Читать книгу "Кибергейт: Как выжить в мире умных вещей"
Автор книги: Брюс Шнайер
Жанр: Компьютеры: прочее, Компьютеры
Возрастные ограничения: 18+
сообщить о неприемлемом содержимом
Информирование разработчиков. Не каждый, кто обнаружил «дыру» в безопасности, раскрывает полученную информацию – некоторые скрывают, чтобы позже использовать ее в преступных целях – для взлома систем. О том, что проблема существует, мы узнаем по факту преступления. Это «уязвимости нулевого дня». Как правило, ответственные лица стараются оперативно устранять такие сбои. Государственные структуры наподобие АНБ, киберкомандования США и их зарубежных аналогов тоже придерживают информацию. Подробнее мы поговорим об этом в главе 9, а пока давайте просто запомним, что любую обнаруженную, но скрытую от общественности «дыру» – даже если информацию о ней скрыло доверенное лицо или организация, – можно использовать против нас.
Иногда исследователей, считающих нужным сообщить об обнаруженной уязвимости, встречает холодный прием. Новички в компьютерном бизнесе, например производители кофеварок, не обладают опытом работы с исследователями в области безопасности, не знают об ответственном раскрытии информации, о важности разработки патчей. И это всем очевидно. Для компаний – разработчиков ПО создание программ – профильный вид деятельности. Производители холодильников или подразделения корпораций, занятые выпуском холодильников, ориентированы на другой вид деятельности, поэтому составление ПО так и останется для них второстепенным занятием.
Подобно производителям компьютеров 1990-х гг., компании по выпуску умных вещей расхваливают устойчивость ко взломам собственных систем, в случае обнаружения уязвимости отрицают любые проблемы и угрожают исками тем, кто обнародует информацию о проблемах. В 2017 г. Abbott Labs выпустила патч, хотя за год до этого назвала «лживым и недостоверным» первое сообщение об уязвимости в области безопасности (публикация не содержала подробностей о хакерской атаке){148}148
Dan Goodin (30 Aug 2017), “465k patients told to visit doctor to patch critical pacemaker vulnerability,” Ars Technica, https://arstechnica.com/information-technology/2017/08/465k-patients-need-a-firmware-update-to-prevent-serious-pacemaker-hacks.
[Закрыть]. Такое промедление допустимо в отношении компьютерных игр или текстовых процессоров, но крайне опасно в отношении автомобилей, медицинского оборудования и самолетов – устройств, способных убить, если их продолжат эксплуатировать с ошибками в ПО. Но должны ли исследователи раскрывать все подробности? Как именно должно выглядеть ответственное раскрытие информации в новой среде, пока никто не понимает.
Исследование уязвимостей. Чтобы двигаться в этом направлении, нужны исследователи для поиска «дыр» и усиления безопасности, а в законодательном акте под названием «Закон об авторском праве в цифровую эпоху» (Digital Millennium Copyright Act – DMCA) есть положения о запрете изысканий в данной сфере. Мы обратимся к этому закону в главе 4, а пока ограничимся информацией, что он запрещает несанкционированное воспроизведение произведений, защищенных авторским правом. Но его влияние гораздо шире. DMCA запрещает проводить реинжиниринг, находить уязвимости в программных системах, защищенных авторским правом, и сообщать о них общественности. Производители сертифицированного ПО неоднократно использовали эту лазейку.
В качестве примера приведу случай с российским программистом Дмитрием Скляровым. В 2001 г. он был арестован ФБР прямо на DefCon{149}149
Electronic Frontier Foundation (1 Jul 2011; last updated 7 Aug 2012), “US v. ElcomSoft Sklyarov,” https://www.eff.org/cases/us-v-elcomsoft-sklyarov.
[Закрыть]. Поводом стала разработка метода обхода криптокода в Adobe Acrobat, предотвращающего незаконное копирование электронных книг. В том же 2001 г. НР применила DMCA в отношении исследователей, опубликовавших информацию о брешах в системе безопасности ее продукта Tru64{150}150
John Leyden (31 Jul 2002), “HP invokes DMCA to quash Tru64 bug report,” The Register, https://www.theregister.co.uk/2002/07/31/hp_invokes_dmca_to_quash. Declan McCullagh (2 Aug 2002), “HP backs down on copyright warning,” CNET, https://www.cnet.com/news/hp-backs-down-on-copyright-warning.
