Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер
- Дата:20.09.2024
- Категория: Компьютеры и Интернет / Программирование
- Название: Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах
- Автор: Брюс Шнайер
- Просмотров:0
- Комментариев:0
Шрифт:
Интервал:
Закладка:
35
Скрытые положения в законодательстве
Когда российская Служба внешней разведки взломала компанию SolarWinds и внедрила бэкдор в обновление программного обеспечения Orion, 17 000 или около того пользователей установили это поврежденное обновление и непреднамеренно предоставили СВР доступ к своим сетям. Это огромное количество сетей, и совершенно немыслимо, чтобы СВР попыталась проникнуть в каждую из них. Вместо этого она тщательно перебирала содержимое своего улова, отбирая наиболее ценные и перспективные жертвы.
Такой прием известен как «атака по цепочке поставок». СВР атаковала не какую-то одну из сетей, а программную систему, которую использовали все эти сети. Атака по цепочке поставок – это умный способ атаковать системы, поскольку она может затронуть тысячи людей одновременно. Другие примеры такого рода атак: взлом магазина Google Play с целью размещения в нем поддельного приложения или перехват сетевого оборудования в системе почты для установки подслушивающих устройств{148} (этим занимается АНБ).
Аналогичным образом можно представить себе хакинг законодательного процесса. В предыдущих главах мы познакомились с тем, как хакеры находят и используют уязвимости в законах после их принятия. Но хакеры могут атаковать и сам законодательный процесс. Подобно взлому обновления программного обеспечения для управления сетью Orion хакеры могут намеренно внедрять уязвимости в готовящееся законодательство и использовать их в своих интересах, если оно будет принято.
В некотором смысле это более высокий уровень хакерских атак. Вместо того чтобы находить уязвимости в законах и нормативных актах, такой хакинг направлен против самого процесса создания законов и нормативных актов. Только по-настоящему сильные хакеры могут делать такие вещи.
Это не просто взлом системы. Это взлом средств ее исправления.
Лазейки в законах – явление распространенное, но большинство из них не квалифицируются как хаки. Это преднамеренные исключения из более общего правила, созданные для поддержки определенной политической цели, спокойствия конкретных групп избирателей или в качестве компромисса между самими законодателями. Для примера можно привести закон 2004 г., пролоббированный компанией Starbucks{149}, который признает обжарку кофейных зерен внутренним производством со всеми вытекающими, или, на более общем уровне, антимонопольные исключения в отраслях, требующих координации между участниками{150}, например в спортивных лигах. Эти меры не являются непреднамеренными и непредвиденными. Они не пытаются перехитрить систему создания, обсуждения и принятия законов. Как таковые они не являются хаками.
Но это не означает, что законодательный процесс, создающий эти лазейки, не взламывается постоянно. Все, что необходимо для такого хака, – это добавить в законопроект стратегически продуманное и точно сформулированное предложение. Это предложение может ссылаться на другие законы, а уже их взаимодействие может привести к определенному, непредвиденному для всех результату.
Целая индустрия лоббистов от лица своих спонсоров занимается разработкой таких непредвиденных результатов. В 2017 г. в процессе разработки Закона о сокращении налогов и увеличении занятости более половины вашингтонских лоббистов сообщили, что они работают исключительно над налоговыми вопросами. Это более 6000 профессионалов, то есть в среднем по 11 лоббистов на каждого члена конгресса{151}.
Например, долговое соглашение 2013 г., принятое конгрессом, включало следующую формулировку: «SEC. 145. В подраздел (b) статьи 163 Публичного закона 111–242 с поправками внесены дополнительные изменения: "2013–2014" меняется на "2015–2016"». Это, казалось бы, безобидное положение, внесенное сенатором Томом Харкином, оказалось скрытым подарком для Teach For America[24]{152}. По сути, эта поправка продлила на два года действие другого законодательного акта, от которого выигрывали студенты, участвующие в программах подготовки учителей, в том числе рекруты Teach For America.
В 2020 г. конгресс принял Закон о помощи, поддержке и экономической безопасности в период коронавируса (CARES) на $2 трлн о мерах стимулирования экономики в условиях пандемии. На странице 203 законопроекта было внесено изменение, согласно которому инвесторы в недвижимость могли компенсировать свои убытки{153}. Эта налоговая льгота принесла магнатам недвижимости, таким как действующий на тот момент президент Дональд Трамп, прибыль в размере $17 млрд в год, которые могли стать налоговыми поступлениями. Положение не имело никакого отношения к COVID-19, а налоговая льгота, имевшая обратную силу, охватывала период, начинавшийся задолго до появления коронавируса. Спешка и скрытность помогли протащить это положение в законопроект. Его текст был окончательно доработан менее чем за час до голосования, что позволило республиканцам, входившим в рабочую группу законопроекта, добавить нужное положение буквально в последний момент.
