Страница:
Технология, которая позволяет автоматически определять наркодельцов, анализируя случайные телефонные разговоры, по подозрительному поведению спутниковой связи или с помощью уличной камеры по фотографиям преступников, находящихся в розыске, еще не стала обычным делом, но это только вопрос времени. Опознание лиц сможет выделить из толпы конкретного человека. Распознавание голоса позволит просканировать миллионы телефонных разговоров в поисках определенного субъекта; уже можно выискивать подозрительные слова и фразы и выделять один разговор из большого их количества. Закон Мура, который прогнозирует, что промышленность может удваивать вычислительную мощность процессоров каждые 18 месяцев, предсказывает кое-что еще: вычислительная техника следующего поколения будет меньше размерами, быстрее, намного дешевле и доступнее[10]. Как только технология распознавания научится идентифицировать людей, компьютеры смогут проводить их поиск.
Хранение данных тоже становится дешевле. Всего несколько поколений отделяет нас от возможности записать всю нашу жизнь – на аудио и видео – и сохранить информацию. О необходимости этого могут говорить как о защитном механизме, «на случай если вам когда-нибудь потребуется алиби», или как о полезном для общества механизме, поскольку «вы никогда не знаете заранее, что можете стать свидетелем преступления». Когда-нибудь, возможно, «неношение» устройства, записывающего вашу жизнь, будет казаться подозрительным.
Инфраструктура наблюдения устроена в Соединенных Штатах под видом «службы работы с клиентами». Кто не слышал повсеместного сообщения, что «этот разговор может прослушиваться или записываться в целях гарантии качества»? Некоторые отели заносят данные о предпочтениях клиентов в международную базу данных, так что клиенты будут чувствовать себя как дома, даже если это их первая остановка в данном городе. В ресторанах высокого класса сейчас есть видеокамеры в обеденном зале для того, чтобы изучать пристрастия в еде и следить за ходом обеда, и базы данных, содержащие сведения о предпочтениях клиентов. Amazon com отслеживает поведение покупателей из различных демографических групп. Дэвид Смит, написавший вирус «Мелисса», был обнаружен, поскольку Microsoft Word автоматически вводит информацию об авторстве во все документы. Автоматические системы оплаты сохраняют сведения о том, какие машины проехали через шлагбаум. В 2000 году некоторые города стали измерять загруженность дороги, отслеживая разговоры водителей по сотовым телефонам. Грань между хорошими потребительскими услугами и преследованием очень тонка.
Иногда речь не идет о потребительских услугах: компании кредитных карт имеют подробные записи о покупках, поэтому могут предотвращать мошенничество. Компании контролируют посещение служащими веб-сайтов, чтобы ограничить злоупотребления и задолженность. Многие аэропорты фиксируют номерные знаки всех автомобилей, помещенных на стоянку, – международный аэропорт Денвера в целях безопасности записывает номера всех машин, въезжающих на территорию аэропорта.
GPS (спутниковая система определения координат) – это фантастическая технология наблюдения. По крайней мере две компании поставляют на рынок «умные» автомобильные локаторы на основе GPS. Некая компания продает автоматические системы складского учета, использующие GPS и передатчики, прикрепляемые к объекту. Передатчики сигнализируют о своем местоположении, а центральный компьютер следит, где что находится. Вероятно, у шпионов давно уже была возможность использовать такого рода игрушки, но сейчас это – предмет потребления, поэтому папа знает, где его сын берет машину.
Секретность личной жизни расползается по швам. Это происходит малозаметно, и никто не высказывает протеста. Но все меньше и меньше конфиденциальности доступно, и большинство людей совершенно не обращает на это внимания.
Устройства слежения становятся дешевле, меньше размерами и распространяются повсеместно. Похоже, что скоро мы будем жить в мире, где конфиденциальность будет невозможна нигде и никогда.
В последнее время собирают и сохраняют все больше и больше данных – из-за того, что сбор информации стал дешевле, и благодаря тому, что люди оставляют больше электронных «отпечатков» в повседневной жизни. Большинство таких данных собирают и сравнивают друг с другом. Многое доступно в режиме онлайн. Отсюда вывод: собрать на кого-нибудь подробное досье совсем несложно.
Многие базы данных – коммерческие: огромные кредитные базы данных, принадлежащие Experian, TransUnion, Equifax; телефонные базы данных, фиксирующие отдельные звонки; базы данных кредитных карт, содержащие информацию о личных покупках. Информацию можно использовать по прямому назначению или продать для каких-то других целей. В этих случаях доступ к ней законен, но потенциальный доступ к информации имеется и у тех, кто достаточно умел, чтобы взломать компьютер. Можно сравнивать между собой базы данных: информацию о вашем здоровье, финансовые подробности, любые сведения об образе жизни, которые вы когда-либо предавали огласке. В 1999 году в прессе была небольшая перепалка из-за того, что некоторые общественные каналы телевидения продали список жертвователей Демократической партии. В 2000 году общественный протест вынудил DoubleClick отказаться от своих планов по сопоставлению записей веб-серфинга отдельных личностей.