[Закрыть]. В 2011 г. Activision использовала закон об авторском праве, чтобы закрыть веб-сайт инженера, который исследовал систему безопасности одной из ее видеоигр{151}151
Electronic Frontier Foundation (1 Mar 2013), “Unintended consequences: Fifteen years under the DMCA,” https://www.eff.org/pages/unintended-consequences-fifteen-years-under-dmca.
[Закрыть]. Подобных случаев очень много.
В 2016 г. Библиотека Конгресса внесла в DMCA поправку относительно исследователей в области безопасности{152}152
Charlie Osborne (31 Oct 2016), “US DMCA rules updated to give security experts legal backing to research,” ZDNet, http://www.zdnet.com/article/us-dmca-rules-updated-to-give-security-experts-legal-backing-to-research.
[Закрыть]. Но изменения незначительны, к тому же носят временный характер и по-прежнему оставляют множество возможностей для преследования{153}153
Maria A. Pallante (Oct 2015), “Section 1201 rulemaking: Sixth triennial proceeding to determine exemptions to the prohibition on circumvention,” United States Copyright Office, https://www.copyright.gov/1201/2015/registers-recommendation.pdf.
[Закрыть].
Есть и другие поправки, направленные против аналитиков. В 2008 г. бостонский транспортный оператор MBTA (Massachusetts Bay Transportation Authority) воспользовался Законом о компьютерном мошенничестве и злоупотреблениях (Computer Fraud and Abuse Act) и воспрепятствовал презентации, посвященной дефектам проездных билетов на метро{154}154
Kim Zetter (9 Sep 2008), “DefCon: Boston subway officials sue to stop talk on fare card hacks,” Wired, https://www.wired.com/2008/08/injunction-requ.
[Закрыть]. В 2013 г. Volkswagen подала в суд на исследователей, обнаруживших уязвимости в ее ПО, и тем самым на два года задержала обнародование этой информации{155}155
Chris Perkins (14 Aug 2015), “Volkswagen suppressed a paper about car hacking for 2 years,” Mashable, http://mashable.com/2015/08/14/volkswagen-suppress-car-vulnerability.
[Закрыть]. В 2016 г. FireEye, работающая в сфере интернет-безопасности, добилась судебного запрета на публикацию деталей о «дырах» в ее продукте{156}156
Kim Zetter (11 Sep 2016), “A bizarre twist in the debate over vulnerability disclosures,” Wired, https://www.wired.com/2015/09/fireeye-enrw-injunction-bizarre-twist-in-the-debate-over-vulnerability-disclosures.
[Закрыть].
Отрицательный эффект от подобных действий довольно ощутим. Беспокоясь о возможных судебных преследованиях, молодые исследователи, увлеченные карьерой, публикациями, отказываются от поиска ошибок – предпочитают не рисковать{157}157
Electronic Frontier Foundation (21 Jul 2016), “EFF lawsuit takes on DMCA section 1201: Research and technology restrictions violate the First Amendment,” https://www.eff.org/press/releases/eff-lawsuit-takes-dmca-section-1201-research-and-technology-restrictions-violate.
[Закрыть].
По мере того как компьютеры проникают во все большее количество вещей, сложившаяся система будет работать все хуже и хуже. Но альтернативы пока нет.
Это возвращает нас к двум концепциям, о которых мы беседовали в начале главы: «Делайте правильно с первого раза» и «Убедитесь, что защита легко адаптируется».
В сфере ПО в ходу термин «каскадная модель»{158}158
Winston Royce (25–28 Aug 1970), “Managing the development of large software systems,” 1970 WESCON Technical Papers 26, https://books.google.com/books?id=9U1GAQAAIAAJ.
