Текст книги "Я++: Человек, город, сети"

От киберпространства к реальности

Сегодня, когда все большее количество устройств оснащается встроенным интеллектом и получает IP-адрес, списки контроля доступа, совершив эволюционный скачок из киберпространства в архитектуру, распространяют свое влияние на реальную, физическую повседневность.

Отчасти это вызвано распространением встроенного интеллекта. Когда бытовой прибор оснащается процессором и IP-адресом, появляется потенциальная возможность его взломать (болгарский подросток может перевести ваш будильник, настроить кондиционер так, чтобы зуб на зуб не попадал, включить все колонки на максимальную громкость и заставить люстру в гостиной мигать, как на дискотеке), а значит, и необходимость в контроле. Таким образом, домашний список контроля доступа начинает определять, кому в этом доме рады физически или дистанционно. То же самое происходит с автомобилями: вместо ключей в будущем, возможно, будет список авторизованных водителей.

Замки на дверях и воротах из металлических, отпираемых металлом же механизмов превращаются в программируемые электромеханические устройства, которые все чаще подключают к сети и снабжают списком авторизованных пользователей. (Вместо ключей к гостиничным номерам мы пользуемся магнитными карточками.) Иными словами, технологии контроля доступа в физическом и электронном пространстве – когда-то весьма далекие – сегодня сливаются в одну. Как, безусловно, и методы неправильного и злонамеренного их использования. Правительства могут получить возможность контролировать передвижения граждан – в реальном времени изменять параметры физического доступа в общественные места или же, используя систему платных автодорог, создавать электронные кордоны, пересекать которые большинству будет не по карману. Полиция, преследуя беглецов, будет за мгновение создавать вокруг них электронные клетки. Директора предприятий будут решать трудовые споры, блокируя доступ на производство рабочим. В магазины перестанут пускать тех, у кого нет денег. Ну а домушники попросту научатся перепрограммировать входные двери.

Более того, функции контроля доступа, которые ранее, подобно многим другим, осуществлялись архитектурными элементами, сегодня обеспечиваются беспроводными устройствами. Условно-досрочно освобожденным, к примеру, теперь иногда прикрепляют на лодыжку оборудованное GPS-чипом устройство слежения³. Соответствующие органы могут устанавливать для каждого правонарушителя свои запретные и контрольные зоны. В руководстве по электронному наблюдению за правонарушителями, выпущенном Американской ассоциацией досрочного освобождения и испытательного срока, читаем: «Запретной зоной является территория, вход на которую правонарушителю воспрещен. Для педофилов это парки и школы, для привлеченных за бытовое насилие – дом или место работы бывшего партнера, для алкоголиков – бары… Комендантские зоны являются местами, где правонарушитель должен находиться в определенное время суток, к примеру, на рабочем месте днем или дома ночью». Обе зоны наносятся на электронную карту, и всякий раз, когда «правонарушитель входит в запретную зону или покидает комендантскую зону в неустановленное время», система поднимает тревогу. Немного дополнив ее, можно отслеживать и уровень алкоголя в крови. Несложно представить себе версию, которая била бы током (что уже применяется к собакам) или вводила обездвиживающий препарат в случае, если поднадзорный делает что-то не то или находится в неположенном месте.

Однако технические детали электронного контроля доступа не так уж важны: являются компоненты системы элементами архитектуры или прикреплены непосредственно к людям – результат один. Куда важнее сосредоточиться на конкретных параметрах контроля доступа в определенных контекстах – и на том, кто имеет право эти параметры задавать.

Идентификация и аутентификация

Хорошо это или плохо, но списки контроля доступа – это простое и мощное средство. Однако использование их осложняется тем очевидным обстоятельством, что имена далеко не всегда уникальны; что подтвердит любая телефонная книга или большая платежная ведомость. Сопряженная с этим проблема состоит в том, что полномочия на присвоение имен размыты, а четких правил не существует. В армиях, корпорациях и некоторых государствах эту проблему решают путем присвоения всем и каждому уникального личного номера⁴. (Побочный эффект состоит в том, что у кого нет номера – того как бы и нет.) Это отличное с технической точки зрения решение, но оно дает присваивающим номер организациям слишком большую власть.

