Брюс Шнайер
Секреты и ложь. Безопасность данных в цифровом мире
Как бедный клиент узнает, можно ли им доверять? Потребуется немного усилий, чтобы просмотреть предложения: в Сети любой может сделать это в течение нескольких минут. Но какие из продавцов честны, а какие занимаются жульничеством? URL – указатель информационного ресурса (строка символов, указывающая на местонахождение документа в Интернете) мог бы быть именем продавца рецептов, которому можно доверять, но где гарантия, что сайт действительно соответствует тому самому доверенному имени? У Северо-Западных авиалиний есть веб-сайты, где можно купить авиабилеты: www nwa com. До недавнего времени у туристических агентов был веб-сайт www northwest-airlines com. Сколько людей купили билеты у последних, думая, что покупают их у первых? (Многие компании не знают доменных имен своих тезок.) Некоторые компании помещают имена своих конкурентов в описание своих веб-сайтов (обычно скрытые) в надежде обмануть поисковые серверы. Internic net, где вы собираетесь зарегистрировать доменное имя, – не то же самое, что Internic com. Последний возник как надувательство, сформировавшись внутри Internic Software, и в настоящее время якобы регистрирует имена доменов. Хозяева, вероятно, сделают значительный бизнес за счет создания путаницы. Есть даже более мрачное предположение: кто может сказать, что некий незаконный хакер не убедил программу просмотра отображать один URL вместо другого?
Клиент находит веб-сайт, который выглядит подходящим, и выбирает рецепт пирога. Теперь он должен заплатить торговцу. Если он покупает что-либо ценное, то в этом случае нужна серьезная аутентификация. (Если он тратит 25 центов на виртуальную газету, все немного проще.) Действительны ли эти электронные деньги? Действительна ли эта кредитная карточка и есть ли у клиента право выписывать электронный чек? Некоторые торговцы, работающие непосредственно с клиентом, просят показать водительские права перед тем, как принять чек; а что же может проверить цифровой торговец перед принятием электронного чека?
Наиболее важной проблемой безопасности является аутентификация через цифровые сети. Здесь может быть так же много различных решений, как и различных требований. Некоторые решения должны быть сильными и весомыми, чтобы защитить миллионы долларов. Для других это не обязательно: например, аутентификация дисконтной карты торговца. Некоторые решения подразумевают анонимность – наличные деньги или карту, которая пускает вас в специфическую область сети, не требующую обязательного раскрытия вашего имени, – в то время как другие нуждаются в строгой системе аутентификации. Большинство будут стремиться к интернациональности: сетевой паспорт, системы, используемые для международной торговли, цифровые подписи или международные контракты и соглашения.
Часто аутентификация осуществляется невидимо для пользователя. Когда вы используете свой телефон (или платный телевизионный канал), то аутентифицируете себя в сети так, чтобы было известно, кому выставлять счет. Военная авиация имеет системы IFF (позволяющие узнать – друг перед вами или враг) для опознавания своих собственных и союзных самолетов системами ПВО. Тахографы, применяемые повсюду в грузовиках в Европе, чтобы заставить водителей соблюдать правила – такие, как принудительный отдых, – используют методы аутентификации, чтобы предотвратить мошенничество. Предоплата электричества в Великобритании – другой пример.
Когда думаете об аутентификации, держите в уме два ее различных типа. Они могут выглядеть похожими, но техника их использования очень различна. Первый – это аутентификация сеанса: беседа лицом к лицу или по телефону, или через IRC (международную линию передачи документальной информации). Сеансами также могут быть разовые посещения интернет-магазина. Метод аутентификации здесь – это сравнение отдельных диалогов: является ли лицо, сказавшее что-либо сейчас, тем же самым лицом, сказавшим что-либо ранее? (Это легко сделать при переговорах по телефону или при личной встрече – если голос и внешность те же самые, то, вероятно, это один и тот же человек. В Сети значительно сложнее.)
