Хакинг естественная часть человеческого бытия. Он повсеместен и, как мы увидим, является важным фактором эволюционного процесса непрерывного, бесконечного и способного создавать формы, как выразился Дарвин, «самые прекрасные и изумительные». Ну или же самые нелепые и ужасные.
Часть II
Основные виды хакинга и защита от него
6
Хакинг банкоматов
Для начала рассмотрим различные виды взломов систем, ограничения которых наиболее очевидны. Это создаст хорошую основу для понимания хакинга систем более сложных: политических, социальных, экономических и когнитивных.
Что такое банкомат? Это компьютер с наличными деньгами внутри. Он подключен к банковской сети через интернет (пару десятилетий назад это было обычное телефонное соединение и модем) и работает под управлением операционной системы Windows. Конечно же, его можно взломать.
В 2011 г. австралийский бармен по имени Дэн Сондерс выяснил, как снимать в банкоматах деньги, которых у тебя нет. Как-то поздно вечером, подойдя к банкомату, он неверно ввел сумму для перевода между своими счетами, случайно завысив ее. К удивлению Сондерса, перевод прошел, а банкомат выдал наличные, которых у него не было на счете, причем без регистрации операции системой. Это стало возможным из-за уязвимости в программном обеспечении банкомата, которое регистрировало переводы между счетами, в сочетании с другой уязвимостью временной задержкой списаний и зачислений, произведенных посредством банкоматов в ночное время. Однако Сондерс ничего об этом не знал. Он обнаружил хак совершенно случайно и просто понял, что может воспроизвести результат.
В течение следующих пяти месяцев Сондерс снял в австралийских долларах сумму, эквивалентную $1,1 млн{28}. Его так и не смогли поймать. В какой-то момент он сам решил прекратить порочную практику: почувствовал себя виноватым, прошел курс терапии, а затем сделал публичное признание. За полгода банк так и не смог понять, где он теряет столько денег.
Давайте на секунду прервемся и поговорим о том, с какого рода деянием мы имеем дело. Кража денег из банка всегда незаконна. Но в этом случае взломана не банковская система, а система банкоматов и специальное программное обеспечение, написанное для них. Сондерс случайно наткнулся на способ использования этих систем, не предусмотренный их создателями. Иначе говоря, системы сами позволили нарушить заложенные в них правила. А это не что иное, как типичный хак.
Эволюция атак на банкоматы и принимаемых банками ответных мер наглядно иллюстрирует гонку вооружений между хакерами и различными институтами безопасности. Более того, здесь прослеживается несколько важных тем, к которым мы будем возвращаться на протяжении всей книги. Во-первых, системы это не что-то изолированное: они состоят из более мелких подсистем и сами являются частью систем более крупных. Во-вторых, банкоматы это не только программное обеспечение, но и «железо»: в процессе использования физического объекта под названием «банкомат» задействованы клиенты и удаленная банковская сеть. Хакеры могут атаковать любой из этих аспектов системы.
Сноски
1
Автор использует здесь забавное сленговое выражение cybersexcurity (букв. киберсексуальное любопытство), созвучное с термином cybersecurity. Прим. пер.
2
CliffsNotes изначально серия брошюр с кратким изложением и готовым анализом литературных произведений. Чтение подобных брошюр экономит студентам время, но снижает качество образования. Сегодня сайт https://cliffsnotes.com по тому же принципу предлагает базовые сведения из разных областей знаний. Прим. пер.
3
Ангус Макгайвер секретный агент, герой популярных американских телесериалов. Будучи талантливым ученым и тонким психологом, Макгайвер в любых экстремальных ситуациях полагается исключительно на смекалку, знания и складной швейцарский нож. Прим. пер.
4
МIT Массачусетский технологический институт. Прим. ред.
