определенный социалистический веб-сайт. Аферисты сто лет собирали бы имена людей, которые могли бы поддаться определенному жульничеству, в то время как широкая распространенность баз данных в Интернете позволяет им автоматизировать и оптимизировать их поиск.

Хорошее шифрование и компьютерная безопасность в состоянии помочь защититься от атак по сбору информации (если считать, что это незаконно – просто купить информацию у того, кто владеет различными базами данных), делая затруднительной процедуру сбора. Сбор информации выгоден только потому, что его можно автоматизировать; нет никакого смысла перерывать всю мусорную корзину соседа, чтобы найти демографические данные. Если же все компьютерные данные защищены, злоумышленник просто не знает, где ему смотреть. Даже не самые высокие уровни криптографии могут полностью защитить от атак по сбору информации.

Наблюдение

Сто лет назад у каждого была частная жизнь. Вы с приятелем могли выйти в чистое поле, убедиться, что больше никого поблизости нет, и общаться на таком уровне конфиденциальности, который теперь навсегда утрачен. Витфилд Диффи сказал: «Ни о каком праве на конфиденциальные переговоры в Конституции не упоминается. Я не думаю, что это кому-либо приходит в голову, тогда как это право необходимо защищать». Возможность иметь конфиденциальный разговор, как возможность держать в голове собственные мысли и возможность упасть на землю, если толкнут, естественно проистекала из устройства мира.

Технология разрушила такое мировоззрение. Мощные направленные микрофоны могут улавливать разговоры на расстоянии сотен ярдов. После того, как группа террористов MRTA захватила японское посольство в Перу (в 1997 году), в репортажах рассказывали о «жучках», спрятанных в пуговицах рубашек, которые позволили полиции установить местонахождение каждого. Устройства Ван Эйка могут читать текст на мониторе вашего компьютера, расположенного через квартал от них (пока еще это дорогая и сложная атака, но вы только подождите, пока распространятся беспроводные локальные сети). Камеры наблюдения, которые сейчас легко заказать по каталогам электроники, можно запрятать в самые маленькие щели; спутниковые камеры могут прочитать номерной знак вашего автомобиля прямо с орбиты. Министерство обороны проектирует миниатюрные летательные аппараты размером с небольшую птицу или бабочку, которые смогут разыскать вражеских снайперов, определить местонахождение заложников в захваченном здании или шпионить за кем-нибудь.

Возможность проследить за кем-нибудь издалека уже существует, но ее используют только в исключительных обстоятельствах (не считая телевидения). В 1993 году крупный колумбийский наркоделец Пабло Эскобар был обнаружен отчасти благодаря тому, что проследили его сотовый телефон: метод, известный как точное определение местонахождения. В 1996 году русские военные ликвидировали чеченского лидера Джохара Дудаева при помощи ракеты «воздух-земля» после того, как определили местонахождение, перехватив его разговоры по спутниковому телефону. Сотрудники ФБР обнаружили грузовик, который принадлежал людям, взорвавшим федеральное здание в Оклахома-Сити, собрав записи всех камер наблюдения в городе и сопоставив их показания по времени[9]. Невидимые идентификационные метки печатаются фактически на всей цветной ксерографической продукции любого производства. (Эти машины также обеспечивают меры защиты от подделки – такие, как дополнительный голубой тонер на банкнотах, если устройство определяет, что пытаются копировать американские деньги.)

Технология, которая позволяет автоматически определять наркодельцов, анализируя случайные телефонные разговоры, по подозрительному поведению спутниковой связи или с помощью уличной камеры по фотографиям преступников, находящихся в розыске, еще не стала обычным делом, но это только вопрос времени. Опознание лиц сможет выделить из толпы конкретного человека. Распознавание голоса позволит просканировать миллионы телефонных разговоров в поисках определенного субъекта; уже можно выискивать подозрительные слова и фразы и выделять один разговор из большого их количества. Закон Мура, который прогнозирует, что промышленность может удваивать вычислительную мощность процессоров каждые 18 месяцев, предсказывает кое-что еще: вычислительная техника следующего поколения будет меньше размерами, быстрее, намного дешевле и доступнее[10]. Как только технология распознавания научится идентифицировать людей, компьютеры смогут проводить их поиск.

Хранение данных тоже становится дешевле. Всего несколько поколений отделяет нас от возможности записать всю нашу жизнь – на аудио и видео – и сохранить информацию. О необходимости этого могут говорить как о защитном механизме, «на случай если вам когда-нибудь потребуется алиби», или как о полезном для общества механизме, поскольку «вы никогда не знаете заранее, что можете стать свидетелем преступления». Когда-нибудь, возможно, «неношение» устройства, записывающего вашу жизнь, будет казаться подозрительным.

Инфраструктура наблюдения устроена в Соединенных Штатах под видом «службы работы с клиентами». Кто не слышал повсеместного сообщения, что «этот разговор может прослушиваться или записываться в целях гарантии качества»? Некоторые отели заносят данные о предпочтениях клиентов в международную базу данных, так что клиенты будут чувствовать себя как дома, даже если это их первая остановка в данном городе. В ресторанах высокого класса сейчас есть видеокамеры в обеденном зале для того, чтобы изучать пристрастия в еде и следить за ходом обеда, и базы данных, содержащие сведения о предпочтениях клиентов. Amazon com отслеживает поведение покупателей из различных демографических групп. Дэвид Смит, написавший вирус «Мелисса», был обнаружен, поскольку Microsoft Word автоматически вводит информацию об авторстве во все документы. Автоматические системы оплаты сохраняют сведения о том, какие машины проехали через шлагбаум. В 2000 году некоторые города стали измерять загруженность дороги, отслеживая разговоры водителей по сотовым телефонам. Грань между хорошими потребительскими услугами и преследованием очень тонка.

Иногда речь не идет о потребительских услугах: компании кредитных карт имеют подробные записи о покупках, поэтому могут предотвращать мошенничество. Компании контролируют посещение служащими веб-сайтов, чтобы ограничить злоупотребления и задолженность. Многие аэропорты фиксируют номерные знаки всех автомобилей, помещенных на стоянку, – международный аэропорт Денвера в целях безопасности записывает номера всех машин, въезжающих на территорию аэропорта.

GPS (спутниковая система определения координат) – это фантастическая технология наблюдения. По крайней мере две компании поставляют на рынок «умные» автомобильные локаторы на основе GPS. Некая компания продает автоматические системы складского учета, использующие GPS и передатчики, прикрепляемые к объекту. Передатчики сигнализируют о своем местоположении, а центральный компьютер следит, где что находится. Вероятно, у шпионов давно уже была возможность использовать такого рода игрушки, но сейчас это – предмет потребления, поэтому папа знает, где его сын берет машину.

Секретность личной жизни расползается по швам. Это происходит малозаметно, и никто не высказывает протеста. Но все меньше и меньше конфиденциальности доступно, и большинство людей совершенно не обращает на это внимания.

Устройства слежения становятся дешевле, меньше размерами и распространяются повсеместно. Похоже, что скоро мы будем жить в мире, где конфиденциальность будет невозможна нигде и никогда.

Базы данных

Исторически нарушение конфиденциальности касалось только наблюдения. Затем в 1960-е годы общество достигло критической черты. В бизнес пришли компьютеры с большими базами данных, и организации стали накапливать базы данных, содержащие информацию об отдельных людях. Недавно мы достигли второй критической границы: компьютеры, объединенные в сеть, позволяют совместно использовать, сравнивать и объединять отдельные базы данных. Значение подобных действий для скрытости частной жизни мы можем ощущать все время. Мы ухитрились успешно преодолеть Большого Брата только для того, чтобы затеряться в сетях Младших Братьев. Для начала можно за кем-нибудь незаметно понаблюдать.

В последнее время собирают и сохраняют все больше и больше данных – из-за того, что сбор информации стал дешевле, и благодаря тому, что люди оставляют больше электронных «отпечатков» в повседневной жизни. Большинство таких данных собирают и сравнивают друг с другом. Многое доступно в режиме онлайн. Отсюда вывод: собрать на кого-нибудь подробное досье совсем несложно.

Многие базы данных – коммерческие: огромные кредитные базы данных, принадлежащие Experian, TransUnion, Equifax; телефонные базы данных, фиксирующие отдельные звонки; базы данных кредитных карт, содержащие информацию о личных покупках. Информацию можно использовать по прямому назначению или продать для каких-то других целей. В этих случаях доступ к ней законен, но потенциальный доступ к информации имеется и у тех, кто достаточно умел, чтобы взломать компьютер. Можно сравнивать между собой базы данных: информацию о вашем здоровье, финансовые подробности, любые сведения об образе жизни, которые вы когда-либо предавали огласке. В 1999 году в прессе была небольшая перепалка из-за того, что некоторые общественные каналы телевидения продали список жертвователей Демократической партии. В 2000 году общественный протест вынудил DoubleClick отказаться от своих планов по сопоставлению записей веб-серфинга отдельных личностей.

Веб дает больше возможностей для вторжения в частную жизнь. Электронные магазины могут, теоретически, сохранять записи обо всем, что вы купили (Blockbuster, например, фиксирует в базе данных все видео, которые вы брали напрокат). Также можно сохранять записи обо всем, на что вы просто смотрели: любой предмет, по которому вы просили показать более полную информацию, любую тему, по которой вы искали данные, как долго вы изучали каждый вопрос, а также не только что вы купили, но и на что вы смотрели и не купили.

Оперативные базы данных оказывают огромную помощь полиции по обеспечению правопорядка – они действительно помогают автоматически получить оперативные сведения и фотографии прямо в патрульную машину, – но остается опасность нарушения конфиденциальности. Полицейские базы данных не более безопасны, чем любые другие коммерческие базы данных, но информация в них намного более секретная.

Анализ трафика

Анализ трафика – это изучение параметров передаваемой информации. Не содержимого самого сообщения, а его характеристик. Кто с кем общается? Когда? Насколько длинные сообщения? Как быстро посылаются ответы, насколько они длинные? Какого рода связь возникает после получения определенного сообщения? Это все вопросы анализа трафика, и ответы на них могут быть очень информативны.

Например, то, что каждый раз, когда Алиса шлет длинное сообщение Бобу, Боб посылает короткий ответ Алисе и длинное сообщение пяти другим людям, указывает на цепь передачи команд. Алиса просто отсылает распоряжения Бобу, который передает их своим подчиненным. Если Алиса регулярно посылала Бобу короткие сообщения и внезапно посылает ряд длинных, то это говорит об изменении чего-то (чего?).

Часто даже системы передачи информации так же важны, как сама информация. Например, простой факт, что Алиса звонит каждую неделю известному террористу, более важен, чем детали их разговора. Нацисты использовали данные анализа телефонных счетов в оккупированной Франции, чтобы арестовывать друзей арестованных; их на самом деле не интересовало, о чем был разговор. Звонки из Белого дома Монике Левински довольно показательны даже без записи беседы. В часы, предшествующие американской бомбардировке Ирака в 1991 году, доставка пиццы в Пентагон стократно возросла. Любой, обративший на это внимание, точно знал: что-то произошло (довольно интересно, что ЦРУ заказывало такое же количество пиццы, как обычно). Некоторые исследования показывают, что даже если вы зашифруете свой веб-трафик, анализа, основанного на размере зашифрованных веб-страниц, более чем достаточно, чтобы понять, что вы просматриваете.

Хотя военные используют анализ трафика уже десятки лет, он до сих пор – новая область исследований в академическом мире. Мы в действительности не знаем, насколько коммуникации, особенно наши интернет-связи, уязвимы для анализа трафика и что можно сделать для снижения риска. Ожидается, что в будущем это будет важной научной областью.

Широкомасштабное электронное наблюдение

ECHELON – это кодовое обозначение автоматизированной глобальной системы перехвата, управляемой службами безопасности США, Великобритании, Канады, Австралии и Новой Зеландии, возглавляет которую Агентство национальной безопасности. По оценке специалистов, ECHELON перехватывает ежедневно до 3 миллиардов сообщений, включая телефонные звонки, сообщения электронной почты и информацию Интернета, спутниковые передачи и т. п. Система собирает все эти передачи без разбора, а затем сортирует и очищает информацию при помощи программ искусственного интеллекта. В некоторых источниках заявляется, что ECHELON анализирует 90% данных интернет-трафика, хотя это кажется сомнительным[11].

Такие попытки широкомасштабного наблюдения устрашают и порождают некоторые уникальные проблемы. Информация, полученная таким путем, полезна, если только придать ей вид, в котором люди могли бы ее понять и действовать в соответствии с результатами ее анализа. Соединенные Штаты перехватили сообщение для японского посла в Вашингтоне, в котором обсуждалась бомбардировка Пирл Харбора, но эта информация приобрела смысл только в ретроспективе и не могла обрести его раньше из-за низкого уровня квалификации служащих, к которым она попала. Но трудно не только анализировать данные, но и принять решение, что нужно записывать.

Потенциально перехват системой ECHELON – нескончаемый поток данных, который никогда не смогли бы обработать сколь угодно много аналитиков. Перехватывающее устройство должно решить в реальном времени, стоит или нет записывать часть информации для дальнейшего анализа. И система не может позволить себе слишком много «дальнейших анализов» – она должна продолжать запись информации. Я уверен, что наиболее ценная часть записанной информации никогда не будет изучаться людьми подробно.

Чтобы построить систему, аналогичную этой, вам следовало бы инвестировать деньги в две технологии: возможности первичной обработки и анализ трафика.

Оборудование перехвата должно получить возможность быстро характеризовать фрагменты информации: кто отправитель и получатель, тему сообщения, как ее классифицировать. (Если вы считаете, что трудно проделать такую работу с информацией Интернета и электронной почты, подумайте, как сложно это сделать при речевом общении.) Во многом эта технология похожа на ту, что заложена в поисковых системах.

Анализ трафика еще более важен. Схемы трафика проясняют многое о любой организации, и их намного проще собирать и анализировать, чем реальные коммерческие данные. Эти схемы также поставляют дополнительную информацию для первичной обработки. Тщательно разработанные базы данных по схемам трафика, несомненно, являются сердцем любой подобной ECHELON системы.

Последний аккорд: в мире, где большинство сообщений не зашифровано, зашифрованные сообщения, возможно, записываются регулярно. Простого знака, что собеседники не хотят, чтобы их подслушали, будет достаточно, чтобы бить тревогу.

Атаки ради рекламы

Концепция атак ради известности очень проста: «Как мне атаковать систему, чтобы мое имя появилось в газетах?» Такой тип атаки является относительно новым в цифровом мире: несколько лет назад взлом компьютерной системы не считали достойным освещения в прессе, и я не могу найти в истории никакой другой технологии, которую люди пытались бы испортить только для того, чтобы их упомянули в газете. В физическом мире, однако, этот тип атаки древен: человек, который сжег Храм Артемиды в Древней Греции, сделал это только потому, что хотел, чтобы его имя осталось в веках. (Кстати, его звали Герострат.) Из более позднего упомяну искавших того же детей, которые расстреляли школу в Колумбине.