Второй – это аутентификация транзакции: покупки с использованием кредитной карты, частично денежное обращение. Аутентифицируется здесь действительность сделки: признают ее стороны или же будет вызвана полиция. Споры при обсуждении этой стороны вопроса одни и те же, осуществляется сделка через Сеть, по телефону или же при личном контакте. Неважно, идет ли речь о проверке чека на 100 долларов торговцем, который должен удостовериться, что чек не поддельный, или о сопоставлении подписи на кредитной карточке с подписью в регистрационной карточке продаж.
Целостность
Когда мы говорим об аутентификации, на самом деле имеем в виду целостность. Две эти концепции различаются, но иногда они переплетены. Аутентификация имеет дело с источником данных: кто подписал лицензию на медицинскую практику, кто выпустил в обращение валюту, кто санкционировал закупочный ордер на 200 фунтов удобрений и 5 галлонов дизельного топлива? Целостность имеет отношение к действительности данных. Верен ли номер этой платежной ведомости? Были ли данные исследования окружающей среды изменены, с тех пор как я последний раз видел их? Целостность не имеет отношения к источнику данных, к тому, кто создал их, когда и как, но определяется тем, были ли данные изменены с момента их создания.
Целостность – это не то же самое, что точность. Точность характеризует степень соответствия данной величины ее истинному значению; целостность описывает отношение данной величины к самой себе через какое-то время. Часто они тесно взаимосвязаны.
В любом обществе, где компьютеризированные данные используются для принятия решений, целостность важна. Иногда это может иметь значение для общества в целом: если статистика о детях с уровнем жизни за чертой бедности является признанным фактом, ситуация может быть изменена путем выделения федеральных пособий. Для любого, кто зависим от акций NASDAQ (компьютеризированной системы котировки ценных бумаг), путаница может быть убийственной. Иногда это важно для отдельной личности: вы на самом деле можете создать беспорядок, внеся изменения в записи о водительских правах и отметив чью-либо лицензию как приостановленную. (Это было случайно сделано в 1985 году в Анкоридже, штат Аляска, по отношению к 400 людям, по крайней мере один человек из которых провел ночь в тюрьме. Подумайте об удовольствии, которое кто-нибудь может получить, сделав это специально.)
Было несколько инцидентов, связанных с целостностью и имевших отношение к акциям. В 1997 году у компании Swisher, которая производит дезодоранты для унитазов, сильно увеличилась стоимость акций из-за того, что информационные службы некоторое время путали символику ее акций с символикой акций другой компании с названием Swisher, которая производит сигары. Компания Swisher1 была намного меньше, чем Swisher2, поэтому когда вы, будучи введены в заблуждение, просматривали ее годовой отчет, то находили невероятную недооценку акций. Некие парни вычислили, что же на самом деле произошло, и быстро продали акции Swisher1, просчитав, что цена снова упадет, как только инвесторы поймут ошибку.
В 1999 году служащий PairGain Technologies отправил по почте поддельные объявления о слиянии компаний, оформленные так, как выглядят объявления информационной службы Блумберг, и получил контроль над 30% акций до тех пор, пока обман не был раскрыт.
Эти случаи не имеют отношения к аутентификации. Не имеет значения, кто собрал данные переписи, кто составил конечные цены акций или кто ввел записи о регистрации автомашин – они касаются целостности. Но есть много других баз данных, где целостность важна: телефонные книги, медицинские записи, финансовые записи и т. д.
Когда один мой знакомый писатель-мистик появляется перед аудиторией, я всегда думаю, что хладнокровный способ убить кого-нибудь состоит в том, чтобы изменить базу данных дозировки препарата в больнице. Если врач недостаточно внимателен – например, он утомлен, препарат незнакомый, его отвлекает некий Мак-Гуффин, – он может прописать только то, что ему сообщает компьютер. Сегодня это может не сработать – рядом есть бумажный первоисточник, например настольный справочник врача или фармакологические стандарты препарата – но кто поручится за завтра?… Миллионы людей получают медицинскую информацию по Сети. Например, drugemporium com делает запрос другому сайту – drkoop com, чтобы получить информацию о возможной несочетаемости препаратов, которые вам назначены. Пользователей обычно предупреждают, чтобы они не полагались на информацию, взятую всего из одного источника, но большинство из них все равно будут поступать так, а не иначе. Кто-нибудь захочет поиграть с целостностью этих данных и причинит много вреда.