Веб дает больше возможностей для вторжения в частную жизнь. Электронные магазины могут, теоретически, сохранять записи обо всем, что вы купили (Blockbuster, например, фиксирует в базе данных все видео, которые вы брали напрокат). Также можно сохранять записи обо всем, на что вы просто смотрели: любой предмет, по которому вы просили показать более полную информацию, любую тему, по которой вы искали данные, как долго вы изучали каждый вопрос, а также не только что вы купили, но и на что вы смотрели и не купили.
Оперативные базы данных оказывают огромную помощь полиции по обеспечению правопорядка – они действительно помогают автоматически получить оперативные сведения и фотографии прямо в патрульную машину, – но остается опасность нарушения конфиденциальности. Полицейские базы данных не более безопасны, чем любые другие коммерческие базы данных, но информация в них намного более секретная.
Например, то, что каждый раз, когда Алиса шлет длинное сообщение Бобу, Боб посылает короткий ответ Алисе и длинное сообщение пяти другим людям, указывает на цепь передачи команд. Алиса просто отсылает распоряжения Бобу, который передает их своим подчиненным. Если Алиса регулярно посылала Бобу короткие сообщения и внезапно посылает ряд длинных, то это говорит об изменении чего-то (чего?).
Часто даже системы передачи информации так же важны, как сама информация. Например, простой факт, что Алиса звонит каждую неделю известному террористу, более важен, чем детали их разговора. Нацисты использовали данные анализа телефонных счетов в оккупированной Франции, чтобы арестовывать друзей арестованных; их на самом деле не интересовало, о чем был разговор. Звонки из Белого дома Монике Левински довольно показательны даже без записи беседы. В часы, предшествующие американской бомбардировке Ирака в 1991 году, доставка пиццы в Пентагон стократно возросла. Любой, обративший на это внимание, точно знал: что-то произошло (довольно интересно, что ЦРУ заказывало такое же количество пиццы, как обычно). Некоторые исследования показывают, что даже если вы зашифруете свой веб-трафик, анализа, основанного на размере зашифрованных веб-страниц, более чем достаточно, чтобы понять, что вы просматриваете.
Хотя военные используют анализ трафика уже десятки лет, он до сих пор – новая область исследований в академическом мире. Мы в действительности не знаем, насколько коммуникации, особенно наши интернет-связи, уязвимы для анализа трафика и что можно сделать для снижения риска. Ожидается, что в будущем это будет важной научной областью.
Такие попытки широкомасштабного наблюдения устрашают и порождают некоторые уникальные проблемы. Информация, полученная таким путем, полезна, если только придать ей вид, в котором люди могли бы ее понять и действовать в соответствии с результатами ее анализа. Соединенные Штаты перехватили сообщение для японского посла в Вашингтоне, в котором обсуждалась бомбардировка Пирл Харбора, но эта информация приобрела смысл только в ретроспективе и не могла обрести его раньше из-за низкого уровня квалификации служащих, к которым она попала. Но трудно не только анализировать данные, но и принять решение, что нужно записывать.
Потенциально перехват системой ECHELON – нескончаемый поток данных, который никогда не смогли бы обработать сколь угодно много аналитиков. Перехватывающее устройство должно решить в реальном времени, стоит или нет записывать часть информации для дальнейшего анализа. И система не может позволить себе слишком много «дальнейших анализов» – она должна продолжать запись информации. Я уверен, что наиболее ценная часть записанной информации никогда не будет изучаться людьми подробно.
Чтобы построить систему, аналогичную этой, вам следовало бы инвестировать деньги в две технологии: возможности первичной обработки и анализ трафика.
Оборудование перехвата должно получить возможность быстро характеризовать фрагменты информации: кто отправитель и получатель, тему сообщения, как ее классифицировать. (Если вы считаете, что трудно проделать такую работу с информацией Интернета и электронной почты, подумайте, как сложно это сделать при речевом общении.) Во многом эта технология похожа на ту, что заложена в поисковых системах.
Анализ трафика еще более важен. Схемы трафика проясняют многое о любой организации, и их намного проще собирать и анализировать, чем реальные коммерческие данные. Эти схемы также поставляют дополнительную информацию для первичной обработки. Тщательно разработанные базы данных по схемам трафика, несомненно, являются сердцем любой подобной ECHELON системы.
Последний аккорд: в мире, где большинство сообщений не зашифровано, зашифрованные сообщения, возможно, записываются регулярно. Простого знака, что собеседники не хотят, чтобы их подслушали, будет достаточно, чтобы бить тревогу.
Большинство злоумышленников такого типа – это хакеры: умельцы, много знающие о системах и их безопасности. Часто у хакеров есть доступ к значительным ресурсам – в лице студентов большого университета или служащих крупных компаний. У них обычно нет больших денег, но иногда случается избыток времени. Кроме того, они чаще всего не делают того, что может привести их в тюрьму: основная их цель – огласка, а не заключение под стражу.
