Текст книги "Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах"

Часть III
Хакинг финансовых систем

16
Хакинг райских кущ

Одним из центральных постулатов средневекового католицизма была идея покаяния и искупления. Она заключалась в том, что если вы согрешили, то можете искупить свою вину и получить прощение. Большие грехи требовали не просто раскаяния в содеянном, но и столь же больших мероприятий по их искуплению, которые многим были не по карману. Единственным способом искупить все грехи, совершенные на протяжении жизни, было паломничество в Иерусалим, но большинство людей просто не смогли бы его совершить. Поэтому церковь предприняла следующий логический шаг, начав принимать денежные пожертвования, чтобы другие могли проделать трудный и опасный путь от вашего имени. Это был разумный компромисс, и церковь поощряла подобную благотворительность. Так, если городская церковь нуждалась в новой крыше, богатому грешнику в качестве покаяния поручали оплатить ее ремонт. В обмен грешник получал отпущение грехов в форме индульгенции – документа, по сути подтверждающего пред Богом и людьми, что грехи его отпущены. Казалось бы, благодать, да и только.

Уязвимость этой схемы, однако, заключалась в том, что индульгенции – товар безграничный. Духовенство начало использовать его в качестве валюты, и это стало эксплойтом. Система в целом регулировалась слабо, а значит, никто не был в состоянии эффективно ограничить способ продажи индульгенций. Церковь печатала их столько, сколько могла продать, и скоро состоятельные люди осознали, что могут купить столько отпущения, сколько им нужно. Появились посредники, которые платили коррумпированным епископам за право перепродавать индульгенции. То, что задумывалось как система искупления{65}65
  R. N. Swanson (2011), Indulgences in Late Medieval England: Passports to Paradise? Cambridge University Press.


[Закрыть], превратилось в систему наживы и власти. В 1517 г. практика продажи индульгенций привела к тому, что Мартин Лютер вывесил свои знаменитые «Девяносто пять тезисов» – диспут о покаянии и индульгенциях – на дверях Замковой церкви в немецком Виттенберге, положив начало протестантской Реформации и вызвав более чем столетнюю религиозную войну.

Везде, где можно заработать, есть хакеры. А те, кто умеет распознавать выгодные лазейки, могут получить много денег. Это делает финансовые системы уникально подходящими (то есть выгодными) для взлома. Иоганн Тецель, доминиканский монах начала XVI в.{66}66
  Ray Cavanaugh (31 Oct 2017), «Peddling purgatory relief: Johann Tetzel,» National Catholic Reporter, https://www.ncronline.org/news/people/peddling-purgatory-relief-johann-tetzel.


[Закрыть], изобрел два инновационных продукта для системы индульгенций. Во-первых, он выдвинул и продвигал идею о том, что можно покупать индульгенции для умерших друзей и близких{67}67
  Якобы у них даже был рекламный слоган: «Лишь злато в ларце зазвенит, / Душа облегченно на небо летит».


[Закрыть], тем самым повышая их статус в загробной жизни с чистилища до рая. Во-вторых, он продавал индульгенции, которые якобы давали отпущение не только прошлых, но и будущих грехов. Что-то вроде пожизненной гарантии на посмертное избежание ада{68}68
  Совершенно не связанное с этим наблюдение: карта «Пожизненный выход из тюрьмы» в игре «Монополия» может быть использована, чтобы хакнуть правило, запрещающее игрокам давать друг другу деньги взаймы. Игроки могут продавать карту друг другу за любую сумму, что превращает ее в удобное средство денежных переводов.
  Jay Walker and Jeff Lehman (1975), 1000 Ways to Win Monopoly Games, Dell Publishing, http://www.lehman-intl.com/jeffreylehman/1000-ways-to-win-monopoly.html.


[Закрыть].

Несмотря на серьезные протесты со стороны католических богословов и реформаторов, таких как Мартин Лютер, Ватикан не смог пресечь эту практику. Церковь стала зависеть от огромных прибылей, получаемых c продажи и перепродажи индульгенций, и это парализовало любые ответные меры. К примеру, продажа индульгенций Тецелем стала основным источником финансирования строительства собора Святого Петра.

