Читаем Сядьте на пол полностью

В апреле 2011 года Иван Касперский, сын Евгения и Натальи Касперских, был похищен с требованием выкупа в 3 миллиона евро. К счастью, всё закончилось хорошо: через пять дней его освободили в результате операции ФСБ, МУРа и спецназа. Один из неприятных уроков этой истории состоял в том, что для подготовки похищения злоумышленники использовали адреса (домашний и рабочий), фотографии и другие данные Ивана из его открытого профиля в социальной сети «Вконтакте» [105].

Многие удивлялись, что такие ведущие эксперты по безопасности, как родители Ивана, не смогли объяснить сыну, какую угрозу представляет публикация персональных данных. Мне такая ситуация не кажется удивительной, поскольку я работаю в той же индустрии — и знаю, что бизнес информационной безопасности закрывает лишь немногие "дыры". И это не потому, что ИБ-эксперты плохо работают.

На одном этаже со мной сидит сотня хакеров, которые находят уязвимости в чём угодно, от детской радионяни до атомной электростанции. Но для того, чтобы дыры были залатаны, их недостаточно найти. Нужно, чтобы этой информацией заинтересовались пользователи и производители тех самых радионянь или атомных станций. Недавно видел исследование, где говорилось, что 70 % утечек персональных данных происходят в медицинской отрасли. Это может создать неприятности похуже, чем социальные сети. Но пока гром не грянул, никто особо не парится.

Между тем процесс появления дыр идёт лавинообразно. Пока вы читаете эти строки, на рынок выходят тысячи новых устройств. Большинство из них имеют новые, никем не исправленные уязвимости. Но все эти устройства тут же подключаются к Интернету по упрощённой процедуре «в пару кликов». Реклама не рассказывает о лишних настройках для защиты, поскольку защита — это всегда ограничения, а бизнесу надо побыстрее получить новых клиентов. Таким образом, все дыры становятся открыты для всех желающих. А среди желающих всё чаще фигурируют роботы, которые способны просканировать тысячи устройств за пару минут. Хотите посмотреть в миллион веб-камер, которые используются для присмотра за детьми? Да пожалуйста: они подключены к Интернету через открытые порты без пароля [106].

Однако я подозреваю, что вам уже надоели страшилки. Хочется узнать, кто виноват и что делать. Ну, по первому вопросу ответ уже прозвучал: есть огромный бизнес, который зарабатывает на цепных реакциях, лавинах и эпидемиях. Это не значит, что они продают именно дыры. Продавцы устройств и интернет-услуг активно разгоняют «свою лавину» — ту, которая вызывает взрывную популярность айфона или тотальное заражение населения «Фейсбуком». Но залогом этих взрывов является отказ от безопасности.

Для меня всегда было символично, что «урановое топливо» для первого интернет-взрыва создали физики-ядерщики, скучавшие без денег после окончания Холодной Войны. До этого Интернет был другим: он рос естественными деревьями почтовых рассылок, ньюс-групп и конференций ФИДО. Но в 1991 году в Европейской лаборатории физики элементарных частиц (CERN) Тимоти Бернерс-Ли придумал ту самую Паутину (World Wide Web), которая очень похожа на цепную ядерную реакцию: ссылки откуда угодно на что угодно. Дикая связность, которую Станислав Лем назвал «Мегабитовой бомбой». Первый веб-сайт CERN заработал 6 августа — день бомбардировки Хиросимы.

Бывших физиков в этом лавинном бизнесе ещё много. Крис Андерсон, главред журнала Wired и автор «теории длинного хвоста», в прошлом работал в Национальной лаборатории Лос-Аламоса: там делали «Манхеттенский проект», первые атомные бомбы. А создатель Mail.ru Group, совладелец DST Global и один из инвесторов Facebook Юрий Мильнер — выпускник физфака МГУ. Если вспомнить ещё Эстер Дайсон и её папу-физика, можно сочинить отличную теорию заговора.