Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах. Брюс Шнайер
Чтение книги онлайн.

Читать онлайн книгу Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер страница 1

СКАЧАТЬ посредством сети интернет, независимо от того, будет предоставляться доступ за плату или безвозмездно.

      Копирование, воспроизведение и иное использование электронной книги, ее частей, фрагментов и элементов, выходящее за пределы частного использования в личных (некоммерческих) целях, без согласия правообладателя является незаконным и влечет уголовную, административную и гражданскую ответственность.

      © 2023 by Bruce Schneier

      © Издание на русском языке, перевод, оформление. ООО «Альпина Паблишер», 2023

* * *

      Предисловие

      Говорят, что вода{1} никогда не бежит в гору.

      Никогда не бежала, никогда не побежит.

      Но если у тебя достаточно денег,

      В законах природы всегда найдется лазейка.

      И вот уже ручеек течет вверх по склону.

ДЖИМ ФИТТИНГ, песня «Water Never Runs Uphill» из репертуара группы Session Americana

      Компания Uncle Milton Industries продает детские муравьиные фермы с 1956 г. Ферма представляет собой конструкцию из двух листов прозрачного пластика, соединенных между собой с зазором в 6 мм, запаянную с трех сторон, а с четвертой – имеющую крышечку. Идея заключается в том, чтобы заполнить это узкое пространство песком, запустить туда муравьев и с комфортом наблюдать, как они роют туннели.

      Однако в самом наборе никаких муравьев нет. Довольно сложно сохранить их живыми, пока коробка лежит на магазинной полке, да к тому же наверняка существуют правила безопасности, касающиеся детей, игрушек и насекомых. Поэтому в комплекте с чудо-фермой идет почтовая карточка, на которой вы можете указать свой адрес, отправить ее в компанию, и через некоторое время вам доставят пробирку с живыми муравьями.

      Большинство людей, впервые увидевших эту карточку, удивляются самому факту, что компания высылает клиентам пробирки с муравьями. Но моей первой мыслью было: «Вот это да! Я могу сделать так, что компания отправит пробирку с муравьями любому человеку, чей адрес я укажу».

      Специалисты по кибербезопасности смотрят на мир иначе, чем большинство людей. Обычно, когда человек видит перед собой некую систему, он сосредоточивается на том, как она работает. Профессионал в сфере кибербезопасности, видя ту же систему, первым делом пытается понять, как можно вывести ее из строя, а точнее, как использовать сбой системы, чтобы заставить ее вести себя непредвиденным образом и делать такое, чего система в принципе не должна делать, но что способно дать хакеру определенное преимущество.

      Это и есть взлом – разрешенные системой действия, которые подрывают цель или замысел самой системы. В точности, как отправка пробирок с муравьями компанией Uncle Milton Industries людям, для которых это стало бы полной неожиданностью.

      Я преподаю курс кибербезопасности в Гарвардском институте государственного управления, больше известном как школа им. Кеннеди. В конце первого занятия я даю аудитории неожиданное задание{2} к нашей следующей встрече: через два дня каждый студент должен будет записать по памяти первые сто цифр числа пи. «Я понимаю, нет смысла надеяться, что вы запомните сотню случайных цифр за такой короткий срок, – говорю я им. – Поэтому рассчитываю, что вы будете хитрить. Единственное условие – не попадайтесь».

      Спустя два дня аудитория гудит от возбуждения. Большинство студентов прибегают к старым уловкам, записывая цифры мелким почерком на клочках бумаги или наговаривая число на диктофон в надежде незаметно пронести наушник. Но кое-кто проявляет невероятную изобретательность. Один студент, к примеру, использовал невидимые чернила и очки, в которых цифры проявлялись. Другой написал искомое число на китайском языке, которого я, увы, не знаю. Третий закодировал цифры разноцветными бусинами и сделал из них ожерелье. Еще один запомнил несколько первых и последних цифр из сотни, а остальные взял из головы, полагая, что я не стану проверять всю последовательность. Но больше всего меня поразил случай, когда студент по имени Ян, потратив на это кучу времени, делая долгие паузы между цифрами, записал весь необходимый ряд. Он закончил, когда все уже сдали ответы. Помню, как и я, и другие студенты смотрели на него, не понимая, как именно он это делает. Неужели парень действительно вычисляет в уме бесконечный ряд? Но все оказалось намного проще: хитрец запрограммировал телефон, и тот вибрировал в его кармане, передавая каждую цифру азбукой Морзе.

      Смысл подобного задания вовсе не в том, чтобы превратить добросовестных студентов в жуликов. На лекциях я всегда напоминаю, что за списывание в Гарварде полагается исключение. Дело в другом: если они собираются заниматься государственной политикой в области кибербезопасности[1], они должны думать как жулики и воспитывать в себе хакерское мышление.

      Моя СКАЧАТЬ



<p>1</p>

Massimo Materni (1 May 2012), "Water never runs uphill / Session Americana," YouTube, https://www.youtube.com/watch?v=0Pe9XdFr_Eo.

<p>2</p>

Это упражнение придумал не я. См.: Gregory Conti and James Caroland (Jul-Aug 2011), "Embracing the Kobayashi Maru: Why you should teach your students to cheat," IEEE Security & Privacy 9, https://www.computer.org/csdl/magazine/sp/2011/04/msp2011040048/13rRUwbs1Z3.

<p>1</p>

Автор использует здесь забавное сленговое выражение cybersexcurity (букв. киберсексуальное любопытство), созвучное с термином cybersecurity. – Прим. пер.