Глава 3 Атаки

Глава 3

Атаки

Я собираюсь обсудить три основных класса атак. Преступные атаки относятся к наиболее явным, и этому типу я уделю основное внимание. Но два других класса – атаки, приводящие к огласке, и «законные» атаки – могут быть гораздо более разрушительными.

Преступные атаки

Что такое преступные атаки, понять просто: каким образом, атакуя эту систему, я смогу получить максимальную финансовую выгоду? Нападающие бывают разные: от преступников-одиночек до изощренных синдикатов организованной преступности, от «своих людей», решивших заработать «быстрых денег», до правительств, нацеленных на борьбу с инфраструктурой другой страны.

Мошенничество

Мошенничать пытались со всеми когда-либо изобретенными коммерческими системами. Недобросовестные торговцы пользовались неправильными весами для того, чтобы обсчитывать покупателей; те же, в свою очередь, соскабливали серебро и золото с ободков монет. Подделывали все: деньги, акции, кредитные карты, чеки, аккредитивы, заказы на поставку, фишки казино. Современные финансовые системы – чеки, кредитные карты и сети банковских автоматов – ежегодно терпят многомиллионные потери из-за мошенничества. Электронная торговля не будет ничем отличаться, не изменятся и методы преступников.

Аферы

Национальная компьютерная лига выделила пять наиболее распространенных в сети афер – это продажа интернет-услуг, продажа разнообразных товаров, аукционы, пирамидальные и многоуровневые маркетинговые схемы и благоприятные возможности для деловой деятельности. Люди читают какое-нибудь соблазнительное письмо в электронной почте или посещают привлекательный веб-сайт и отсылают деньги в какой-то абонентский ящик, и все заканчивается тем, что они или не получают ничего взамен, или получают ничего не стоящий хлам. Все очень похоже на физический мир: множество людей просто обмануто.

Разрушительные атаки

Разрушительные атаки – это сфера деятельности террористов, наемных служащих, склонившихся к мести, или хакеров, ушедших в подполье. Разрушение – это преступная атака (редко бывает, чтобы разрушение чужого имущества было законным), но часто при этом отсутствуют корыстные мотивы. Вместо них нападающие просто задают себе вопрос: «Каким образом я могу вызвать наибольшие повреждения, нападая на эту систему?»

Существует много разновидностей разрушительных атак. В 1988 году кто-то написал компьютерный вирус, направленный непосредственно на компьютеры, принадлежащие Electronic Data System. Он не произвел слишком больших разрушений (в действительности нанес небольшой ущерб NASA), но цель была именно такова. В начале 2000 года мы наблюдали массовые атаки, приводящие к отказам в обслуживании, на Yahoo! Amazon com, E*Trade, Buy com, CNN и eBay. Умелый нападающий, вероятно, может неделями подавлять работу провайдера. Фактически хакер, обладающий достаточным мастерством и подходящими моральными устоями, может, вероятно, «разрушить» весь Интернет.

На другом конце спектра – те, кто открыто вламывается через парадную дверь с бомбой. Нападения США на иракские системы коммуникаций в Персидском заливе, по-видимому, лучший тому пример. Группа французских террористов Comitee Liquidant ou Detournant les Ordinateurs (Комитет компьютерной ликвидации и сдерживания) в начале 1980-х разбомбила компьютерные центры в районе Тулузы. Более эффектным было лишь сожжение Александрийской библиотеки в 47 году до н э. (Юлием Цезарем), в 391 году н э. (христианским императором Феодосием I) и в 642 году н э. (Омаром, халифом Багдада) – все это, кстати, превосходные уроки, наглядно демонстрирующие важность резервного копирования.

Кража интеллектуальной собственности

Интеллектуальная собственность – это не только производственные секреты и базы данных компаний. Это также электронные версии книг, журналов и газет, цифровое видео, музыка и фотоснимки, программные средства и частные базы данных с платным доступом. При этом сложность задачи заключается не в сохранении права собственности на данные, а в том, как организовать контроль, чтобы получать соответствующие выплаты за данные прежде, чем они станут общедоступными.

Компании, занимающиеся программным обеспечением, хотят продавать свои программы легальным покупателям, избегая того, чтобы пираты изготовили миллионы нелегальных копий и продали (или раздали) их всем желающим. В 1997 году Альянс коммерческого программного обеспечения (Business Software Alliance) установил на своей веб-странице счетчик, который показывал, какие потери несет индустрия из-за пиратства: 482 доллара в секунду; 28 900 долларов в минуту; 1,7 миллиона долларов в час; 15 миллиардов долларов в год. Эти цифры завышены, так как сделано ложное допущение, что всякий, кто пользуется пиратской копией, например 3D Studio Max компании Autodesk, заплатил бы за легальную продукцию 2995 долларов (или 3495 долларов, если брать розничную цену). Распространенность пиратства в сфере программного обеспечения сильно зависит от страны: считается, что 95% программ в Китайской Народной Республике – пиратские, тогда как в Канаде таких только 50%. (Лидирует Вьетнам с 98% пиратского программного обеспечения.) Эти потери выводят из себя компании, занимающиеся программными средствами.

Пиратство может принимать различные масштабы. Это и распространение дисков среди друзей, и загрузка из Интернета, и крупномасштабные операции по изготовлению копий (обычно проводящиеся на Ближнем Востоке).

