Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Интернет представляет собой еще и совершенную среду для распространения удачных приемов нападения. Только первому нападающему приходится быть изобретательным, все остальные могут просто использовать его программы. После того, как автор изобретения включает их в какой-нибудь архив, удобно расположенный где-нибудь в экономически отсталых странах, любой способен загрузить и использовать их. И, однажды выпущенные в свет, они уже не поддаются контролю.

Мы рассматривали эту проблему на примере компьютерных вирусов: дюжина сайтов позволяет вам загрузить компьютерные вирусы, наборы инструментов для их конструирования и модели самих вирусов. Ту же картину мы видим с хакерскими инструментами: комплекты программного обеспечения, которые вызывают поломку компьютеров, крушат серверы, обходят защиту от копирования или используют недостатки конструкции браузеров, чтобы красть данные из машин пользователей. Вирусы Интернета всегда порождают вирусы на гибких дисках, что выглядит как необычная и привлекательная забава. Организация атак вида «отказ в обслуживании», направленных на основные веб-сайты, как в 2000, не требует никакой изобретательности: достаточно загрузить и запустить программу-сценарий. И поскольку электронные коммерческие системы широко распространены, мы видим, что автоматизированные нападения направлены и на них тоже.

Компьютерные атаки доказывают то, что преступникам не нужно обладать сноровкой, чтобы преуспеть.

Традиционно коммерческие системы бегали наперегонки с мошенничеством: оперативная, в режиме онлайн, проверка кредитных карт была лишь ответной мерой на участившиеся кражи последних. Этот метод не сработает в Интернете, потому что время в нем течет очень быстро. Кто-то может провести успешную атаку на систему кредитных карт Интернета, написать программу, чтобы автоматизировать нападение, и за 24 часа программа станет доступна для полумиллиона людей по всему миру, и большинство из них невозможно будет потом ни в чем обвинить. Я представляю себе консультанта по безопасности, который входит в офис главного администратора и говорит: «У нас есть два варианта. Мы можем принять любую транзакцию как действительную, будь она законной или мошеннической, или не принимать ни те, ни другие». Главный администратор окаменел бы перед необходимостью такого выбора.

Я собираюсь обсудить три основных класса атак. Преступные атаки относятся к наиболее явным, и этому типу я уделю основное внимание. Но два других класса – атаки, приводящие к огласке, и «законные» атаки – могут быть гораздо более разрушительными.

Что такое преступные атаки, понять просто: каким образом, атакуя эту систему, я смогу получить максимальную финансовую выгоду? Нападающие бывают разные: от преступников-одиночек до изощренных синдикатов организованной преступности, от «своих людей», решивших заработать «быстрых денег», до правительств, нацеленных на борьбу с инфраструктурой другой страны.

Мошенничать пытались со всеми когда-либо изобретенными коммерческими системами. Недобросовестные торговцы пользовались неправильными весами для того, чтобы обсчитывать покупателей; те же, в свою очередь, соскабливали серебро и золото с ободков монет. Подделывали все: деньги, акции, кредитные карты, чеки, аккредитивы, заказы на поставку, фишки казино. Современные финансовые системы – чеки, кредитные карты и сети банковских автоматов – ежегодно терпят многомиллионные потери из-за мошенничества. Электронная торговля не будет ничем отличаться, не изменятся и методы преступников.

Национальная компьютерная лига выделила пять наиболее распространенных в сети афер – это продажа интернет-услуг, продажа разнообразных товаров, аукционы, пирамидальные и многоуровневые маркетинговые схемы и благоприятные возможности для деловой деятельности. Люди читают какое-нибудь соблазнительное письмо в электронной почте или посещают привлекательный веб-сайт и отсылают деньги в какой-то абонентский ящик, и все заканчивается тем, что они или не получают ничего взамен, или получают ничего не стоящий хлам. Все очень похоже на физический мир: множество людей просто обмануто.

Разрушительные атаки – это сфера деятельности террористов, наемных служащих, склонившихся к мести, или хакеров, ушедших в подполье. Разрушение – это преступная атака (редко бывает, чтобы разрушение чужого имущества было законным), но часто при этом отсутствуют корыстные мотивы. Вместо них нападающие просто задают себе вопрос: «Каким образом я могу вызвать наибольшие повреждения, нападая на эту систему?»