Примерно так же видят мир профессионалы в сфере безопасности. Глядя на охранную систему, мы придумываем, как ее обмануть. Таковы уж мы, ничего не поделаешь.
Такой образ мышления очень важен для специалиста, и не имеет значения, по какую сторону охраняемого объекта он находится. Если вам поручено создать систему для защиты магазина от краж, вы должны уметь воровать. Если придумываете систему, распознающую людей по походке, надо предвидеть, что кто-нибудь насыплет камушков в ботинки. Иначе ничего путного у вас не полу- чится.
Именно поэтому в череде повседневных забот уделите немножко внимания охранным системам вокруг вас. В магазине, где вы обычно делаете покупки, стоят видеокамеры. Помогают ли они предотвратить кражу или просто отпугивают воришку к соседнему магазину? Обратите внимание, как работает ресторан. Если вы расплачиваетесь после ужина, может ли кто-нибудь уйти, не заплатив? Присмо- тритесь к системам проверки пассажиров в аэропорту. Можно ли пронести в самолет оружие? Подсмотрите за работой кассира в банке. Банковская система безопасности должна не только защищать от грабителей, но и удерживать кассиров от воровства. Понаблюдайте за муравейником. Насекомые – великолепные охранники. Почитайте Конституцию, обратите внимание, как она защищает граждан от злоупотреблений со стороны правительства. Оглянитесь вокруг. Светофоры, дверные замки, любые охранные системы, какие вы видите в кино и по телевизору, – как они работают, от каких угроз защищают, а против чего бессильны, почему дают сбои и как этим воспользоваться?
Уделяйте этому побольше времени, и скоро вы заметите, что смотрите на мир совсем по-другому. Вы начнете замечать, что многие охранные системы не выполняют возложенных на них задач и что бóльшая часть принимаемых государством мер безопасности – пустая трата денег. Вы поймете, что неприкосновенность личности – необходимое условие безопасности, а не наоборот. Вы перестанете волноваться о том, что беспокоит других, и найдете себе другие поводы для тревоги, о которых многие люди даже не догадываются.
Вам будут попадаться на глаза такие особенности охранных систем, о которых до вас никто не задумывался. И может быть, вы изобретете новый метод взлома какой-нибудь системы безопасности.
Вот так несколько лет назад кто-то додумался до фишинга.
Меня часто изумляет, насколько легко бывает взломать какую-нибудь знаменитую охранную систему. Этому есть множество причин, но главная из них – невозможность доказать, что безопасность гарантирована. Вам доступен только один метод проверки – пытаться самому взломать эту систему. Если не получится, вы поймете, что у системы хватает надежности выдержать ваш натиск, но что, если за дело возьмется умелец половчее вас? Любой способен создать такую охранную систему, какую он сам будет не в силах взломать.
Вдумайтесь хорошенько, потому что это не сразу укладывается в голове. Ни у одного конструктора не хватит квалификации, чтобы выявить все огрехи в разработанной им системе, иначе он заметил бы их в процессе работы и устранил. Проверять систему на надежность должен кто-то другой, тогда она будет защищена от угроз, которые не пришли в голову конструктору.
А это значит, что никому не возбраняется присматриваться к кем-то созданным охранным системам. И на удивление часто кто-нибудь из нас отыскивает дыру в одной из них. Находки Маркуса вовсе не кажутся притянутыми за уши – в жизни такие вещи случаются постоянно. Наберите в поисковой строке «бамп-ключ» или «как вскрыть замок фирмы “Криптонит” шариковой ручкой» – вы прочитаете несколько удивительных историй о том, как чрезвычайно сложные на вид охранные системы взламываются простейшими инструментами.
И если вам выпадет подобная удача, непременно расскажите о ней в интернете. При кажущемся сходстве секретность и безопасность – разные вещи. Охранная система, опирающаяся на секретность, никуда не годится. Хорошие системы работают, даже если нюансы их работы знакомы всем и каждому.
Когда слабые места охранной системы становятся широко известны, конструкторы будут вынуждены улучшать ее, а мы с вами получим более высокий уровень безопасности. Если вы купили велосипедный замок фирмы «Криптонит», который можно вскрыть шариковой ручкой, то, значит, вам за ваши деньги подсунули некачественную охранную систему. И точно так же, если несколько смышленых ребят смогли одолеть выстроенную ДВБ антитеррористическую технологию, то она вряд ли будет полезна в борьбе против настоящих террористов.
Глупо жертвовать личной неприкосновенностью ради безопасности; но еще глупее в результате этой сделки не получить настоящей безопасности.
Так что закройте эту книгу – и вперед! Мир полон систем безопасности. Взломайте хотя бы одну.
