Брюс Шнайер
Секреты и ложь. Безопасность данных в цифровом мире

Представим себе компьютерную сеть. Если брандмауэры, операционные системы, пакеты серверного программного обеспечения абсолютно защищены, тогда нет необходимости в системах сигнализации. Никто не в силах проникнуть внутрь, так что незачем поднимать тревогу. В реальном мире не существует продуктов, у которых нет уязвимых точек. Всегда можно найти способ взломать брандмауэр, разрушить операционную систему, атаковать программное обеспечение сервера. Единственное, что спасет положение в отсутствие совершенных защитных барьеров, это применение контрмер обнаружения и реагирования, чтобы получить вовремя сигнал, если система будет взломана, и иметь возможность противодействовать.

Ландшафт уязвимых точек

В реальных системах множество уязвимых точек, и существует много различных способов провести атаку. Если террорист хочет взорвать самолет, он может протащить на борт бомбу, сбить его с помощью ракеты или захватить самолет и направить его на ближайшую гору. Хакер, желающий проникнуть в корпоративную сеть, может атаковать брандмауэр, веб-сервер, использовать модемное подключение и т. д.

Системы, действующие в реальном мире, обладают множеством различных возможностей для противодействия атаке. Оборудование авиалиний включает в себя детекторы металла, химические анализаторы и рентгеновские аппараты, позволяющие обнаружить бомбу, и системы, отыскивающие «ничейные» вещи, так что можно быть уверенным, что бесхозный пакет не взлетит вместе с самолетом, в то время как его хозяин остался на земле. (Эта система противодействия предполагает, что немногие террористы захотят взрывать себя вместе с самолетом, а большинство предпочтут спокойно разгуливать по земле, когда самолет будет взорван.) Военные самолеты имеют также системы противоракетной обороны. Корпоративные сети содержат брандмауэры, системы обнаружения вторжения, используют процедуры периодического обновления паролей или шифрования файлов на сервере.

И все это удивительно легко может стать бесполезным.

Я использую термин ландшафт уязвимых точек, чтобы изобразить обманчивый и сложный мир атак и мер противодействия. Использованная метафора допускает расширение списка описываемых атак – выстрелы из ружья в банковского кассира, шантаж программиста с целью заставить его включить троянского коня в кусок программного кода, проникновение через стену банка, обработка невнимательного сотрудника для того, чтобы получить пароль, – и контрмеры: пуленепробиваемое стекло, защищающее кассира; проверка всего персонала; камеры наблюдения снаружи здания; биометрический контроль. Различные куски ландшафта связаны с различными типами атак. Компьютерные атаки представляют собой, несомненно, только малую часть ландшафта.

Каждая система имеет свой собственный ландшафт уязвимых мест, хотя многие черты для различных систем схожи. (Каждая компьютеризированная система подвержена угрозе отключения питания. И почти каждая система использует угрозу ареста в качестве контрмеры.) Ландшафт уязвимых точек очень неровен, его составляют пики и долины различной высоты и глубины. Чем выше пик, тем эффективнее соответствующая мера отпора: вершина «используйте пароли» невысоко поднята над землей, а «выключите компьютер и утопите его в вонючем болоте», конечно, намного выше. Долины, с другой стороны, представляют собой узкие места: это возможности потенциальных противников атаковать вашу систему. Чем ниже долина, тем серьезнее изъян.

Уязвимая точка еще не означает выигрыш. Выигрыш – это то, о чем мы говорили в главе 3: выигрыш вора, которому удалось украсть деньги, выигрыш нечестного торговца, присвоившего чужую собственность, выигрыш озабоченного студента, заработавшего дурную славу. Уязвимые места могут быть использованы атакующими, чтобы добиться цели. Цель – украсть деньги; незащищенный кассовый аппарат – уязвимая точка. Испортить чью-либо репутацию – это цель; незашифрованные файлы на его жестком диске – уязвимая точка. Некоторые уязвимые точки бесполезны для достижения именно данной цели. В анонимных группах новостей целью атакующего может быть, например, установление личности корреспондентов. Нехватка идентифицирующей информации не сослужит ему хорошую службу. Если группа новостей построена по принципу платной подписки, у нападающего может быть иная цель – пользоваться ею бесплатно. В таком случае уязвимость системы идентификации будет ему на руку.

