Михаэль ДОРФМАН
Недавно я побывал на представительном корпоративном семинаре, посвящённом хакерам и компьютерной безопасности. Здесь обычно говорят то, о чём СМИ не сообщают. А с помощью СМИ мы и так немало узнаём на эту тему. Например, о том, что хакеры взломали сайт компании «Сони», сайт авиационного гиганта «Локхид-Мартин» (что наделало много шума в профессиональных кругах), сайт Сената США. А хактивисты из Анонимуса взломали даже сайт ЦРУ! Никто не знает, впрочем, действительно ли это организованная группа или отдельные люди, действующие под известным брендом. Анонимус борется за идеи. В знак протеста против преследований активиста ВикиЛики Джулина Ассанджа они «уронили» в прошлом году сайты основных кредитных компаний MasterCard, VISA, PayPal. Ещё есть Lulz Sec – эти, судя по всему, просто прикалываются. Их название происходит от популярной аббревиатуры LOL, которая по-русски передается «ржунемагу». Именно они и объявили о взломе сайтов американского Сената, радиостанции PBS, а совсем недавно и ЦРУ.
Как крадут наши кредитки
Легко винить хакеров. Но что делать с организациями, не позаботившимися о безопасности данных? В конце концов, это и наша безопасность. Миллион имен пользователей и паролей с сайта «Сони» мог попасть в руки злоумышленников. Вместе с ними и номера кредитных карточек, имена и другая чувствительная информация. Куда меньше шуму было вокруг взлома маркетинговой фирмы Эпсилон, занимающейся торговлей информацией. Они имеют информацию многих крупных учреждений и крупных фирм.
Оказывается, проблема, ещё шире. Хакеры, кем бы они ни были, ищут известности и получают её. Если бы действовали только хакеры-энтузиасты, то беда была бы небольшой. Помимо хакеров в виртуальном мире действует ещё множество других деятелей, весь криминальный спектр – одиночки, группы, организованная преступность, национальные и международные банды. Да ещё спецслужбы тихой сапою крадут нашу информацию. Никто из них не заинтересован в рекламе. И по большей части, их работа не оставляет следов. Жертвы преступлений тоже не склонны разглагольствовать. Обычно жертва компьютерного взлома объявляет о случившемся лишь тогда, когда взломщики требуют этого.
Прошлось недавно посетить сайт — что-то вроде биржи краденой информации. Очень похоже на E-bay, только наоборот. Фон черный, буквы белые. Анонимные торговцы выставляют здесь на продажу номера кредитных карт и другую информацию. У каждого продавца свой рейтинг «порядочности», выраженный количеством звездочек. Перед продажей надо предоставить потенциальному клиенту образец, скажем, десять-двадцать номеров. Их проверяют, и если они работающие, то переводят деньги и получают товар. Если продавец даёт фальшивую информацию, либо продает лежалый товар, его рейтинг падает. Специальный алгоритм постоянно определяет рейтинг продавцов. Цена зависит от рейтинга. Покупают информацию здесь оптом, большими блоками, потому что в большинстве случаев засвеченные кредитные карточки быстро блокируют и лишь некоторые из них работают.
Специалисты утверждают, что буквально каждая кредитная карточка была взломана, не покидая нашего бумажника. Если не сегодня, то на прошлой неделе, или в прошлом году. Правда, экономический ущерб от этого небольшой. Кредитные компании обычно возвращают украденные деньги. Они в убытке никогда не останутся. Их убытки давно включены в цену, клиенты их уже с лихвой возместили.
Знакомая девушка N, студентка из Украины побывала несколько лет назад в США по студенческой программе. Проработала здесь всё лето. Недавно она захотела приехать ещё раз, но с удивлением узнала, что её долг в Америке составляет 18 000 долларов. N подозревает в мошенничестве посредника-армянина, устраивавшего её на работу, агента в Киеве и даже свою ближайшую подругу. Однако, куда более вероятно, что её кредитную информацию украли криминальные хакеры. Сейчас за 5 000 долларов адвокат отмывает её доброе имя, хотя былое восхищение перед жизнью в Америке у N пропало.
Банк всегда прав
Открою маленький грязный секрет правоохранительных органов. Они почти не занимаются индивидуальными случаями, как не занимаются, например, квартирными кражами. Их интересует «большая картина» — тенденции в мире криминальных хакеров, движение денег, новые приёмы. Ещё вопросы ответственности. Не так давно сайт одного крупного американского банка был взломан. В результате клиенты понесли ущерб на сотни тысяч долларов. Они подали в суд на банк, обвинив его в недостаточном обеспечении безопасности. Но суд принял сторону адвокатов банка, доказывавших, что банк не может нести ответственности за то, как преступники распорядились с информацией. Ещё бы! Ведь банкир – культурный герой, который кормит, поит, одевает и защищает американцев. Иное решение означало бы, что суд больше не защищает общественную систему США.
Хакеры утверждают, что они делают доброе дело, разоблачают неряшливость и недобросовестность в охране информации, и общество должно бы их только благодарить. Эксперты компьютерной безопасности в фирмах в этом не уверены. Скажем, если китайские хакеры, возможно, находящиеся на государственной службе, пытаются взломать сайт ЦРУ или другого государственного учреждения, то особой пользы для общества здесь не просматривается. Со своей стороны, эксперты по безопасности получают возможность заявлять, «а мы вам говорили». Скажем, сайт Ситибанка, взломанный хакерами из Lulz, был защищён так плохо, что, по словам эксперта, его могли взломать клиенты детского сада.