Еще более серьезная проблема состоит в том, что имя можно украсть: человек может попытаться получить доступ под чужим именем⁵. Во избежание этого системы контроля доступа, как правило, требуют подтвердить свою личность еще каким-нибудь способом. Стандартный метод аутентификации – запрос сведений, которыми едва ли может обладать случайный человек (к примеру, девичья фамилия матери), и сравнение их с ранее предоставленной информацией. Там, где необходима более высокая степень защиты, распространение получили пароли – но, как многим из нас известно по опыту, пароль легко забыть или перепутать. Немногим сложнее написать программу, которая, перебрав все возможные комбинации символов, найдет нужную. Еще более изощренный подход предполагает шифрование – тогда, чтобы получить доступ к информации, нужно сначала ее расшифровать с помощью специального ключа. Однако даже шифр всего лишь перемещает проблему на один уровень выше: украсть можно и имя, и (что, правда, обычно чуть сложнее) пароль, и шифровальный ключ.

Вместо информации, содержащейся в вашей памяти, система контроля доступа может запросить физический объект, который можно положить в карман. В доэлектронную эру это могло быть рекомендательное письмо (возможно, с восковой печатью), паспорт, пропуск или металлический ключ, подходящий к замку, – и все это, конечно, можно было потерять, украсть, подделать или скопировать. Сегодня на таком объекте, скорее всего, будет штрихкод, магнитная лента, чип памяти с цифровой информацией или криптографическое устройство, вычисляющее значение необратимой функции⁶. Примерно так мы получаем доступ к банкомату, в гостиничный номер или в охраняемое здание при помощи пластиковой карты. При использовании этого метода в ваших карманах скапливается куча различных карточек и других предметов, удостоверяющих личность, а кража или потеря такого идентификационного набора грозит вам серьезными неприятностями.

Наконец, системы контроля доступа могут переключиться с того, что у вас есть, на то, кто вы есть, например, автоматически сличая отпечатки пальцев⁷. Биометрический метод подразумевает наличие технологий быстрого и точного измерения биологических характеристик, хранения индивидуальных досье и сравнения параметров тех, кто запрашивает доступ, с хранящимися в базе. Электронные устройства снятия отпечатков пальцев, анализаторы геометрии ладони, системы распознавания черт лица, сканеры сетчатки и радужной оболочки глаза уже используются в этих целях, правда, с переменным успехом. Впрочем, не приходится сомневаться в том, что эти технологии будут совершенствоваться. Пока вам не рубят руки и не выковыривают глазные яблоки, случайно потерять свои биометрические идентификаторы невозможно, а удалять их специально, как правило, сложно и болезненно – не то что разрезать пополам кредитку. И все же биометрическую систему можно обмануть с помощью маски, перчаток или протеза. Умелый гример может украсть ваше лицо, и в отличие от кредитной карточки перевыпустить его не получится.

Но ни одному из перечисленных методов аутентификации не справиться со злоумышленником, который уже каким-либо образом пробил оборону и получил (как воины, выбравшиеся из троянского коня) полную свободу сеять разрушения. Поэтому некоторые из наиболее совершенных систем безопасности проверяют параметры доступа регулярно, через короткие промежутки времени. К примеру, для работы в особо секретной базе данных вам может понадобиться карманное беспроводное устройство, непрерывно передающее случайные числа, совпадающие с теми, которые хранятся в системе управления доступом. Если сигнал прерывается или числа не совпадают, связь моментально обрывается.

Для администраторов доступа – от системных операторов до пограничников – эффективное сочетание этих методов идентификации и аутентификации становится все более важной составляющей успешной деятельности. Для пользователей систем и зданий, для граждан городов способность электронными методами подтверждать свое право на пользование именем – во множестве разных обстоятельств и в течение продолжительного времени – теперь насущная необходимость. Без такой способности в среде цифровых сетей с электронным администрированием доступа не может быть ни свободы передвижения, ни свободы действий.