Пиратство также может быть совершено по отношению к данным. Подделывают ли музыкальные диски, которые продают в закоулках Бангкока, или МР3-файлы с той же музыкой, которые распространяют через Веб, – электронную интеллектуальную собственность воруют все время. (И, конечно, это в полной мере относится к цифровым изображениям, цифровому видео и электронному тексту.)

Общая нить этих рассуждений состоит в том, что компании хотят контролировать распространение своей интеллектуальной собственности. Такая позиция, хотя она совершенно обоснована, противоречит тому, что, собственно, представляет собой электронный мир. Последний имеет свои особенности: в отличие от физических вещей, информация может находиться в двух местах одновременно. Ее можно копировать бесконечно. Кто-то может отдавать часть информации и одновременно сохранять ее. Когда информация распространится повсюду, может стать невозможным проследить ее местонахождение. Если цифровая копия Короля-льва когда-нибудь будет распространяться по Интернету, Дисней не сумеет удалить все копии.

Недозволенное копирование – не новая проблема; она так же стара, как индустрия звукозаписи. Когда я учился в школе, у меня были магнитофонные записи музыки, которые были мне не по карману; и точно так же поступали все остальные мои знакомые. Тайвань и Таиланд долгое время были источником поддельных CD. Русская мафия развивает индустрию видеопиратства, а китайские триады все в большей степени вовлекаются в подделку программных средств. Ежегодные промышленные потери были оценены в 11 миллионов долларов в год, хотя это число, возможно, тоже основывается на ложных предположениях.

У электронных данных нет никакого волшебного иммунитета против подделок. Фактически они уникальны в том смысле, что их можно копировать совершенно точно. В отличие от моих кассет, качество незаконных цифровых видеодисков с Королем-Львом или программных продуктов не ухудшается – это еще один оригинал. Препятствовать такому распространению – это все равно, что пытаться осушить воду, – попробуйте сами.

Присвоение личности

Зачем красть у кого-то, когда вы просто можете стать этим человеком? Это существенно проще и может оказаться намного более выгодным: получить стопку кредитных карточек на чужое имя, наделать крупных долгов и затем исчезнуть. Это называется присвоением личности и является высокоразвитой сферой деятельности преступников. В Альбукерке (Нью-Мексико) преступники проникали в дома именно для того, чтобы забрать чековые книжки, свидетельства о кредитных картах, квитанции и другие финансовые документы, выискивая номера социального обеспечения, даты рождения, места работы и номера счетов.

Такие вещи происходят все время. В США в течение одного только 1999 года сообщалось о тысячах случаев присвоения личности. Устранение последствий может стать тяжелой и изнурительной задачей.

Положение становится все хуже. По мере того как установление личности приобретает электронную форму, процедура присвоения упрощается. В то же время, поскольку все больше систем используют электронную идентификацию, присвоение становится все более выгодным и менее опасным. Зачем вламываться в чей-то дом, если вы можете оперативно собрать необходимую информацию о личности?

А жертвы беспомощны. Они сообщают засекреченную информацию любому, кто спрашивает, многие пишут номера водительских прав на чеках. Они выбрасывают счета, банковские квитанции и т. п. Они слишком доверчивы.

В течение долгого времени мы могли не опасаться за системы удаленной идентификации. Но теперь стало понятно, что «девичья фамилия матери» не может уже являться ее элементом (особенно сегодня, когда эта фамилия зафиксирована в исчерпывающей открытой базе данных на генеалогическом веб-сайте), хотя она и использовалась достаточно долго и за это время преступники неплохо погрели на ней руки. Сейчас это уже ушло в историю, и, смею надеяться, мы уже никогда не будем столь наивны.

Кража фирменной марки

Идентификация в виртуальном пространстве жизненно важна и для фирм, и для отдельных индивидуумов. Разработка фирменного знака требует времени и денег. Такого рода идентификация – это больше чем надпись, лозунг и навязчивая мелодийка для рекламы. Это – продукция, кирпичные здания, работники службы по работе с покупателями, вещи, которые можно потрогать, люди, с которыми можно поговорить. Марка означает репутацию.

В Интернете препятствия минимальны. Любой может иметь веб-сайт – от Ситибанка до Фреда-храни-деньги-в-матрасе. И многие так и делают. Как пользователи узнают, какие сайты стоит посетить, на каких – сделать закладку, а с какими установить взаимоотношения? Тысячи компаний продают компьютеры в Сети. Какие из них действительно надежны, а какие не заслуживают доверия?

Снабжение товара торговой маркой – единственное, что может здесь помочь. Когда Веб был впервые представлен на публичное обозрение, специалисты утверждали, что он возвещает конец big brand[5]. Поскольку любой мог войти в Сеть и соревноваться с узнаваемыми брендами, торговые марки становились бессмысленными. Действительность доказала полную противоположность этому предположению: поскольку любой может войти в Сеть и соперничать с громкими именами, единственный способ отличить продукцию – ее фирменный знак. Пользователи запоминают знак и возвращаются на сайты, которым они доверяют. Знаки имеют реальную ценность, и их имеет смысл воровать.

Например, малайзийская компания хотела продавать презервативы, используя торговую марку Visa. Малазийцы заявили, что не имеют ничего общего с компанией кредитных карт, но эта «игра слов» дает им своего рода пропуск. Провести настоящую Visa не удалось – компания предъявила иск. Она победила, и я считаю, что такой прецедент имеет важное значение для защиты права собственности на фирменный знак.