Большинство злоумышленников такого типа – это хакеры: умельцы, много знающие о системах и их безопасности. Часто у хакеров есть доступ к значительным ресурсам – в лице студентов большого университета или служащих крупных компаний. У них обычно нет больших денег, но иногда случается избыток времени. Кроме того, они чаще всего не делают того, что может привести их в тюрьму: основная их цель – огласка, а не заключение под стражу.

Канонический пример такой атаки: два аспиранта университета Беркли в 1995 году взломали схемы кодирования Netscape Navigator. Обнаруженные в системе слабые места аспиранты не использовали для получения незаконной прибыли, а просто позвонили в Нью-Йорк Таймс. Реакция Netscape была примерно такая: «Мы провели ряд вычислений и полагаем, что такая атака потребовала бы безумных затрат; мы не думаем, что взлом системы стоил бы чьих-то усилий». Они правы: взлом не стоит усилий… для того, кого интересуют деньги. У аспирантов были все навыки, доступ ко всем свободным компьютерам в университете и никакой общественной жизни[12].

Что важно осознать создателям систем – так это то, что люди, желающие огласки, не укладываются в ту же модель, что и преступники. Преступники будут атаковать систему, только если от этого можно получить выгоду; люди, которым необходима огласка, будут нападать на систему, если высока вероятность, что это станет освещаться прессой. Для них атаки, направленные на крупномасштабные системы и широко распространенные программные продукты, – лучше всего.

Иногда такие атаки мотивируют тем, что требуется привлечь внимание к проблеме. Многие компании игнорируют уязвимость своей системы безопасности, если не привлечь к ней внимание общественности. Если исследователь объявляет атаку, компания-жертва будет суетиться, чтобы исправить ситуацию. Таким образом, атаки повышают безопасность систем.

Атаки ради известности могут дорого обходиться. Клиенты могут после такой атаки отказаться от одной системы в пользу другой, как уже произошло после нескольких атак на банковские системы. Инвесторы могут отказать жертве в фондах. Это уже произошло с индустрией цифровой сотовой связи после подобных атак, показавших недостатки защитных мер по отношению к конфиденциальности и краже. Ситибанк лишился многих значительных вкладов после взлома хакером из Санкт-Петербурга. Взлом системы безопасности цифровых видеодисков (DVD) приостановил поступление на рынок продуктов Sony после рождества 1999 года. В 2000 году CD Universe потеряли множество клиентов в результате того, что хакеры украли с веб-сайта компании 300 000 номеров кредитных карт. Иногда дурная слава обходится дороже, чем реальная кража.

Атаки ради известности грозят и другими опасностями. Одна из них – в том, что о таких атаках узнают преступники и будут использовать успешную методику. Другая – в том, что доверие общества к системам разъедается оглаской подобных фактов. В частности, это может быть основной проблемой для электронных коммерческих систем. Банки вынуждены сохранять в тайне успешные атаки преступников на их системы с тем, чтобы не волновать общественность. Но хакеров и образованных людей гораздо труднее урезонить, и они продолжают держать в поле зрения коммерческие системы. Если где-то в системе безопасности есть прорехи, кто-нибудь найдет их и созовет пресс-конференцию. Может быть, не первый, кто обнаружит прорехи, но кто-нибудь огласит все. Компании должны быть готовы к этому.

«Дефейс» – подмена чьих-нибудь веб-страниц – одна из форм атак ради известности. Это обычно становится важной новостью в средствах массовой информации. В 1996 году таковой стал взлом веб-сайта Министерства юстиции. Тот же эффект имел в 1997 году взлом сайта AirTran, а в 1998 – главной страницы сайта газеты New York Times.

В те дни настроения были таковы, что на некоторых сайтах вовсе не ожидали нападений. Студия Метро-Голдуин-Майер/Юниверсал была шокирована, когда в 1995 году взломали веб-сайт их фильма «Хакеры». А в 1997 студия Юниверсал Пикчерз сама взломала свой веб-сайт фильма «Парк юрского периода» в рекламных целях. (Она пыталась сделать вид, что это дело рук хакеров, но имитированный сайт выглядел слишком профессионально, а взломанная страница была загружена на сайт заранее, за три дня.)

В наши дни подобные атаки происходят настолько часто, что их только вскользь упоминают в новостях. Возможно, все основные веб-сайты американского правительства были взломаны в 1999 году, как были взломаны веб-сайты множества местных (муниципальных) и иностранных правительств. Я привел в первой главе список из 65 повреждений веб-сайтов в первую неделю марта 2000 года. Системные администраторы уже привыкли к этой проблеме.

Атаки, приводящие к отказам в обслуживании

Совсем недавно атаки типа «отказ в обслуживании» стали де-юре-атаками, направленными на огласку. Это произошло только вследствие их широкого освещения в прессе и, будем надеяться, они вскоре перестанут быть новостью. Идея в том, чтобы просто остановить работу чего-нибудь. И, как вам скажет любой, кому приходилось иметь дело с бастующими рабочими – водителями автобусов, диспетчерами воздушного движения, рабочими на ферме и т. п., – такие атаки весьма эффективны.

В физическом мире есть и другие атаки, приводящие к отказам в обслуживании, например блокады и бойкоты. Все эти атаки имеют свои аналоги в киберпространстве. Имея достаточные возможности телефонной связи, можно заблокировать все соединения модема локального поставщика услуг Интернета. Аналоговая сотовая телефонная сеть испытывает затруднения с соединением, если перемещающийся пользователь переходит от одной ячейки к другой; можно сидеть на холме с направленной антенной и, медленно поворачивая ее туда-сюда, заблокировать все каналы ближайших ячеек.

Нападения, приводящие к отказам в обслуживании, работают, поскольку компьютерные сети являются сетями связи. Некоторые простые атаки, вроде передачи слова «привет», можно автоматизировать до такой степени, что они становятся атаками, приводящими к отказам в обслуживании. Так в основном устроены атаки, рассчитанные на «затопление» сети, которым подверглись некоторые провайдеры в 1996 году.

Вот другая атака, повлекшая отказ в обслуживании: в середине 1980-х политическая организация Джерри Фолвелла установила бесплатный телефон для разных целей. Один парень запрограммировал свой компьютер на то, чтобы непрерывно набирать этот номер, а затем вешать трубку. Таким образом он осуществил две вещи: во первых, занял линию, и люди, которым действительно нужно было позвонить по этому номеру, не могли дозвониться, а во-вторых, организации Фолвелла приходилось платить деньги за каждое соединение. Прелестный пример атаки, приводящей к отказу в обслуживании.

Подобные действия могут быть прелюдией к преступной атаке. Взломщики подходят к складу в 1:00 ночи и перерезают провод охранной сигнализации, ведущий к полицейскому участку. Сигнализация срабатывает и предупреждает полицию, что провод поврежден. Взломщики отступают на безопасное расстояние и ждут, когда приедет полиция. Полиция приезжает и ничего не обнаруживает. (Если преступники изобретательны, они перережут провод в незаметном месте.) Полиция решает, что проблема в системе, а владельцы склада решают, что разберутся с ней утром. Полиция уезжает. Взломщики возвращаются и уносят все, что хотят.

Вариант этого сценария, который, как подтверждается несколькими случаями, дает гарантированный результат, – это атака телефонного узла, через который проходит сигнал тревоги. Многие типы сигнализации включают в себя устройство, которое посылает в полицейский участок сигнал о нарушении защиты. При атаке телефонного узла этому сигналу не пробиться, и полиция не узнает, что сигнализация сработала.

Вот другой пример: военная база, окруженная забором, снабженным сенсорами движения. Злоумышленники берут кролика и перекидывают его через забор, а затем убегают. Срабатывает сенсор движения. Охрана приходит, ничего не обнаруживает и возвращается на пост. Злоумышленники повторяют всю процедуру, охрана вновь реагирует. После нескольких таких ночей охрана отключает сенсор движения. И злоумышленники на джипе протаранивают забор. Такого рода атаки неоднократно использовались против русских военных баз в Афганистане и, в качестве проверки охраны, на некоторых военных базах США. Они удивительно удачны.

Похожая атака, предположительно, была предпринята против советского посольства в Вашингтоне, округ Колумбия. Американцы подожгли сласти (по существу, кусок сахара) у окна посольства. От треска включилась сигнализация, но сахарный шарик испарился, и не было заметно, из-за чего возникла тревога. Затем следующий шарик. Чпок. Тревога. Ничего. В конечном итоге сигнализацию изменили так, чтобы резкий звук за окном не включал бы ее. (Я не знаю, произошло ли в результате этой атаки реальное проникновение или это был просто способ подействовать на нервы охране советского посольства.)

Более близкий пример: широко используемый метод кражи автомобилей заключается в том, чтобы включать сигнализацию в 2 часа ночи, 2:10, 2:20, 2:30… пока владелец машины не отключит ее, чтобы успокоить разгневанных соседей. Утром машины нет.

Во время войны атаки, приводящие к отказам в обслуживании, используют все время. Каждая из сторон пытается заблокировать вражеские системы радиолокации и управления стрельбой, нарушить системы коммуникации, взорвать мосты. Одно из свойств подобных атак в том, что для них часто нужен низкий, а не высокий технический уровень: взорвать компьютерный центр намного проще, чем использовать уязвимые места Windows 2000.

Атаки, приводящие к отказам в обслуживании в Интернете, детально обсуждаются в главе 11.

«Законные» атаки

В 1994 году в Великобритании один человек обнаружил, что его банковский счет пуст. Когда он подал жалобу на то, что последние шесть процедур снятия денег со счета он не производил, его арестовали и обвинили в краже. Британский банк заявил, что система безопасности кредитных карт непогрешима, а подсудимый, несомненно, виновен. Когда адвокат изучил доказательства, он обнаружил следующее:

1. У банка нет службы безопасности и гарантии качества программного обеспечения.

2. В нем никогда не проводились проверки безопасности.

3. Обсуждаемые изъятия денег никто не проверял.

Фактически программисты банка заявили, что поскольку код написан на ассемблере, в нем не может быть проблем (дескать, если бы там были ошибки, то они привели бы к поломке системы). Так или иначе, этого человека осудили. При рассмотрении апелляции банк представил суду гору документов, подготовленных аудиторской фирмой и подтверждающих безопасность системы. Когда защита потребовала неограниченного доступа к системе для того, чтобы самостоятельно оценить степень ее безопасности, банк отказал, но обвинение было снято.

От атак, использующих несовершенство законодательства, защититься труднее всего. Цель таких атак не в том, чтобы использовать недостатки системы. И даже не в том, чтобы обнаружить эти недостатки. Цель состоит в том, чтобы убедить судью и присяжных (которые, возможно, не сильны в технике), что в системе могут быть недостатки. В том, чтобы дискредитировать систему, заронить в умы судьи и присяжных сомнения в совершенстве системы и в результате доказать невиновность клиента.

Вот гипотетический пример. В большом деле о наркотиках полиция использует данные сотовой телефонной сети, по которым устанавливает местонахождение обвиняемого с телефоном в определенном месте в определенное время. Адвокат находит какого-нибудь специалиста-хакера, который дает показания, что такие данные легко могли быть сфабрикованы, что они ненадежны и не могут служить доказательством. У прокурора есть другая группа экспертов, которые утверждают противоположное, и единственный возможный выход состоит в том, что они уравновесят друг друга: суд продолжится без учета данных сотовой связи.

То же самое может произойти, если данные экспертизы используют для осуждения кого-то, взломавшего компьютерную систему, или если данные о подписании документов используют для навязывания контракта. «Я этого никогда не подписывал, – говорит ответчик. – Компьютер попросил меня ввести пароль и нажать эту кнопку. Что я и сделал». Присяжные, возможно, в такой же степени несведущи в технологии, в какой представляет себя ответчик, и, скорее всего, сочувствуют ему.

У всякой монеты есть и оборотная сторона. Полиция может использовать показания экспертов, чтобы убедить присяжных в том, что расшифрованное сообщение является изобличающей уликой, хотя расшифровка не стопроцентно точна, или что установление факта компьютерного вмешательства несомненно, и поэтому подсудимый виновен.

Использование «законных» атак в полной мере предоставляет огромные возможности. Многие преступники в высшей степени искусны – в некоторых случаях они могли бы стать лучшими экспертами по вопросам безопасности – и хорошо обеспеченными. Они могут использовать процесс исследования системы, чтобы узнать все необходимые детали. Им даже не нужно проводить атаку; злоумышленнику достаточно найти доказательства существования слабых мест в системе безопасности. Подобные действия можно считать атаками ради престижа, подкрепленными денежными средствами и с почти гарантированной победой.

Глава 4 Противники

Так кто же все-таки угрожает цифровому миру? Хакеры? Преступники? Распространители порнографии? Правительства? Противники – те же самые, что и в обычном мире: уголовные преступники, жаждущие обогащения; промышленные шпионы, охотящиеся за секретами, способными обеспечить конкурентоспособность товаров; хакеры, ищущие тайные ходы; разведка, добывающая военные сведения. Они не изменились, просто киберпространство стало новым полем их деятельности.

Мы можем разделить противников на категории несколькими способами, приняв за основу классификации цели, доступ, ресурсы, квалификацию и риск.

Цели противников могут быть различны: причинение ущерба, финансовая выгода, информация и т. д. Это важно. Цели промышленного шпиона отличаются от целей синдиката организованной преступности, и контрмеры, которые способны остановить первого, могут даже не побеспокоить второй. Понимание целей вероятных противников – это первый шаг к выяснению, какие контрмеры могут быть эффективными.

Противники имеют различный уровень доступа: возможности члена какой-либо организации, например, намного больше, чем любого одиночки. Противники также сильно различаются по своим финансовым возможностям: некоторые хорошо финансируются, другие висят на волоске. Одни имеют достаточную техническую квалификацию, у других ее нет.

Различные противники по-разному относятся к риску. Террористы часто бывают счастливы умереть за свои убеждения. Преступники смиряются с риском оказаться в тюрьме, но, вероятно, не захотят иметь неприятности сверх тех, которыми может обернуться грабеж банка. Ищущие славы вовсе не хотят попасть в тюрьму.

Состоятельный противник наиболее гибок в решениях, так как он может использовать свои средства для различных вещей. Он может получить доступ, подкупив посвященных лиц, и повысить свой технический уровень, купив технологию или наняв экспертов (возможно, посвятив их в свои намерения, возможно, нанимая их под ложными предлогами). Он может также использовать деньги для снижения риска, совершая более подготовленные и поэтому более дорогостоящие атаки.

Рациональный противник (не все из нападающих в здравом уме, однако большинство достаточно обдуманно подходят к делу) выбирает нападение, которое с лихвой окупит понесенные расходы с учетом всех издержек: квалификации, доступа, трудовых ресурсов, времени и риска. Некоторые нападения требуют хорошей квалификации, но не требуют никакого специального доступа: взлом алгоритма кодирования, например. Каждый противник старается использовать набор приемлемых для него видов атак, отбросив те, которые ему не подходят. Конечно же, он выберет такое нападение, которое уменьшает затраты и увеличивает выгоды.

