Крис Клирфилд - ?Неуязвимость! Отчего системы дают сбой и как с этим бороться

После того как несколько членов британского парламента {81}выразили свою озабоченность ситуацией в почтовой службе, фирму Second Sight («Второй взгляд») привлекли для проведения независимой аудиторской проверки. Эта компания обнаружила, что проблемы могли возникнуть {82}из-за неожиданных взаимодействий в системе: «необычного стечения обстоятельств, таких как сбои в электроснабжении и связи или ошибки при проведении операций».

Second Sight также пришла к выводу, что погрешности в работе системы Horizon {83}можно объяснять хитроумными атаками киберпреступников на банкоматы. Злоумышленники разрабатывали вредоносные программные средства, чтобы обойти системы безопасности программного обеспечения Horizon. На самом деле многие из отмеченных случаев хищения денег со счетов происходили через уличные банкоматы Банка Ирландии {84}. Это позволяло сделать предположение о том, что именно эти банкоматы стали уязвимыми. Однако сложность системы Horizon {85}скрыла эту потенциальную опасность на многие годы. Между тем именно в этот период некоторые субпочтмейстеры обанкротились или оказались в тюрьме {86}.

Несмотря на чрезмерную сложность системы Horizon и растущее количество жалоб {87}, руководители британской почтовой службы сохраняли веру в нее, оспаривая выводы доклада фирмы Second Sight {88}. «После двух лет расследования абсолютно отсутствуют какие-либо доказательства того, что компьютерная система Horizon давала систематические сбои» {89}, – настаивали руководители британской почты. Но вопрос остается открытым: почтовая служба выступает ответчиком по коллективному иску {90}, который подали более пятисот субпочтмейстеров. А Комиссия по проверке уголовных дел [8]расследует несколько обвинений, в которых свою роль могла сыграть система Horizon {91}.

Как заявил один из членов британского парламента, мысль, что «субпочтмейстеры, которые неустанно трудились в своих городках и поселках иногда десятками лет, вдруг решили, что могут обмануть компьютерную систему, – полнейшая и абсолютная чепуха» {92}. Или, как сказал один бывший субпочтмейстер: «Людей сажали в тюрьму, хотя было ясно, что виной всему – сбой в компьютерной системе» {93}.

В 2010 году симпатичный новозеландец, которого звали Барнаби Джек, вышел на сцену на ежегодной хакерской конференции Black Hat [9]в Лас-Вегасе {94}. Справа от него стояло два банкомата, а также два платежных терминала, которые используются по всему миру в барах и небольших магазинчиках. Джек, специалист по кибербезопасности, провел годы, изучая микрокомпьютеры внутри банкоматов. До недавнего времени их производители считали, что цифровая и физическая защита – это одно и то же, и прятали компьютеры в подобия сейфов, намертво прикрученных болтами к полу. Однако Джек собирался продемонстрировать, насколько эфемерна эта безопасность, лишь несколько раз щелкнув компьютерной мышкой. Он готов был показать залу, полному хакеров, как можно быстро разбогатеть.

Собравшиеся внимательно слушали Барнаби, пока тот описывал технические подробности при помощи презентации, сделанной в PowerPoint. А потом началось самое веселое. Чтобы атаковать первый банкомат, Джек написал программу для его удаленного взлома. Хотя машина продолжала функционировать в нормальном режиме и выдавала клиентам деньги, она одновременно сохраняла номера их банковских карт и позволяла Джеку копировать их.

Он также создал «тайный ход» – скрытый путь доступа к машине. Когда он подошел к банкомату, вставил фальшивую карту и нажал кнопку, тот стал без разбора выдавать деньги, не привязывая выдачу наличных ни к какому банковскому счету.

Потом Джек подошел к другому банкомату и воткнул в него флеш-накопитель USB. Компьютер загрузил его программу, высветил на экране слово «ДЖЕКПОТ!» и включил веселую мелодию, как в игровых автоматах, одновременно выбрасывая банкноты на пол. Публика разразилась радостными криками.

Однако Барнаби Джек, которого коллеги считали гением, взламывал банкоматы не с целью украсть деньги. Он был хакером «в белой шляпе» [10] – проникал в системы только для того, чтобы повысить их безопасность. Прежде чем продемонстрировать свои достижения на публике, он передавал результаты своей работы производителям, чтобы они смогли устранить обнаруженные им уязвимости банкоматов.

Однако не все хакеры настроены так дружелюбно. За несколько недель до Рождества в 2013 году хакеры умудрились украсть 40 млн номеров кредитных карт {95}у покупателей розничной сети Target – одной из самых крупных в мире. Преступники использовали учетные данные, украденные у подрядчика по отоплению. Это позволило им проникнуть в компьютерную сеть ретейлера и с его сервера получить доступ к кассовым аппаратам и кардридерам почти в 1800 магазинах сети. Хакеры разослали по ним свою модифицированную программную прошивку, с помощью которой контролировали каждую операцию и собирали содержащиеся на картах клиентов данные.

Обычно мы не осознаем, что кассовые аппараты – это компьютеры. То же можно сказать и о банкоматах. Кассовые аппараты торговой сети Target были частями большой и сложной системы, поэтому, как только хакеры вскрыли ее уязвимость, они смогли воспользоваться своей находкой в каждом магазине. Когда сеть Target объявила, что стала объектом атаки хакеров, продажи резко снизились, а через несколько месяцев ее генеральный директор подал в отставку.

Это было сокрушительное фиаско, но во всяком случае взломанные хакерами кассовые аппараты не подвергают риску жизни людей. А вот взломанный хакерами автомобиль – совсем другое дело.

Что бы ни случилось, не паникуйте {96}. Энди Гринберг ехал по хайвею со скоростью 115 км/ч, как вдруг педаль газа в его Jeep Cherokee 2014 года перестала работать. Он давил на нее снова и снова, но безрезультатно. Когда Jeep замедлился в крайней правой полосе, а мимо с визгом проносились огромные трейлеры, Энди прокричал в свой мобильный телефон: «Нужно исправить эту чертову педаль газа. Серьезно, это очень опасно. Мне нужно ехать дальше!» Однако стереосистема машины Энди была включена на полную мощность, и хакеры на другом конце телефона не могли услышать его из-за гремящего хип-хопа.

Не паникуйте. Хорошей новостью было то, что Гринберг был в этом автомобиле, чтобы написать статью для журнала, а хакеры вовсе не пытались сделать ему что-то плохое. Гринберг пишет о новых технологиях и безопасности для журнала Wired. Двое хакеров, Чарли Миллер и Крис Валасек, были далеко. Они устроились в гостиной Миллера и смеялись над тем, как Гринберг бился с неполадками в машине. После нескольких лет исследований эти двое поняли, как с помощью опции подключения к интернету через мобильный телефон взломать автомобильный компьютер. Эти компьютеры управляли всем – от дворников стеклоочистителя до работы спидометра и тормозов. Гринберг стал для Миллера и Валасека объектом тестирования. Хакерская атака пришлась на трансмиссию его автомобиля.