Киберпространство предоставляет широкие возможности для кражи фирменного знака. В 1998 году кто-то подделал запрос на передачу имени домена в Network Solution и украл Sex com; настоящий владелец до сих пор еще пытается вернуть его назад[6]. В другом случае некий сантехник заменил телефонный номер на сайте другого такого же специалиста на свой. Преступные синдикаты в Лас-Вегасе сделали подобный трюк с телефонными номерами эскорт-услуг. Атаки такого рода не представляют собой ничего нового. Элмон Строугер был предпринимателем из Канзас-Сити. Он был убежден, что телефонисты перенаправляют звонки, поступающие к нему, в фирмы-конкуренты, поэтому в 1887 году изобрел телефонный диск, дабы исключить телефонистов.

Некоторые знатоки устраивают свой веб-сайт таким образом, чтобы красть трафик с других веб-сайтов; это известно как редирект, перенаправление (page-jacking). В Сети есть и тайпсквоттеры, «пираты» опечаток, регистрирующие имя домена, которое выглядит как имя оригинального веб-сайта, написанное с опечаткой. Так поступают создатели многих порносайтов. Даже большие компании не чуждаются такого рода приемов: когда стал популярен 1-800-COLLECT, компании MCI и AT&T создали свою службу телефонных разговоров, оплачиваемых абонентом, которому звонят. У AT&T ею стала 1-800-C0LLECT (нуль вместо буквы «О» – наиболее распространенная ошибка набора), a MCI опустился до того же, зарегистрировав 1-800-0PERATOR с тем же нулем вместо буквы «О», но в другом месте. Некоторые подобные приемы сегодня запрещены, и я надеюсь, что в будущем запретят и остальные.

Судебное преследование

К сожалению, судебное преследование в киберпространстве может быть затруднено. Казалось бы, преступления точно такие же – ведь кража противозаконна: хоть аналоговая – хоть цифровая, хоть на линии – хоть без нее. Набор действий тоже одинаков: злоупотребление, подделка, рэкет, мошенничество – как и квалификация, и преследование по закону в соответствии с уголовным кодексом. Законы против таких поступков (вместе с инфраструктурой уголовного правосудия для того, чтобы претворять их в жизнь) уже есть. Были приняты и некоторые новые законы, специально для цифрового мира, но мы пока не знаем всех их тонкостей. Но темп работы судебной системы отличается от темпа развития Интернета, и США может потребоваться десятилетие на то, чтобы упразднить плохо работающий закон или понять, как на самом деле нужно его применять.

Через какое-то время законы будут лучше отражать действительность цифрового мира. Несколько лет назад, когда поймали группу немецких хакеров, взломавших компьютерные системы США, у немецкого правительства вовсе не было уголовных законов, по которым их можно было бы осудить. Сегодня уже некоторые уголовные кодексы расценивают как преступление поступки вроде взлома удаленных компьютерных систем, тогда как старые законы о посягательстве не очень-то касались правонарушителей, удобно сидящих в своих спальнях, в то время как команды, поступающие по телефонной сети с их компьютера, совершают правонарушения. Постепенно законы о преследовании, вторжении в частную жизнь, авторском праве и подстрекательстве приспосабливаются к условиям мира, в котором вещи работают не совсем так, как все привыкли.

В конечном счете люди осознают, что нет смысла писать законы, которые специфичны для какой-либо технологии. Мошенничество есть мошенничество вне зависимости от того, что является средством – почта, телефон или Интернет. Правонарушение не становится более или менее преступным, если в нем используется криптография. (Нью-йоркские продавцы, которые в 1999 году при помощи Palm Pilot[7] копировали номера кредитных карт покупателей, не были бы менее виновны, если бы использовали ручку и бумагу.) И вымогательство не становится лучше или хуже, если его осуществляют с использованием компьютерного вируса, а не старомодных компрометирующих фотографий. Хорошие законы написаны так, чтобы не зависеть от технологии. В мире, где технологии движутся вперед намного быстрее, чем заседания Конгресса, только они и могут работать. Механизмы для более быстрого и чуткого законодательства, может быть, когда-нибудь и появятся.

Вмешательство в частные дела

Вмешательство в частные дела не обязательно будет преступлением, но может им стать (оно, например, может быть прелюдией к присвоению личности). В США почти все такие вторжения законны. Людям не принадлежит информация о них самих. Если кредитное бюро или фирма, занимающаяся маркетинговыми исследованиями, собирают о вас информацию – о ваших личных привычках, схеме покупок, финансовом статусе, физическом здоровье, – они вправе продать сведения любому, кому захотят, без вашего ведома и согласия. Впрочем, это везде по-разному. Законы о неприкосновенности частной жизни в большей части Европы (охватывающей Европейский Союз), на Тайване, в Новой Зеландии и Канаде более суровы.

Другие типы вмешательства в частные дела тоже считаются законными. Когда нанимают частного детектива, чтобы собрать информацию о человеке или компании, это законно до тех пор, пока он не использует никаких противоправных методов. Любого рода вмешательство полиции в частную жизнь законно при наличии ордера, но многое законно и без него. (Знаете ли вы, что полиции США не нужен ордер, чтобы потребовать сделать копии с фотопленок, которые вы сдали на проявку?)

Существует два принципиально разных типа вторжений в личную жизнь: направленная атака и сбор информации. При направленной атаке злоумышленник хочет узнать все об Алисе. Если Алиса – человек, то атака называется преследованием. Если «Алиса» – компания, то это производственный шпионаж. Если «Алиса» – правительство, то такую атаку называют национальной разведкой или шпионажем. Любая из этих атак доведет вас до тюрьмы при использовании одних методов и не приведет к подобному результату при использовании других.

