Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер
Исправления в данном случае столь же очевидны, как и сама уязвимость: нормативные изменения, которые приведут рынок недвижимости в соответствие с другими финансовыми системами. В 2016 г. министерство финансов США реализовало пилотную программу в 12 городах{80}, требующую, чтобы LLC (форма собственности, соответствующая российскому ООО) раскрывали своих бенефициарных владельцев при их создании. Это привело к 70 %-ному снижению объемов покупок недвижимости такими компаниями за наличные. Подобное требование можно сделать постоянным и общенациональным. Фактически, программа недавно была возобновлена и расширена, чтобы охватить новые рынки недвижимости. Федеральное правительство могло бы распространить банковское правило «Знай своего клиента» на бенефициаров подставных компаний. Кроме того, правительству явно пора изменить «временное» правило{81}, введенное лоббистами в федеральный закон 2001 г. о сдерживании террористических актов, согласно которому покупатели недвижимости освобождаются от детальной проверки.
Однако политического желания что-то менять в этой сфере пока не наблюдается, разве что конфликт России с Украиной может немного сдвинуть ситуацию в Великобритании. Причина инертности – провластные интересы. Существует целый ряд отраслей – девелопмент, строительство и т. д., – которые получают выгоду от нерегулируемой продажи элитной недвижимости. И мало кто из власть имущих выиграет от таких перемен. На другой чаше весов – увеличение налоговых поступлений, повышение доступности жилья, увеличение площади жилого фонда и сокращение возможностей для отмывания денег. Иными словами, все то, чего хотят остальные.
Сегодня отмывание денег через недвижимость – это настолько обыденное дело, что его уже трудно назвать хаком. То же самое можно сказать и о предметах искусства. Существует хак, который заключается в том, чтобы купить произведение искусства по дешевке, завысить его стоимость при оценке, а затем передать его в дар музею, чтобы списать налоги. При этом обществу, которое недосчиталось налоговых поступлений, наносится вред.
21
Нормализация социальных хаков
Думая о хакинге, мы часто представляем себе, что хаки быстро блокируются разработчиками системы, которые исправляют ее уязвимости. Это то, что обычно происходит с компьютерными взломами. Я пишу эти строки в мае 2022 г., и вот три уязвимости, информация о которых недавно появилась в прессе.
● Cisco объявила о многочисленных уязвимостях{82} в своем программном обеспечении для Enterprise NFV Infrastructure Software. Одна из уязвимостей могла позволить злоумышленнику перейти с гостевой виртуальной машины на хост-компьютер и тем самым поставить под угрозу все сетевые хосты.
● Компания F5, специализирующаяся на безопасности облачных вычислений, предупредила своих клиентов{83} о 43 уязвимостях, затрагивающих четыре ее продукта. Одна из них «могла позволить неавторизованному злоумышленнику с сетевым доступом к системе BIG-IP через порт управления и/или собственные IP-адреса выполнять произвольные системные команды, создавать или удалять файлы или отключать службы».
● Корпорация AVG сообщила об обнаружении{84} двух серьезных уязвимостей в своих антивирусных продуктах, которые скрывались в коде с 2012 г. Обе уязвимости могли позволить злоумышленникам отключать защитное программное обеспечение или вмешиваться в работу операционной системы клиента.
В каждом из этих случаев уязвимость обнаруживали либо сами производители, либо исследователи, которые в частном порядке сообщали о ней разработчикам системы, те в свою очередь вносили исправления, и только после этого информация раскрывалась, а вместе с ней и тот факт, что система больше не уязвима.
В компьютерной безопасности для подобных случаев у нас есть термин – «ответственное раскрытие информации». Противоположную ситуацию описывает другой термин – «уязвимость нулевого дня». Это такая уязвимость, которая тайно обнаруживается преступниками, правительствами или хакерами, которые продают информацию о ней преступникам или правительствам. При этом организация, отвечающая за систему, ничего не знает об уязвимости до тех пор, пока не обнаружит реально функционирующий на ней эксплойт. В таких случаях предупреждений не может быть в принципе.
