Как хакеры взламывают социальные системы
Брюс Шнайер — преподаватель в Гарвардской школе Кеннеди, криптограф, специалист по кибербезопасности и автор книги «Взломать всё: как сильные мира сего используют уязвимости систем в своих интересах». В своей статье Шнайер раскрыл пять ключевых тезисов книги, а мы перевели этот текст для вас.
Хакинг повсюду
Обычно хакинг считают чем-то, что обязательно связано с компьютерами, но взломать можно любую систему правил. Возьмем, к примеру, налоговый кодекс. Его аналоговый код представляет собой набор правил и алгоритмов. В нем есть уязвимости, которые мы называем лазейками. У него есть эксплойты — мы называем их стратегиями ухода от налогов. Существует индустрия «черных» хакеров, которые находят уязвимые места. Мы называем их налоговыми адвокатами и бухгалтерами.
Итак, что же такое хак? Хак — действие, которое допускается системой, но для ее создателей является непредвиденным и нежелательным. Это субъективный термин, который включает в себя новизну, смекалку, эксплуатацию уязвимостей или диверсию. Хаки следуют правилам системы, но подрывают намерения ее создателей. Я сознательно предлагаю вам общее определение: оно охватывает хаки компьютерных, социальных, политических и экономических систем (например, налогового кодекса), рыночной экономики, системы принятия законов или избрания лидеров.
Все системы могут быть хакнуты. Даже тщательно продуманные своды правил будут содержать лакуны и узкие места. В них будут неточности. Пока есть люди, которые хотят использовать системы в своих целях, хаки будут происходить.
Например, в 1975 году одна команда «Формулы-1» вывела на трассу шестиколесный автомобиль. Все решили, что это противоречит правилам, но оказалось, что в спортивном регламенте ничего не говорится о количестве колес, которое может быть у болида. Или возьмем хак программ для часто летающих пассажиров. Помните, как люди охотились за милями? Банковские и финансовые системы США также были хакнуты: для этого в 1970-х использовались нау-счета, а в 2010 году — обход закона Додда—Франка. Финансовые биржи регулярно подвергаются хакерским атакам: это инсайдерская торговля, фронтраннинг и высокочастотный трейдинг.
Хаки становятся нормой
Считается, что разработчики быстро закрывают уязвимости. Это верно для компьютерных систем, но в других системах часто процесс идет долго. Хак обнаружен. Им пользуются. Он становится все более популярным. Регуляторы узнают об этом, и тогда поступают одним из двух способов: либо меняют систему, чтобы предотвратить возможность использования хака, либо включают хак в систему, чтобы сделать его нормой.
Руководство гонок «Формулы-1» обновило свой свод правил, запретив устанавливать на автомобиль больше или меньше четырех колес. Многие вещи, которые мы считаем нормальными, начинались как хаки. Взять хотя бы хаки в банковском деле и финансах. Хедж-фонды полны хаков, и большинство из них превратились в норму. Или, например, политическая система. Филибастер — хакерская атака, изобретенная римским сенатором в 60 году до нашей эры и нормализованная в Сенате Соединенных Штатов.
7 вещей из Древнего Рима, которые могут пригодиться в наши дни
Тога, любовь к слову и правовая культура
Самые эффективные хакеры — богатые и влиятельные люди
В нашем представлении хакингом занимаются бесправные люди, противостоящие могущественным системам. Однако Агентство национальной безопасности, вероятно, является самым эффективным объединением хакеров в мире. У них есть бюджет, опыт и законные основания делать то, что делают.
Богатые люди взламывают системы в своих интересах чаще одиночек-активистов. Они лучше находят уязвимости в системах, потому что могут выделить больше ресурсов на эту задачу. Они могут купить опыт. У них больше возможностей использовать хаки. Их хаки с большей вероятностью станут нормой, потому что богатые могут влиять на лиц, принимающих решения. Вспомните о гиг-экономике и компаниях, хакающих локальные законы, — таких как Uber и Airbnb.
Хакинг — результат адаптации и эволюции систем
Хакинг заключается в поиске вариантов сбоя. Когда новые варианты находятся, они приводят к неожиданным и иногда положительным результатам. Более крупные системы, такие как спортивные организации, налоговые органы или правительства, могут объявить хаки законными или незаконными. Так развиваются системы.