Ландшафт уязвимости можно представить различными способами. Я выделяю в нем четыре обширные области: физический мир, мир виртуальный, доверенности и жизненный цикл системы. Они связаны друг с другом. Противник способен действовать на уровне физического мира: взломать дверь и ворваться, забросать бомбами, отнять жизнь и т. д. С помощью Интернета тот же противник может напасть в виртуальном мире: отключить компьютеры и телефонную связь, взломать полицейские компьютеры и поместить ложное объявление о розыске всех членов совета директоров и т. п. Нападения на физические инфраструктуры из виртуального мира могут проводиться на расстоянии, мгновенно и без предупреждения. Они часто оказываются гораздо опаснее нападений на физическом уровне.

Физическая безопасность

Проблему физической безопасности человечество пыталось решать во все времена: как только возникло понятие собственности. Стены, замки и вооруженная охрана – вот средства физической безопасности. Уязвимыми местами являются, например, не снабженная сигнализацией стеклянная крыша, дремлющая по ночам охрана и замки, которые можно открыть фомкой. Долгое время учреждения имели дело со всеми этими проблемами, и большинство из них научились использовать меры физической безопасности, соответствующие реальной угрозе. Они более или менее представляют своих противников и то, какие контрмеры являются достаточными для защиты их имущества.

Разработчики систем безопасности в цифровом мире часто забывают о физической безопасности. Постоянно похищаются портативные компьютеры, в которых хранятся секреты. За один особенно неудачный месяц 2000 года MI5 и MI6 (британские разведывательные службы) лишились портативных компьютеров с секретными сведениями. Возможно, воры не интересовались этой информацией или она была зашифрована, однако никто этого не знает точно. (Британские вооруженные силы, судя по всему, имеют множество проблем с сохранностью портативных компьютеров. В 1991 году компьютер, содержавший секретные указания в связи с Войной в Заливе, был похищен из автомобиля, принадлежавшего Королевским Военно-Воздушным силам. После того как были организованы широко освещавшиеся полицейские мероприятия по розыску преступника, компьютер был возвращен с посланием: «Я – вор, а не изменник».) Удивительно много компьютеров крадут в аэропортах организованные шайки воров при прохождении пассажирами детекторов металла.

Меры физического противодействия часто используются совместно, так чтобы они усиливали друг друга, и обычно это бывает более эффективно, чем использование любой из них по отдельности. Охрана обходит прилегающую к запертому зданию территорию, огороженную забором. Банки используют охрану, сигнализацию, видеонаблюдение и сейфы, снабженные замками, срабатывающими в назначенное время.

Когда эти меры предпринимаются в совокупности, ни одна из них не должна обязательно обеспечивать полную защиту от нападения. Требования, предъявляемые к каждому из средств защиты, зависят от того, какие другие меры безопасности задействованы. Дверного замка стоимостью в 5 долларов может быть вполне достаточно при наличии забора и охраны внутри. А замок стоимостью в 50 долларов окажется бесполезен, если поблизости оставлено открытым окно. Отравленные стрелы будут излишни, если на пути злоумышленника установлены вращающиеся стальные лезвия.

Виртуальная безопасность

Против угроз в виртуальном мире также были разработаны контрмеры. Установка брандмауэра аналогична возведению стен и запиранию дверей. Системы идентификации выполняют функции охраны и напоминают проверку пропусков. Шифрование позволяет создать в киберпространстве «секретную комнату» для конфиденциальных переговоров или электронный сейф для хранения информации.

Хорошая система защиты также использует несколько различных мер безопасности: брандмауэр защищает систему от проникновения посторонних, строгая идентификация дает уверенность в том, что лишь правомочное лицо может войти в нее, а дополнительные гарантии дает шифрование данных при сквозной передаче^[49].