[Закрыть]. Используется он для описания традиционной модели разработки ПО: сначала формулируются требования, потом составляется спецификации, затем приходит очередь конструирования, реализации, тестирования и внедрения. Гибкий подход – это новая модель разработки ПО: создайте прототип, соответствующий базовым потребностям клиента, проследите за тем, как он выходит из строя, оперативно внесите исправления, обновите требования и спецификации и повторяйте эти действия снова и снова{159}159
Agile Alliance (дата обращения 5 ноября 2024), “Agile 101,” https://www.agilealliance.org/agile101.
[Закрыть]. Гибкая модель намного лучше подходит для проектирования и разработки ПО. Она включает и конструктивные требования, и требования к функциональному дизайну.
Вы, наверное, заметили разницу в скорости обновления ПО Microsoft Office и приложений в iPhone. Новая версия Microsoft Office появляется раз в несколько лет, а новая версия приложений в iPhone – еженедельно. Изменения в Microsoft Office затрагивают конструктив и функционал, обновления приложений предполагают несущественные изменения и появление дополнительной функции. Возможно, Microsoft реализует гибкую модель, но из-за частоты релизов она ближе к каскадной модели.
Нужно объединить обе концепции. Мы не обладаем должной квалификацией, чтобы делать правильно с первого раза, поэтому у нас нет другого выхода, кроме как оперативно устанавливать патчи. Но еще нам нужно понять, как свести к минимуму издержки от этой модели. Из-за сложности интернета+ мы испытываем потребность как в стабильности каскадной схемы, так и в скорости реакции гибкой модели.
Глава 3
Узнавать, кто есть кто в интернете, становится все труднее
Знаменитую карикатуру из журнала The New Yorker 1993 г., на которой изображены две собаки, сопровождает подпись: «В интернете никто не знает, что ты собака». В 2015 г. тема получила развитие, и на страницах The New Yorker появилась карикатура с парой других собак. Одна спрашивала у другой: «Помнишь времена, когда в интернете никто не знал, кто ты такой?»
В каждой шутке лишь доля шутки. В интернете мы доказываем, что мы – именно те, за кого себя выдаем, вводя пароль, известный, по идее, исключительно нам. В то же время существуют системы, которые позволяют и преступникам, и инакомыслящим скрытно общаться друг с другом, не давая властям возможности узнать, кто они (и все же государственные структуры часто об этом узнают). Нам известно и о системах анонимной коммуникации, например о создании аккаунта без ассоциации с именем пользователя. Наконец, хакеры способны взламывать сети, находясь на другом конце света и не под своим именем, и опять-таки власти и охранные фирмы их удачно идентифицируют.
Если вам кажется, что все это слишком запутанно, то вам кажется не напрасно – именно так все и есть.
Аутентификация становится сложнее, а кража учетных данных – проще
В 2016 г. Роб Джойс – в то время он возглавлял входящее в АНБ подразделение по проникновению в компьютерные сети (Tailored Access Operations Group – TAOG) и был, по сути, главным хакером США – принял участие в публичной дискуссии (такое случается очень редко), на которой, помимо прочего, заявил примерно следующее:
«Уязвимости нулевого дня» переоценивают, и кража конфиденциальных учетных данных (логина и пароля) – это основной способ, который я использую для проникновения в сети.
Джойс был и остается прав. Как бы ни были опасны уязвимости в ПО, наибольшей популярностью у хакеров пользуется взлом в процессе аутентификации. Взлом этот можно осуществить как посредством украденного пароля, так и с применением технологии «незаконный посредник»[20]20
Технология «незаконный посредник» означает, что злоумышленник выдает себя за авторизованного пользователя: ретранслирует и при необходимости меняет связь между двумя сторонами, которые считают, что продолжают общаться друг с другом. – Прим. пер.
[Закрыть]. Кража учетных данных не требует поисков «уязвимостей нулевого дня» или неисправленных «дыр», плюс здесь меньше шансов попасться. Это дает злоумышленнику бóльшую свободу действий.
Именно так китайские хакеры взломали сеть Управления кадровой службы США (Office of Personnel Management). В 2014 г. атака на компанию Target Corporation началась с кражи учетных данных для входа в систему. В 2011–2014 гг. иранские злоумышленники использовали для входа в систему политических и военных руководителей США, Израиля и других стран похищенные учетные данные. В 2015 г. хактивист[21]21
Хактивист – лицо, использующее компьютерные сети для распространения той или иной идеологии. – Прим. пер.
