Страница 15 из 19
Однако в конечном счете Миллер и Валасек додумались до того, как проникать в электронную систему машины удаленно. В двухтонном Jeep Cherokee на этот раз имелась навороченная медиасистема, которая управляла всем, начиная от радио и навигатора и заканчивая кондиционером. Система была подключена к интернету и запускала приложения, которые искали дешевые заправки или ближайшие рестораны.
Именно соединение с интернетом позволило Миллеру и Валасеку «влезть» в электронную систему автомобиля с дивана в комнате Миллера. Сначала они нашли доступ к медиасистеме через сеть мобильной связи. Хакеры использовали это достижение как точку опоры, с которой они внедрились более чем в 30 различных компьютеров машины. Они научились отключать трансмиссию при движении автомобиля на высокой скорости. На низких скоростях они смогли отключать привод тормозов и контролировать систему рулевого управления.
Гринберг остановился на обочине у очередного съезда с шоссе и перезапустил двигатель. Он ожидал безобидных «фокусов», которые Миллер и Валасек демонстрировали ему пару лет назад. Но теперь все было по-другому. Хакеры уже не сидели рядом, на заднем сиденье. И они не видели, есть ли у Гринберга возможность съехать на обочину, когда отключали трансмиссию.
Несмотря на испытанный страх, для Гринберга эта история стала большим успехом. Через три дня после того, как он поместил отчет о ней в журнале Wired, корпорация Chrysler признала недостатки в системе безопасности своих машин{97}, отозвала 1,4 млн автомобилей и разослала своим потребителям флеш-накопители USB, которые вставлялись в разъем на передней панели и обновляли программное обеспечение компьютерной системы машины. Таким образом корпорация решила вопрос с тайным ходом, через который могло произойти несанкционированное проникновение в систему. Однако уязвимых мест в автомобиле осталось еще немало. Всего несколько месяцев спустя Миллер и Валасек научились удаленно брать под контроль рулевое управление, вызывать неожиданное ускорение и также неожиданно ударять по тормозам. И все это во время движения на высокой скорости.
«Подлинная угроза, – объяснял Гринберг, – исходит от личностей со злыми намерениями, которые связывают вместе отдельные звенья цепи. Они используют цепочку вирусов для того, чтобы перепрыгивать с одной системы на другую, пока не завладеют всем кодом»{98}. Другими словами, они эксплуатируют сложность системы: используют связи в ней для того, чтобы от программного обеспечения, управляющего аудиосистемой и GPS, внедриться в компьютерные программы, которые управляют самой машиной. «По мере того как автомобили оснащаются все большим количеством функций, – рассказывал нам Гринберг, – расширяются возможности для злонамеренного их использования». А ведь в будущем функциональность машин значительно увеличится: в автомобилях без водителя (беспилотных средствах передвижения) компьютеры начнут контролировать буквально все, а в некоторых таких моделях уже не будет рулевого управления или педали тормоза.
Уязвимы не только автомобили, банкоматы и кассовые аппараты. После своей презентации в Лас-Вегасе Барнаби Джек обратил внимание на медицинскую аппаратуру и инструменты{99}. Он создал устройство, которое с помощью антенны и ноутбука смогло внедряться в работу инсулиновых помп с расстояния в десятки метров. Джек оказался в состоянии полностью контролировать эти помпы вплоть до того, чтобы давать устройствам команду ввести пациенту весь объем инсулина, содержащийся в контейнере. А это грозит потенциально летальным исходом. Джеку даже удалось убрать из функций работы помпы подачу вибрационного сигнала, который обычно предшествует инъекции.
Джек также взломал вживляемые дефибрилляторы{100}. Он понял, как удаленно заставить эти похожие на электростимуляторы устройства подавать на сердце пациента электрический разряд в 830 вольт. Такая атака была изображена в психологическом триллере – телесериале «Родина», в котором террористы получили доступ к электростимулятору вымышленного вице-президента США, чтобы убить его. Критики назвали этот эпизод сюжета «надуманным», но Джек полагал, что на самом деле в фильме такая атака только кажется слишком сложной{101}. Многие также серьезно восприняли эту угрозу. За несколько лет до выхода на экраны сериала «Родина» кардиологи вице-президента Дика Чейни отключили функцию удаленного управления на вживленном ему электростимуляторе, чтобы предотвратить негативные последствия возможной атаки.
Трансформация автомобилей и электростимуляторов из изолированных устройств в сложные, жестко связанные машины – это не что иное, как техническая революция. И это только вершина айсберга. Миллиарды таких машин – от авиадвигателей до домашних обогревателей – стали теперь частью сети, которая носит название «интернет вещей». Это огромная сложная система, чрезвычайно уязвимая, если говорить о возможности аварий и террористических атак.