Доверенности

Доверенность определяет, кому и как собственник доверяет распоряжаться своим имуществом или его частью. Например, поступающий на работу должен представить достоверную анкету, представленные им рекомендации должны быть проверены, а его прошлое не должно быть омрачено криминальными эпизодами. Если его приняли, то ему выдается служебное удостоверение с фотографией и свидетельство о праве на парковку. Различным группам людей предоставляется право входить в определенные помещения, открывать доступные им файлы или посещать некоторые собрания. Только определенные особы могут подписывать чеки, заключать контракты или проводить финансовые операции. При чрезвычайных обстоятельствах дополнительная гарантия безопасности обеспечивается отстранением от обязанностей: например, лицо, обладающее правом подписывать чеки, оказывается лишенным доступа к компьютеру, создающему подписи. Доверенность предполагает сложную структуру отношений. Некто может обладать правом изменять записи базы данных, но не инженерные спецификации. Другой человек будет, наоборот, иметь право изменять эти спецификации, но не иметь доступа к персональным данным.

В реальном мире не составляет труда определить, кто облечен доверием, а кто нет. Вы знаете, как это выглядит. Если иностранец заходит в офис и достает мелкие деньги, это уже вызывает подозрение. До тех пор пока организация настолько мала, что все лично знают друг друга, атака, связанная с физическим проникновением, практически нереальна. Любая другая организация должна обезопасить себя от шпионов: служащие должны отслеживать появление незнакомцев и при этом не думать ни о чем постороннем (в противном случае люди будут уязвимы для угроз, взяточничества, подкупа, шантажа, обмана и других отвратительных проявлений).

В виртуальном мире проблема гораздо сложнее – нужно обеспечить тот же уровень доверия между людьми без физического присутствия заинтересованного лица, имеющего возможность всегда изменить ситуацию. Например, в физическом мире злоумышленник, который хочет притвориться доверенным членом сообщества, рискует, что его могут найти и арестовать. В виртуальном мире шпион, который проник внутрь системы, представляясь доверенным лицом, гораздо меньше рискует быть обнаруженным и пойманным.

Жизненный цикл системы

В целях промышленного шпионажа можно, например, подключиться к телефонной линии своего конкурента. Затем необходимо рассчитать, как и когда следует провести эту атаку. Оборудование офиса уязвимо в течение всего жизненного цикла: при его проектировании, при сборке, при установке и после того, как оно размещено там, где должно находиться. В зависимости от необходимого уровня доступа нападающий может изменить его свойства на любом из этих этапов. В некоторой точке жизненного цикла советские шпионы поставили «жучки» на пишущие машинки в посольстве Соединенных Штатов. Когда они их поставили? На фабрике в США, во время транспортировки в посольство или во время установки? Мы не знаем точно, но каждая возможность могла быть реализована. И в зависимости от того, насколько серьезной проверке подвергались машинки, «жучки» могли или не могли быть обнаружены.

Точно так же, преступник, который хочет украсть деньги из игрового автомата, имеет выбор: он может, воспользовавшись случаем, внести нужные изменения в схему при установке или взломать автомат, когда тот уже находится в казино. Каждый из этих видов атак имеет свои характерные особенности – сложность, вероятность достижения успеха, рентабельность – но все они допустимы.

Оборудование, использующееся в виртуальном мире – программное обеспечение, работающее на компьютерах, включенных в сеть. Нападающий может его атаковать в любой точке на протяжении всего жизненного цикла. Злонамеренные разработчики программного обеспечения в состоянии сознательно оставить «черный ход» в последней версии операционной системы. Злоумышленник способен поместить троянского коня в наиболее популярный браузер и распространять эту программу бесплатно через Интернет. Он может написать вирус, который будет атаковать программное обеспечение при открытии исполняемого файла во вложении сообщения электронной почты. В его силах проанализировать программное обеспечение, использовать все существующие уязвимые точки. Возможности здесь не ограничены.

Разумное применение мер противодействия

Ландшафт уязвимых точек предоставляет широчайшее поле деятельности для различных видов возможных атак, и поэтому имеет смысл при разработке мер противодействия исходить именно из ландшафта. Идея состоит в том, чтобы защититься от наиболее вероятных угроз, вместо того чтобы защищаться от угроз наиболее явных, игнорируя все остальные.