Компьютерные меры безопасности могут защитить Алису от направленной атаки, но только до определенного момента. Если злоумышленников достаточно хорошо финансируют, они всегда их обойдут. Например, установят жучок в офисе Алисы, перероют ее мусор или будут следить за ней при помощи телескопа. Информация есть информация, и компьютерные меры безопасности защищают ее, пока она в компьютере. Такие меры работают против бесконтактных атак. Они заставляют злоумышленников подбираться поближе к Алисе и делают вторжение в частную жизнь более опасным, дорогим и попадающим в сферу действия разных неприятных законов.

Сбор информации – это другой тип вторжений в личную жизнь. Такие атаки используют косвенные методы. Предположим, злоумышленнику нужен список всех вдов не моложе 70 лет, у которых в банке не менее миллиона долларов, которые за прошлый год участвовали более чем в 8 благотворительных акциях и подписываются на астрологический журнал. Или список всех жителей США, подписанных на AZT[8]. Или тех, кто посещал определенный социалистический веб-сайт. Аферисты сто лет собирали бы имена людей, которые могли бы поддаться определенному жульничеству, в то время как широкая распространенность баз данных в Интернете позволяет им автоматизировать и оптимизировать их поиск.

Хорошее шифрование и компьютерная безопасность в состоянии помочь защититься от атак по сбору информации (если считать, что это незаконно – просто купить информацию у того, кто владеет различными базами данных), делая затруднительной процедуру сбора. Сбор информации выгоден только потому, что его можно автоматизировать; нет никакого смысла перерывать всю мусорную корзину соседа, чтобы найти демографические данные. Если же все компьютерные данные защищены, злоумышленник просто не знает, где ему смотреть. Даже не самые высокие уровни криптографии могут полностью защитить от атак по сбору информации.

Наблюдение

Сто лет назад у каждого была частная жизнь. Вы с приятелем могли выйти в чистое поле, убедиться, что больше никого поблизости нет, и общаться на таком уровне конфиденциальности, который теперь навсегда утрачен. Витфилд Диффи сказал: «Ни о каком праве на конфиденциальные переговоры в Конституции не упоминается. Я не думаю, что это кому-либо приходит в голову, тогда как это право необходимо защищать». Возможность иметь конфиденциальный разговор, как возможность держать в голове собственные мысли и возможность упасть на землю, если толкнут, естественно проистекала из устройства мира.

Технология разрушила такое мировоззрение. Мощные направленные микрофоны могут улавливать разговоры на расстоянии сотен ярдов. После того, как группа террористов MRTA захватила японское посольство в Перу (в 1997 году), в репортажах рассказывали о «жучках», спрятанных в пуговицах рубашек, которые позволили полиции установить местонахождение каждого. Устройства Ван Эйка могут читать текст на мониторе вашего компьютера, расположенного через квартал от них (пока еще это дорогая и сложная атака, но вы только подождите, пока распространятся беспроводные локальные сети). Камеры наблюдения, которые сейчас легко заказать по каталогам электроники, можно запрятать в самые маленькие щели; спутниковые камеры могут прочитать номерной знак вашего автомобиля прямо с орбиты. Министерство обороны проектирует миниатюрные летательные аппараты размером с небольшую птицу или бабочку, которые смогут разыскать вражеских снайперов, определить местонахождение заложников в захваченном здании или шпионить за кем-нибудь.

Возможность проследить за кем-нибудь издалека уже существует, но ее используют только в исключительных обстоятельствах (не считая телевидения). В 1993 году крупный колумбийский наркоделец Пабло Эскобар был обнаружен отчасти благодаря тому, что проследили его сотовый телефон: метод, известный как точное определение местонахождения. В 1996 году русские военные ликвидировали чеченского лидера Джохара Дудаева при помощи ракеты «воздух-земля» после того, как определили местонахождение, перехватив его разговоры по спутниковому телефону. Сотрудники ФБР обнаружили грузовик, который принадлежал людям, взорвавшим федеральное здание в Оклахома-Сити, собрав записи всех камер наблюдения в городе и сопоставив их показания по времени[9]. Невидимые идентификационные метки печатаются фактически на всей цветной ксерографической продукции любого производства. (Эти машины также обеспечивают меры защиты от подделки – такие, как дополнительный голубой тонер на банкнотах, если устройство определяет, что пытаются копировать американские деньги.)

Технология, которая позволяет автоматически определять наркодельцов, анализируя случайные телефонные разговоры, по подозрительному поведению спутниковой связи или с помощью уличной камеры по фотографиям преступников, находящихся в розыске, еще не стала обычным делом, но это только вопрос времени. Опознание лиц сможет выделить из толпы конкретного человека. Распознавание голоса позволит просканировать миллионы телефонных разговоров в поисках определенного субъекта; уже можно выискивать подозрительные слова и фразы и выделять один разговор из большого их количества. Закон Мура, который прогнозирует, что промышленность может удваивать вычислительную мощность процессоров каждые 18 месяцев, предсказывает кое-что еще: вычислительная техника следующего поколения будет меньше размерами, быстрее, намного дешевле и доступнее[10]. Как только технология распознавания научится идентифицировать людей, компьютеры смогут проводить их поиск.

