KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Прочая околокомпьтерная литература » Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Брюс Шнайер, "Секреты и ложь. Безопасность данных в цифровом мире" бесплатно, без регистрации.
Перейти на страницу:

Новым здесь является не то, что данные выплывают наружу, а то, как просто их можно собирать, использовать и злоупотреблять ими. И дела становятся все хуже: собирается все больше данных. Банки, авиалинии, каталоги компаний, фонды медицинского страхования – все они хранят информацию частного характера. Множество веб-сайтов собирают и продают персональные данные. А почему нет? Хранение данных дешево и, может быть, когда-нибудь пригодится. Такие разнообразные архивы в конце концов появляются в общедоступной сети. И все больше и больше данных оказывается собрано и снабжено перекрестными ссылками. Автоматизация переводит добычу информации на новую ступень.

Действие на расстоянии

Как любят подчеркивать специалисты по технологиям, Интернет не имеет границ или естественных ограничений. Любые две вещи одинаково тесно связаны, будь они расположены в разных концах комнаты или планеты. Одинаково просто активизировать работу компьютера в Тулузе с компьютера в Тунисе и с компьютера в Таллахассии (Tallahassee). He нравятся законы о цензуре или законы о компьютерных преступлениях в вашей стране? Найдите страну, которая вам нравится больше. Страны вроде Сингапура пытались ограничить возможности своих граждан в отношении поиска в Сети, но строение Интернета делает задачу блокировки его отдельных частей неосуществимой. По мнению Джона Гилмора, «цензура Интернета – это его повреждение и разгром».

Это означает, что нападающим в Интернете не нужно находиться где-то рядом со своей добычей. Нападающий может сидеть за компьютером в Санкт-Петербурге и атаковать компьютер Ситибанка в Нью-Йорке. Такое изменение положения вещей породило гигантские последствия для безопасности. Раньше, если вы строили товарный склад в Буффало, вам приходилось беспокоиться только о преступниках, которые могли бы приехать в Буффало и вломиться в ваш склад. С тех пор как благодаря Интернету все компьютеры стали равноудалены от любого другого компьютера, вам надлежит принимать во внимание преступность всего мира.

Глобальная природа Интернета также затрудняет поиск преступников и их обвинение. Найти нападающих, ловко скрывающих свое местонахождение, может быть почти невозможно, и, если вы даже найдете их, что будете делать? Преступность ограничена только в том, что касается политических границ. Но если у Интернета не существует физической территории, на которой можно было бы его контролировать, то кто обеспечит его безопасность?

К настоящему времени все правоохранительные органы, которые могли бы предъявить претензии к Интернету, уже пытались это сделать. Данные пришли из Германии? Тогда это в юрисдикции немецких законов. Они адресованы в Соединенные Штаты? Тогда это дело американского правительства. Они проходили через Францию? Если так, французские власти ответят qu'il s'est passe[4]. В 1994 году операторов компьютера BBS в Милпитасе, штат Калифорния, – где находились и люди и компьютеры – судили и признали виновными в суде Теннесси, потому что кто-то в Теннесси сделал междугородный телефонный звонок в Калифорнию и загрузил порнографические картинки, которые, как обнаружилось, разрешены в Калифорнии, но неприличны в Теннесси. Операторы BBS никогда до судебного процесса не бывали в Теннесси. В июле 1997 года 33-летняя женщина была осуждена швейцарским судом за отправку порнографии через Интернет – хотя с 1993 года она жила в США. Имеет ли это какой-то смысл?

Тем не менее обычно преследование судебным порядком невообразимо трудно. До того, как их «вычислят», преступники могут использовать неразбериху в качестве ширмы. В 1995 году 29-летний хакер из Санкт-Петербурга заработал 12 миллионов долларов, вломившись в компьютер Ситибанка. Ситибанк случайно обнаружил взлом и вернул себе большую часть денег, но встретил огромные сложности с выдачей хакера, чтобы подвергнуть его суду.

Такая разница в законах между различными штатами и странами может даже привести к высокотехнологичной форме выбора области юрисдикции. Иногда это работает в пользу обвинителя, как, например, осуждение в Теннесси калифорнийской BBS. В других случаях она идет на пользу преступникам: преступному синдикату, у которого достаточно денег, чтобы предпринять широкомасштабную атаку на финансовую систему, не так трудно найти страну, у которой слабые законы о компьютерной преступности, несомненно продажные офицеры полиции и никаких договоров о выдаче преступников.