Канонический пример такой атаки: два аспиранта университета Беркли в 1995 году взломали схемы кодирования Netscape Navigator. Обнаруженные в системе слабые места аспиранты не использовали для получения незаконной прибыли, а просто позвонили в Нью-Йорк Таймс. Реакция Netscape была примерно такая: «Мы провели ряд вычислений и полагаем, что такая атака потребовала бы безумных затрат; мы не думаем, что взлом системы стоил бы чьих-то усилий». Они правы: взлом не стоит усилий… для того, кого интересуют деньги. У аспирантов были все навыки, доступ ко всем свободным компьютерам в университете и никакой общественной жизни[12].
Что важно осознать создателям систем – так это то, что люди, желающие огласки, не укладываются в ту же модель, что и преступники. Преступники будут атаковать систему, только если от этого можно получить выгоду; люди, которым необходима огласка, будут нападать на систему, если высока вероятность, что это станет освещаться прессой. Для них атаки, направленные на крупномасштабные системы и широко распространенные программные продукты, – лучше всего.
Иногда такие атаки мотивируют тем, что требуется привлечь внимание к проблеме. Многие компании игнорируют уязвимость своей системы безопасности, если не привлечь к ней внимание общественности. Если исследователь объявляет атаку, компания-жертва будет суетиться, чтобы исправить ситуацию. Таким образом, атаки повышают безопасность систем.
Атаки ради известности могут дорого обходиться. Клиенты могут после такой атаки отказаться от одной системы в пользу другой, как уже произошло после нескольких атак на банковские системы. Инвесторы могут отказать жертве в фондах. Это уже произошло с индустрией цифровой сотовой связи после подобных атак, показавших недостатки защитных мер по отношению к конфиденциальности и краже. Ситибанк лишился многих значительных вкладов после взлома хакером из Санкт-Петербурга. Взлом системы безопасности цифровых видеодисков (DVD) приостановил поступление на рынок продуктов Sony после рождества 1999 года. В 2000 году CD Universe потеряли множество клиентов в результате того, что хакеры украли с веб-сайта компании 300 000 номеров кредитных карт. Иногда дурная слава обходится дороже, чем реальная кража.
Атаки ради известности грозят и другими опасностями. Одна из них – в том, что о таких атаках узнают преступники и будут использовать успешную методику. Другая – в том, что доверие общества к системам разъедается оглаской подобных фактов. В частности, это может быть основной проблемой для электронных коммерческих систем. Банки вынуждены сохранять в тайне успешные атаки преступников на их системы с тем, чтобы не волновать общественность. Но хакеров и образованных людей гораздо труднее урезонить, и они продолжают держать в поле зрения коммерческие системы. Если где-то в системе безопасности есть прорехи, кто-нибудь найдет их и созовет пресс-конференцию. Может быть, не первый, кто обнаружит прорехи, но кто-нибудь огласит все. Компании должны быть готовы к этому.
«Дефейс» – подмена чьих-нибудь веб-страниц – одна из форм атак ради известности. Это обычно становится важной новостью в средствах массовой информации. В 1996 году таковой стал взлом веб-сайта Министерства юстиции. Тот же эффект имел в 1997 году взлом сайта AirTran, а в 1998 – главной страницы сайта газеты New York Times.
В те дни настроения были таковы, что на некоторых сайтах вовсе не ожидали нападений. Студия Метро-Голдуин-Майер/Юниверсал была шокирована, когда в 1995 году взломали веб-сайт их фильма «Хакеры». А в 1997 студия Юниверсал Пикчерз сама взломала свой веб-сайт фильма «Парк юрского периода» в рекламных целях. (Она пыталась сделать вид, что это дело рук хакеров, но имитированный сайт выглядел слишком профессионально, а взломанная страница была загружена на сайт заранее, за три дня.)
В наши дни подобные атаки происходят настолько часто, что их только вскользь упоминают в новостях. Возможно, все основные веб-сайты американского правительства были взломаны в 1999 году, как были взломаны веб-сайты множества местных (муниципальных) и иностранных правительств. Я привел в первой главе список из 65 повреждений веб-сайтов в первую неделю марта 2000 года. Системные администраторы уже привыкли к этой проблеме.
В физическом мире есть и другие атаки, приводящие к отказам в обслуживании, например блокады и бойкоты. Все эти атаки имеют свои аналоги в киберпространстве. Имея достаточные возможности телефонной связи, можно заблокировать все соединения модема локального поставщика услуг Интернета. Аналоговая сотовая телефонная сеть испытывает затруднения с соединением, если перемещающийся пользователь переходит от одной ячейки к другой; можно сидеть на холме с направленной антенной и, медленно поворачивая ее туда-сюда, заблокировать все каналы ближайших ячеек.
