Между 100 системами возникает около 5000 взаимодействий, то есть появляется порядка 5000 потенциальных уязвимостей. Между 300 системами – 45 000 взаимодействий, между 1000 – 500 000. Бо́льшая часть взаимосвязей окажется безобидной, но некоторые возымеют разрушительные последствия.
Существует три принципиальных отличия между тем, как выходят из строя компьютеры и прочие устройства.
Отличие первое: расстояние не имеет значения. В реальном мире мы беспокоимся о том, как защититься от среднестатистического врага. Мы не покупаем дверной замок, чтобы сдержать лучшего в мире взломщика, – мы покупаем дверной замок, чтобы сдержать обычного вора, который, возможно, крутится возле дома. Я живу в Кембридже (штат Массачусетс) и мало тревожусь из-за суперквалифицированной воровки из Канберры (Австралия). Вряд ли она полетит через полмира, чтобы ограбить мой дом. Но вот мою домашнюю сеть хакерша из Канберры взломает так же легко, как взламывает сеть того, кто живет на противоположной от нее стороне улицы.
Отличие второе: способность атаковать компьютеры не связана с особыми умениями. Да, создание ПО требует определенного мастерства. Та же самая суперквалифицированная хакерша из Канберры – виртуоз и отличный кодер. Она способна создать вредоносное программное средство, запустить его в работу, автоматизировать процесс – заставить его работать уже без своего участия – и передать любому человеку, даже не программисту. Подобная последовательность действий поспособствовала появлению термина «скриптомалыш» – это человек с минимальной квалификацией, но мощным ПО. Если бы лучший в мире вор мог делиться инструментом, который позволил бы обычному (среднестатистическому) воришке проникнуть к вам в дом, вы беспокоились бы о безопасности жилища куда сильнее.
В интернете потенциально опасные хакерские инструменты распространяются постоянно. Взломщик, создатель ботнета Mirai, сделал свой код доступным любому, и за неделю тот был интегрирован в десяток программ для взлома{105}. Мы называем такие программы вредоносными. Это черви[14], вирусы и руткиты[15]. Хакеры приобретают руткиты на черном рынке, берут или сдают их в аренду{106}. Известно, что европейские компании HackingTeam и Gamma Group поставляют вредоносные программные средства на рынки менее развитых государств{107}. Установлено, что за фишинговыми атаками, которые привели к взлому почтовых серверов Национального комитета Демократической партии США в 2016 г., стоял Карим Баратов, 21-летний гражданин Казахстана и Канады{108}. Вредоносный код был разработан опытным российским хакером Алексеем Беланом.
Отличие третье: компьютеры выходят из строя единовременно или не выходят из строя совсем. «Взлом класса» – термин из сферы компьютерной безопасности, обозначающий вывод из строя целого класса систем{109}. Причиной может служить уязвимость операционной системы (ОС), позволяющая хакеру взять под контроль каждый работающий на ней компьютер, или «дыра» в подключенных к интернету цифровых видеомагнитофонах и веб-камерах, которая дает злоумышленнику возможность включить эти устройства в ботнет.
От «взлома класса» в 2017 г. пострадала эстонская система национальных идентификационных карт. Из-за уязвимости в формировании криптографических ключей правительство приостановило действие около 760 000 ID-сертификатов, которые использовались в сфере госуслуг, причем некоторые типы карт имели высокую степень защиты{110}.
Риски усугубляются однообразием ПО и аппаратных средств, принадлежностью их к определенной монокультуре. Мы пользуемся одной из трех компьютерных ОС и одной из двух мобильных ОС. Больше половины людей во всем мире пользуются веб-браузером Chrome, предпочтения остальных распределяются между пятью другими. В качестве текстового редактора большинство из нас используют Microsoft Word, а в качестве табличного – Excel. Почти все мы читаем файлы в формате pdf, просматриваем их в формате jpeg или avi, прослушиваем в формате mp3. Почти все устройства в мире связываются между собой с помощью интернет-протоколов TCP/IP. И базовые компьютерные стандарты – не единственная причина формирования монокультуры. Согласно данным Министерства национальной безопасности США на 2011 г., система GPS жизненно необходима для 11 из 15 важнейших секторов инфраструктуры{111}. «Взлом класса» в этом и в других протоколах сильно повлияет как на миллионы устройств, так и на миллионы людей. Сегодня интернет вещей демонстрирует определенное разнообразие, но, если не изменятся базовые принципы экономической политики, в нем останутся пара-тройка процессоров, одна-две ОС, несколько контроллеров и столько же протоколов обмена данными.
