Веб дает больше возможностей для вторжения в частную жизнь. Электронные магазины могут, теоретически, сохранять записи обо всем, что вы купили (Blockbuster, например, фиксирует в базе данных все видео, которые вы брали напрокат). Также можно сохранять записи обо всем, на что вы просто смотрели: любой предмет, по которому вы просили показать более полную информацию, любую тему, по которой вы искали данные, как долго вы изучали каждый вопрос, а также не только что вы купили, но и на что вы смотрели и не купили.
Оперативные базы данных оказывают огромную помощь полиции по обеспечению правопорядка – они действительно помогают автоматически получить оперативные сведения и фотографии прямо в патрульную машину, – но остается опасность нарушения конфиденциальности. Полицейские базы данных не более безопасны, чем любые другие коммерческие базы данных, но информация в них намного более секретная.
Анализ трафика – это изучение параметров передаваемой информации. Не содержимого самого сообщения, а его характеристик. Кто с кем общается? Когда? Насколько длинные сообщения? Как быстро посылаются ответы, насколько они длинные? Какого рода связь возникает после получения определенного сообщения? Это все вопросы анализа трафика, и ответы на них могут быть очень информативны.
Например, то, что каждый раз, когда Алиса шлет длинное сообщение Бобу, Боб посылает короткий ответ Алисе и длинное сообщение пяти другим людям, указывает на цепь передачи команд. Алиса просто отсылает распоряжения Бобу, который передает их своим подчиненным. Если Алиса регулярно посылала Бобу короткие сообщения и внезапно посылает ряд длинных, то это говорит об изменении чего-то (чего?).
Часто даже системы передачи информации так же важны, как сама информация. Например, простой факт, что Алиса звонит каждую неделю известному террористу, более важен, чем детали их разговора. Нацисты использовали данные анализа телефонных счетов в оккупированной Франции, чтобы арестовывать друзей арестованных; их на самом деле не интересовало, о чем был разговор. Звонки из Белого дома Монике Левински довольно показательны даже без записи беседы. В часы, предшествующие американской бомбардировке Ирака в 1991 году, доставка пиццы в Пентагон стократно возросла. Любой, обративший на это внимание, точно знал: что-то произошло (довольно интересно, что ЦРУ заказывало такое же количество пиццы, как обычно). Некоторые исследования показывают, что даже если вы зашифруете свой веб-трафик, анализа, основанного на размере зашифрованных веб-страниц, более чем достаточно, чтобы понять, что вы просматриваете.
Хотя военные используют анализ трафика уже десятки лет, он до сих пор – новая область исследований в академическом мире. Мы в действительности не знаем, насколько коммуникации, особенно наши интернет-связи, уязвимы для анализа трафика и что можно сделать для снижения риска. Ожидается, что в будущем это будет важной научной областью.
ECHELON – это кодовое обозначение автоматизированной глобальной системы перехвата, управляемой службами безопасности США, Великобритании, Канады, Австралии и Новой Зеландии, возглавляет которую Агентство национальной безопасности. По оценке специалистов, ECHELON перехватывает ежедневно до 3 миллиардов сообщений, включая телефонные звонки, сообщения электронной почты и информацию Интернета, спутниковые передачи и т. п. Система собирает все эти передачи без разбора, а затем сортирует и очищает информацию при помощи программ искусственного интеллекта. В некоторых источниках заявляется, что ECHELON анализирует 90% данных интернет-трафика, хотя это кажется сомнительным[11].
Такие попытки широкомасштабного наблюдения устрашают и порождают некоторые уникальные проблемы. Информация, полученная таким путем, полезна, если только придать ей вид, в котором люди могли бы ее понять и действовать в соответствии с результатами ее анализа. Соединенные Штаты перехватили сообщение для японского посла в Вашингтоне, в котором обсуждалась бомбардировка Пирл Харбора, но эта информация приобрела смысл только в ретроспективе и не могла обрести его раньше из-за низкого уровня квалификации служащих, к которым она попала. Но трудно не только анализировать данные, но и принять решение, что нужно записывать.
Потенциально перехват системой ECHELON – нескончаемый поток данных, который никогда не смогли бы обработать сколь угодно много аналитиков. Перехватывающее устройство должно решить в реальном времени, стоит или нет записывать часть информации для дальнейшего анализа. И система не может позволить себе слишком много «дальнейших анализов» – она должна продолжать запись информации. Я уверен, что наиболее ценная часть записанной информации никогда не будет изучаться людьми подробно.
Чтобы построить систему, аналогичную этой, вам следовало бы инвестировать деньги в две технологии: возможности первичной обработки и анализ трафика.
