Кассандра и отвлекающий маневр
Одной из причин нашей неготовности защищать себя является любопытный феномен. Помните мальчика, который кричал: «Волк! Волк!»? Иногда мальчик, который кричит «Волк!», видит приближение хищника раньше всех остальных. Объединенная комиссия по безопасности 1994 года, комиссия Марша 1997 года, комиссия Центра стратегических и международных исследований 2008 года, комиссия Национальной академии наук в 2009 году и многие другие говорили о кибербезопасности и угрозе кибервойны. Их критиковали, ставя в один ряд с Кассандрами, которые пророчат бедствия. На Землю упадет гигантский метеорит! Изменение магнитных полюсов Земли вызовет солнечный ветер, который уничтожит атмосферу! Почти все настоящие специалисты в соответствующих областях верят, что сценарий с гигантским метеоритом и солнечным ветром вполне реален. Вопрос лишь в том, когда это произойдет. Поэтому, возможно, нам не стоит слишком беспокоиться. Разнообразные комиссии и рабочие группы, предупреждающие об опасности кибервойны, с определением сроков не ошибались. Они говорили нам, что пока есть время на принятие предварительных мер. Следует помнить, что, несмотря на плохую репутацию, Кассандра не ошибалась в своих предсказаниях — просто из-за проклятия Аполлона ей никто никогда не верил.
К сожалению, слишком многие верят в угрозу кибертерроризма. А кибертерроризм — это утка, отвлекающий маневр. Слова «кибер» и «терроризм» вообще не следует употреблять вместе, поскольку они вызывают в уме образ Бен Ладена, ведущего кибервойну из пещеры. Наверное, он на это не способен, по крайней мере, пока (более того, он живет вовсе не в пещере, а скорее на какой-нибудь уютной вилле). На самом деле у нас нет надежных доказательств того, что террористы когда-либо проводили кибератаки на инфраструктуру. До настоящего времени террористы не проводили крупных атак в Интернете и не использовали Интернет для атаки физических систем, но с помощью Интернета планировали и координировали атаки на посольства, железные дороги, гостиницы. Они используют Интернет для привлечения финансов, поиска новобранцев и обучения. Когда «Аль-Каида» лишилась учебных полигонов после 11 сентября, многое из того, что происходило там, переместилось в Интернет. Дистанционное обучение с видеороликами о том, как создавать взрывные устройства из подручных средств или отрубать головы, так же эффективно, как и занятия на полигонах. Кроме того, благодаря Интернету террористам не приходится собираться в одном месте, что раньше давало международным правоохранительным органам прекрасную возможность поймать предполагаемых террористов или нанести по ним ракетный удар. Интернет-обучение представляет большую опасность и приводит к многочисленным атакам «волков-одиночек» — террористов, никак не связанных с центром «Аль-Каиды». Но особенно эффективно «Аль-Каида» и другие группы используют Интернет для пропаганды. Распространяя видеоролики с отсечением голов и радикальныой интерпретацией Корана, террористические группировки сумели достучаться до широкой аудитории, сохраняя при этом относительную анонимность.
Если «Аль-Каида» до сих пор еще не проводила кибератак, все запросто может измениться. С каждым годом стоимость и прочие входные барьеры, ограничивающие использование этой технологии, снижаются. Чтобы провести разрушительную кибератаку, не требуется больших производственных затрат, как, допустим, для создания ядерной бомбы. Однако в контрольном программном обеспечении электросети разобраться способен далеко не каждый. Одно дело — найти способ взломать сеть, и совсем другое — знать, что делать, когда вы проникли внутрь. Хорошо спонсируемые террористические группировки могут найти профессиональную хакерскую тусовку, которая согласится провести кибератаку за большие деньги, но до сих пор такого не случалось. Вероятно, потому, что большинство хакеров считают представителей «Аль-Каиды» ненормальными, опасными и ненадежными. Если преступные хакерские группировки думают так, значит, террористам вряд ли удастся сработаться сними.