Хранение данных тоже становится дешевле. Всего несколько поколений отделяет нас от возможности записать всю нашу жизнь – на аудио и видео – и сохранить информацию. О необходимости этого могут говорить как о защитном механизме, «на случай если вам когда-нибудь потребуется алиби», или как о полезном для общества механизме, поскольку «вы никогда не знаете заранее, что можете стать свидетелем преступления». Когда-нибудь, возможно, «неношение» устройства, записывающего вашу жизнь, будет казаться подозрительным.

Инфраструктура наблюдения устроена в Соединенных Штатах под видом «службы работы с клиентами». Кто не слышал повсеместного сообщения, что «этот разговор может прослушиваться или записываться в целях гарантии качества»? Некоторые отели заносят данные о предпочтениях клиентов в международную базу данных, так что клиенты будут чувствовать себя как дома, даже если это их первая остановка в данном городе. В ресторанах высокого класса сейчас есть видеокамеры в обеденном зале для того, чтобы изучать пристрастия в еде и следить за ходом обеда, и базы данных, содержащие сведения о предпочтениях клиентов. Amazon com отслеживает поведение покупателей из различных демографических групп. Дэвид Смит, написавший вирус «Мелисса», был обнаружен, поскольку Microsoft Word автоматически вводит информацию об авторстве во все документы. Автоматические системы оплаты сохраняют сведения о том, какие машины проехали через шлагбаум. В 2000 году некоторые города стали измерять загруженность дороги, отслеживая разговоры водителей по сотовым телефонам. Грань между хорошими потребительскими услугами и преследованием очень тонка.

Иногда речь не идет о потребительских услугах: компании кредитных карт имеют подробные записи о покупках, поэтому могут предотвращать мошенничество. Компании контролируют посещение служащими веб-сайтов, чтобы ограничить злоупотребления и задолженность. Многие аэропорты фиксируют номерные знаки всех автомобилей, помещенных на стоянку, – международный аэропорт Денвера в целях безопасности записывает номера всех машин, въезжающих на территорию аэропорта.

GPS (спутниковая система определения координат) – это фантастическая технология наблюдения. По крайней мере две компании поставляют на рынок «умные» автомобильные локаторы на основе GPS. Некая компания продает автоматические системы складского учета, использующие GPS и передатчики, прикрепляемые к объекту. Передатчики сигнализируют о своем местоположении, а центральный компьютер следит, где что находится. Вероятно, у шпионов давно уже была возможность использовать такого рода игрушки, но сейчас это – предмет потребления, поэтому папа знает, где его сын берет машину.

Секретность личной жизни расползается по швам. Это происходит малозаметно, и никто не высказывает протеста. Но все меньше и меньше конфиденциальности доступно, и большинство людей совершенно не обращает на это внимания.

Устройства слежения становятся дешевле, меньше размерами и распространяются повсеместно. Похоже, что скоро мы будем жить в мире, где конфиденциальность будет невозможна нигде и никогда.

Базы данных

Исторически нарушение конфиденциальности касалось только наблюдения. Затем в 1960-е годы общество достигло критической черты. В бизнес пришли компьютеры с большими базами данных, и организации стали накапливать базы данных, содержащие информацию об отдельных людях. Недавно мы достигли второй критической границы: компьютеры, объединенные в сеть, позволяют совместно использовать, сравнивать и объединять отдельные базы данных. Значение подобных действий для скрытости частной жизни мы можем ощущать все время. Мы ухитрились успешно преодолеть Большого Брата только для того, чтобы затеряться в сетях Младших Братьев. Для начала можно за кем-нибудь незаметно понаблюдать.

В последнее время собирают и сохраняют все больше и больше данных – из-за того, что сбор информации стал дешевле, и благодаря тому, что люди оставляют больше электронных «отпечатков» в повседневной жизни. Большинство таких данных собирают и сравнивают друг с другом. Многое доступно в режиме онлайн. Отсюда вывод: собрать на кого-нибудь подробное досье совсем несложно.

Многие базы данных – коммерческие: огромные кредитные базы данных, принадлежащие Experian, TransUnion, Equifax; телефонные базы данных, фиксирующие отдельные звонки; базы данных кредитных карт, содержащие информацию о личных покупках. Информацию можно использовать по прямому назначению или продать для каких-то других целей. В этих случаях доступ к ней законен, но потенциальный доступ к информации имеется и у тех, кто достаточно умел, чтобы взломать компьютер. Можно сравнивать между собой базы данных: информацию о вашем здоровье, финансовые подробности, любые сведения об образе жизни, которые вы когда-либо предавали огласке. В 1999 году в прессе была небольшая перепалка из-за того, что некоторые общественные каналы телевидения продали список жертвователей Демократической партии. В 2000 году общественный протест вынудил DoubleClick отказаться от своих планов по сопоставлению записей веб-серфинга отдельных личностей.

Веб дает больше возможностей для вторжения в частную жизнь. Электронные магазины могут, теоретически, сохранять записи обо всем, что вы купили (Blockbuster, например, фиксирует в базе данных все видео, которые вы брали напрокат). Также можно сохранять записи обо всем, на что вы просто смотрели: любой предмет, по которому вы просили показать более полную информацию, любую тему, по которой вы искали данные, как долго вы изучали каждый вопрос, а также не только что вы купили, но и на что вы смотрели и не купили.

