Атрибуция такого рода может быть затратной и в финансовом, и во временном отношении. То, насколько хорошо человеку удается присутствовать в интернете и одновременно скрывать свою личность, зависит от его умения и осторожности, а еще от квалификации и финансирования заинтересованных в раскрытии дела полицейских.
Иная ситуация, если атрибуцией занимаются государственные разведывательные структуры, например АНБ. Они способны наблюдать за широкими сегментами интернета, поэтому не испытывают сложностей с атрибуцией.
В 2012 г. Леон Панетта, в то время занимавший пост министра обороны США, публично заявил, что Америка (предположительно АНБ) «значительно продвинулась в… идентификации источников» кибератак. Другие американские чиновники в частном порядке высказались, что решили проблему атрибуции. Не знаю, сколько в этих словах позерства, но я убежден, что в них немало и правды.
В 2016 г. в разговоре, о котором я упоминал в начале этой главы, Роб Джойс из АНБ сказал: «При таком количестве юристов в Министерстве национальной безопасности, ФБР и АНБ удивляешься, когда правительство заявляет о необходимости информирования при установленной атрибуции. Атрибуция – действительно сложный процесс, но раз власть просит, мы используем всю совокупность имеющихся в нашем распоряжении источников и методов. [Между тем] пока эти целенаправленные постоянные угрозы не исчезнут… мы не можем разглашать всю информацию и рассказывать все насчет того, что мы знаем и каким образом это узнаем».
Вышесказанное имеет отношение к атрибуции на государственном уровне. И хотя АНБ время от времени идентифицирует отдельных личностей (в 2014 г. США предъявили обвинения пяти китайцам за взлом американских корпоративных сетей, в 2016 г. – 13 россиянам за вмешательство в предвыборную президентскую кампанию), привязать атаку к определенному государству проще. В сущности, АНБ ликвидировало анонимность посредством тотального наблюдения. Если у вас есть возможность следить, связывать воедино разрозненные нити и устанавливать, что происходит и кто есть кто, проще. Вероятно, даже в автоматическом режиме.
Не думайте, что отсутствие публичной атрибуции означает отсутствие атрибуции как таковой. Если атрибуцию не сопроводить эффективной реакцией, страна покажется слабой. Именно поэтому власти часто не объявляют об атрибуции авторов кибератаки, пока не предпримут определенных действий в их отношении.
Кроме того, бо́льшая часть добытых АНБ доказательств засекречена. Даже если публикация каких-то сведений допустима, в некоторых случаях она способна раскрыть секретные источники информации («источники и методы», если выражаться словами Джойса). Иначе говоря, американское правительство зачастую не может объяснить, почему обвиняет в кибератаке конкретное государство или группу лиц. Получается, что способов независимой верификации атрибуции нет, что расценивается людьми, не склонными доверять властям, как недостаток. Понятно, что АНБ следует скрывать источники и методы, тем не менее, если чиновникам хочется, чтобы общественность верила их утверждениям об атрибуциях и одобряла возможные действия, следует подумать о разглашении информации.
Главное, что нужно иметь в виду относительно атрибуции: 1) она может быть сложной, особенно для государств, которые не ведут тотальную слежку за интернетом или пока не обладают достаточным опытом; 2) она требует времени: могут пройти недели и месяцы, прежде чем страна-жертва установит автора атаки; 3) виртуальная природа нападений и простота сокрытия их источников означает, что атакующая страна способна отрицать свое участие; 4) атрибуция может основываться на секретной информации, что, как правило, затрудняет доказательство ложности заявлений нападающего государства; 5) структуры, не имеющие отношения к власти, зачастую обладают почти теми же возможностями, что препятствует пониманию, имеет ли руководство страны отношение к хакерским атакам.
Взлом сети Sony Pictures гражданами Северной Кореи в 2014 г., которые опубликовали не только закрытую информацию компании, но и невыпущенные фильмы, – хороший пример проблемы атрибуции. На протяжении нескольких дней шли споры, кто стоит за атакой – государство с военным бюджетом $20 млрд или пара сидящих в подвале парней (я ставил на пару парней и проиграл). Прошло три недели, прежде чем США твердо заявили о виновности властей Северной Кореи. Но из-за того, что доказательства причастности были засекречены, большинство экспертов по компьютерной безопасности не восприняли всерьез доводы правительства. Я поверил лишь после того, как The New York Times опубликовало сведения, полученные от АНБ.
Сейчас между государствами, которые умеют осуществлять атрибуцию, и государствами, которые не умеют этого делать, огромная пропасть. Такие страны, как Китай, озабочены, что США смогут публично уличить их в хакерских атаках, но сами они обвинить никого не смогут. У небольших государств, скажем, у Эстонии или у Грузии, почти нет шансов вычислить, кто атаковал их в киберпространстве. Между тем в этом нет ничего невозможного: компании, занимающиеся разработкой антивирусов, часто находят источники хакерских атак, но это требует определенных умений и времени. АНБ в этом нет равных.
