?Неуязвимость! Отчего системы дают сбой и как с этим бороться, Клирфилд Крис

?Неуязвимость! Отчего системы дают сбой и как с этим бороться

на обложку

Клирфилд Крис

Шрифт:

Уверенная в точности работы системы, британская почтовая служба обвинила некоторых субпочтмейстеров в воровстве, мошенничестве и фальсификации бухгалтерской отчетности, а также потребовала от них покрыть выявленные недостачи {78} . В некоторых случаях почта настояла на возбуждении уголовных дел {79} . Вот история Джо Гамильтон, которая управляла почтовым отделением в своем магазинчике в родной деревне. Женщине предъявили обвинение в недостаче 2000 фунтов:

Parliamentary Debates, Commons, 6th ser., vol. 589, 2014; см. заявления членов британского парламента Джеймса Арбетнота и Алберта Оуэна. См. также: Group Litigation Order against Post Office Limited is Approved // Freeths; The Post Office Group Litigation // HM Courts & Tribunals Service; Pooler. Sub-Postmasters Fight Back.

Parliamentary Debates, Commons, 6th ser., vol. 589, 2014; см. выступления членов парламента Джеймса Арбетнота, Хью Ирранка-Дэвиса, Кивана Джонса и Алберта Оуэна. См. также: Group Litigation Order against Post Office Limited is Approved // Freeths; The Post Office Group Litigation // HM Courts & Tribunals Service; Pooler. Sub-Postmasters Fight Back; Ratcliffe. Subpostmasters Fight to Clear Names.

Мне

пришлось перезаложить дом и выплатить эти деньги. Сначала меня обвинили в воровстве. Мне сказали, что если я покрою недостачу и признаю 14 пунктов фальсификации отчетности, то они не будут возбуждать дело о краже. Я решила, что за фальсификацию отчетности мне вряд ли дадут срок, чего не скажешь о воровстве, и я согласилась. Если бы я не признала свою вину за отчетность, они бы засудили меня за кражу. Я не могла доказать, что ничего не брала, а они не смогли доказать, что я что-то украла. Тогда они сказали, что я была единственным человеком, у которого возникли какие-то проблемы с Horizon {80} .

Дело Джо Гамильтон было подробно рассмотрено во время выступления на слушаниях в палате общин члена парламента Джеймса Арбетнота (Parliamentary Debates, Commons, 6th ser., vol. 589, 2014); заявления Джо Гамильтон приводятся из статьи: Matt Prodger. MPs Attack Post Office Sub-Postmaster Mediation Scheme // BBC News, December 9, 2014 (URL: и соответствующей видеозаписи.

После того как несколько членов британского парламента {81} выразили свою озабоченность ситуацией в почтовой службе, фирму Second Sight («Второй взгляд») привлекли для проведения независимой аудиторской проверки. Эта компания обнаружила, что проблемы могли возникнуть {82} из-за неожиданных взаимодействий в системе: «необычного стечения обстоятельств, таких как сбои в электроснабжении и связи или ошибки при проведении операций».

Parliamentary Debates, Commons, 6th ser., vol. 589, 2014; в частности, см. заявления члена парламента Джеймса Арбетнота.

Henderson. Post Office Mediation. См. также: Second Sight, Initial Complaint Review and Mediation Scheme; Charlotte Jee. Post Office Obstructing Horizon Probe // Investigator Claims, Computer world UK, February 3, 2015. URL: http://www.computerworlduk.com/infrastructure/post-office-obstructing-horizon-probe-investigator-claims-3596589.

Second Sight также пришла к выводу, что погрешности в работе системы Horizon {83} можно объяснять хитроумными атаками киберпреступников на банкоматы. Злоумышленники разрабатывали вредоносные программные средства, чтобы обойти системы безопасности программного обеспечения Horizon. На самом деле многие из отмеченных случаев хищения денег со счетов происходили через уличные банкоматы Банка Ирландии {84} . Это позволяло сделать предположение о том, что именно эти банкоматы стали уязвимыми. Однако сложность системы Horizon {85} скрыла эту потенциальную опасность на многие годы. Между тем именно в этот период некоторые субпочтмейстеры обанкротились или оказались в тюрьме {86} .

Second Sight, Initial Complaint Review and Mediation Scheme. P. 14–19.