Не менее важно разумное вложение средств в применяемые меры противодействия. Не имеет смысла тратить кучу денег на самый лучший замок на входной двери, если злоумышленник способен проникнуть через окно. Нерационально тратить 100 долларов на пуленепробиваемое стекло, чтобы защитить имущество, оцениваемое в 10 долларов. Можно сказать, что, например, применять сложные методы шифрования для кабельного телевидения – это то же самое, что «повесить замок на сумку из бумаги».

Ценность чего-либо всегда определяется в зависимости от окружающих условий. До того как стали применяться жесткие диски, подростки иногда воровали в офисах дискеты… поскольку они могли представлять ценность. Некоторые компании потеряли таким образом довольно важные данные. А с другой стороны, маловероятно, что украдут кредитную карточку общей стоимостью около 100 долларов, у которой 0,25 доллара на депозите. Тщательный анализ стоимости очень важен при разработке рациональных мер противодействия телефонному мошенничеству и созданию пиратских копий программного обеспечения.

Следует помнить, что возможный противник далеко не всегда преследует цель обогащения. Иначе как тогда объяснить поведение хакера, который тратит сотни часов на то, чтобы взломать бесполезную компьютерную систему? Многие нападающие стремятся к огласке, или хотят отомстить, или имеют иные, нематериальные цели; помните об этом, когда анализируете ценности.

Также полезно иметь в виду, что блокирования любого из четырех первых шагов атаки достаточно, чтобы ее пресечь. Простые меры противодействия, такие как обучение персонала, грамотная политика безопасности, процедуры, связанные с контролем доступа, являются разумными и рентабельными средствами, позволяющими снизить риск, создаваемый ландшафтом уязвимых точек. Эти простые мероприятия могут значительно повысить сложность и рискованность действий, необходимых для осуществления успешной атаки.

Следующие несколько глав будут посвящены моделированию угроз, оценкам риска и определению необходимых мер противодействия.

Глава 19
Моделирование угроз и оценки риска

Моделирование угроз – это первый шаг в решении проблемы безопасности. Это попытка осмыслить информацию, которую можно извлечь из ландшафта уязвимых мест. Что может оказаться реальной угрозой для системы? Если вы не знаете этого, как вы можете определить, какие меры противодействия нужно использовать?

Моделирование угроз – трудное дело, и успех в нем приходит только с опытом. Для его осуществления необходимо использовать системный подход и хорошо представлять себе все особенности ландшафта. Как лучше провести нападение на систему? Я нахожу, что истинные хакеры весьма искусны в решении этого вопроса, и может быть, компьютеры их привлекают в первую очередь именно возможностями интеллектуальной игры. Хакеры получают удовольствие, размышляя о недостатках систем: как можно их одолеть, почему это возможно и что при этом будет происходить? Они испытывают наслаждение, заставляя систему делать то, для чего она не была предназначена. Те же чувства испытывает умелец, способный переделать двигатель своего автомобиля, чтобы он работал так, как ему хочется, а не так, как предполагал его производитель. Такое же удовольствие получает хакер, взламывающий брандмауэр через Интернет, чтобы убедиться в том, что он способен «овладеть» чужим компьютером.

Я пришел к выводу, что наилучшими экспертами в области безопасности являются люди, исследующие несовершенства защитных мер. Они идут на избирательный участок, размышляя о том, как можно было бы в обход установленного контроля проголосовать дважды. Когда они пользуются телефонной карточкой, они думают о средствах защиты от мошенников и о том, как можно их обойти. Эти размышления вовсе не обязательно подталкивают их к конкретным действиям, и если они обнаруживают, например, появившееся «слепое пятно» в системе видеонаблюдения в магазине, это не означает, что они тут же предпримут попытку кражи.

Моделирование угроз имеет с описанной ситуацией много общего, и единственный способ изучить проблему – это практика. Начнем с кражи блинов.