Многие из хаков, о которых мы уже говорили, были заблокированы теми, кто управлял системой. Авиакомпании обновили правила программ поощрения часто летающих пассажиров. В спорте периодически обновляются правила той или иной игры. Но время от времени управляющая система разрешает хак и даже объявляет его законным. Изогнутая клюшка сделала игру более захватывающей. Подсчет карт выгоден для казино в качестве приманки, даже если среди клиентов порой попадаются компетентные счетчики карт.

Такая нормализация хака – обычное явление в финансовом мире. Иногда новые хаки пресекаются регулирующими органами, но чаще они получают добро и даже закрепляются законодательно уже после совершения факта взлома. Это один из механизмов, с помощью которого финансовые системы внедряют инновации. Новые идеи приходят не только от регуляторов, но и от реальных пользователей в виде хаков.

Хотя самым очевидным решением обычно является исправление системы, часто его невозможно реализовать по политическим мотивам. Власть и деньги сплавляются в лоббистский мускул, который давит на игровую доску до тех пор, пока она не наклонится в нужную сторону. Это не значит, что хаки финансовых систем не исправляют в принципе, просто порой процесс занимает немало времени. Только в 1567 г. папа Пий V отменил разрешение на выдачу индульгенций, связанных с финансовыми операциями, что позволило исправить систему и устранить хак.

Люди с деньгами в качестве хакеров обладают могуществом, а прибыль является мощным стимулом как для самого взлома, так и для его легализации.

17
Хакинг в банковском деле

Многие процедуры, которые мы сегодня считаем обычной составляющей банковского дела, появились как хаки, когда различные влиятельные игроки пытались обойти правила, ограничивающие их поведение и прибыль. Я обращаю на это внимание не ради критики. Хакинг – реальный способ заставить правительство пересмотреть и обновить правила в этой сфере.

На протяжении большей части ХХ в. Федеральная резервная система регулировала банковскую деятельность в США с помощью так называемого положения Q[15]15
  Положение Q – это правило Совета управляющих Федеральной резервной системы (FRB), которое устанавливает «минимальные требования к капиталу и стандарты достаточности капитала для учреждений, регулируемых советом директоров». Было создано в 1933 г. в соответствии с законом Гласса – Стиголла с целью запретить банкам выплачивать проценты по депозитам на текущих счетах. – Прим. ред.


[Закрыть]. Принятое в 1933 г. после Великой депрессии, Положение Q регулировало такие вещи, как потолок процентных ставок по разным видам счетов и ставок для индивидуальных и корпоративных клиентов.

Положение Q – это мера безопасности. До его введения банки конкурировали друг с другом, предлагая клиентам высокие процентные ставки по вкладам. Такая конкуренция побуждала банки рисковать, чтобы заработать на этих вкладах. Ограничения положения Q снижали системный банковский риск.

Более 40 лет эта система работала, но в 1970-х гг. процентные ставки резко выросли, и банки стали отчаянно искать способы обойти положение Q и предложить более высокие процентные ставки по депозитам, чтобы они могли конкурировать с другими видами инвестиций. В начале 1970-х гг. одним из таких способов стал счет NOW[16]16
  Аббревиатура NOW (англ.) от «negotiable orders of withdrawal». Вид счетов, предполагающий как начисление процентов, так и выписку чеков, – нечто среднее между сберегательным и расчетным счетами. – Прим. ред.


[Закрыть] – счет с обращающимся приказом об изъятии средств, сочетающий возможности текущего счета для осуществления платежей и снятия денег посредством приказов (чеков) и депозита, на нем деньги замораживаются на определенный срок, после которого выплачиваются проценты. Счета NOW внешне выглядели как процентные депозитные счета, но технически являлись обычными текущими счетами.

Нам известно имя хакера, который изобрел счета NOW, – это Рональд Хаселтон, президент и исполнительный директор Consumer Savings Bank в Вустере, штат Массачусетс. Говорят, что Хаселтон услышал, как клиентка спросила, почему она не может выписывать чеки со своего сберегательного счета. Он тоже задался этим вопросом и взломал правила положения Q, чтобы создать, по сути, первый процентный расчетный счет.