Parliamentary Debates, Commons, 6th ser., vol. 589, 2014. Например, член парламента Джеймс Арбетнот отметил: «Больше всего я озабочен тем, что зачастую в программном обеспечении нельзя обнаружить те ошибки, которые порождают подобные проблемы». Во время тех же слушаний Джо Суинсон, парламентский заместитель министра по делам коммерции, инноваций и профессионального обучения, заявила, что «многие случаи по вполне понятным причинам очень сложны, поскольку имеют дело с системами и многочисленными транзакциями». Кроме того, газета Financial Times писала: «IT-эксперты утверждают, что отследить причины сбоев в компьютерных системах очень трудно, особенно когда эти системы cложные, а проблемы анализируются задним числом». (Plimmer. MPs Accuse Post Office.) См. также: Second Sight, Initial Complaint Review and Mediation Scheme; Plimmer and Bounds. Dream Turns to Nightmare.

Parliamentary Debates, Commons, 6th ser., vol. 589, 2014. В частности, заявления членов парламента Джеймса Арбетнота, Эндрю Бриджена, сэра Оливера Хелда, Кивана Джонса и Иэна Мюррея о судьбах субпочтмейстеров в их избирательных округах. См. также: Sub-Postmasters Fight Back; Plimmer and Bounds. Dream Turns to Nightmare.

Несмотря на чрезмерную сложность системы Horizon и растущее количество жалоб {87} , руководители британской почтовой службы сохраняли веру в нее, оспаривая выводы доклада фирмы Second Sight {88} . «После двух лет расследования абсолютно отсутствуют какие-либо доказательства того, что компьютерная система Horizon давала систематические сбои» {89} , – настаивали руководители британской почты. Но вопрос остается открытым: почтовая служба выступает ответчиком по коллективному иску {90} , который подали более пятисот субпочтмейстеров. А Комиссия по проверке уголовных дел [8] расследует несколько обвинений, в которых свою роль могла сыграть система Horizon {91} .

Parliamentary Debates, Commons, 6th ser., vol. 589, 2014; Second Sight, Initial Complaint Review and Mediation Scheme; Plimmer. MPs Accuse Post Office.

Alexander J. Martin. Subpostmasters Prepare to Fight Post Office Over Wrongful Theft and False Accounting Accusations // The Register, April 10, 2017. URL:The UK’s Post Office Responds to Horizon Report // Post & Parcel, April 20, 2015. URL: http://postandparcel.info/64576/news/the-uks-post-office-responds-to-horizon-report.

Post Office IT System Criticized in Report // BBC News, September 9, 2014. URL:См.

также: Karl Flinders. Post Office IT Support Email Reveals Known Horizon Flaw // Computer Weekly, November 18, 2015. URL: http://www.computerweekly.com/news/4500257572/Post-Office-IT-support-email-reveals-known-Horizon-flaw.

HM Courts & Tribunals Service, The Post Office Group Litigation; Michael Pooler. Post Office Faces Class Action Over «Faulty» IT System // Financial Times, August 2, 2017. URL: https://www.ft.com/content/f420f2f8-75fa-11e7-a3e8-60495fe6ca71.

Комиссия по проверке уголовных дел расследует предполагаемые судебные ошибки в Англии, Уэльсе и Северной Ирландии и имеет право вернуть дело в апелляционный суд, если существует возможность отмены приговора или смягчения наказания.

Pooler. Post Office Faces Class Action Over «Faulty» IT System.

Как заявил один из членов британского парламента, мысль, что «субпочтмейстеры, которые неустанно трудились в своих городках и поселках иногда десятками лет, вдруг решили, что могут обмануть компьютерную систему, – полнейшая и абсолютная чепуха» {92} . Или, как сказал один бывший субпочтмейстер: «Людей сажали в тюрьму, хотя было ясно, что виной всему – сбой в компьютерной системе» {93} .

3. Хакерство, мошенничество и все то, о чем не принято писать в газетах

«Им даже не нужно было лгать. Они прикрылись сложностью системы, и этого оказалось достаточно»

Заявление члена нижней палаты парламента Кивана Джонса. Parliamentary Debates, Commons, 6th ser., vol. 589, 2014. См. также: выступления на тех же слушаниях членов парламента Джеймса Арбетнота, Эндрю Бриджена, Кэти Кларк, Джонатана Джаногли, сэра Оливера Хелда, Хью Ирранка-Дэвиса, Иэна Мюррея, Алберта Оуэна, Гизелы Стюарт и Майка Вуда; Plimmer and Bounds. Dream Turns to Nightmare.

