Секреты и ложь. Безопасность данных в цифровом мире - Шнайер Брюс (первая книга TXT) 📗
Автоматизация – это друг нападающего. Если умный фальшивомонетчик изобрел способ чеканки безукоризненных пятицентовых монет, никто не будет беспокоиться. Фальшивомонетчик не сумеет сделать достаточно много этих монет, чтобы оправдать время и усилия. Телефонные хулиганы могли звонить бесплатно из телефонов-автоматов в пределах определенной местности практически сколько угодно с 1960-х до середины 1980-х. Конечно, телефонная компания была недовольна, что привело к грандиозным шоу с попыткой поймать этих людей, – но хулиганы не сильно повлияли на итоговую прибыль компании. В самом деле, вы не можете украсть столько десятицентовых телефонных звонков, чтобы это сказалось на доходе компании с многомиллиардным капиталом, особенно если себестоимость услуг близка к нулю.
В киберпространстве все иначе. Компьютеры имеют неоспоримое преимущество при решении повторяющихся, скучных задач. Наши фальшивомонетчики могут отчеканить миллион электронных пятицентовиков во время сна. Так называемая тактика «поэтапных нападений» – кража каждый раз небольшой части денег, по кусочкам, от каждого счета, приносящего процентный доход, – прекрасный пример того, что было невозможным без компьютеров.
Если вы спланировали крупную аферу, при помощи которой можно очистить чьи-нибудь карманы, а она срабатывает только один раз из 100 000 попыток, вы умрете с голоду, прежде чем ограбите кого-то. В киберпространстве вы можете настроить свой компьютер на поиск одного шанса из ста тысяч. Возможно, вы будете находить по целой дюжине таких шансов ежедневно. Если вы в состоянии привлечь другие компьютеры, то сможете находить сотни шансов.
Быстрая автоматика совершает атаки, даже если возможное число успешных попыток мизерно. Атаки, которые были слишком несущественны, чтобы обращать на них внимание в физическом мире, могут быстро стать основной угрозой в цифровом. Многие коммерческие системы совершенно не заботятся об этих мелочах: дешевле игнорировать их, чем с ними бороться. Им придется думать иначе с приходом цифровых систем.
Киберпространство, кроме того, прокладывает новую просторную дорогу для нарушения конфиденциальности просто в результате факта появления автоматизации. Предположим, вы проводите маркетинговую кампанию, направленную на богатых любящих родителей, вместе с детьми коллекционирующих марки с изображениями пингвинов. Это слишком трудоемко – ходить по всему городу и находить богатых граждан с детьми, которые любят пингвинов и интересуются марками. Для компьютерной сети нет ничего проще, чем сопоставить маркетинговую базу данных почтовых индексов людей с определенным годовым доходом, записи о датах рождения, списки подписчиков rec collecting stamps [2] и данные покупателей книг о пингвинах на Amazon com. Интернет дает в руки средства, позволяющие собрать все данные о человеке, когда-либо внесенные в пользовательскую сеть. Бумажные данные, даже если они общедоступны, трудно искать и трудно сопоставлять. Компьютеризованные данные найти существенно проще. Данные, внесенные в сеть, можно найти удаленно и сравнить с другими базами данных.
При определенных обстоятельствах получение этих данных незаконно. Частных лиц неоднократно преследовали в судебном порядке за просмотр секретных файлов полиции или информационно-поисковых систем. При других условиях это действие вполне обоснованно называется добычей данных. Например, большие компании, имеющие базу данных кредитных карт: Experian (раньше – TRW), TransUnion и Equifax, имеют горы сведений почти о любом человеке в США. Эту информацию собирают, сортируют и продают любому, кто готов за нее заплатить. Базы данных кредитных карт содержат ошеломляющее количество фактов о том, как люди привыкли тратить деньги: где они живут, что едят, как проводят отпуск – все это можно там найти. DoubleClick пытается построить базу данных, содержащую информацию об индивидуальных привычках веб-серферов [3]. Даже магазин бакалейных товаров ведет специальные карты постоянных покупателей, что позволяет получать данные о предпочтениях последних. Компания Acxiom специализируется на соединении информации частных и общедоступных баз данных.
