, Apple. Он доберется до банковских счетов и опустошит их. Риски важно осознавать, учитывая, что в скором времени придется аутентифицироваться для доступа к автомобилям, домашним бытовым приборам и практически ко всем составляющим нашего окружения.
Другой возможный способ взлома заключается в использовании правильной аутентификации. Хакер, который наблюдает за компьютером пользователя, может дождаться, когда тот начнет заходить на веб-сайт банка, после чего подменит картинку на экране и перенаправит перевод по другому адресу. Это называется атакой с применением технологии «незаконного посредника». Метод работает даже в том случае, если банк вводит двухфакторную аутентификацию.
Чтобы защитить себя и своих клиентов от таких атак, банк отслеживает систему на предмет взломанных счетов, после чего применяет раздельную (дифференциальную) аутентификацию. Одним из признаков атаки может стать банковское извещение о попытке перевода $50 000 на неизвестный счет в Румынии. Сообщение поступает до завершения перевода для проверки информации. Эмитент кредитной карты может пометить и задержать для проверки крупные покупки без физического участия «пластика» или любое приобретение подарочных сертификатов. Некоторые банки через специальное приложение в смартфоне отслеживают перемещение пользователя и блокируют операции, сделанные в нетипичном для него месте. Что касается корпоративных сетей, то существует целая индустрия продуктов, которые мониторят сеть в поисках признаков успешного взлома. Качество этих продуктов разное, и здесь мы тоже наблюдаем «гонку вооружений» между теми, кто атакует, и теми, кто держит оборону.
Мы нуждаемся в процедуре аутентификации, которая будет одновременно и простой, и высокоэффективной. Поскольку в какой-то мере это взаимоисключающие требования, придется проявить гибкость, чтобы добиться успеха. Вполне возможно, что процесс аутентификации станет еще неудобнее, чем уже есть. И с этим придется смириться.
Современные методы защиты компьютерных систем представляют определенную сложность для людей старшего возраста. Подобно тому как старшее поколение так и не сумело привыкнуть к ключам и сетовало на их неудобство (о них надо помнить, их нужно носить с собой, друзьям не попасть в дом и т. д.), необходимость вводить пароль и проходить аутентификацию – та реалия, к которой я привыкаю всю свою жизнь. Ремни безопасности из той же оперы. Когда я был ребенком, ими никто не пользовался. Сегодня же дети не позволят родителям завести автомобиль, пока ремни не будут застегнуты. И это правильно. Как и ремень безопасности, двухфакторная система аутентификации – это компромисс, позволяющий защитить аккаунт от хакеров.
В безопасности интернета+ аутентификация играет ключевую роль. Практически любое компьютеризированное устройство оснащается той или иной системой распознавания, чтобы оно «понимало», с кем ему предстоит разговаривать, кого слушать и кому подчиняться. Это касается как больших и сложных устройств наподобие машины или атомной электростанции, так и небольших предметов, например умных игрушек или умных лампочек. Между нами и миром интернета+ будет постоянно идти процесс взаимной аутентификации. Более того, он будет идти и внутри интернета+: термостат захочет «поговорить» с обогревателем, бытовые приборы – с электросчетчиком, игрушки – друг с другом.
Обновления нужно будет аутентифицировать, чтобы хакеры не вынудили нас устанавливать вредоносные программы. (Это один из способов, которым воспользовался червь Stuxnet.) При этом злоумышленники уже долгие годы создают сигнатуры подлинности для вредоносных обновлений. Многие из таких уязвимостей в цепочках поставок (мы обсудим их в главе 5) – результат неверной аутентификации.
Со временем контакты между устройствами получат полезное практическое применение. Автомобили станут сообщать друг другу как о том, что видят с помощью сенсоров, так и о своих намерениях. Медицинские приборы будут взаимодействовать друг с другом и с докторами и, в зависимости от ситуации и стоящей перед ними задачи, изменять поведение. Местные энергетические компании примутся контактировать со всеми находящимися поблизости крупными устройствами, а системы инженерного оборудования зданий – общаться между собой. Как мы узнали из главы 2, каждой вещи понадобится принимать аутентифицированные исправления в системе безопасности, причем в автоматическом режиме, непрерывно, миллионы раз в день.
Непонятно, как оценивать масштаб описываемого явления. Протокол для аутентификации находящихся поблизости устройств – это Bluetooth, который работает лишь потому, что мы выполнили настройку. Когда мы подключаем, например, телефон к автомобилю, то взаимно аутентифицируем оба устройства и в дальнейшем позволяем им обмениваться информацией, но уже без нашего участия. Такое возможно лишь для незначительного количества вещей. «Связать» вручную тысячу вещей невозможно. Модель централизованной координации, когда вся аутентификация осуществляется через некий центр (например, смартфон), способна лишь отчасти решить эту проблему.
