Kniga-Online.club
» » » » Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер

Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер

Читать бесплатно Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер. Жанр: Программирование год 2004. Так же читаем полные версии (весь текст) онлайн без регистрации и SMS на сайте kniga-online.club или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:
заметно меньше людей. Розничные магазины в таких районах, как лондонский Мейфэр, были вынуждены закрыться, потому что 30 % квартир пустуют из-за офшорных отмывателей денег.

Исправления в данном случае столь же очевидны, как и сама уязвимость: нормативные изменения, которые приведут рынок недвижимости в соответствие с другими финансовыми системами. В 2016 г. министерство финансов США реализовало пилотную программу в 12 городах{80}, требующую, чтобы LLC (форма собственности, соответствующая российскому ООО) раскрывали своих бенефициарных владельцев при их создании. Это привело к 70 %-ному снижению объемов покупок недвижимости такими компаниями за наличные. Подобное требование можно сделать постоянным и общенациональным. Фактически, программа недавно была возобновлена и расширена, чтобы охватить новые рынки недвижимости. Федеральное правительство могло бы распространить банковское правило «Знай своего клиента» на бенефициаров подставных компаний. Кроме того, правительству явно пора изменить «временное» правило{81}, введенное лоббистами в федеральный закон 2001 г. о сдерживании террористических актов, согласно которому покупатели недвижимости освобождаются от детальной проверки.

Однако политического желания что-то менять в этой сфере пока не наблюдается, разве что конфликт России с Украиной может немного сдвинуть ситуацию в Великобритании. Причина инертности – провластные интересы. Существует целый ряд отраслей – девелопмент, строительство и т. д., – которые получают выгоду от нерегулируемой продажи элитной недвижимости. И мало кто из власть имущих выиграет от таких перемен. На другой чаше весов – увеличение налоговых поступлений, повышение доступности жилья, увеличение площади жилого фонда и сокращение возможностей для отмывания денег. Иными словами, все то, чего хотят остальные.

Сегодня отмывание денег через недвижимость – это настолько обыденное дело, что его уже трудно назвать хаком. То же самое можно сказать и о предметах искусства. Существует хак, который заключается в том, чтобы купить произведение искусства по дешевке, завысить его стоимость при оценке, а затем передать его в дар музею, чтобы списать налоги. При этом обществу, которое недосчиталось налоговых поступлений, наносится вред.

21

Нормализация социальных хаков

Думая о хакинге, мы часто представляем себе, что хаки быстро блокируются разработчиками системы, которые исправляют ее уязвимости. Это то, что обычно происходит с компьютерными взломами. Я пишу эти строки в мае 2022 г., и вот три уязвимости, информация о которых недавно появилась в прессе.

● Cisco объявила о многочисленных уязвимостях{82} в своем программном обеспечении для Enterprise NFV Infrastructure Software. Одна из уязвимостей могла позволить злоумышленнику перейти с гостевой виртуальной машины на хост-компьютер и тем самым поставить под угрозу все сетевые хосты.

● Компания F5, специализирующаяся на безопасности облачных вычислений, предупредила своих клиентов{83} о 43 уязвимостях, затрагивающих четыре ее продукта. Одна из них «могла позволить неавторизованному злоумышленнику с сетевым доступом к системе BIG-IP через порт управления и/или собственные IP-адреса выполнять произвольные системные команды, создавать или удалять файлы или отключать службы».

● Корпорация AVG сообщила об обнаружении{84} двух серьезных уязвимостей в своих антивирусных продуктах, которые скрывались в коде с 2012 г. Обе уязвимости могли позволить злоумышленникам отключать защитное программное обеспечение или вмешиваться в работу операционной системы клиента.

В каждом из этих случаев уязвимость обнаруживали либо сами производители, либо исследователи, которые в частном порядке сообщали о ней разработчикам системы, те в свою очередь вносили исправления, и только после этого информация раскрывалась, а вместе с ней и тот факт, что система больше не уязвима.

В компьютерной безопасности для подобных случаев у нас есть термин – «ответственное раскрытие информации». Противоположную ситуацию описывает другой термин – «уязвимость нулевого дня». Это такая уязвимость, которая тайно обнаруживается преступниками, правительствами или хакерами, которые продают информацию о ней преступникам или правительствам. При этом организация, отвечающая за систему, ничего не знает об уязвимости до тех пор, пока не обнаружит реально функционирующий на ней эксплойт. В таких случаях предупреждений не может быть в принципе.