[Закрыть], взломавший сеть производителя «кибероружия» компании HackingTeam и опубликовавший документ деликатного свойства, проделал все это также с помощью украденных учетных данных. Аналогичный способ был использован и в 2016 г. во время хакерских атак на Национальный комитет Демократической партии. В ходе одного исследования выяснилось, что 80 % всех взломов – результат неправомерного или несанкционированного использования учетных данных. В Google наблюдали за пользователями почтового сервиса Gmail с середины 2016-го по середину 2017 г. и еженедельно выявляли 12 млн успешных фишинговых атак.
Кража конфиденциальных данных считается наиболее эффективным способом взлома именно потому, что аутентификация – широко распространенное явление. В той или иной форме она и только она защищает приватность, из-за чего существует множество способов взлома. Придумать форму аутентификации, которая была бы удобной в использовании и одновременно безопасной, трудно и в большинстве случаев невозможно. При этом подавляющая часть систем сконструирована таким образом, что однократная аутентификация допускает любые последующие действия.
Самый распространенный механизм аутентификации – использование имени пользователя (логина) и пароля. Вы отлично знаете, что это такое, и из-за необходимости запоминать слишком много паролей, скорее всего, совершали все ослабляющие защиту системы ошибки: выбирали слабые пароли, неоднократно использовали важные пароли, записывали пароли и забывали свои записи в общественных местах.
Злоумышленники с радостью пользуются нашими промахами. Подбирают пароли. Крадут их из компьютеров и с удаленных серверов. Пытаются применить пароли в другой системе. Разгадывают кодовые слова для резервной аутентификации. Обманывают пользователей, вынуждая тех рассекречивать данные.
Девятнадцатого марта 2016 г. Джон Подеста, руководитель предвыборной кампании Хиллари Клинтон, получил по электронной почте сообщение от подразделения иностранной разведки, известного под кодовым названием Fancy Bear. Сообщение было замаскировано под предупреждение от службы безопасности Google. Получив неправильный совет от ИТ-отдела, Подеста перешел по ссылке и ввел на фейковой странице пароль для входа в Google. Вот так иностранная разведка и получила доступ к десяти его аккаунтам.
Подеста стал жертвой фишинговой атаки. Можно было бы над ним посмеяться, но я бы выразил сочувствие. Жертве, особенно если это человек, не искушенный в технических вопросах, очень сложно распознать умело подготовленное фишинговое сообщение. Если бы Подеста отказался принимать сообщение от 19 марта, хакеры из Fancy Bear предприняли бы другую попытку. И еще одну. И так до тех пор, пока им не улыбнулась бы удача.
Фишинг может быть таргетированным или массированным. В одной из массированных фишинговых атак, выявленных в 2017 г., мошенники использовали взломанные аккаунты пользователей электронной почты, чтобы отправить их владельцам сообщения с червем, выдававшим себя за файл из приложения Google Docs. Червь собирал учетные данные, когда жертвы входили в Google, после чего рассылал сам себя по всем обнаруженным адресам. Если бы червя вовремя не обезвредили, то его жертвами, по некоторым оценкам, мог стать миллион пользователей электронной почты Gmail.
Из всех описанных случаев следует сделать вот какой вывод – пароли очень плохо обеспечивают безопасность. Они хороши для приложений, но для более серьезных вещей непригодны.
Существуют три основных пути идентификации: попросить указать нечто, что известно только вам, предъявить или представить нечто, имеющееся только у вас. Пример того, что известно только вам, – это пароль. Он подтверждает, что вы – это вы, потому что предположительно вы – один-единственный, кому он известен. Пример того, что имеется только у вас, – биометрические данные: отпечатки пальцев, сканы лица и радужной оболочки глаз, узор ладони и т. д. Например, смартфоны iPhone и Google Pixel позволяют пользователям входить в систему, используя для идентификации отпечаток пальца или скан лица. Пример того, что есть только у вас, – предметы, которые вы носите с собой и которые могут использоваться для идентификации. Раньше это были физические объекты с экраном, на котором отображался постоянно меняющийся номер, карточка или программный ключ, который вы вставляли в порт компьютера, или физический ключ для разблокировки системы. Сегодня это все чаще приложения или текстовые сообщения, присланные на смартфон.
