«Это и есть та самая суперсила, которая всего пару лет назад существовала только в научной фантастике» – говорит Грубер. А я спрашиваю у него, использует ли создатель Siri в повседневной жизни свой собственный ИИ? И как?
«О, конечно же, постоянно, – отвечает он. – Использую по двадцать или тридцать раз в день. То есть просыпаюсь: что там на дорогах, пробки? Называю приложение – оно открывается. Переписываюсь с помощью Siri со множеством людей. Надо сделать звонок – называю имя человека. Siri читает мне оповещения, уведомляет о сообщениях и, конечно же, управляется с навигацией. Сажусь в машину. Смотрю, что сегодня в планах. По пути на работу надо заехать на заправку. „Siri, где находится такая-то заправочная станция? Отвези меня на работу“. Приезжаю на работу. „Siri, во сколько моя следующая встреча?“ Ну, или знаете: „Перенеси встречу с двух на три“. То есть всякие мелочи на протяжении всего дня».
И, наконец, настал момент задать самый интригующий вопрос: «Вы знаете Siri лучше, чем оно знает вас? Или же Siri знает вас лучше?»
«Забавный вопрос. Боюсь, мы сейчас на той стадии в развитии технологии, когда вернее сказать, что я знаю Siri лучше, чем она меня, – отвечает Грубер. – Но мне бы хотелось вскоре повернуть всё иначе».
Глава 11Безопасное хранилище
Через полчаса после того, как я появился на Def Con[53], мой телефон взломали.
Первое правило при посещении крупнейшей в Северной Америке хакерской конференции – отключайте на всех ваших устройствах Wi-Fi и Bluetooth. Я не отключил ни то, ни другое. Очень скоро мой телефон без моего ведома присоединился к общественной Wi-Fi-сети.
У меня начались неполадки с Safari, когда я попытался поискать что-то в Google: вместо поиска страница зависла, загружая параллельно, как мне показалось, ещё одну страницу.
Чем хорошо, когда тебя взламывают на Def Con, – под боком всегда есть тысячи профессионалов по защите информации, большинство из которых с радостью и в деталях обрисует то, как вас взломали.
«Скорее всего, вы подхватили Pineapple, – сообщает мне Ронни Токазовски, специалист по защите информации из компании кибербезопасности PhishMe, расположенной в Западной Вирджинии. Мы беседуем в немного нелепом, якобы под открытым небом, буфете во французском стиле – такой можно отыскать только в казино Лас-Вегаса. К нам присоединился бывалый хакер (и волшебник) Терри Ноулз и отец с сыном из Миннесоты: папа – стоматолог, а Дон приехал на Def Con.
– Pineapple работает таким образом, что когда ваш телефон посылает сигнал, чтобы найти точку доступа, вместо этой самой точки Wi-Fi, говорящей: «Я – нужное тебе соединение», – беспроводной Pineapple говорит: «Ага, вот он я, давай присоединяйся», – объясняет Токазовски. – Как только вы подключитесь к Pineapple, вашим соединением можно пользоваться, можно перенаправить ваш трафик куда угодно, можно его вскрыть, можно украсть ваши пароли.
– То есть взломщики могут видеть, что я делаю на моём телефоне, – уточняю я.
– Ага.
– А могут ли они что-то изменить на моём телефоне?
– Они могут просматривать трафик, – говорит он, подразумевая перехват данных, проходящих через сеть. – Как только вы присоединяетесь к сети, они могут попытаться атаковать ваш телефон… Но вообще Pineapple по большей части для того, чтобы рыться в трафике.
К примеру, если я зашёл на Gmail[54], хакеры могут перенаправить меня в какое-либо другое место, на любой нужный им сайт. Они могут запустить атаку «посредника». «Если вы зайдёте на Facebook или обратитесь к своему банковскому счёту, они также смогут увидеть вашу информацию, – рассказывает он. – Так что вот, будьте осторожней и не подключайтесь к какому попало Wi-Fi».
Хорошо, но насколько часто такое встречается?
«Pineapple? – спрашивает Ронни. – Я могу купить один за сто или сто двадцать баксов. Они очень, очень-очень часто встречаются. Особенно здесь».
Def Con – одно из самых крупных и скандально известных хакерских сборищ в мире. Раз в год на одни выходные в Лас-Вегас съезжаются двадцать тысяч хакеров, чтобы послушать выступления светил данной сферы, пересечься с коллегами, разузнать о новейших вредоносных программах и системных уязвимостях и, конечно, взломать всех, кого только можно.
К тому же это самое лучшее место, если вы решили разузнать что-либо о проблемах безопасности, с которыми сталкиваются iPhone и их пользователи по всему миру. Так как всё больше людей используют смартфоны в качестве основного интернет-устройства и решают через них большинство своих личных вопросов, смартфоны всё чаще становятся целью атак хакеров, похитителей личных данных и негодующих бывших любовников.