Оборудование перехвата должно получить возможность быстро характеризовать фрагменты информации: кто отправитель и получатель, тему сообщения, как ее классифицировать. (Если вы считаете, что трудно проделать такую работу с информацией Интернета и электронной почты, подумайте, как сложно это сделать при речевом общении.) Во многом эта технология похожа на ту, что заложена в поисковых системах.
Анализ трафика еще более важен. Схемы трафика проясняют многое о любой организации, и их намного проще собирать и анализировать, чем реальные коммерческие данные. Эти схемы также поставляют дополнительную информацию для первичной обработки. Тщательно разработанные базы данных по схемам трафика, несомненно, являются сердцем любой подобной ECHELON системы.
Последний аккорд: в мире, где большинство сообщений не зашифровано, зашифрованные сообщения, возможно, записываются регулярно. Простого знака, что собеседники не хотят, чтобы их подслушали, будет достаточно, чтобы бить тревогу.
Концепция атак ради известности очень проста: «Как мне атаковать систему, чтобы мое имя появилось в газетах?» Такой тип атаки является относительно новым в цифровом мире: несколько лет назад взлом компьютерной системы не считали достойным освещения в прессе, и я не могу найти в истории никакой другой технологии, которую люди пытались бы испортить только для того, чтобы их упомянули в газете. В физическом мире, однако, этот тип атаки древен: человек, который сжег Храм Артемиды в Древней Греции, сделал это только потому, что хотел, чтобы его имя осталось в веках. (Кстати, его звали Герострат.) Из более позднего упомяну искавших того же детей, которые расстреляли школу в Колумбине.
Большинство злоумышленников такого типа – это хакеры: умельцы, много знающие о системах и их безопасности. Часто у хакеров есть доступ к значительным ресурсам – в лице студентов большого университета или служащих крупных компаний. У них обычно нет больших денег, но иногда случается избыток времени. Кроме того, они чаще всего не делают того, что может привести их в тюрьму: основная их цель – огласка, а не заключение под стражу.
Канонический пример такой атаки: два аспиранта университета Беркли в 1995 году взломали схемы кодирования Netscape Navigator. Обнаруженные в системе слабые места аспиранты не использовали для получения незаконной прибыли, а просто позвонили в Нью-Йорк Таймс. Реакция Netscape была примерно такая: «Мы провели ряд вычислений и полагаем, что такая атака потребовала бы безумных затрат; мы не думаем, что взлом системы стоил бы чьих-то усилий». Они правы: взлом не стоит усилий… для того, кого интересуют деньги. У аспирантов были все навыки, доступ ко всем свободным компьютерам в университете и никакой общественной жизни[12].
Что важно осознать создателям систем – так это то, что люди, желающие огласки, не укладываются в ту же модель, что и преступники. Преступники будут атаковать систему, только если от этого можно получить выгоду; люди, которым необходима огласка, будут нападать на систему, если высока вероятность, что это станет освещаться прессой. Для них атаки, направленные на крупномасштабные системы и широко распространенные программные продукты, – лучше всего.
11
База США в Германии Bad Aibling, выполнявшая с 1947 года радиопрослушивание стран Восточной Европы, а в последние годы работавшая на систему ECHELON, расформировывается в 2002 году вследствие недоверия немцев. Высказывались опасения, что Bad Aibling в числе прочего занимается промышленным шпионажем. – Примеч. ред.
12
Это утверждение больше напоминает проблему отцов и детей. Внештатный эксперт PC Magazine и автор многих книг по информационным технологиям Джефф Просис провел собственное расследование по следам раскрытия алгоритма защиты информации Netscape. В опубликованной им статье говорится, что Netscape разразилась подобным заявлением, но только в ответ на сообщение аспиранта из Франции Долигеса, который, используя мощности 120 рабочих станций и двух суперкомпьютеров, за 8 дней «в лоб» рассчитал значение 40-битового ключа SSL-сообщения. Эту задачу ранее пытались решить многие с целью убедить правительство США снять экспортные ограничения на средства шифрования (для работы американских компаний за пределами США). Долигес «сделал это», но за месяц до того, как действительно два студента Беркли решили другую задачу – обнаружили, что ключ задается на базе ненадежного случайного числа. Им удалось сузить диапазон возможных ключей, и они определили, что уровень защиты шифрования Netscape Navigator равносилен ключу длиной 47 разрядов. Вот тогда Netscape засуетилась и срочно начала работы по пересмотру алгоритма генерации ключей. Кстати, Голдберг и Вагнер использовали всего один персональный компьютер. А вот в чем соглашается Просис со Шнайером, так это в том, что прочность любой защиты определяется прочностью ее наименее стойкого звена. – Примеч. ред.