Секреты и ложь. Безопасность данных в цифровом мире
Секреты и ложь. Безопасность данных в цифровом мире читать книгу онлайн
В этой книге Брюс Шнайер – автор нескольких бестселлеров и признанный специалист в области безопасности и защиты информации, опираясь на собственный опыт, разрушает заблуждения многих, уверенных в конфиденциальности и неприкосновенности информации. Он разъясняет читателям, почему так сложно предотвратить доступ третьих лиц к личной цифровой информации, что нужно знать, чтобы обеспечить ее защиту, сколько средств следует выделять на обеспечение корпоративной безопасности и многое, многое другое.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Например, малайзийская компания хотела продавать презервативы, используя торговую марку Visa. Малазийцы заявили, что не имеют ничего общего с компанией кредитных карт, но эта «игра слов» дает им своего рода пропуск. Провести настоящую Visa не удалось – компания предъявила иск. Она победила, и я считаю, что такой прецедент имеет важное значение для защиты права собственности на фирменный знак.
Киберпространство предоставляет широкие возможности для кражи фирменного знака. В 1998 году кто-то подделал запрос на передачу имени домена в Network Solution и украл Sex com; настоящий владелец до сих пор еще пытается вернуть его назад [6]. В другом случае некий сантехник заменил телефонный номер на сайте другого такого же специалиста на свой. Преступные синдикаты в Лас-Вегасе сделали подобный трюк с телефонными номерами эскорт-услуг. Атаки такого рода не представляют собой ничего нового. Элмон Строугер был предпринимателем из Канзас-Сити. Он был убежден, что телефонисты перенаправляют звонки, поступающие к нему, в фирмы-конкуренты, поэтому в 1887 году изобрел телефонный диск, дабы исключить телефонистов.
Некоторые знатоки устраивают свой веб-сайт таким образом, чтобы красть трафик с других веб-сайтов; это известно как редирект, перенаправление (page-jacking). В Сети есть и тайпсквоттеры, «пираты» опечаток, регистрирующие имя домена, которое выглядит как имя оригинального веб-сайта, написанное с опечаткой. Так поступают создатели многих порносайтов. Даже большие компании не чуждаются такого рода приемов: когда стал популярен 1-800-COLLECT, компании MCI и AT&T создали свою службу телефонных разговоров, оплачиваемых абонентом, которому звонят. У AT&T ею стала 1-800-C0LLECT (нуль вместо буквы «О» – наиболее распространенная ошибка набора), a MCI опустился до того же, зарегистрировав 1-800-0PERATOR с тем же нулем вместо буквы «О», но в другом месте. Некоторые подобные приемы сегодня запрещены, и я надеюсь, что в будущем запретят и остальные.
К сожалению, судебное преследование в киберпространстве может быть затруднено. Казалось бы, преступления точно такие же – ведь кража противозаконна: хоть аналоговая – хоть цифровая, хоть на линии – хоть без нее. Набор действий тоже одинаков: злоупотребление, подделка, рэкет, мошенничество – как и квалификация, и преследование по закону в соответствии с уголовным кодексом. Законы против таких поступков (вместе с инфраструктурой уголовного правосудия для того, чтобы претворять их в жизнь) уже есть. Были приняты и некоторые новые законы, специально для цифрового мира, но мы пока не знаем всех их тонкостей. Но темп работы судебной системы отличается от темпа развития Интернета, и США может потребоваться десятилетие на то, чтобы упразднить плохо работающий закон или понять, как на самом деле нужно его применять.
Через какое-то время законы будут лучше отражать действительность цифрового мира. Несколько лет назад, когда поймали группу немецких хакеров, взломавших компьютерные системы США, у немецкого правительства вовсе не было уголовных законов, по которым их можно было бы осудить. Сегодня уже некоторые уголовные кодексы расценивают как преступление поступки вроде взлома удаленных компьютерных систем, тогда как старые законы о посягательстве не очень-то касались правонарушителей, удобно сидящих в своих спальнях, в то время как команды, поступающие по телефонной сети с их компьютера, совершают правонарушения. Постепенно законы о преследовании, вторжении в частную жизнь, авторском праве и подстрекательстве приспосабливаются к условиям мира, в котором вещи работают не совсем так, как все привыкли.
