По разные стороны силы: могут ли хакеры быть "чёрными" и "белыми"?
Комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."
Обывателю удобно, когда мир делится на "чёрное" и "белое", и отличить добро от зла можно быстро и легко. Однако современный информационный мир постепенно стирает границы привычных вещей и понятий. Место честных граждан в информационной среде занимают преступники, а на место преступников приходят герои, готовые сражаться за справедливость и спокойствие. И если раньше "белые" хакеры существовали в голливудских фильмах, то сегодня "хактивизм" набирает обороты. Эксперты в области кибербезопаности рассказали Digital. Report, как хакеры могут быть "хорошими" и "плохими".
Сергей Котов, эксперт по информационной безопасности компании "Аладдин Р.Д."
Может ли быть хорошим пулемёт? Ответ зависит от вашего расположения относительно дульного среза и настроения пулемётчика (хотя, вполне можно себе представить автоматический аппарат, самостоятельно выбирающий и поражающий цели).
Можно выделить два основных свойства пулемёта. Первое – "могу стрелять, могу не стрелять". Второе – эффективность, которая определяется технологичностью и включает множество параметров: стоимость, удобство переноски, массу, скорострельность, прицельную дальность, кучность, начальную скорость пули, могущество боеприпаса и т.д., и т.п.
Это вам ничего не напоминает в контексте хакера? И субъективное представление о нем зависит от нашего отношения и оценки – каковы цели, каковы средства (если не исходить из "цель оправдывает…"), какова эффективность достижения первых с использованием вторых?
В конце концов, даже воровство мы (или, как минимум, многие из нас) иногда склонны оправдывать благими целями – помните такие фамилии, как Сноуден или Ассанж? Но с другой стороны баррикад многие считают, что нет им оправдания. Кстати, даже у англичан есть какая-то тёмная история про хорошего преступника Робина.
Само понятие "криминал" меняется со временем (причины оставим за пределами рассмотрения). Вполне, как кажется, достойный пример – спекулянты. Было время, и не слишком давно, когда их преследовали, судили, сажали и даже расстреливали в отдельных случаях. Сейчас отношение, по крайней мере, со стороны закона, совершенно другое. Например, словосочетание "валютный спекулянт" сейчас звучит гордо, и гордость эта прямо пропорциональна доходам. Другой вопрос – общественная польза от их существования. Но и тут не все однозначно. Можно придумать и пользу. Например, биржевые спекулянты "снижают волатильность на рынке" всяческих бумаг (акций, долговых расписок и т.п.), хотя и это не совсем правда, но такого определения оказывается вполне достаточно для общественного уважения и отсутствия законных оснований для преследования (при условии уплаты налогов, конечно).
Почему же многие вздрагивают при слове ХАКЕР? Может быть это – попытка создать жупел для использования в своих корыстных целях. Может быть лучше придать им общественно полезную функцию (хотя бы по аналогии со спекулянтами)? Например, WikiLeaks снижает волатильность на рынке государственных секретов (надеюсь, никто не думает, что такого рынка не существует), который, на мой взгляд, даже более материален, чем рынок ценных бумаг, стоимость которых определяется "объективной" истерикой спекулянтов.
Уже предлагал такую парадигму, которую можно коротко определить русской пословицей: "На то она и щука…".
Или так. Хакерство — высокоинтеллектуальный и весьма квалифицированный род деятельности, направленный на поддержание безопасности компьютерных систем, отстаивание гражданских свобод и экономического благополучия граждан (в отличие от спекулянтов, которым свойственна только последняя из перечисленных функция, да и то в отношении самих себя).
Возможен такой порядок. Хакер находит уязвимости в действующих компьютерных системах и сообщает о том, как он это сделал владельцу системы и контролирующему органу (никто же не возражает против Pen-тестирования и даже против оплаты такой работы). За достойное вознаграждение, конечно. Почему нет? Пусть это будет сделано открыто, и информация доведена оперативно, чтобы владелец системы успел принять меры. Не устранил в срок – регулятор примет свои меры. Нет, не оштрафует. Просто, например, опубликует информацию (на первый раз). Взломали, скажем, защиту музыкального сервиса Sony – будьте добры, уважаемая Sony, уплатите штраф за нарушение прав потребителя на качественный продукт и приведите защиту в порядок. Вышла пиратская копия фильма Universal Pictures – пожалуйте, уважаемая компания, в суд, но уже в качестве ответчика. Пользователям счастье – нет нужды разбираться, что тебе продали. И вообще – дело ли пользователя разбираться в контрафакте – он не эксперт. А то сейчас, в некоторых странах, человека, купившего вполне на вид приличный диск или скачавшего песенку с вполне себе симпатичного сайта, могут и "привлечь". Т.е. фирма хочет получать доходы и ради этого готова поставить тех, от кого она эти доходы получает, в известную физкультурную позу? Пусть совершенствуют защиту! Кто-то скажет, что все это – за счёт потребителя. Ну а сегодняшняя ситуация (потери со счетов, потери времени на то, чтобы доказать – не верблюд ли я и т.п.) — за чей?
Например, банки. Проводящие формально и поверхностно Pen-тесты, скажем, в рамках комплайнса PCIDSS, потом спокойно перекладывают ответственность на клиентов (не стесняясь заявлять "наша главная цель – удовлетворение потребностей клиентов). Хакеры вполне способны поменять ситуацию.
Польза же очевидна. Клиенты взломанной информационной системы будут знать об опасности пользования ею. Страховые компании будут в курсе повышения риска и отреагируют повышением ставок. Владелец информационной системы будет реально заинтересован в приведении в порядок своей защиты максимально оперативно (имидж и страховые ставки). И у так называемых хакеров (придумают им какое-нибудь благозвучное название, если это раздражает) отпадёт необходимость продавать на нелегальном рынке свои инструменты. И правоохранителям легче. И загрузка судов антипиратскими делами уменьшится. И налогооблагаемая база увеличится. И в легальный оборот будут вовлечены высококвалифицированные (всегда дефицитные) трудовые ресурсы. У студентов многих вузов появится дополнительный стимул к учёбе. Ведь информационных систем становится все больше. Хватит у регулятора сил на их прямой контроль? Такая вот благостная картина.
Хакер и преступник – не одно и то же (по крайней мере, далеко не всегда одно и то же).
Любую энергию (включая ядерную) можно использовать в мирных целях – это закон природы.
Использование "энергии" не в мирных целях должно караться. Конверсия – весьма полезный и актуальный процесс. Не стоит ограничивать её переделкой старых стратегических ракет под коммерческую нагрузку.