Хакеры

Слово «хакер» имеет широкий спектр значений – от системного администратора, достаточно хорошо представляющего, как в действительности работают компьютеры, до подростка-преступника, который кудахчет от восторга, когда громит вашу сеть. Слово было подхвачено средствами массовой информации, и его первичное значение изменилось. Оно скорей используется как комплимент, нежели как оскорбление. В последнее время люди используют слово «крекер» (взломщик программной защиты) для плохих парней и «хакер» – для хороших. Я определяю хакера как индивидуума, который экспериментирует с недостатками системы ради интеллектуального любопытства или собственного удовольствия; это слово описывает человека со специфическим набором навыков и неспецифической моралью. Есть хорошие хакеры и плохие хакеры, аналогично хорошим водопроводчикам и плохим водопроводчикам. (Есть также «хорошие плохие» хакеры и «плохие хорошие» хакеры… но не берите это в голову.)

Хакеры стары как любопытство, хотя сам по себе этот термин современен. Галилео Галилей был хакером. Мадам Кюри тоже. Аристотель не был. (Аристотель приводил некие теоретические доказательства, что у женщины меньшее количество зубов, чем у мужчины. Хакер просто посчитал бы зубы своей жены. Хороший хакер посчитал бы зубы своей жены без ее ведома, в то время когда она спала бы. Хороший плохой хакер мог бы удалить некоторые из них, только бы доказать свое теоретическое предположение.)

Когда я учился в колледже, я знал людей, подобных хакерам, назовем их страстными коллекционерами ключей. Они хотели иметь доступ всюду, и их цель была в том, чтобы владеть ключом от каждого замка в университетском городке. Они изучали новые системы запоров, карты коммуникаций, запоминали их расположение и обменивались друг с другом копиями ключей. Запертая дверь была вызовом, личным оскорблением. Эти люди не собирались причинить кому-либо ущерб – воровство не было их целью – хотя, конечно, они могли бы использовать для этого свои знания. Их страстью было получать доступ всюду, куда бы им захотелось попасть.

Помните телефонных взломщиков, которые могли болтать по таксофонам и делать бесплатные телефонные звонки? Несомненно, они терроризировали телефонную службу. Но им это было нужно не для того, чтобы делать восьмичасовые звонки в Манилу или Мак-Мурдо. Они хотели знать систему лучше, чем проектировщики, и уметь изменять ее по своему желанию. Понимание того, как работает телефонная система, служило им наградой. Другой пример раннего хакерства – фанаты-радиолюбители.

Ричард Фейнман был хакером, почитайте любую из его книг[13].

Компьютерные хакеры унаследовали эти черты. Скорее даже, они принадлежат к тому же племени, только действуют в новых условиях. Компьютеры и сети, в частности, – это новый ландшафт, который можно исследовать. Сети представляют сложнейшее переплетение многочисленных связей, где новая хакерская технология становится ключом, который может открывать компьютер за компьютером. А за этим – знание, понимание. Как получить доступ? Что и как работает? Почему это вообще работает? Ответы где-то рядом, они ждут, чтобы их обнаружили.

Сегодняшние компьютерные хакеры, как правило, молоды (около двадцати), мужского пола и социально – на задворках общества. Они имеют свою собственную культуру: хакерские имена-прозвища, язык, правила. И, что характерно для любой субкультуры, только маленький процент ее представителей действительно что-то собой представляет. Настоящие хакеры понимают технологию на базовом уровне и ими движет желание расширить свое понимание. Остальные же – бездарные позеры, полностью неспособные ни к чему, или преступники. Иногда их называют ламерами.

Хакеры могут иметь достаточную квалификацию, часто более высокую, чем сами проектировщики системы. Я прослушал большое количество лекций по безопасности, и большинство ораторов, в чьих лекциях есть здравый смысл, – хакеры. Это их страсть. Хакеры смотрят на систему с внешней стороны, с позиции нападающего, а не с внутренней – с позиции проектировщика. Они смотрят на систему, как на организм, как на единое целое. И часто понимают атаки лучше, чем люди, которые разрабатывают системы. Таковы настоящие хакеры.

У хакеров обычно много времени, но мало финансовых средств. Некоторые из них питают отвращение к риску и в высшей степени осторожно балансируют на грани закона, у других нет страха перед наказанием, и они занимаются незаконной деятельностью без мысли о связанном с ней риске.

Имеются хакерские телеконференции, хакерские веб-сайты и хакерские соглашения. Хакеры часто продают способы и автоматизированные средства атак друг другу. Есть различные группы хакеров (или шайки, если вам так больше нравится), но нет никакой иерархии. Вы не сможете нацелить сообщество хакеров на что-то определенное: они пойдут так далеко, как смогут. Часто они будут взламывать что-то лишь потому, что это широко известно, интересно, или потому, что цель «заслуживает» этого.

К сожалению, большинство хакеров совершают незаконные действия. Я не говорю о тех немногих, кто работает в исследовательской среде, кто лабораторно оценивает параметры защиты систем и кто публикует анализ исследований программных продуктов и систем. Я говорю о тех хакерах, которые врываются в пользовательскую сеть, стирают веб-страницы, вызывают аварийные отказы компьютеров, распространяют вирусы и пишут автоматические программы, которые позволяют другим делать то же самое. Эти люди – преступники, и общество должно относиться к ним как к таковым.

Я не куплю систему, защиту которой хакер взломал только затем, чтобы к ней присмотреться, не причинив никаких повреждений. Некоторые системы довольно хрупкие, и даже тот, кто просто присматривается, может нечаянно что-нибудь испортить. А после того, как посторонний побывал внутри системы, вы более не можете быть уверены в ее целостности. Вы не знаете, прикасался или нет непрошеный гость к чему бы то ни было.

Вообразите, что вы приходите домой и на двери своего холодильника находите записку: «Привет. Я заметил, что у вас паршивая блокировка входной двери, так что я вломился. Я ничего не касался. Вы действительно должны улучшить свою систему защиты». Как бы вы чувствовали себя?

Проблемы начинаются с хакеров, которые создают инструменты взлома. Это программы – иногда их называют эксплоитами (exploits), – которые автоматизируют процесс вторжения в системы. Пример – Trin00 – инструмент, создающий отказы в обслуживании. Тысячи серверов были выведены из строя после нападения с помощью этой программы, что потребовало от компаний-владельцев миллионов долларов, уйму времени и усилий для восстановления. Trin00 – одна из причин исследований уязвимости Интернета для такого типа атак и повод для написания научного труда о защите от них. А эти занятия гораздо сложнее, нежели составление программы, автоматизирующей атаку.

Программа Trin00 не предназначена ни для каких других целей, кроме нападения на системы. Владельцы оружия могут рассуждать о самообороне, но интернет-серверы не врываются в наш дом по ночам. А эта программа намного страшнее, потому что однажды написанная, она стала доступной, и любой, кто захочет быть хакером, сможет загрузить ее и напасть на компьютеры в Интернете. При этом ему даже не обязательно знать, как все работает. Атаки с помощью Trin00 были популярны в начале 2000 года, потому что эта программа была доступна. Без этой доступности – даже при наличии описаний уязвимых мест систем – ни один ламер не был бы способен воспользоваться наличием последних.

Конечно, те, кто использует Trin00, чтобы напасть на системы, – преступники. Я также верю, что тот, кто ее написал, тоже преступник. Существует тонкая грань между написанием кода для демонстрации исследовательской работы и публикацией инструментальных средств нападения; между невинным хакерством и хакерством, как преступной деятельностью. Я возвращусь к этому в главе 22.

Большинство организаций с оправданной осторожностью относится к найму хакеров. Есть и исключения – Агентство национальной безопасности, предлагающее стипендию хакерам, желающим работать в Форт Мид; израильская разведка, нанимающая еврейских хакеров из Соединенных Штатов; Вашингтон, предлагающий создать ассоциацию защиты. Некоторые хакеры работают в частных компаниях и профессионально занимаются безопасностью. Недавно ряд консалтинговых компаний попытался оправдать хакеров и представить их в более выгодном свете. Иногда такой подход справедлив, но многим людям бывает тяжело понять отличие этики хакеров от этики преступников.

Преступники – одиночки

В апреле 1993 года маленькая группа преступников привезла автоматизированную модель банкомата Fujitsu 7020 на аллею Бэклэнд Хилл в Хартфорде (штат Коннектикут). Машина была специально запрограммирована, чтобы принимать кредитные карты (ATM-карты) от клиентов, записывать номера их счетов и личные идентификационные номера (PIN), а затем сообщать неудачливым клиентам, что выдать деньги невозможно. Несколькими днями позже банда скопировала похищенные номера счетов и личные идентификационные номера на поддельные карты ATM и стала получать по ним наличные деньги в центре Манхэттена. В конечном счете преступники были пойманы, когда банк сопоставил использование поддельных карт с ежедневными записями видеонаблюдения.

Это было умное и практичное нападение, технически более высокоорганизованное, чем большинство банковских преступлений. Один технически продвинутый преступник из Нью-Джерси прикреплял поддельный уличный депозитный ящик к стене банка и убирал его ранним утром. Но более интересное произошло в другом месте. Несколько лет назад автоматизированный кассовый аппарат был украден в Южной Африке… из полицейского управления средь бела дня.

Преступники-одиночки совершают большую часть связанных с компьютером преступлений. Иногда, являясь людьми осведомленными, они замечают недостаток в системе и принимают решение использовать его, иногда же они нападают «снаружи». Обычно у них немного денег, отсутствует доступ и недостаточно хорошо организована экспертиза, и они часто попадаются из-за глупых ошибок. Кто-то может быть достаточно сообразительным, чтобы устанавливать поддельные автоматизированные кассовые аппараты, собирать номера счетов и личные идентификационные номера, но если уж он хвастается своим умом в баре и дает арестовать себя прежде, чем вычистит все регистрационные записи… ну, в общем, сложно испытывать к нему симпатию. Посмотрите на два вызывающих нападения на Интернет в начале 2000 года. Кто-то организовал доступ к десяти тысячам номеров кредитных карт с именами и адресами. Лучшее, что он мог выдумать, – это вымогательство. Кто-то другой установил контроль над большим числом компьютеров, готовых подчиниться его указаниям. Но не смог придумать ничего лучше, чем донимать администраторов этих веб-сайтов.

Преступники-одиночки будут нацеливаться на торговые системы, потому что там – деньги. Их методы могут страдать недостатком изящества, но они будут красть деньги, и еще большие деньги понадобятся для их поимки и доказательства вины.

Злонамеренные посвященные лица

Злонамеренный член организации – опасный внутренний враг. Он всегда внутри системы, поэтому, когда он хочет атаковать, его не беспокоят заграждения, приготовленные для незваных гостей. Возможно, он имеет самый высокий уровень доступа и рассматривается системой как заслуживающий доверия, в то время как он ее атакует. Помните русского шпиона Олдриджа Эймса? Он занимал удобнейшую позицию в Центральном разведывательном управлении, чтобы продавать КГБ имена американских разведчиков, находящихся на территории Восточной Европы: его имени доверяли. Подумайте теперь о программисте, который имеет возможность написать код для базы данных платежных ведомостей, дабы обеспечить себе повышение зарплаты каждые шесть месяцев. Или о службе охраны банка, которая сообщает своим дружкам-грабителям предположительное время закрытия кассы. Злонамеренных сотрудников практически невозможно остановить, поскольку они именно те люди, которые пользуются доверием.

Вот канонический пример атаки посвященного лица. В 1978 году Стэнли Марк Рифкин был консультантом в центральном отделении банка. Он использовал свои знания и доступ к системе пересылки денег, чтобы переместить несколько миллионов долларов на счет в швейцарском банке, а затем обратить эти деньги в алмазы. Он также запрограммировал компьютерную систему на автоматическое стирание записанной на пленку резервной копии данных, поскольку в ней содержалось свидетельство его преступления (он ушел бы с этими деньгами, если бы не похвастался своему адвокату, который и рассказал обо всем).

Посвященные лица не всегда нападают на систему, иногда они просто используют ее в преступных целях. В 1991 году служащий Чарльз Шваб из Сан-Франциско использовал электронную почту компании для покупки и продажи кокаина. Некто, осужденный за насилие над детьми, работал в больнице в одном из районов Бостона. Украв пароль сослуживца, он изучал больничные карты пациентов, которым звонил с непристойными предложениями.

Посвященные лица – это необязательно служащие. Они могут быть консультантами и подрядчиками. Во время паники в связи с «проблемой 2000 года» многие компании нанимали программистов из Китая и Индии, чтобы обновить старое программное обеспечение. Оставив ксенофобию в стороне, замечу, что любой из тех программистов мог напасть на системы, будучи посвященным лицом.

Большинство компьютерных мер защиты – аппаратно-программные средства сетевой защиты (брандмауэры), системы обнаружения вторжения и т. д. – имеют дело с внешними нападающими, но в значительной степени бессильны против посвященных лиц. Атака на систему со стороны посвященных лиц менее вероятна, чем со стороны посторонних, но системы гораздо более уязвимы перед ними.

Посвященное лицо в курсе, как системы работают и где их слабые места. Такой человек знает структуру организации и то, как будет вестись любое расследование его действий. Он всегда пользуется доверием системы, которую собирается атаковать. Посвященное лицо может использовать собственные ресурсы системы против нее самой. В убийственных с точки зрения безопасности случаях посвященное лицо имеет высокую квалификацию, и еще хуже, если оно участвовало в проектировании системы.

Мотивация нападений посвященных лиц может быть различна: месть, финансовая выгода, изменение существующих порядков или даже реклама. Вообще говоря, она совпадает с мотивацией хакера, преступника-одиночки или агента национальной разведки. Степень риска, на который готовы идти злонамеренные посвященные лица, зависит от того, движимы они «высокой целью» или простой жадностью.

Конечно, атаки посвященных лиц не новы, и проблема эта возникла не в киберпространстве. Если бы не было системы электронной почты, служащий Чарльз Шваб мог бы использовать телефонную систему, факсимильные аппараты или, может быть, даже бумажную почту.

Промышленный шпионаж

Бизнес – это война. Вернее, это некое подобие войны, в которой есть судьи. Судьи устанавливают правила – что является законным, а что нет – и стараются проводить их в жизнь. Иногда, если в бизнесе задействовано достаточное количество денег и влияния, контролирующие его люди могут подать ходатайство судье и добиться изменения правил. Но обычно они делают ходы только в пределах установленных правил.

Черта, где исследовательские методы перестают быть законными, пролегает там, где заканчивается сбор сведений о конкуренте и начинается промышленный шпионаж. Черта эта устанавливается в соответствии с местными законами, но между последними всегда есть много общего. Вторжение в офис конкурента и кража файлов всегда незаконны (даже для Ричарда Никсона); просмотр их в базе данных новостей всегда законен. Подкуп старших инженеров незаконен; оплата их услуг законна. Платить за то, что они добудут копию исходного кода конкурентов, незаконно. Притвориться, что вы хотите заплатить старшим инженерам конкурентов всего лишь за консультацию… это законно, достаточно тонко и действительно умно.