Новым здесь является не то, что данные выплывают наружу, а то, как просто их можно собирать, использовать и злоупотреблять ими. И дела становятся все хуже: собирается все больше данных. Банки, авиалинии, каталоги компаний, фонды медицинского страхования – все они хранят информацию частного характера. Множество веб-сайтов собирают и продают персональные данные. А почему нет? Хранение данных дешево и, может быть, когда-нибудь пригодится. Такие разнообразные архивы в конце концов появляются в общедоступной сети. И все больше и больше данных оказывается собрано и снабжено перекрестными ссылками. Автоматизация переводит добычу информации на новую ступень.
Как любят подчеркивать специалисты по технологиям, Интернет не имеет границ или естественных ограничений. Любые две вещи одинаково тесно связаны, будь они расположены в разных концах комнаты или планеты. Одинаково просто активизировать работу компьютера в Тулузе с компьютера в Тунисе и с компьютера в Таллахассии (Tallahassee). He нравятся законы о цензуре или законы о компьютерных преступлениях в вашей стране? Найдите страну, которая вам нравится больше. Страны вроде Сингапура пытались ограничить возможности своих граждан в отношении поиска в Сети, но строение Интернета делает задачу блокировки его отдельных частей неосуществимой. По мнению Джона Гилмора, «цензура Интернета – это его повреждение и разгром».
Это означает, что нападающим в Интернете не нужно находиться где-то рядом со своей добычей. Нападающий может сидеть за компьютером в Санкт-Петербурге и атаковать компьютер Ситибанка в Нью-Йорке. Такое изменение положения вещей породило гигантские последствия для безопасности. Раньше, если вы строили товарный склад в Буффало, вам приходилось беспокоиться только о преступниках, которые могли бы приехать в Буффало и вломиться в ваш склад. С тех пор как благодаря Интернету все компьютеры стали равноудалены от любого другого компьютера, вам надлежит принимать во внимание преступность всего мира.
Глобальная природа Интернета также затрудняет поиск преступников и их обвинение. Найти нападающих, ловко скрывающих свое местонахождение, может быть почти невозможно, и, если вы даже найдете их, что будете делать? Преступность ограничена только в том, что касается политических границ. Но если у Интернета не существует физической территории, на которой можно было бы его контролировать, то кто обеспечит его безопасность?
К настоящему времени все правоохранительные органы, которые могли бы предъявить претензии к Интернету, уже пытались это сделать. Данные пришли из Германии? Тогда это в юрисдикции немецких законов. Они адресованы в Соединенные Штаты? Тогда это дело американского правительства. Они проходили через Францию? Если так, французские власти ответят qu'il s'est passe [4]. В 1994 году операторов компьютера BBS в Милпитасе, штат Калифорния, – где находились и люди и компьютеры – судили и признали виновными в суде Теннесси, потому что кто-то в Теннесси сделал междугородный телефонный звонок в Калифорнию и загрузил порнографические картинки, которые, как обнаружилось, разрешены в Калифорнии, но неприличны в Теннесси. Операторы BBS никогда до судебного процесса не бывали в Теннесси. В июле 1997 года 33-летняя женщина была осуждена швейцарским судом за отправку порнографии через Интернет – хотя с 1993 года она жила в США. Имеет ли это какой-то смысл?
Тем не менее обычно преследование судебным порядком невообразимо трудно. До того, как их «вычислят», преступники могут использовать неразбериху в качестве ширмы. В 1995 году 29-летний хакер из Санкт-Петербурга заработал 12 миллионов долларов, вломившись в компьютер Ситибанка. Ситибанк случайно обнаружил взлом и вернул себе большую часть денег, но встретил огромные сложности с выдачей хакера, чтобы подвергнуть его суду.
2
Группа рассылки новостей в сети USENET, посвященная коллекционированию марок. – Примеч. ред
3
Путешественники по Интернету. – Примеч. ред.
4
Так это уже прошло (фр.). – Примеч. ред.