Современные депозитные сертификаты[17]17
  Депозитный сертификат (англ. Certificate of Deposit, сокр. CD) – именная ценная бумага, удостоверяющая размер внесенной вкладчиком суммы и его право на получение в банке по истечении установленного срока суммы депозита и оговоренных в сертификате процентов. – Прим. пер.


[Закрыть] – это еще один пример инновационного банковского хака. Хакерский ход заключался в привлечении дилера по ценным бумагам для создания вторичного рынка депозитных сертификатов, благодаря которому повысилась их привлекательность для корпоративных счетов. Хакеры, придумавшие эту схему, работали в First National City Bank, ныне Citicorp. В 1961 г. банк представил оборотные депозитные сертификаты, по которым выплачивалась более высокая процентная ставка, чем по процентным счетам, а пять лет спустя вывел их на Лондонскую биржу. Вскоре после этого First National City Bank реорганизовался в холдинговую компанию, чтобы избежать банковского регулирования, которое не позволяло ему выпускать депозитные сертификаты по более высоким ставкам. Конгресс исправил ситуацию, внеся в 1956 г. поправки в закон о банковских холдинговых компаниях, в соответствии с которыми регулирование деятельности таких компаний было возложено на Совет Федеральной резервной системы.

К банковским хакам середины XX в. относятся также фонды денежного рынка и евродолларовые счета, созданные для обхода ограничений на процентные ставки, предлагаемые по более традиционным видам счетов.

Все эти хаки стали нормой либо благодаря тому, что регулирующие органы решили не закрывать лазейки, либо благодаря тому, что конгресс прямо узаконил их, как только стали накапливаться жалобы регулирующих органов. Например, счета NOW были легализованы{69}69
  Joanna H. Frodin and Richart Startz (Jun 1982), «The NOW account experiment and the demand for money,» Journal of Banking and Finance 6, no. 2, https://www.sciencedirect.com/science/article/abs/pii/0378426682900322. Paul Watro (10 Aug 1981), «The battle for NOWs,» Federal Reserve Bank of Cleveland, https://www.clevelandfed.org/en/newsroom-and-events/publications/economic-commentary/economic-commentary-archives/1981-economic-commentaries/ec-19810810-the-battle-for-nows.aspx.


[Закрыть] сначала в Массачусетсе и Нью-Хэмпшире, затем в Новой Англии в целом и, наконец, в 1980 г. по всей стране. Многие другие ограничения, наложенные законом о банковских холдинговых компаниях, были отменены с принятием в 1994 г. закона Ригла – Нила, разрешающего проведение банковских операций между штатами и повышающего эффективность филиальных сетей банков. Все это стало частью большой волны банковского дерегулирования, которая продолжалась вплоть до 2000-х гг.

С этой моделью мы будем встречаться снова и снова{70}70
  Хотя он и не использовал никогда слово «хакинг», Хайман Мински размышлял об этом. Hyman Minsky (May 1992), «The financial instability hypothesis,» Working Paper No. 74, The Jerome Levy Economics Institute of Bard College, https://www.levyinstitute.org/pubs/wp74.pdf.


[Закрыть]. Сначала правительство сдерживает банкиров посредством регулирования, чтобы ограничить объем ущерба, который они могут нанести экономике. Но правила регулятора также ограничивают и прибыль банкиров, поэтому они борются с ними. Банкиры хакают эти правила с помощью трюков, которых регуляторы не предвидели и специально не запрещали, и строят вокруг них прибыльный бизнес. Затем они делают все возможное, пытаясь повлиять на регуляторов и на само правительство, чтобы власть разрешила и нормализовала их взломы. Побочный эффект такого процесса – дорогостоящие финансовые кризисы, которые затрагивают население в целом.

Взломы продолжаются и сегодня. Закон Додда – Франка о реформировании Уолл-стрит и защите прав потребителей, принятый в 2010 г. после мирового финансового кризиса 2008 г., должен был стать масштабной реформой системы финансового регулирования. Этот закон включал в себя целый ряд банковских правил, призванных обеспечить большую прозрачность, снизить системные риски и избежать очередного финансового краха. В частности, закон регулировал деривативы, которыми часто злоупотребляли и которые стали одним из главных факторов финансового кризиса 2008 г.

