Такие компании оказывают и услуги по защите систем на предприятиях. Кто-то должен постоянно контролировать работу средств защиты и реагировать на все, что происходит. Они (один человек не может находиться на рабочем месте все 24 часа) должны разбираться в нападающих и их методах. Они должны поддерживать средства защиты, приспосабливаясь к постоянным изменениям в сетях и сетевых службах. Компании не могут самостоятельно справиться с этим. Они производят автомобили, продают книги или занимаются чем-либо еще, но не безопасностью сетей. Они привлекают независимые, специализирующиеся в этом компании для управления их сетями, а также для обеспечения безопасности. Конечно, всегда будут специализированные сети (банковские, сети сотовой связи, системы кредитных карточек), которые должны быть закрытыми, и всегда найдутся консультанты безопасности, специализирующиеся в этом. Этим занимается моя новая компания Counterpane Internet Security, Inc.
Это нормальная эволюция служб безопасности. Никто не нанимает свою собственную охрану; ее привлекают. Никто не нанимает своих собственных аудиторов; их привлекают. Даже такая обыденная вещь, как нарезка бумаги для документов, лучше будет сделана в привлеченной компании, специализирующейся в этом.
Кроме выгоды от профессионального подхода и эффективности, практика привлечения специализированных служб способствует тому, что аналитические данные по проблемам безопасности накапливаются. Привлекаемые компании могут заниматься активным сбором информации о новых видах нападений и, возможно, даже вести разведывательную деятельность среди хакеров для предотвращения преступлений. Они сталкиваются с различными моделями нападения и могут их распознавать. И они способны защитить от атак своих многочисленных клиентов: могут обнаружить нападение в Нью Дели и защитить своих клиентов в Нью-Йорке. В реальном мире организации привлекают службы безопасности. Никакая компания не нанимает собственных охранников, каждая обращается в охранную компанию. Банки платят за транспортировку автомобильным компаниям, обеспечивающим вооруженную охрану. Компании приглашают аудиторов для проверки правильности ведения дел. Обеспечение безопасности компьютера от обеспечения безопасности сети ничем не отличается. Оно в той же степени сложно и важно. Безопасность требует бдительности. В цифровом мире привлеченные услуги – единственное, что может обеспечить необходимую бдительность.
Глава 25
Заключение
Марк Лойзокс, президент фирмы «Управляемые Разрушения» (Controlled Demolitions), взрывает старые здания для постройки новых. Жалуясь на «непрофессионализм» современных террористов, он утверждал в журнале Harpers Magazine (июль 1997): «Мы можем взорвать все мосты в Соединенных Штатах за пару дней… Я берусь заехать на грузовике на мост Верразано [75] , взорвать мост и уехать обратно на велосипеде. И никто мне не помешает в этом».
Так как технологии усложняются, социологи приобретают более узкую специализацию. Почти для каждой области деятельности характерно, что люди, имеющие знание ее социальной инфраструктуры, также обладают знаниями по ее уничтожению.
Спросите любого врача, как кого-нибудь отравить, он сможет рассказать вам. Поинтересуйтесь у какого-нибудь аэродромного служащего, можно ли безнаказанно вывести из строя «Боинг-747», и не сомневайтесь, он знает, как это сделать. Теперь справьтесь у любого профессионала по безопасности Интернета, как «сломать» Интернет. Мне поведали примерно с полдюжины различных способов, и я знаю, что это не предел. [76]
Перед обладателем таких знаний система беззащитна. Все, что для этого нужно, – это сочетание умений и моральных качеств. Иногда даже не требуется большого навыка. Тимоти Маквей [77] натворил вполне достаточно в правительственном здании Оклахома-Сити, даже несмотря на утилитарное использование взрывчатых веществ, что вызвало бы отвращение у такого профессионала, как Лойзокс. Доктор Гарольд Шипман убил 150 своих пациентов, используя такие безыскусные методы, как впрыскивание морфия.
На первый взгляд киберпространство никак не отличается от любой другой инфраструктуры нашего общества, оно настолько же непрочно и уязвимо. Но, как я говорил в главе 2, характер нападений различен. Маквей должен был приобрести знание, прийти на частную ферму и попрактиковаться во взрывах, арендовать грузовик, нагрузить его взрывчаткой, приехать к месту теракта, зажечь запал и уйти. Доктор Шипман ничего бы не добился без медицинской практики, не обзаведясь пациентами. Наш гипотетический борец с «Боингами» должен уметь обслуживать самолеты. Они все обязаны были подобраться близко к цели, подвергнуть себя риску, осуществить задуманное, совершить ошибки. И они должны были знать, что делают.
Или подумайте о гонке ядерных вооружений. Еще не было никакой крупномасштабной эскалации вооружений, а знания по производству ядерных бомб стали достоянием публики. Почему так случилось? Потому что эти знания не являлись опасными; осуществить громоздкие технические программы, вложив в них гигантские средства, могли себе позволить только единичные государства.