Брюс Шнайер
http://www.schneier.com
Послесловие Эндрю Банни Хуана, человека, который взломал Иксбокс
Хакеры – это исследователи, первопроходцы цифровых технологий. Неуемное любопытство побуждает их ставить под сомнение устоявшиеся стереотипы и браться за решение самых трудных задач. Ради развлечения хакеры готовы разобрать по винтикам самую сложную систему; отсюда как побочный эффект вытекает повышенный интерес к проблемам безопасности. Общество – это очень большая и сложная система, поэтому хакеры, естественно, не могли оставить его без внимания. В результате складывается стереотипное представление о хакерах как об иконоборцах, не вписывающихся в социальные рамки и готовых нарушить общепринятые правила чисто ради собственного развлечения. Когда я в 2002 году, будучи студентом Массачусетского технологического института, взломал защитную систему иксбокса, у меня и в мыслях не было бунтовать или причинять кому-нибудь вред. Я просто следовал бессознательному внутреннему порыву, какой заставляет, например, чинить сломанный айпод или из любопытства лезть на крыши и в туннели своего института.
К сожалению, тот факт, что хакеры не вписываются в рамки социальных норм, вкупе с «опасным» умением считывать радиомаячки на банковских картах или взламывать замки, приводит к тому, что многие боятся хакеров. Однако мотивация хакеров зачастую очень проста и сводится к принципам, знакомым каждому инженеру: я конструирую приборы, потому что мне нравится это делать. Меня часто спрашивают, зачем я взломал защитную систему иксбокса. Ответ мой прост: во‐первых, я купил эту игрушку, и теперь она моя. И никто не вправе диктовать, что мне можно, а чего нельзя делать с моими вещами. Во-вторых, потому что руки чешутся. Иксбокс – система достаточно сложная, а значит, разбираться с ней будет интересно. Мне было очень приятно поздними ночами копаться в ней, отдыхая от работы над диссертацией.
Мне повезло. Тот факт, что я взломал иксбокс, будучи студентом выпускного курса МТИ, оправдал мою работу в глазах нужных людей. Однако право быть хакером не должно принадлежать только студентам вузов. Я еще в начальной школе взламывал любые электронные устройства, какие попадали мне в руки, к немалому огорчению родителей. Мое домашнее чтение включало книги по моделированию ракет, артиллерии, ядерному оружию и методам изготовления взрывчатки. Я брал эти книги в школьной библиотеке – думаю, на комплектацию библиотек того времени сильно повлияла холодная война. А еще я вдоволь наигрался с самодельными фейерверками и облазил все окрестные стройплощадки – в городке на Среднем Западе, откуда я родом, возводилось много жилья. Занятия, возможно, не самые благоразумные, однако они наделили меня бесценным опытом, который пригодился в более зрелом возрасте. Терпимость и доверие близких помогли мне обрести свободный образ мыслей.
Современная атмосфера не так благожелательна к начинающим хакерам. Сюжет «Младшего брата» ярко показывает, с какой легкостью мы можем перенестись из нынешней действительности в мир, где полностью исчезла восприимчивость к новизне и инакомыслию. А недавние события показывают, как близко мы подошли к черте, за которой начинается мир «Младшего брата». Мне выпала удача прочитать ранний вариант этой книги еще в ноябре 2006 года. А всего через два месяца, в конце января 2007 года, бостонская полиция обнаружила два предмета, похожих на взрывные устройства, и закрыла город на целый день. Эти устройства оказались всего лишь печатными платами с мигающими светодиодными лампочками, их использовала в рекламной акции телекомпания Cartoon Network. Художников, сотворивших это урбанистическое граффити, арестовали и отдали под суд по уголовному делу; продюсерам телеканала пришлось раскошелиться на 2 миллиона долларов, чтобы замять дело, а глава компании был вынужден со скандалом уйти в отставку.
Так что же получается, террористы уже победили? Неужели мы настолько запуганы, что готовы подозревать в терроризме кого угодно: граффитчиков, мастеров-самодельщиков, хакеров, бунтарей, ничем не примечательную компанию ребят, играющих в «Харадзюку Фан Мэднесс»?
В медицине для таких нарушений есть особый термин – аутоиммунное заболевание. Оно возникает, когда защитная система организма становится чересчур активной, перестает распознавать собственные клетки и начинает их атаковать. В результате организм саморазрушается. Нынче Америка, пресытившись собственными свободами, вот-вот впадет в анафилактический шок, и мы должны сделать себе предохранительную прививку. Технический прогресс не спасет от паранойи, наоборот, только усилит ее, превратит нас в пленников нами же изобретенных устройств. Ежедневно миллионы людей вынуждены снимать верхнюю одежду и проходить босиком через рамки металлодетекторов, но и этим делу не поможешь. Подобные меры только лишний раз напоминают населению, что им есть чего бояться, однако решительного злоумышленника такими средствами не остановить.
На самом деле мы не можем надеяться, что придет некий герой и вернет нам утерянное ощущение свободы. Нет, никакой M1k3y не объявится и не спасет нас в день, когда свобода сменится паранойей. Потому что M1k3y живет в каждом из нас, и «Младший брат» напоминает, что, какие бы сюрпризы ни готовило нам будущее, свобода не добывается с помощью охранных систем, криптографии, допросов и обысков. Свободу можно завоевать только храбростью и самоотверженной решимостью жить свободно, стать свободным обществом, какие бы грозовые тучи ни маячили на горизонте.