Текст книги "Я++: Человек, город, сети"

Рассредоточение и роение

Если вы не желаете вечно бояться и быть легкой целью в мире глобальных сетей и распределенных осад, одним из наилучших решений будет децентрализация. Вместо того чтобы разместить коммерческую организацию в расположенном в центре знаменитом здании, можно рассредоточить ее по пригородным филиалам, связанным между собой электронным способом. Вместо того чтобы разместить террористическую организацию на базе, которая в любой момент может подвергнуться упреждающему или ответному удару, можно создать диверсионную сеть и рассредоточить ее членов среди населения. В обоих случаях потерь не избежать: затрудняется взаимодействие, теряется возможность экономии за счет масштаба, а недостаток личного общения может привести к снижению уровня доверия и сплоченности в коллективе. Однако с повышением эффективности телекоммуникаций и по мере роста связанных с централизацией рисков чаша весов может склониться в сторону рассредоточения.

События 11 сентября среди прочего научили нас и тому, что размещение структуры в одном здании – скажем, в небоскребе с логотипом корпорации на фасаде – делает ее крайне уязвимой. Как заявил после теракта один из нью-йоркских риелторов: «Я не уверен, что высотные офисные здания класса премиум когда-нибудь снова станут популярными»¹⁹. Уильям Сафир писал в своей колонке в The New York Times: «Мы живем в большой, просторной стране. Физически децентрализованное, обеспеченное электронной связью правительство могло бы стать опорой государства в случае, если округ Колумбия будет парализован»²⁰. Такую реакцию можно было бы назвать преувеличенной (особенно если речь идет о настроенных против городов консерваторах), однако совершенно очевидно, что баланс выгод и потерь при выборе между централизацией и рассредоточением впредь будет оцениваться совсем по-другому²¹.

Технически выгоды от сосредоточения производств, обуславливающие скучивание функций внутри организаций и объединение предприятий в индустриальные кластеры, нужно сравнивать с рисками, связанными с высокой пространственной концентрацией. Там, где эти выгоды остаются много выше рисков стихийных бедствий, сетевых сбоев (вроде отключения электричества) или терактов, кластеры, скорее всего, сохранятся. Однако там, где риски уже заметны на фоне преимущества (и, вероятно, там, где риски выражаются в высоких страховых выплатах и налогах на борьбу с террористической угрозой) и где эффективные сетевые связи снижают недостатки рассредоточения, предприятия скорее будут распределять риски с помощью децентрализации.

Используя беспроводные соединения и миниатюризированное портативное оборудование, к выгодам рассредоточения можно присовокупить принципиальные преимущества мобильности. Децентрализация, безусловно, не стала совершенно новой концепцией для военных теоретиков и практиков. Рассредоточенные мобильные партизаны, нерегулярные части и группы сопротивления известны давно, однако мобильные телекоммуникации придают их деятельности новое измерение: сегодня такие группы способны к куда более эффективным и координированным действиям. В атакующем режиме они могут организовать синхронные нападения на ключевые узлы протяженных инфраструктурных сетей, скажем, на коммутаторы или трансформаторные подстанции. Они могут координированно продвигаться к цели из различных точек, а могут использовать тактику роения – внезапно и неожиданно скапливаться в определенном пункте для выполнения задачи и так же быстро рассредоточиваться во избежание задержания или ответных мер. Эффективность метода роения наглядно продемонстрировали связанные с помощью электроники демонстранты, вышедшие на улицы Сиэтла во время совещания Всемирной торговой организации в 1999 году²². Ежемесячные акции Critical Mass, в ходе которых велосипедисты Сан-Франциско протестуют против засилья автомобилей, превзошли всех: внезапно появляясь неизвестно откуда, они перекрывают перекрестки и практически парализуя движение²³. «Роевые тактики» стали излюбленной темой аналитиков в сфере безопасности²⁴.

