Говоря о хакерах, мы обычно представляем загадочных ИТ-профи, которые сидят за компьютерами и ищут системные ошибки, чтобы воспользоваться ими в своих коварных (и не очень) целях. Но мало кто задумывался о том, что взломать можно не только аккаунт в соцсети или банковский счет. Криптограф и специалист по кибербезопасности Брюс Шнайер своей книге «Взломать все: как сильные мира сего используют уязвимости систем в своих интересах» рассказывает о том, как можно воспользоваться слабыми местами социальных систем, таких как, например, налоговая или политическая. Книга выходит в июле в издательстве «Альпина». Inc. публикует ее отрывок.
Я развиваю сложное представление о хакинге. Дело не в том, что хаки — это непременное зло. И даже не в том, что они нежелательны и от них нужно защищаться. Речь о другом: нам нужно признать, что хакеры подрывают основополагающие системы, и решить, является эта подрывная деятельность вредной или она полезна.
К примеру, мы многое узнали о взломе налогового кодекса. В большинстве упомянутых случаев хакеры (бухгалтеры и налоговые адвокаты) находят в кодексе непреднамеренные уязвимости (лазейки).
Нечеткие формулировки в Законе о создании рабочих мест в США 2004 г. породили несколько уязвимостей в налоговом кодексе, и хорошо обеспеченные фирмы смогли воспользоваться ими с большим успехом. Самая заметная среди этих лазеек называлась «вычет за производственную деятельность внутри страны». Этот вычет должен был помочь отечественным производителям конкурировать на международном уровне, но он настолько широко определял производство («объединение или сборка двух или более изделий»), что всевозможные компании не преминули воспользоваться этим вычетом. Компания World Wrestling Entertainment получила его за производство видеороликов о реслинге. Продуктовые магазины претендовали на него, потому что они распыляют на продаваемые фрукты химикаты для быстрого созревания. Аптеки заявляли, что на их территории тоже есть производство — фотокабинки. Производитель подарочных корзин затребовал вычет на том основании, что объединил в одной упаковке вино и шоколад. В последнем случае правительство обратилось в суд, но проиграло.
Невозможно знать наверняка, но эта проблематичная формулировка, похоже, была намеренно внедрена законодателями под давлением лоббистов и в силу необходимости получить достаточное количество голосов в конгрессе для принятия закона. Эта налоговая льгота, имевшая непреднамеренные последствия, была одной из многих в законе. Она стала настолько популярной, что оставалась в силе до 2017 г., когда ее заменили вычетом на квалифицированный доход от предпринимательской деятельности.
По мере того как мы переходим от более простых к более сложным примерам, становится все труднее определить, полезен ли тот или иной хак. В чем именно заключается цель хоккейных правил? Соотносятся ли с этой целью изогнутые клюшки или они, наоборот, мешают ее достижению?
Изогнутые клюшки способствуют более быстрому движению шайбы, а значит, и более захватывающей игре. Но слишком быстрая шайба опасна и приводит к большему количеству травм. Когда Национальная хоккейная лига устанавливала правила, определяющие, насколько изогнутой может быть клюшка, она пыталась сбалансировать соображения безопасности и спортивного мастерства. С 1967 г. эти правила менялись, поскольку менялся баланс на чаше весов: сначала был разрешен максимальный изгиб в 3,81 см, затем в 2,54 см, потом в 1,27 см, а в настоящее время в 1,9 см.
Еще сложнее определить намерения сотрудников законодательного органа, которые разработали этот слишком широкий налоговый вычет для производства. Возможно, какой-то лоббист хакнул законодательный процесс, подкинув члену конгресса или его подчиненным заведомо расплывчатую формулировку, которой, по задумке лоббиста, начнут злоупотреблять? Считал ли член конгресса, что корпоративные налоги плохи по своей природе, и вставил в законопроект формулировки, которые, как он знал, не привлекут внимание, когда законопроект будет проходить через комитет и обсуждаться? А может быть, закон был просто плохо написан?