Деньги решают все
Еще одна причина такой инертности заключается в том, что кое-кому хочется оставить все как есть. У некоторых уже все «куплено». Выше я упоминал, что в ответ на сообщение о возможном кризисе кибербезопасности Джордж Буш первым делом поинтересовался, что думает на этот счет руководитель компьютерной корпорации, один из главных «доноров» его предвыборной кампании. Наверное, вы уже догадались, что администрация Буша не была заинтересована занимать жесткую позицию по отношению к частному сектору. Первая «Стратегия национальной безопасности Соединенных Штатов», опубликованная в 2003 году, напоминает учебник по экономике, ратующий за свободный рынок. Возможно, вы удивитесь, но демократическая администрация находится в плену тех же убеждений. Кто-то может предположить, что новая администрация готова решить проблему несостоятельности рынка в сфере кибербезопасности, введя новые регламенты, но это не так. Чтобы понять почему, отправимся на одно мероприятие.
Это был роскошный прием — собрались все звезды Вашингтона. Более 250 гостей пришли на празднование бракосочетания Мелоди Барнс и Мэрленда Бакнера. Барнс, советник президента Обамы по внутренней политике, знала будущего мужа много лет, прежде чем они начали встречаться. Их знакомство состоялось, когда она являлась членом клуба Капитолийского холма,[11]работала на Теда Кеннеди, а он служил начальником штаба Гарольда Форда-младшего. После короткой церемонии в Объединенной церкви Христа молодожены и гости переместились в особняк Андрю В. Меллона в Вашингтоне, который преобразили в стиле Южного побережья, со столовым серебром и столами, украшенными цветами орхидей. Местное безуглеводное меню состояло из жаркого на ребрышках, морских окуней и весенних овощей, элегантно разложенных по коробочкам обэнто. Гостей угощали мороженым и печеньем, чтобы те продержались до ночи, когда всех распустят по домам.
В число гостей, которых светский репортер New York Times, занимающийся свадьбами и торжествами, назвал «стаей высокопоставленных чиновников администрации Обамы», входили Рам Эммануэль, возглавляющий аппарат сотрудников Белого дома, и Валери Джарретт, главная советница и помощница президента по внутриправительственным делам и связям с общественностью. Мой друг Мона Сатфен, заместитель Рама Эммануэля, отплясывала весь вечер, как и бывший глава президентской администрации Клинтона Джон Подеста. Также присутствовала, хоть и не упоминалась в New York Times, еще одна высокопоставленная «стая» — Microsoft. Бакнер, бывший директор по связям с правительством крупнейшей в мире софтверной компании, а ныне независимый лоббист, тоже пригласил несколько друзей. С тех пор, как Бакнер стал работать самостоятельно, он принимал вознаграждения за лоббирование, треть которых поступала от Microsoft. Очень жаль, что репортеры Mother Jones не освещают свадьбы. Они наверняка заметили бы, что в тот вечер администрация Обамы буквально нырнула в койку к Microsoft.
Microsoft входит в публикуемый на сайте OpenSecret. org список из 30 влиятельных организаций, инвестирующих в политику. В списке преобладают торговые ассоциации, Microsoft входит в семерку лидеров. Конечно, Microsoft наверстывает упущенное. До поединка с Министерством юстиции по антимонопольным вопросам в конце 1990-х эта компания, устроившаяся на Западном побережье, хотела лишь, чтобы ее оставили в покое, и была вне политики. До 1998 года Microsoft и ее сотрудники не особенно стремились тратить свои фонды на поддержку политиков с Восточного побережья.
Все изменилось, когда юристы из администрации Клинтона заявили, что продажа Windows проводилась с намерением создать монополию. Посыпались пожертвования из вновь учрежденного комитета политических действий, равно как и от отдельных сотрудников Microsoft. С 1998-го по 2002 год большая часть этих средств адресовалась республиканцам. Затем в 2004-м Microsoft, то ли недовольная войной, то ли недооценившая перспективы бушевской кампании, начала спонсировать демократов почти в два раза щедрее, чем республиканцев. В 2008 году Microsoft увеличила это соотношение, предоставив 2,3 миллиона долларов демократам и только 900 тысяч республиканцам.