Наша цель – поесть бесплатно в местном ресторанчике. Для этого у нас есть много возможностей. Можно поесть и убежать. Можно расплатиться подложной кредитной картой, фальшивыми чеком или наличными. Можно выманить посетителя из ресторана и съесть его блюдо. Можно прикинуться (а то и стать на самом деле) поваром, официантом, управляющим или хозяином (которого видели всего лишь несколько работников). Можно стащить тарелку с чужого столика или из устройства для подогрева, опередив официанта. Можно подождать у мусорного бака, когда вынесут выбрасывать объедки. Можно включить пожарную сигнализацию и вволю попировать в полном одиночестве. Можно представиться управляющему некоей знаменитостью, могущей рассчитывать на бесплатный завтрак, или найти доверчивого клиента, которого можно уговорить заплатить за нас. Можно ограбить кого-нибудь поблизости от ресторана и расплатиться за еду. Можно подделать талон на бесплатное обслуживание. А кроме того, есть освященная веками традиция – ворваться с ружьем и прокричать: «Гоните сюда все ваши блины!».

Вероятно, существует множество других возможностей, но у нас уже есть общее представление. Взглянув на приведенный перечень, не так трудно понять, что большинству нападающих ничего не нужно делать в тот момент, когда деньги переходят из рук в руки. Это любопытно, поскольку означает, что безопасность системы платежей не защищает от кражи блинов.

Подобная ситуация складывается и в цифровом мире. Представим себе хранилище блинов в Веб – большинству нападающих не придется иметь дело с системой электронных платежей. Существует множество других уязвимых мест. (Вспомните изящное нападение через веб-страницу на корзину для покупок, описанное в главе 10, когда нападающий мог изменять цены товаров произвольным образом. Здесь кроется возможность для подобного нападения: можно изменить прейскурант таким образом, что блин будет стоить 0,00 долларов.) Наиболее успешные нападения редко проводятся на физическом уровне.

Честные выборы

Перейдем к более значительным и интересным проблемам. Займемся проведением выборов. Это будут местные выборы – мэра города. Жульничество на выборах старо, как сами выборы. Насколько это трудно?

Предположим, имеется дюжина избирательных округов, в каждом из которых есть свой избирательный участок. На каждом участке присутствуют по три члена избирательной комиссии, которые следят за правильностью голосования. Избиратели получают у них бюллетени, которые потом опускают в урну. В конце дня все бюллетени пересчитываются специальной машиной. Избирательные комиссии всех двенадцати участков сообщают по телефону о результатах голосования в центральную комиссию, где подводятся окончательные их итоги, после чего один из претендентов объявляет о своей победе под дождем конфетти и под громкие звуки оркестра.

Эта система имеет множество уязвимых мест. Можно воздействовать на избирателей, на членов комиссии, можно подобраться к урнам для голосования и счетным машинам, можно дать ложное сообщение по телефону или воздействовать непосредственно на центральную комиссию. Давайте рассмотрим каждый вариант в отдельности.

Подкуп избирателей – освященный временем способ проведения выборов. Эта практика теряется во тьме веков и не имеет места лишь в странах третьего мира. Во время выборов 1996 года в городе Додж Кантри, Джорджия, насчитывающем 17 000 жителей, 21 человек был уличен в различных махинациях при голосовании, в том числе в подкупе избирателей. В большинстве штатов (включая Джорджию) закон запрещает платить избирателям, поэтому политики вынуждены прибегать к другим ухищрениям: они обещают снижение налогов, организацию общественных работ, лоббирование законопроектов и благосклонность Белого Дома. Это эффективный способ, хотя и дорогостоящий.

И на него не стоит полагаться. Использование закрытых кабин для голосования делает невозможным прямой подкуп избирателей. Можно заплатить по 100 долларов каждому из них, чтобы они проголосовали за нужного кандидата, однако войдя в кабину для голосования, они могут отдать свой голос кому пожелают. (Снижение налогов в этом отношении эффективнее, особенно если речь идет о находящемся в должности претенденте: избиратели думают, что, голосуя за него, они добьются еще больших поблажек.) Есть старая история про чикагского политика, скупавшего голоса. Его подручные пачкали черной краской рычаги для голосования^[50], соответствовавшие его имени, и получали возможность убедиться в том, что избиратели голосовали именно за него.

