Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах. Брюс Шнайер. Кратко

Брюс предлагает свое определение взлома: это умное, непреднамеренное использование системы, которое подрывает ее правила или нормы за счет кого-то, на кого влияет система. Он разграничивает хакерство, мошенничество, улучшения и инновации, приводя примеры. Хакерство, по его мнению, направлено на использование слабостей системы, не ломая ее. Шнайер подчеркивает субъективность понятия «взлома» и приводит пример теракта 11 сентября как «гениального» хака, изменившего правила воздушного терроризма. Хакеры заставляют переосмыслить существующие системы, и что хакерство часто бывает легальным и даже моральным. Брюс прослеживает историю термина «хакерство» от MIT до современного понимания и утверждает, что взлому подвержены не только компьютерные, но и экономические, политические и социальные системы.

Взлом систем

Автор проводит аналогию между налоговым кодексом и компьютерным кодом, отмечая, что оба представляют собой сложные системы с алгоритмами, входами и выходами. Он указывает на наличие ошибок (багов) в обоих типах кода, некоторые из которых являются уязвимостями, позволяющими злоумышленникам добиваться непреднамеренных результатов. В качестве примера приводится ошибка в законе 2017 года о налоговых льготах, в результате которой семьи погибших военнослужащих столкнулись с неожиданными налоговыми счетами. Также описывается схема «двойной ирландец с голландским сэндвичем», позволявшая компаниям, таким как Google и Apple, избегать уплаты налогов. Существуют специалисты, аналогичные «хакерам в черных шляпах», которые ищут лазейки в налоговом кодексе. Автор подчеркивает сложность исправления таких уязвимостей в законодательстве по сравнению с программным обеспечением, а также тот факт, что некоторые лазейки со временем становятся нормой.

Что такое система?

Система- сложный процесс, ограниченный набором правил или норм, направленный на достижение одного или нескольких желаемых результатов. Примеры систем- текстовый процессор и процесс создания книги. Взлом – это действие, которое система «позволяет», хотя и непреднамеренно. Правила системы не всегда совпадают с законами, регулирующими ее. Например, взлом компьютера – это нарушение правил программного обеспечения, но также и нарушение закона. Правила могут быть не только явными, но и неявными, в виде социальных норм. Некоторые системы не имеют конкретного разработчика, а эволюционируют со временем. Хакерство – естественное следствие системного мышления, а богатые и влиятельные люди часто оказываются безнаказанными за свои проделки.

Жизненный цикл взлома

Уязвимость – это слабость в системе, а эксплойт – механизм ее использования. Приводятся примеры уязвимостей и эксплойтов в компьютерных системах, программном обеспечении и даже в физических объектах, таких как дверные замки. Шнайер описывает EternalBlue – эксплойт, разработанный АНБ, который использовал уязвимость в операционной системе Windows. Он также выделяет три типа людей, вовлеченных в хакерство:

– креативный хакер,

– взломщик, использующий эксплойт,

– организация, в чьих интересах это делается.

Богатые и влиятельные люди имеют больше возможностей для хакерства благодаря доступу к техническим специалистам. В технических системах взломы часто исправляются быстро, но в социальных системах этот процесс гораздо медленнее и сложнее. Если хак не устранен, он может стать новой нормой.

Повсеместность хакерства

Взломы всегда возможны, независимо от защищенности системы. В детской онлайн-игре Club Penguin дети обходили ограничения на общение, используя язык тела своих аватаров. Дети – прирожденные хакеры, поскольку они не ограничены нормами и законами так, как взрослые. Стремление к обходу – естественная часть человеческой природы и повсеместное явление. Не все системы одинаково уязвимы для взлома. Сложные системы с большим количеством правил более уязвимы, тогда как менее важные и мелкомасштабные системы могут извлекать выгоду из хакерства, способствующего их развитию. Хакерство – это естественный и постоянный эволюционный процесс.

Основные хаки и защита. Взлом банкоматов

Автор начинает с рассмотрения взломов, направленных против систем с очевидными ограничениями, таких как банкоматы, чтобы в дальнейшем использовать это как основу для понимания взлома более широких политических, социальных, экономических и когнитивных систем. Он описывает случай австралийского бармена Дона Сондерса, который в 2011 году случайно обнаружил уязвимость в программном обеспечении банкомата, позволившую ему вывести 1,6 миллиона австралийских долларов. Этот взлом был направлен не на банковскую систему в целом, а на систему банкоматов и программное обеспечение банка. Автор описывает эволюцию атак на банкоматы и мер противодействия, приводя примеры ранних грубых методов взлома, таких как склеивание отверстий для выдачи наличных и вырывание банкоматов из стен. Есть и более сложные методы, такие как скимминг – кража информации с помощью накладных устройств для чтения магнитных полос и скрытых камер. Существует джекпотинг – взлом программного обеспечения банкомата, позволяющий злоумышленнику удаленно заставить банкомат выдать все наличные.