Идентификация в различных обстоятельствах

В повседневной жизни большинству из нас требуется доступ во множество разных физических и онлайн-пространств, вследствие чего нам приходится иметь при себе большое количество устройств доступа и помнить различные пароли. Пароли, в свою очередь, могут меняться при переходе на другую работу или в другой отдел либо когда в организациях происходят слияния, переезды и прочие реформы. Проблема усложняется еще и необходимостью использовать разные имена в различных обстоятельствах – полное имя, как в свидетельстве о рождении и паспорте, прозвище в баре на районе, писательский псевдоним, сценическое имя, персонифицированный номерной знак автомобиля и всяческие ники, логины и аватары в разнообразных интернет-пространствах. Такое положение вещей – не только благодатная почва для путаницы и ошибок. Из-за него нам приходится тратить драгоценное время на повторную идентификацию и аутентификацию при переходе из одной среды в другую. Усложняясь и становясь более многогранным, процесс идентификации все настойчивей требует четко скоординированного управления, и для этого уже появляется специальное программное обеспечение.

Система Microsoft Passport, к примеру, создана для клиентов, деловых партнеров и дочерних компаний корпорации Microsoft. Она позволяет «использовать единое имя и пароль для входа на все сайты и сервисы, участвующие в системе^ЕТ Passport»⁸. Можно также воспользоваться возможностью «хранения в профиле. NET Passport ваших персональных сведений, которые при вашем согласии будут автоматически предоставляться сайтам – участникам программы для оказания вам персонифицированных услуг».

Проект Liberty Alliance также обещает «предоставить инструмент интегрированной сетевой идентификации в интернете, позволяющий пользоваться единым паролем как потребителям, так и бизнес-партнерам»⁹. В отличие от Microsoft Passport эта система не зависит от центрального органа управления личными сведениями. Вместо этого проект предлагает обеспечить предприятия и индивидуальных пользователей механизмом управления собственными данными с использованием открытого стандарта для интегрированной сетевой идентификации. Когда-нибудь похожим образом будет устроена и интегрированная пространственная идентификация – освободив наши карманы от ключей и пластиковых карточек.

Альтернативный подход, который предлагает Национальный координационный совет по электронной коммерции, основан на использовании «идентификационных кластеров»¹⁰. Такой метод создает иной баланс между эффективностью, которую дает централизация, и заложенной в децентрализованной структуре свободой и защитой личных сведений. Он подразумевает развитие отдельных систем идентификации, общих для различных групп предприятий, правительственных организаций и т. д., но не требует наличия единого идентификатора, который следовал бы за нами повсюду.

Отслеживание и анализ пользователей

Вы можете самостоятельно зарегистрироваться, чтобы получить доступ к физической точке или интернет-сайту, или вас может внести в список (возможно, даже без вашего ведома) администратор доступа. Хуже того, он же может коварно вписать вас в черный список. Списки эти непостоянны: с течением времени они пополняются и обновляются, администраторы решают, кого внести, а кого исключить. Чтобы иметь возможность принять решение, администраторы собирают и хранят сведения о людях, к примеру – те данные, которые вы предоставляете при приеме на работу, получении водительского удостоверения, кредитной карты, паспорта или визы. Со временем они могут дополнить их сведениями о вашей деятельности и поведении – вроде нарушений правил дорожного движения, покупок, платежей или пересечений границы. Необходимые для этого технологии чрезвычайно развились в 90-е, когда пользование интернетом начало порождать беспрецедентные объемы поведенческой информации, а вопрос электронного контроля доступа становился все более острым¹¹.

Для отслеживания деятельности и поведения пользователей, а также для привлечения их к ответственности администраторам доступа необходима возможность идентифицировать их и не терять из виду в течение времени: вот почему грабители банков и участники карнавалов надевают маски – тем самым они создают «перерывы», во время которых их нельзя опознать. (Поэтому-то и важны алиби.) Напротив, объявляя электронным образом, кто мы такие, мы снимаем маску и тем самым создаем возможность для отслеживания и анализа наших действий. Всякий раз, подтверждая свою личность с помощью пароля или пластиковой карты, мы снова и снова даем эту возможность администраторам. Это же относится и к устройствам радиочастотной идентификации – только теперь возможности создаются даже без нашего ведома. Транспондеры на автомобилях позволяют с помощью электроники проверить, кто запаркован на вашей стоянке. Если ярлык RFID будет у каждого ученика, за посещаемостью будут следить не учителя, а электроника. Некоторые биометрические системы, вроде технологии распознавания лиц, тоже позволяют электронике наблюдать за нами незаметно. Наконец, оборудованные GPS системы контроля правонарушителей способны беспрерывно следить за ними и составлять карту их передвижений.