Киберпространства бывают разные. Вы можете находиться в другом месте, далеко от узла, на который вы нападаете. Вы можете не иметь никаких навыков и вообще ничего, кроме программы, которую вы загрузили с первого попавшегося веб-сайта. И вы даже не подвергаетесь риску. Порядочный хакер распространит сведения о найденной уязвимости в Интернете, а преступник напишет программу-имитатор нападения, которая продемонстрирует уязвимость, и затем любой неумеха без комплексов сможет воспользоваться ею для нападения. Например, как червем филиппинского студента, инфицировавшим десять миллионов компьютеров, что повлекло 10 миллиардов долларов ущерба. Или, возможно, в некотором царстве-государстве с неразвитой правовой системой приютилась веб-страница, которая содержит приложение Java: «Щелкните здесь, чтобы „сломать" Интернет». Не очень привлекательно, так ведь?
В девятнадцатом столетии французский социолог Эмиль Дурхейм постулировал, что анонимность делает людей преступниками. Вы можете дополнить его доводы, приведя в пример психологию современного хакера: невозможность ни с кем связаться, анонимность действий и отсутствие последствий за содеянное приводят некоторых людей к антиобщественным поступкам. Миазмы, вредные влияния виртуального пространства – гарантия этого.
Технология – не панацея, она не смогла помешать Маквею или Шипману. Оба были схвачены с помощью процессов безопасности: обнаружения и реагирования. В случае Шипмана обнаружение и реагирование абсурдно не соответствовали, и он избежал должной за свою бойню кары на десятки лет заточения. Правоохранение выявило случившееся, расследование установило, кто это сделал, а закон не наказал виновного по заслугам [78] .
Для социальных проблем нет технических решений. Законы жизненно важны для безопасности.
Если кто-нибудь изобретет дверь, которую невозможно вскрыть, такой же оконный замок или совершенную систему сигнализации, общество не изменится и не скажет: «Нам не нужны полиция или устаревшие законы о взломе и вторжении». Если история преступной деятельности что-нибудь и показала, так это ограниченность технологий. Мы нуждаемся в охране для наблюдения за продуктами и в полиции для расследования преступлений. Нам требуются законы, чтобы преследовать по суду мошенников в сфере электронной торговли, нарушителей компьютерной безопасности и людей, которые создают средства, облегчающие эти преступления. Мы можем внедрить наилучшие технологии для предотвращения преступлений, которые совершаются в первый раз, или для их обнаружения уже после свершившегося факта. Но мы все равно окажемся перед необходимостью полагаться на охрану для поимки преступника и на судебную систему для вынесения приговора. Мы можем сделать все возможное, чтобы помешать проведению маркетинговых исследований фирмы, включающих нелегальный сбор информации на людей, но мы также нуждаемся в законах, чтобы преследовать по суду эти нарушения.
75
Verrazano Narrows Bridge – одно из «семи чудес» Нью-Йорка, наряду со статуей Свободы и башнями Всемирного торгового центра (не очень удачная аналогия). Соединяет остров (район) Стэйтен Айленд с Лонг Айлендом (Бруклином) и отличается грандиозностью: пролеты длиной в 4260 футов, одни из самых длинных в мире, поддерживаются опорами высотой с 70-этажное здание. – Примеч. ред.
76
Вообще говоря, подвержены взлому не только отдельные узлы. Несмотря на расхожее мнение о неуязвимости глобальной распределенной сети «сломать» Интернет можно. Принципы иерархического пространства имен DNS подразумевают магистральные каналы и основные серверы для хранения имен доменов. Обычный террористический акт или военные действия могут вывести из строя узлы и перерубить каналы. Писали, что когда в 2000 году под Клином ковшом экскаватора был перерублен оптоволоконный кабель на Финляндию, доступ к зарубежным сайтам в южной части Центральной России оказался невозможен. – Примеч. ред.
77
Сержант США, ветеран войны в Персидском Заливе. 19 апреля 1995 года взорвал здание федеральной администрации в Оклахоме (штат Индиана), что повлекло гибель 168 человек, в том числе 19 детей, ранено более 500. Будучи анархистом, придерживался крайне правых взглядов, протестовал против контроля за оружием. Бомба (мазут, нитроглицерин и аммиачная селитра) была помещена в автомобиль и оснащена дистанционным взрывателем. Маквей и его сообщник Терри Николс также подозревались в ряде ограблений банков. В 1997 году Маквей был приговорен к смертной казни и казнен 11 июня 2001 года. Он съел заказанный накануне предсмертный завтрак – около килограмма шоколадного мороженого – и в качестве последнего слова прочел поэму английского поэта Уильяма Эрнеста Хенли (XIX век). «Не важно, сколь узки ворота, Сколь моя кара тяжела, Хозяин я своей судьбы, Своей души я полководец». Маквей не раскаивался, говорил, что и сейчас бы сделал все так же, как в 1995 году. «Если я попаду в ад, у меня будет большая компания». Посте 1963 года это была первая федеральная казнь (не под юрисдикцией штатов). Правительство организовало закрытую телетрансляцию казни (ввод инъекции) для родственников погибших и людей, выживших во время взрыва, запрещенную для записи. – Примеч. ред
78
Суд вынес вердикт, что Шипман унес жизни 15 пациентов во время своей практики в Гайде, вспрыскивая им морфий, и в январе 2000 года 55-летний английский «Доктор Смерть» был заключен в тюрьму Frankland в County Durham. Известно, что за 24 года своей практики в Манчестере с именем Гарольда Шипмана было связано 297 смертей, но доказать виновность Шипмана в этих случаях было уже невозможно. Дознание выявило причастность «ангела смерти» еще к 25 насильственным смертям, но суд не смог предъявить обвинение. – Примеч. ред.