«Взломы класса» приводят к проникновению в системы червей, вирусов и других вредоносных программ. Подумайте о принципе «одна атака – множественный урон». Мы говорим о мошенничестве с голосованием как о голосовании неавторизованных лиц, а не о желании одного-единственного человека или организации удаленно манипулировать машинами для голосования или списками избирателей. Но именно так системы и выходят из строя – хакеры взламывают машины.
Рассмотрим пример. На то, чтобы овладеть мастерством, карманнику нужно время. Каждая потенциальная жертва – это новая задача, однако каждая успешная кража не гарантирует успеха в будущем. Но когда речь идет о взломе электронного замка наподобие тех, что устанавливаются в отелях, не нужно тратить годы и нарабатывать сноровку. Достаточно выявить конструктивный дефект и создать карту-ключ, которая отомкнет любую дверь. Если взломщик опубликует хакерскую программу, то вскрыть электронный замок сможет кто угодно. Подключим сюда интернет – и злоумышленник станет открывать двери, оборудованные электронной системой запирания, удаленно. Причем все за один прием. Это «взлом класса».
В 2012 г. «взлом класса» коснулся Onity – компании по производству электронных дверных замков; они установлены в четырех миллионах гостиничных номеров таких сетевых отелей, как Marriott, Hilton и InterContinental{112}. Самодельный код позволил хакерам открыть все замки за несколько секунд. Инструкция по его применению распространилась очень быстро, однако руководству Onity потребовалось несколько месяцев, чтобы просто узнать о взломе электронной системы{113}. Из-за отсутствия способа пропатчивания (вернемся к вопросу в главе 2) гостиничные номера оставались под угрозой в течение нескольких месяцев и даже лет.
«Взлом класса» – далеко не новое понятие в теории риск-менеджмента. Кража или пожар вряд ли произойдут сразу во всех соседних квартирах, однако землетрясения или наводнения, которые либо затрагивают весь район, либо обходят его стороной, – другое дело. Компьютерная система несет черты как тех, так и других видов бедствий.
Подобная природа компьютерных сбоев меняет основу системы безопасности и наше представление о методах защиты. Угроза, исходящая от среднестатистического злоумышленника, нас не беспокоит – нас беспокоят экстремальные ситуации и отдельные личности, способные навредить всем и каждому.
Стандарт шифрования данных (Data Encryption Standard – DES) – алгоритм шифрования, разработанный в 1970-е гг. Предусмотренный в нем уровень безопасности отвечал запросам времени и позволял противостоять попыткам взлома. По оценке экспертов-криптографов, сделанной в 1976 г., стоимость создания машины, способной хакнуть DES, составила бы $20 млн{114}. В книге «Прикладная криптография» (Applied Cryptography){115}, которая вышла в 1995 г., я пишу, что стоимость снизилась до $1 млн. В 1998 г. Фонд электронных рубежей[16] за $250 000 построил машину, которая взломала DES менее чем за сутки{116}. Сегодня на это способен даже ноутбук.
В 1990-е гг. сотовые телефоны «доверяли» вышкам мобильной связи без какой бы то ни было аутентификации. А все потому, что процесс аутентификации был непростым. Так же непросто было задействовать и фейковые вышки. Перенесемся на пять лет вперед, когда фальшивые сотовые вышки стали секретным средством слежки ФБР{117}. Переместимся еще на пять лет вперед. Фейковая вышка – настолько обычная вещь, что хакеры демонстрируют ее возможности прямо во время конференций.
Аналогичным образом увеличивающееся быстродействие компьютеров позволяет использовать их для раскрытия паролей, которые перебираются до тех пор, пока не найдется верный. При этом длина и сложность пароля, который хочет и может запомнить обычный человек, не изменились. В результате мы пользуемся паролями, которые считались надежными 10 лет назад, но сейчас таковыми уже не являются.
От сотрудника АНБ я услышал следующий афоризм: «Атаки не становятся хуже, они только совершенствуются». Год от года на взлом уходит все меньше времени, средств и усилий. То, что сегодня существует в теории, завтра будет применяться на практике. Информационные системы используются намного дольше, чем планируется, и мы вынуждены предугадывать действия злоумышленников с учетом развития технологий.