Текст книги "Я++: Человек, город, сети"

Обрушение сетей

Проще всего обрушить сеть, блокировав или повредив важное соединение. Сети выводятся из строя – иногда с катастрофическими последствиями, – когда экскаватор обрывает телефонные или электрические кабели, тромб забивает артерию или из-за аварии встает идущее через весь Лос-Анджелес шоссе 405. Для таких сбоев сети особенно уязвимы там, где нет обходного пути с достаточной пропускной способностью. Поэтому соединения, подобные Хайберскому перевалу между Афганистаном и Пакистаном или мосту Бей-Бридж в Сан-Франциско, имеют такое стратегическое значение: вывод из строя подобного звена отделяет друг от друга большие фрагменты сетей по обе стороны от него.

Еще больший эффект оказывает отключение узла – в особенности такого, где сходится множество соединений. Если при землетрясении повреждается автомобильная развязка, обрывается сообщение по нескольким направлениям. Закрытие такого важного транзитного узла, как чикагский аэропорт О’Хара, приведет к серьезному нарушению авиасообщения. Более того, в узлах обычно концентрируются более важные, чем в соединениях, функции. Порезав вены, есть шанс выжить, но остановка сердца – это верная смерть. При обрыве кабеля на периферии локальной сети остальная ее часть продолжит работу, отключение центрального сервера обрушит ее целиком.

Распространение сбоев

Если на одном участке сети произошел сбой, проблема может распространиться и на другие звенья и узлы – в особенности если сеть имеет высокую плотность соединений. Засор в канализации может привести к переливу в раковине или унитазе, а легкая авария на шоссе часто становится причиной разрастающейся пробки на соседних дорогах. Ситуация усугубляется при отсутствии механизмов снятия нагрузки – таких как сливной клапан или съезд с основной магистрали: вот почему ньюйоркцы так боятся застрять в тоннеле под Гудзоном.

Еще хуже, когда распространение перегрузок приводит к череде сбоев сетевой инфраструктуры. К примеру, перегоревший трансформатор может спровоцировать перегрузку других частей электросети, что приведет к их отключению, и так далее. Это похоже на ядерную цепную реакцию или на последовательный обвал конструкций, как в случае с башнями Всемирного торгового центра, когда верхние этажи обрушивались на нижние, те не выдерживали нагрузки и так далее по нарастающей. Для защиты от распространяющихся сбоев сетям требуются специальные устройства – предохранители или автоматические прерыватели, которые жертвуют собой ради предотвращения дальнейших разрушений.

В крупных высокоскоростных сетях, таких как современная система электроснабжения или интернет, механизмы распространения перегрузок и последовательных сбоев зачастую чрезвычайно сложны, их невероятно трудно предугадать и практически невозможно контролировать. Даже начавшись как вполне локальная неприятность, сбой всегда может вызвать цепную реакцию и крупномасштабные, долгосрочные повреждения. К примеру, в 1998 году в электросети новозеландского Окленда произошел каскад аварий, которые серьезно повредили четыре основных силовых кабеля центрального делового района. До перехода на резервное питание закрылась новозеландская биржа, офисные башни стояли без света несколько недель, не работали кондиционеры и холодильники (в Южном полушарии как раз был разгар лета), и в пабах наливали теплое пиво – из-за чего местные жители переживали больше всего.

Помимо оборудования к катастрофическому распространению ошибок склонно и программное обеспечение. В январе 1990 года небольшая техническая проблема на телефонной подстанции в Нижнем Манхэттене привела к тому, что коммутатор ненадолго отключился и запустил перезагрузку своего программного обеспечения. Включившись снова, он известил другие коммутаторы по всей стране, что они могут начинать направлять ему вызовы. К сожалению, из-за ошибки в программе эти извещения вызывали перезагрузку получавших их коммутаторов. Включившись снова, они становились новым звеном этой цепной реакции и так далее. Прежде чем ошибка была найдена и исправлена, нарушилась работа 114 подстанций, а телефонная сеть была практически выведена из строя на девять часов. Не состоялось 70 из 138 миллионов запрошенных в этот день междугородных разговоров и звонков на номера 800, что привело к ущербу в сотни миллионов долларов⁷.