Существует множество способов взлома всех перечисленных систем. Проверку биометрических данных можно обойти, применив фальшивые фотографии, отпечатки пальцев и т. д. Похитив телефон, злоумышленники получат доступ к приложениям и сохраненным текстовым сообщениям. В общем и целом отказ от паролей в пользу вышеуказанных способов аутентификации не сильно улучшает ситуацию.
Использование двух способов защиты (двухфакторной аутентификации) существенно повышает безопасность. И Google, и Facebook[22]22
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть] предлагают применять двухфакторную аутентификацию на смартфоне (конечно, и эта система далека от совершенства – некоторые версии можно взломать). Крупнейшие американские провайдеры мобильной связи Sprint, T-Mobile, Verizon и AT&T совместно разрабатывают похожую систему. В 2017 г. компания Google предложила пользователям с высоким уровнем риска усовершенствованную программу защиты (Advanced Protection Program). Среди прочего она требует наличия устройства аутентификации, которое нужно постоянно иметь при себе. Моя сеть в Гарварде использует одну из таких систем и задействует комбинацию из пароля (нечто, что известно только мне) и смартфона (нечто, что имеется у меня).
Другой набирающий популярность вариант – раздельная (дифференцированная) аутентификация. Facebook[23]23
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть] позволяет использовать простой пароль при условии, что вы заходите со своего компьютера, но требует проведения расширенной аутентификации при входе с чужого компьютера или с компьютера, вызывающего подозрения. Банк допускает обычную процедуру аутентификации при рутинных трансакциях, однако вынуждает к дополнительной аутентификации при переводе крупной суммы или средств на счет в другой стране. Ведутся исследования в области углубленной аутентификации, основанной на ваших биометрических характеристиках. Смысл в том, что система, знакомая, например, с вашей манерой печатать, выдает ошибку, если при входе в аккаунт вы начинаете вести себя не так, как обычно.
Аутентификация – это всегда компромисс между безопасностью и удобством использования. Недовольные обойдут навязчивую систему независимо от степени ее безопасности, например, будут записывать пароли на стикерах и приклеивать те к монитору. (Часто записанные таким образом пароли можно разглядеть на заднем плане фото или видео, сделанных журналистами.) Одно из важнейших преимуществ использования биометрических данных – простота. Одна моя знакомая игнорировала блокировку смартфона, потому что ее раздражала необходимость постоянно вводить пароль, но приобрела Google Pixel с устройством для считывания отпечатка пальца и начала блокировать аппарат, потому что тот стало легко «оживлять». Можно до бесконечности утверждать, что сложный пароль был бы надежнее, но очевидно другое – теперь смартфон моей знакомой защищен лучше, чем прежде.
Обеспечить функционирование системы аутентификации очень непросто. Google и Facebook[24]24
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть] доверяют этот вид деятельности третьей стороне. Многие ритейлеры, блоги и игровые приложения разрешают пользователям заходить в систему через аккаунты Google или Facebook[25]25
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть], по существу, отдавая идентификацию и аутентификацию на откуп этим компаниям. Аналогично поступают некоторые страны. Национальная идентификационная система Эстонии, имеющая уязвимости в обеспечении безопасности (я упоминал об этом в главе 1), позволяет гражданам и иностранным резидентам получать доступ к различным государственным услугам, включая голосование, посредством единой системы аутентификации. Индия создала национальную биометрическую идентификационную систему, которую будут использовать как государственные структуры, так и частные компании. Даже в США есть централизованный провайдер идентификации и аутентификации login.gov – его услугами пользуются посетители сайтов различных госструктур.
С одной стороны, это удобно, потому что работу разных служб можно построить на базе единой надежной системы аутентификации и идентификации, с другой, очень рискованно, потому что замыкание разных функций на одной-единственной системе создает общую точку отказа.