И даже если нет никакого преступного намерения, в любой сетевой системе, которая имеет дело с рецептами и лечением, лучше проводить проверку целостности, чтобы застраховать себя от случайных ошибок: никто не хочет, чтобы случайно измененный байт привел в итоге к смертельному случаю в больнице – ни пациент, ни компания, занимающаяся поставками программного обеспечения, которой придется иметь дело с судебными процессами.
В физическом мире люди используют материальную копию объекта как доказательство целостности. Мы доверяем телефонной книге, настольным справочникам врача и «Американским статистическим отчетам», поскольку это книги, которые выглядят настоящими. Если они фальшивы, значит, кто-то тратит много денег, чтобы они выглядели настоящими. Когда вы снимете с полки роман Диккенса и начнете читать его, вы не усомнитесь в его реальности. Точно так же с вырезкой из Business Week – это всего лишь клочок бумаги, но он выглядит и воспринимается как страница журнала. Если вы получаете фотокопию журнальной вырезки, то она только напоминает страницу журнала. Если кто-нибудь перепечатает статью (или загрузит ее из LEXIS-NEXIS) и пошлет ее по электронной почте вам, тогда… кто знает.
1 августа 1997 года я получил электронную почту от друга; в ней была копия речи Курта Воннегута в день присуждения университетских степеней в Массачуссетском технологическом институте. По крайней мере, я так предполагал. Мой друг переслал ее мне с честными намерениями. Но это не было речью Курта Воннегута на присуждении университетских степеней в 1997 году. В 1997 году Воннегут не выступал там. Он не писал этой речи и нигде не выступал с ней. Она была написана Мари Шмич и опубликована в ее колонке в Chicago Tribune 1 июля 1997 года.
Я сопоставил этот случай сомнительного авторства Воннегута с письмом, полученным мной приблизительно 15 лет назад, еще до появления Всемирной паутины, даже до того, как у меня появился адрес электронной почты (но уже во времена Интернета). Речь идет об эссе с названием «Мечта о будущем (не исключая омаров)»; друг отправил мне фотокопию по электронной почте. Копия была сделана непосредственно с публикации. Да, она могла быть сфальсифицирована, но это потребовало бы уйму работы. Это было до эры настольных издательских систем, и придать чему-либо вид фотокопии журнала Esquire было сложно и дорого. Сегодня отличить реальную вещь от «утки» уже сложно.
Я получал переданные по электронной почте статьи из журналов и газет. Кто может дать гарантию, что те статьи на самом деле из газет и журналов, хотя утверждается, что это так. Как я узнаю, что они не были искусно изменены: слово здесь, предложение там. Что если я сделаю эту книгу доступной интерактивно, и некие хакеры возьмут и изменят мои слова? Возможно, вы читаете эту книгу в Сети; остановитесь ли вы, чтобы подумать, что прочитанное вами может не быть написано мною, что вы верите серверу, с которого загрузили книгу. Является ли вера механизмом, который применим для проверки, что это мои слова? По прошествии достаточного количества лет многие люди будут читать переделанную версию книги – иную, чем мои настоящие слова. Думаете, кто-нибудь заметит это? Насколько задолго до измененной версии была создана «настоящая» версия? Когда протест Воннегута будет забыт и его речь на присуждении ученых степеней войдет в историю?
Соблазн подделывать или изменять данные велик. Покрытый рунами камень, найденный в Миннесоте, предположительно описывает визит викингов, и ничего, что он содержит слова, возникшие только в современном шведском языке. Поль Шлиман (внук Генриха Шлимана) претендовал на открытие секрета Атлантиды в старинных свитках майя, которые он прочел в Британском музее. Ничего, что никто не может прочесть письмена майя и что старинные свитки хранятся в Мадриде. Переписанная Бисмарком телеграмма Эмса в 1870 году развязала Франко-Прусскую войну. В 1996 году, когда Дэвид Селборн пытался протолкнуть свой перевод описания посещения Китая итальянским путешественником (обогнавшим Марко Поло на три года), он использовал «владельца манускрипта, согласившегося на перевод только в случае, если будет соблюдена строжайшая его анонимность», в качестве уловки, чтобы скрыть подделку.