В конечном счете люди осознают, что нет смысла писать законы, которые специфичны для какой-либо технологии. Мошенничество есть мошенничество вне зависимости от того, что является средством – почта, телефон или Интернет. Правонарушение не становится более или менее преступным, если в нем используется криптография. (Нью-йоркские продавцы, которые в 1999 году при помощи Palm Pilot [7] копировали номера кредитных карт покупателей, не были бы менее виновны, если бы использовали ручку и бумагу.) И вымогательство не становится лучше или хуже, если его осуществляют с использованием компьютерного вируса, а не старомодных компрометирующих фотографий. Хорошие законы написаны так, чтобы не зависеть от технологии. В мире, где технологии движутся вперед намного быстрее, чем заседания Конгресса, только они и могут работать. Механизмы для более быстрого и чуткого законодательства, может быть, когда-нибудь и появятся.
Вмешательство в частные дела не обязательно будет преступлением, но может им стать (оно, например, может быть прелюдией к присвоению личности). В США почти все такие вторжения законны. Людям не принадлежит информация о них самих. Если кредитное бюро или фирма, занимающаяся маркетинговыми исследованиями, собирают о вас информацию – о ваших личных привычках, схеме покупок, финансовом статусе, физическом здоровье, – они вправе продать сведения любому, кому захотят, без вашего ведома и согласия. Впрочем, это везде по-разному. Законы о неприкосновенности частной жизни в большей части Европы (охватывающей Европейский Союз), на Тайване, в Новой Зеландии и Канаде более суровы.
Другие типы вмешательства в частные дела тоже считаются законными. Когда нанимают частного детектива, чтобы собрать информацию о человеке или компании, это законно до тех пор, пока он не использует никаких противоправных методов. Любого рода вмешательство полиции в частную жизнь законно при наличии ордера, но многое законно и без него. (Знаете ли вы, что полиции США не нужен ордер, чтобы потребовать сделать копии с фотопленок, которые вы сдали на проявку?)
Существует два принципиально разных типа вторжений в личную жизнь: направленная атака и сбор информации. При направленной атаке злоумышленник хочет узнать все об Алисе. Если Алиса – человек, то атака называется преследованием. Если «Алиса» – компания, то это производственный шпионаж. Если «Алиса» – правительство, то такую атаку называют национальной разведкой или шпионажем. Любая из этих атак доведет вас до тюрьмы при использовании одних методов и не приведет к подобному результату при использовании других.
Компьютерные меры безопасности могут защитить Алису от направленной атаки, но только до определенного момента. Если злоумышленников достаточно хорошо финансируют, они всегда их обойдут. Например, установят жучок в офисе Алисы, перероют ее мусор или будут следить за ней при помощи телескопа. Информация есть информация, и компьютерные меры безопасности защищают ее, пока она в компьютере. Такие меры работают против бесконтактных атак. Они заставляют злоумышленников подбираться поближе к Алисе и делают вторжение в частную жизнь более опасным, дорогим и попадающим в сферу действия разных неприятных законов.
Сбор информации – это другой тип вторжений в личную жизнь. Такие атаки используют косвенные методы. Предположим, злоумышленнику нужен список всех вдов не моложе 70 лет, у которых в банке не менее миллиона долларов, которые за прошлый год участвовали более чем в 8 благотворительных акциях и подписываются на астрологический журнал. Или список всех жителей США, подписанных на AZT [8]. Или тех, кто посещал определенный социалистический веб-сайт. Аферисты сто лет собирали бы имена людей, которые могли бы поддаться определенному жульничеству, в то время как широкая распространенность баз данных в Интернете позволяет им автоматизировать и оптимизировать их поиск.
Хорошее шифрование и компьютерная безопасность в состоянии помочь защититься от атак по сбору информации (если считать, что это незаконно – просто купить информацию у того, кто владеет различными базами данных), делая затруднительной процедуру сбора. Сбор информации выгоден только потому, что его можно автоматизировать; нет никакого смысла перерывать всю мусорную корзину соседа, чтобы найти демографические данные. Если же все компьютерные данные защищены, злоумышленник просто не знает, где ему смотреть. Даже не самые высокие уровни криптографии могут полностью защитить от атак по сбору информации.