Нападения, приводящие к отказам в обслуживании, работают, поскольку компьютерные сети являются сетями связи. Некоторые простые атаки, вроде передачи слова «привет», можно автоматизировать до такой степени, что они становятся атаками, приводящими к отказам в обслуживании. Так в основном устроены атаки, рассчитанные на «затопление» сети, которым подверглись некоторые провайдеры в 1996 году.
Вот другая атака, повлекшая отказ в обслуживании: в середине 1980-х политическая организация Джерри Фолвелла установила бесплатный телефон для разных целей. Один парень запрограммировал свой компьютер на то, чтобы непрерывно набирать этот номер, а затем вешать трубку. Таким образом он осуществил две вещи: во первых, занял линию, и люди, которым действительно нужно было позвонить по этому номеру, не могли дозвониться, а во-вторых, организации Фолвелла приходилось платить деньги за каждое соединение. Прелестный пример атаки, приводящей к отказу в обслуживании.
Подобные действия могут быть прелюдией к преступной атаке. Взломщики подходят к складу в 1:00 ночи и перерезают провод охранной сигнализации, ведущий к полицейскому участку. Сигнализация срабатывает и предупреждает полицию, что провод поврежден. Взломщики отступают на безопасное расстояние и ждут, когда приедет полиция. Полиция приезжает и ничего не обнаруживает. (Если преступники изобретательны, они перережут провод в незаметном месте.) Полиция решает, что проблема в системе, а владельцы склада решают, что разберутся с ней утром. Полиция уезжает. Взломщики возвращаются и уносят все, что хотят.
Вариант этого сценария, который, как подтверждается несколькими случаями, дает гарантированный результат, – это атака телефонного узла, через который проходит сигнал тревоги. Многие типы сигнализации включают в себя устройство, которое посылает в полицейский участок сигнал о нарушении защиты. При атаке телефонного узла этому сигналу не пробиться, и полиция не узнает, что сигнализация сработала.
Вот другой пример: военная база, окруженная забором, снабженным сенсорами движения. Злоумышленники берут кролика и перекидывают его через забор, а затем убегают. Срабатывает сенсор движения. Охрана приходит, ничего не обнаруживает и возвращается на пост. Злоумышленники повторяют всю процедуру, охрана вновь реагирует. После нескольких таких ночей охрана отключает сенсор движения. И злоумышленники на джипе протаранивают забор. Такого рода атаки неоднократно использовались против русских военных баз в Афганистане и, в качестве проверки охраны, на некоторых военных базах США. Они удивительно удачны.
Похожая атака, предположительно, была предпринята против советского посольства в Вашингтоне, округ Колумбия. Американцы подожгли сласти (по существу, кусок сахара) у окна посольства. От треска включилась сигнализация, но сахарный шарик испарился, и не было заметно, из-за чего возникла тревога. Затем следующий шарик. Чпок. Тревога. Ничего. В конечном итоге сигнализацию изменили так, чтобы резкий звук за окном не включал бы ее. (Я не знаю, произошло ли в результате этой атаки реальное проникновение или это был просто способ подействовать на нервы охране советского посольства.)
Более близкий пример: широко используемый метод кражи автомобилей заключается в том, чтобы включать сигнализацию в 2 часа ночи, 2:10, 2:20, 2:30… пока владелец машины не отключит ее, чтобы успокоить разгневанных соседей. Утром машины нет.
Во время войны атаки, приводящие к отказам в обслуживании, используют все время. Каждая из сторон пытается заблокировать вражеские системы радиолокации и управления стрельбой, нарушить системы коммуникации, взорвать мосты. Одно из свойств подобных атак в том, что для них часто нужен низкий, а не высокий технический уровень: взорвать компьютерный центр намного проще, чем использовать уязвимые места Windows 2000.
Атаки, приводящие к отказам в обслуживании в Интернете, детально обсуждаются в главе 11.
Хранение данных тоже становится дешевле. Всего несколько поколений отделяет нас от возможности записать всю нашу жизнь – на аудио и видео – и сохранить информацию. О необходимости этого могут говорить как о защитном механизме, «на случай если вам когда-нибудь потребуется алиби», или как о полезном для общества механизме, поскольку «вы никогда не знаете заранее, что можете стать свидетелем преступления». Когда-нибудь, возможно, «неношение» устройства, записывающего вашу жизнь, будет казаться подозрительным.
Инфраструктура наблюдения устроена в Соединенных Штатах под видом «службы работы с клиентами». Кто не слышал повсеместного сообщения, что «этот разговор может прослушиваться или записываться в целях гарантии качества»? Некоторые отели заносят данные о предпочтениях клиентов в международную базу данных, так что клиенты будут чувствовать себя как дома, даже если это их первая остановка в данном городе. В ресторанах высокого класса сейчас есть видеокамеры в обеденном зале для того, чтобы изучать пристрастия в еде и следить за ходом обеда, и базы данных, содержащие сведения о предпочтениях клиентов. Amazon com отслеживает поведение покупателей из различных демографических групп. Дэвид Смит, написавший вирус «Мелисса», был обнаружен, поскольку Microsoft Word автоматически вводит информацию об авторстве во все документы. Автоматические системы оплаты сохраняют сведения о том, какие машины проехали через шлагбаум. В 2000 году некоторые города стали измерять загруженность дороги, отслеживая разговоры водителей по сотовым телефонам. Грань между хорошими потребительскими услугами и преследованием очень тонка.
