Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер
- Дата:20.09.2024
- Категория: Компьютеры и Интернет / Программирование
- Название: Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах
- Автор: Брюс Шнайер
- Просмотров:0
- Комментариев:0
Шрифт:
Интервал:
Закладка:
В качестве альтернативы имеет смысл использовать опыт «красных команд» применительно к законопроектам: специализированные группы, играющие роль частных компаний или правящих элит, должны хакать готовящееся законодательство и обнаруживать ранее неизвестные уязвимости.
Хотя оба этих подхода могут оказаться полезны, они сталкиваются с основной проблемой современного законотворчества, а именно с тем фактом, что законопроекты часто пишутся в обстановке секретности относительно небольшим числом законодателей и лоббистов и многие лазейки в них создаются намеренно. Представьте себе, что «красная команда» находит уязвимость в налоговом законопроекте. Это ошибка или особенность, баг или фича? Кому решать? И на каком основании? Кроме того, многие законопроекты принимаются конгрессом сразу после их публикации, что делает невозможным внимательное прочтение документов, тогда как «красной команде» для работы и принятия мер на ее основе требуется время.
Например, Закон о сокращении налогов и увеличении занятости 2017 г. был поставлен на голосование всего через несколько часов после того, как законодатели бегло ознакомились с его окончательным текстом. Это было сделано намеренно: авторы не хотели, чтобы у профессионалов было достаточно времени для тщательного изучения законопроекта. Аналогичным образом Закон о помощи, поддержке и экономической безопасности в период коронавируса (CARES) был опубликован{158} в 14:00 21 декабря 2020 г. Несмотря на то что законопроект насчитывал 5593 страницы, он был принят в палате представителей вечером того же дня, около 21:00, а уже к полуночи прошел голосование и в сенате. Законопроект содержал, к примеру, положения о малоизученных «налоговых расширениях» и постоянном снижении стоимости акцизов для «производителей пива, вина и дистиллированных спиртных напитков», что, по оценкам, обошлось казне в $110 млрд{159}. Многие законодатели просто не знали о многочисленных налоговых лазейках, которыми пестрел документ.
Возможно, нам придется подождать, пока искусственный интеллект со свойственной ему нечеловеческой скоростью научится читать, понимать и идентифицировать потенциальные хаки еще до того, как будут приняты законы. Это поможет решить проблему, хотя, несомненно, создаст другие.
36
Законопроекты «под прикрытием»
Одни законопроекты важнее других. Законопроекты об ассигнованиях или те, что являются реакцией на стихийные бедствия, пандемии или угрозу национальной безопасности, считаются обязательными к принятию. Эти законопроекты дают законодателям возможность протолкнуть положения, которые сами по себе никогда бы не прошли, но важны в политическом плане. Образно их называют райдерами, или наездниками. Райдеры часто непопулярны, противоречат общественным и обслуживают чьи-то узкие интересы или являются результатом политических махинаций и сделок.
Внедрение неуместных райдеров в эти обязательные для прохождения законодательные акты позволяет законодателям избежать внимания или негативной реакции, которая была бы неизбежна в случае отдельного голосования за политически спорное положение. Этот ставший уже обычным хак подрывает сам принцип законотворчества, когда вносятся отдельные предложения, а затем ставятся на голосование.
Приведу три примера.
● В период с 1982 по 1984 г. к нескольким законопроектам об ассигнованиях, подлежащих обязательному прохождению, был внесен ряд дополнений, названных поправкой Боланда; поправка ограничивала помощь США подразделениям «Контрас» в Никарагуа.
● В 2016 г. в законопроект о расходах на сельское хозяйство и продовольствие была включена поправка, запрещающая Управлению по санитарному надзору за качеством пищевых продуктов регулировать «сигары большого размера и сигары премиум-класса».
● В 2021 г. законодатели внедрили три законопроекта об авторском праве на интеллектуальную собственность в совершенно не связанный с ними Закон о консолидированных ассигнованиях. Рассмотрение этих мер зачахло на фоне активных протестов со стороны сторонников технологического прогресса и технологических компаний, но они были приняты, оказавшись в одном пакете с гораздо более крупным, сложным и обязательным к прохождению законопроектом.
Этот вид хака использует очевидный факт, что президент не может наложить вето на отдельные статьи законопроекта: он либо накладывает вето на весь законопроект, либо принимает его как есть, со всеми поправками и райдерами. Хак также использует уязвимость на уровне комитетов конгресса. Законодательное собрание в полном составе не может голосовать по законопроекту, если он не был одобрен соответствующими комитетами. Это означает, что члены комитетов могут просто вписывать райдеры в законопроект – тайно или даже открыто.