Однако закон Додда – Франка был полон уязвимостей. Банки немедленно привлекли своих юристов к поиску лазеек, которые позволили бы обойти цель закона – и к черту риски для экономики. Первым делом они ухватились за конкретную формулировку, исключающую иностранную деятельность, если только она не имеет «прямой и существенной связи с деятельностью или торговлей в США». Как только эта уязвимость была закрыта, банкиры обошли определение зарубежного «филиала», назвав филиалы «отделениями». Это тоже проработало недолго. Наконец они зацепились за слово «гарантия». По сути, все иностранные деривативы были гарантированы американской материнской компанией, а это означало, что именно она покроет убытки, если что-то случится с зарубежными филиалами. Просто убрав слово «гарантия» и другие эквивалентные термины из своих контрактов, они могли избежать регулирования.

К концу 2014 г. банки перевели 95 % своих сделок со свопами в офшоры{71}71
  Charles Levinson (21 Aug 2015), «U.S. banks moved billions of dollars in trades beyond Washington's reach,» Reuters, https://www.reuters.com/investigates/special-report/usa-swaps. Marcus Baram (29 Jun 2018), «Big banks are exploiting a risky Dodd-Frank loophole that could cause a repeat of 2008,» Fast Company, https://www.fastcompany.com/90178556/big-banks-are-exploiting-a-risky-dodd-frank-loophole-that-could-cause-a-repeat-of-2008.


[Закрыть], в более мягкие юрисдикции, в очередной раз избегая регулирования по Додду – Франку. В 2016 г. Комиссия по торговле товарными фьючерсами попыталась закрыть эту лазейку. Она постановила, что свопы не могут быть отправлены за границу, чтобы обойти требования закона Додда – Франка, и что как гарантированные, так и негарантированные свопы должны покрываться материнской компанией. Но, увы, новое правило не успели доработать до того, как Трамп вступил в должность президента, а назначенный им председатель комиссии так и не довел дело до конца.

Другие хаки были связаны с правилом Уолкера, еще одной составляющей закона Додда – Франка, которая запрещает банкам осуществлять определенные инвестиционные операции на собственных счетах и одновременно ограничивает их взаимодействие с хедж-фондами и фондами прямых инвестиций. Банки быстро поняли, что они могут обойти это правило, если деньги поступают не с их собственных счетов. Они стали создавать различные партнерства и инвестировать через них. Это правило было отменено при администрации Трампа, в результате чего необходимость во многих хаках просто отпала. Наконец, банки поняли, что могут обойти все правила Додда – Франка, касающиеся «торговых счетов», заявив, что они предназначены для некой деятельности, которую они назвали «управление ликвидностью».

Банковские хаки иллюстрируют еще одну вещь, которую мы будем наблюдать неоднократно. Отношения банков и регулирующих органов напоминают бесконечную игру в кошки-мышки. Перед регуляторами стоит задача ограничить безответственное, агрессивное, коррумпированное поведение. Банки заинтересованы в том, чтобы заработать как можно больше денег. Эти две цели противоположны друг другу, поэтому банки взламывают систему регулирования при любой подходящей возможности. Если какой-то банк вдруг решит этого не делать, он будет быстро задавлен конкурентами, продолжившими играть в кошки-мышки.

Очевидное решение проблемы с точки зрения безопасности – исправление – сдерживается агрессивным стремлением отрасли к нормализации (изменению самих норм). Она достигается за счет лоббирования, а также захвата регулятора. Тенденция, когда над регулирующим органом начинает доминировать отрасль и он начинает работать на нее, а не на общественные интересы, весьма распространена. Банковская отрасль также прибегает к хакингу самого законодательного процесса. С 1998 по 2016 г. индустрия финансовых услуг потратила $7,4 млрд на лоббирование{72}72
  Deniz O. Igan and Thomas Lambert (9 Aug 2019), «Bank lobbying: Regulatory capture and beyond,» IMF Working Paper No. 19/171, International Monetary Fund, https://www.imf.org/en/Publications/WP/Issues/2019/08/09/Bank-Lobbying-Regulatory-Capture-and-Beyond-45735.