Цифровой мир позволяет с легкостью осуществлять подобные вещи, потому что подделку настолько же просто произвести, насколько сложно выяснить истину. В мае 1997 года 13-летняя жительница Бруклина выиграла национальный конкурс по орфографии. Когда в New York Post была напечатана фотография Assoshiated Press, на которой девочка прыгает от радости, со снимка убрали название ее спонсора, нью-йоркской Daily News. Так же на видео: когда Си-Би-Эс показывала празднование Нового, 2000 года она добавила свою собственную эмблему к эмблеме корпорации NBC (30 на 40 футов). А поддельные эссе и речи, подобные речи Воннегута, путешествуют по Интернету постоянно.
Изображения способны оказывать мощные воздействия на людей. Они могут изменять мнения и оказывать влияние на внешнюю политику. Картины «Бури в пустыне» – загнанные в ловушку иракцы, ставшие жертвами снарядов военно-воздушных сил коалиции, сыграли большую роль в быстром прекращении огня: американцы не любят видеть резню. А помните Сомали? Кадры были взяты из тридцатисекундного видеоклипа: мертвую Марине (Marine) проволокли по улицам Могадишу для того, чтобы отбить у американцев желание воевать. Информация – это сила. В некоторых случаях видеоклип может быть и обманом.
Это звучит жутко, но, несмотря на внимание к этой проблеме, мы теряем способность отличать настоящую вещь от фальсификации. На протяжении всей истории человечества мы использовали контекст для проверки целостности; в электронном мире контекста нет. Для кинофильма «Афера» Ньюман и Редфорд нанимали дюжины актеров на пробы и устраивали реалистичную имитацию тотализатора конных бегов, чтобы детально изучить поведение каждого кандидата. Во время съемок более современного кинофильма «Испанский заключенный» было то же самое. Вовлечение в такие глобальные игры с целью детального изучения реакций было популярно во времена депрессии; впрочем, я знаю, что подобные вещи делаются и сегодня. Данный способ оценки надежен, потому что человек не может предположить, что все, что он видит – комнаты, люди, движение, – в действительности является только представлением, разыгранным исключительно для него. В Сети это сделать просто. В мире, в котором нет возможности потрогать, людям нужен новый способ проверки целостности того, что они видят.
Аудит
Двойная запись в бухгалтерском учете была придумана в 1497 году Лукой Пациоли из Борго Сан-Сеполкро, хотя само это понятие на 200 лет старше. Основная идея в том, что каждая операция будет влиять на два или более счета. Один счет дебетируется на ту же самую сумму, на которую кредитуется другой счет. Таким образом, все операции всегда проходят по двум счетам и, поскольку они всегда показывают увеличение на одном счете и уменьшение на другом, суммарный итог по всем счетам всегда будет нулевым.
У этой системы есть две главные цели. Две книги хранятся у двух разных клерков, уменьшая возможность обмана. Но еще более важно, что две книги будут сбалансированы друг с другом в установленном порядке (бизнесмены должны подсчитывать баланс каждый месяц, банки каждый день). Процесс подсчета баланса и является аудитом: если один клерк пытается совершить злостную фальсификацию или просто сделает ошибку, это будет раскрыто, потому что кто-нибудь другой будет проверять его работу, а не он сам. В дополнение к этому могут пригласить ревизоров со стороны, когда придут другие бухгалтеры и проверят книги снова… только чтобы удостовериться.
Аудит жизненно необходим, если к безопасности относиться серьезно. Двойная запись бухгалтерского учета – это только начало; банки имеют комплексные и исчерпывающие требования к аудиту. То же касается тюрем, стартовых шахт ядерных ракет и бакалейных магазинов. В тюрьмах должны хранить записи на каждого, кто поступает и выбывает, и регулярно составлять баланс, чтобы быть уверенными, что никто незамеченным не убыл (или случайно не остался). В ракетных шахтах могут дополнительно подвергнуть ревизии каждый убывающий и прибывающий контейнер и упаковку, сравнивая отгрузочные и приемные записи с действительностью. Бакалейный магазин хранит кассовую ленту всего пробитого товара и сравнивает количество денег, находящихся в ящике кассы фактически, с тем, что пробито на кассовой ленте.
