А тем временем Диффи добился независимого прорыва, на пике вдохновения создав первый асимметричный шифр. В отличие от любых ранее известных кодов, асимметричные шифры не требуют, чтобы отправитель и получатель обладали одинаковым ключом. Вместо этого отправитель (Алиса) отдает свой открытый ключ Бобу, а Боб использует его, чтобы зашифровать послание Алисе. Алиса расшифровывает его, пользуясь личным ключом. И больше не имеет значения, что Ева (которая перехватила их беседу) также владеет открытым ключом Алисы, потому что единственное, что она в состоянии с ним сделать, — это зашифровать сообщение, которое сможет прочесть только Алиса.
В следующем году математики из MIT Рональд Ривест, Ади Шамир и Леонард Эйдельман разработали RSA — метод внедрения асимметричного шифра Диффи, который используется и по сей день
[321]. Подобно ключевому обмену Диффи — Хеллмана — Меркля, в основе RSA лежит односторонняя модульная функция. В этом случае функция требует, чтобы Алиса выбрала два очень больших простых числа и перемножила их, получив в результате число N. Вместе с другим числом (e) N и будет открытым ключом Алисы. Этот способ достаточно безопасен, поскольку взломать N чрезвычайно сложно. Точнее говоря, наиболее известные из используемых в наше время алгоритмов практически не применимы для больших чисел, так как чем больше число, тем меньше вероятность, что компьютер способен разложить его на множители в разумные сроки.
В первом открытом сообщении, закодированном с помощью RSA, использовалось относительно малое значение N — всего 129 знаков. Понадобилось 17 лет, пока команда в составе 600 добровольцев, предоставив свободную мощность своих процессоров по принципу SETI@Home
[322], сумела взломать код.
Да, возможно, настанет день, когда математики откроют более легкий способ разложения больших чисел, а RSA не сможет сгенерировать достаточно длинный ключ, чтобы обезопасить его от самых мощных в мире компьютерных сетей. Мы проделали долгий путь со времен Цезаря и его шифра, но даже сегодня исходим из сомнительного утверждения, что ключ — секрет, позволяющий расшифровать послание, — может быть абсолютно безопасным и приватным и что у нас есть сила защитить свои секреты. А вот история системной безопасности — явление относительно молодое. Только в 1988 году Роберт Таппан Моррис (сын легендарного криптографа и директора Агентства национальной безопасности США Роберта Морриса) применил переполнение приемного буфера, чтобы распространить первое вредоносное ПО — до этого люди не осознавали, что компьютеры уязвимы для атак. Так вышло, что свой зaмок мы выстроили на песке. Но гораздо большую тревогу вызывает другой факт: вместо того чтобы поменять стратегию, смиряясь с неизбежными поражениями и учась сдерживать и ограничивать соответствующий ущерб, мы просто добавляем в стены замка все новые груды песка, как и прежде, пребывая под властью иллюзии и считая, что стена крепка как никогда и ничто, в том числе наша слепая приверженность устаревшим идеям, не сможет ее разрушить.
* * *
В июле 2014 года с Уолл-стрит в адрес законодателей в Вашингтоне был направлен документ довольно зловещего содержания. Крупнейшая группа индустрии финансовых услуг просила правительство сформировать «совет по кибервойнам» из-за неминуемой угрозы кибератак, которые могут уничтожить громадные объемы данных и привести к краже миллионов долларов с банковских счетов: «Системные последствия могут оказаться губительными для экономики, поскольку утрата веры в безопасность накоплений и активов физических и юридических лиц может спровоцировать масштабную панику среди вкладчиков финансовых институтов, которая может выйти за пределы банков, дилерских фирм и компаний по управлению активами, затронутых ею напрямую».
Как отмечалось в документе, угроза была еще сильнее оттого, что банки полагались на электрическую сеть, которая со своей стороны уязвима с точки зрения безопасности. В том же месяце компания CrowdStrike, занимавшаяся проблемами кибербезопасности, обнародовала следующий факт: группа русских хакеров, известная как «Энергетический медведь», атаковала энергетические компании США и Европы — видимо, в ответ на оппозицию Запада в отношении действий России на Украине. По мнению одного эксперта по безопасности, годами следившего за деятельностью группы, ее уровень организации и материальных ресурсов наводил на мысль о поддержке со стороны властей. Впервые группа заявила о себе в 2012 году, избрав своей мишенью компании по производству электроэнергии, сетевые операторы и операторы нефтепроводов. В то время «Энергетический медведь», по всей видимости, выполнял миссию шпионажа, однако ныне применяемое хакерское ПО дает группе доступ к отраслевым системам управления, которые используют энергетические компании как таковые. Исследователь из Symantec (компании из списка Fortune 500, занимающейся интернет-безопасностью), сказал в интервью Bloomberg News: «Мы весьма обеспокоены возможностью саботажа»
[323].
Во второй половине 2012 года американские банки сильно пострадали от повторяющихся атак DDoS (распределенных атак типа отказа в обслуживании): «плохие парни» наводняли целевой сервер сообщениями, перегружая ИТ-инфраструктуру компаний и вызывая принудительное прекращение нормальных операций. И все это, как утверждала финансовая группа, было всего лишь «разогревом» перед гораздо более изощренными атаками «в среднесрочной перспективе». В настоящий момент, как признавала финансовая группа, индустрия плохо подготовлена для самозащиты от подобных атак.
Большие банки и инфраструктурные компании — не единственная их цель. В непрекращающейся игре «кибернападение — киберзащита» нападающая сторона всегда выигрывала, однако в последнее время защита просто-таки разбита наголову. В 2013 году мошенники получили доступ к номерам почти 800 миллионов банковских карт — в три раза больше, чем в 2012 году
[324]. Эта гигантская цифра (свыше 10 % мирового населения) — жалкое оправдание масштабности и серьезности проблемы. Приведем слова главного специалиста по информационной безопасности компании из списка Fortune 500: «Мы действуем исходя из предпосылки, что в пределах десяти минут после загрузки нового сервера он будет взят под контроль» — отраслевой жаргон для обозначения успешного проникновения в устройство.
