Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер
0/0

Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер

Уважаемые читатели!
Тут можно читать бесплатно Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер. Жанр: Программирование. Так же Вы можете читать полную версию (весь текст) онлайн книги без регистрации и SMS на сайте Knigi-online.info (книги онлайн) или прочесть краткое содержание, описание, предисловие (аннотацию) от автора и ознакомиться с отзывами (комментариями) о произведении.
Описание онлайн-книги Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер:
Классический образ хакера – это специалист ИТ высочайшего класса, который знает несколько языков программирования, разбирается в устройстве систем безопасности и в два счета подберет пароль к вашему почтовому ящику. Он изучает системы для того, чтобы найти в них уязвимости и заставить работать в своих интересах. Однако взламывать можно не только компьютеры, но и социальные системы: от налогового законодательства до финансовых рынков и политики. В своей книге легендарный криптограф, специалист по кибербезопасности и преподаватель Гарварда Брюс Шнайер рассказывает о том, как могущественные, но неизвестные публике хакеры помогают богатым и влиятельным людям становиться еще богаче и манипулировать сознанием людей. Кроме того, он приводит огромное количество примеров хаков социальных систем: взломов тарифных планов для междугородних звонков, банкоматов, программ лояльности пассажиров, манипуляций на рынке элитной недвижимости и многих других. Прочитав ее, вы узнаете, как замечать взломы, и уже не сможете смотреть на мир по-прежнему. Для кого Для тех, кто хочет лучше понимать, как богатые и влиятельные люди меняют правила под себя и управляют общественным сознанием.
Читем онлайн Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер

Шрифт:

-
+

Интервал:

-
+

Закладка:

Сделать
1 ... 16 17 18 19 20 21 22 23 24 ... 63
заметно меньше людей. Розничные магазины в таких районах, как лондонский Мейфэр, были вынуждены закрыться, потому что 30 % квартир пустуют из-за офшорных отмывателей денег.

Исправления в данном случае столь же очевидны, как и сама уязвимость: нормативные изменения, которые приведут рынок недвижимости в соответствие с другими финансовыми системами. В 2016 г. министерство финансов США реализовало пилотную программу в 12 городах{80}, требующую, чтобы LLC (форма собственности, соответствующая российскому ООО) раскрывали своих бенефициарных владельцев при их создании. Это привело к 70 %-ному снижению объемов покупок недвижимости такими компаниями за наличные. Подобное требование можно сделать постоянным и общенациональным. Фактически, программа недавно была возобновлена и расширена, чтобы охватить новые рынки недвижимости. Федеральное правительство могло бы распространить банковское правило «Знай своего клиента» на бенефициаров подставных компаний. Кроме того, правительству явно пора изменить «временное» правило{81}, введенное лоббистами в федеральный закон 2001 г. о сдерживании террористических актов, согласно которому покупатели недвижимости освобождаются от детальной проверки.

Однако политического желания что-то менять в этой сфере пока не наблюдается, разве что конфликт России с Украиной может немного сдвинуть ситуацию в Великобритании. Причина инертности – провластные интересы. Существует целый ряд отраслей – девелопмент, строительство и т. д., – которые получают выгоду от нерегулируемой продажи элитной недвижимости. И мало кто из власть имущих выиграет от таких перемен. На другой чаше весов – увеличение налоговых поступлений, повышение доступности жилья, увеличение площади жилого фонда и сокращение возможностей для отмывания денег. Иными словами, все то, чего хотят остальные.

Сегодня отмывание денег через недвижимость – это настолько обыденное дело, что его уже трудно назвать хаком. То же самое можно сказать и о предметах искусства. Существует хак, который заключается в том, чтобы купить произведение искусства по дешевке, завысить его стоимость при оценке, а затем передать его в дар музею, чтобы списать налоги. При этом обществу, которое недосчиталось налоговых поступлений, наносится вред.

21

Нормализация социальных хаков

Думая о хакинге, мы часто представляем себе, что хаки быстро блокируются разработчиками системы, которые исправляют ее уязвимости. Это то, что обычно происходит с компьютерными взломами. Я пишу эти строки в мае 2022 г., и вот три уязвимости, информация о которых недавно появилась в прессе.

● Cisco объявила о многочисленных уязвимостях{82} в своем программном обеспечении для Enterprise NFV Infrastructure Software. Одна из уязвимостей могла позволить злоумышленнику перейти с гостевой виртуальной машины на хост-компьютер и тем самым поставить под угрозу все сетевые хосты.

● Компания F5, специализирующаяся на безопасности облачных вычислений, предупредила своих клиентов{83} о 43 уязвимостях, затрагивающих четыре ее продукта. Одна из них «могла позволить неавторизованному злоумышленнику с сетевым доступом к системе BIG-IP через порт управления и/или собственные IP-адреса выполнять произвольные системные команды, создавать или удалять файлы или отключать службы».

● Корпорация AVG сообщила об обнаружении{84} двух серьезных уязвимостей в своих антивирусных продуктах, которые скрывались в коде с 2012 г. Обе уязвимости могли позволить злоумышленникам отключать защитное программное обеспечение или вмешиваться в работу операционной системы клиента.

