Брюс Шнайер — эксперт по кибербезопасности и преподаватель Гарварда.
Обычно мы пишем про изобретения, но сегодня — про изобретательность. Чтение на этот раз будет о хакерском мышлении и может даже чуточку научит мыслить как жулик. Но не преступления ради, а для того, чтобы понять как именно слабые места делают системы и людей уязвимыми.
«Моя книга рассказывает историю хакерства, сильно отличающуюся от того, что преподносят на эту тему фильмы, телепередачи и пресса. Вы не найдете подобной информации в книгах, посвященных взлому компьютерных систем или защите от хакерских атак. Это история о вещах куда более распространенных, фундаментально присущих человеку и гораздо более древних, нежели компьютер», — заявляет автор. Мы только и рады. Любим почитать что-нибудь эдакое. А ещё Брюс Шнайер поясняет: «В моей книге хакинг — это то, чем занимаются богатые и влиятельные люди, нечто, что укрепляет существующие структуры власти».
Кстати, автор пишет и о людях-хакерах, и об искусственном интеллекте. Информация в книге очень актуальная, так что подхватывайте, чтобы разобраться и потом не бежать за уехавшим поездом.
О чем это чтение
В структуре книги всё как в энциклопедии. Сначала автор дает теорию хакерства для чайников, объясняя, что такое вообще «хак». Затем пишет про основные виды хакинга и защиту от них. Причем начиная от хакинга банкоматов и казино и заканчивая более широкими областями. Так отдельные главы посвящены темам взлома финансовых, правовых и политических систем. Например, хакингу финансовых бирж, бюрократических барьеров и даже избирательного права. И последнее не связано с фальсификацией результатов голосования как таковой.
Иногда предвыборные хаки посягают на свободу действия тем, что просто делают голосование слишком сложным для избирателя. Например, вводят допуск на участок лишь по удостоверению личности с фотографией или вообще снижают количество мест, где можно проголосовать за того или иного кандидата. Брюс Шнайер объясняет это на примере штатов: «Наконец, людям может помешать банальное отсутствие избирательных участков рядом с домом. Алабама с 2013 г. снижает число избирательных участков, причем в основном за счет закрытия оных в афроамериканских кварталах. Например, город Дафни с населением 28 000 человек в 2016 г. сократил количество избирательных участков с пяти до двух, и все три закрытых участка были расположены в преимущественно афроамериканских районах города. Может сложиться впечатление, что в этих главах я решил разделаться с Алабамой, но на самом деле и другие штаты не менее агрессивны в подавлении избирателей, и это усиливающийся процесс. Джорджия, например, тоже требует от избирателей удостоверения личности и подтверждения гражданства штата, чистит списки избирателей, сокращает время досрочного голосования и закрывает избирательные участки, сосредоточенные в афроамериканских районах. О Флориде даже не буду заикаться. И, кроме того, сегодня по всей стране принимаются меры, направленные на подавление молодых избирателей, особенно идеалистически настроенных студентов, которые в основном поддерживают Демократическую партию».
Когнитивный хакинг
Автор копает глубже, гораздо глубже технического воплощения какого-либо приема, и скорее дает представление о том как вообще можно хакнуть любую материальную систему и даже мозг. Об этом у него тоже есть отдельная глава «Хакинг когнитивных систем». Из примера будет понятнее, о чем идёт речь.
«Вот хак, который я регулярно использовал в 1990-х гг., когда мы еще пользовались бумажными авиабилетами, чтобы сэкономить на перелетах. Получение бумажного посадочного талона было отдельным от покупки билета действием, его можно было получить за несколько недель до полета, и для этого нужно было пообщаться с реальным человеком. В те времена я жил в Вашингтоне, округ Колумбия, и много летал по работе. Скажем так, у меня были причины проводить выходные в Чикаго, но работодатель не позволял делать дорогостоящую остановку. Однако у меня был хак. Скажем, у меня есть билет из Сиэтла в Вашингтон с пересадкой в Чикаго на воскресенье. Сначала я должен пойти в кассу авиакомпании и получить распечатанные посадочные талоны, которые агент прикрепляет степлером к моим билетам. Я откреплял их и прятал, а на другой день возвращался в кассу и менял оба рейса на пятницу (в те времена поменять билеты стоило недорого). Агент авиакомпании вводил изменения в компьютер и выдавал мне новую пару посадочных талонов, снова прикрепленных степлером к тому же билету. В пятницу, как и предполагалось, я летел из Сиэтла в Чикаго, затем проводил там выходные, а вернувшись в аэропорт в воскресенье, подходил к выходу на посадку на рейс Чикаго–Вашингтон с оригинальным билетом и первым посадочным талоном, который я сохранил. Несмотря на то что компьютер не показывал бронь на мое имя, у меня был билет с правильной датой и посадочный талон с воскресного рейса Сиэтл–Чикаго, чтобы показать, если у кого-то возникнут сомнения. Сбитый с толку, агент игнорировал то, что сообщал ему компьютер, выдавал новый посадочный талон и пропускал меня в самолет», — пишет Брюс Шнайер. И взламывал он на тот момент не систему бронирования билетов или что-то ещё, а самого сотрудника, организовавшего посадку.
