Отказ принимать что-либо или ассоциироваться с чем-либо: она отреклась от политики, связанной с Советом джедаев.
Отрицание истинности или обоснованности: Мофф опроверг утверждение, что Альдераан был мирной планетой.
Решение о недействительности соглашения: Император отрекся от Сената и уничтожил последние остатки старой Республики.
Отказ выполнить или погасить соглашение, обязательство или долг: Дарт Вейдер отказался от своего согласия оставить Облачный город нейтральным.
Полезно понимать, что понятие отказа пересекается с мошенничеством. Не всякое мошенничество является отказом, и не всякий отказ является мошенничеством. Например, я могу продать вам поддельную сумку Gucci, что является мошенничеством, и если я утверждаю, что не знал, что это подделка, это означает, что я отказываюсь от товара. Там, где эти явления пересекаются, рано или поздно в игру могут вступить правила общества относительно мошенничества, искажения фактов или воровства. Важным этапом в таких процессах часто является подача жалобы в полицию. Это может стать прекрасной конечной точкой для ваших технических проектов. Давным-давно один мой друг написал, что включать в свои протоколы этап «а потом появляются полицейские» – это сомнительная идея. Это правда: если вы можете разработать и использовать системы, в которых мошенничество невозможно или нет необходимости вызывать полицию, то эти системы, вероятно, будут более устойчивыми и безопасными, чем те, в которых полиция регулярно участвует в разрешении споров. Кроме того, вы опережающим образом несете расходы на безопасность, и они могут быть больше, чем отсроченные затраты и защита меньшего количества транзакций. Помимо этого, «обращение в полицию» имеет много важных свойств, в том числе то, что лгать полиции обычно является преступлением и что полицейские обучены расследовать: устанавливать факты, оценивать достоверность свидетелей и т. д. Таким образом, полицейский отчет является авторизованным отказом от многих долгов, возникших в результате кражи личных данных. Отказ Вейдера от сделки с Лэндо – это просто отказ, а не мошенничество.
В этой главе мы сосредоточимся в первую очередь на отказе как угрозе безопасности, но я хотел бы упомянуть еще два аспекта этого слова.
Можно отказаться от прошлых действий: «Я больше не буду напиваться и кричать». (Здесь отказ подразумевается, но, конечно, гораздо важнее, если кто-то выходит за рамки простого отказа и извиняется за такое поведение.) Во-вторых, отказ представляет собой интересную с философской точки зрения угрозу, потому что в сфере безопасности угроза – это отказ, а в сфере неприкосновенности частной жизни угроза – это невозможность отказа. То есть, чтобы сохранить неприкосновенность нашей частной жизни, мы хотим иметь возможность отрицать слова, действия, ассоциации и другие аспекты нашего «я» или нашего социального окружения. Мы хотим, чтобы наша связь с Повстанческим альянсом оставалась конфиденциальной. Наконец, поскольку «отказ от ответственности» – это необычное выражение, может быть неловко использовать его в предложении. Чтобы помочь вам увидеть набор угроз, я иногда использую вместо него другое слово, чтобы прояснить, что отвергается (оспаривается), и заключаю то или иное в скобки.
Эта глава начинается с отказа от сообщений, включая отрицание отправки или получения этих сообщений («Это было не от меня!»). После этого мы рассмотрим мошенничество со стороны продавцов и покупателей, проблемы с посредниками и захват аккаунтов, нагромождение иллюзий, из которого невозможно выбраться. Каждый из этих случаев важен как потому, что мошенничество часто приводит к отказу, так и потому, что средства защиты похожи. Мы рассмотрим клонирование голоса и дипфейки. Они делают более вероятным отказ от записей. Кто-то может сказать: «Я никогда этого не говорил; это был дипфейк». Затем мы переходим к игре в «вечный шах» с атаками на журналы, атаками через журналы и атаками, использующими реакцию на мошенничество и отказ. Мы рассмотрим, как отказ взаимодействует с различными технологиями, особенно с облачными, с искусственным интеллектом и, в частности, с криптографией и блокчейнами. Закончим главу упоминанием о защитах.
Угроза: Отказ
Отказ от прошлого поведения может произойти между людьми.
Гранд-мофф Таркин. Раз вы не хотите сообщить нам местоположение базы повстанцев, я решил испытать силу станции на вашей родной планете Альдераан.
Принцесса Лея Органа. Нет! Альдераан – это мирная планета, вы не можете…
Таркин. Вы бы предпочли другую военную цель? Тогда скажите. Я в последний раз спрашиваю вас, принцесса. Где база повстанцев?
Лея. Дантуин. На Дантуине.
Таркин. Видите, лорд Вейдер, она очень благоразумна. Продолжайте операцию, огонь без предупреждения.
Лея. Что?!
Таркин. Вы доверчивы. Дантуин слишком далеко для демонстрации силы. Но не волнуйтесь, вашими друзьями мы тоже займемся.