Например, некоторые производители уже сегодня создают «умные» стиральные машины и сушилки, которые без проводов подключены к интернету. Эти электробытовые приборы делают уйму умных действий: автоматически заказывают стиральный порошок или контролируют тарифы на электроэнергию, работая только в то время, когда стоимость электричества минимальна. Все это отлично. Но подумайте о заложенных здесь рисках. Если в системе безопасности вашей умной сушилки возникнет сбой, то хакеры смогут проникнуть в электронику машины удаленно, перепрограммировать программное обеспечение так, что электромотор устройства перегреется и вызовет пожар. Если в городе среднего размера будет хотя бы тысяча таких уязвимых сушилок, хакеры могут нанести значительный ущерб{102}.
Интернет вещей предлагает нам некую разновидность договора Фауста. С одной стороны, он расширяет наши возможности: мы можем ездить в беспилотных машинах, повышать надежность работы авиадвигателей и экономить энергию в наших домах. С другой стороны, интернет вещей открывает хакерам возможности причинить вред реальному миру.
Атаки на машины, банкоматы и кассовые аппараты нельзя отнести к числу катастроф, но они берут начало в опасной зоне. В сложных компьютерных системах с большей вероятностью возникают сбои в безопасности. Современные сети характеризуются массой взаимосвязей и неожиданных взаимодействий, которые могут злонамеренно использовать хакеры. А жесткость соединений означает, что, как только хакеру удается внедриться в систему, ситуация начинает развиваться очень быстро и просто так ее не исправить.
Итак, сложность создает возможности для правонарушений{103}, а жесткость связей в системе усугубляет их последствия. Не только хакеры используют опасные зоны для совершения противоправных действий, этим же занимаются и топ-менеджеры крупнейших мировых компаний.
III
Что вам нужно, чтобы открыть свое дело, скажем, киоск по продаже картошки?
Давайте начнем с основ. Вам нужен сам этот киоск и место, где его поставить. Вам нужна картошка для продажи, поэтому нужен поставщик, у которого вы будете ее покупать. Вам необходимы какие-то наличные средства для того, чтобы давать сдачу покупателям. И вот родилась фирма по продаже картофеля «Соблазнительные клубни» (Tuber Temptations).
Успех! Ваш картофель обладает хорошим вкусом, и люди охотно покупают его. СМИ расхваливают вас: «Фирма “Соблазнительные клубни” процветает!» Бизнес растет. Вы открываете еще несколько торговых точек и нанимаете для них работников. Вы начинаете торговать разными сортами картошки и создаете филиал по продаже сладкого картофеля. Вы даже берете кредит, который идет на новые киоски и расширение торговли. Жизнь прекрасна!
97
Greenberg. After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug Fix. Fiat Chrysler также взаимодействовал с мобильной сетью Sprint, оператором мобильной связи в плане предотвращения проникновения хакеров в электронную схему автомашин Jeep.
98
Интервью с Энди Гринбергом от 12 августа 2016 года.
99
Stilgherrian. Lethal Medical Device Hack Taken to Next Level // CSO Online, October 21, 2011. URL: https://www.cso.com.au/article/404909/lethal_medical_device_hack_taken_next_level; David C. Klonoff. Cybersecurity for Co
100
Darren Pauli. Hacked Terminals Capable of Causing Pacemaker Deaths // IT News, October 17, 2012. URL: https://www.itnews.com.au/news/hacked-terminals-capable-of-causing-pacemaker-deaths-319508. Примечательно, что результаты исследований Джека и права на них впоследствии перешли к Джастин Боун из Новой Зеландии, генеральному директору фирмы по разработке систем безопасности для медицинского оборудования MedSec. Эта фирма обнародовала, что обнаружила недостатки в безопасности вживляемых дефибрилляторов, произведенных компанией St. Jude Medical. А та опровергла наличие в ее устройствах каких-либо проблем и подала иск на ложные заявления со стороны MedSec. См.: Michelle Cortez, Erik Schatzker, and Jordan Robertson. Carson Block Takes on St. Jude Medical Claiming Hack Risk // Bloomberg, August 25, 2016. URL: https://www.bloomberg.com/news/articles/2016-08-25/carson-block-takes-on-st-jude-medical-with-claim-of-hack-risk; St Jude Medical Inc v. Muddy Waters Consulting LLC et al., Federal Civil Lawsuit. Mi
101
Barnaby Jack. «Broken Hearts»: How Plausible Was the Homeland Pacemaker Hack? // IO Active Labs Research, February 25, 2013. URL: http://blog.ioactive.com/2013/02/broken-hearts-how-plausible-was.html.
102
Чтобы познакомиться с темой о связи, существующей между усложняющимися системами и возможностью их намеренного вывода из строя и осуществления неожиданных террористических атак, см.: Thomas Homer-Dixon. The Rise of Complex Terrorism // Foreign Policy 128 (1), 2002. P. 52–62.
103
Для серьезного знакомства с теориями правонарушений в организациях см.: Donald Palmer. Normal Organizational Wrong doing. N. Y.: Oxford University Press, 2013. Книга написана отчасти под влиянием работ Чарльза Перроу.