Ни в одном из хаков, которые мы обсуждали в предыдущих главах, ни в большинстве других примеров, приведенных в этой книге, не было ответственного раскрытия информации. Для некомпьютерных систем это норма. Когда менеджер хедж-фонда обнаруживает возможность выгодного взлома финансовой системы, он не предупреждает регулирующий орган, чтобы тот внес исправления. Он использует его в своих интересах до тех пор, пока правительственный орган сам не заставит его прекратить это делать.

Вот как выглядит процесс в целом. Сначала обнаруживается уязвимость, которая позволяет хакнуть систему посредством эксплойта. Постепенно хак становится все более популярным. Это может происходить медленнее или быстрее в зависимости от типа самого хака, от того, что именно он делает, насколько прибыльным может быть, от распространенности взламываемой системы, от скорости распространения информации о хаке и т. д. В какой-то момент управляющий орган системы узнает о взломе и может отреагировать одним из двух способов. Во-первых, он может изменить правила системы, чтобы предотвратить хак, поставив системный патч. Во-вторых, он может внедрить хак в систему, по сути нормализовав его. После такой нормализации хак иногда умирает естественной смертью, поскольку все начинают его копировать и всякое конкурентное преимущество теряется.

История финансового хакинга – это история нормализации хаков{85}. Кто-то изобретает хак и зарабатывает огромные деньги. Другие копируют его действия и тоже получают прибыль. Затем регуляторы замечают взлом и вмешиваются. Иногда они объявляют хакинг незаконным и осуждают хакеров, но чаще всего задним числом они одобряют хаки. В этот момент хаки перестают быть таковыми и становятся нормальной частью финансовой деятельности. Процесс нормализации не всегда происходит преднамеренно. Как и в случае с хедж-фондами, некоторые взломы просто игнорируются системой и в результате ее бездействия пассивно нормализуются.

Это может иметь положительные последствия, как в случаях с NOW-счетами и депозитными сертификатами, которые стали настоящими инновациями в финансах, но у всего есть цена. Многие хаки, описанные в предыдущих главах, нарушают принцип справедливости рынка, нацеливаясь на информацию, право выбора или свободу действий. Такие хаки не столько инновационные, сколько подрывные. Их нормализация свидетельствует лишь о том, что богатые люди имеют возможность добиваться своего за счет всех остальных.

Нормализация – явление не новое{86}, так же как и игра в кошки-мышки между хакерами и регуляторами. В Средние века и католические, и светские власти вводили строгие ограничения на процентные займы, поскольку они считались греховными. По мере развития банковского дела как профессии богатые банкиры начали обходить эти ограничения с помощью все более изощренных методов. К ним относились фальсификация учетных книг, ошибочная классификация запрещенной ростовщической ссуды как разрешенной, а также маскировка процентов по этой ссуде под подарки ростовщику от заемщика. Одним из хаков того времени был «сухой морской заем», который превращал запрещенный заем в разрешенный, связывая его с произвольным морским путешествием.

Реакция на эти средневековые ростовщические хаки перекликается со всем, о чем говорилось выше. В период с XII по XIV в. католическая церковь обновила свои правила ростовщичества для борьбы с финансовыми инновациями, такими как «сухой морской заем», создала более сложные механизмы обеспечения правоприменения и ужесточила наказания для осужденных ростовщиков. Но состоятельные люди и тогда умели защищать свои источники прибыли. Богатые гильдии обладали ресурсами и опытом для создания таких финансовых продуктов, которые успешно ускользали из-под церковного контроля. И постепенно возникла новая форма захвата регулятора, когда церковь принимала пожертвования и финансовую реституцию от нарушителей, стимулируя развитие ростовщичества. По сути, современное банковское дело зародилось в 1517 г. на Пятом Латеранском соборе, где произошла нормализация выгодного системе хака. Если вы хоть раз брали ипотеку, финансировали обучение или начинали бизнес с помощью кредита, вы должны быть благодарны за эту нормализацию хака. (Собор также легализовал ломбарды – на случай, если вам доводилось прибегать к услугам и этой системы.)

Сегодня нормализация кажется обычным явлением. Я уверен, что большинство хаков высокочастотной торговли были бы признаны незаконными, появись они 100 лет назад. И я также уверен, что инсайдерская торговля, возникни она в последние десятилетия, была бы сегодня вполне законной.

22

Перейти на страницу:

Брюс Шнайер читать все книги автора по порядку

Брюс Шнайер - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки kniga-online.club.


Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах отзывы

Отзывы читателей о книге Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах, автор: Брюс Шнайер. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор kniga-online.


Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*