Оперативные базы данных оказывают огромную помощь полиции по обеспечению правопорядка – они действительно помогают автоматически получить оперативные сведения и фотографии прямо в патрульную машину, – но остается опасность нарушения конфиденциальности. Полицейские базы данных не более безопасны, чем любые другие коммерческие базы данных, но информация в них намного более секретная.

Анализ трафика

Анализ трафика – это изучение параметров передаваемой информации. Не содержимого самого сообщения, а его характеристик. Кто с кем общается? Когда? Насколько длинные сообщения? Как быстро посылаются ответы, насколько они длинные? Какого рода связь возникает после получения определенного сообщения? Это все вопросы анализа трафика, и ответы на них могут быть очень информативны.

Например, то, что каждый раз, когда Алиса шлет длинное сообщение Бобу, Боб посылает короткий ответ Алисе и длинное сообщение пяти другим людям, указывает на цепь передачи команд. Алиса просто отсылает распоряжения Бобу, который передает их своим подчиненным. Если Алиса регулярно посылала Бобу короткие сообщения и внезапно посылает ряд длинных, то это говорит об изменении чего-то (чего?).

Часто даже системы передачи информации так же важны, как сама информация. Например, простой факт, что Алиса звонит каждую неделю известному террористу, более важен, чем детали их разговора. Нацисты использовали данные анализа телефонных счетов в оккупированной Франции, чтобы арестовывать друзей арестованных; их на самом деле не интересовало, о чем был разговор. Звонки из Белого дома Монике Левински довольно показательны даже без записи беседы. В часы, предшествующие американской бомбардировке Ирака в 1991 году, доставка пиццы в Пентагон стократно возросла. Любой, обративший на это внимание, точно знал: что-то произошло (довольно интересно, что ЦРУ заказывало такое же количество пиццы, как обычно). Некоторые исследования показывают, что даже если вы зашифруете свой веб-трафик, анализа, основанного на размере зашифрованных веб-страниц, более чем достаточно, чтобы понять, что вы просматриваете.

Хотя военные используют анализ трафика уже десятки лет, он до сих пор – новая область исследований в академическом мире. Мы в действительности не знаем, насколько коммуникации, особенно наши интернет-связи, уязвимы для анализа трафика и что можно сделать для снижения риска. Ожидается, что в будущем это будет важной научной областью.

Широкомасштабное электронное наблюдение

ECHELON – это кодовое обозначение автоматизированной глобальной системы перехвата, управляемой службами безопасности США, Великобритании, Канады, Австралии и Новой Зеландии, возглавляет которую Агентство национальной безопасности. По оценке специалистов, ECHELON перехватывает ежедневно до 3 миллиардов сообщений, включая телефонные звонки, сообщения электронной почты и информацию Интернета, спутниковые передачи и т. п. Система собирает все эти передачи без разбора, а затем сортирует и очищает информацию при помощи программ искусственного интеллекта. В некоторых источниках заявляется, что ECHELON анализирует 90% данных интернет-трафика, хотя это кажется сомнительным[11].

Такие попытки широкомасштабного наблюдения устрашают и порождают некоторые уникальные проблемы. Информация, полученная таким путем, полезна, если только придать ей вид, в котором люди могли бы ее понять и действовать в соответствии с результатами ее анализа. Соединенные Штаты перехватили сообщение для японского посла в Вашингтоне, в котором обсуждалась бомбардировка Пирл Харбора, но эта информация приобрела смысл только в ретроспективе и не могла обрести его раньше из-за низкого уровня квалификации служащих, к которым она попала. Но трудно не только анализировать данные, но и принять решение, что нужно записывать.

Потенциально перехват системой ECHELON – нескончаемый поток данных, который никогда не смогли бы обработать сколь угодно много аналитиков. Перехватывающее устройство должно решить в реальном времени, стоит или нет записывать часть информации для дальнейшего анализа. И система не может позволить себе слишком много «дальнейших анализов» – она должна продолжать запись информации. Я уверен, что наиболее ценная часть записанной информации никогда не будет изучаться людьми подробно.

Чтобы построить систему, аналогичную этой, вам следовало бы инвестировать деньги в две технологии: возможности первичной обработки и анализ трафика.

Оборудование перехвата должно получить возможность быстро характеризовать фрагменты информации: кто отправитель и получатель, тему сообщения, как ее классифицировать. (Если вы считаете, что трудно проделать такую работу с информацией Интернета и электронной почты, подумайте, как сложно это сделать при речевом общении.) Во многом эта технология похожа на ту, что заложена в поисковых системах.

Анализ трафика еще более важен. Схемы трафика проясняют многое о любой организации, и их намного проще собирать и анализировать, чем реальные коммерческие данные. Эти схемы также поставляют дополнительную информацию для первичной обработки. Тщательно разработанные базы данных по схемам трафика, несомненно, являются сердцем любой подобной ECHELON системы.

Последний аккорд: в мире, где большинство сообщений не зашифровано, зашифрованные сообщения, возможно, записываются регулярно. Простого знака, что собеседники не хотят, чтобы их подслушали, будет достаточно, чтобы бить тревогу.

Атаки ради рекламы

Концепция атак ради известности очень проста: «Как мне атаковать систему, чтобы мое имя появилось в газетах?» Такой тип атаки является относительно новым в цифровом мире: несколько лет назад взлом компьютерной системы не считали достойным освещения в прессе, и я не могу найти в истории никакой другой технологии, которую люди пытались бы испортить только для того, чтобы их упомянули в газете. В физическом мире, однако, этот тип атаки древен: человек, который сжег Храм Артемиды в Древней Греции, сделал это только потому, что хотел, чтобы его имя осталось в веках. (Кстати, его звали Герострат.) Из более позднего упомяну искавших того же детей, которые расстреляли школу в Колумбине.