Неравенство возможностей на уровне государств ведет к гонке вооружений между атакующими и атакуемыми. Я считаю, что в будущем, по крайней мере, подготовленным злоумышленникам уклониться будет проще. Поскольку ответные меры сейчас не принимаются, ряд стран не особо и заметает следы собственных действий. Не беспокоится об обвинениях. Но по мере совершенствования технологий атрибуции и если мы начнем наносить ответный удар, правительства станут прикладывать больше усилий к тому, чтобы скрыть свои действия или переложить вину на третью сторону.
На индивидуальном уровне будет развиваться гонка вооружений другого рода. Хакеры продолжат совершать ошибки, а правоохранительным органам станет проще вычислять авторов атак. Однако всегда найдутся более опытные и удачливые взломщики, которые останутся незамеченными.
Глава 4Незащищенность предпочитают все
Несовершенство технологий – не единственная причина незащищенности нашего интернета. Гораздо сильнее на его уязвимости сказывается то обстоятельство, что наиболее могущественные архитекторы – правительства и корпорации – умело управляют сетью, чтобы она функционировала в их интересах. Они стремятся к тому, чтобы мы были защищены ото всех, кроме них. Google предоставляет нам безопасность при условии, что сможет наблюдать за нами и использовать собранную информацию для продажи рекламы. Facebook[29] предлагает похожую сделку – создать аккаунт в защищенной социальной сети в обмен на то, что в маркетинговых целях будет контролировать все, что мы делаем. ФБР заботится о нашей безопасности, подразумевая, что сможет нарушать ее, когда пожелает. АНБ делает то же самое, равно как и его представительства в Великобритании, Франции, Германии, Китае, Израиле и других странах.
У всех свой резон, а силы, вовлеченные в эту деятельность, никогда ничего не призна́ют. Мы же на выходе имеем незащищенный интернет. И корпорации, и правительства выигрывают от наличия брешей в системе безопасности и работают над тем, чтобы их сохранить. Корпорациям уязвимости нужны для того, чтобы получать прибыль, правительствам – чтобы охранять порядок, осуществлять общественный контроль, заниматься шпионажем и проводить кибератаки. Процессы эти сложны и запутанны. Давайте разберем их шаг за шагом.
Корпорации хотят получать о вас информацию. Веб-сайты, которые вы посещаете, пытаются вычислить, кто вы и что вам нужно, а потом продают эту информацию. Приложения в смартфоне собирают данные и продают их. Социальные сети, которыми вы часто пользуетесь, торгуют либо вашими данными, либо доступом к вам на основе этих данных. Профессор Гарвардской школы бизнеса Шошана Зубофф называет это капитализм наблюдения (surveillance capitalism) и считает бизнес-моделью интернета. Компании создают системы, которые шпионят за людьми в обмен на услуги.
Проделывать такое несложно, потому что для компьютеров это вполне естественное занятие. Данные – побочный продукт компьютерного процесса. Все, что мы делаем с помощью компьютера, – просмотры сайтов, использование (и даже просто ношение) мобильного телефона, покупки в интернете или с помощью кредитной карточки, проход мимо компьютеризированного датчика, слово, произнесенное в помещении с включенной Alexa, – получает запись транзакции. Данные – еще и побочный продукт любого социального контакта, осуществленного через компьютер. Телефонные звонки, переписка по электронной почте, текстовые сообщения и болтовня в чатах Facebook[30] получают запись транзакции. Как я уже писал, мы идем по жизни, оставляя «цифровой выхлоп».
Прежде полученные данные уничтожались: ценность их была незначительной, а применение затруднительным. Но это прежде. Хранение информации о человеке ничего не стоит, и сведения эти превратились в своего рода сырье, а оно в свою очередь – в большие данные, данные наблюдений. Их собирают и используют корпорации – прежде всего чтобы поддержать рекламную модель, основу интернета.
Если вы посмотрите на перечень самых ценных (с точки зрения рыночной капитализации) за последнее десятилетие компаний, то найдете в нем те, что работают в рамках того самого капитализма наблюдения. Среди этих организаций Alphabet (материнская компания Google), Facebook[31], Amazon и Microsoft. Исключение составляет Apple, зарабатывающая на продаже «железа», именно поэтому ее цены выше, чем у конкурентов.
Рекламная модель интернета все больше персонализируется. Компании пытаются понять ваши эмоции. Стремятся выяснить, на что вы обращаете внимание и как реагируете на те или иные вещи либо события. И делают они это для того, чтобы рекламировать товары четко по адресу, именно вам предлагать и продавать то, что представляет для вас интерес.