Высказывание Алана Бейтса, создавшего общественную группу Justice for Sub-Postmasters Alliance, приведенное в статье: Steve White. Post Office Wrongly Accused Sub-Postmaster of Stealing Ј85,000 in Five Years of «Torture» // Mirror, August 16, 2013. URL:accused-sub-postmaster-2176052.

В 2010 году симпатичный новозеландец, которого звали Барнаби Джек, вышел на сцену на ежегодной хакерской конференции Black Hat [9] в Лас-Вегасе {94} . Справа от него стояло два банкомата, а также два платежных терминала, которые используются по всему миру в барах и небольших магазинчиках. Джек, специалист по кибербезопасности, провел годы, изучая микрокомпьютеры внутри банкоматов. До недавнего времени их производители считали, что цифровая и физическая защита – это одно и то же, и прятали компьютеры в подобия сейфов, намертво прикрученных болтами к полу. Однако Джек собирался продемонстрировать, насколько эфемерна эта безопасность, лишь несколько раз щелкнув компьютерной мышкой. Он готов был показать залу, полному хакеров, как можно быстро разбогатеть.

Название конференции Black Hat (англ. «черная шляпа») – выражение из сленга культуры хакеров, обозначающее киберпреступников, которые получают неправомерный доступ к компьютерной информации по злому умыслу или ради личной выгоды. – Прим. ред.

Презентация Джека (Jackpotting: Automated Teller Machines) была широко распространена, есть ее видеозапись и слайды. DEFCON conference, November 8, 2013. URL: https://www.youtube.com/watch?v=4StcW9OPpPc.

Собравшиеся внимательно слушали Барнаби, пока тот описывал технические подробности при помощи презентации, сделанной в PowerPoint. А потом началось самое веселое. Чтобы атаковать первый банкомат, Джек написал программу для его удаленного взлома. Хотя машина продолжала функционировать в нормальном режиме и выдавала клиентам деньги, она одновременно сохраняла номера их банковских карт и позволяла Джеку копировать их.

Он также создал «тайный ход» – скрытый путь доступа к машине. Когда он подошел к банкомату, вставил фальшивую карту и нажал кнопку, тот стал без разбора выдавать деньги, не привязывая выдачу наличных ни к какому банковскому счету.

Потом Джек подошел к другому банкомату и воткнул в него флеш-накопитель USB. Компьютер загрузил его программу, высветил на экране слово «ДЖЕКПОТ!» и включил веселую мелодию, как в игровых автоматах, одновременно выбрасывая банкноты на пол. Публика разразилась радостными криками.

Однако Барнаби Джек, которого коллеги считали гением, взламывал банкоматы не с целью украсть деньги. Он был хакером «в белой шляпе» [10] – проникал в системы только для того, чтобы повысить их безопасность. Прежде чем продемонстрировать свои достижения на публике, он передавал результаты своей работы производителям, чтобы они смогли устранить обнаруженные им уязвимости банкоматов.

«Белые шляпы» (от англ. White Hat) – хакеры, которые, в отличие от «черных шляп», ищут уязвимости компьютерных систем, чтобы помочь разработчикам сделать их более защищенными. – Прим. ред.

Однако не все хакеры настроены так дружелюбно. За несколько недель до Рождества в 2013 году хакеры умудрились украсть 40 млн номеров кредитных карт {95} у покупателей розничной сети Target – одной из самых крупных в мире. Преступники использовали учетные данные, украденные у подрядчика по отоплению. Это позволило им проникнуть в компьютерную сеть ретейлера и с его сервера получить доступ к кассовым аппаратам и кардридерам почти в 1800 магазинах сети. Хакеры разослали по ним свою модифицированную программную прошивку, с помощью которой контролировали каждую операцию и собирали содержащиеся на картах клиентов данные.

Эта история была широко представлена во всех основных СМИ, однако информацию о ее деталях впервые опубликовал Brian Krebs. Sources: Target Investigating Data Breach // Krebs on Security, December 18, 2013. URL:Впоследствии он же написал на эту тему много подробных статей.