Наблюдательные люди разными способами взламывали свод законов, которому более двух тысяч лет, чтобы он функционировал в современную эпоху. Это пример эволюции системы. Процесс идет проще, когда существует единый руководящий орган, как, например, администрация «Формулы-1», авиакомпания, столкнувшаяся с «охотниками за милями», или Microsoft, которая борется со взломом своего программного обеспечения. Если руководящего органа нет, нужны альтернативные способы арбитража хаков. Одним из них является судебная система.
Суды выносят решения по хакам. Судьи решают, какой хак станет нормой, а какой следует запретить. Допустим, вы придумываете новый способ интерпретации закона, с которым никто никогда раньше не сталкивался. Кто-то заявляет, что так делать нельзя. Вы оба предстанете перед судом, и судья принимает решение. Именно так многие системы внедряют полезные хаки, а правовая система адаптируется к меняющимся обстоятельствам.
С помощью хакинга эволюция проходит эффективнее, чем через традиционные механизмы обновления правил. Система использует противника и эволюционирует быстрее.
Компьютеры ускоряют процесс социального хакинга
Люди взламывали системы на протяжении тысячелетий, но теперь ситуация изменилась. Цифровизированные социально-технические системы принимают участие во всех человеческих взаимодействиях, а следовательно, их становится возможным взломать с помощью компьютеров. Взлом компьютерных систем слился со взломом систем социальных, и вместе они влияют на многие другие системы. Компьютеры ускоряют общественные изменения; с ними ускорился и хакинг. Выросли также масштаб и значимость происходящих изменений, а значит, выросли потенциальные угрозы. Системы становятся все обширнее, а значит, расширяются последствия хакинга.
Мало кто хочет изменить ситуацию. Существует убеждение, что государственное судебное преследование хакеров — нечто плохое, и общественное порицание хакерства, выступавшее в качестве ограничивающего фактора, сегодня практически исчезло.
Развитие искусственного интеллекта и робототехники лишь усугубят ситуацию — особенно когда ИИ, подобно людям, будет взламывать наши системы. Нейросети уже сейчас находят уязвимости в компьютерном коде. У них это не очень хорошо получается, но со временем они станут лучше. Представьте, что вы скармливаете ИИ налоговый кодекс и приказываете ему найти полезные и прибыльные для вас хаки? Найдет ли он десять, сто или, может быть, тысячу хаков? Как это будет работать?
Есть одна известная история о Volkswagen. Компанию поймали на мошенничестве с тестами на количество вредных выбросов. Это был хак, найденный не компьютером, а человеком. Инженеры Volkswagen запрограммировали свой двигатель таким образом, чтобы он вел себя иначе во время тестирования. Этот хак оставался в тайне около десяти лет, поскольку понять, что делают компьютеры, нелегко. А теперь представьте, что перед системой на основе искусственного интеллекта поставили бы цель максимизировать производительность двигателя во время теста по контролю выбросов. ИИ придумал бы этот хак самостоятельно, и мы бы могли никогда не узнать об этом, потому что не видели бы кода.
Именно такие хаки будут происходить, ведь цели, которые люди ставят перед ИИ, всегда недостаточно конкретизированы, и алгоритмы искусственного интеллекта, естественно, будут взламывать системы подобно людям. Разница в том, что люди знают, что делают, когда что-то взламывают.
Мы должны научиться использовать хакинг для социального прогресса, не разрушая при этом общество. Хаки становятся все более распространенными: это самый быстрый способ модифицировать системы и получить преимущество. В ответ на меняющиеся обстоятельства нам нужно сделать наши социальные системы более устойчивыми и гибкими, и в этом случае хакерство будет благом, если его должным образом ограничить.
Как создать системы управления, способные быстро выносить решения по хакам? Можем ли мы разработать фреймворк, который сможет решать, полезно ли предотвращать или поощрять конкретный хак? Создадим ли мы более демократичную среду, где у всех будут равные возможности для взлома систем, чтобы хаки улучшали социальные системы, а не играли на руку тем, кто обладает деньгами и властью?