Промышленный шпионаж имеет четкую мотивацию: получить преимущество в конкурентной борьбе, завладев торговыми секретами конкурентов. Общеизвестный пример: Borland обвинял Symantec в передаче торговых секретов через внедренного в компанию руководителя. В другом случае Cadence Design Systems[14]предъявила иск своему конкуренту – компании Avant! – среди прочего обвинив ее в краже исходного кода. В 1999 году Alibris, продающая книги через Интернет, обвинила Amazon com в просматривании электронной почты корпорации. Компании из Китая, Франции, России, Израиля, Соединенных Штатов, как, впрочем, и отовсюду, воруют секреты технологий у иностранных конкурентов.

Промышленный шпионаж может хорошо финансироваться: аморальная, но разумная компания выделит на промышленный шпионаж достаточно средств, которые с лихвой окупятся. Даже если завладение технологией конкурента обойдется вам в полмиллиона долларов, это может быть только десятой частью расходов на самостоятельное создание такой технологии. (Когда-нибудь задайтесь вопросом, почему возвращаемый на Землю космический корабль русских так похож на все американские корабли серии «Шаттл»?) Противник такого типа не готов рисковать по-крупному, потому что репутации компании (неосязаемый, но ценный элемент) будет нанесен значительный урон, если конкуренты уличат ее в шпионаже, – он действует украдкой.

Пресса

Пресса напоминает промышленного шпиона, но действующего с иными побуждениями. Прессу не интересует победа в конкурентной борьбе, ее интересует «заслуживающая освещения в печати» история. Это могут быть вашингтонская City Pages, публикующая видеозаписи судьи Борка (что привело к появлению закона о защите видеоданных от 1988 года), британские бульварные газеты, выносящие на всеобщее обозрение частные телефонные разговоры принца Чарльза с Камиллой Паркер Боулз, или газеты, делающие разоблачения какой-то компании или какой-либо правительственной акции.

Поднять тираж газеты помогают публикации изображения кандидата в президенты, например Гарри Харта, с чужой женой на коленях. Даже не слишком компрометирующие фотографии принцессы Дианы стоили более полумиллиона долларов. Некоторые репортеры утверждают, что они не стали бы думать дважды, предавать ли гласности секреты национальной безопасности, так как, по их мнению, право публики знать правду важнее.

Во многих странах свобода прессы воспринимается как преступление. В таких странах пресса обычно плохо финансируется и вообще больше напоминает жертву, нежели агрессора. Журналисты, обладающие достаточной смелостью, чтобы выступать против правительства, попадают в тюрьмы, их пытают и даже убивают. Это – не тот случай, когда можно говорить о прессе, как о нападающей стороне.

В промышленно развитых странах с разумными свободами пресса может выделить достаточные средства для нападения на отдельную систему или цель. Она может хорошо финансировать, может нанимать экспертов и получать доступ к информации. И если журналисты полагают, что их дело правое, они могут рисковать. (Конечно, журналисты, которые устроили Уотергейтский скандал, попадают в эту категорию.) Журналисты в Соединенных Штатах и других странах оказывались в тюрьме, защищая то, что им представлялось правильным. Некоторые даже умерли ради этого.

Организованная преступность

Организованная преступность – это гораздо большее, нежели итальянские мафиозные «семьи» из фильмов Фрэнсиса Форда Копполы. Это – глобальный бизнес. Русские преступные синдикаты действуют как в России, так и в Соединенных Штатах. Азиатские преступные синдикаты действуют как дома, так и за границей. Колумбийские наркокартели также интернациональны. Нигерийские и другие западноафриканские синдикаты захватили 70% чикагского героинового рынка. Польские гангстеры занимаются угоном дорогих машин в Соединенных Штатах и на кораблях переправляют их в Польшу. Конечно, случаются войны между соперничающими группировками, но хорошо развито и международное сотрудничество.

Объекты бизнеса организованной преступности не изменились за многие столетия: наркотики, проституция, ростовщичество, вымогательство, мошенничество, азартные игры. Использование современной технологии идет двумя путями. Во-первых, это – принципиально новая сфера криминальной деятельности: преступники применяют средства взлома, чтобы ворваться в компьютеры банка и украсть деньги; перехватывают идентификационные коды сотовых телефонов и перепродают их; они занимаются компьютерным мошенничеством. А во-вторых, это – присвоение личности, развивающаяся область; здесь лидируют китайские банды. Конечно, электронное воровство более выгодно: один крупный чикагский банк в 1996 году потерял 60 тысяч долларов из-за грабителей и 60 миллионов долларов из-за мошенничества с чеками.

Воровские шайки используют компьютеры и в своем основном бизнесе. Легко организовать незаконные азартные игры: сотовый телефон позволяет букмекерам работать повсюду, а быстродействующие компьютеры могут стереть все следы в считанные секунды. И отмывание денег становится все более и более тесно связано с компьютерами и электронными платежами: перемещение денег с одного счета через другой на третий, изменение реквизитов, маскировка происхождения денег – перемещение их через страны почти не оставляет следов.

В отношении к риску организованная преступность – это то, что получается при объединении преступников-одиночек в организацию, обладающую большими деньгами. Эти парни знают, что для того, чтобы сделать деньги, нужно их немного потратить, и вкладывают капитал в сулящее прибыль нападение на финансовую систему. У них минимальная квалификация, но они могут купить ее. У них минимальный доступ, но они могут купить и его. Они готовы пойти на больший риск, нежели преступники-одиночки; иерархия преступного синдиката часто вынуждает тех, кто стоит ниже, брать на себя самый большой риск, и защита, предоставляемая синдикатом, делает этот риск более терпимым.

Полиция

В интересующем нас аспекте полицию можно рассматривать как разновидность национальных разведывательных организаций, за исключением того, что она хуже финансируется, хуже оснащена технически и сосредоточена на борьбе с преступлениями. Тем не менее надо понимать, что от того, насколько благополучна страна, проводятся ли в ней демократические выборы, «борьба с преступностью» может включать в себя целый ряд вещей, обычно не связанных с установлением правопорядка. Возможно, полиция подобна прессе, но имеет лучшее финансирование и читателей, которых интересуют только истинные истории преступления. Или можно думать о полиции как о промышленном конкуренте организованной преступности.

В любом случае полиция обладает достаточными финансированием и квалификацией. Она, в общем, не склонна к риску – никакой полицейский не хочет умереть за свои убеждения, – но так как законы на ее стороне, то вещи, которые являются рискованными для некоторых других групп, могут быть менее опасны для полиции. (Наличие ордера, например, превращает подслушивание из опасного нападения в допустимый инструмент сбора улик.) Первичная цель полиции – сбор информации, которая может быть использована в суде.

Но полиция не должна нарушать закон. Фундаментальное предположение заключается в том, что мы доверяем государству защиту нашей частной жизни и надеемся только на мудрое использование власти. В то же время истина в том, что по большей части злоупотребления регулярны и бывают значительными. Поток незаконных прослушиваний ФБР во Флориде и их утаивание получили некоторое освещение в прессе в 1992 году; было еще 150 или около того незаконных прослушиваний Лос-Анджелесским полицейским управлением. (Конечно, не обошлось без наркотиков: один человек сказал, что война против наркотиков, кажется, является основным паролем к американской Конституции.) Джон Эдгар Гувер регулярно использовал незаконное прослушивание для сбора сведений о своих врагах. А 25 лет назад действующий президент использовал незаконные подслушивания в попытке остаться у власти.

Дела, кажется, изменяются к лучшему со времен Гувера и Никсона, и у меня есть много причин надеяться, что возврата к старому не будет. Но риск остается. Технология развивается медленно, а намерения меняются быстро. Даже если сегодня у нас есть уверенность, что полиция будет придерживаться законодательства, вести подслушивание, только когда необходимо, получать все необходимые ордера и вообще вести себя, как положено государственной службе, – мы ничего не знаем о завтрашнем дне. Кризис, подобный тому, который привел к преследованию подозреваемых коммунистов в эпоху Маккарти, может снова наступить. Данные переписи в соответствии с законом не предназначены для использования в любых других целях. Даже в том случае, когда они использовались американцами для обнаружения японцев, проживающих в Америке, и помещения их в концентрационные лагеря во время Второй мировой войны. Организация с устрашающим названием «Комиссия суверенитета Миссисипи» шпионила за тысячами активистов движения за гражданские права в 1960-е годы.

ФБР использовало незаконное прослушивание, чтобы шпионить за Мартином Лютером Кингом-младшим. Национальная инфраструктура «открытого ключа» может предшествовать национальной регистрации шифрования. Как только появится новая технология, всегда будет искушение использовать ее. И едва ли гражданская активность создаст механизм удержания полиции в предписанных ее статусом рамках.

Террористы

Эта категория охватывает широкий диапазон идеологических групп и индивидуумов – как внутренних, так и международных. Здесь нет места для рассуждений на тему морали: террорист – это истребитель свободы других людей. Террористические группы обычно мотивируют свои действия геополитикой или (что еще хуже) этнорелигией – «Хезболлах», «Красные бригады», «Светлый путь», «Тигры Тамила и Ламы», IRA, ETA, FLNC, PKK, UCK, – но они могут быть движимы и моральными или этическими убеждениями, вроде таких, как Earth First и группы радикалов, ратующих за запрещение абортов.

Эти группы вообще больше сосредоточены на причинении вреда, чем на сборе информации, так что их действия по большей части приводят к дестабилизации и полному разрушению. В то время как их долгосрочные цели – обычно нечто невразумительное, вроде восстановления материка Гондвана или возвращения всех коров в дикое состояние, их ближайшие цели – это месть, хаос и кровавая реклама. Хотя больше всего им нравятся бомбы, они не брезгуют и похищениями людей. Когда с неба падает самолет или оказывается разнесенной в пыль клиника по прерыванию беременности, возникает большой международный ажиотаж. Но в конечном счете эти парни поймут, что гораздо большего результата можно достичь, если научиться заставлять диспетчеров аэропорта О'Хара направлять самолеты друг на друга. Или что если они смогут взломать систему бронирования авиабилетов, чтобы выяснить, каким рейсом вылетит на юг Франции делегация Конгресса этим летом, то их террор будет намного эффективней.

Настоящих террористов на самом деле очень немного. Их нападения весьма напоминают военные действия, и они, вероятно, должны попадать в категорию «информационный воин». А так как террористы вообще считают себя лично вовлеченными в состояние войны, они готовы идти на самый большой риск.

Если нет богатого идеалиста, финансирующего их действия, большинство террористов работают на мизерном бюджете. Большая часть из них обладают низкой квалификацией: «Вам туда. Несите эту сумку. Идите по середине этого оживленного рынка. Нажмите на эту кнопку. Увидимся в чудесной загробной жизни». Имеются исключения (некоторые организации изначально хорошо продуманы, хорошо обучены и имеют хорошую поддержку – например, предполагают, что продажа в Ирландии поддельных телевизионных дешифраторов помогла финансировать IRA), но большинство групп не имеют хорошей организации или доступа. И им присуща тенденция к глупым ошибкам.

Национальные разведывательные организации

Это – большие мальчики: ЦРУ, Агентство национальной безопасности и Разведывательное управление Министерства обороны США – в Соединенных Штатах (есть и множество других); КГБ (ныне ФАПСИ для контрразведки и ФСБ для иностранной разведки) и ГРУ (военная разведка) – в России; MI5 (контрразведка), MI6 (аналогично ЦРУ) и GCHQ (аналогично Агентству национальной безопасности) – в Великобритании; DGSE – во Франции; BND – в Германии; Министерство национальной безопасности – в Китае (также называемое «Техническим отделом»); Моссад – в Израиле; CSE – в Канаде. Для большинства других противников все это игра: взломать веб-сайт, получить некоторые коммерческие секреты, украсть кое-какие деньги, устроить небольшой погром – все равно что. Для этих парней, однако, это – работа.

Главная национальная разведывательная организация – это наиболее грозный из окружающих противников. Она чрезвычайно хорошо финансируется, так как обычно считается военным подразделением. (Хотя точная сумма является тайной, объединенные бюджеты ЦРУ, Спецслужбы безопасности, Агентства национальной безопасности, Национальной разведывательной службы и других федеральных разведывательных агентств по оценке печати со ссылкой на «источники в Конгрессе» в 1997 году составляли 33,5 миллиарда долларов.) Это преданный делу и искусный противник с финансированием, достаточным, чтобы оплатить целый комплекс исследований, оборудование, экспертизы и обзавестись опытной и квалифицированной рабочей силой.

С другой стороны, главная национальная разведывательная организация обычно совершенно не склонна к риску. Национальные разведывательные организации не любят видеть свои названия на титульном листе «Нью-Йорк Таймс» и вообще не вовлекаются в опасную деятельность (исключения, конечно, существуют: это то, о чем вы все же читаете на титульном листе «Нью-Йорк Таймс»).

Выставление операций на всеобщее обозрение создает несколько проблем. Первая состоит в огласке. Национальная разведка занимается сбором информации, которую страна знать не должна. Это подслушивание позиций сторон на переговорах, сбор сведений о новой системе вооружения, достижение превосходства в осведомленности над противником. Если противник узнает, что известно разведывательной организации, часть выгоды от этого знания будет потеряна.

Второе и, вероятно, более важное: раскрытые операции разоблачают методы, возможности и источники. Много лет АНБ отслеживало по советским автомобильным телефонам, как Политбюро разъезжало по Москве. Кто-то пропустил информацию о здоровье Хрущева в газеты, и внезапно автомобильные телефоны были зашифрованы. В газетах не писалось что-либо об автомобильных телефонах, но КГБ не был настолько глупым. Утечка информации здесь была не в том, что мы узнали о здоровье Хрущева, но в том, что мы прослушивали их переговоры. То же самое случилось после того, как террористы взорвали берлинскую дискотеку в 1986 году. Рейган объявил, что мы располагаем доказательством причастности к этому Ливии – тем самым он разгласил, что у нас была возможность прослушивать переговоры их посольства с Триполи. В течение Второй мировой войны союзники не могли использовать многие сведения, полученные из расшифровки немецкой системы «Энигма» из опасения, что немцы изменят коды.

Разведывательные цели включают множество вещей, о которых вы знаете: это военная информация, проектировка оружия, дипломатическая информация – и многое другое, о чем вы даже не догадываетесь. Телефонная система – это золотая жила разведки; то же самое относится и к Интернету. Несколько национальных разведывательных организаций активно занимаются промышленным шпионажем (по подсчетам ФБР, до 20 из них шпионят за американскими компаниями) и передают информацию конкурирующим компаниям в своих странах. Китай является самым большим правонарушителем в мире, Франция и Япония тоже хороши, но есть и другие.

Соединенные Штаты не исключение. В 1999 году Европейское сообщество (EU) обнародовало несколько примеров:

• В 1994 году правительство Бразилии предоставило контракт на 1,4 миллиарда долларов корпорации Raytheon в обход предложений двух французских компаний. По общему мнению, Raytheon изменил цену своего предложения, когда узнал детали французских предложений.

