Читаем Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах полностью

Исправления в данном случае столь же очевидны, как и сама уязвимость: нормативные изменения, которые приведут рынок недвижимости в соответствие с другими финансовыми системами. В 2016 г. министерство финансов США реализовало пилотную программу в 12 городах{80}, требующую, чтобы LLC (форма собственности, соответствующая российскому ООО) раскрывали своих бенефициарных владельцев при их создании. Это привело к 70 %-ному снижению объемов покупок недвижимости такими компаниями за наличные. Подобное требование можно сделать постоянным и общенациональным. Фактически, программа недавно была возобновлена и расширена, чтобы охватить новые рынки недвижимости. Федеральное правительство могло бы распространить банковское правило «Знай своего клиента» на бенефициаров подставных компаний. Кроме того, правительству явно пора изменить «временное» правило{81}, введенное лоббистами в федеральный закон 2001 г. о сдерживании террористических актов, согласно которому покупатели недвижимости освобождаются от детальной проверки.

Однако политического желания что-то менять в этой сфере пока не наблюдается, разве что конфликт России с Украиной может немного сдвинуть ситуацию в Великобритании. Причина инертности – провластные интересы. Существует целый ряд отраслей – девелопмент, строительство и т. д., – которые получают выгоду от нерегулируемой продажи элитной недвижимости. И мало кто из власть имущих выиграет от таких перемен. На другой чаше весов – увеличение налоговых поступлений, повышение доступности жилья, увеличение площади жилого фонда и сокращение возможностей для отмывания денег. Иными словами, все то, чего хотят остальные.

Сегодня отмывание денег через недвижимость – это настолько обыденное дело, что его уже трудно назвать хаком. То же самое можно сказать и о предметах искусства. Существует хак, который заключается в том, чтобы купить произведение искусства по дешевке, завысить его стоимость при оценке, а затем передать его в дар музею, чтобы списать налоги. При этом обществу, которое недосчиталось налоговых поступлений, наносится вред.

Думая о хакинге, мы часто представляем себе, что хаки быстро блокируются разработчиками системы, которые исправляют ее уязвимости. Это то, что обычно происходит с компьютерными взломами. Я пишу эти строки в мае 2022 г., и вот три уязвимости, информация о которых недавно появилась в прессе.

● Cisco объявила о многочисленных уязвимостях{82} в своем программном обеспечении для Enterprise NFV Infrastructure Software. Одна из уязвимостей могла позволить злоумышленнику перейти с гостевой виртуальной машины на хост-компьютер и тем самым поставить под угрозу все сетевые хосты.

● Компания F5, специализирующаяся на безопасности облачных вычислений, предупредила своих клиентов{83} о 43 уязвимостях, затрагивающих четыре ее продукта. Одна из них «могла позволить неавторизованному злоумышленнику с сетевым доступом к системе BIG-IP через порт управления и/или собственные IP-адреса выполнять произвольные системные команды, создавать или удалять файлы или отключать службы».

● Корпорация AVG сообщила об обнаружении{84} двух серьезных уязвимостей в своих антивирусных продуктах, которые скрывались в коде с 2012 г. Обе уязвимости могли позволить злоумышленникам отключать защитное программное обеспечение или вмешиваться в работу операционной системы клиента.

В каждом из этих случаев уязвимость обнаруживали либо сами производители, либо исследователи, которые в частном порядке сообщали о ней разработчикам системы, те в свою очередь вносили исправления, и только после этого информация раскрывалась, а вместе с ней и тот факт, что система больше не уязвима.

В компьютерной безопасности для подобных случаев у нас есть термин – «ответственное раскрытие информации». Противоположную ситуацию описывает другой термин – «уязвимость нулевого дня». Это такая уязвимость, которая тайно обнаруживается преступниками, правительствами или хакерами, которые продают информацию о ней преступникам или правительствам. При этом организация, отвечающая за систему, ничего не знает об уязвимости до тех пор, пока не обнаружит реально функционирующий на ней эксплойт. В таких случаях предупреждений не может быть в принципе.

Ни в одном из хаков, которые мы обсуждали в предыдущих главах, ни в большинстве других примеров, приведенных в этой книге, не было ответственного раскрытия информации. Для некомпьютерных систем это норма. Когда менеджер хедж-фонда обнаруживает возможность выгодного взлома финансовой системы, он не предупреждает регулирующий орган, чтобы тот внес исправления. Он использует его в своих интересах до тех пор, пока правительственный орган сам не заставит его прекратить это делать.