Попытки ограничить эту практику в основном оканчивались ничем. В 1996 г. конгресс предоставил президенту Клинтону право вето на отдельные пункты законопроекта, но уже в 1998 г. оно было признано неконституционным. За тот год, что оно работало, президент накладывал точечное вето 82 раза, после чего группой производителей картофеля, которые возражали против наложения вето на выгодный им райдер, был подан иск.
В модульном компьютерном коде каждый его независимый сегмент выполняет одну функцию. Такая структура делает программы отказоустойчивыми, удобными в обслуживании и диагностируемыми. Законодательство, которое по аналогии имеет дело с меньшим количеством дискретных вопросов, будет и менее подвержено описанному выше хаку. Эта логика стоит за концепцией узконаправленных законов и конституционных положений{160}, которые требуют, чтобы законы касались только одной темы. Законопроект, получивший в 2021 г. рабочее название «Одна тема за раз», регулярно предлагался в конгрессе, но так и не был принят.
На уровне штатов усилия по противодействию райдерам оказались более эффективными. На сегодняшний день конституции 43 штатов требуют, чтобы каждый новый законодательный акт был ограничен одной темой. Конституция Миннесоты гласит{161}: «Законы должны охватывать только одну тему. Ни один закон не должен охватывать более одной темы, которая должна быть отображена в его названии». Однако даже эти ограничения могут легко взламываться. Как пишет профессор права Колумбийского университета Ричард Брифо, ответ на вопрос о том, «ограничен закон одной темой или нет, часто находится в глазах смотрящего». С одной стороны, как пояснил Верховный суд штата Мичиган, «нет практически ни одного закона, который нельзя было бы разделить и принять в виде нескольких законопроектов». С другой стороны, как сказано в одном из старых дел Верховного суда Пенсильвании{162}, «не существует двух настолько далеких друг от друга тем, что их нельзя было бы привести к общему знаменателю, отодвинув точку зрения достаточно далеко».
Еще один метод безопасности в этом вопросе – устойчивость системы. Законодательство, которое должно быть принято, особенно уязвимо для райдеров из-за крайне негативных последствий, связанных с непрохождением родительского закона. Однако некоторые из этих последствий, такие как остановка работы правительства из-за блокирования законопроекта об ассигнованиях, являются абсолютно искусственными и могут быть смягчены с помощью разумной политики. К примеру, несколько организаций предложили конгрессу{163} повысить устойчивость правительственных операций путем создания процесса автоматического принятия резолюций. В соответствии с ним, государственное финансирование будет продолжаться на сопоставимом уровне, если конгресс не сможет принять регулярный законопроект об ассигнованиях. Смягчая последствия отсрочки принятия законов, обязательных к прохождению, эта реформа облегчит противникам райдеров голосование против проекта бюджета до тех пор, пока райдеры не будут удалены из него.
37
Делегирование и отсрочка принятия законов
Спустя годы после окончания холодной войны конгресс все еще решал проблему закрытия военных баз по всей стране. Задача оказалась не из легких. Эти базы представляли собой тысячи рабочих мест, и ни один законодатель никогда не согласился бы на закрытие базы в своем округе. Вместо того чтобы принимать трудные решения, конгресс придумал хак, деполитизирующий процесс. Он передал свои законотворческие полномочия внешнему органу, создав Комиссию по реорганизации и закрытию баз. Эта комиссия была уполномочена решать, какие базы подлежат сокращению, а ее рекомендации автоматически вступали в силу, если конгресс не отменял их. И это сработало: начиная с 1988 г. создано пять таких комиссий, в результате чего более 350 военных объектов закрыто.
Этот хак до сих пор позволяет конгрессу решать сложные или политически спорные вопросы без необходимости принимать решения самому. Он снижает
- Сломанный код. Внутри Facebook и борьба за раскрытие его вредных секретов - Джефф Хорвиц - Деловая литература / Прочая документальная литература
- Даниэль Деронда (С иллюстрациями) - Джордж Элиот - Остросюжетные любовные романы
- Конституция Российской Федерации. Гимн, герб, флаг - Законодательство России - Юриспруденция
- Комментарий к Федеральному закону «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» (постатейный) - Андрей Кирилловых - Юриспруденция
- Секреты и ложь. Безопасность данных в цифровом мире - Брюс Шнайер - Прочая околокомпьтерная литература