(Я осознаю, что предыдущий абзац представляет собой чрезмерное упрощение сложного мира. Я пишу эту книгу в Соединенных Штатах в конце второго тысячелетия. Я пишу ее не в Сараево, Хевроне или Рангуне. У меня нет опыта, исходя из которого я мог бы рассказать, каково жить в тех местах. Мои личные представления о безопасности происходят из опыта жизни при стабильной демократии. Эта книга о безопасности с точки зрения индустриального мира, а не мира, раздираемого на части войной, подавляемого тайной полицией или контролируемого криминальными структурами. Эта книга об относительно небольших опасностях в обществе, в котором главные угрозы уже отведены.)
Нападения, криминальные или нет, представляют собой исключения. Это события, застающие людей врасплох, «новости» в прямом смысле слова. Они нарушают общественный уклад, разрушают жизнь тех, кто стал их жертвой.
Неизменная природа атаки
Что отличает киберпространство от его двойника – реального мира в «плоти и крови», если отбросить технологические изыски и графические пользовательские интерфейсы? Как и физический мир, виртуальный мир населен людьми. Эти люди взаимодействуют с другими, образуют сложные социальные и деловые взаимоотношения, живут и умирают. В киберпространстве существуют сообщества, большие и малые. Киберпространство наполнено коммерцией. Там заключаются соглашения и контракты, там случаются разногласия и конфликты.
И опасности в цифровом мире отображают опасности физического мира. Если в последнем существуют опасности хищений и растрат, то точно так же они существуют и в первом. Если грабят физические банки, то ограбят и цифровые. Вторжение в частную жизнь – всегда проблема, независимо от того, имеет ли оно облик фотографа с телеобъективом или хакера, который перехватывает сообщения частного характера. Правонарушения в киберпространстве включают в себя все, что вы можете видеть в физическом мире: воровство, рэкет, вандализм, страсть к подглядыванию и подслушиванию, эксплуатацию, вымогательство, мошенничество и обман. Присутствует даже опасность реального физического ущерба в результате выслеживания, нападения на систему контроля воздушных перевозок и т. п. В первом приближении сообщество живущих в режиме онлайн такое же, как и сообщество тех, кто далек от компьютерных сетей. И, тоже в первом приближении, вторжения в цифровые системы будут такими же, как и нападения на их реальные аналоги.
Это означает, что, бросая взгляд в прошлое, мы можем точнее увидеть, что принесет будущее. Нападения будут выглядеть по-разному – взломщик будет оперировать цифровыми взаимодействиями и точками входа в базы данных вместо отмычек и монтировок, террористы выберут мишенью информационные системы вместо самолетов – но мотивация и психология будут теми же. Это также значит, что нам не понадобится совершенно другая правовая система в будущем. Если наше грядущее похоже на былое – за исключением некоторых особенностей, – тогда правовая система, которая работала в прошлом, вероятно, будет работать и в будущем.
Вилли Саттон грабил банки, потому что там хранились деньги. Сегодня деньги находятся не в банке, они перемещаются по компьютерным сетям. Каждый день банки мира переводят друг другу миллиарды долларов при помощи простого изменения чисел в компьютерной базе данных. Между тем, средняя величина единичной кражи из физических банков ненамного превышает 1500 долларов. И киберпространство будет представляться злоумышленникам все более соблазнительным – объем электронной торговли возрастает с каждым годом.
Где деньги – там преступность. Ограбление банка или магазина спиртного, надевание лыжной маски и размахивание пистолетом 45-го калибра не совсем устарело.
Но это – не тот метод, который предпочтет преступник, чтобы продумать план, если он совсем не одурел от наркотиков. Организованная преступность предпочитает нападать на крупные системы, чтобы получать большую добычу. Мошенничество с кредитными картами и контрольными системами стало с годами более изощренным. Жульничество с расчетными автоматами следует тому же принципу. Если мы не увидели до сих пор широко распространенного мошенничества с системой платежей в Интернете, то это потому, что там еще нельзя получить крупные деньги. Когда деньги там будут, преступники попытаются их украсть. И как видно из истории, они в этом преуспеют.