[Закрыть], причем только банки потратили не менее $1,2 млрд.

Если исправления не являются жизнеспособным решением, мы должны найти уязвимости до того, как они будут взломаны, и, что еще более важно, до того, как они укоренятся в базовой системе и лоббисты начнут настаивать на их нормализации. В финансовых системах государственные органы могли бы объединить усилия, наняв бухгалтеров и юристов для изучения систем по мере их развития и совершенствования нормативных актов, пока те находятся в стадии разработки.

Некоторые страны{73}73
  Несколько банковских регуляторов, в том числе Управление контролера денежного обращения и Бюро финансовой защиты потребителей, предлагают возможность комментировать по крайней мере в отдельных случаях. См.: https://www.occ.treas.gov/about/connect-with-us/public-comments/index-public-comments.html. Consumer Financial Protection Bureau (last updated 7 Apr 2022), «Notice and opportunities to comment,» https://www.consumerfinance.gov/rules-policy/notice-opportunities-comment.


[Закрыть], в том числе Соединенные Штаты, по крайней мере для ряда агентств, уже занимаются подобными вещами, вынося на публичное обсуждение нормативные акты, находящиеся в стадии разработки. Идея заключается в том, чтобы таким образом выявлять способы, с помощью которых правила могут быть взломаны уже сейчас или в ближайшем будущем благодаря ожидаемым технологиям, а затем сразу вносить исправления в текст. Это не устраняет проблем захвата регуляторов или законодательного лоббирования, но по крайней мере могущественные хакеры ничего не теряют, когда такая лазейка закрывается, ведь они не успевают вложиться в эксплойт.

Однако, лоббисты могут злоупотреблять процессом комментирования готовящихся нормативных актов, оказывая давление на регулирующие органы с целью вынудить их оставить лазейки в покое или даже создать новые там, где их не было раньше. Создание такой системы управления, как процесс комментирования нормативных актов, переносит внимание хакеров с целевой системы на систему ее управления, которая должна быть крайне осторожной и гибкой, чтобы самой не стать мягким подбрюшьем для злоумышленников.

18
Хакинг финансовых бирж

Фондовые рынки, товарные биржи и другие финансовые торговые системы тоже давно созрели для взлома. Точнее сказать, они были подарком для хакеров с самого своего появления, но компьютеризация и автоматизация торговли сделали проблему еще более острой.

Хакеры в этой сфере нацелены прежде всего на информацию. Когда финансовая биржа работает так, как надо, трейдеры, располагающие более полной информацией, добиваются лучших результатов, поскольку покупают по низким ценам, а продают на пике. Хакеры подрывают этот механизм двумя основными способами. Во-первых, они используют еще не опубликованную информацию, чтобы заключать выгодные сделки раньше других. Во-вторых, они распространяют дезинформацию, которая движет рынком, а затем заключают прибыльные сделки до того, как все остальные поймут, что их обманули. Оба этих способа подрывают принцип справедливого рынка, который состоит в том, что инвесторы имеют равный доступ к рыночной информации.

Наиболее очевидным взломом первого типа является инсайдерская торговля, попавшая под недвусмысленный запрет уже настолько давно, что перестала быть хаком. Как правило, инсайдерская торговля подразумевает покупку или продажу ценной бумаги на основе непубличной информации. Трейдером может быть финансовый директор, который располагает данными о продажах своей компании до их раскрытия, пиарщик, пишущий финансовый отчет, или работник типографии, читающий этот отчет до его публикации. Вред от инсайдерской торговли двоякий: во-первых, осуществляют ее за счет всех остальных участников рынка, не владеющих важной информацией, и, во-вторых, она подрывает доверие к справедливости рыночной системы.

В США инсайдерская торговля была криминализирована в 1934 г. законом о ценных бумагах и биржах, подтвержденным и уточненным на протяжении многих лет решениями Верховного суда США. В 2021 г. три человека были обвинены в инсайдерской торговле{74}74
  US Securities and Exchange Commission (9 Jul 2021), «SEC charges three individuals with insider trading,» https://www.sec.gov/news/press-release/2021-121.