Ту же идею можно экстраполировать и на телекоммуникационную инфраструктуру. Даже если узлов много и они широко рассредоточены, как в интернете и системах мобильной связи, они по-прежнему стационарны, а значит – остаются уязвимыми целями. Если же они становятся беспроводными и подвижными, сама сеть трансформируется в роевую общность и способна быстро перегруппировываться при угрозе нападения или распространяться на пострадавшие территории для восстановления обслуживания. К примеру, после землетрясения в Лос-Анджелесе в 1994 году провайдеры обеспечили быстрое восстановление сотовой связи в районах бедствия с помощью трейлеров, на которые устанавливались мобильные базовые станции, подключенные через передатчики микроволновой связи типа точка-точка. В Нью-Йорке после 11 сентября этот же метод эффективно использовался для восстановления сотового покрытия и налаживания связи пострадавшего района с остальной сетью. А военные стратеги уже начали задумываться о создании роев согласованно действующих беспилотных самолетов, объединенных «небесным интернетом»²⁵.

Копирование и взаимозаменяемость

Если степень уязвимости не удается в достаточной мере снизить с помощью рассредоточения, подвижности и уклонения от угрозы, можно обратиться к тактике копирования и взаимозаменяемости. Это тоже далеко не новость: военачальники всегда готовы перебросить пушечное мясо в место прорыва обороны, у автомобилей бывают резервные бензобаки, а в строительных нормативах прописаны дополнительные пути эвакуации на случай блокировки основного. Однако появление дешевых электронных устройств выводит эту идею на новый уровень. Интернет, к примеру, состоит из сравнительно недорогих каналов и коммутаторов, поэтому там несложно добиться избыточной связанности, благодаря которой сигнал легко обходит поврежденные участки. Следующий шаг – подвижная импровизированная сеть на основе портативных одноразовых беспроводных устройств, совмещающая в себе преимущества изменчивости и избыточности. Вывести такую сеть из строя особенно трудно, поскольку в отсутствие стационарных узлов пришлось бы находить и уничтожать большое количество подвижных компонентов, вместо которых тут же возникали бы новые.

Еще лучше, чем с аппаратными средствами, основанные на избыточности защитные стратегии работают с программным обеспечением, поскольку его копирование не требует ни больших затрат, ни длительного времени, а сам процесс легко децентрализуется. Резервные копии и их распределение по различным удаленным серверам стали общепринятой практикой. Не так давно резервные копии сохранялись на дискетах и пленке; сегодня это все чаще делается в сети. К примеру, копия любого отосланного имейла сохраняется на множестве серверов, которые, в свою очередь, регулярно и автоматически копируют свое содержание на резервные диски. При работе на подключенном к сети компьютере все сложнее добиться того, чтобы у файла нигде не было резервных копий.

Организации, которые зависят от цифровых данных и не могут позволить себе простоев по техническим причинам, часто создают резервные центры, где дублируется и аппаратура, и данные. Финансовые фирмы заводят «горячие» резервные центры, где помимо прочего постоянно находится команда операторов, готовых запустить их по первому требованию. Еще до того как манхэттенский дата-центр Lehman Brothers исчез под развалинами башен-близнецов, технический директор, сбегая по пожарной лестнице, активировал резервные мощности через свой Blackberry. На следующий день компания снова вышла на рынок²⁶. К полудню 11 сентября все основные банки Нью-Йорка ввели в действие оперативные планы восстановления после чрезвычайных ситуаций. Компания Cantor-Fitzgerald, 700 служащих которой погибли в результате теракта, через два дня, когда снова открылся рынок облигаций, уже участвовала в торгах со своих резервных площадок в Нью-Джерси и Лондоне²⁷. Многие пострадавшие финансовые фирмы получили свои данные от нанятых ими заранее компаний аварийного восстановления информации (SunGard, Comdisco и других)²⁸. С гораздо более серьезными сложностями столкнулись юристы, в большей степени зависящие от оригиналов бумажных документов. И по крайней мере одному архитектурному бюро, не располагавшему резервными копиями за пределами офиса, пришлось по крупицам собирать свои файлы с серверов компаньонов и консультантов.