Ситуация может усугубляться тем обстоятельством, что разные типы сетей часто функционально зависят друг от друга – и сбой в одной сети может спровоцировать неполадки в другой. Особенно тесно переплетены сети телекоммуникаций и электроснабжения: аппаратура первых нуждается в электроэнергии, инфраструктура вторых управляется при помощи сложных телекоммуникационных систем. Похожим образом при отключении электричества выходят из строя светофоры, и на дорогах начинается неразбериха. А там, где работа водоснабжения и воздуховодов обеспечивается электронасосами, из-за перебоев с электричеством здание может стать непригодным для обитания. Даже при отсутствии прямой взаимозависимости близкое расположение сетевых соединений может способствовать распространению сбоев. К примеру, в тоннелях под Гудзоном и Ист-Ривер в Нью-Йорке проложены как транспортные, так и телекоммуникационные магистрали, поэтому затопление тоннеля приведет к обрыву обеих сетей⁸. Разрушение башен-близнецов одновременно уничтожило и важный пересадочный узел подземки в цокольном этаже, и множество телекоммуникационных передатчиков на крыше.

Зрелищный и потому часто упоминаемый случай цепной реакции сбоев произошел в Вустере, штат Массачусетс. Подросток взломал программное обеспечение телефонной подстанции и стер настройки коммутатора, в результате чего телефонная связь отключилась по всему округу⁹. Диспетчеры местного аэропорта использовали телефонный сигнал для включения огней на взлетно-посадочной полосе. Когда заходивший на посадку самолет запросил включить огни, диспетчеры не смогли ничего сделать, и аэропорт пришлось закрыть.

Структура и уязвимость

Случается, что серьезные повреждения инфраструктуры естественным образом приводят к выводу крупной сети из строя. К примеру, буран, случившийся в Квебеке в январе 1998 года, повалил деревья, столбы и опоры ЛЭП, повредив тысячи миль проводов на громадной территории. В результате многие районы Монреаля остались без электричества на несколько морозных недель, а работы по восстановлению потребовали огромных усилий. Однако в определенных обстоятельствах к отключению целых систем может привести и точечный сбой или повреждение.

Еще на заре эры интернета передовые исследователи начали понимать, что способность системы поддерживать функционирование после сбоя во многом зависит от ее структуры. Пол Баран начал свою основополагающую статью о рассредоточенных сетях с диаграммы, показывающей три типа сетевых структур: централизованную, децентрализованную и распределенную¹⁰. Централизованная сеть состоит из соединений, расходящихся от центрального узла, совсем как радиальные улицы Пальмановы. Такая сеть, по словам Барана, «очевидно уязвима, поскольку вывод из строя одного лишь центрального узла прерывает связь между всеми остальными пунктами».

Высотные башни – скажем, башни Всемирного торгового центра – уязвимы именно потому, что все вертикальные пути сосредоточены в центральном несущем стволе. Строительные нормативы требуют наличия нескольких изолированных путей эвакуации, и при сравнительно небольшом возгорании этого может быть достаточно, но не в случае катастрофических событий, когда ствол разрушается полностью.

Децентрализованная сеть получается из «нескольких звезд, соединенных между собой в большую звезду», примерно как расходящиеся от площадей главные улицы в созданном Кристофером Реном плане Лондона, в Париже Оссманна или Вашингтоне Л’Анфана. Центры звезд остаются уязвимыми местами сети, но разрушение одного такого подцентра не приводит к тотальному обрушению: отключаются лишь узлы, подсоединенные непосредственно к нему, а остальная система продолжает функционировать. Децентрализация дает возможность поступенчато наращивать размер сети и позволяет блокировать последствия аварии.