Смартфон превратился в единый центр безопасности всех и вся. Через него вы получаете доступ ко всем аккаунтам – электронной почте, чат-клиентам, социальным сетям, банковским счетам и сайтам, к которым привязаны кредитные карты. При этом смартфон – центральный контроллер-концентратор для интернета вещей. Если у вас есть нечто, относящееся к интернету вещей (от электромобиля Tesla до термостата и подключенных к сети игрушек), скорее всего, вы управляете этим через смартфон. И системы аутентификации приборов привязаны к телефону. Не нужно по отдельности подключаться к электронной почте, аккаунту в Facebook[26]26
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть], Tesla или к термостату. Компании предполагают, что если есть доступ к телефону, то вы – это вы.
Именно здесь и находится единая точка отказа. Хакер может убедить провайдера мобильной связи, например Verizon или AT&T, и передать контроль над телефонным номером подконтрольному устройству. Если получится – а сделать это совсем не трудно, – злоумышленник станет обладателем всех учетных записей жертвы, где задействован телефонный номер: Google, Twitter, Facebook[27]27
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть], Apple. Он доберется до банковских счетов и опустошит их. Риски важно осознавать, учитывая, что в скором времени придется аутентифицироваться для доступа к автомобилям, домашним бытовым приборам и практически ко всем составляющим нашего окружения.
Другой возможный способ взлома заключается в использовании правильной аутентификации. Хакер, который наблюдает за компьютером пользователя, может дождаться, когда тот начнет заходить на веб-сайт банка, после чего подменит картинку на экране и перенаправит перевод по другому адресу. Это называется атакой с применением технологии «незаконного посредника». Метод работает даже в том случае, если банк вводит двухфакторную аутентификацию.
Чтобы защитить себя и своих клиентов от таких атак, банк отслеживает систему на предмет взломанных счетов, после чего применяет раздельную (дифференциальную) аутентификацию. Одним из признаков атаки может стать банковское извещение о попытке перевода $50 000 на неизвестный счет в Румынии. Сообщение поступает до завершения перевода для проверки информации. Эмитент кредитной карты может пометить и задержать для проверки крупные покупки без физического участия «пластика» или любое приобретение подарочных сертификатов. Некоторые банки через специальное приложение в смартфоне отслеживают перемещение пользователя и блокируют операции, сделанные в нетипичном для него месте. Что касается корпоративных сетей, то существует целая индустрия продуктов, которые мониторят сеть в поисках признаков успешного взлома. Качество этих продуктов разное, и здесь мы тоже наблюдаем «гонку вооружений» между теми, кто атакует, и теми, кто держит оборону.
Мы нуждаемся в процедуре аутентификации, которая будет одновременно и простой, и высокоэффективной. Поскольку в какой-то мере это взаимоисключающие требования, придется проявить гибкость, чтобы добиться успеха. Вполне возможно, что процесс аутентификации станет еще неудобнее, чем уже есть. И с этим придется смириться.
Современные методы защиты компьютерных систем представляют определенную сложность для людей старшего возраста. Подобно тому как старшее поколение так и не сумело привыкнуть к ключам и сетовало на их неудобство (о них надо помнить, их нужно носить с собой, друзьям не попасть в дом и т. д.), необходимость вводить пароль и проходить аутентификацию – та реалия, к которой я привыкаю всю свою жизнь. Ремни безопасности из той же оперы. Когда я был ребенком, ими никто не пользовался. Сегодня же дети не позволят родителям завести автомобиль, пока ремни не будут застегнуты. И это правильно. Как и ремень безопасности, двухфакторная система аутентификации – это компромисс, позволяющий защитить аккаунт от хакеров.
В безопасности интернета+ аутентификация играет ключевую роль. Практически любое компьютеризированное устройство оснащается той или иной системой распознавания, чтобы оно «понимало», с кем ему предстоит разговаривать, кого слушать и кому подчиняться. Это касается как больших и сложных устройств наподобие машины или атомной электростанции, так и небольших предметов, например умных игрушек или умных лампочек. Между нами и миром интернета+ будет постоянно идти процесс взаимной аутентификации. Более того, он будет идти и внутри интернета+: термостат захочет «поговорить» с обогревателем, бытовые приборы – с электросчетчиком, игрушки – друг с другом.