Иногда речь не идет о потребительских услугах: компании кредитных карт имеют подробные записи о покупках, поэтому могут предотвращать мошенничество. Компании контролируют посещение служащими веб-сайтов, чтобы ограничить злоупотребления и задолженность. Многие аэропорты фиксируют номерные знаки всех автомобилей, помещенных на стоянку, – международный аэропорт Денвера в целях безопасности записывает номера всех машин, въезжающих на территорию аэропорта.
GPS (спутниковая система определения координат) – это фантастическая технология наблюдения. По крайней мере две компании поставляют на рынок «умные» автомобильные локаторы на основе GPS. Некая компания продает автоматические системы складского учета, использующие GPS и передатчики, прикрепляемые к объекту. Передатчики сигнализируют о своем местоположении, а центральный компьютер следит, где что находится. Вероятно, у шпионов давно уже была возможность использовать такого рода игрушки, но сейчас это – предмет потребления, поэтому папа знает, где его сын берет машину.
Секретность личной жизни расползается по швам. Это происходит малозаметно, и никто не высказывает протеста. Но все меньше и меньше конфиденциальности доступно, и большинство людей совершенно не обращает на это внимания.
Устройства слежения становятся дешевле, меньше размерами и распространяются повсеместно. Похоже, что скоро мы будем жить в мире, где конфиденциальность будет невозможна нигде и никогда.
Базы данных
Исторически нарушение конфиденциальности касалось только наблюдения. Затем в 1960-е годы общество достигло критической черты. В бизнес пришли компьютеры с большими базами данных, и организации стали накапливать базы данных, содержащие информацию об отдельных людях. Недавно мы достигли второй критической границы: компьютеры, объединенные в сеть, позволяют совместно использовать, сравнивать и объединять отдельные базы данных. Значение подобных действий для скрытости частной жизни мы можем ощущать все время. Мы ухитрились успешно преодолеть Большого Брата только для того, чтобы затеряться в сетях Младших Братьев. Для начала можно за кем-нибудь незаметно понаблюдать.В последнее время собирают и сохраняют все больше и больше данных – из-за того, что сбор информации стал дешевле, и благодаря тому, что люди оставляют больше электронных «отпечатков» в повседневной жизни. Большинство таких данных собирают и сравнивают друг с другом. Многое доступно в режиме онлайн. Отсюда вывод: собрать на кого-нибудь подробное досье совсем несложно.
Многие базы данных – коммерческие: огромные кредитные базы данных, принадлежащие Experian, TransUnion, Equifax; телефонные базы данных, фиксирующие отдельные звонки; базы данных кредитных карт, содержащие информацию о личных покупках. Информацию можно использовать по прямому назначению или продать для каких-то других целей. В этих случаях доступ к ней законен, но потенциальный доступ к информации имеется и у тех, кто достаточно умел, чтобы взломать компьютер. Можно сравнивать между собой базы данных: информацию о вашем здоровье, финансовые подробности, любые сведения об образе жизни, которые вы когда-либо предавали огласке. В 1999 году в прессе была небольшая перепалка из-за того, что некоторые общественные каналы телевидения продали список жертвователей Демократической партии. В 2000 году общественный протест вынудил DoubleClick отказаться от своих планов по сопоставлению записей веб-серфинга отдельных личностей.
Веб дает больше возможностей для вторжения в частную жизнь. Электронные магазины могут, теоретически, сохранять записи обо всем, что вы купили (Blockbuster, например, фиксирует в базе данных все видео, которые вы брали напрокат). Также можно сохранять записи обо всем, на что вы просто смотрели: любой предмет, по которому вы просили показать более полную информацию, любую тему, по которой вы искали данные, как долго вы изучали каждый вопрос, а также не только что вы купили, но и на что вы смотрели и не купили.
Оперативные базы данных оказывают огромную помощь полиции по обеспечению правопорядка – они действительно помогают автоматически получить оперативные сведения и фотографии прямо в патрульную машину, – но остается опасность нарушения конфиденциальности. Полицейские базы данных не более безопасны, чем любые другие коммерческие базы данных, но информация в них намного более секретная.