Распределенная сеть является неиерархической – она похожа на решетку улиц Манхэттена или Чикаго, хотя ей не обязательно быть такой регулярной. Эксплуатационная надежность обеспечивается наличием резервных маршрутов: при повреждении узлов или соединений движение просто огибает аварийный участок. Однако за это приходится расплачиваться снижением эффективности: по пути от одного узла к другому сигнал, как правило, проходит через множество промежуточных узлов, являющихся точками потенциальных перегрузок и пониженной пропускной способности. При движении по решетке улиц у вас куча возможных маршрутов, и вы, скорее всего, доберетесь до места, даже если какие-то из улиц перекрыты, но по пути вам встретится много знаков «Уступи дорогу» и немало светофоров. То же и с высотными башнями: будь они соединены между собой воздушными мостами, появились бы новые резервные маршруты и повысилась бы пространственная рассредоточенность путей эвакуации, но их стало бы сложнее контролировать с помощью охраны у входа.

На практике, соответственно, крупные транспортные, телекоммуникационные и прочие сети в поисках оптимального сочетания преимуществ зачастую объединяют в себе и звезды, и решетки. В Пальманове помимо радиальных артерий есть и несколько кольцевых улиц, опоясывающих центральную площадь, и площади поменьше (образующие подцентры) в середине клиновидных сегментов. Радиальные проспекты Парижа и Вашингтона наложены на решетки второстепенных улиц, а радиальные транспортные сети многих современных городов дополнены кольцевыми дорогами и кольцевыми линиями. Сеть авиаперевозок все больше ориентируется на крупные пересадочные аэропорты, однако линии, обходящие эти пункты стороной, тоже попадаются. Гигантская структура интернета получилась довольно иерархичной, но во многих регионах в ней есть немало поперечных и дублирующих связей¹¹.

Авария и атака

Крупные децентрализованные сети, которые все более определяют существование в эпоху глобализации, оказались удивительно устойчивы к случайным авариям и сбоям. То там, то здесь из строя выходят узлы и звенья, но если они не являются жизненно важными центрами или невосполнимыми соединениями, последствия, как правило, бывают сравнительно недолгими и сугубо местными. Другое дело – намеренная атака. Сведущие саботажники могут выбирать наиболее привлекательные мишени, нацеливаясь, к примеру, сразу на несколько важнейших узлов, вместо того чтобы тратить силы на периферийные соединения. Даже такая крупная и разветвленная система, как интернет, может оказаться чрезвычайно уязвимой к четко скоординированным точечным атакам: огромная работа по сокрытию, укреплению и защите ключевых коммутационных узлов – не прихоть, а насущная необходимость.

Террористические атаки на Всемирный торговый центр в Нью-Йорке заставили нас подучить базовые положения теории сетей. Уличная дорожная инфраструктура, имея большой запас избыточности, исправно продолжила работать. Разрушение важнейшего узла значительно менее распределенной системы нью-йоркского метро привело к серьезным и длительным перебоям. Однако привлекательность этой цели для террористов состояла не только в большом скоплении людей и символическом значении башен, но и в том, что Нижний Манхэттен является ключевым узлом глобальной финансовой сети и, соответственно, местом высочайшей концентрации телекоммуникационной инфраструктуры. В сентябре 2001 года под улицами Манхэттена было больше оптоволоконного кабеля, чем по всей Африке, а две телефонные подстанции в финансовом центре обслуживали больше линий, чем есть во многих европейских странах. На крыше северной башни располагалось более 1 500 антенн.

Разрушения телекоммуникационной инфраструктуры были огромны. Головной офис компании Verizon на Вест-стрит, 140, обслуживавший более трех миллионов местных телефонных линий, был сильно поврежден обломками, дымом и водой. Центральный офис AT&T, располагавшийся в подвале башен-близнецов, пережил обрушение, но, утратив электроснабжение, отключился в 4 часа дня 11 сентября, когда сел аккумулятор резервного питания. Станция обслуживала 20 000 оптоволоконных кабелей и 1 200 магистральных линий связи к клиентам не только по всему Нижнему Манхэттену, но и, к примеру, на Лонг-Айленде, так что перебои наблюдались и непосредственно в районе бедствия, и по всему региону. Были полностью утрачены по крайней мере пятнадцать базовых станций сотовой связи, а кабельные коммуникации ко многим другим были повреждены в связи с разрушениями в здании Verizon. Что уж говорить об антеннах на крыше северной башни.