Сетевая деятельность постоянно и подробно отслеживается уже сегодня. Всякий раз, когда вы заходите на сайт под своим именем пользователя, система автоматически фиксирует, какие файлы вы запрашивали и во сколько вы это делали, – так что администраторы позже смогут отследить, кто вы и каковы ваши намерения. (Для этого многие сайты и требуют регистрации.) В интернет-магазинах записи о транзакциях становятся важным маркетинговым инструментом. Даже если вы просто зашли через браузер на общедоступный сайт, вы оставите там после себя куда больше сведений, чем вам кажется, а все ваши действия на этом сайте можно будет отследить¹². В любой точке киберпространства мы обязательно оставляем цифровые следы. В апреле 2002 года это было доказано на практике, когда член приемной комиссии Принстона тайно проник на защищенный паролем сайт приемной комиссии Йельского университета. Системные администраторы отследили источник вторжения, и вскоре об этом уже писали газеты¹³.

За электронной идентификацией, которая помимо интернета все чаще требуется и для доступа в физические пространства, неумолимо следует электронное отслеживание. Оно может понадобиться для выставления счетов абонентам, но, конечно же, используется и в других целях. В ежемесячной выписке по операциям с кредитной картой могут быть перечислены (с указанием места и времени) все случаи, когда ваша оборудованная транспондером машина проезжала через пункты электронной оплаты, а в счете за мобильный уже сегодня иногда указывают места, где был принят или сделан каждый звонок. Похожим образом в офисе, разделенном на отсеки с доступом по электронным пропускам, легко проследить, когда служащие приходят на работу, во сколько уходят, где и сколько проводят рабочего времени. И не дай бог вам засидеться в столовой или уборной! В этом отношении физический мир все больше напоминает киберпространство.

Хранилища данных

С точки зрения обычной логики можно предположить, что все эти электронные сведения так и остаются лежать по сайтам и организациям, их зафиксировавшим, и будут использоваться только ими. Раньше так оно и было: работодатели, магазины, банки, образовательные институты, полиция и миграционные власти – все вели свои собственные базы данных, и объединить их было непросто. Это обеспечивало естественную защиту конфиденциальности: если вы не хотели, чтобы ваша деятельность фиксировалась в той или иной части физического мира или киберпространства, можно было просто держаться от нее подальше – как знаменитости, желающие защитить свою конфиденциальность, избегают публичных мест.

С другой стороны, все базы данных можно объединить в централизованные хранилища – и тогда регистрация деятельности пользователя станет более всеобъемлющей, а вероятность ускользнуть от внимания существенно снизится. (Сторонники такого объединения часто говорят, что данные должны «использоваться на всю катушку», намекая на то, что речь прежде всего идет о повышении эффективности.) Общенациональные удостоверения личности и персональные идентификационные номера существенно облегчают создание таких хранилищ. Против подобной консолидации данных обычно выступают защитники неприкосновенности частной жизни; кроме того, централизованные консолидированные хранилища станут привлекательной целью для взлома и DDoS-атак. Тем не менее после сентября 2001 года идея создания общенациональных систем идентификации и крупномасштабных хранилищ данных нашла массу новых сторонников – в особенности в Соединенных Штатах¹⁴.

Существует и другой, менее формальный метод консолидации: изобретательные программисты, получив (легально или нелегально) доступ ко множеству баз данных, могут объединять в единый реестр рассредоточенные сведения о человеке. Чем больше общих элементов (таких как имя, адрес, номер удостоверения личности) в различных базах, тем проще становится такое импровизированное соотнесение данных.

В итоге системы управления личными данными, скорее всего, разовьются в сложную распределенную структуру, где часть данных собирается и обрабатывается при посещении пользователем физических точек и интернет-сайтов, часть вводится непосредственно пользователем (как в онлайн-резюме или на персональной странице), а часть управляется специальными сторонними организациями, чей статус гарантирует полноту и достоверность сведений. Параллельно будут распространяться и, вероятно, законодательно регулироваться услуги перевода данных между хранилищами, а также соотнесения и перепроверки данных из различных источников. Так или иначе, у каждого жителя опутанного электронными сетями мира кроме поддающегося проверке имени есть и обширный, привязанный к этому имени архив сведений о совершенных в прошлом действиях. От этих сведений зависит наша репутация, из-за них нас могут привлечь к разного рода ответственности, и в итоге нам придется начать обсуждать условия, на которых они собираются, предоставляются и сравниваются между собой.