Эти виды мошенничества используются также и в том случае, когда применяется преимущественно голосование по почте. В Силиконовой долине от трети до половины всех бюллетеней направляется в избирательную комиссию по почте. В Аризоне даже проводился эксперимент по голосованию через Интернет на предварительных выборах Демократической партии 2000 года. В этом случае опасность состоит в том, что некто может отправиться в бедные кварталы города и скупить целый пакет чистых бюллетеней по 10 долларов за каждый (в Аризоне использовались идентификационные номера (PIN), которые также можно «скупить») – и обитатели этих кварталов будут довольны.

Правящая партия Сингапура нарушает тайну выборов своеобразным способом: территории, на которых проводится голосование, имеют крошечные размеры – вплоть до одного многоквартирного дома. Проконтролировать, как проголосовал отдельный избиратель, невозможно, однако власти откровенно лишают государственного финансирования те районы, жители которых голосуют за оппозицию. Это – вид массового подкупа избирателей.

Предположим, подкуп избирателей нам не по средствам, а кроме того, нас беспокоит, что кто-нибудь может разоблачить в газете наши махинации. А что, если взять избирателя на испуг? Фокус, проделанный мексиканской Институциональной революционной партией, состоял в том, что в отдаленных районах урны для голосования, непроницаемые для любопытных взглядов, устанавливали под деревом, в ветвях которого скрывался головорез, следивший за тем, чтобы избиратели голосовали «правильно».

Можно попытаться одурачить избирательную комиссию. Например, нанять группу артистов, которые будут изображать законных избирателей. Можно сделать так, чтобы некоторые избиратели проголосовали не один раз. Это все действенные методы, но существует защита от них. В Соединенных Штатах члены избирательной комиссии имеют списки законных избирателей, с которыми они сверяются при голосовании и делают соответствующие пометки. На первых общих (нерасовых) выборах в Южной Африке в 1994 году избирателям на руку наносили клеймо несмываемыми чернилами, чтобы лишить их возможности проголосовать дважды. На первых в постсоветский период выборах в Латвии (1990 год) проверяли удостоверения личности, в которых делали отметки о голосовании. Во время выборов 1999 года в Индонезии избирателей заставляли окунать пальцы в чернила. (Предполагалось, что чернила будут держаться все три дня, отведенные для голосования, однако некоторые обнаружили, что краситель смывается.)

Можно направить свои усилия непосредственно на членов избирательной комиссии. Если иметь их своими союзниками, нетрудно добиться потрясающих результатов. Можно внести в списки избирателей кого угодно – в начале двадцатого века многие умершие жители Чикаго регулярно участвовали в выборах – или просто подделать результаты голосования. Во время президентских выборов 1960 года чикагские демократы под руководством мэра Ричарда Дейли, жуткого типа, вовсю мошенничали, манипулируя голосами избирателей в пользу Кеннеди, и в результате Никсон эти выборы проиграл. (Когда республиканцы потребовали провести пересчет голосов в этом штате, демократы в свою очередь потребовали пересчета голосов в других штатах, и, в конце концов, обе стороны сдались.) Подобные вещи имеют место по сей день: на выборах 1996 года в Сенат в штате Иллинойс организация Демократической партии была обвинена в подкупе избирателей, а именно в том, что избиратели голосовали по несколько раз и даже имели место манипуляции с машинами для голосования.

Несмотря на широко распространенную коррупцию в избирательных комиссиях, мошенничество на выборах становится все более трудным делом. Можно попытаться подкупить членов избирательных комиссий, чтобы они закрывали глаза на некоторые вещи, но беда в том, что на каждом участке их трое. Или подкупить одного из них, но нет никакой гарантии в том, что двое других будут столь же сговорчивы. Расходы в этом случае даже превышают те, что связаны с подкупом избирателей, а вероятность того, что средства массовой информации будут поставлены на ноги, гораздо больше.