Разрушение инфраструктуры в сочетании с резким ростом количества звонков привело к перегрузке сети. 11 сентября ньюйоркцы говорили по телефону примерно вдвое чаще обычного. Сотовые сети не справлялись: в течение первой половины дня соединялось менее 5 процентов звонков. AT&T обеспечила 431 миллион международных и междугородных соединений, что примерно на двадцать процентов выше нормы. Для поддержания исходящей связи в Нью-Йорке и Вашингтоне компании пришлось блокировать входящие вызовы. Нью-Йоркская фондовая биржа возобновила работу только через шесть дней, да и то ценой невероятных усилий по восстановлению телекоммуникаций.

В критической ситуации интернет продолжал функционировать, как и надеялись его разработчики¹². Вследствие повреждения инфраструктуры и отключения электроэнергии произошло несколько локальных сбоев. Были перегружены серверы электронной почты и основные новостные сайты, но серьезного влияния на глобальную сеть это не оказало. Тем не менее район Нью-Йорка был на тот момент крупнейшим в мире узлом связи, несколько из наиболее важных дата-центров которого находились в непосредственной близости от пострадавших районов Нижнего Манхэттена. Стало очевидно, что скоординированная атака на них способна изолировать Нью-Йорк от остального мира или даже разорвать сообщение между США и Европой, хотя и в этом случае останется работать связь между Западным побережьем США и Азией.

Боязнь чуждых элементов

Куда более выгодным может оказаться не уничтожение, но эксплуатация сетей противника. Получив доступ к крупномасштабным, заботливо выстроенным сетям, вам не придется – как Наполеону во время похода на Москву – тратить огромные усилия на переброску своих войск туда, где их ждет враг. Вам даже не нужно иметь столько же солдат, сколько у противника. Обманом или силой захватив сети, смерть и разрушения можно с высочайшей точностью сеять, обладая самыми скромными средствами.

Мрачным предвестником такой стратегии стала эпидемия СПИДа. Вирус иммунодефицита, как быстро стало понятно, эффективно распространяется по сети сексуальных контактов и распространения донорской крови – сети, которая за последние несколько десятилетий чрезвычайно расширилась за счет скоростных видов транспорта и общей подвижности населения. Вирус просочился в эту рукотворную структуру и стал использовать ее в своих целях. В результате возникло состояние распределенной осады – не географической, против которой возводились стены Пальмановы, но той, что выражалась в миллионах презервативов. В отличие от прежних эпидемий, для распространения которых требовалась определенная плотность населения и остановить которые часто удавалось путем изоляции и карантина, СПИД зависит от наличия путей соединения – иногда связывающих очень далекие пункты – в рамках глобальной сети.

Эпидемия атипичной пневмонии 2003 года стала более поздней вариацией на ту же тему. Вирус передавался воздушно-капельным путем, поэтому первая линия обороны состояла не из презервативов, а из респираторов. Места встречи людей из разных стран – отели, рестораны, терминалы аэропортов и салоны авиалайнеров – обеспечили вирусу попадание в сеть международных авиаперевозок, по которой он быстро добрался из Китая в Гонконг, Сингапур и далее по всему миру. Чем больше была ваша зависимость от этой сети, тем выше риск заболеть.

Если обычный вирус – это генетический код в биологической форме, то компьютерный – это программный код в цифровой форме, и функционирует он похожим образом. Сегодня компьютерные вирусы так хорошо нам знакомы, что не требуют детального объяснения, а их потенциальная разрушительная сила растет с развитием интернета. К примеру, всего через неделю после событий 11 сентября вирус Nimda поразил 85 000 серверов по всему миру, что вызвало в интернете куда более заметные перегрузки и куда больший ущерб, чем повреждение сетевой инфраструктуры при обрушении башен Всемирного торгового центра¹³. Подобные вирусы – наглядный пример темной стороны таких процессов, как децентрализация производства и дематериализация процессов: создать их может любой человек, умеренно смыслящий в компьютерах (вплоть до хакера-дилетанта весьма скромного уровня), в любом из миллионов интернет-узлов, откуда они распространяются практически мгновенно. Вирусы могут быть запущены в сеть даже беспроводным способом из подвижного или временного местоположения. Подобно вирусу иммунодефицита, они порождают состояние распределенной осады по всему миру, которое на этот раз выражается в фильтрах электронной почты, антивирусах для персональных компьютеров и корпоративных системах сетевой защиты.