• В 1994 году корпорация Douglas McDonell выиграла контракт на строительство самолетов для Саудовской Аравии; возможно, этот выигрыш был основан на внутренней информации, пришедшей от американской разведки.

Прежний директор ЦРУ Р. Джеймс Вусли признал факт использования информации, полученной системой ECHELON об иностранных компаниях, прибегающих к взяткам для заключения международных контрактов: чтобы «выровнять шансы на игровом поле», информация передавалась в американские компании, а иностранные правительства подвергались давлению с целью пресечь взятки. Хотя это и не доказано. Конечно, любая компания, которая теряет предложение, готова найти причины своей неудачи в чем угодно, и ни одна из жертв не скажет чего-либо публично. Однако сама возможность получения информации таким образом вызывает беспокойство.

И этот вид воровства в киберпространстве становится все распространеннее. ECHELON – не единственная программа, которая использует Интернет как поле деятельности. Сингапур и Китай прослушивают поток информации, проходящий по сети Интернет через эти страны. (Китай использует свою национальную сетевую защиту, которая называется Великой стеной.) Интернет-провайдеры в России помогают преемникам КГБ читать частные электронные сообщения и прочую информацию в Интернете, что является частью внутренней программы шпионажа, называемой СОРМ-2.

Национальным разведывательным организациям не чуждо использование хакерского инструментария или даже самих хакеров для выполнения своей работы. У израильского и японского правительств есть программы для привлечения хакеров своих стран – прикармливая их, привлечь к работе по сбору данных. Другие правительства провоцируют хакеров, насмехаясь над ними, с тем чтобы заставить их работать бесплатно. «Если вы настолько хороши, у вас будет пароль к этому правительственному компьютеру» – такие слова сильно действуют на чувство собственного достоинства талантливого подростка. Книга «Яйцо кукушки» Клиффорда Столла повествует об эксплуатации трех хакеров, которые работали на КГБ за деньги и кокаин.

Методы агентств национальной безопасности изменчивы и, с учетом возможностей целой нации, могут быть очень эффективны. Компании, обеспечивавшие безопасность британских коммуникаций, долгое время страдали от слухов о наличии неких дефектов в их программах кодирования – все это по просьбе британской разведки. В 1997 году директор ЦРУ Джордж Тенет упомянул (мимоходом, без деталей) об использовании хакерских инструментов и методов для пресечения международных переводов денег и других финансовых операций арабских бизнесменов, поддерживающих террористов. Возможности бесконечны.

Информационные войны

Да, это слухи. Но это также и реальность. Инфовоин – это военизированный противник, который старается подорвать способность своей мишени вести войну, атакуя информационную или сетевую инфраструктуру. Атаки этого рода варьируются от неуловимого изменения систем так, чтобы они не работали (или не работали корректно), до полного их разрушения. Нападения могут быть скрытыми, в этом случае они имеют сходство с нападениями террористов (хотя хорошего инфовоина огласка заботит в меньшей степени, чем результаты). Нападения, совершаемые через Интернет, могут иметь иностранное происхождение, и их обнаружение и наказание за них становятся намного более сложным делом.

Этот противник имеет те же ресурсы, что и национальная разведывательная организация, но с различиями в двух важных аспектах. Во-первых, он сосредоточен почти исключительно на краткосрочной цели – пресечении способности своей мишени вести войну. И во-вторых, он готов пойти на риск, который неприемлем для долгосрочных интересов разведки. Его задачи – военное преимущество и, что еще важнее, хаос. Мишенями, которые могут интересовать инфовоина, являются армия и средства управления, телесвязь, тыл и снабжение, а также инфраструктура (читайте «коммерческие информационные системы») и транспортные маршруты (читайте «коммерческая авиация»). Эти виды мишеней называются критической инфраструктурой.

В 1999 году НАТО нанесло удар по электростанциям Белграда; это имело далеко идущие последствия для его компьютерных ресурсов. В качестве возмездия сербские хакеры атаковали сотни американских и натовских сайтов. Китайские хакеры вывели из строя компьютеры в Министерстве внутренних дел, Министерстве энергетики и в американском посольстве в Пекине в качестве мести за случайную бомбежку их посольства в Белграде. Китай и Тайвань участвовали в небольшой кибервойне на протяжении почти всего 1999 года, нападая на компьютеры друг друга с использованием Интернета (хотя это, вероятно, не планировалось правительствами ни одной из сторон).

В прошлом военные и гражданские системы были отдельными и несхожими: различная аппаратура, различные протоколы связи – все различное. За последнее десятилетие все изменилось; прогресс в технологии произошел слишком быстро для традиционного у военных многолетнего цикла перестройки. Все чаще и чаще коммерческие компьютерные системы используются военными. Это означает, что все нападения, которые проводятся против коммерческих компьютеров, могут проводиться и против военных – те и другие имеют одни и те же уязвимые стороны. И обе стороны конфликта могут использовать одинаковое оборудование и протоколы: TCP/IP, операционные системы Windows, спутниковые приемники GPS. Внешние сети командования американскими Стратегическими воздушными силами (SAC) недавно были переведены на Windows NT.

Военные боролись с инфраструктурой противника с тех пор, как начали воевать. Средневековые рыцари убивали крепостных, наполеоновские армии жгли посевы, бомбардировщики союзников целенаправленно бомбили немецкие фабрики в течение Второй мировой войны. Сегодня информация – это инфраструктура. В ходе операции «Буря в пустыне» американцы систематически подрывали иракскую инфраструктуру командования и управления. Системы связи были заглушены, кабели индивидуальной связи являлись целью бомбежек. Без командования и управления наземные отряды были почти бесполезны. Ажиотаж в средствах массовой информации вокруг информационной войны смущает, но военные говорят об этом серьезно. Вот цитата из китайской армейской газеты «Жефанг-жунбао» – резюме речей, произнесенных в мае 1996 года:

«После войны в Заливе, когда все ожидали вечного мира, возникла новая революция в военном деле. Эта революция, по существу, есть переход от механизированной войны в индустриальную эпоху к информационной войне в информационную эпоху. Информационная война – это война решений и контроля, война знаний и война интеллектов. Цель информационной войны постепенно изменится от „сохранения себя и уничтожения врага" к „сохранению себя и управлению противником". Информационная война включает радиоэлектронную войну, тактический обман, стратегическое сдерживание путем устрашения, противостояние пропаганды, психологическую войну, войну в сетях и структурный саботаж. В сегодняшних технологических условиях всепобеждающий принцип, сформулированный Сан Цзу больше двух тысячелетий назад, – „победить врага без борьбы" и подчинить врага „мягким ударом" – может наконец быть понят правильно».

Война – это не обязательно глобальный конфликт, подобно Второй мировой войне или противостоянию Соединенных Штатов и СССР, которое могло привести к концу света. Более вероятно, что это – «тлеющий конфликт»: «Буря в пустыне», аргентинское вторжение на Фолклендские острова, гражданская война в Руанде. В «Трансформации войны» Мартин ван Кревелд указывает, что так называемые тлеющие конфликты стали после Второй мировой войны доминирующей формой столкновений, уничтожившей более 20 миллионов людей во всем мире. Это изменение – результат двух главных тенденций. Первая состоит в том, что небольшим группам стало гораздо легче прибрать к рукам оружие массового поражения: химическое оружие, биологическое оружие, ракеты дальнего радиуса действия и т. д. Вторая заключается в том, что все больше межнациональных группировок стали способны вести войну. Фактически различие между государствами и межнациональными группировками размыто. Организованные преступные группы в таких странах, как Мексика, Колумбия и Россия, объединяются с правительством на различных уровнях. Не все инфовоины работают в интересах главных индустриально развитых стран. Все больше и больше они работают для второстепенных политических сил.

Глава 5 Потребность в секретности

В каких же видах секретности мы нуждаемся? Прежде чем обсудить (а может быть, и отвергнуть) специфические контрмеры против нападений, уже названных нами, остановимся и поговорим о том, что же нам нужно. Какая степень секретности необходима в сегодняшнем компьютеризированном, интернациональном, взаимосвязанном и взаимозависимом мире?

Секретность

Обыватели имеют общее представление о секретности. Когда же за нее просят платить, они не хотят этого делать. Предприниматели также имеют общее представление о секретности. Они нуждаются в ней, отлично понимая, что в случае ее отсутствия все их грязное белье будут полоскать газеты, – и они даже готовы платить за нее: за замки, сигнализацию, брандмауэры и корпоративные службы безопасности. Но когда обстоятельства подгоняют и работа должна быть быстро завершена, секретность оказывается первой вещью, которой пренебрегают. Правительства чувствуют себя комфортно только в условиях секретности: они понимают важность того обстоятельства, что их военные тайны могут попасть в руки врагов. Они нуждаются в ней и готовы заплатить за нее дорого. И они несут бремя секретности. Они готовы поступиться деталями, но сохранить основную идею.

Почти никто не понимает точно, как важна секретность в его жизни. Верховный суд утверждает, что это право, гарантируемое в соответствии с Конституцией. Демократия построена на понятии секретности: без этого вы не можете быть уверены в секретности избирательного бюллетеня. Предприниматели не могут работать, не имея никакого понятия о секретности; многочисленные работники компании должны владеть приватной информацией, которую люди вне компании иметь не должны. Люди хотят иметь гарантию секретности своих бесед и бумаг.

В Соединенных Штатах частные лица не имеют монопольного права собственности на любую информацию о себе. Списки клиентов принадлежат бизнесменам, которые их собирают. Личные записи в базе данных принадлежат владельцу базы данных. Только в редких случаях отдельным личностям обеспечены какие-либо права или защита от сбора частной информации.

Большинство стран имеют законы, защищающие частную жизнь. В Европейском Союзе, например, действует Закон от 1998 года о защите данных (Data Protection Act). Организации, которые собирают персональные данные, должны зарегистрироваться в правительстве и обеспечить меры против злоупотребления ими. Они не имеют права собирать, использовать и распространять сведения частного характера без согласия того, к кому они относятся.

Организации также должны сообщать частным лицам о причинах сбора информации, обеспечивать доступ к ней, исправлять неточности и охранять эту информацию от доступа неправомочных сторон. Люди имеют право видеть собранные о них персональные данные и исправлять в них погрешности. Они также имеют право знать, для чего собираются эти сведения, и убеждаться, что информация не будет продана для других целей. И они также имеют право «уклоняться» от любого сбора сведений, когда они этого не хотят. Сборщики данных должны отвечать за защиту индивидуальных данных в разумно высокой степени и не делиться данными с тем, кто нетвердо придерживается этих правил.

Последний пункт стал причиной осложнений между ЕС и Соединенными Штатами, так как Соединенные Штаты не ведут никакого контроля за сбором персональных данных и позволяют компаниям покупать и продавать последние по желанию. Соединенные Штаты и ЕС в порядке эксперимента приняли соглашение относительно условий секретности для американских компаний, что должно было обеспечить «адекватный» уровень секретности к июлю 2001 года. Некоторые члены Конгресса несколько раз пробовали изменить законодательство о секретности, но под давлением промышленников эти попытки были блокированы. Группа лоббирования NetCoalition com, которая включает в себя AOL, Amazon com, Yahoo! eBay и DoubleClick, верит в саморегулирование, которое является эквивалентом отсутствия секретности. К сожалению, большая часть деловых людей считают, что секретность плоха для бизнеса и что нарушение права на защиту частной информации – иногда единственный путь заработать деньги.

О деловой секретности. Предприниматели вообще не нуждаются в долгосрочной секретности. (Торговые секреты – формула кока-колы, например, – являются исключениями.) Клиентские базы данных должны оставаться конфиденциальными в течение многих лет. Данные развития производства – только несколько лет, а в бизнесе, связанном с компьютерами, намного меньше этого. Информация об общем финансовом здоровье, деловых переговорах и тактических маневрах – от недель до месяцев. Маркетинг и планы производства, стратегии, долгосрочные переговоры – от месяцев до нескольких лет. Подробная финансовая информация, возможно, нуждается в секретности в течение нескольких лет, но, вероятно, не больше. Даже общие пятилетние планы после девяти месяцев устаревают. Мы живем в мире, где информация распространяется быстро. Деловые тайны прошлой недели к этой неделе вытеснились новыми. А деловые тайны этой недели – это заголовки Wall Street Journal следующей недели.

Правительства также нуждаются в краткосрочной секретности. Интересы любой страны вынуждают ее следить за интересами других государств, и правительства заинтересованы в сохранении определенной информации в тайне от других государств. К несчастью, страны намного больше, чем компании. Невозможно сообщить каждому гражданину США секретную информацию так, чтобы при этом не произошла ее утечка к китайскому правительству. Таким образом, если Соединенные Штаты хотят сохранить секрет от китайцев, они должны также тщательно охранять его от большинства американцев.

Эти секреты обычно по своей природе – военные: стратегии и тактики, возможности оружия, разработки и обеспечение, мощь войск и их передвижение, научные исследования и разработки. Военные секреты часто перерастают в государственные: позиции на переговорах о соглашениях и т. п. Часто они пересекаются с корпоративными секретами: военными контрактами, положением на торгах, импортными и экспортными сделками и т. д.

Исключения для краткосрочной секретности связаны с затруднениями: личными, политическими или деловыми. Правительства не хотят, чтобы информация об их политических трудностях просочилась в прессу. (Вспомните Уотергейт. Вспомните мятеж в Иране. Вспомните любой политический скандал, раскрытый средствами массовой информации.) Люди не хотят обнародования своего личного прошлого. (Вспомните Билла Клинтона. Вспомните Боба Ливингстона, конгрессмена и спикера, который ушел в отставку в 1999 году после того, как было обнародовано дело двадцатилетней давности. Вспомните Артура Аша, чье заболевание СПИДом было обнаружено прессой.) Приблизительно через два десятилетия у нас будут выборы, в которых кандидаты окажутся перед необходимостью объяснять послания по электронной почте, которые они написали, когда были подростками.

Немногие случаи, которые требуют очень продолжительной секретности – из тех, что я знаю, – связаны с правительством. Американские данные переписи – имеются в виду оригиналы, а не что-либо, подвергшееся обработке, – должны остаться тайной в течение 72 лет. Мандаты ЦРУ, которые идентичны шпионским, остаются секретными, пока не переживут и шпиона, и его детей. Канадские данные переписи остаются секретными навсегда.

Многоуровневая секретность

Военные обладают большим количеством информации, которая должна храниться в тайне; разные части этой информации имеют различную степень секретности. Местоположение морских судов может быть интересно врагу, но коды запуска ракет на этих судах намного важнее. Количество шинелей в поставках крайне интересно, но количество винтовок более важно.

Имея дело с подобными вещами, военные заинтересованы в многоуровневой классификации секретности. У военных США данные могут являться несекретными, конфиденциальными, секретными и совершенно секретными. Правила устанавливают, какие данные к какому уровню классификации относятся, и обусловливают различные правила хранения, распространения и т. д. Например, требуются сейфы различной прочности для хранения данных разного уровня секретности. Данные высшей степени секретности могут храниться только в надежно охраняемом, лишенном окон помещении без фотокопировальных устройств; за них должны расписываться.