Анализ трафика
Анализ трафика – это изучение параметров передаваемой информации. Не содержимого самого сообщения, а его характеристик. Кто с кем общается? Когда? Насколько длинные сообщения? Как быстро посылаются ответы, насколько они длинные? Какого рода связь возникает после получения определенного сообщения? Это все вопросы анализа трафика, и ответы на них могут быть очень информативны.Например, то, что каждый раз, когда Алиса шлет длинное сообщение Бобу, Боб посылает короткий ответ Алисе и длинное сообщение пяти другим людям, указывает на цепь передачи команд. Алиса просто отсылает распоряжения Бобу, который передает их своим подчиненным. Если Алиса регулярно посылала Бобу короткие сообщения и внезапно посылает ряд длинных, то это говорит об изменении чего-то (чего?).
Часто даже системы передачи информации так же важны, как сама информация. Например, простой факт, что Алиса звонит каждую неделю известному террористу, более важен, чем детали их разговора. Нацисты использовали данные анализа телефонных счетов в оккупированной Франции, чтобы арестовывать друзей арестованных; их на самом деле не интересовало, о чем был разговор. Звонки из Белого дома Монике Левински довольно показательны даже без записи беседы. В часы, предшествующие американской бомбардировке Ирака в 1991 году, доставка пиццы в Пентагон стократно возросла. Любой, обративший на это внимание, точно знал: что-то произошло (довольно интересно, что ЦРУ заказывало такое же количество пиццы, как обычно). Некоторые исследования показывают, что даже если вы зашифруете свой веб-трафик, анализа, основанного на размере зашифрованных веб-страниц, более чем достаточно, чтобы понять, что вы просматриваете.
Хотя военные используют анализ трафика уже десятки лет, он до сих пор – новая область исследований в академическом мире. Мы в действительности не знаем, насколько коммуникации, особенно наши интернет-связи, уязвимы для анализа трафика и что можно сделать для снижения риска. Ожидается, что в будущем это будет важной научной областью.
Широкомасштабное электронное наблюдение
ECHELON – это кодовое обозначение автоматизированной глобальной системы перехвата, управляемой службами безопасности США, Великобритании, Канады, Австралии и Новой Зеландии, возглавляет которую Агентство национальной безопасности. По оценке специалистов, ECHELON перехватывает ежедневно до 3 миллиардов сообщений, включая телефонные звонки, сообщения электронной почты и информацию Интернета, спутниковые передачи и т. п. Система собирает все эти передачи без разбора, а затем сортирует и очищает информацию при помощи программ искусственного интеллекта. В некоторых источниках заявляется, что ECHELON анализирует 90% данных интернет-трафика, хотя это кажется сомнительным[11].Такие попытки широкомасштабного наблюдения устрашают и порождают некоторые уникальные проблемы. Информация, полученная таким путем, полезна, если только придать ей вид, в котором люди могли бы ее понять и действовать в соответствии с результатами ее анализа. Соединенные Штаты перехватили сообщение для японского посла в Вашингтоне, в котором обсуждалась бомбардировка Пирл Харбора, но эта информация приобрела смысл только в ретроспективе и не могла обрести его раньше из-за низкого уровня квалификации служащих, к которым она попала. Но трудно не только анализировать данные, но и принять решение, что нужно записывать.
Потенциально перехват системой ECHELON – нескончаемый поток данных, который никогда не смогли бы обработать сколь угодно много аналитиков. Перехватывающее устройство должно решить в реальном времени, стоит или нет записывать часть информации для дальнейшего анализа. И система не может позволить себе слишком много «дальнейших анализов» – она должна продолжать запись информации. Я уверен, что наиболее ценная часть записанной информации никогда не будет изучаться людьми подробно.
Чтобы построить систему, аналогичную этой, вам следовало бы инвестировать деньги в две технологии: возможности первичной обработки и анализ трафика.
Оборудование перехвата должно получить возможность быстро характеризовать фрагменты информации: кто отправитель и получатель, тему сообщения, как ее классифицировать. (Если вы считаете, что трудно проделать такую работу с информацией Интернета и электронной почты, подумайте, как сложно это сделать при речевом общении.) Во многом эта технология похожа на ту, что заложена в поисковых системах.
Анализ трафика еще более важен. Схемы трафика проясняют многое о любой организации, и их намного проще собирать и анализировать, чем реальные коммерческие данные. Эти схемы также поставляют дополнительную информацию для первичной обработки. Тщательно разработанные базы данных по схемам трафика, несомненно, являются сердцем любой подобной ECHELON системы.
Последний аккорд: в мире, где большинство сообщений не зашифровано, зашифрованные сообщения, возможно, записываются регулярно. Простого знака, что собеседники не хотят, чтобы их подслушали, будет достаточно, чтобы бить тревогу.