Обновления нужно будет аутентифицировать, чтобы хакеры не вынудили нас устанавливать вредоносные программы. (Это один из способов, которым воспользовался червь Stuxnet.) При этом злоумышленники уже долгие годы создают сигнатуры подлинности для вредоносных обновлений. Многие из таких уязвимостей в цепочках поставок (мы обсудим их в главе 5) – результат неверной аутентификации.
Со временем контакты между устройствами получат полезное практическое применение. Автомобили станут сообщать друг другу как о том, что видят с помощью сенсоров, так и о своих намерениях. Медицинские приборы будут взаимодействовать друг с другом и с докторами и, в зависимости от ситуации и стоящей перед ними задачи, изменять поведение. Местные энергетические компании примутся контактировать со всеми находящимися поблизости крупными устройствами, а системы инженерного оборудования зданий – общаться между собой. Как мы узнали из главы 2, каждой вещи понадобится принимать аутентифицированные исправления в системе безопасности, причем в автоматическом режиме, непрерывно, миллионы раз в день.
Непонятно, как оценивать масштаб описываемого явления. Протокол для аутентификации находящихся поблизости устройств – это Bluetooth, который работает лишь потому, что мы выполнили настройку. Когда мы подключаем, например, телефон к автомобилю, то взаимно аутентифицируем оба устройства и в дальнейшем позволяем им обмениваться информацией, но уже без нашего участия. Такое возможно лишь для незначительного количества вещей. «Связать» вручную тысячу вещей невозможно. Модель централизованной координации, когда вся аутентификация осуществляется через некий центр (например, смартфон), способна лишь отчасти решить эту проблему.
У атак будут серьезные последствия. Если я сумею выдать себя за вас перед вашими устройствами, то получу преимущество. Это называется хищением персональных данных будущего. Я смогу вводить в ваши устройства ложную информацию – смогу ими манипулировать и причинять окружающим вред. Смогу втереться в доверие к вашим устройствам – смогу отдавать им команды от вашего имени. Мы не до конца понимаем масштаб действия систем, поэтому не в полной мере осознаем возможные последствия таких атак.
Это приводит нас к идентификации. Мы идентифицируем себя, когда создаем аккаунты – лично или в интернете. Насколько эта идентификация надежна, зависит от аккаунта. При взаимодействии с банком идентификация осуществляется лицом к лицу с сотрудником, и это надежный способ. Если мы совершаем покупку с помощью кредитной карты, есть смысл говорить о меньшей надежности: аутентификация основывается на существовании личности, владеющей большим объемом персональных данных. Иногда система запрашивает номер телефона, адрес, данные удостоверения личности или водительских прав. Facebook[28]28
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть] проводит политику «настоящего имени»: подразумевается, что люди используют подлинные имена и верификация не требуется, пока не возникает конфликт. Google для создания аккаунта в почтовом сервисе Gmail требует указать номер телефона, и для этой цели вполне годятся анонимные «одноразовые» телефоны. Иногда идентификация вообще ни на чем не основана. Мой аккаунт в Reddit – не что иное, как уникальное имя пользователя; единственная идентификация – это я сам и все пароли, созданные мною под этим именем. Это делает идентификацию анонимной (там, где используется псевдоним).
Привязка чего-либо к идентификатору означает, что у вас есть надежный способ доказать, что вы – это вы, а не кто-то другой. Привязка включает в себя аутентификацию, но более сильную (надежную). Вы можете аутентифицировать анонимный банковский счет и тем самым доказать, что вы – тот самый человек, что на прошлой неделе внес деньги на депозит. Идентификация банковского счета доказывает, что деньги принадлежат именно вам.