Большинство злоумышленников такого типа – это хакеры: умельцы, много знающие о системах и их безопасности. Часто у хакеров есть доступ к значительным ресурсам – в лице студентов большого университета или служащих крупных компаний. У них обычно нет больших денег, но иногда случается избыток времени. Кроме того, они чаще всего не делают того, что может привести их в тюрьму: основная их цель – огласка, а не заключение под стражу.

Канонический пример такой атаки: два аспиранта университета Беркли в 1995 году взломали схемы кодирования Netscape Navigator. Обнаруженные в системе слабые места аспиранты не использовали для получения незаконной прибыли, а просто позвонили в Нью-Йорк Таймс. Реакция Netscape была примерно такая: «Мы провели ряд вычислений и полагаем, что такая атака потребовала бы безумных затрат; мы не думаем, что взлом системы стоил бы чьих-то усилий». Они правы: взлом не стоит усилий… для того, кого интересуют деньги. У аспирантов были все навыки, доступ ко всем свободным компьютерам в университете и никакой общественной жизни[12].

Что важно осознать создателям систем – так это то, что люди, желающие огласки, не укладываются в ту же модель, что и преступники. Преступники будут атаковать систему, только если от этого можно получить выгоду; люди, которым необходима огласка, будут нападать на систему, если высока вероятность, что это станет освещаться прессой. Для них атаки, направленные на крупномасштабные системы и широко распространенные программные продукты, – лучше всего.

Иногда такие атаки мотивируют тем, что требуется привлечь внимание к проблеме. Многие компании игнорируют уязвимость своей системы безопасности, если не привлечь к ней внимание общественности. Если исследователь объявляет атаку, компания-жертва будет суетиться, чтобы исправить ситуацию. Таким образом, атаки повышают безопасность систем.

Атаки ради известности могут дорого обходиться. Клиенты могут после такой атаки отказаться от одной системы в пользу другой, как уже произошло после нескольких атак на банковские системы. Инвесторы могут отказать жертве в фондах. Это уже произошло с индустрией цифровой сотовой связи после подобных атак, показавших недостатки защитных мер по отношению к конфиденциальности и краже. Ситибанк лишился многих значительных вкладов после взлома хакером из Санкт-Петербурга. Взлом системы безопасности цифровых видеодисков (DVD) приостановил поступление на рынок продуктов Sony после рождества 1999 года. В 2000 году CD Universe потеряли множество клиентов в результате того, что хакеры украли с веб-сайта компании 300 000 номеров кредитных карт. Иногда дурная слава обходится дороже, чем реальная кража.

Атаки ради известности грозят и другими опасностями. Одна из них – в том, что о таких атаках узнают преступники и будут использовать успешную методику. Другая – в том, что доверие общества к системам разъедается оглаской подобных фактов. В частности, это может быть основной проблемой для электронных коммерческих систем. Банки вынуждены сохранять в тайне успешные атаки преступников на их системы с тем, чтобы не волновать общественность. Но хакеров и образованных людей гораздо труднее урезонить, и они продолжают держать в поле зрения коммерческие системы. Если где-то в системе безопасности есть прорехи, кто-нибудь найдет их и созовет пресс-конференцию. Может быть, не первый, кто обнаружит прорехи, но кто-нибудь огласит все. Компании должны быть готовы к этому.

«Дефейс» – подмена чьих-нибудь веб-страниц – одна из форм атак ради известности. Это обычно становится важной новостью в средствах массовой информации. В 1996 году таковой стал взлом веб-сайта Министерства юстиции. Тот же эффект имел в 1997 году взлом сайта AirTran, а в 1998 – главной страницы сайта газеты New York Times.

В те дни настроения были таковы, что на некоторых сайтах вовсе не ожидали нападений. Студия Метро-Голдуин-Майер/Юниверсал была шокирована, когда в 1995 году взломали веб-сайт их фильма «Хакеры». А в 1997 студия Юниверсал Пикчерз сама взломала свой веб-сайт фильма «Парк юрского периода» в рекламных целях. (Она пыталась сделать вид, что это дело рук хакеров, но имитированный сайт выглядел слишком профессионально, а взломанная страница была загружена на сайт заранее, за три дня.)

В наши дни подобные атаки происходят настолько часто, что их только вскользь упоминают в новостях. Возможно, все основные веб-сайты американского правительства были взломаны в 1999 году, как были взломаны веб-сайты множества местных (муниципальных) и иностранных правительств. Я привел в первой главе список из 65 повреждений веб-сайтов в первую неделю марта 2000 года. Системные администраторы уже привыкли к этой проблеме.

Атаки, приводящие к отказам в обслуживании

Совсем недавно атаки типа «отказ в обслуживании» стали де-юре-атаками, направленными на огласку. Это произошло только вследствие их широкого освещения в прессе и, будем надеяться, они вскоре перестанут быть новостью. Идея в том, чтобы просто остановить работу чего-нибудь. И, как вам скажет любой, кому приходилось иметь дело с бастующими рабочими – водителями автобусов, диспетчерами воздушного движения, рабочими на ферме и т. п., – такие атаки весьма эффективны.