5
«Черные», «белые» и «серые шляпы» устоявшаяся классификация хакеров по их мотивации. Взята из голливудских вестернов, где положительные персонажи носили белые шляпы, отрицательные черные, а неоднозначные, соответственно, серые. «Черные шляпы» из мира хакеров движимы корыстными целями: финансовой выгодой, местью или идеологическими мотивами. «Белые шляпы» работают в интересах компаний и взламывают их системы, чтобы устранить недостатки. «Серые шляпы» ищут уязвимости в системах без разрешения их владельцев, но и без злого умысла. Прим. пер.
6
Эксплойт (exploit, sploit; проф. сленг) программа, использующая конкретную уязвимость ПО или создающая условия для исполнения другого кода, который в обычных условиях неисполним. Прим. пер.
Комментарии
1
Massimo Materni (1 May 2012), "Water never runs uphill / Session Americana," YouTube, https://www.youtube.com/watch?v=0Pe9XdFr_Eo.
2
Это упражнение придумал не я. См.: Gregory Conti and James Caroland (Jul-Aug 2011), "Embracing the Kobayashi Maru: Why you should teach your students to cheat," IEEE Security & Privacy 9, https://www.computer.org/csdl/magazine/sp/2011/04/msp2011040048/13rRUwbs1Z3.
3
См.: Justin Elliott, Patricia Callahan, and James Bandler (24 Jun 2021), "Lord of the Roths: How tech mogul Peter Thiel turned a retirement account for the middle class into a $5 billion tax-free piggy bank," ProPublica, https://www.propublica.org/article/lord-of-the-roths-how-tech-mogul-peter-thiel-turned-a-retirement-account-for-the-middle-class-into-a-5-billion-dollar-tax-free-piggy-bank.
4
Если кто-нибудь в курсе, пожалуйста, напишите мне.
5
См.: Finn Brunton has assembled a list of "significant meanings" of the term. Finn Brunton (2021), "Hacking," in Leah Lievrouw and Brian Loader, eds., Routledge Handbook of Digital Media and Communication, Routledge, pp. 7586, http://finnb.net/writing/hacking.pdf.
6
Недавно скончавшемуся хакеру Джуд Милхон (Святая Джуд) нравилось другое определение: «Взлом это умный обход установленных ограничений, независимо от того, установлены они вашим правительством, вашей собственной личностью или законами физики». Jude Milhon (1996), Hackers Conference, Santa Rosa, CA.
7
Bruce Schneier (2003), Beyond Fear: Thinking Sensibly About Security in an Uncertain World, Copernicus Books.
8
Lauren M. Johnson (26 Sep 2019), "A drone was caught on camera delivering contraband to an Ohio prison yard," CNN, https://www.cnn.com/2019/09/26/us/contraband-delivered-by-drone-trnd/index.html.
9
Selina Sykes (2 Nov 2015), "Drug dealer uses fishing rod to smuggle cocaine, alcohol and McDonald's into jail," Express, https://www.express.co.uk/news/uk/616494/Drug-dealer-used-fishing-rod-to-smuggle-cocaine-alcohol-and-McDonald-s-into-jail.
10
Telegraph staff (3 Aug 2020), "Detained 'drug smuggler' cat escapes Sri Lanka prison," Telegraph, https://www.telegraph.co.uk/news/2020/08/03/detained-drug-smuggler-cat-escapes-sri-lanka-prison.
11
Jay London (6 Apr 2015), "Happy 60th birthday to the word 'hack,'" Slice of MIT, https://alum.mit.edu/slice/happy-60th-birthday-word-hack. Прим. ред.
12
Dylan Matthews (29 Mar 2017), "The myth of the 70,000-page federal tax code," Vox, https://www.vox.com/policy-and-politics/2017/3/29/15109214/tax-code-page-count-complexity-simplification-reform-ways-means.
13
Microsoft (12 Jan 2020), "Windows 10 lines of code," https://answers.microsoft.com/en-us/windows/forum/all/windows-10-lines-of-code/a8f77f5c-0661-4895-9c77-2efd42429409.
14
Naomi Jagoda (14 Nov 2019), "Lawmakers under pressure to pass benefits fix for military families," The Hill, https://thehill.com/policy/national-security/470393-lawmakers-under-pressure-to-pass-benefits-fix-for-military-families.