Возможно, комитет политических воздействий и сотрудники корпорации имеют добрые намерения, как многие американцы, которые пожертвовали деньги и потратили время на кампанию Обамы только ради того, чтобы видеть его на посту президента. Мэрлэнд Бакнер заявил корреспонденту новостной службы Media General, что он предпочел бы «беспрекословно» соблюсти все правила Белого дома, чтобы избежать любого конфликта интересов из-за новой работы Барнс, и пообещал не использовать свои отношения с супругой для привлечения клиентов. Но у корпорации Microsoft есть своя программа, и она ясна — не допустить регулирования в индустрии; не позволить Пентагону отказаться от нашего программного обеспечения, сколько бы дыр в защите там ни нашли; не обсуждать проблемы производства программного обеспечения Microsoft за океаном; не обсуждать взаимотношения компании с Китаем. У Microsoft неограниченные ресурсы, миллиарды долларов наличными или в виде ликвидных активов. Microsoft — это невероятно успешная империя, фундаментом которой является лидирующее положение на рынке и производство товаров низкого качества. На протяжении долгих лет операционная система и приложения, к примеру вездесущий Entemet Explorer, по умолчанию устанавливались на компьютеры, которые мы покупаем. Чтобы получить альтернативу, требовались время и немалые усилия, и так продолжалось до тех пор, пока в последнее десятилетие Apple не стал открывать магазины и активно рекламироваться.
Честно говоря, Microsoft изначально не стремилась создавать программы для управления критическими системами. Ее целью было вывести на рынок продукт с минимальными затратами на производство. Тогда она не видела причин вкладываться в процессы, гарантирующие и контролирующие качество, чего требовало НАСА от программного обеспечения космических полетов. Проблема в том, что люди начали использовать продукцию Microsoft в критических системах, от платформ Министерства обороны до основных банковских и финансовых сетей. Эта продукция была гораздо дешевле специально разработанных программных приложений. Время от времени в правительстве возникает стремление к повышению эффективности, на фоне которого внимание правительственных организаций привлекают экономичные подходы, используемые в промышленности. Пример тому — COTS. Идея заключалась в том, чтобы заменить коммерческими коробочными программными продуктами (COTS) специализированное программное обеспечение, которое раньше приходилось заказывать. На протяжении холодной войны Пентагон инициировал появление многих таких технологических новшеств. Помню, как мне рассказывали о фотоаппаратах без пленки, которые разрабатывались для правительства. (Я не мог понять, как он будет работать, до тех пор, пока не купил такой в Best Buy[12]десять лет спустя.) Сначала технология разрабатывалась в военных целях, затем проникала в коммерческую сферу. COTS перевернул этот процесс с ног на голову. До 1990-х большая часть используемых в Пентагоне программных средств изготавливалась под заказ собственными силами или немногочисленными доверенными военными подрядчиками. Не существовало двух одинаковых систем, что отвечало интересам производителей. Системы, которые они разрабатывали, стоили чрезвычайно дорого. Это очень осложняло возможность взаимодействия между разными структурами. COTS снизило затраты и позволило Пентагону использовать совместимые системы, поскольку все они писались на одних языках программирования и на базе одинаковых операционных систем. Разрабатывалось все больше и больше программных приложений. Была создана глобальная информационно-управленческая сеть GIG из 5,5 миллиона компьютеров. Сетецентричные приемы ведения войны обеспечивали огромные преимущества американским военным, но вместе с тем и делали нас невероятно уязвимыми.
COTS перенес в Пентагон те же баги и уязвимые места, что есть в наших домашних компьютерах. В1997 году ВМФ США убедился, как опасно порой полагаться на эти системы в проведении боевых операций. Военный корабль Yorktown был использован в качестве испытательного полигона в рамках программы ВМФ «Умный корабль». Yorktown оборудовали сетью из 27 рабочих станций на процессорах Pentium и под управлением операционной системы Windows NT. Работу станций координировал сервер, на котором также была установлена ОС Windows. Система контролировала все аспекты деятельности корабля, начиная с наводки орудия и заканчивая скоростью вращения двигателя. Когда система дала фатальный сбой, как часто бывает с Windows, крейсер превратился в плавающую консервную банку.
