Smart Reading – Мыслить как хакер. Как сильные ломают общие правила и как давать им отпор. Брюс Шнайер. Саммари (страница 1)

Smart Reading

Мыслить как хакер. Как сильные ломают общие правила и как давать им отпор. Брюс Шнайер. Саммари

Оригинальное название:

A Hacker’s Mind: How the Powerful Bend Society’s Rules, and How to Bend them Back

Автор:

Bruce Schneier

Цель: взломать мыслительный процесс

Мы привыкли считать хакеров компьютерными преступниками, взламывающими системы ради выгоды или хаоса. Но что, если хакерство – это нечто большее, чем атаки на серверы и утечки данных? Книга «Мыслить как хакер» приглашает читателя взглянуть на хакерство как на способ анализа систем и феномен, который определяет нашу реальность и пронизывает все сферы жизни – от финансовых рынков и политики до технологий и повседневных решений.

Автор исследует истоки хакерства и показывает, что в современном мире взлом – это не всегда незаконное действие, но почти всегда – инструмент власти. Корпорации и элиты используют лазейки в законах, обходят правила и манипулируют системами в своих интересах, оставаясь безнаказанными. Хакинг становится частью механизма работы общества, и, если его контролируют только привилегированные группы, это приводит к неравенству и несправедливости.

Но может ли хакинг служить во благо? Автор убежден, что да. При правильном подходе хакерское мышление полезно и обществу, и личности. Именно через поиск слабых мест и их исправление мы можем сохранить способность к независимому мышлению, а общество – стать устойчивее и эффективнее. Однако важно научиться различать «конструктивный» и «разрушительный» хакинг, чтобы использовать силу взлома для улучшения мира, а не его разрушения.

В эпоху искусственного интеллекта границы между хакингом и управлением становятся еще более размытыми. ИИ может сделать хакинг опаснее, чем когда-либо, но также может помочь защитить системы и предсказывать уязвимости. Эта книга – о будущем, в котором хакинг может стать инструментом создания или разрушения, и о том, как можно научиться контролировать эту силу.

Хакерское мышление

Слово «хакерство» появилось в 1955 году, быстро войдя в обиход в зарождающейся компьютерной среде. Изначально оно описывало способ решения проблем, который требовал хороших знаний и стремления действовать нестандартно. Но уже к 1980-м годам термин «хакерство» чаще всего использовали для обозначения взлома систем безопасности компьютеров.

Несмотря на то что сегодня между словами «хакер» и «преступник» часто ставят знак равенства, это далеко не всегда верно. Мыслить как хакер – значит понимать, как работают системы, как они выходят из строя и как сделать их более надежными.

Взлом системы – далеко не всегда противозаконный акт.

Одно дело – взломать машину и угнать ее. И совсем другое – придумать, как заставить электронику авто открыть дверь и запустить двигатель.

Хакер находит изъяны в действующих правилах. Это своего рода «игра с системой», деятельность на границе мошенничества и инноваций.

Любой компьютерный код содержит ошибки. Но в норме их цена не слишком высока: программное обеспечение все равно большую часть времени работает идеально. Однако некоторые ошибки создают так называемые уязвимости, то есть дыры в безопасности, через которые злоумышленник может намеренно вызвать сбой в работе системы.

Автор сравнивает хакерство с деятельностью вирусов COVID-19 и ВИЧ, которые внедряются в иммунную систему и меняют цели ее работы. Организм начинает разрушать сам себя, вплоть до полной гибели.

Взлом компьютерного кода похож на уклонение от налогов. В Налоговом кодексе также присутствуют неточные формулировки, непреднамеренные упущения, неоднозначность в интерпретации – только в контексте налогов их называют «лазейками». Если в совершенстве изучить систему, можно сэкономить большие деньги.

Например, известны случаи, когда американские компании уклоняются от налогов, передавая права интеллектуальной собственности дочерним компаниям за рубежом. «Дочки» зарабатывают деньги на том же продукте и затем выводят их в офшоры, не уплачивая часть налогов. Схемы «двойная ирландская лазейка» и «голландский сэндвич» применяют, например, Facebook, Pfizer и Coca-Cola.

Иногда Налоговый кодекс меняют и уточняют, чтобы закрыть возможность злоупотреблений. Но это долгий и сложный процесс, которому противостоят лоббисты. Поэтому некоторые налоговые «лазейки» остаются неисправленными и со временем становятся частью обычного бизнеса.