Здесь мы видим, что Таркин предлагает сделку: назовите другую систему. Тут же он отказывается от сделки, которую только что заключил, демонстрируя свою злобность. Мы не отказываемся от своего суждения о его природе, когда мы – и он – узнаём, что Лея солгала.
Отказ также может произойти между человеком и организацией, часто через каналы поддержки клиентов организации. Клиент может отказаться от получения товара или заявить, что это было не то, чего он ожидал.
Существует интересный вариант отказа в разработке и эксплуатации, связанный с вопросом о том, какой код был в продакшне. Например, кто-то может сказать: «Этого не должно было произойти с новой версией данной библиотеки». Часть пользы, которую мы получаем от DevOps, заключается в том, что изменения проходят через систему управления изменениями, и поэтому становится намного проще проверить точность утверждения того, кто говорит: «Я этого не делал», – ведь ошибку в исполнении конфигурационного файла легче заметить. Более частыми случаями являются отказ от сообщений и мошенничество, и мы подробно рассмотрим их. Многие из этих схем имеют названия, часто безумные, например «чистка щеткой» или «испанский узник»… Джедаи не беспокоятся о таких вещах.
Пожалуй, самая распространенная ложь на сегодняшний день звучит так: «Я не видел вашего письма». Это обычное дело, люди часто упускают из виду сообщения, так что это правдоподобно. Даже если у вас есть «уведомление о прочтении», возможно, получатель отвлекся?
Близким, но менее частым является «Я не хотел рассылать это всем» после язвительного ответа. Первое – это отказ от уведомления о прочтении, второе – запоздалый отказ от намерения поставить в копию всех, или, возможно, неявный отказ от язвительного тона, или надежда избежать (отказаться от) ответственности.
Сообщения могут быть потеряны или съедены спам-фильтром. Чек мог быть отправлен по почте, потерян сортировочной машиной или унесен порывом ветра. (Такое случается крайне редко, но в масштабе один на миллион – уже чаще.)
Более тонкими, чем отрицание доставки, являются заявления о том, что данные были подделаны, то есть отрицание ответственности за содержание или целостность сообщения. Каждая копия сообщения, документа или файла может отражать или не отражать состояние в момент их создания. Некоторые сообщения подписываются цифровой подписью различных посредников, что помогает управиться со спамом. Например, бóльшая часть электронной почты сегодня подписана DKIM. Это расшифровывается как Domain Key Identified Mail – электронное письмо с доменными ключами (и этого не будет на моем экзамене). DKIM – это стандарт, который используется для уменьшения спама в электронной почте. Таким образом, бóльшая часть электронных писем сегодня подписана, но для проверки этих подписей требуется идеальная копия отправленного письма, включая заголовки сообщений, которые во многих системах не отображаются по умолчанию. Таким образом, копия, распечатанная вашим почтовым клиентом, не может быть проверена на цифровую подпись. Сохранить доказательства на удивление сложно.
Злоумышленник может создавать сообщения и просто приписывать их кому-то другому, требуя, чтобы кто-то другой сказал: «Это был не я», – опровергая атрибуцию. Но иногда они могут повторно отправить реальное сообщение, например «Я видел ваше сообщение, и давайте продолжим» или «Вы уволены», таким образом, что оно будет прочитано вне контекста. Если это сообщение подписано цифровой подписью, то первоначальный отправитель хочет опровергнуть контекст, в котором его слова представлены в неверном виде. Это удаление контекста также легко сделать с помощью скриншотов с телефона. Многие современные криптографические протоколы включают в себя криптографические дайджесты всех предыдущих сообщений, чтобы смягчить такого рода проблемы.
Какими бы распространенными ни были эти утверждения, они становятся более значимыми, когда сообщение представляет собой посылку или чек: «Я не получил вашу посылку» или «Чек отправлен по почте». Последнее представляет собой отрицание неплатежа или отрицание того, что другие действия или счета имеют приоритет. Когда речь идет об электронной почте, в Microsoft Exchange есть функция отзыва сообщений, которая не работает после того, как сообщение отправлено на другой почтовый сервер. (Этот второй почтовый сервер может находиться за пределами вашего домена. Может быть, другие серверы Exchange хорошо к нему относятся, но я не разыскиваю свой ответ, потому что вы понятия не имеете, что на самом деле делает почтовый сервер с вашим сообщением, и мне не хотелось бы отзывать свой ответ, когда Microsoft изменит поведение серверов Exchange.)
Мошенничество – это большая сложная тема, и заманчиво упростить ее, ограничив этот раздел мошенничеством против розничных продавцов, но есть и другие формы мошенничества, которые являются поучительными и, что более важно, относятся к тому, что должен знать каждый инженер. К таким формам относится мошенничество в отношении работодателя. Оно может быть либо простым, направленным против бухгалтерских систем (именно там находятся деньги), либо злоупотреблением или неправильным использованием обязанностей, ожиданий или ответственности, связанных с должностью. Иногда в них участвует сообщник, напри