У атак будут серьезные последствия. Если я сумею выдать себя за вас перед вашими устройствами, то получу преимущество. Это называется хищением персональных данных будущего. Я смогу вводить в ваши устройства ложную информацию – смогу ими манипулировать и причинять окружающим вред. Смогу втереться в доверие к вашим устройствам – смогу отдавать им команды от вашего имени. Мы не до конца понимаем масштаб действия систем, поэтому не в полной мере осознаем возможные последствия таких атак.
Это приводит нас к идентификации. Мы идентифицируем себя, когда создаем аккаунты – лично или в интернете. Насколько эта идентификация надежна, зависит от аккаунта. При взаимодействии с банком идентификация осуществляется лицом к лицу с сотрудником, и это надежный способ. Если мы совершаем покупку с помощью кредитной карты, есть смысл говорить о меньшей надежности: аутентификация основывается на существовании личности, владеющей большим объемом персональных данных. Иногда система запрашивает номер телефона, адрес, данные удостоверения личности или водительских прав. Facebook[28] проводит политику «настоящего имени»: подразумевается, что люди используют подлинные имена и верификация не требуется, пока не возникает конфликт. Google для создания аккаунта в почтовом сервисе Gmail требует указать номер телефона, и для этой цели вполне годятся анонимные «одноразовые» телефоны. Иногда идентификация вообще ни на чем не основана. Мой аккаунт в Reddit – не что иное, как уникальное имя пользователя; единственная идентификация – это я сам и все пароли, созданные мною под этим именем. Это делает идентификацию анонимной (там, где используется псевдоним).
Привязка чего-либо к идентификатору означает, что у вас есть надежный способ доказать, что вы – это вы, а не кто-то другой. Привязка включает в себя аутентификацию, но более сильную (надежную). Вы можете аутентифицировать анонимный банковский счет и тем самым доказать, что вы – тот самый человек, что на прошлой неделе внес деньги на депозит. Идентификация банковского счета доказывает, что деньги принадлежат именно вам.
Идентификация не защищает от неумелого использования. Когда я впервые получал паспорт, то должен был лично явиться в соответствующее государственное учреждение. Чтобы выдать себя за кого-то еще, мне потребовалось бы подделать документы, удостоверяющие личность, – идентификационные документы, необходимые человеку для получения нового идентификационного документа (их требует паспортный отдел). Сложно, но можно. Люди, используя поддельные удостоверения личности, получали самые настоящие водительские права, правда, на вымышленное имя. Когда государство ведет учет граждан с самого рождения, сделать это труднее, но желающие нарушить закон всегда найдут лазейку.
Удаленно выдавать себя за другого человека гораздо проще. И здесь нам снова приходится выбирать между безопасностью и удобством. Крупные компании, стремящиеся привлечь наше внимание, склоняются в сторону удобства. Как и мы сами. Тем не менее со временем нам все же придется сделать шаг в сторону безопасности.
Атрибуция – это идентификация человека вопреки его желанию сохранить анонимность. Как правило, она осуществляется по инициативе властей в отношении того, кто предположительно совершает мошенничество или, например, пытается получить санкционированный доступ к атомной электростанции. В ряде государств атрибуции подвергаются те, кто выступает с критикой правительства или распространяет порнографические материалы. В таких случаях сотрудники правоохранительных органов с большой долей вероятности захотят идентифицировать этих людей.
Процесс атрибуции обычно не слишком сложен. Если человек использует аккаунт, связанный с номером его кредитной карты или с номером телефона, информацию получают у имеющего ее провайдера услуг. Могут возникнуть юридические барьеры в виде ордера, который понадобится правоохранительным органам. Однако технических препятствий нет.
Какие бы усилия ни прикладывал человек, чтобы избежать атрибуции, рано или поздно он совершает ошибку и его личность устанавливается. Приведем ряд примеров. Американец Росс Ульбрихт (псевдоним Dread Pirate Roberts) создал для электронной торговли незаконными товарами и услугами анонимную торговую площадку «Шелковый путь» (Silk Road), но был раскрыт въедливым агентом ФБР, который соотнес несколько фактов: очень старый пост в чате, старый адрес электронной почты и случайное интервью с федеральными агентами, расследующими другое дело. Педофилов арестовали после того, как в правоохранительной организации соотнесли детали на заднем плане разных фотографий: площадки для кемпинга в Миннесоте, надписи на толстовке и на пачке чипсов. Гражданина Беларуси, руководившего мощным ботнетом Andromeda, идентифицировали и заключили под стражу, потому что он по ошибке повторно воспользовался аккаунтом сервиса мгновенных сообщений, связанного с его настоящим именем. Хакера из Техаса Ихиньо Очоа III идентифицировали и арестовали благодаря метаданным одной из фотографий, которые привели детективов к дому подружки злоумышленника.