Идентификация не защищает от неумелого использования. Когда я впервые получал паспорт, то должен был лично явиться в соответствующее государственное учреждение. Чтобы выдать себя за кого-то еще, мне потребовалось бы подделать документы, удостоверяющие личность, – идентификационные документы, необходимые человеку для получения нового идентификационного документа (их требует паспортный отдел). Сложно, но можно. Люди, используя поддельные удостоверения личности, получали самые настоящие водительские права, правда, на вымышленное имя. Когда государство ведет учет граждан с самого рождения, сделать это труднее, но желающие нарушить закон всегда найдут лазейку.
Удаленно выдавать себя за другого человека гораздо проще. И здесь нам снова приходится выбирать между безопасностью и удобством. Крупные компании, стремящиеся привлечь наше внимание, склоняются в сторону удобства. Как и мы сами. Тем не менее со временем нам все же придется сделать шаг в сторону безопасности.
В зависимости от обстоятельств атрибуция становится и сложнее, и проще
Атрибуция – это идентификация человека вопреки его желанию сохранить анонимность. Как правило, она осуществляется по инициативе властей в отношении того, кто предположительно совершает мошенничество или, например, пытается получить санкционированный доступ к атомной электростанции. В ряде государств атрибуции подвергаются те, кто выступает с критикой правительства или распространяет порнографические материалы. В таких случаях сотрудники правоохранительных органов с большой долей вероятности захотят идентифицировать этих людей.
Процесс атрибуции обычно не слишком сложен. Если человек использует аккаунт, связанный с номером его кредитной карты или с номером телефона, информацию получают у имеющего ее провайдера услуг. Могут возникнуть юридические барьеры в виде ордера, который понадобится правоохранительным органам. Однако технических препятствий нет.
Какие бы усилия ни прикладывал человек, чтобы избежать атрибуции, рано или поздно он совершает ошибку и его личность устанавливается. Приведем ряд примеров. Американец Росс Ульбрихт (псевдоним Dread Pirate Roberts) создал для электронной торговли незаконными товарами и услугами анонимную торговую площадку «Шелковый путь» (Silk Road), но был раскрыт въедливым агентом ФБР, который соотнес несколько фактов: очень старый пост в чате, старый адрес электронной почты и случайное интервью с федеральными агентами, расследующими другое дело. Педофилов арестовали после того, как в правоохранительной организации соотнесли детали на заднем плане разных фотографий: площадки для кемпинга в Миннесоте, надписи на толстовке и на пачке чипсов. Гражданина Беларуси, руководившего мощным ботнетом Andromeda, идентифицировали и заключили под стражу, потому что он по ошибке повторно воспользовался аккаунтом сервиса мгновенных сообщений, связанного с его настоящим именем. Хакера из Техаса Ихиньо Очоа III идентифицировали и арестовали благодаря метаданным одной из фотографий, которые привели детективов к дому подружки злоумышленника.
Атрибуция такого рода может быть затратной и в финансовом, и во временном отношении. То, насколько хорошо человеку удается присутствовать в интернете и одновременно скрывать свою личность, зависит от его умения и осторожности, а еще от квалификации и финансирования заинтересованных в раскрытии дела полицейских.
Иная ситуация, если атрибуцией занимаются государственные разведывательные структуры, например АНБ. Они способны наблюдать за широкими сегментами интернета, поэтому не испытывают сложностей с атрибуцией.
В 2012 г. Леон Панетта, в то время занимавший пост министра обороны США, публично заявил, что Америка (предположительно АНБ) «значительно продвинулась в… идентификации источников» кибератак. Другие американские чиновники в частном порядке высказались, что решили проблему атрибуции. Не знаю, сколько в этих словах позерства, но я убежден, что в них немало и правды.
В 2016 г. в разговоре, о котором я упоминал в начале этой главы, Роб Джойс из АНБ сказал: «При таком количестве юристов в Министерстве национальной безопасности, ФБР и АНБ удивляешься, когда правительство заявляет о необходимости информирования при установленной атрибуции. Атрибуция – действительно сложный процесс, но раз власть просит, мы используем всю совокупность имеющихся в нашем распоряжении источников и методов. [Между тем] пока эти целенаправленные постоянные угрозы не исчезнут… мы не можем разглашать всю информацию и рассказывать все насчет того, что мы знаем и каким образом это узнаем».