В сложных технических системах действуют различные наборы правил, и в конечном счете ошибки неизбежны. Если взлом произошел, значит, система его допустила. Хакер, взломавший компьютерную систему, перехитрил ее разработчиков. Если кто-то смог успешно обойти социальные нормы, значит, он перехитрил разработчиков общественной системы, сумел найти и использовать ошибки, связанные с историей развития общества, или нерегулируемые лакуны в нормах, в соответствии с которыми общество действует. Отличное знание системы избавляет от необходимости играть по правилам, которым подчиняются все остальные.

Главное в хакерском мышлении – это гибкость. Наша когнитивная система живет по тем же законам, которые руководят эволюцией: старые системы перепрофилируются, ненужные системы атрофируются. Это постоянное развитие происходит под влиянием среды, а не по воле некоего разработчика. Хакером буквально может стать каждый из нас.

Когда в некоторых американских школах ввели запрет на пользование мессенджерами, ученики стали общаться в общем файле Google Doc.

А бывший директор ЦРУ генерал Дэвид Петреус, которого обвинили в передаче секретной информации, пользовался тем же способом коммуникации, что и политический лоббист Трампа Пол Манафорт. Они делились с сообщниками учетной записью электронной почты и писали сообщения, сохраняя их как черновики без последующей отправки.

Чтобы мыслить как хакер, вы ищете упущения в правилах. Обнаруживаете, где перестают работать ограничения, которые система накладывает на вас. Вы начинаете естественным образом взламывать систему.

Взлом системы состоит из двух элементов: уязвимости и эксплойта, то есть использования. Пользоваться обнаруженной уязвимостью могут как киберпреступники, так и вполне респектабельные институты.

Когда в протоколе Microsoft была обнаружена уязвимость в системе связи клиент-сервер, позволяющая получить контроль над удаленным компьютером через отправку определенного пакета данных, этим воспользовалось Агентство национальной безопасности США (АНБ).

В технических системах взломы чаще всего исправляют сразу же после обнаружения. Обычно это можно сделать довольно быстро, хотя для крупных организаций внедрение во все уязвимые системы может представлять проблему.

В 2017 году в микропроцессорах Intel были обнаружены неполадки Spectre и Meltdown, возникшие в процессе оптимизации производительности. Они создавали угрозу безопасности и к тому же затрагивали не ПО, а аппаратное обеспечение. Устранить эти уязвимости программными средствами было очень сложно и до конца это сделать так и не удалось.

Защита от хакерства в технических системах

Автор выделяет четыре уровня защиты кибербезопасности:

1. Прогнозирование угроз на этапе проектирования.

2. Перепроектирование существующих систем для усложнения взлома.

3. Отработка реакции на угрозы – например, обучение сотрудников распознавать мошеннические письма или сознательная тренировка по распознаванию приемов когнитивных взломов.

4. Создание дополнительных систем безопасности, таких как двухфакторная идентификация или двойное подтверждение крупных переводов.

Принципы проектирования для минимизации уязвимостей:

• Простота: чем проще устроена система, тем меньше потенциальных точек для атак и ошибок. Сложные архитектуры могут содержать скрытые уязвимости, поэтому минимизация избыточности и упрощение процессов повышают безопасность.

• Глубокая защита (Defense in Depth): использование многоуровневых защитных мер, таких как многофакторная аутентификация, шифрование данных и контроль доступа, снижает вероятность компрометации системы. Даже если один из уровней защиты будет взломан, другие слои предотвратят полный компромисс.

• Разделение обязанностей и изоляция (Separation of Duties, SoD): для предотвращения злоупотреблений и ошибок критически важные задачи распределяются между разными пользователями или системами. Например, один сотрудник не должен иметь права одновременно создавать и утверждать платежи. Также важно ограничивать доступы к различным частям системы друг от друга, чтобы компрометация одной не приводила к взлому всей системы.

• Минимальные привилегии (Principle of Least Privilege, PoLP): пользователи и системы должны получать только тот уровень доступа, который необходим для выполнения их задач. Это снижает вероятность утечки информации, несанкционированного доступа и минимизирует потенциальный ущерб в случае компрометации учетной записи.

• Отказоустойчивость (Fail-Safe Mechanisms): система должна быть способна безопасно отключаться или переходить в защищенное состояние в случае ошибки, сбоя или атаки. Это позволяет минимизировать риски повреждения данных, потери контроля и дальнейшего распространения угроз.

Технические системы становятся небезопасными, когда изменяется модель угроз. Для поддержания безопасности в динамично меняющемся мире важно опережать хакеров, отслеживать изменения угроз и проводить исследования для разработки лучших методов защиты. Законодательство также должно быть гибким и адаптироваться к новым угрозам. Так, в области компьютерной безопасности в 1986 году был разработан закон о компьютерном мошенничестве и злоупотреблениях.