Атаки ради рекламы
Концепция атак ради известности очень проста: «Как мне атаковать систему, чтобы мое имя появилось в газетах?» Такой тип атаки является относительно новым в цифровом мире: несколько лет назад взлом компьютерной системы не считали достойным освещения в прессе, и я не могу найти в истории никакой другой технологии, которую люди пытались бы испортить только для того, чтобы их упомянули в газете. В физическом мире, однако, этот тип атаки древен: человек, который сжег Храм Артемиды в Древней Греции, сделал это только потому, что хотел, чтобы его имя осталось в веках. (Кстати, его звали Герострат.) Из более позднего упомяну искавших того же детей, которые расстреляли школу в Колумбине.Большинство злоумышленников такого типа – это хакеры: умельцы, много знающие о системах и их безопасности. Часто у хакеров есть доступ к значительным ресурсам – в лице студентов большого университета или служащих крупных компаний. У них обычно нет больших денег, но иногда случается избыток времени. Кроме того, они чаще всего не делают того, что может привести их в тюрьму: основная их цель – огласка, а не заключение под стражу.
Канонический пример такой атаки: два аспиранта университета Беркли в 1995 году взломали схемы кодирования Netscape Navigator. Обнаруженные в системе слабые места аспиранты не использовали для получения незаконной прибыли, а просто позвонили в Нью-Йорк Таймс. Реакция Netscape была примерно такая: «Мы провели ряд вычислений и полагаем, что такая атака потребовала бы безумных затрат; мы не думаем, что взлом системы стоил бы чьих-то усилий». Они правы: взлом не стоит усилий… для того, кого интересуют деньги. У аспирантов были все навыки, доступ ко всем свободным компьютерам в университете и никакой общественной жизни[12].
Что важно осознать создателям систем – так это то, что люди, желающие огласки, не укладываются в ту же модель, что и преступники. Преступники будут атаковать систему, только если от этого можно получить выгоду; люди, которым необходима огласка, будут нападать на систему, если высока вероятность, что это станет освещаться прессой. Для них атаки, направленные на крупномасштабные системы и широко распространенные программные продукты, – лучше всего.
Иногда такие атаки мотивируют тем, что требуется привлечь внимание к проблеме. Многие компании игнорируют уязвимость своей системы безопасности, если не привлечь к ней внимание общественности. Если исследователь объявляет атаку, компания-жертва будет суетиться, чтобы исправить ситуацию. Таким образом, атаки повышают безопасность систем.
Атаки ради известности могут дорого обходиться. Клиенты могут после такой атаки отказаться от одной системы в пользу другой, как уже произошло после нескольких атак на банковские системы. Инвесторы могут отказать жертве в фондах. Это уже произошло с индустрией цифровой сотовой связи после подобных атак, показавших недостатки защитных мер по отношению к конфиденциальности и краже. Ситибанк лишился многих значительных вкладов после взлома хакером из Санкт-Петербурга. Взлом системы безопасности цифровых видеодисков (DVD) приостановил поступление на рынок продуктов Sony после рождества 1999 года. В 2000 году CD Universe потеряли множество клиентов в результате того, что хакеры украли с веб-сайта компании 300 000 номеров кредитных карт. Иногда дурная слава обходится дороже, чем реальная кража.
Атаки ради известности грозят и другими опасностями. Одна из них – в том, что о таких атаках узнают преступники и будут использовать успешную методику. Другая – в том, что доверие общества к системам разъедается оглаской подобных фактов. В частности, это может быть основной проблемой для электронных коммерческих систем. Банки вынуждены сохранять в тайне успешные атаки преступников на их системы с тем, чтобы не волновать общественность. Но хакеров и образованных людей гораздо труднее урезонить, и они продолжают держать в поле зрения коммерческие системы. Если где-то в системе безопасности есть прорехи, кто-нибудь найдет их и созовет пресс-конференцию. Может быть, не первый, кто обнаружит прорехи, но кто-нибудь огласит все. Компании должны быть готовы к этому.
«Дефейс» – подмена чьих-нибудь веб-страниц – одна из форм атак ради известности. Это обычно становится важной новостью в средствах массовой информации. В 1996 году таковой стал взлом веб-сайта Министерства юстиции. Тот же эффект имел в 1997 году взлом сайта AirTran, а в 1998 – главной страницы сайта газеты New York Times.
В те дни настроения были таковы, что на некоторых сайтах вовсе не ожидали нападений. Студия Метро-Голдуин-Майер/Юниверсал была шокирована, когда в 1995 году взломали веб-сайт их фильма «Хакеры». А в 1997 студия Юниверсал Пикчерз сама взломала свой веб-сайт фильма «Парк юрского периода» в рекламных целях. (Она пыталась сделать вид, что это дело рук хакеров, но имитированный сайт выглядел слишком профессионально, а взломанная страница была загружена на сайт заранее, за три дня.)
В наши дни подобные атаки происходят настолько часто, что их только вскользь упоминают в новостях. Возможно, все основные веб-сайты американского правительства были взломаны в 1999 году, как были взломаны веб-сайты множества местных (муниципальных) и иностранных правительств. Я привел в первой главе список из 65 повреждений веб-сайтов в первую неделю марта 2000 года. Системные администраторы уже привыкли к этой проблеме.