Полезные хаки
Такие тоже бывают, и к ним Брюс относит ещё средневековую идею печатания бумажных денег.
«Бумажные деньги существуют по крайней мере с XI в., с эпохи правления династии Сун в Китае, и, вне всяких сомнений, являются хаком. Валюта должна представлять собой некую реальную экономическую ценность, но сегодня большинство правительств имеют возможность печатать столько валюты, сколько потребуется, независимо от того, сколько на самом деле производит экономика. Это означает, что правительства могут взламывать системы государственного финансирования, создавая достаточное количество новых денег для оплаты своих счетов, вместо того чтобы финансировать программы за счет налогов или частных инвесторов. В Европе этот хак впервые появился благодаря экономисту Джону Ло, который таким образом помог французскому королю Людовику XV оплачивать войны. Бумажные деньги — это пример полезного хака, ставшего сегодня нормой», — рассказывает автор.
Так, в книге идёт речь не только о кибератаках. Шикарный, широкий, непредвзятый взгляд на границы понятия «hack».
Цели хакинга
Автор уточняет, что хакинг и мошенничество — не одно и то же. И что иногда хакеры ломают систему не ради собственной выгоды, а исходя из этических принципов — если какая-то платформа им не нравится.
«Совсем недавно в штате Огайо был создан веб-сайт, через который работодатели могли сообщать о сотрудниках, отказавшихся работать во время пандемии COVID-19, чтобы они не получали пособие по безработице. Некий хакер понял, что в процессе подачи отчета отсутствует аутентификация: его мог подать кто угодно. Поэтому, чтобы привлечь внимание к проблеме, он написал программу, которая автоматически отправляла поддельные отчеты (преодолевая даже CAPTCHA), и разместил ее в интернете. Мы не знаем, сколько таких отчетов в результате было подано через онлайн-систему. Официальные лица штата Огайо утверждали, что им удалось их отсеять, но в итоге штат отказался от использования подобных отчетов для исключения людей из списков безработных», — рассказывает Брюс Шнайер. Вот молодец, хакер, взял и подсобил работягам.
Баланс
Что здесь ещё стоит упомянуть, так это гармонию. Хакеры, по-большому счёту, приспособились к системам как паразиты к живому организму.
«Как и любой паразит, хакер должен балансировать между подрывом системы и ее разрушением. Слишком много хакинга — и система рухнет… Финансово мотивированные хакеры, как правило, не стремятся разрушить системы, которые взламывают. Если хакнуть слишком много банкоматов, они просто исчезнут как явление. Если спорт начнут хакать все кому не лень, он перестанет быть интересным, зачахнет и умрет. Большинство хакеров хотят сохранить систему, но добиваться при этом лучших результатов. Если они и разрушают систему, то обычно это происходит непреднамеренно», — объясняет автор.
Здесь, кстати, вспоминается французский триллер «Черный ящик» — про аналитика, которому по сюжету предстоит разобраться в причинах авиакатастрофы. В нем есть место и хакингу. Тоже рекомендуем.
В заключении хотим сказать, что сегодняшняя книга — это чтение с гигантским количеством конкретики про взломы и манипулирование. Да и сам автор, по сути, взламывает представление читателей о хакинге, срывая с него ярлыки.
Если вы думаете, что хакеры — это программисты в черных худи, добавьте книгу себе на полку как можно скорее.
Полезное от Онлайн Патент:
→ Что такое Реестр отечественного ПО?
→ Может ли иностранная компания внести свою программу в Реестр отечественного ПО?
→ Как IT-компаниям сохранить нулевой НДС и попасть в Реестр отечественного ПО