Люди, работающие с этими данными, должны проходить проверки, соответствующие информации самой высокой степени секретности из всех, с которыми они работают. Кто-нибудь с секретным допуском, например, может видеть информацию и несекретную, и конфиденциальную, и секретную. Кто-то с допуском к конфиденциальной работе может видеть только несекретные и конфиденциальные данные. (Конечно, допуск не является гарантией доверия. Глава российского отдела контрразведки ЦРУ Олдридж Эймс имел высший допуск секретности, но при этом он был российским шпионом.)

Данные на высшем уровне секретности иногда подразделяются по темам или по разделам, имеющим к ним отношение. На эти документы ставится гриф «TS/SCI» (высшая секретность/специальный раздел сведений). Каждый раздел имеет ключевое слово. TALENT и KETHOLE, например, являются ключевыми словами, связанными со спутниками-шпионами КН-11. SILVER, RUFF, TEAPOT, UMBRA и ZARF – с другими. (UMBRA применяется к информации о коммуникациях, RUFF соотносится с изображениями.)

Разделы – это важные барьеры доступа: кто-нибудь, имеющий доступ высшей степени секретности с дополнительным доступом KEYHOLE (иногда называемым «билетом»), не уполномочен видеть данные высшей степени секретности COBRA.

Дробление на разделы формально отражает понятие «потребности знать». Наличие у кого-либо некоторого уровня доступа не означает, что он автоматически получает возможность видеть все данные на этом уровне доступа. Он может получать для просмотра только те данные, которые должен знать, чтобы выполнять свою работу. Имеются и другие обозначения, которые уточняют классификацию: NOFORN – «Не для иностранных подданных», WNINTEL – «Внимание: источники и методы разведки», LIMDIS – «Ограниченное распространение».

В других странах также существуют подобные правила. В Великобритании один дополнительный уровень классификации – ограниченный, который находится между несекретным и конфиденциальным. Соединенные Штаты имеют нечто подобное, называемое FOUO (For Official Use Only) – только для служебного пользования – что означает «несекретно, но не подлежит сообщению посторонним лицам».

Здесь существенны два момента. Во-первых, все это намного легче осуществить на бумаге, чем на компьютере. В главе 8 говорится о некоторых из многоуровневых систем секретности, которые были построены и использовались, но ни одна из них никогда не работала в крупном масштабе. Во-вторых, эти системы в значительной степени не соответствуют враждебному внешнему окружению. В них не признаются ни корпоративные тайны, ни личные секреты. Секретность в реальном мире не вписывается в узкие иерархические рамки.

Анонимность

Нуждаемся ли мы в анонимности? Хорошая ли это штука? В Интернете горячо обсуждалась целая концепция анонимности, взвешивались самые разные мнения людей по этому спорному вопросу.

Любой, кто работает на кризисной телефонной линии – будь то звонки о самоубийстве или насилии – знает силу анонимности. Тысячи людей в Интернете обсуждают свою личную жизнь в конференциях для оставшихся в живых жертв злоупотребления наркотиками, больных СПИДом и т. д.; они желают делать это только через анонимную пересылку. Это – социальная анонимность и она жизненно важна для здоровья мира, потому что позволяет людям обсуждать такие вещи, говоря о которых нет желания указывать свое имя. Например, послания по почте некоторых людей в alt religion scientolgy[15] сделаны анонимно, иначе они не стали бы писать.

Политическая анонимность также важна. Не бывает и не может быть того, чтобы все политические выступления были подписаны. Так же как кто-то может совершить массовую политическую рассылку по почте без обратного адреса, может сделать то же самое через Интернет. Это играет важную роль в некоторых случаях: в 1999 году онлайновая анонимность позволила сербам, представителям Косово и другим прекратить Балканскую войну; они посылали новости о происходящем конфликте в остальные части света без непосредственного риска для жизни из-за раскрытия своей личности.

С другой стороны, люди используют анонимность Интернета, чтобы рассылать угрожающие сообщения по электронной почте, печатать речи, полные ненависти и оскорблений, распространять компьютерные вирусы и иным способом досаждать нормальным гражданам киберпространства.

Есть два различных вида анонимности. Первый – полная анонимность: письмо без обратного адреса, сообщение в бутылке, обращение по телефону без автоответчика или телефонной идентификации. О человеке, создающем полностью анонимный контакт, никто не может выяснять, кем он является, и если, что еще более важно, этот человек еще раз вступает в контакт, контактирующий не знает, что он имеет дело с тем же самым человеком.

Второй тип анонимности связан с использованием псевдонима. Подумайте о счете в швейцарском банке (хотя это фактически прекращено в 1990 году), о почтовом ящике, арендованном за наличные под вымышленным именем (хотя это больше невозможно в Соединенных Штатах без поддельного удостоверения), о встречах анонимных алкоголиков, где вы известны только как Боб. Эта анонимность заключается в том, что никто не знает, кто вы, но есть возможность идентифицировать вас по этому псевдониму. Это то, что нужно швейцарским банкам: их не заботит, кто вы, – только то, что вы являетесь тем же самым человеком, который внес деньги на прошлой неделе. Торговец не должен знать ваше имя, но должен знать, что вы законно купили товар, который теперь пытаетесь возвратить.

Оба типа анонимности сложно осуществить в киберпространстве, потому что многое в его структуре требует установления личности. Новые микропроцессоры класса Intel Pentium III имеют уникальные серийные номера, которые могут быть отождествлены так же, как и сетевые карты в компьютерах локальных вычислительных сетей. Документы Microsoft Office автоматически сохраняют информацию, указывающую на автора. Веб-серверы прослеживают людей в Сети; даже по анонимным обращениям по электронной почте теоретически можно вычислить реального человека, если отследить IP-адрес. Много недостатков было найдено в различных программах, которые обещали анонимную работу. Поверхностная анонимность проста, но истинная анонимность, вероятно, в сегодняшнем Интернете невозможна.

Коммерческая анонимность

Понятие псевдонима приносит нам приятную анонимность в финансовых сделках. Но с другой стороны, ее же используют и недобросовестные продавцы, не несущие за товар никакой ответственности: это – ничей бизнес, не принадлежащий ни правительству, ни оптовым, ни мелким торговцам, – что бы люди не покупали, будь то порнофильмы или сюрпризы к дню рождения. К сожалению, существует еще и большая группа негласных сторонников финансовой анонимности: торговцы наркотиками и другие темные элементы. Можно ли примирить две эти стороны?

Очевидно, можно, потому что существуют наличные деньги. Реально вопрос состоит в том, хотим ли мы когда-нибудь получить электронную версию наличных денег. Я не верю, что хотим, может быть, исключая лишь небольшие сделки.

Анонимность дорого стоит, потому что с ней связаны дополнительные риски. (Правительственное регулирование также влияет на это.) Банки не глупы, они предпочитают менее опасную систему. И анонимная система обходится дороже, чем система, основанная на учетных записях и отношениях. Банки могут вложить дополнительные затраты в систему, но клиенты не желают за это платить. Если вы – торговец, то проведите эксперимент. Поднимите цены в своем магазине со словами: «Пять процентов скидки, если вы дадите нам свое имя и адрес и позволите проследить ваши привычки в покупках». Посмотрите, сколько клиентов предпочитает анонимность. Люди скажут, что они не хотят попасть в мегабазы данных, прослеживающие каждую их денежную трату, но желают получить такую симпатичную карту постоянного клиента, которая предоставляет все возможности выиграть бесплатное путешествие на Гавайи (одно на тысячу карт). Если Макдоналдс предлагает три бесплатных Биг-Мака за образец дезоксирибонуклеиновой кислоты, то значит, что на это есть причина.

С другой стороны, поднимите цену, сказав: «Пять процентов скидки, если вы сообщите нам название и адрес школы вашего ребенка», и вы, вероятно, увидите другую реакцию. Есть некоторые вещи, которые большинство людей хотят сохранить в секрете, и есть люди, которые хотят держать в секрете большинство вещей. Всегда будет существовать стиль швейцарского банка – анонимной платежной системы для богатых, которые готовы нести расходы за сохранение секретности. Но средний потребитель далек от богатых. Среди средних потребителей есть некоторые исключения, но вообще-то они не заботятся об анонимности. А у банков нет никакой причины предоставлять им ее, особенно если правительство не заставляет их этого делать.

Медицинская анонимность

А еще существуют медицинские базы данных. С одной стороны, медицинские данные только полезны, если использовать их по назначению. Доктора должны знать историю болезни своих пациентов, а общие медицинские данные нужны для всех видов исследований. С другой стороны, медицинская информация рассказывает о пациенте без прикрас: генетическая предрасположенность к болезням, аборты и репродуктивное здоровье, эмоциональное и психическое здоровье, злоупотребление наркотиками, сексуальные реакции, болезни, переданные половым путем, ВИЧ-статус, физические отклонения. Люди имеют право хранить медицинские данные о себе в секрете. После того как личная медицинская информация обнародована, людей могут беспокоить, угрожать им и даже обстреливать.

Эту информацию получить нетрудно. Медицинские записи о Николь Браун Симпсон были опубликованы через неделю после ее убийства в 1994 году. А в 1995–м Лондонская Sunday Times сообщила, что цена каждой медицинской записи в Англии составляет 200 фунтов стерлингов. И если так обстоят дела в богатых странах, то вы только вообразите, какие злоупотребления могут стать возможными в странах типа Индии и Мексики, где сумма в 10 долларов способна соблазнить даже наиболее добродетельного государственного служащего.

Компьютеризированные данные пациентов плохи с точки зрения секретности. Но они хороши для всего остального, так что их сбор неизбежен. В Законе о мобильном и общедоступном страховании здоровья (HIPAA) теперь есть стандарты для компьютеризированных медицинских записей. Они делают информацию легко доступной там, где в этом есть необходимость, что удобно для населения, которое реже пользуется услугами семейного доктора и чаще ездит по всей стране, посещая различных докторов и клиники в случае необходимости. Специалисты могут легко получать нужные данные. Так же поступают и страховые компании, потому что такие данные более содержательны, более стандартизированы и более дешевы для обработки: если все данные электронные, то проверять клиентов будет дешевле. Это лучше и для исследователей, потому что позволяет им эффективнее использовать доступную информацию: впервые они могут смотреть на все в стандартной форме.

Это большое мероприятие, вероятно, столь же важное, как ранее упомянутые финансовые и кредитные базы данных. Как общество мы окажемся перед необходимостью сбалансировать потребность в доступе (который более очевиден для медицинской, чем для финансовой информации) с потребностью в секретности. Так или иначе, компьютеризация приходит в медицину. Мы должны быть уверены, что все сделано правильно.

Секретность и правительство

Правительство и ФБР, в частности, любят изображать частную секретность чудовищным инструментом четырех всадников Апокалипсиса: террористов, торговцев наркотиками, тех, кто отмывает деньги, и тех, кто занимается детской порнографией. В 1994 году ФБР протаскивало через Конгресс законопроект о цифровой телефонной связи, согласно которому телефонные компании должны были бы установить на своих коммутаторах оборудование, позволяющее легко подключаться к любой линии. После таранов Центра международной торговли оно продвигало законопроект о всесторонней борьбе с терроризмом, который дал бы ему полномочия проводить прослушивание телефонных переговоров и наделил бы Президента властью единолично объявлять политические группы террористическими организациями. К счастью, это не прошло. После падения из-за взрыва топливного бака самолета в 1996 году ФБР играло на слухах о том, что это было попадание ракеты, и принимало ряд мер, которые разрушали частную секретность. Оно продолжает лоббировать предоставление правительственного доступа ко всем шифровальным ключам или ослабление защиты до того уровня, когда она уже не будет играть никакой роли.

В течение нескольких последних десятилетий развитие компьютерной секретности в Соединенных Штатах было ограничено тем, что называется экспортными законами. Экспортные законы определяют те виды шифрования, которые компании США могут экспортировать. Так как большинство программных продуктов распространено по всему миру, такие законы значительно ограничивали эффективность шифрования в массовых программах, подобных браузерам и операционным системам[16].

В 1993 году американское правительство отстояло так называемый «Клиппер-Чип», который будет обсуждаться подробно в главе 16. Это система, которая дает полицейским доступ к вашим ключам кодирования.

Дебаты продолжаются. ФБР стремится к узакониванию прав, нарушающих секретность: прослушиванию широкополосных телефонных сетей, установке подслушивающих устройств в компьютеры пользователей без ордера везде, где возможно. Во время написания книги у нас появились новые экспортные правила для программного обеспечения, представленного на массовом рынке, разнообразие законопроектов либерализации шифрования находится в Конгрессе, и несколько дел о контроле над экспортом направлены в Верховный суд. Изменения происходят постоянно; что-либо сказанное мной здесь может устареть к моменту издания книги.

Также интересны (и бесконечны) философские проблемы. Первое – правильно ли думает правительство, когда оно предполагает, что социальные беды от секретности перевешивают социальные преимущества? В предыдущем разделе я приводил доводы, что преимущества анонимности перетягивают связанные с ней проблемы. То же самое с секретностью. Она чаще всего применяется там, где нужно, и положительных сторон ее использования намного больше, чем отрицательных.

Второе – может ли правительство закупать технологию, которая совершенно очевидно приносит большие социальные выгоды, но, с другой стороны, некоторым образом препятствует законному принуждению, так что, по идее, необходимо ограничивать ее использование? Ключевой козырь ФБР – это шифрование, являющееся большой помехой для расследования уголовных дел, так как ФБР имеет те же самые возможности подслушивания, что и десять лет назад. Однако подслушивание не обеспечивает доказательств, и история убедительно показывает, что перехват – это нерентабельный метод борьбы с преступностью. Широко распространенное шифрование может быть шагом назад в осуществлении механизмов законного принуждения, но не в обвинении преступников.

Я не знаю ответов. Существует равновесие между секретностью и безопасностью. Законы, которые регламентируют розыскную деятельность и соблюдаются должным образом, препятствуют юридическому принуждению, и это может кончиться тем, что некоторые преступники получат свободу. С другой стороны, эти законы защищают граждан от злоупотреблений полиции. Мы, как общество, должны решить, какое равновесие является правильным для нас, и затем создать условия для законного проведения его в жизнь. Но я громогласно возражаю против ФБР, старающегося насадить выгодное ему решение без общественного обсуждения и без общественного понимания.

В любом случае будущее не оптимистично. Право на секретность – это первое, чем пренебрегают в случае кризиса, и ФБР попробует сфабриковать кризисы, чтобы попытаться захватить большее количество полномочий для вторжения в секретность. Война, террористические нападения, полицейские акции… наверняка вызовут большие изменения в точках зрения. И даже сейчас, в обстоятельствах, наиболее способствующих аргументированным дебатам о секретности, мы теряем ее все больше и больше.