Как закладывают интернет-мины
В 2005 году в США было создано Кибер-командование США, ответственное за охрану систем Министерства Обороны. За охрану гражданских ресурсов отвечает Министерство Внутренней Безопасности. Наиболее уязвимым звеном эксперты считают систему электроснабжения США. Они указывает на угрозу логических мин, заложенных в мирное время. Такие мины способны обесточить противника в случае конфликта. Конкретных примеров таких атак не имеется. Либо их не было, либо не хотят публиковать информацию о них. Однако специалисты по безопасности считают такую угрозу весьма реальной. Мины могут быть задействованы не только противником в случае конфликта, но и в результате различных компьютерных и человеческих ошибок в самой системе, а также в результате хакерской атаки, когда хакеры могут случайно обнаружить такую мину. Интернет-мины могут парализовать жизнь целых регионов.
Ричард Кларк, автор нашумевшей книги о пробелах в компьютерной безопасности США, требует общественного обсуждения этой проблемы. Не скупиться он и на критику президентских программ модернизации инфраструктуры. По мнению Кларка программы президента Барака Обамы, вроде «умной электросети», становятся «уязвимой электросетью». В систему модернизации американской электросети, стоимостью миллиарды долларов ради максимализации прибылей и «экономии бюджета» не заложены расходы на её защиту. Наращивание автоматизации и компьютеризации электросети США влечет за собой массовые увольнения. Всё больше уязвимых для атаки точек и узлов могут выйти из-под контроля. Из той же «экономии» в программе не предусмотрены расходы по компьютерной безопасности.
Мой друг, нью-йоркский программист Йоэль Матвеев, любит говорить, что «винда» — это разновидность попсы и джанк-фуд («мусорной» быстрой еды, вроде известной сети «МакДональдс»). Однако здесь безопасность вступает в мировоззренческий конфликт с официальной американской идеологией свободнорыночной экономики, ведь задача капиталистического производства сделать всё подешевле и с максимальной прибылью. К сожалению, не только «МакДональдс», но и Пентагон руководствуется этой идеологией снижения расходов ради максимизации прибыли. Если Гугл способен сам защищать себя, то многие компании и учреждения, отвечающие за жизненно важные функции американской жизни, часто даже не располагают необходимыми ресурсами. Другие не считают расходы на охрану данных необходимыми. В деловых кругах Америки как догму воспринимают, что «безопасность не продаёт». Этим «крылатым» выражением в Америке руководствуются и тогда, когда отказываются оснащать устройствами безопасности циркулярные пилы и автомобили, и тогда, когда занимаются обеспечением безопасности ядерных электростанций. Делается лишь тот минимум, который необходим по закону, да и то лоббисты Большого бизнеса постоянно стараются смягчить нормы, упирая на «саморегуляцию силами свободного рынка».
Американские правительственные ведомства пользуются Microsoft Windows, несмотря на то, что Linux – бесплатный. За многие годы использования «винды» в ней накопилось огромное количество ошибок и уязвимых точек, которые многократно использовались для атак на американские государственные ресурсы в интернете. Из-за своей величины и политического веса, «Майкрософт» крайне не расположен к любым изменениям. «Майкрософт» — это страшно успешная империя, основывающаяся на доминировании на рынке и низкокачественных продуктах, — пишет в своей книге Ричард Кларк. — Годами оперативная система и аппликации «Майкрософт» как вездесущий интернет-браузер навязывались вместе с компьютерами, которые мы покупаем». «Винда» не предназначена для того, чтобы служить платформой важных систем. Проблема заключается в том, что «винда» есть везде «от боевых платформ до сердцевины банковских и финансовых сетей… После всего, ведь они куда дешевле, чем штучно созданные специализированные аппликации». Когда Пентагон покупает массовые продукты программного обеспечения, то вместе с ним он покупает «те же самые баги и уязвимые места, которые существуют и в нашем домашнем компьютере. Ведь за малую часть цены, требующуюся для разработки надежных систем можно купить кучу спикеров и лоббистов».
Знаменательно, что «Майкрософт» отказывается открыть свои исходные коды даже своим крупнейшим деловым клиентам в США. В то же время «Майкрософт» передал копию этих кодов китайскому правительству. «Оказавшись под угрозой запрета своей продукции в Китае, Билл Гейтс предоставил китайцам копии секретных операционных кодов. Китайцы модифицировали версию и продают внутри страны версию Windows со своими собственными шифровальными кодами». Китайцы также разработали собственную оперативную систему Kylin, ставшей платформой аппликаций Народно-освободительной армии Китая. Кларк бьёт тревогу и по поводу того, что китайцы продают контерфит-копии роутера Cisco по демпинговым ценам. По крайней мере, одна американская компания Syren была уличена в продаже этих роутеров ВВС США, Корпусу морской пехоты и многочисленным подрядчикам оборонной промышленности США.
В США пока не создана эффективная и всеобъемлющая стратегия кибер-войны. В июле 2011 года Пентагон собирается опубликовать свою доктрину обороны. «То, что кажется преимуществом США в сфере компьютеризации, ставит нас под угрозу, куда большую, чем другие нации, — пишет Кларк. — Этот новый вид войны не является плодом нашего воображения. Далекая от того, чтобы стать альтернативой традиционной войне, кибер-война лишь усиливает опасность конвенциональной войны с взрывами, пулями и ракетами. Если бы мы могли загнать джина назад в бутылку, мы бы это сделали. Но мы не можем».
Говард Шмидт, координатор Белого дома по кибер-безопасности, отвечая своим многочисленным критикам, заявил: «Если ты руководитель крупной корпорации, и тебе говорят, что надо лучше защищать информацию и интеллектуальную собственность, а ещё тебе говорят, готовься к кибер-войне, то это не тот язык, на который ты как бизнес-лидер будешь реагировать». Все знают, что, с точки зрения бизнеса, безопасность не имеет ничего общего не только с рентабельностью, но и с эффективностью.