Главная уязвимость законодательного процесса состоит в том, что законопроекты – это чрезвычайно большие и сложные документы, которые содержат множество положений без четко обозначенных последствий. Эксплойт внедряется в законопроект таким образом, чтобы законодатели этого не заметили. Нам кажется, что для такого рода махинаций требуется соучастие члена конгресса, который осознает последствия своего вклада в законопроект, но на самом деле внедрить эксплойт способен и рядовой сотрудник, не понимая того, что делает, и даже лоббист, разрабатывающий формулировку, которая в итоге попадет в текст закона.
Это настолько распространенная практика{154}, что язык не поворачивается назвать ее хакингом. За последние десятилетия власть все больше концентрировалась в руках лидеров политических партий в каждой из палат в ущерб законодательным комитетам, что способствовало установлению закрытого и непрозрачного законодательного процесса. Такое положение дел в сочетании с тем, что конгресс стал принимать меньше крупных законопроектов по сравнению с прошлыми сессиями, дает широкие возможности для внедрения скрытых положений, выгодных привилегированному классу и отраслям. Эта ситуация даже обыгрывается в одном из эпизодов «Симпсонов», когда клоун Красти избирается в конгресс{155} и протаскивает поправки в закон об управлении воздушным движением через законопроект об обеспечении флагами сирот.
Исправлять подобные хаки непросто. Несмотря на то что юридический текст устроен аналогично компьютерному коду, процессы их написания и применения заметно отличаются друг от друга. Компьютерный код пишет группа людей в соответствии с общим планом, как правило, под руководством одной компании или конкретного человека. Программисты четко понимают, что должен делать их код, в каких случаях он не должен этого делать, а в каких – не может сделать то, что должен. И только они имеют право исправлять ошибки в своем коде.
Законотворчество устроено иначе. Оно децентрализованно на каждом из уровней. В демократическом обществе закон пишется представителями разных конкурирующих сил. У них разные цели и разные мнения о том, что должен делать закон. Даже если все хорошо понимали, за что они голосовали, в тексте больших законопроектов неизбежны лазейки, которые одни законодатели назовут ошибкой, а другие воспримут как полезную фичу.
Скрытые положения и уязвимости, которые они представляют, были бы меньшей проблемой, если бы правила палаты представителей и сената предусматривали некое минимальное количество времени для рассмотрения законопроекта, возможно пропорциональное объему документа, после того как его текст был окончательно доработан и опубликован. Скрытые положения перестают быть скрытыми, если они обнаружены, тщательно изучены и преданы огласке активными СМИ в такой срок до принятия закона, чтобы подстегнуть изменения или как-то компенсировать политические издержки. Предоставление разумного минимального количества времени для рассмотрения резонансных законопроектов и требования поправок к ним дают некоторый шанс обнаружить скрытые положения, которые в противном случае не будут выявлены.
В рамках 97 рекомендаций по оптимизации работы палаты представителей США{156} Специальный комитет по модернизации конгресса предложил в 2019 г. «разработать новую систему, которая позволит американскому народу легко отслеживать, как именно поправки изменяют законодательство и какое влияние предлагаемые законопроекты окажут на действующий закон». По сути, такая система отслеживания изменений в законодательстве расширяет более ранний проект под названием Comparative Print Project.
Цель этой инициативы состоит в том, чтобы облегчить{157} просмотр и понимание законодательных изменений, что, в свою очередь, способствует обнаружению скрытых положений. Это, конечно, не решит проблему, в том числе потому, что комитет предлагает открыть информационный доступ только к «офисам палаты представителей», но в любом случае это был бы шаг в правильном направлении. Подобный ресурс, доступный для общества, в сочетании с мерами по обеспечению достаточного времени для рассмотрения законодательных актов может стать еще более действенным.
Но просто выделить время недостаточно; необходимо
- Сломанный код. Внутри Facebook и борьба за раскрытие его вредных секретов - Джефф Хорвиц - Деловая литература / Прочая документальная литература
- Даниэль Деронда (С иллюстрациями) - Джордж Элиот - Остросюжетные любовные романы
- Конституция Российской Федерации. Гимн, герб, флаг - Законодательство России - Юриспруденция
- Комментарий к Федеральному закону «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» (постатейный) - Андрей Кирилловых - Юриспруденция
- Секреты и ложь. Безопасность данных в цифровом мире - Брюс Шнайер - Прочая околокомпьтерная литература