Является хак улучшением системы или нет, также зависит от точки зрения.
Умный предприниматель может использовать лазейку в законодательстве для собственной выгоды, его клиенты тоже будут довольны, а вот правительство может пострадать. Мы определили хакинг как технику, которая придерживается правил системы, но подрывает ее замысел, ее цель.
И это не всегда плохо. Как мы успели убедиться, некоторые хаки являются полезными инновациями. В конечном итоге они нормализуются и улучшают систему. В Китае, например, реформистские правительства 1980–1990-х гг. маневрировали, обходя сопротивление частных собственников с помощью таких хакерских приемов, как предложение арендаторам 70-летней возобновляемой аренды на землю. Они следовали правилам коммунистической партии, но полностью подрывали их суть. Сама система не может отнести конкретный хак к той или иной категории. Это должна сделать более общая управляющая система, потому что определение взлома зависит от контекста.
Банкомат существует в более широком контексте банковской системы. Правила игры в хоккей существуют в более широких контекстах игроков, лиг, болельщиков и общества в целом. Примеры в этой книге из любой области — будь то банковское дело, экономика, право и законодательство, психология — существуют в более широком социальном контексте наших идентичностей, отношений, желаний, ценностей и целей.
Это ставит нас перед очевидным вопросом: кто должен определять цель системы? Кто решает, является хак полезным или нет? Стала подорванная система лучше или нет?
Это действительно сложные вопросы, особенно что касается систем, у которых несколько разработчиков, или систем, эволюционирующих с течением времени. Одни сочтут хак полезным, другие — вредным. Вот некоторые истины, которые невозможно понять, находясь внутри системы, но которые становятся очевидными на более высоком системном уровне. Все компьютерные программы в конечном счете представляют собой сложный код замыкания и размыкания электрических цепей, представляющий собой набор нулей и единиц, но простого юзера это не волнует — он не пишет в машинном коде. Что нас волнует, так это задачи, которые код позволяет решить: просмотр фильма, отправка сообщений, чтение новостей и финансовых отчетов. Если перенести это сравнение на язык биологии, то молекулярные структуры и химические реакции, характеризующие жизнь, выглядят как невероятно сложный хаос, пока вы не подниметесь на уровень организма и не поймете, что все они выполняют функцию поддержания в нем жизни.
В предыдущих главах мы сталкивались с разными органами управления, в чьи обязанности входит вынесение решений. В более простых системах может быть единственный орган управления, имеющий всего одно назначение. Комиссия по азартным играм штата Невада обновляет правила казино на основе анализа хаков. Международная автомобильная федерация делает то же самое в отношении гонок «Формула-1», а Международная федерация футбола — в отношении футбола.
Подрывают ли хаки цель системы? Или же они способствуют ее реализации? В чем вообще заключается цель системы? Единого ответа нет. Он не сводится к анализу хаков и системы; он будет зависеть от вашей морали, этики и политических убеждений.
Всегда существуют обоснованные разногласия по поводу того, следует нормализовывать конкретный хак или нет. В конечном счете важно, кто от этого выиграет, а кто проиграет. Но это тоже политически спорный момент. Поэтому проводятся дебаты и, возможно, голосование. И на первое, и на второе влияют деньги и власть.
Вот пример. В 2020 г. президент Трамп хотел назначить отставного бригадного генерала Энтони Тата на должность заместителя министра обороны по вопросам политики, что требует утверждения сенатом США. Когда стало ясно, что сенат никогда его не утвердит, Трамп отозвал кандидатуру и вместо этого назначил его должностным лицом, «исполняющим обязанности» заместителя министра обороны по вопросам политики. Трамп неоднократно использовал термин «исполняющий обязанности», чтобы обойти утверждение сенатом представленных им кандидатур. Это хакинг Закона о реформе вакансий 1998 г. Но чем он является: вопиющим пренебрежением обязанностями сената или же разумным ответом на слишком широкое требование о том, чтобы сенат утверждал 1 200 исполнительных должностей? Это зависит от вашего личного мнения о том, как должно работать правительство.