Это не профилактические меры безопасности (хотя они могут предотвратить нападения); аудит предназначен для того, чтобы помочь судам. Суть аудита состоит в том, чтобы вы смогли обнаружить успешное нападение, выяснить, что случилось после него, и затем доказывать наличие нападения в суде. Специфические потребности системы в аудите зависят от сферы его приложения и масштабов. Например, вам не нужно многое из контрольных функций аудита, применяемых к системе кредитных карт для обслуживания фотокопировальных машин университета. И есть потребность в гораздо более жестком контроле, если кредитные карты собираются использовать для проведения больших закупок, которые могут быть конвертированы в наличные деньги.
Аудит с трудом может быть применим к компьютерам. Регистрационная лента хорошо подходит для ревизии, потому что клерк не в силах изменить записи: операции последовательно напечатаны на едином рулоне бумаги, и невозможно добавить или удалить операцию, не вызвав подозрения. (Правда, есть некоторые способы: блокирование записи, имитация того, что закончились чернила, блокировка записи для отдельной операции, подделывание целой ленты и т. д.) С другой стороны, компьютерные файлы могут быть легко стерты или изменены; это делает аудиторскую проверку записей более сложной. Большинство проектировщиков систем не думают о ревизии, когда занимаются их разработкой. Вспомните заложенное изначально контрольно-ревизионное свойство двойной записи счетов бухгалтерского учета. Эта контрольная способность обречена на неудачу, когда обе книги хранятся в одной и той же компьютерной системе и один и тот же человек имеет доступ к обеим книгам. Но таким образом работают все бухгалтерские компьютерные программы.
Электронные деньги
Вернемся в старые времена (год 1995 или около того). В те дни каждый думал, что мы должны создать новый вид денег для обращения в электронной торговле. Много компаний прекратили свое существование в попытках выдумать новые деньги. Некоторые компании старались создать электронный эквивалент наличных денег, другие – электронный эквивалент чеков и кредитных карт. Одной из последних таких попыток стал объединенный протокол Visa/Master card, предназначенный для использования существующих кредитных карт совместно с особой интернет-системой, позволяющей сделать кредитные карты надежными для электронной коммерции.
Они как-то изворачиваются, но не в этом дело. Кредитные карты прекрасно подходят для Интернета, и очень многие с готовностью пользуются ими для покупки книг, одежды и всего прочего. Однако наличие таких брешей в защите, которые позволили осуществить кражи серийных номеров кредитных карт в 2000 году, впечатляет. Будет ли когда-нибудь создана специфическая для Интернета форма оплаты?
В большей степени это вопрос регулирования, чем безопасности. Для электронной торговли система безопасности должна быть разработана на основе синтеза всех рассмотренных выше требований: подтверждения подлинности, секретности, целостности, безотказности, аудита. Потребности достаточно просты: нам нужна возможность перемещать денежные массы по компьютерной сети. При пристальном рассмотрении обнаруживаются несколько путей для достижения этого. Мы можем взять любой из имеющихся вариантов оплаты: наличные деньги, чеки, дебиторские и кредиторские карты, кредитные бумаги и перенести их в киберпространство. Различные платежные средства подчиняются различным правилам и требованиям.
Некоторые требования зависят от того, какую ответственность кто несет. Торговцы и компании, обслуживающие операции по кредитным картам, несут ответственность по большинству долгов украденных кредитных карт и мошенническим сделкам с их использованием. По этой причине электронные версии для данных систем разрабатываются таким образом, чтобы облегчить жизнь именно им, а не потребителям.
Различные физические реализации также предполагают различные требования. Эта система сетевая или автономная? Все намного проще, если вы можете рассчитывать на сетевое соединение с банком (каковое требует банкомат). Если вы создаете торговую систему для использования в той части света, где недостаточно телефонных линий (как, например, в отдельных районах Африки), вы не можете принять этот вариант. Будет ли система работать в программной среде или мы можем рассчитывать на надежные аппаратные средства, подобные смарт-карте? И будет ли эта система предполагать анонимность, как в случае использования наличных денег, или включать опознавание, подобно системе кредитных карт? И наконец, какое правительственное регулирование будет осуществляться по отношению к этой системе? Это зависит не только от выбранных платежных средств, но также от постановлений правительства или правительств, имеющих власть над системой.