Распространение технических приемов

Третье свойство – это легкость, с которой опыт удачных атак распространяется по киберпространству. НВО – компанию, занимающуюся кабельным телевидением, не очень заботит, что кто-нибудь может создать дешифратор для их базы. Для этого требуется время, сноровка и некоторое количество денег. Но что, если этот «кто-нибудь» опубликует простой метод получения любым человеком бесплатного спутникового телевидения? Без всякой работы? Безо всякого оборудования. «Просто наберите эти семь цифр на вашем пульте дистанционного управления, и вам никогда больше не придется платить за кабельное телевидение». Это может увеличить количество пользователей, не производящих платежи, до миллионов и ощутимо повлиять на прибыльность компании.

Физические фальсификации – это сложная, но решаемая задача. Двадцать лет назад мы продавали шаху Ирана какие-то старые машины глубокой печати. Когда к власти пришел аятолла Хомейни, он сообразил, что гораздо выгоднее печатать стодолларовые банкноты, чем иранские риалы. ФБР называет эти подделки суперзнаками, поскольку они почти безупречны. (Вот почему в США изменили дизайн денег.) В то время как ФБР и секретные службы заламывали руки, Министерство финансов произвело некоторые подсчеты: иранские печатные станки могут печатать только какое-то количество денег в минуту, в году только столько-то минут, то есть можно посчитать максимальное количество фальшивых банкнот, которое иранцы в силах выпустить. Казначейство решило, что это количество фальшивок не повлияет на денежную стабильность, так что не стоит серьезно беспокоиться о национальной безопасности.

Если бы производство фальшивых денег использовало электронику, все было бы по-другому. Электронный фальшивомонетчик может автоматизировать процесс, написать программу и поместить ее где-нибудь на одном из веб-сайтов. Люди будут загружать эту программу и запускать необнаруживаемое производство фальшивых электронных денег. К полудню эта информация могла бы оказаться в руках первых 1000 фальшивомонетчиков; следующие 100 000 получили бы ее в течение недели. Денежная система США смогла бы разрушиться за неделю. Уже не существовало бы максимального предела усиления мощности этой атаки – в киберпространстве она может возрастать экспоненциально.

Интернет представляет собой еще и совершенную среду для распространения удачных приемов нападения. Только первому нападающему приходится быть изобретательным, все остальные могут просто использовать его программы. После того, как автор изобретения включает их в какой-нибудь архив, удобно расположенный где-нибудь в экономически отсталых странах, любой способен загрузить и использовать их. И, однажды выпущенные в свет, они уже не поддаются контролю.

Мы рассматривали эту проблему на примере компьютерных вирусов: дюжина сайтов позволяет вам загрузить компьютерные вирусы, наборы инструментов для их конструирования и модели самих вирусов. Ту же картину мы видим с хакерскими инструментами: комплекты программного обеспечения, которые вызывают поломку компьютеров, крушат серверы, обходят защиту от копирования или используют недостатки конструкции браузеров, чтобы красть данные из машин пользователей. Вирусы Интернета всегда порождают вирусы на гибких дисках, что выглядит как необычная и привлекательная забава. Организация атак вида «отказ в обслуживании», направленных на основные веб-сайты, как в 2000, не требует никакой изобретательности: достаточно загрузить и запустить программу-сценарий. И поскольку электронные коммерческие системы широко распространены, мы видим, что автоматизированные нападения направлены и на них тоже.

Компьютерные атаки доказывают то, что преступникам не нужно обладать сноровкой, чтобы преуспеть.

Упреждающие меры вместо ответных

Традиционно коммерческие системы бегали наперегонки с мошенничеством: оперативная, в режиме онлайн, проверка кредитных карт была лишь ответной мерой на участившиеся кражи последних. Этот метод не сработает в Интернете, потому что время в нем течет очень быстро. Кто-то может провести успешную атаку на систему кредитных карт Интернета, написать программу, чтобы автоматизировать нападение, и за 24 часа программа станет доступна для полумиллиона людей по всему миру, и большинство из них невозможно будет потом ни в чем обвинить. Я представляю себе консультанта по безопасности, который входит в офис главного администратора и говорит: «У нас есть два варианта. Мы можем принять любую транзакцию как действительную, будь она законной или мошеннической, или не принимать ни те, ни другие». Главный администратор окаменел бы перед необходимостью такого выбора.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*