Аутентификация

Секретность и анонимность могут быть важны для нашего общественного и делового благосостояния, но аутентификация необходима для выживания. Аутентификация, давая информацию о том, кому можно и кому нельзя доверять, служит непрерывному возобновлению отношений, придающих смысл сложному миру. Даже животные нуждаются в аутентификации запаха, звука, касания. Возможно, сама жизнь – это распознавание молекулярного состава ферментов, антител и т. д.

Люди аутентифицируют себя огромное количество раз в день. При входе в компьютерную систему, вы подтверждаете свою подлинность компьютеру. В 1997 году управление социального обеспечения пробовало ввести данные людей в сеть; они прекратили это после жалоб на то, что номер социального обеспечения и девичья фамилия матери не являются достаточно хорошими опознавательными средствами и что у людей будет возможность читать данные других людей. Компьютер также должен подтвердить свою подлинность вам; в противном случае как вы узнаете, что это ваш компьютер, а не какой-нибудь самозванец?

Посмотрите на среднего человека на улице, собирающегося купить пирог. Он рассматривает витрину за витриной, ища тот магазин, в котором продают пироги. Или, возможно, он уже знает свою любимую булочную, но еще только идет туда. В любом случае, когда он добирается до магазина, он подтверждает подлинность того, что это – правильный магазин. Аутентификация сенсорная: он видит пироги в меню, чувствует их запах в воздухе, магазин выглядит точно так же, как тогда, когда он последний раз был в нем.

Человек говорит с продавцом магазина и спрашивает о пироге. В некоторой степени оба аутентифицируют друг друга. Продавец хочет знать, способен ли клиент заплатить. Если клиент одет в тряпье, продавец может попросить, чтобы он ушел (или, по крайней мере, заплатил сразу). Если клиент носит лыжную маску и размахивает АК-47, продавец, скорее всего, убежит сам.

Клиент также аутентифицирует подлинность торговца. Он на самом деле продавец? Он продаст мне пирог или даст мне только кучу опилок в булочке? Что сказать о булочной? В наличии есть некое свидетельство о чистоте, подписанное местным санитарным инспектором, оно висит где-то на стене, если вдруг клиент захочет проверить. Но чаще клиент доверяет своим инстинктам. Мы все уходим из булочной, если нам не понравилось «ощущение» этого места.

Торговец вручит пирог, а клиент заплатит 5 долларов по счету. Еще большая аутентификация. Действительно ли этот счет подлинный? Выглядит ли этот пирог съедобным? У нас настолько хорошо развита зрительная (и обонятельная) аутентификация, что мы не задумываемся об этом, но поступаем так все время. Клиент получит сдачу, посмотрит на чек, чтобы удостовериться, что он пробит законным предпринимателем, и положит его в карман.

Если бы клиент платил по кредитной карте, за этим последовало бы еще больше аутентификации. Торговец прогнал бы карту через считывающее контрольное устройство, которое связалось бы с центральным сервером, и убедился бы, что счет действителен и кредита на нем достаточно для покупки. Торговец исследовал бы карту, чтобы убедиться, что это не подделка, и проверил бы подпись на ее оборотной стороне. (Большинство торговцев, правда, не будут так беспокоиться, особенно если сделка незначительна по сумме.)

Если бы клиент платил чеком, был бы другой опознавательный ритуал. Торговец посмотрел бы на чек и, возможно, спросил бы клиента о некоторых идентификационных данных. Он мог бы записать номер водительского удостоверения клиента и номер его телефона на обороте чека или, допустим, номер кредитной карточки клиента. Ни одно из этих ухищрений фактически не позволяет сделать вывод, что чек действителен, но помогает проследить за клиентом в случае, если возникнут проблемы.

Подделка аутентификации может быть очень выгодна. В 1988 году Томпсон Сандерс был осужден за обман Чикагского управления торговли. Он изображал торговца – полного, в парике, с бородой и поддельными документами. Этот поддельный торговец разместил большие рискованные заказы, затем заявил свои права на те, которые были выгодны, а от тех, с кем сделки оказались убыточными, просто скрылся. Брокеры, участвовавшие в этих сделках с другой стороны, были не способны определить, кто участвовал в торге, и понесли ответственность за ущерб.

Вернемся к нашему торговцу. Приходит другая клиентка. Она и торговец – старые друзья. Каждый из них знает другого в лицо. Это – здравая система подтверждения: они узнают друг друга даже при том, что у нее новая прическа, а он носит новый парик и очки. Супергерои понимают это и носят маски, чтобы сохранить свою личность в секрете. Это больше подходит для комиксов, чем для реальной жизни, потому что аутентификация – это не только распознавание лица (иначе слепой никогда никого не узнал бы). Люди помнят голос друг друга, фигуру, особенности и т. д. Если торговец говорит со своим другом по телефону, они могут подтвердить личности друг друга вообще без визуального контакта. Специальный уполномоченный Гордон должен был понять, что Брюс Уэйн – на самом деле Бэтман, просто потому, что они так часто разговаривали по телефону.

В любом случае наш клиент, купивший пирог, закончил его есть. Он произносит «до свидания», будучи уверенным в том, что говорит это тому же самому продавцу, который обслуживал его. Он выходит через ту же самую дверь, в которую вошел, и идет домой.

Все достаточно просто, потому что каждый бывал в таких магазинчиках. Платон не доверял написанному, потому что не мог определить, что является правдой, если человек не находится прямо перед ним. Что бы он сказал о Всемирной Сети: никакого голоса, никаких лиц… только биты.

Тот же самый клиент, купивший пирог, теперь возымел желание купить что-нибудь менее скоропортящееся – рецепт приготовления пирога, например. Для этих поисков он заходит в Сеть, пользуется своим испытанным поисковым сервером и находит несколько веб-сайтов, где продаются рецепты пирогов. Все они принимают к оплате кредитные карточки через Интернет или позволяют сделать заказ по почте. Все они обещают доставку в три-четыре дня. Что теперь?

Как бедный клиент узнает, можно ли им доверять? Потребуется немного усилий, чтобы просмотреть предложения: в Сети любой может сделать это в течение нескольких минут. Но какие из продавцов честны, а какие занимаются жульничеством? URL – указатель информационного ресурса (строка символов, указывающая на местонахождение документа в Интернете) мог бы быть именем продавца рецептов, которому можно доверять, но где гарантия, что сайт действительно соответствует тому самому доверенному имени? У Северо-Западных авиалиний есть веб-сайты, где можно купить авиабилеты: www nwa com. До недавнего времени у туристических агентов был веб-сайт www northwest-airlines com. Сколько людей купили билеты у последних, думая, что покупают их у первых? (Многие компании не знают доменных имен своих тезок.) Некоторые компании помещают имена своих конкурентов в описание своих веб-сайтов (обычно скрытые) в надежде обмануть поисковые серверы. Internic net, где вы собираетесь зарегистрировать доменное имя, – не то же самое, что Internic com. Последний возник как надувательство, сформировавшись внутри Internic Software, и в настоящее время якобы регистрирует имена доменов. Хозяева, вероятно, сделают значительный бизнес за счет создания путаницы. Есть даже более мрачное предположение: кто может сказать, что некий незаконный хакер не убедил программу просмотра отображать один URL вместо другого?

Клиент находит веб-сайт, который выглядит подходящим, и выбирает рецепт пирога. Теперь он должен заплатить торговцу. Если он покупает что-либо ценное, то в этом случае нужна серьезная аутентификация. (Если он тратит 25 центов на виртуальную газету, все немного проще.) Действительны ли эти электронные деньги? Действительна ли эта кредитная карточка и есть ли у клиента право выписывать электронный чек? Некоторые торговцы, работающие непосредственно с клиентом, просят показать водительские права перед тем, как принять чек; а что же может проверить цифровой торговец перед принятием электронного чека?

Наиболее важной проблемой безопасности является аутентификация через цифровые сети. Здесь может быть так же много различных решений, как и различных требований. Некоторые решения должны быть сильными и весомыми, чтобы защитить миллионы долларов. Для других это не обязательно: например, аутентификация дисконтной карты торговца. Некоторые решения подразумевают анонимность – наличные деньги или карту, которая пускает вас в специфическую область сети, не требующую обязательного раскрытия вашего имени, – в то время как другие нуждаются в строгой системе аутентификации. Большинство будут стремиться к интернациональности: сетевой паспорт, системы, используемые для международной торговли, цифровые подписи или международные контракты и соглашения.

Часто аутентификация осуществляется невидимо для пользователя. Когда вы используете свой телефон (или платный телевизионный канал), то аутентифицируете себя в сети так, чтобы было известно, кому выставлять счет. Военная авиация имеет системы IFF (позволяющие узнать – друг перед вами или враг) для опознавания своих собственных и союзных самолетов системами ПВО. Тахографы, применяемые повсюду в грузовиках в Европе, чтобы заставить водителей соблюдать правила – такие, как принудительный отдых, – используют методы аутентификации, чтобы предотвратить мошенничество. Предоплата электричества в Великобритании – другой пример.

Когда думаете об аутентификации, держите в уме два ее различных типа. Они могут выглядеть похожими, но техника их использования очень различна. Первый – это аутентификация сеанса: беседа лицом к лицу или по телефону, или через IRC (международную линию передачи документальной информации). Сеансами также могут быть разовые посещения интернет-магазина. Метод аутентификации здесь – это сравнение отдельных диалогов: является ли лицо, сказавшее что-либо сейчас, тем же самым лицом, сказавшим что-либо ранее? (Это легко сделать при переговорах по телефону или при личной встрече – если голос и внешность те же самые, то, вероятно, это один и тот же человек. В Сети значительно сложнее.)

Второй – это аутентификация транзакции: покупки с использованием кредитной карты, частично денежное обращение. Аутентифицируется здесь действительность сделки: признают ее стороны или же будет вызвана полиция. Споры при обсуждении этой стороны вопроса одни и те же, осуществляется сделка через Сеть, по телефону или же при личном контакте. Неважно, идет ли речь о проверке чека на 100 долларов торговцем, который должен удостовериться, что чек не поддельный, или о сопоставлении подписи на кредитной карточке с подписью в регистрационной карточке продаж.

Целостность

Когда мы говорим об аутентификации, на самом деле имеем в виду целостность. Две эти концепции различаются, но иногда они переплетены. Аутентификация имеет дело с источником данных: кто подписал лицензию на медицинскую практику, кто выпустил в обращение валюту, кто санкционировал закупочный ордер на 200 фунтов удобрений и 5 галлонов дизельного топлива? Целостность имеет отношение к действительности данных. Верен ли номер этой платежной ведомости? Были ли данные исследования окружающей среды изменены, с тех пор как я последний раз видел их? Целостность не имеет отношения к источнику данных, к тому, кто создал их, когда и как, но определяется тем, были ли данные изменены с момента их создания.

Целостность – это не то же самое, что точность. Точность характеризует степень соответствия данной величины ее истинному значению; целостность описывает отношение данной величины к самой себе через какое-то время. Часто они тесно взаимосвязаны.

В любом обществе, где компьютеризированные данные используются для принятия решений, целостность важна. Иногда это может иметь значение для общества в целом: если статистика о детях с уровнем жизни за чертой бедности является признанным фактом, ситуация может быть изменена путем выделения федеральных пособий. Для любого, кто зависим от акций NASDAQ (компьютеризированной системы котировки ценных бумаг), путаница может быть убийственной. Иногда это важно для отдельной личности: вы на самом деле можете создать беспорядок, внеся изменения в записи о водительских правах и отметив чью-либо лицензию как приостановленную. (Это было случайно сделано в 1985 году в Анкоридже, штат Аляска, по отношению к 400 людям, по крайней мере один человек из которых провел ночь в тюрьме. Подумайте об удовольствии, которое кто-нибудь может получить, сделав это специально.)

Было несколько инцидентов, связанных с целостностью и имевших отношение к акциям. В 1997 году у компании Swisher, которая производит дезодоранты для унитазов, сильно увеличилась стоимость акций из-за того, что информационные службы некоторое время путали символику ее акций с символикой акций другой компании с названием Swisher, которая производит сигары. Компания Swisher1 была намного меньше, чем Swisher2, поэтому когда вы, будучи введены в заблуждение, просматривали ее годовой отчет, то находили невероятную недооценку акций. Некие парни вычислили, что же на самом деле произошло, и быстро продали акции Swisher1, просчитав, что цена снова упадет, как только инвесторы поймут ошибку.

В 1999 году служащий PairGain Technologies отправил по почте поддельные объявления о слиянии компаний, оформленные так, как выглядят объявления информационной службы Блумберг, и получил контроль над 30% акций до тех пор, пока обман не был раскрыт.

Эти случаи не имеют отношения к аутентификации. Не имеет значения, кто собрал данные переписи, кто составил конечные цены акций или кто ввел записи о регистрации автомашин – они касаются целостности. Но есть много других баз данных, где целостность важна: телефонные книги, медицинские записи, финансовые записи и т. д.

Когда один мой знакомый писатель-мистик появляется перед аудиторией, я всегда думаю, что хладнокровный способ убить кого-нибудь состоит в том, чтобы изменить базу данных дозировки препарата в больнице. Если врач недостаточно внимателен – например, он утомлен, препарат незнакомый, его отвлекает некий Мак-Гуффин, – он может прописать только то, что ему сообщает компьютер. Сегодня это может не сработать – рядом есть бумажный первоисточник, например настольный справочник врача или фармакологические стандарты препарата – но кто поручится за завтра?… Миллионы людей получают медицинскую информацию по Сети. Например, drugemporium com делает запрос другому сайту – drkoop com, чтобы получить информацию о возможной несочетаемости препаратов, которые вам назначены. Пользователей обычно предупреждают, чтобы они не полагались на информацию, взятую всего из одного источника, но большинство из них все равно будут поступать так, а не иначе. Кто-нибудь захочет поиграть с целостностью этих данных и причинит много вреда.

И даже если нет никакого преступного намерения, в любой сетевой системе, которая имеет дело с рецептами и лечением, лучше проводить проверку целостности, чтобы застраховать себя от случайных ошибок: никто не хочет, чтобы случайно измененный байт привел в итоге к смертельному случаю в больнице – ни пациент, ни компания, занимающаяся поставками программного обеспечения, которой придется иметь дело с судебными процессами.

В физическом мире люди используют материальную копию объекта как доказательство целостности. Мы доверяем телефонной книге, настольным справочникам врача и «Американским статистическим отчетам», поскольку это книги, которые выглядят настоящими. Если они фальшивы, значит, кто-то тратит много денег, чтобы они выглядели настоящими. Когда вы снимете с полки роман Диккенса и начнете читать его, вы не усомнитесь в его реальности. Точно так же с вырезкой из Business Week – это всего лишь клочок бумаги, но он выглядит и воспринимается как страница журнала. Если вы получаете фотокопию журнальной вырезки, то она только напоминает страницу журнала. Если кто-нибудь перепечатает статью (или загрузит ее из LEXIS-NEXIS) и пошлет ее по электронной почте вам, тогда… кто знает.

