Джошуа Купер Рамо - Седьмое чувство. Под знаком предсказуемости - как прогнозировать и управлять изменениями в цифровую эпоху

Сергей Братус, математический гений, из простого любопытства переметнувшийся в область информационных наук, преподающий сейчас в Дартмут-Колледже, провел немало времени, пытаясь понять, что происходит, когда компьютер или система оказывается под контролем хакера или, если использовать забавную идиому в языке хакеров-пижонов, становится «pwned». (Фраза означает контроль или власть над системой. Слово это обычно является атрибутом ожесточенной сессии в какой-нибудь онлайн-игре, когда один игрок, убив другого, торопится победоносно написать в чате, как он его поимел («I pwned you!»). Это некогда ошибочно написанное слово (от «owned») живет и по сей день: высший стандарт в информационной безопасности известен как Pwnie.) Братус называет девайс, который кто-то pwned, «странной» машиной: компьютер, сенсор, беспилотник, который исподтишка заставили выполнять нечто непредусмотренное. Странной или ненормальной .

Хакерство – это, по сути, извращенное программирование. Оно предполагает, что хакер проникнет в машину и заставит ее делать то, чего она делать не должна, давая ей наставления, о которых и не догадывались ее создатели. Разработка и применение компьютерных вирусов не сильно отличается от самого сложного исследования ПО. Хакеры строго придерживаются скрупулезно выверенных тем. Лучшие из них взращивают целые системы с ловкостью самых выдающихся информационных архитекторов. Агрессоров такого рода интересуют определенные устройства и схемы; они искусно обращают код в оружие и стремятся к непременно тотальному контролю. Как сказал Роберт Джойс, руководивший хакерскими проектами Агентства национальной безопасности: «Мы добиваемся успеха, потому что мы вкладываем силы в изучение конкретной сети, мы тратим на это много времени. Мы уделяем этому столько времени, сколько достаточно для того, чтобы изучить сеть лучше, чем ее знал сам ее создатель». Нормальная машина делает то, что вы указываете ей делать. Ненормальная машина делает то, что ей указывает делать кто-то другой.

Как же такие системы рождаются? Ошибки в ПО, из-за которых машины и становятся ненормальными, бывают настолько нелепыми, что, например, возникают всего-навсего из-за того, что автор ПО забывает обеспечить свое творение защитой после того, как он его создал, – все равно что забывает закрыть входную дверь в квартиру, отправившись куда-нибудь по делам, – или допускает оплошность, из-за которой машина не имеет возможности реагировать на неожиданные команды. Взять хотя бы технику «фаззинга» (тест на безопасность), известный способ обратить нормальную машину в ненормальную. Каждый раз, когда вы или я вводим имя пользователя и пароль в закрытой цифровой системе – скажем, авторизуемся в нашем банковском аккаунте или в рабочем адресе электронной почты, – компьютер регистрирует эту информацию и соотносит ее с данными, хранящимися во внутренней защищенной базе данных. Это то же самое, что дать машине все элементы пазла-причудливых очертаний вашего облика. Если на изображении действительно вы, то вас впускают. Фаззинг-атака предполагает подбрасывание машине чего-то такого, чего она не ожидает. Лишний элемент пазла – к примеру. Или кроссворд вместо пазла. Если вы впишете в поле наименования пользователя «joe@user.com!@@» вместо нормального адреса электронной почты, которого ожидает от вас машина – joe@user.com, – то это последнее!@@ может вызвать у машины панику, как если бы она собрала пазл и обнаружила, что остался еще один элемент. Если у вас есть программа, которая посылает машине пазлы из двух разных мест в одно и то же время, то вы можете вызвать поломку нескольких компьютеров. Они будут недоумевать: «Как он может быть в двух местах одновременно?» Машины испытывают «фаззинг» – «рассыпаются». И находясь в этом недоуменном состоянии, они могут сломаться, зациклиться или просто решить: «Я не понимаю этих ребусов, так что я просто открою дверь». Современные хакеры могут без труда заставить машины делать все это: бросать кроссворды туда, где должны быть пазлы. Сделать так, что вы будете появляться в двух или в двадцати местах одновременно. И они могут создавать тысячу таких миражей в секунду. В этом и состоит соблазн для хакера-злоумышленника: компьютеру так или иначе нужно отдавать указания. И устанавливать запреты. Если вы подойдете к сотруднице банка и закричите ей в лицо что-то невразумительное и обескураживающее, то она решит, что вы сошли с ума. Но если вы проделаете что-нибудь похожее с неодушевленной цифровой банковской системой, которой «не объяснили», как себя вести в подобной ситуации, если ей «прокричат» нечто аналогичное, то результатом может быть то, что она пропустит вас в сейф.