Читаем Седьмое чувство. Под знаком предсказуемости: как прогнозировать и управлять изменениями в цифровую эпоху полностью

Производители программного и аппаратного обеспечения обычно стремятся скрывать такие возможности взлома до тех пор, пока они не найдут способ исправить их. Но это не всегда работает. Тайное всегда становится явным. Но даже после того, как исправление выходит в свет, на то, чтобы установить его, уходят недели, а порой и месяцы. Нет ничего необычного в том, что спустя пару часов после того, как будет объявлено об обнаружении новой уязвимости нулевого дня, атаки, в которых применяются такие методы, просто взрывают Интернет. Тысячи хакеров пытаются воспользоваться уязвимостью, прорвать оборону систем, пока те отключены для починки или для перезагрузки или просто оставлены без присмотра системными администраторами, которые не в курсе, что сейчас в самом разгаре сезон охоты на отдельную часть кода. О существовании нулевого дня под названием Heartbleed, позволявшего хакерам прокрадываться в компьютеры пользователей через дыры в их браузерах, стало известно 7 апреля 2014 года – спустя более чем 2 года после его возникновения в результате программной ошибки. Случайно? Из-за переутомления инженера? Нарочно? Под эгидой какого-нибудь федерального агентства безопасности? Никто не знал. (Или не говорил.) Как бы то ни было, спустя два дня после обнародования информации о Heartbleed и задолго до того, как большую часть компьютеров успели полностью залатать, количество атак с использованием этого метода выросло от нескольких десятков в час до миллионов.

В последние годы промысел хакеров достиг новых горизонтов, вырвался далеко за пределы ПО и USB-флеш-накопителей. Дело дошло до самого базового, атомного уровня компьютеров, до мест, где электроны приводят биты и байты в движение. Техническое совершенство этих микрохаков потрясает воображение – подобные взломы выглядят, как оперы Вагнера в сравнении с тоненьким пронзительным свистом Cap’n Crunch. Возьмем, к примеру, один недавний инновационный хак с помощью магнитного заряда. Электрические сигналы, как известно, сопровождаются магнитной компонентой. И когда такие компании, как Intel и AMD, начали оснащать свои полупроводниковые платы все большим и большим количеством ячеек памяти, они обнаружили, что магнитные помехи двигались по поверхности их чипов, словно волны. Иными словами, множество цифровых клеток равносильно множеству магнитов. В 2014 году специалисты по безопасности Марк Сиборн и Томас Даллиен, работавшие в Google, совершили следующее открытие: ими была обнаружена возможность использования магнитных вибраций в двух параллельных рядах плат памяти, чтобы менять электрическое состояние третьего ряда. Что-то вроде перемещения булавки, лежащей на поверхности стола, с помощью магнита, находящегося под столом. Так же, как и в случае с магнитом, трюк оказался незаметен.

Это дало им возможность беспрепятственно добраться до самых глубинных, сверхзащищенных областей памяти машин, областей, в которых они могли делать все, что им вздумается. Наносимое хакерами повреждение получило название «rowhammer»; оно представляло собой идеальную и практически не поддающуюся починке пробоину, имевшую место практически в каждом микрочипе, на протяжении ближайших пяти лет. Предупреждение для потенциальных жертв о результате было опубликовано сразу же. И все же этот эксплойт был нацелен в самый базис системы, так что практически невозможно было полностью от этого избавиться. Биться над исправлением – было равносильным тому, чтобы попытаться исправить законы физики.

Компьютерный исследователь Натаниель Хастед представляет мир как пространство «всплывающих уязвимостей» – не связанных между собой червоточин в программном и аппаратном обеспечении, в сфере коммуникаций и финансов, возникающих в мире связи. «Фундаментальный аспект всплывающих уязвимостей и атак, – пишет Хастед, – состоит в том, что они создают впечатление несерьезных, поддающихся решению проблем ровно до тех пор, пока не наступит определенный критический момент, когда они станут злокачественными». Риски, которые мы не ожидаем, в немалом количестве присутствуют во всех сферах связи, используемых нами. На деле – и именно на этом и делает акцент Хастед – есть такие сферы связи, которые сами собой представляют опасность.