Что вы скажете насчет урн для голосования? Можно наполнить их фальшивыми бюллетенями, в этом и состоит основная идея мошенничества. Однако важно не перестараться так, чтобы проголосовали, скажем, 130 процентов избирателей. И нужно быть уверенным, что никто ничего не заметит: в некоторых странах третьего мира используют прозрачные избирательные урны, чтобы предотвратить подобные махинации.

Атаковать машину для подсчета голосов еще проще. Это компьютеризированное устройство, и если вредоносная программа сделает так, что не будут учтены голоса за одного из кандидатов, скорее всего этого никто не заметит. Можно попытаться внедрить троянского коня в программный код во время его написания (предполагается, что машина не просто механически подсчитывает голоса, а для этой цели имеется специальная программа). Или же улучить момент, когда никто не работает с машиной, и ввести вредоносный код. Можно одурачить избирательную комиссию, изобразив дело как установку новой версии программы. Существует масса возможностей для такого рода мошенничеств.

Можно намеренно внести опечатки в избирательные бюллетени или сдвинуть рамку на доли дюйма таким образом, что иногда машина не будет учитывать голоса, поданные за оппозицию, и этого никто не заметит. Еще способ: привести машину в негодность; тогда избирательная комиссия будет вынуждена подсчитывать голоса вручную. И тогда подкупленный член комиссии может попытаться сфальсифицировать результат. На президентских выборах в Мексике в 1988 году компьютер «отказал» как раз в тот момент, когда лидировал один из претендентов на президентское кресло. Когда он снова заработал, оказалось, что победил действующий президент… и после этого избирательные бюллетени были быстренько сожжены. Я не хочу бросать тень на мексиканскую избирательную систему, но все это выглядит очень подозрительно.

Центральная избирательная комиссия – наименее подходящее для мошенничества место, так как она у всех на виду. Возможно, злоумышленнику удастся представить неверные сведения по районам, но один из членов избирательной комиссии может это обнаружить. Телефонные переговоры между окружными пунктами и центральным офисом – может быть, этот элемент системы ему удастся использовать в своих целях.

Итак, что же предпочесть? Кажется, наиболее верный путь к успеху – склонить большинство членов избирательной комиссии к тому, чтобы они действовали согласно нашим указаниям. В их власти прибавить и убавить голоса, подменить избирательные урны во время транспортировки; у них есть еще масса других возможностей. Тогда у нас будет доступ к машине для подсчета голосов, в наших силах привести для голосования мнимых избирателей или подбросить в урны фальшивые бюллетени. Вывод, однако, таков: все это осуществить достаточно сложно. Если люди, входящие в состав избирательной комиссии, не зависят полностью от одного из кандидатов – такая ситуация часто встречается в странах третьего мира, но редко в Соединенных Штатах, – сделать это практически невозможно.

Цель этого мысленного эксперимента – показать, что существует множество путей одолеть избирательную систему, и лишь в незначительной степени это имеет отношение к компьютерным системам. Можно взломать программу или вызвать отказ в обслуживании и тем самым вынудить членов избирательной комиссии вернуться к старой, гораздо менее надежной системе подсчета голосов. Но в конечном счете результаты выборов близки к истине. Если люди в избирательной комиссии заслуживают доверия, выборы, скорее всего, «чистые». Если они не заслуживают доверия, существует такое великое множество способов повлиять на исход голосования, что не стоит даже задумываться, какой из них наиболее предпочтителен.

Интернет вносит свои поправки в эту запутанную схему, и опасность значительно возрастает. Все старые способы мошенничества остаются в силе, но появляется масса новых возможностей: атаки против компьютеров в избирательных участках, атаки через сеть, атаки против компьютеров избирателей (которые в любом случае ненадежны). И нападения, приводящие к отказу в обслуживании, которые не могли бы быть проведены против централизованной системы. Что еще хуже, современная избирательная система не дает шансов исправить ситуацию в случае успешного нападения. В 2000 году в Аризоне на предварительных выборах было разрешено голосование через Интернет. Если бы возникли проблемы или подозрения, что проблемы существуют, что бы стали делать в Аризоне? Отменять выборы и переносить их на неделю? По этой причине ни один специалист по выборам не посоветует пользоваться услугами Интернета для голосования.