Ни в одном из хаков, которые мы обсуждали в предыдущих главах, ни в большинстве других примеров, приведенных в этой книге, не было ответственного раскрытия информации. Для некомпьютерных систем это норма. Когда менеджер хедж-фонда обнаруживает возможность выгодного взлома финансовой системы, он не предупреждает регулирующий орган, чтобы тот внес исправления. Он использует его в своих интересах до тех пор, пока правительственный орган сам не заставит его прекратить это делать.
Вот как выглядит процесс в целом. Сначала обнаруживается уязвимость, которая позволяет хакнуть систему посредством эксплойта. Постепенно хак становится все более популярным. Это может происходить медленнее или быстрее в зависимости от типа самого хака, от того, что именно он делает, насколько прибыльным может быть, от распространенности взламываемой системы, от скорости распространения информации о хаке и т. д. В какой-то момент управляющий орган системы узнает о взломе и может отреагировать одним из двух способов. Во-первых, он может изменить правила системы, чтобы предотвратить хак, поставив системный патч. Во-вторых, он может внедрить хак в систему, по сути нормализовав его. После такой нормализации хак иногда умирает естественной смертью, поскольку все начинают его копировать и всякое конкурентное преимущество теряется.
История финансового хакинга – это история нормализации хаков{85}. Кто-то изобретает хак и зарабатывает огромные деньги. Другие копируют его действия и тоже получают прибыль. Затем регуляторы замечают взлом и вмешиваются. Иногда они объявляют хакинг незаконным и осуждают хакеров, но чаще всего задним числом они одобряют хаки. В этот момент хаки перестают быть таковыми и становятся нормальной частью финансовой деятельности. Процесс нормализации не всегда происходит преднамеренно. Как и в случае с хедж-фондами, некоторые взломы просто игнорируются системой и в результате ее бездействия пассивно нормализуются.
Это может иметь положительные последствия, как в случаях с NOW-счетами и депозитными сертификатами, которые стали настоящими инновациями в финансах, но у всего есть цена. Многие хаки, описанные в предыдущих главах, нарушают принцип справедливости рынка, нацеливаясь на информацию, право выбора или свободу действий. Такие хаки не столько инновационные, сколько подрывные. Их нормализация свидетельствует лишь о том, что богатые люди имеют возможность добиваться своего за счет всех остальных.
Нормализация – явление не новое{86}, так же как и игра в кошки-мышки между хакерами и регуляторами. В Средние века и католические, и светские власти вводили строгие ограничения на процентные займы, поскольку они считались греховными. По мере развития банковского дела как профессии богатые банкиры начали обходить эти ограничения с помощью все более изощренных методов. К ним относились фальсификация учетных книг, ошибочная классификация запрещенной ростовщической ссуды как разрешенной, а также маскировка процентов по этой ссуде под подарки ростовщику от заемщика. Одним из хаков того времени был «сухой морской заем», который превращал запрещенный заем в разрешенный, связывая его с произвольным морским путешествием.
Реакция на эти средневековые ростовщические хаки перекликается со всем, о чем говорилось выше. В период с XII по XIV в. католическая церковь обновила свои правила ростовщичества для борьбы с финансовыми инновациями, такими как «сухой морской заем», создала более сложные механизмы обеспечения правоприменения и ужесточила наказания для осужденных ростовщиков. Но состоятельные люди и тогда умели защищать свои источники прибыли. Богатые гильдии обладали ресурсами и опытом для создания таких финансовых продуктов, которые успешно ускользали из-под церковного контроля. И постепенно возникла новая форма захвата регулятора, когда церковь принимала пожертвования и финансовую реституцию от нарушителей, стимулируя развитие ростовщичества. По сути, современное банковское дело зародилось в 1517 г. на Пятом Латеранском соборе, где произошла нормализация выгодного системе хака. Если вы хоть раз брали ипотеку, финансировали обучение или начинали бизнес с помощью кредита, вы должны быть благодарны за эту нормализацию хака. (Собор также легализовал ломбарды – на случай, если вам доводилось прибегать к услугам и этой системы.)
Сегодня нормализация кажется обычным явлением. Я уверен, что большинство хаков высокочастотной торговли были бы признаны незаконными, появись они 100 лет назад. И я также уверен, что инсайдерская торговля, возникни она в последние десятилетия, была бы сегодня вполне законной.
22