В физическом мире есть и другие атаки, приводящие к отказам в обслуживании, например блокады и бойкоты. Все эти атаки имеют свои аналоги в киберпространстве. Имея достаточные возможности телефонной связи, можно заблокировать все соединения модема локального поставщика услуг Интернета. Аналоговая сотовая телефонная сеть испытывает затруднения с соединением, если перемещающийся пользователь переходит от одной ячейки к другой; можно сидеть на холме с направленной антенной и, медленно поворачивая ее туда-сюда, заблокировать все каналы ближайших ячеек.

Нападения, приводящие к отказам в обслуживании, работают, поскольку компьютерные сети являются сетями связи. Некоторые простые атаки, вроде передачи слова «привет», можно автоматизировать до такой степени, что они становятся атаками, приводящими к отказам в обслуживании. Так в основном устроены атаки, рассчитанные на «затопление» сети, которым подверглись некоторые провайдеры в 1996 году.

Вот другая атака, повлекшая отказ в обслуживании: в середине 1980-х политическая организация Джерри Фолвелла установила бесплатный телефон для разных целей. Один парень запрограммировал свой компьютер на то, чтобы непрерывно набирать этот номер, а затем вешать трубку. Таким образом он осуществил две вещи: во первых, занял линию, и люди, которым действительно нужно было позвонить по этому номеру, не могли дозвониться, а во-вторых, организации Фолвелла приходилось платить деньги за каждое соединение. Прелестный пример атаки, приводящей к отказу в обслуживании.

Подобные действия могут быть прелюдией к преступной атаке. Взломщики подходят к складу в 1:00 ночи и перерезают провод охранной сигнализации, ведущий к полицейскому участку. Сигнализация срабатывает и предупреждает полицию, что провод поврежден. Взломщики отступают на безопасное расстояние и ждут, когда приедет полиция. Полиция приезжает и ничего не обнаруживает. (Если преступники изобретательны, они перережут провод в незаметном месте.) Полиция решает, что проблема в системе, а владельцы склада решают, что разберутся с ней утром. Полиция уезжает. Взломщики возвращаются и уносят все, что хотят.

Вариант этого сценария, который, как подтверждается несколькими случаями, дает гарантированный результат, – это атака телефонного узла, через который проходит сигнал тревоги. Многие типы сигнализации включают в себя устройство, которое посылает в полицейский участок сигнал о нарушении защиты. При атаке телефонного узла этому сигналу не пробиться, и полиция не узнает, что сигнализация сработала.

Вот другой пример: военная база, окруженная забором, снабженным сенсорами движения. Злоумышленники берут кролика и перекидывают его через забор, а затем убегают. Срабатывает сенсор движения. Охрана приходит, ничего не обнаруживает и возвращается на пост. Злоумышленники повторяют всю процедуру, охрана вновь реагирует. После нескольких таких ночей охрана отключает сенсор движения. И злоумышленники на джипе протаранивают забор. Такого рода атаки неоднократно использовались против русских военных баз в Афганистане и, в качестве проверки охраны, на некоторых военных базах США. Они удивительно удачны.

Похожая атака, предположительно, была предпринята против советского посольства в Вашингтоне, округ Колумбия. Американцы подожгли сласти (по существу, кусок сахара) у окна посольства. От треска включилась сигнализация, но сахарный шарик испарился, и не было заметно, из-за чего возникла тревога. Затем следующий шарик. Чпок. Тревога. Ничего. В конечном итоге сигнализацию изменили так, чтобы резкий звук за окном не включал бы ее. (Я не знаю, произошло ли в результате этой атаки реальное проникновение или это был просто способ подействовать на нервы охране советского посольства.)

Более близкий пример: широко используемый метод кражи автомобилей заключается в том, чтобы включать сигнализацию в 2 часа ночи, 2:10, 2:20, 2:30… пока владелец машины не отключит ее, чтобы успокоить разгневанных соседей. Утром машины нет.

Во время войны атаки, приводящие к отказам в обслуживании, используют все время. Каждая из сторон пытается заблокировать вражеские системы радиолокации и управления стрельбой, нарушить системы коммуникации, взорвать мосты. Одно из свойств подобных атак в том, что для них часто нужен низкий, а не высокий технический уровень: взорвать компьютерный центр намного проще, чем использовать уязвимые места Windows 2000.

Атаки, приводящие к отказам в обслуживании в Интернете, детально обсуждаются в главе 11.

«Законные» атаки

В 1994 году в Великобритании один человек обнаружил, что его банковский счет пуст. Когда он подал жалобу на то, что последние шесть процедур снятия денег со счета он не производил, его арестовали и обвинили в краже. Британский банк заявил, что система безопасности кредитных карт непогрешима, а подсудимый, несомненно, виновен. Когда адвокат изучил доказательства, он обнаружил следующее:

1. У банка нет службы безопасности и гарантии качества программного обеспечения.

2. В нем никогда не проводились проверки безопасности.

3. Обсуждаемые изъятия денег никто не проверял.

Фактически программисты банка заявили, что поскольку код написан на ассемблере, в нем не может быть проблем (дескать, если бы там были ошибки, то они привели бы к поломке системы). Так или иначе, этого человека осудили. При рассмотрении апелляции банк представил суду гору документов, подготовленных аудиторской фирмой и подтверждающих безопасность системы. Когда защита потребовала неограниченного доступа к системе для того, чтобы самостоятельно оценить степень ее безопасности, банк отказал, но обвинение было снято.