Нарушение конфиденциальности также не является чем-то новым. Удивительное множество юридических документов является достоянием общественности – это записи с общим доступом: имущественные сделки, продажа кораблей, гражданские и уголовные судебные разбирательства и приговоры, банкротство. Хотите узнать, кто владеет вон тем кораблем и сколько он за него заплатил? Это можно сделать. Такова роль общего доступа к базам данных. Еще больше приватной информации содержится в 20 000 (или около того) персональных баз данных (в США), которые находятся в корпорациях: финансовые подробности, медицинская информация, особенности образа жизни.
Сыщики (частные и полицейские) уже давно используют эти и другие данные, чтобы разыскивать людей. Для этого используют даже данные, которые по общему мнению считаются конфиденциальными. Ни один частный следователь из телесериала не обходится без друга в местной полиции, готового поискать имя, номер автомашины или уголовные записи в полицейских файлах. Полиция постоянно пользуется корпоративными базами данных. И каждые несколько лет какого-нибудь скучающего оператора информационно-поисковой системы ловят на выискивании налоговых деклараций знаменитостей.
Специалисты по маркетингу уже давно используют любые данные, которые могут заполучить, чтобы «вычислить» определенных людей. В Соединенных Штатах личные данные принадлежат не тому человеку, которого они характеризуют, а организации, собравшей их. Информация о ваших финансах не является вашей собственностью, она принадлежит вашему банку. Ваша медицинская информация принадлежит не вам, а вашему врачу. Врач дает клятву, что сохранит ваши личные секреты, но страховые агенты и этого не делают. Вы действительно хотите, чтобы любой знал о вашем пороке сердца или наследственной глаукоме? Как насчет вашего алкоголизма или неприятностей с венерическим заболеванием двадцатилетней давности?
Нарушение конфиденциальности может легко привести к мошенничеству. В рассказе «Бумажная луна» Джой Дэвид Браун пишет о трюках, к которым прибегали в период Великой депрессии для продажи Библий и родственных товаров, цены на которые внезапно упали. В другого рода аферы сейчас вовлечены матери и вдовы солдат, погибших на заокеанской войне: «Всего за несколько пенни в день мы позаботимся об их могилах» – и обманщики получают свой куш. Во многих частях страны коммунальные службы установили систему на основе телефонной связи, позволяющую считывать показания счетчиков: воды, электричества и т. п. Эта идея будет казаться грандиозной до тех пор, пока какие-нибудь предприимчивые преступники не начнут использовать ее для определения времени отъезда хозяев в отпуск. Или пока они не догадаются использовать систему аварийного контроля, которая с точностью до цента показывает еще и подробности аренды здания. Если данные могут быть использованы, кто-нибудь попробует это сделать – с компьютером или без него.
В киберпространстве нет ничего нового. Детская порнография – старая история. Отмывание денег – уже видели. Причудливые культы, предлагающие вечную жизнь в обмен на ваш чек, – даже надоело. Преступники не хуже и не лучше деловых людей понимают, для чего можно использовать сеть; они только переиначивают свои старые трюки под новые возможности, учитывая тонкие подробности и эксплуатируя размах сети и ее тенденцию к росту.
Изменяющаяся природа атаки
Опасности могут быть теми же, но киберпространство все видоизменяет по-своему. Хотя нападения в цифровом мире могут иметь те же цели и использовать многие из тех методов, что и нападения в физическом мире, все же они будут существенно различаться. Они будут проще и шире распространены. Будет сложнее проследить, поймать, доказать вину злоумышленника. И их действие будет более разрушительным. У Интернета есть три новых свойства, которые помогают осуществить атаку. Любое из них – угроза, все вместе они способны вселить ужас.