В каждом из этих случаев уязвимость обнаруживали либо сами производители, либо исследователи, которые в частном порядке сообщали о ней разработчикам системы, те в свою очередь вносили исправления, и только после этого информация раскрывалась, а вместе с ней и тот факт, что система больше не уязвима.

В компьютерной безопасности для подобных случаев у нас есть термин – «ответственное раскрытие информации». Противоположную ситуацию описывает другой термин – «уязвимость нулевого дня». Это такая уязвимость, которая тайно обнаруживается преступниками, правительствами или хакерами, которые продают информацию о ней преступникам или правительствам. При этом организация, отвечающая за систему, ничего не знает об уязвимости до тех пор, пока не обнаружит реально функционирующий на ней эксплойт. В таких случаях предупреждений не может быть в принципе.

Ни в одном из хаков, которые мы обсуждали в предыдущих главах, ни в большинстве других примеров, приведенных в этой книге, не было ответственного раскрытия информации. Для некомпьютерных систем это норма. Когда менеджер хедж-фонда обнаруживает возможность выгодного взлома финансовой системы, он не предупреждает регулирующий орган, чтобы тот внес исправления. Он использует его в своих интересах до тех пор, пока правительственный орган сам не заставит его прекратить это делать.

Вот как выглядит процесс в целом. Сначала обнаруживается уязвимость, которая позволяет хакнуть систему посредством эксплойта. Постепенно хак становится все более популярным. Это может происходить медленнее или быстрее в зависимости от типа самого хака, от того, что именно он делает, насколько прибыльным может быть, от распространенности взламываемой системы, от скорости распространения информации о хаке и т. д. В какой-то момент управляющий орган системы узнает о взломе и может отреагировать одним из двух способов. Во-первых, он может изменить правила системы, чтобы предотвратить хак, поставив системный патч. Во-вторых, он может внедрить хак в систему, по сути нормализовав его. После такой нормализации хак иногда умирает естественной смертью, поскольку все начинают его копировать и всякое конкурентное преимущество теряется.

История финансового хакинга – это история нормализации хаков{85}. Кто-то изобретает хак и зарабатывает огромные деньги. Другие копируют его действия и тоже получают прибыль. Затем регуляторы замечают взлом и вмешиваются. Иногда они объявляют хакинг незаконным и осуждают хакеров, но чаще всего задним числом они одобряют хаки. В этот момент хаки перестают быть таковыми и становятся нормальной частью финансовой деятельности. Процесс нормализации не всегда происходит преднамеренно. Как и в случае с хедж-фондами, некоторые взломы просто игнорируются системой и в результате ее бездействия пассивно нормализуются.

Это может иметь положительные последствия, как в случаях с NOW-счетами и депозитными сертификатами, которые стали настоящими инновациями в финансах, но у всего есть цена. Многие хаки, описанные в предыдущих главах, нарушают принцип справедливости рынка, нацеливаясь на информацию, право выбора или свободу действий. Такие хаки не столько инновационные, сколько подрывные. Их нормализация свидетельствует лишь о том, что богатые люди имеют возможность добиваться своего за счет всех остальных.

Нормализация – явление не новое{86}, так же как и игра в кошки-мышки между хакерами и регуляторами. В Средние века и католические, и светские власти вводили строгие ограничения на процентные займы, поскольку они считались греховными. По мере развития банковского дела как профессии богатые банкиры начали обходить эти ограничения с помощью все более изощренных методов. К ним относились фальсификация учетных книг, ошибочная классификация запрещенной ростовщической ссуды как разрешенной, а также маскировка процентов по этой ссуде под подарки ростовщику от заемщика. Одним из хаков того времени был «сухой морской заем», который превращал запрещенный заем в разрешенный, связывая его с произвольным морским путешествием.

Реакция на эти средневековые ростовщические хаки перекликается со всем, о чем говорилось выше. В период с XII по XIV в. католическая церковь обновила свои правила ростовщичества для борьбы с финансовыми инновациями, такими как «сухой морской заем», создала более сложные механизмы обеспечения правоприменения и ужесточила наказания для осужденных ростовщиков. Но состоятельные люди и тогда умели защищать свои источники прибыли. Богатые гильдии обладали ресурсами и опытом для создания таких финансовых продуктов, которые успешно ускользали из-под церковного контроля. И постепенно возникла новая форма захвата регулятора, когда церковь принимала пожертвования и финансовую реституцию от нарушителей, стимулируя развитие ростовщичества. По сути, современное банковское дело зародилось в 1517 г. на Пятом Латеранском соборе, где произошла нормализация выгодного системе хака. Если вы хоть раз брали ипотеку, финансировали обучение или начинали бизнес с помощью кредита, вы должны быть благодарны за эту нормализацию хака. (Собор также легализовал ломбарды – на случай, если вам доводилось прибегать к услугам и этой системы.)

Сегодня нормализация кажется обычным явлением. Я уверен, что большинство хаков высокочастотной торговли были бы признаны незаконными, появись они 100 лет назад. И я также уверен, что инсайдерская торговля, возникни она в последние десятилетия, была бы сегодня вполне законной.

22

1 ... 16 17 18 19 20 21 22 23 24 ... 63
На этой странице вы можете бесплатно читать книгу Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер бесплатно.

Оставить комментарий

Рейтинговые книги