Миниатюризация, биотехнология и нанотехнология представляют еще более широкие возможности для проникновения в системы и перенастройки их на разрушение. Если вы можете произвести хотя бы малые количества мощного токсина, смертельно опасного вируса или агрессивных нанороботов, через водопроводные сети и воздуховоды у вас есть шанс доставить их именно туда, где они принесут наибольший вред¹⁴. Системы вентиляции и кондиционирования как будто специально созданы для этой цели: в обход охранников и запертых дверей они связывают легкодоступные воздухозаборники со всеми обитаемыми пространствами здания. В этом случае компонентами распределенной осады (которые стали вводить в действие, когда опасность была наконец осознана) становятся фильтры, клапаны и электронные датчики, способные обнаруживать и выводить опасные вещества.

Наконец, миниатюризация средств уничтожения резко упростила использование для их распространения любых форм транспортных сетей. Чтобы доставить бомбу, Унабомберу не нужен был бомбардировщик B-52 или ракета за миллион долларов – смертельное количество взрывчатки попадало прямо в руки его жертвам стараниями американской почты. Споры сибирской язвы можно положить в обычный конверт. Террорист-смертник может добраться до места взрыва на машине, поймать такси или сесть в автобус. В фургоне или грузовике сделанную из азотных удобрений бомбу можно привезти на разгрузочную площадку или подземную стоянку здания, а можно просто въехать в главный вход – отсюда и заградительные столбики, барьеры и прочие импровизированные укрепления, которые в последнее время все больше уродуют городской ландшафт. Задействовав грузовой контейнер, можно доставить ядерное оружие прямо в сердце крупного города¹⁵. О возникающем в этой ситуации распределенном осадном положении ярче и навязчивее всего напоминают нам рамки на входе в зону вылета – особенно после 11 сентября.

Современный густо опутанный сетями мир в корне отличается от той саморегулирующейся либертарианской утопии, о которой иногда мечтали первопроходцы киберпространства. Вместе с ростом числа и географическим распространением точек доступа – что, по сути, и является основным достижением глобальных сетей – множатся и распространяются возможности создания угроз безопасности и благосостоянию тех, кто привык полагаться на работу сетевой инфраструктуры. Начальные вложения тут, как правило, невысоки: не обладая ни специальными знаниями, ни навыками, ни ресурсами, можно смастерить массу разрушительных устройств, приспособленных для работы в различных сетях, – при этом практически все необходимое можно скачать или заказать через интернет. (Как писал Мартин Эмис вскоре после событий 11 сентября, «пара десятков канцелярских ножей произвели два миллиона тонн строительного мусора»¹⁶.) Эффективное высокоскоростное сообщение внутри сетей затрудняет процесс обнаружения и блокирования этих угроз, так что ущерб может быть нанесен и вдали от места прорыва внутрь периметра безопасности. А разработка недорогих и эффективных фильтров и барьеров – задача совсем не простая¹⁷.

Главный кошмар нашего времени – уже не варвары у ворот (или за железным занавесом времен холодной войны), но чуждые элементы, просочившиеся в наши сетевые структуры¹⁸. В контексте транспортных сетей и людских потоков это проявляется в объяснимом страхе террористических захватов или атак смертников, а также (иногда внахлест) в непростительной и гнусной демагогии, направленной против иммигрантов, беженцев и меньшинств. Среди сопутствующих патологий – закрытые границы, апартеид и этнические чистки. На другом уровне – это страх того, что контейнеры и средства передвижения – от писем до самолетов – будут начинены, захвачены или перенаправлены, чтобы доставить взрывчатые или отравляющие вещества. В области телекоммуникационных сетей – это боязнь компьютерных вирусов, хакеров и взломщиков. Ну а если речь идет о водопроводе, воздуховодах и телесных контактах, то это страх смертоносной инфекции.