Ранее младшая сестра Def Con, небольшая более дорогостоящая и узкоспециализированная Black Hat, сделала неожиданное заявление, что глава техники и архитектуры безопасности Apple, Иван Крстич, выступит там с публичным докладом о безопасности iOS.
В декабре 2015 года Сайед Ризван Фарук и Ташфин Малик, семейная пара, которая объявила, что действует от имени ИГИЛ, расстреляла четырнадцать людей и серьёзно ранила двадцать одного человека на рождественской вечеринке в департаменте здравоохранения Сан-Бернардино, где работал Фарук. Массовый расстрел был объявлен террористическим актом и стал для того времени самой кровопролитной атакой со времён 11 сентября.
В ходе расследования ФБР обнаружила iPhone 5c. Он был собственностью округа и поэтому считался государственной собственностью, – однако им пользовался Фарук, который заблокировал его, установив личный пароль. ФБР не смогли разблокировать телефон.
Скорее всего, ваш телефон тоже защищен паролем (а если вы относитесь к тем 34 % пользователей, которые не используют пароль на смартфоне, то вам стоит одуматься!), и пароль содержит от четырёх цифр (слабый) до шести (новая опция по умолчанию) или более символов. Если вы введёте неверный код, экран зажужжит и затрясётся, напоминая звук торпеды из старых научно-фантастических фильмов. Таймер отсчитает восемьдесят миллисекунд прежде, чем вы сможете повторить попытку. Каждый раз, когда вы будете ошибаться, программа будет отмерять всё больше времени до следующей попытки, пока не заблокирует телефон окончательно.
У хакеров есть два основных подхода пробиться сквозь пароль. Первый – с помощью социальной инженерии: подсматривать (или «разнюхивать»), чтобы собрать достаточное количество информации и угадать верный пароль. Второй – брутфорс, или метод полного перебора: поочерёдное угадывание каждого символа комбинации до тех пор, пока не найдётся правильный. Хакеры – и органы безопасности – используют ПО высокой сложности для угадывания пароля, но всё равно им может потребоваться не один десяток лет на выполнение работы. (Представьте, сколько потребуется времени, чтобы опробовать каждую возможную комбинацию на Master Lock[55].) Так как Фарук погиб (в перестрелке с полицией), ФБР пришлось прибегнуть к методу перебора, чтобы вскрыть его телефон.
Но iPhone разработан таким образом, чтобы противостоять перебору, и последние модели удаляют ключ шифрования, делая данные абсолютно недоступными. Поэтому ФБР пришлось искать обходной путь. Сперва они обратились к Агентству национальной безопасности (АНБ) с просьбой взломать телефон. АНБ не справилось с этой задачей, и тогда они попросили Apple разблокировать его. В Apple отказались, чем создали широкий общественный резонанс, по сути, заявив: «Мы не смогли бы выполнить вашу просьбу, даже если бы сами того хотели. Да мы и не хотим».
Apple не знают ваш персональный пароль: он хранится на вашем телефоне в зоне, называемой Безопасным хранилищем, и связан с идентификационным номером исключительно вашего iPhone.
Компания сказала, что разрабатывает аппаратное и программное обеспечение iPhone с приоритетной целью защитить личное пространство пользователей, и множество экспертов по кибербезопасности соглашаются, что их устройства – одни из самых защищённых на рынке. Одна из причин состоит в том, что Apple не знают ваш персональный пароль: он хранится на вашем телефоне в зоне, называемой Безопасным хранилищем, и связан с идентификационным номером исключительно вашего iPhone.
Такие меры максимизируют безопасность потребителя, но вместе с тем оставляют на шаг позади государственные агентства, такие как ФБР и АНБ, которые настаивают на том, чтобы технологические компании оставляли чёрные ходы (способы тайного доступа к пользовательским данным) на своих устройствах. В документах, слитых бывшим сотрудником АНБ, разоблачителем Эдвардом Сноуденом, обнаружилось, что АНБ принуждало крупнейшие технологические компании участвовать в программах вроде PRISM, которые позволяли агентству получать доступ к пользовательским данным. В документах также зафиксировано, что в 2012 году Apple (наряду с Google, Microsoft, Facebook, Yahoo! и прочими технологическими компаниями) принимала в них участие, хотя сама компания это отрицает.
Так что, когда ФБР попросили Apple обеспечить им доступ к телефону Фарука, компания попросту не имела никакой возможности дать им пароль. Но. Код, который активирует временные промежутки между неудачными попытками ввода, является частью операционной системы iPhone. Поэтому ФБР выдвинули немыслимое (и, возможно, беспрецедентное) требование: они настойчиво попросили Apple взломать их собственный первоклассный продукт, чтобы они, ФБР, смогли проникнуть в телефон убийцы. Судебное распоряжение, полученное ФБР, обязывало Apple написать новое программное обеспечение, создающее, по сути, специальную версию iOS (программу, прозванную специалистами по безопасности FBiOS), которая будет подавлять систему задержки повторного ввода, не дающую взламывать с помощью брутфорса.