После инцидента с Yorktown и других сбоев систем на базе Windows Пентагон обратил внимание на Unix и созданные на его основе системы Linux. Linux — система с открытым кодом. Это значит, что пользователь может редактировать код операционной системы. У Windows (и большинства других коммерческих программных продуктов) исходный код считается собственностью разработчика и тщательно защищен. Открытый код дал бы Пентагону ряд преимуществ. Во-первых, программисты Пентагона и военные подрядчики могли бы модифицировать программное обеспечение под собственные нужды. То есть изменить код так, чтобы устранить ненужные фрагменты операционной системы и тем самым избавиться от лишних багов. Во-вторых, сократив размер операционной системы, они могли бы с помощью специальных средств проверить остальные строки кода на предмет обнаружения багов, вредоносного кода и прочих уязвимостей.
Microsoft вышла на тропу войны, чтобы замедлить переход правительственных организаций на Linux, и организовал ряд выступлений перед постоянными комитетами (выступал даже сам Билл Гейтс). Тем не менее, поскольку правительственные организации уже использовали Linux, я попросил Агентство национальной безопасности оценить ситуацию. АНБ, немало удивив сторонников открытого кода, влилось в их ряды, публично указав «координаты» ошибок в операционной системе Linux с целью улучшения ее безопасности. Из Microsoft мне дали понять, что если американские власти будут содействовать Linux, Microsoft прекратит с ними всякое сотрудничество. И если меня это не пугало, то на других могло оказать влияние. Программное обеспечение Microsoft до сих пор приобретает большинство федеральных ведомств, несмотря на то что Linux распространяется бесплатно.
Банки и финансовая промышленность тоже начали искать альтернативные системы с открытым кодом после неоднократных сбоев в системах Microsoft, которые стоили им по несколько сотен миллионов долларов в год. В 2004 году банковская группа Financial Services Roundtable отправила делегацию банковских специалистов по компьютерной безопасности в Редмонд (штат Вашингтон) на встречу с представителями Microsoft. Они потребовали доступа к программному коду. Им отказали. Они потребовали предоставить им требования к качеству программного продукта, которыми пользуется Microsoft, чтобы сопоставить их с нормами других производителей программного обеспечения. Им отказали. Отношение Microsoft к американским банкам противоречит объявленной в 2003 году программе. В соответствии с этой программой Microsoft должна предоставлять участвующим в ней национальным и международным организациям доступ к исходному коду — так Microsoft ответила на претензии по поводу безопасности своей операционной системы. Первыми участниками этой программы были Россия, Китай, НАТО и Великобритания. Банки пригрозили переходом на Linux. Microsoft ответила, что это будет стоить очень дорого. Более того, сейчас разрабатывается новая версия Windows с кодовым названием Longhorn, и она будет гораздо лучше. Longhorn вышел под именем Vista. Vista появилась в продаже позже обещанного срока в связи с обнаружением дефектов в тестовой программе. Затем с проблемами столкнулись корпоративные пользователи. Молва шла, и многие компании решили не переходить на новую операционную систему. В ответ на это Microsoft заявила, что прекратит поддержку предыдущих систем, заставляя клиентов пойти на замену ОС.
Сотрудники Microsoft признавались, что компания не воспринимала проблемы безопасности всерьез, даже когда подвергалась хакерским атакам. Да и с какой стати? Реальной альтернативы программному обеспечению Microsoft не существовало, и компания купалась в деньгах. Когда появился Linux, а затем Apple стал непосредственным конкурентом, в Microsoft действительно предприняли меры по улучшению качества. Но сначала они наняли множество делегатов и лоббистов, которые выступали на конференциях, перед клиентами, в правительственных организациях и ратовали против совершенствования в сфере безопасности. Для Microsoft гораздо дешевле нанять делегатов и лоббистов, чем разрабатывать более безопасные системы. Это одна из нескольких влиятельных компаний, которых устраивает нынешнее положение вещей и которым невыгодны какие-либо перемены.