[Закрыть] за покупку акций компании Long Island Iced Tea Co. незадолго до того, как она сменила название на Long Blockchain Co. без какой-либо иной причины, кроме как желания заработать на ажиотаже вокруг блокчейна. Правило, которое просуществовало так долго, является ярким примером успешного системного патча.

Действительно, то, что эти запреты пережили почти 90 лет хакерских атак и инертности регуляторов, впечатляет. Если из этого и можно извлечь какой-то урок, то он заключается в том, что широкое правило позволяет создать более надежный, адаптируемый и устойчивый режим регулирования. Простота правила сводит к минимуму уязвимости в структуре закона. (Мы видели, насколько оказался уязвимым сложный закон Додда – Франка.) По словам бывшего председателя Комиссии по ценным бумагам и биржам (SEC) Артура Левитта, «высокая конкретизация даст юридическому сообществу различные способы обойти эти особенности. SEC и министерство юстиции специально хотят добиться расплывчатости этих законов{75}75
  Knowledge at Wharton staff (11 May 2011), «Insider trading 2011: How technology and social networks have 'friended' access to confidential information,» Knowledge at Wharton, https://knowledge.wharton.upenn.edu/article/insider-trading-2011-how-technology-and-social-networks-have-friended-access-to-confidential-information.


[Закрыть], чтобы иметь максимальное количество рычагов для возбуждения дел». Правила инсайдерской торговли намеренно расширены, дабы предотвратить дальнейшие попытки подобных взломов системы.

Фронтраннинг, или «забегание вперед», – это еще один хакерский метод, использующий секретную информацию. Если вы брокер и знаете о предстоящей крупной сделке, вы можете перед этим заключить сделку на меньшую сумму. Затем вы исполняете сделку своего клиента, она двигает рынок, и вы получаете мгновенную прибыль. Как и инсайдерская торговля, подобный прием является незаконным.

Некоторые хакерские атаки на финансовые рынки и сети нацелены на окружающие их информационные системы. К примеру, в 2015 г. SEC предъявила обвинения двум украинским хакерам{76}76
  US Securities and Exchange Commission (11 Aug 2015), «SEC charges 32 defendants in scheme to trade on hacked news releases,» https://www.sec.gov/news/pressrelease/2015-163.html.


[Закрыть], которые взломали сети Business Wire и PR Newswire и похитили более 100 000 неопубликованных пресс-релизов публичных компаний. Релизы были распространены среди сообщества трейдеров, которые использовали полученную информацию, чтобы делать обоснованные ставки, что само по себе весьма напоминает схему инсайдерской торговли.

Второй тип взлома связан с созданием дезинформации. Старый пример – схема под названием Pump & Dump, или «накачка и слив». Преступники покупают акции предпочтительно малоизвестных компаний – в этом контексте печально известен именно рынок грошовых акций. Затем они активно рекомендуют эти акции к покупке, используя ложные и вводящие в заблуждение заявления о потенциальной прибыли. Если другие инвесторы попадаются на эту аферу и начинают покупать, цена на акции взлетает и преступники продают их. Традиционно эта схема включала обзвон потенциальных инвесторов по телефону. Сегодня для этого чаще используются трейдерские форумы, профильные группы в социальных сетях и спам-рассылки по электронной почте. Например, это могут быть лидеры финансового форума r/WallStreetBets на платформе Reddit, спровоцировавшие розничных инвесторов без всякой причины отправить цену акций компании GameStop «на Луну», или же Илон Маск, сообщающий в Twitter о своих покупках биткоинов миллионам подписчиков. В обоих случаях мы имеем дело с инвесторами, использующими онлайн-коммуникации для манипулирования ожиданиями людей и создания ценовых пузырей ради собственной выгоды (и ценой чужих убытков) с беспрецедентной скоростью и в немыслимых доселе масштабах. Появление онлайн-торговли сделало этот хакерский метод еще более прибыльным. По большей части накачка и слив являются незаконными, и если вас поймают, то придется заплатить немалые штрафы. С другой стороны, судебное преследование в этих случаях может быть затруднено. Ни Маск, ни кто-либо, причастный к ажиотажной торговле акциями GameStop в 2021 г., так и не были привлечены к ответственности.

