Нужно объединить обе концепции. Мы не обладаем должной квалификацией, чтобы делать правильно с первого раза, поэтому у нас нет другого выхода, кроме как оперативно устанавливать патчи. Но еще нам нужно понять, как свести к минимуму издержки от этой модели. Из-за сложности интернета+ мы испытываем потребность как в стабильности каскадной схемы, так и в скорости реакции гибкой модели.

Знаменитую карикатуру из журнала The New Yorker 1993 г., на которой изображены две собаки, сопровождает подпись: «В интернете никто не знает, что ты собака». В 2015 г. тема получила развитие, и на страницах The New Yorker появилась карикатура с парой других собак. Одна спрашивала у другой: «Помнишь времена, когда в интернете никто не знал, кто ты такой?»

В каждой шутке лишь доля шутки. В интернете мы доказываем, что мы – именно те, за кого себя выдаем, вводя пароль, известный, по идее, исключительно нам. В то же время существуют системы, которые позволяют и преступникам, и инакомыслящим скрытно общаться друг с другом, не давая властям возможности узнать, кто они (и все же государственные структуры часто об этом узнают). Нам известно и о системах анонимной коммуникации, например о создании аккаунта без ассоциации с именем пользователя. Наконец, хакеры способны взламывать сети, находясь на другом конце света и не под своим именем, и опять-таки власти и охранные фирмы их удачно идентифицируют.

Если вам кажется, что все это слишком запутанно, то вам кажется не напрасно – именно так все и есть.

В 2016 г. Роб Джойс – в то время он возглавлял входящее в АНБ подразделение по проникновению в компьютерные сети (Tailored Access Operations Group – TAOG) и был, по сути, главным хакером США – принял участие в публичной дискуссии (такое случается очень редко), на которой, помимо прочего, заявил примерно следующее:

Джойс был и остается прав. Как бы ни были опасны уязвимости в ПО, наибольшей популярностью у хакеров пользуется взлом в процессе аутентификации. Взлом этот можно осуществить как посредством украденного пароля, так и с применением технологии «незаконный посредник»[20]. Кража учетных данных не требует поисков «уязвимостей нулевого дня» или неисправленных «дыр», плюс здесь меньше шансов попасться. Это дает злоумышленнику бóльшую свободу действий.

Именно так китайские хакеры взломали сеть Управления кадровой службы США (Office of Personnel Management). В 2014 г. атака на компанию Target Corporation началась с кражи учетных данных для входа в систему. В 2011–2014 гг. иранские злоумышленники использовали для входа в систему политических и военных руководителей США, Израиля и других стран похищенные учетные данные. В 2015 г. хактивист[21], взломавший сеть производителя «кибероружия» компании HackingTeam и опубликовавший документ деликатного свойства, проделал все это также с помощью украденных учетных данных. Аналогичный способ был использован и в 2016 г. во время хакерских атак на Национальный комитет Демократической партии. В ходе одного исследования выяснилось, что 80 % всех взломов – результат неправомерного или несанкционированного использования учетных данных. В Google наблюдали за пользователями почтового сервиса Gmail с середины 2016-го по середину 2017 г. и еженедельно выявляли 12 млн успешных фишинговых атак.

Кража конфиденциальных данных считается наиболее эффективным способом взлома именно потому, что аутентификация – широко распространенное явление. В той или иной форме она и только она защищает приватность, из-за чего существует множество способов взлома. Придумать форму аутентификации, которая была бы удобной в использовании и одновременно безопасной, трудно и в большинстве случаев невозможно. При этом подавляющая часть систем сконструирована таким образом, что однократная аутентификация допускает любые последующие действия.

Самый распространенный механизм аутентификации – использование имени пользователя (логина) и пароля. Вы отлично знаете, что это такое, и из-за необходимости запоминать слишком много паролей, скорее всего, совершали все ослабляющие защиту системы ошибки: выбирали слабые пароли, неоднократно использовали важные пароли, записывали пароли и забывали свои записи в общественных местах.