Крупномасштабное объединение баз данных – вопрос не только технической эффективности: этот процесс может фундаментально изменить условия жизни в городе. До недавнего времени конфиденциальность определялась масштабом: в маленьких традиционных деревнях ее уровень был, как правило, весьма невысок, зато большие современные города давали возможность раствориться в многоликой толпе. Она также зависела от расстояния до мест, где хранятся данные: человек мог оставить свое темное прошлое в родном городке и вступить во французский Иностранный легион или просто переехать в Лос-Анджелес. В современной глобальной деревне сбор, хранение и соотнесение электронных данных вместе с технологиями их анализа и высокоскоростной передачей информации радикально сместили естественный баланс сил в пользу сыскных организаций и составителей списков. Там, где не принимаются строгие меры защиты частной жизни, компьютеры сводят на нет эффект масштаба, а сети – расстояние.

Сопоставление и классифицирование

Имея в своем распоряжении базы данных, собранные в результате наблюдения или отслеживания, администраторы доступа могут применять программы поиска по интересующим их параметрам¹⁵. К примеру, фотографии пассажиров, сделанные на входе в зону вылета, можно сопоставить с изображениями подозреваемых в терроризме. Алгоритм выполнения таких задач основан на статистическом анализе, поэтому ему необходимо установить порог чувствительности. Если порог слишком высок, операторы получат совсем немного совпадений, и высока вероятность того, что террористы проскочат неопознанными. При заниженном пороге, напротив, большое количество ложных совпадений приведет к тому, что система утратит доверие, как тот пастушок, что кричал: «Волки!»

На более абстрактном уровне администраторы могут заняться поиском каких-то характерных особенностей в личных данных и сведениях о поведении. Это похоже на поиски нескольких одинаково изогнутых соломинок в стоге сена, и тем не менее новейшие методы анализа в сочетании с большими вычислительными мощностями делают эту задачу выполнимой. К примеру, Агентство по безопасности на транспорте США ведет разработку системы анализа поведения пассажиров CAPPS II¹⁶. Компании – эмитенты кредитных карточек уже много лет подвергают анализу данные о транзакциях для выявления мошенничества. Финансовые организации тоже начали отслеживать и сопоставлять сведения о деятельности своих клиентов, сообщая в правоохранительные органы и разведслужбы о вызывающих подозрение случаях¹⁷. Разумеется, важнее всего тут – что это за «характерные особенности» мы ищем в личных данных, что именно администраторы допуска считают «опасным» или «подозрительным».

Но заранее определять представляющие интерес параметры не всегда обязательно. Многие десятилетия цифровые систематики и специалисты по кластерному анализу рассчитывали степень подобия между численными описаниями различных явлений (например характеристик покупательской активности) и использовали эти расчеты для создания классов подобия. Особенно хорошо разделять клиентов по типам покупательского поведения научились компании розничной интернет-торговли. Они используют эти данные для точечного маркетинга – не успели вы зайти на сайт, как вам уже рекомендуют книги или компакт-диски. Это вполне безобидно, если вас поместили в группу любителей, скажем, английской романтической поэзии, но если вы оказались в компании ценителей пособий по производству взрывчатки и политических трактатов экстремистского содержания, это может привлечь нежелательное внимание.

Еще один подход состоит в извлечении из личных данных определенного типа сведений и задании критериев, с помощью которых машина логического вывода может прийти к обоснованным умозаключениям. К примеру, по времени, за которое автомобиль доехал от одного пункта электронной оплаты до другого, система может вычислить, что он превышал скорость. А по огромному расстоянию между точками двух последовательных звонков с данного мобильного телефона – сделать вывод, что его владелец совершил авиаперелет.

Для создания системы профилактики преступлений не нужны плавающие в цистернах мутанты, как в «Особом мнении», – достаточно базы данных, правил, характеристик, механизмов логического вывода и алгоритмов интеллектуального анализа данных. Даже если сделанные с помощью всего этого выводы не будут на сто процентов точными, ошибки можно будет отнести на счет статистической погрешности – неприятно, конечно, но цель оправдывает средства.