Шрифт:
Наверное, самым важным и до некоторой степени тревожным можно назвать тот факт, что многие устройства, которые даже не принято считать цифровыми, не говоря уже об отнесении их к компьютерам, стремительно расширяют свое присутствие в киберпространстве: автомобили, бытовая техника, «умные дома». Сети, объединяющие их, могут быть проводными и беспроводными, коротковолнового и длинноволнового диапазона, полностью открытыми или выделенными для определенных задач, таких как телекоммуникации. Самой важной из этих сетей, безусловно, является Интернет.
Конечно, между киберпространством и реальным миром нет четкой границы, их элементы взаимодействуют все активнее с каждым днем. Все сложнее найти человека, который не пользуется Интернетом [10] , компанию, которая не представлена онлайн, или технологии, никак не связанные с киберпространством. И при этом большая часть происходящего в киберпространстве – результат нажатия кнопок на физических устройствах, запускающих программы на компьютерах, которые можно пощупать.
10
Согласно Internet World Stats (Miniwatts Marketing Group), по состоянию на 14 июля 2019 года, https://www.internetworldstats.com/stats.htm, чуть более половины населения мира уже в Интернете.
Задумайтесь на секунду, насколько сильно вы зависите от киберпространства. Вспомните, как вы общаетесь с друзьями, где читаете и смотрите новости и как выбираете, где провести следующий отпуск. Как ведете финансы и делаете покупки. Не забывайте о музыке, фильмах, фотоальбомах. Я уже упоминал об автомобиле? Он открывает двери по нажатию кнопки, всегда знает, где находится, отчитывается производителю о неполадках и понемногу учится ездить самостоятельно. И это лишь верхушка айсберга. Каждый день вы полагаетесь на множество незаметных вещей, которые просто работают. Самолеты летают, электричество питает устройства, сигнал светофора меняет цвет. В наши дни киберпространство повсюду.
Вместе с киберпространством в нашу жизнь потихоньку проникают и киберпреступники. Сеть – это чудесное место для совершения преступлений. Не ограниченные расстоянием, злоумышленники в любой точке мира находят возможность совершить налет на ваш дом. Это идеальное место для того, чтобы пускать пыль в глаза: подросток, сидя в своей комнате, может притвориться представителем вашего банка или сымитировать веб-сайт торгового центра. В новостях постоянно мелькает что-то о нарушении безопасности посредством компьютеров – и это лишь то, что на слуху.
Точные цифры установить крайне сложно, но, если верить компании кибербезопасности Norton, в 2017 году в мире было 978 миллионов жертв киберпреступлений (и в общей сложности 172 миллиарда долларов ущерба [11] ). Компания профессиональных услуг PwC утверждает, что в 2016 и 2017 годах [12] 31 % случаев корпоративного мошенничества приходился на киберпреступления. А исследования Cybersecurity Ventures говорят о 6 триллионах долларов, в которые киберпреступность обошлась глобальной экономике в 2021 году [13] . Киберпространство по большей части не попадает в наше поле зрения, и мы, как правило, о нем просто не думаем. Это могут подтвердить иранские ученые на заводе по обогащению урана в Нетензе, чьи центрифуги в 2010 году [14] начали загадочным образом ломаться, или руководители Sony Pictures, невольно ставшие в 2014 году звездами собственного фильма ужасов, когда их корпоративная переписка, доходы и еще не вышедшее кино оказались достоянием всей сети [15] .
11
«2017 Norton Cyber Security Insights Report Global Results», Norton by Symantec, 2018, https://www.symantec.com/content/dam/symantec/docs/about/2017-ncsir-global-results-en.pdf.
12
Почти каждая вторая организация утверждает, что она была жертвой мошенничества и экономических преступлений, 31 % из этих случаев относится к киберпреступности: «Pulling Fraud Out of the Shadows: Global Economic Crime and Fraud Survey 2018», PwC, 2018, https://www.pwc.com/gx/en/services/advisory/forensics/economic-crime-survey.html.
13
Это внушительная оценка того, что нельзя измерить. Но она отражает идею о том, что в связи с нашей повышенной активностью в киберпространстве возрастает вероятность того, нас там кто-то обманет. Эти конкретные цифры взяты из отчета по киберпреступности за 2017 год, Cybersecurity Ventures, https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report.pdf.