1 августа 1997 года я получил электронную почту от друга; в ней была копия речи Курта Воннегута в день присуждения университетских степеней в Массачуссетском технологическом институте. По крайней мере, я так предполагал. Мой друг переслал ее мне с честными намерениями. Но это не было речью Курта Воннегута на присуждении университетских степеней в 1997 году. В 1997 году Воннегут не выступал там. Он не писал этой речи и нигде не выступал с ней. Она была написана Мари Шмич и опубликована в ее колонке в Chicago Tribune 1 июля 1997 года.

Я сопоставил этот случай сомнительного авторства Воннегута с письмом, полученным мной приблизительно 15 лет назад, еще до появления Всемирной паутины, даже до того, как у меня появился адрес электронной почты (но уже во времена Интернета). Речь идет об эссе с названием «Мечта о будущем (не исключая омаров)»; друг отправил мне фотокопию по электронной почте. Копия была сделана непосредственно с публикации. Да, она могла быть сфальсифицирована, но это потребовало бы уйму работы. Это было до эры настольных издательских систем, и придать чему-либо вид фотокопии журнала Esquire было сложно и дорого. Сегодня отличить реальную вещь от «утки» уже сложно.

Я получал переданные по электронной почте статьи из журналов и газет. Кто может дать гарантию, что те статьи на самом деле из газет и журналов, хотя утверждается, что это так. Как я узнаю, что они не были искусно изменены: слово здесь, предложение там. Что если я сделаю эту книгу доступной интерактивно, и некие хакеры возьмут и изменят мои слова? Возможно, вы читаете эту книгу в Сети; остановитесь ли вы, чтобы подумать, что прочитанное вами может не быть написано мною, что вы верите серверу, с которого загрузили книгу. Является ли вера механизмом, который применим для проверки, что это мои слова? По прошествии достаточного количества лет многие люди будут читать переделанную версию книги – иную, чем мои настоящие слова. Думаете, кто-нибудь заметит это? Насколько задолго до измененной версии была создана «настоящая» версия? Когда протест Воннегута будет забыт и его речь на присуждении ученых степеней войдет в историю?

Соблазн подделывать или изменять данные велик. Покрытый рунами камень, найденный в Миннесоте, предположительно описывает визит викингов, и ничего, что он содержит слова, возникшие только в современном шведском языке. Поль Шлиман (внук Генриха Шлимана) претендовал на открытие секрета Атлантиды в старинных свитках майя, которые он прочел в Британском музее. Ничего, что никто не может прочесть письмена майя и что старинные свитки хранятся в Мадриде. Переписанная Бисмарком телеграмма Эмса в 1870 году развязала Франко-Прусскую войну. В 1996 году, когда Дэвид Селборн пытался протолкнуть свой перевод описания посещения Китая итальянским путешественником (обогнавшим Марко Поло на три года), он использовал «владельца манускрипта, согласившегося на перевод только в случае, если будет соблюдена строжайшая его анонимность», в качестве уловки, чтобы скрыть подделку.

Цифровой мир позволяет с легкостью осуществлять подобные вещи, потому что подделку настолько же просто произвести, насколько сложно выяснить истину. В мае 1997 года 13-летняя жительница Бруклина выиграла национальный конкурс по орфографии. Когда в New York Post была напечатана фотография Assoshiated Press, на которой девочка прыгает от радости, со снимка убрали название ее спонсора, нью-йоркской Daily News. Так же на видео: когда Си-Би-Эс показывала празднование Нового, 2000 года она добавила свою собственную эмблему к эмблеме корпорации NBC (30 на 40 футов). А поддельные эссе и речи, подобные речи Воннегута, путешествуют по Интернету постоянно.

Изображения способны оказывать мощные воздействия на людей. Они могут изменять мнения и оказывать влияние на внешнюю политику. Картины «Бури в пустыне» – загнанные в ловушку иракцы, ставшие жертвами снарядов военно-воздушных сил коалиции, сыграли большую роль в быстром прекращении огня: американцы не любят видеть резню. А помните Сомали? Кадры были взяты из тридцатисекундного видеоклипа: мертвую Марине (Marine) проволокли по улицам Могадишу для того, чтобы отбить у американцев желание воевать. Информация – это сила. В некоторых случаях видеоклип может быть и обманом.

Это звучит жутко, но, несмотря на внимание к этой проблеме, мы теряем способность отличать настоящую вещь от фальсификации. На протяжении всей истории человечества мы использовали контекст для проверки целостности; в электронном мире контекста нет. Для кинофильма «Афера» Ньюман и Редфорд нанимали дюжины актеров на пробы и устраивали реалистичную имитацию тотализатора конных бегов, чтобы детально изучить поведение каждого кандидата. Во время съемок более современного кинофильма «Испанский заключенный» было то же самое. Вовлечение в такие глобальные игры с целью детального изучения реакций было популярно во времена депрессии; впрочем, я знаю, что подобные вещи делаются и сегодня. Данный способ оценки надежен, потому что человек не может предположить, что все, что он видит – комнаты, люди, движение, – в действительности является только представлением, разыгранным исключительно для него. В Сети это сделать просто. В мире, в котором нет возможности потрогать, людям нужен новый способ проверки целостности того, что они видят.

Аудит

Двойная запись в бухгалтерском учете была придумана в 1497 году Лукой Пациоли из Борго Сан-Сеполкро, хотя само это понятие на 200 лет старше. Основная идея в том, что каждая операция будет влиять на два или более счета. Один счет дебетируется на ту же самую сумму, на которую кредитуется другой счет. Таким образом, все операции всегда проходят по двум счетам и, поскольку они всегда показывают увеличение на одном счете и уменьшение на другом, суммарный итог по всем счетам всегда будет нулевым.

У этой системы есть две главные цели. Две книги хранятся у двух разных клерков, уменьшая возможность обмана. Но еще более важно, что две книги будут сбалансированы друг с другом в установленном порядке (бизнесмены должны подсчитывать баланс каждый месяц, банки каждый день). Процесс подсчета баланса и является аудитом: если один клерк пытается совершить злостную фальсификацию или просто сделает ошибку, это будет раскрыто, потому что кто-нибудь другой будет проверять его работу, а не он сам. В дополнение к этому могут пригласить ревизоров со стороны, когда придут другие бухгалтеры и проверят книги снова… только чтобы удостовериться.

Аудит жизненно необходим, если к безопасности относиться серьезно. Двойная запись бухгалтерского учета – это только начало; банки имеют комплексные и исчерпывающие требования к аудиту. То же касается тюрем, стартовых шахт ядерных ракет и бакалейных магазинов. В тюрьмах должны хранить записи на каждого, кто поступает и выбывает, и регулярно составлять баланс, чтобы быть уверенными, что никто незамеченным не убыл (или случайно не остался). В ракетных шахтах могут дополнительно подвергнуть ревизии каждый убывающий и прибывающий контейнер и упаковку, сравнивая отгрузочные и приемные записи с действительностью. Бакалейный магазин хранит кассовую ленту всего пробитого товара и сравнивает количество денег, находящихся в ящике кассы фактически, с тем, что пробито на кассовой ленте.

Это не профилактические меры безопасности (хотя они могут предотвратить нападения); аудит предназначен для того, чтобы помочь судам. Суть аудита состоит в том, чтобы вы смогли обнаружить успешное нападение, выяснить, что случилось после него, и затем доказывать наличие нападения в суде. Специфические потребности системы в аудите зависят от сферы его приложения и масштабов. Например, вам не нужно многое из контрольных функций аудита, применяемых к системе кредитных карт для обслуживания фотокопировальных машин университета. И есть потребность в гораздо более жестком контроле, если кредитные карты собираются использовать для проведения больших закупок, которые могут быть конвертированы в наличные деньги.

Аудит с трудом может быть применим к компьютерам. Регистрационная лента хорошо подходит для ревизии, потому что клерк не в силах изменить записи: операции последовательно напечатаны на едином рулоне бумаги, и невозможно добавить или удалить операцию, не вызвав подозрения. (Правда, есть некоторые способы: блокирование записи, имитация того, что закончились чернила, блокировка записи для отдельной операции, подделывание целой ленты и т. д.) С другой стороны, компьютерные файлы могут быть легко стерты или изменены; это делает аудиторскую проверку записей более сложной. Большинство проектировщиков систем не думают о ревизии, когда занимаются их разработкой. Вспомните заложенное изначально контрольно-ревизионное свойство двойной записи счетов бухгалтерского учета. Эта контрольная способность обречена на неудачу, когда обе книги хранятся в одной и той же компьютерной системе и один и тот же человек имеет доступ к обеим книгам. Но таким образом работают все бухгалтерские компьютерные программы.

Электронные деньги

Вернемся в старые времена (год 1995 или около того). В те дни каждый думал, что мы должны создать новый вид денег для обращения в электронной торговле. Много компаний прекратили свое существование в попытках выдумать новые деньги. Некоторые компании старались создать электронный эквивалент наличных денег, другие – электронный эквивалент чеков и кредитных карт. Одной из последних таких попыток стал объединенный протокол Visa/Master card, предназначенный для использования существующих кредитных карт совместно с особой интернет-системой, позволяющей сделать кредитные карты надежными для электронной коммерции.

Они как-то изворачиваются, но не в этом дело. Кредитные карты прекрасно подходят для Интернета, и очень многие с готовностью пользуются ими для покупки книг, одежды и всего прочего. Однако наличие таких брешей в защите, которые позволили осуществить кражи серийных номеров кредитных карт в 2000 году, впечатляет. Будет ли когда-нибудь создана специфическая для Интернета форма оплаты?

В большей степени это вопрос регулирования, чем безопасности. Для электронной торговли система безопасности должна быть разработана на основе синтеза всех рассмотренных выше требований: подтверждения подлинности, секретности, целостности, безотказности, аудита. Потребности достаточно просты: нам нужна возможность перемещать денежные массы по компьютерной сети. При пристальном рассмотрении обнаруживаются несколько путей для достижения этого. Мы можем взять любой из имеющихся вариантов оплаты: наличные деньги, чеки, дебиторские и кредиторские карты, кредитные бумаги и перенести их в киберпространство. Различные платежные средства подчиняются различным правилам и требованиям.

Некоторые требования зависят от того, какую ответственность кто несет. Торговцы и компании, обслуживающие операции по кредитным картам, несут ответственность по большинству долгов украденных кредитных карт и мошенническим сделкам с их использованием. По этой причине электронные версии для данных систем разрабатываются таким образом, чтобы облегчить жизнь именно им, а не потребителям.

Различные физические реализации также предполагают различные требования. Эта система сетевая или автономная? Все намного проще, если вы можете рассчитывать на сетевое соединение с банком (каковое требует банкомат). Если вы создаете торговую систему для использования в той части света, где недостаточно телефонных линий (как, например, в отдельных районах Африки), вы не можете принять этот вариант. Будет ли система работать в программной среде или мы можем рассчитывать на надежные аппаратные средства, подобные смарт-карте? И будет ли эта система предполагать анонимность, как в случае использования наличных денег, или включать опознавание, подобно системе кредитных карт? И наконец, какое правительственное регулирование будет осуществляться по отношению к этой системе? Это зависит не только от выбранных платежных средств, но также от постановлений правительства или правительств, имеющих власть над системой.

Мы уже можем наблюдать кое-что из этого. У нас пока нет цифровых наличных денег, но уже появляются альтернативные системы, которые выполняют ту же роль, что и деньги. Flooz com создал специализированную валюту для оплаты подарков. На нем выдаются подарочные сертификаты, которые могут быть использованы в качестве денег. Beenz com предпринимает нечто подобное; «beenz» не являются настоящими деньгами, но они могут использоваться и обращаться, как настоящие деньги. Другие компании тоже участвуют в этом процессе.

Я ожидаю, что это станет большим делом и, возможно, опасным. Причина в том, что псевдовалюты не могут играть той регулирующей роли в процессе товарооборота, которую играют реальные деньги.

Упреждающие меры

Традиционно предотвращение мошенничества было упреждающим. Криминальные элементы находят изъян в торговой системе и пользуются им. Они продолжают идти вперед, в то время как проектировщики системы пытаются понять, как устранить недостатки или хотя бы свести к минимуму ущерб. Преступники изучают ситуации, когда их атаки не достигают цели, и продолжают атаковать другими способами. И процесс продолжается.

Вы можете проследить это на примере кредитных карт. Изначально подтверждение кредитных карт не осуществлялось через сеть. Торговцам предоставляли книги с недействительными номерами кредитных карт каждую неделю, и они должны были вручную проверять номер по книге. Сейчас подтверждение карты происходит по сети в режиме реального времени. Плохие люди воровали новые карты из почтовых ящиков; из-за этого компании, обслуживающие кредитные карты, стали требовать, чтобы вы звонили для активации своей карты. Сейчас карты и извещения об активации отправляются из различных точек. У компаний также есть разведывательные программы для контроля непредвиденных расходов. («Доброе утро, сэр, извините за беспокойство. Многие годы вы были хорошим клиентом. Мы хотим проверить, действительно ли вы внезапно переехали в Гонконг и полностью исчерпали свой кредит».)

Когда банкоматы впервые были введены Citicorp в 1971 году, клиент должен был помещать кредитную карту в прорезь и набирать свой идентификационный номер[17]. Машина проверяла его и выбрасывала карту обратно клиенту. После этого он мог закончить операцию. Предприимчивые нью-йоркские преступники переодевались в костюмы обслуживающего персонала и ждали недалеко от этой машины. После подтверждения идентификационного номера клиента они подходили и говорили, что банкомат сломан, проходит тестирование или в нем просто нет денег, и просили использовать соседний рядом. В конце концов, людям в таких костюмах можно доверять – так думали клиенты. После того как клиент уходил, они заканчивали первую операцию и клали в карман наличные деньги.

Карта должна была удерживаться до конца сделки, но это требовало реконструкции аппаратных средств. Банкам нужно было действовать быстро, и они нашли временное решение, которое могло быть введено в действие в банкоматах: было сделано так, чтобы расположенные рядом машины имели связь между собой. Поскольку банки применили это повсюду, то могли наблюдать, как преступники перемещались по всему городу в поисках машин, где уловка все еще срабатывала. Тогда они настроили банкомат так, чтобы он удерживал карту до конца сделки. Долгосрочное решение состояло в том, чтобы создать сеть с обратной связью, дающую уверенность в том, что в любой момент времени проводится только одна транзакция с использованием данной карты. Это было сделано, так что теперь не имеет значения, сколько времени карта удерживается машиной. Теперь многие банкоматы попросят вас просто предъявить свою карту, но раньше было очень много мошенничества, пока проблема не была определена.

Подобные способы фиксации недостатков в системах безопасности после того, как уже было осуществлено нападение, не подходят для Интернета. Атаки могут быть автоматизированными, они могут легко и быстро повторяться низкоквалифицированными нападающими. Нападение на банкоматы, адаптированное к Интернету, может разрушить банковскую систему. Недостаточно противодействовать мошенничеству после того, как оно было продемонстрировано в работе; мы должны быть предусмотрительны и бороться с обманом до того, как он произойдет.

Загрузка...