Читаем Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах полностью

Возможно, лучшей метафорой для хакинга может послужить понятие инвазивного вида. Разные виды развиваются в разных условиях, по-разному сбалансированных по таким факторам, как хищники, добыча, состав окружающей среды и т. п. Когда представитель вида попадает из привычной ему среды в какую-то другую, он может воспользоваться отличиями весьма неожиданными способами. Возможно, в новой среде нет хищника, который раньше сдерживал его популяцию, и никакая другая сила в природе не может занять его место (как это произошло с бирманским питоном во Флориде). А может быть, отсутствует экологический фактор, игравший такую же роль (например, холодная погода для пуэрарии – растения семейства бобовых, ставшего настоящим бичом южных штатов). Или новый источник пищи неестественно обилен (как в случае с прожорливым азиатским карпом). В результате инвазивный вид способен размножаться с невиданной доселе скоростью. Хаки подобны этому. Они представляют собой скачки возможностей, внедренные в систему, которая к этому не готова. Инвазивный вид может вымереть, если экосистема развернет правильную защиту. Но он также может спровоцировать перегрузку экосистемы. Катастрофическое конечное состояние называется «коллапсом экосистемы», когда хак настолько разрушителен, что уничтожает ее полностью.

Когда российская Служба внешней разведки взломала компанию SolarWinds и внедрила бэкдор в обновление программного обеспечения Orion, 17 000 или около того пользователей установили это поврежденное обновление и непреднамеренно предоставили СВР доступ к своим сетям. Это огромное количество сетей, и совершенно немыслимо, чтобы СВР попыталась проникнуть в каждую из них. Вместо этого она тщательно перебирала содержимое своего улова, отбирая наиболее ценные и перспективные жертвы.

Такой прием известен как «атака по цепочке поставок». СВР атаковала не какую-то одну из сетей, а программную систему, которую использовали все эти сети. Атака по цепочке поставок – это умный способ атаковать системы, поскольку она может затронуть тысячи людей одновременно. Другие примеры такого рода атак: взлом магазина Google Play с целью размещения в нем поддельного приложения или перехват сетевого оборудования в системе почты для установки подслушивающих устройств{148} (этим занимается АНБ).

Аналогичным образом можно представить себе хакинг законодательного процесса. В предыдущих главах мы познакомились с тем, как хакеры находят и используют уязвимости в законах после их принятия. Но хакеры могут атаковать и сам законодательный процесс. Подобно взлому обновления программного обеспечения для управления сетью Orion хакеры могут намеренно внедрять уязвимости в готовящееся законодательство и использовать их в своих интересах, если оно будет принято.

В некотором смысле это более высокий уровень хакерских атак. Вместо того чтобы находить уязвимости в законах и нормативных актах, такой хакинг направлен против самого процесса создания законов и нормативных актов. Только по-настоящему сильные хакеры могут делать такие вещи.

Это не просто взлом системы. Это взлом средств ее исправления.

Лазейки в законах – явление распространенное, но большинство из них не квалифицируются как хаки. Это преднамеренные исключения из более общего правила, созданные для поддержки определенной политической цели, спокойствия конкретных групп избирателей или в качестве компромисса между самими законодателями. Для примера можно привести закон 2004 г., пролоббированный компанией Starbucks{149}, который признает обжарку кофейных зерен внутренним производством со всеми вытекающими, или, на более общем уровне, антимонопольные исключения в отраслях, требующих координации между участниками{150}, например в спортивных лигах. Эти меры не являются непреднамеренными и непредвиденными. Они не пытаются перехитрить систему создания, обсуждения и принятия законов. Как таковые они не являются хаками.

Но это не означает, что законодательный процесс, создающий эти лазейки, не взламывается постоянно. Все, что необходимо для такого хака, – это добавить в законопроект стратегически продуманное и точно сформулированное предложение. Это предложение может ссылаться на другие законы, а уже их взаимодействие может привести к определенному, непредвиденному для всех результату.

Целая индустрия лоббистов от лица своих спонсоров занимается разработкой таких непредвиденных результатов. В 2017 г. в процессе разработки Закона о сокращении налогов и увеличении занятости более половины вашингтонских лоббистов сообщили, что они работают исключительно над налоговыми вопросами. Это более 6000 профессионалов, то есть в среднем по 11 лоббистов на каждого члена конгресса{151}.