Если нет необходимости в немедленном восстановлении, резервные центры могут быть рассредоточены по большой территории. Однако при большом объеме передаваемых данных и необходимости скорейшего возобновления работы рассредоточение ограничивается пропускными способностями сети. Скажем, протокол ESCON, используемый на мейнфреймах IBM для соединения с устройствами памяти большой емкости, ограничен радиусом примерно в сорок километров. Резервные центры манхэттенских финансовых фирм чаще всего располагаются прямо на Манхэттене, в Нью-Джерси или в Бруклине.

Тем не менее после 11 сентября 2001 года возрос интерес к увеличению дальности действия систем распределенной обработки данных, с тем чтобы вычислительные кластеры простирались за пределы зоны любого возможного бедствия. Для этого нужны высокоскоростные соединения, способные функционировать при дальности в сотни километров, а также серверы и системы хранения, специально спроектированные для поглощения возросших нагрузок и поддержания бесперебойной деятельности даже при выходе из строя нескольких узлов кластера. Скорее всего, технологии по поддержанию целостности предприятий вроде этой будут развиваться и дальше²⁹.

Однако у небольшого кафе, расположенного рядом с крупной финансовой фирмой, нет и не будет возможности переключиться на резервный центр. Более того, электронный переезд соседа может иметь для кафе катастрофические последствия – оно мгновенно лишится клиентуры. Электронное резервирование и избыточность – мощные средства, но не для всех они одинаково полезны.

Самовоспроизведение и мутации

Эти принципы можно экстраполировать на метауровень: процесс копирования и рассредоточения может сам копироваться, рассредоточиваться и передвигаться, становясь таким образом более жизнеспособным, чем процесс, привязанный к одному потенциально уязвимому комплексу оборудования. Образцом такого поведения служат паразиты, бактерии и вирусы: попав в благоприятные условия, они начинают размножаться и распространяться по множеству различных каналов, отчего от них очень непросто избавиться.

Поскольку операция записи информации в память является фундаментальной для вычислительных процессов, логика воспроизведения проявилась уже на первых компьютерах. Программисты научились создавать циклы инструкций, которые записывали одни и те же данные, быстро переполняя память. Пользуясь чуть более сложной логикой и отбросив различия между программой и данными (что совсем не сложно в языках, подобных лиспу), они научились создавать самовоспроизводящиеся блоки программного кода.

На этой стадии худшим исходом неконтролируемого размножения было зависание одного компьютера, и чтобы исправить положение, достаточно было перезагрузиться. Объединение компьютеров в сети моментально изменило ситуацию. Появилась возможность посылать разрушительные программы с компьютера на компьютер в открытую – или же более коварным способом, незаметно прикрепляя их к имейлам или другим передаваемым данным. Более того, несложно было переписать их таким образом, чтобы они не просто размножались на новом месте, но и самостоятельно прикреплялись к исходящим имейлам для дальнейшего распространения. Так в эру интернета компьютерные вирусы научились имитировать поведение своих биологических предшественников.

Подвижный самовоспроизводящийся программный код может (как и многие биологические вирусы) быть безвредным, даже приносить огромную пользу, но зато как он умеет вредить! Многим интернет-пользователям знакомо отчаяние, которое вызывают компьютерные вирусы. Они переполняют память, стирают файлы, портят программы, выводят на монитор оскорбительные надписи, рассылают вирус другим пользователям или просто форматируют жесткий диск. Разнообразие ущерба тут ограничивается лишь воображением и техническими навыками (а среднего уровня для этого дела более чем достаточно) программистов с дурными наклонностями и сетевым подключением.

На сегодня стандартными (и зачастую весьма эффективными) мерами защиты против вирусов являются программы, которые, сканируя входящую почту и жесткие диски, выявляют и блокируют найденные вирусы. Сложности тут схожи с теми, которые возникают при защите от биологических вирусов, – от разных вирусов помогают разные средства, постоянно присутствует угроза появления новых вирусов, от которых еще не существует защиты, а некоторые вирусы способны воспроизводиться с мутациями, что позволяет им избегать уничтожения. В общем, это масштабная и сложная проблема, в результате которой мы наблюдаем набирающую обороты битву между вирусами и антивирусными средствами.