Мы уже можем наблюдать кое-что из этого. У нас пока нет цифровых наличных денег, но уже появляются альтернативные системы, которые выполняют ту же роль, что и деньги. Flooz com создал специализированную валюту для оплаты подарков. На нем выдаются подарочные сертификаты, которые могут быть использованы в качестве денег. Beenz com предпринимает нечто подобное; «beenz» не являются настоящими деньгами, но они могут использоваться и обращаться, как настоящие деньги. Другие компании тоже участвуют в этом процессе.
Я ожидаю, что это станет большим делом и, возможно, опасным. Причина в том, что псевдовалюты не могут играть той регулирующей роли в процессе товарооборота, которую играют реальные деньги.
Упреждающие меры
Традиционно предотвращение мошенничества было упреждающим. Криминальные элементы находят изъян в торговой системе и пользуются им. Они продолжают идти вперед, в то время как проектировщики системы пытаются понять, как устранить недостатки или хотя бы свести к минимуму ущерб. Преступники изучают ситуации, когда их атаки не достигают цели, и продолжают атаковать другими способами. И процесс продолжается.
Вы можете проследить это на примере кредитных карт. Изначально подтверждение кредитных карт не осуществлялось через сеть. Торговцам предоставляли книги с недействительными номерами кредитных карт каждую неделю, и они должны были вручную проверять номер по книге. Сейчас подтверждение карты происходит по сети в режиме реального времени. Плохие люди воровали новые карты из почтовых ящиков; из-за этого компании, обслуживающие кредитные карты, стали требовать, чтобы вы звонили для активации своей карты. Сейчас карты и извещения об активации отправляются из различных точек. У компаний также есть разведывательные программы для контроля непредвиденных расходов. («Доброе утро, сэр, извините за беспокойство. Многие годы вы были хорошим клиентом. Мы хотим проверить, действительно ли вы внезапно переехали в Гонконг и полностью исчерпали свой кредит».)
Когда банкоматы впервые были введены Citicorp в 1971 году, клиент должен был помещать кредитную карту в прорезь и набирать свой идентификационный номер[17]. Машина проверяла его и выбрасывала карту обратно клиенту. После этого он мог закончить операцию. Предприимчивые нью-йоркские преступники переодевались в костюмы обслуживающего персонала и ждали недалеко от этой машины. После подтверждения идентификационного номера клиента они подходили и говорили, что банкомат сломан, проходит тестирование или в нем просто нет денег, и просили использовать соседний рядом. В конце концов, людям в таких костюмах можно доверять – так думали клиенты. После того как клиент уходил, они заканчивали первую операцию и клали в карман наличные деньги.
Карта должна была удерживаться до конца сделки, но это требовало реконструкции аппаратных средств. Банкам нужно было действовать быстро, и они нашли временное решение, которое могло быть введено в действие в банкоматах: было сделано так, чтобы расположенные рядом машины имели связь между собой. Поскольку банки применили это повсюду, то могли наблюдать, как преступники перемещались по всему городу в поисках машин, где уловка все еще срабатывала. Тогда они настроили банкомат так, чтобы он удерживал карту до конца сделки. Долгосрочное решение состояло в том, чтобы создать сеть с обратной связью, дающую уверенность в том, что в любой момент времени проводится только одна транзакция с использованием данной карты. Это было сделано, так что теперь не имеет значения, сколько времени карта удерживается машиной. Теперь многие банкоматы попросят вас просто предъявить свою карту, но раньше было очень много мошенничества, пока проблема не была определена.
Подобные способы фиксации недостатков в системах безопасности после того, как уже было осуществлено нападение, не подходят для Интернета. Атаки могут быть автоматизированными, они могут легко и быстро повторяться низкоквалифицированными нападающими. Нападение на банкоматы, адаптированное к Интернету, может разрушить банковскую систему. Недостаточно противодействовать мошенничеству после того, как оно было продемонстрировано в работе; мы должны быть предусмотрительны и бороться с обманом до того, как он произойдет.