14
Компьютерное вредоносное ПО Stuxnet использовалось для атаки на завод по обогащению урана в Нетензе, Иран, в котором в начале 2010 года начали замечать неполадки. Это, пожалуй, первый общеизвестный пример того, как важный индустриальный объект стал жертвой атаки из киберпространства. Это не только усилило напряжение вокруг данного инцидента в сфере международной политики и ядерной безопасности, но и послужило напоминанием всему миру о том, что критически важная национальная инфраструктура все чаще подключена к киберпространству. Атака на Нетенз проводилась не напрямую через Интернет, а, как считается, была инициирована с помощью зараженных USB-накопителей. О Stuxnet и Нетензе много всего написано – например, см. Countdown to Zero Day: Stuxnet, and the Launch of the World’s First Digital Weapon, Ким Зиттер (Broadway, 2015).
15
В ноябре 2014 года компания Sony Pictures Studios подверглась целому ряду кибератак, которые привели к раскрытию конфиденциальных сведений о ее сотрудниках и удалению данных. Злоумышленники требовали от Sony остановить выход нового комедийного фильма о Северной Корее. Например, см. статью Андреа Питерсон «The Sony Pictures Hack, Explained» в Washington Post от 18 декабря 2014 года, https://www.washingtonpost.com/news/the-switch/wp/2014/12/18/the-sony-pictures-hack-explained/?utm_term=.b25b19d65b8d.
Мы существа из плоти и крови, эволюционировавшие в реальном мире, и мы неплохо ориентируемся в физических средствах безопасности вроде дверей с замками, паспортного контроля, подписанных и заверенных документов и т. п. Но нам с очевидностью не хватает той же степени понимания кибербезопасности. Этому, конечно, способствует виртуальная природа киберпространства, но я подозреваю, что основная причина – отсутствие хотя бы элементарного понимания, что такое эта самая безопасность в киберпространстве. Мы оставляем открытыми настежь парадные двери, передаем незнакомцам реквизиты банковских счетов и высекаем интимные записки на цифровой скрижали, с которой их уже не стереть. Я покажу вам, как криптография пытается решить саму суть этой проблемы и дает возможность принимать взвешенные решения о том, как защитить себя и свои данные.
Понимание основ криптографии поможет вам оценить важность технологий безопасности, которыми вы пользуетесь ежедневно. Пароли применяются повсюду, но и недостатков у них множество. Кстати, знаете ли вы, что ваш онлайн-банкинг, скорее всего, защищен «идеальным» криптографическим паролем? Криптография в конечном счете полагается на секретные элементы, известные как ключи. Я попытаюсь повысить вашу осведомленность о важности этих ключей для вашей цифровой безопасности, и советую вам относиться к ним так же бережно, как и к физическим ключам, а в идеале еще бережней, так как зачастую в киберпространстве ваш ключ – единственное, что отличает вас от остальных 4,5 миллиарда пользователей Интернета. Не правда ли, крайне важно иметь о них какое-то представление и знать, где они хранятся?
Информированность о криптографии также поможет вам адекватно реагировать на проблемы кибербезопасности, с которыми вы сталкиваетесь. Каковы потенциальные последствия подключения к незащищенной сети Wi-Fi? Так уж ли важны разные пароли для разных учетных записей? Стоит ли продолжать работу с веб-сайтом, у которого нет действительного сертификата? И что насчет всех этих новых историй о кибербезопасности? В 2017 году широко распространилась новость о том, что сети Wi-Fi, использовавшие определенный протокол шифрования, оказались небезопасными [16] , и что криптографическое оборудование от Infineon было легко взломать [17] . 2018 год начался с новости о дефектных чипах многих устройств Apple [18] . Пора ли паниковать? Принимать ли меры самостоятельно, или об этом позаботится кто-то другой? Следует ли быть в восторге от блокчейна? Или, может, пора волноваться о квантовых компьютерах?
16
Широко освещавшиеся атаки с переустановкой ключей были направлены на протокол безопасности WPA2, который использовался для криптографической защиты сетей Wi-Fi: Мэти Ванхоф, «Key Reinstallation AttacksWPA2 by Forcing Nonce Reuse», последнее обновление в октябре 2018 года, https://www.krackattacks.com.
17
Атака ROCA использует уязвимость в криптографической программной библиотеке для генерации ключей RSA, которые использовались в смарт-картах, токенах безопасности и других защищенных чипах производства Infineon Technologies. В результате появлялась возможность восстановить закрытые ключи для расшифровки: см. отчет Петра Свенды, «ROCA: Vulnerable RSA Generation (CVE15361)», опубликованный 16 октября 2017 года, https://crocs.fi.muni.cz/public/papers/rsa_ccs17.
18
Эксплойты Meltdown и Spectre использовали слабые места в широко распространенных компьютерных чипах. В январе 2018 года стало известно, что они затрагивают миллиарды устройств по всему миру, включая модели iPad, iPhone и Mac: «Meltdown and Spectre: All Macs, iPhones and iPads affected», BBC, 5 января 2018 года, http://www.bbc.co.uk/news/technology-42575033.