С помощью воспроизведения программного кода можно не только распространять вирусы. Это еще и способ накопить силы для внезапной крупномасштабной атаки из множества разных точек сети. Для организации атаки DDoS (Distributed Denial of Service) хакеры, тайно взяв под контроль большое количество машин, в какой-то момент дают всем им команду слать запросы на определенный сервер, таким образом перегружая его и выводя из строя. Более того, атаковать можно не один, а сразу несколько серверов одновременно, что дает потенциальную возможность преодолеть защитную избыточность всемирной сети. К примеру, в октябре 2002 года DDoS-атакам подверглись девять из тринадцати разбросанных по миру корневых серверов интернета³⁰. Длительная, успешная DDoS-атака на все тринадцать корневых серверов обрушила бы всю сеть.

Круче интернет-вирусов

Уничтожая цифровые ресурсы, препятствуя коммуникациям и выводя из строя компьютеры, на которые мы уже привыкли полагаться во всем, интернет-вирусы способны нанести огромный экономический ущерб, но они, как правило, не угрожают человеческой жизни и безопасности. Все изменится, когда с распространением встроенных и имплантируемых беспроводных устройств наши тела станут сетевыми узлами, а транспортные, электрические, водопроводные и воздуховодные сети еще теснее переплетутся с телекоммуникационными. Ценой интеграции в крупномасштабные, управляемые искусственным интеллектом сети станет постоянная необходимость всеми силами защищать их от все возрастающих вирусных угроз.

Более того, по мере переноса производства физических объектов с централизованных фабрик на сетевые персональные мощности начнет разрушаться традиционная монополия на изготовление и распространение вооружений. Персональное производство текстов, игрушек или электронных компонентов – дело, безусловно, хорошее, а вот изготовление огнестрельного оружия и бомб по скачанным чертежам и из безобидных на первый взгляд материалов, заказанных через интернет у различных поставщиков, – однозначно плохое. Еще опаснее могут стать персональные биотехнологии – к примеру, создание вирусов на основе скачанных из сети генетических данных и из рассылаемых по почте компонентов. Уже в 2002 году исследователи, пользуясь общедоступными последовательностями генетического кода, имеющимися в свободной продаже реактивами и скромным набором лабораторного оборудования, синтезировали инфекционный вирус полиомиелита³¹. Создание самовоспроизводящихся нанороботов (которые стирают границы между производственным оборудованием и продуктами производства), несмотря на скепсис многих ученых, все же вполне вероятно. В этом случае самым жутким сценарием апокалипсиса становится мир, внезапно наводненный вышедшей из-под контроля самовоспроизводящейся серой слизью. Как предсказал Билл Джой, в будущем мы сможем создать «оружие не просто массового поражения, но интеллектуального массового поражения, деструктивная мощь которого будет многократно усиливаться способностью к самовоспроизведению»³².

Новая оборонная стратегия городов

Если города прошлого вроде Трои и Пальмановы заботились об обороне окружавших их стен, Нью-Йорку и другим городам XXI века приходится защищать от аварий и нападений свои распределенные сети. При этом им нужно беречь не только ядро инфраструктуры, но и ее раскинувшиеся на огромные расстояния оконечности. Чтобы снизить уязвимость при повреждении нескольких ключевых узлов или соединений, им приходится обеспечивать достаточную избыточность жизненно важных сетей. Для предотвращения цепной реакции распространения сбоев им нужно использовать предохранители, клапаны избыточного давления и прочие защитные механизмы. Необходимо разрабатывать эффективные меры, перекрывающие доступ в сети взрывчатым веществам, токсинам, возбудителям заболеваний, мобильному программному коду и прочим факторам разрушения. Не стоит забывать и о возможном захвате средств передвижения, серверов и прочих устройств доставки. Наконец, городам приходится противостоять угрозе как физического разрушения цифровых сетей, так и нарушения их логической целостности из-за вирусов, интернет-червей и программных атак и т. п.

И наоборот, если городу все же удается поддержать работу сетей в момент катастрофы, появляется возможность быстрой мобилизации ресурсов для восстановления. По транспортным сетям доставляется гуманитарная помощь со всего света. С помощью мобильных узлов связи быстро восстанавливаются телекоммуникации. А высокоскоростные цифровые соединения с удаленными резервными центрами и географически рассредоточенными предприятиями обеспечивают поддержание экономической активности.