Спуфинг – вид мошенничества, также связанный с распространением дезинформации. В данном случае трейдер размещает ордера на миллионы долларов, а затем отменяет их после того, как другие трейдеры заметили выставленные заявки и отреагировали на них. Это тоже незаконный метод, и уже несколько человек были осуждены за его использование.

Фейковые новости, то есть намеренно ложные сообщения, маскирующиеся под журналистику, – еще один метод взлома рынка с помощью дезинформации, набирающий все большие обороты. Чаще всего такой взлом используется для искажения оценки стоимости компаний, что позволяет хакерам получать прибыль от колебаний цен на акции. Например, в 2015 г. поддельная версия сайта Bloomberg.com была использована для распространения новости о предложении купить Twitter за $31 млрд, что вызвало резкий рост акций компании по мере распространения информации. Осведомленные хакеры в это же время продавали акции Twitter по искусственно завышенным ценам. Поддельный сайт был оформлен аналогично оригинальному сайту Bloomberg.com и использовал похожий URL. Мы знаем случаи использования поддельных пресс-релизов, поддельных отчетов, поддельных твитов и даже поддельных документов Комиссии по ценным бумагам и биржам США. Все эти действия SEC рассматривает как незаконные.

Если задуматься, дезинформация – это хакинг не столько финансовой сети, сколько других трейдеров. Это попытка повлиять на их поведение, а значит, это уже взлом когнитивных систем.

Большая группа хаков в финансовой сфере связана с поиском новых способов снижения риска, часто с использованием лазеек в финансовых правилах. Хедж-фонды занимаются этим с момента своего появления в 1960-х гг. Сначала они делали это путем хеджирования, компенсируя риски друг друга, потом стали прибегать к разнообразным инвестиционным стратегиям, а затем начали сами торговать активами с помощью компьютера.

Само существование хедж-фондов построено на взломе системы финансового регулирования. С момента своего появления хедж-фонды были защищены рядом законодательных лазеек, освобождающих их от надзора Комиссии по ценным бумагам и биржам США. Поскольку они принимают в качестве клиентов только состоятельных и институциональных инвесторов, хедж-фонды освобождены от надзора в соответствии с законом о ценных бумагах 1933 г., который был предназначен для защиты индивидуальных покупателей на рынке. Придерживаясь критериев, изложенных в 1940 г. в законе об инвестиционных компаниях, хедж-фонды освобождают себя от запрета на методы инвестирования, которые применяются к зарегистрированным инвестиционным компаниям, и в первую очередь на открытие коротких позиций. В 2010 г. закон Додда – Франка поставил хедж-фонды под надзор SEC, но на практике они по-прежнему остаются нерегулируемыми. Хедж-фонды – это хак, который стал привычной частью финансовой системы.

На протяжении десятилетий хедж-фонды использовали одну законодательную лазейку за другой. Иногда эти лазейки прикрывают после того, как первопроходцы уже снимут все сливки. Иногда правила меняют таким образом, чтобы узаконить хак. Но в большинстве случаев их просто продолжают использовать и в итоге принимают как норму. Люди, управляющие хедж-фондами, совсем не обязательно умнее остальных. Просто они лучше понимают систему, умеют находить уязвимости и разрабатывать эксплойты, чтобы воспользоваться ими. Поскольку люди, которые лучше всех разбираются в системе, получают прибыль от ее взлома, вряд ли в ближайшее время мы увидим существенные исправления.

Хаки, с которыми мы только что познакомились, направлены против разных систем и работают на разных уровнях. Некоторые из них действуют на техническом уровне: спуфинг и фронтраннинг – это хаки, использующие скорость и автоматизацию, которые рынок получил благодаря компьютерам. Другие действуют на уровне финансовых рынков. Третьи – на законодательном уровне, находя уязвимости, например, в законах о ценных бумагах. Все это – микрокосм хаков, которые будут описаны в следующих главах.