Атаки, приводящие к отказам в обслуживании
Совсем недавно атаки типа «отказ в обслуживании» стали де-юре-атаками, направленными на огласку. Это произошло только вследствие их широкого освещения в прессе и, будем надеяться, они вскоре перестанут быть новостью. Идея в том, чтобы просто остановить работу чего-нибудь. И, как вам скажет любой, кому приходилось иметь дело с бастующими рабочими – водителями автобусов, диспетчерами воздушного движения, рабочими на ферме и т. п., – такие атаки весьма эффективны.В физическом мире есть и другие атаки, приводящие к отказам в обслуживании, например блокады и бойкоты. Все эти атаки имеют свои аналоги в киберпространстве. Имея достаточные возможности телефонной связи, можно заблокировать все соединения модема локального поставщика услуг Интернета. Аналоговая сотовая телефонная сеть испытывает затруднения с соединением, если перемещающийся пользователь переходит от одной ячейки к другой; можно сидеть на холме с направленной антенной и, медленно поворачивая ее туда-сюда, заблокировать все каналы ближайших ячеек.
Нападения, приводящие к отказам в обслуживании, работают, поскольку компьютерные сети являются сетями связи. Некоторые простые атаки, вроде передачи слова «привет», можно автоматизировать до такой степени, что они становятся атаками, приводящими к отказам в обслуживании. Так в основном устроены атаки, рассчитанные на «затопление» сети, которым подверглись некоторые провайдеры в 1996 году.
Вот другая атака, повлекшая отказ в обслуживании: в середине 1980-х политическая организация Джерри Фолвелла установила бесплатный телефон для разных целей. Один парень запрограммировал свой компьютер на то, чтобы непрерывно набирать этот номер, а затем вешать трубку. Таким образом он осуществил две вещи: во первых, занял линию, и люди, которым действительно нужно было позвонить по этому номеру, не могли дозвониться, а во-вторых, организации Фолвелла приходилось платить деньги за каждое соединение. Прелестный пример атаки, приводящей к отказу в обслуживании.
Подобные действия могут быть прелюдией к преступной атаке. Взломщики подходят к складу в 1:00 ночи и перерезают провод охранной сигнализации, ведущий к полицейскому участку. Сигнализация срабатывает и предупреждает полицию, что провод поврежден. Взломщики отступают на безопасное расстояние и ждут, когда приедет полиция. Полиция приезжает и ничего не обнаруживает. (Если преступники изобретательны, они перережут провод в незаметном месте.) Полиция решает, что проблема в системе, а владельцы склада решают, что разберутся с ней утром. Полиция уезжает. Взломщики возвращаются и уносят все, что хотят.
Вариант этого сценария, который, как подтверждается несколькими случаями, дает гарантированный результат, – это атака телефонного узла, через который проходит сигнал тревоги. Многие типы сигнализации включают в себя устройство, которое посылает в полицейский участок сигнал о нарушении защиты. При атаке телефонного узла этому сигналу не пробиться, и полиция не узнает, что сигнализация сработала.
Вот другой пример: военная база, окруженная забором, снабженным сенсорами движения. Злоумышленники берут кролика и перекидывают его через забор, а затем убегают. Срабатывает сенсор движения. Охрана приходит, ничего не обнаруживает и возвращается на пост. Злоумышленники повторяют всю процедуру, охрана вновь реагирует. После нескольких таких ночей охрана отключает сенсор движения. И злоумышленники на джипе протаранивают забор. Такого рода атаки неоднократно использовались против русских военных баз в Афганистане и, в качестве проверки охраны, на некоторых военных базах США. Они удивительно удачны.
Похожая атака, предположительно, была предпринята против советского посольства в Вашингтоне, округ Колумбия. Американцы подожгли сласти (по существу, кусок сахара) у окна посольства. От треска включилась сигнализация, но сахарный шарик испарился, и не было заметно, из-за чего возникла тревога. Затем следующий шарик. Чпок. Тревога. Ничего. В конечном итоге сигнализацию изменили так, чтобы резкий звук за окном не включал бы ее. (Я не знаю, произошло ли в результате этой атаки реальное проникновение или это был просто способ подействовать на нервы охране советского посольства.)
Более близкий пример: широко используемый метод кражи автомобилей заключается в том, чтобы включать сигнализацию в 2 часа ночи, 2:10, 2:20, 2:30… пока владелец машины не отключит ее, чтобы успокоить разгневанных соседей. Утром машины нет.
Во время войны атаки, приводящие к отказам в обслуживании, используют все время. Каждая из сторон пытается заблокировать вражеские системы радиолокации и управления стрельбой, нарушить системы коммуникации, взорвать мосты. Одно из свойств подобных атак в том, что для них часто нужен низкий, а не высокий технический уровень: взорвать компьютерный центр намного проще, чем использовать уязвимые места Windows 2000.
Атаки, приводящие к отказам в обслуживании в Интернете, детально обсуждаются в главе 11.