Традиционно безопасность основывалась на численности и оборонительных сооружениях. Оборонная стратегия и устойчивость к ударам сегодняшних городов зиждется на связи. В процессе фрагментации и перераспределения оборонительные сооружения перестали окружать целые поселения, отделяя их от сельской местности. Сегодня они ограждают бесчисленные, рассредоточенные точки доступа к сетям – от рамки на входе в зону вылета до защищенных паролем персональных компьютеров.

12. Логические тюрьмы

Согласно преданию (и множеству неудачных анекдотов), стоящий на страже у небесных врат святой Петр встречает всех прибывающих в Град Божий, загружает список их дел за всю жизнь и принимает решение о предоставлении прав доступа. Похожим образом Цербер предотвращает неавторизованный вход в подземное царство деятелей вроде Орфея. Сегодня электронный контроль передвижения в физическом и кибернетическом пространствах работает по весьма схожим принципам. Чтобы зайти на защищенный сайт или воспользоваться банкоматом, нужно значиться в списке авторизованных пользователей. А если вы хотите попасть на рейс, уж позаботьтесь, чтобы ваши данные не совпадали с данными каких-нибудь негодяев.

Технологии наблюдения, сбора и анализа данных, распознавания образов и управления личными сведениями сегодня совмещаются с администрированием прав доступа, в результате чего создаются системы социального контроля небывалых масштабов и возможностей. В основе этих систем лежит список тех, у кого есть доступ, и его противоположность – черный список. Списки отделяют своих от чужих, друзей от врагов – и тем самым определяют положение личности внутри системы. Создавать такие списки – значит осуществлять властные полномочия, состоять в них (или быть из них исключенным) – значит подчиняться этой власти.

Электронный контроль доступа

Концепция контроля доступа в ее современной, цифровой ипостаси возникла, когда появились компьютеры коллективного пользования¹. Пользователи не хотели, чтобы другие рылись в их данных, поэтому операционные системы научились следить за тем, кто имеет право читать, менять или копировать определенные файлы. По существу, в памяти системы содержалась таблица, в которой по одной оси указывались пользователи, по другой – файлы, а на пересечениях отмечался допуск к файлу или его отсутствие². В строке получался список файлов, доступных определенному пользователю, а в колонке – список пользователей, имеющих доступ к определенному файлу. Это была кастовая система: наиболее привилегированные пользователи имели максимальный доступ, наименее привилегированные – минимальный.

Классификация упрощала задачу. Когда администраторам системы удалось сформулировать права не конкретных людей, а целых классов пользователей, таблицы контроля доступа стали меньше, а решать управленческие задачи стало проще. Теперь можно было устанавливать общие правила: допуск к файлам со списками зарплат имеют только высокопоставленные сотрудники, и только их магнитные пропуска позволяют пройти в директорскую столовую.

С развитием масштабных компьютерных сетей росла и роль систем контроля доступа. Поскольку зайти на сайт мог любой пользователь из любой точки сети (а в случае интернета – из любой точки мира), появилась необходимость четко определить круг допущенных для каждой страницы. В противном случае ваша входная дверь оставалась открытой нараспашку для всего света. В сетевых сообществах и длительных многопользовательских играх – иногда с миллионами участников – упомянутые кастовые системы развились в сложно устроенные иерархии полномочий на изменение общей среды обитания. Пользователи нижнего уровня могли управлять только своими аватарами, более привилегированные имели право создавать объекты или здания, а самые продвинутые могли изменять инфраструктуру и даже правила игры. Там, где программный код – это закон, доступ к нему делает тебя и законодателем, и стражем закона.

Кроме того, злоумышленники стали теперь куда хитрее. Они сообразили, что вовсе не обязательно самим колотиться в каждую электронную дверь: можно написать программу, которая будет автоматически разыскивать по всему интернету незащищенные от взлома компьютеры. В общем, теперь надо не только контролировать доступ реальных пользователей, но и отражать попытки автоматического проникновения. Сложность задачи управления доступом стремительно возросла.