Если бы хакеры не существовали, правительству стоило бы их выдумать

Образ хакера, преобладающий в массовой культуре и новостях — злобный малолетний техноволшебник, имеющий желание и возможность причинить огромный ущерб невинным гражданам и обществу в целом — имеет мало общего с реальностью.

Эта искаженная картина направляет внимание и ресурсы на борьбу с призраками вместо того, чтобы решать гораздо более распространенные проблемы с безопасностью данных. По информации Privacy Rights Clearinghouse ^[1], утеря или неправильная утилизация бумажных документов, флешек, ноутбуков и компьютеров стала причиной более чем 1400 утечек данных с 2005 года — почти половина всех зарегистрированных случаев. В результате этих утечек было скомпрометировано больше 180 миллионов индивидуальных записей, включающих имена, номера социального страхования, адреса, номера кредиток и другое. Сравните это с 631 инцидентом за этот же период, причиной которого стали хакеры или вирусы. Гораздо больше шансов, что ваши приватные данные попадут в чужие руки из-за того, что кто-то забудет служебный ноутбук в вагоне метро, чем по вине взломщика.

Еще одна серьёзная угроза — инсайдеры или обиженные сотрудники. Недавний опрос, проведенный The Wall Street Journal ^[2], показал, что 71% менеджеров IT-департаментов считают эту угрозу самой опасной.

И, наконец, недавняя утечка базы паролей linkedIn показывает ^[3], что самая большая угроза нашей безопасности — мы сами: больше двух третей паролей на LinkedIn были короче восьми символов, и только один процент паролей содержал буквы в обоих регистрах, цифры и спецсимволы.

Но, похоже, реальным угрозам тяжело конкурировать с хакерами в головах людей, которые пишут законы. Хакер — современный бабай, воплощающий все наши страхи перед технологиями — находится в центре внимания. В результате принимаются всё более параноидальные законы, мешающие свободному и приватному общению в сети, отнимающие у нас контроль над технологиями и подвергающие нас риску необоснованного преследования и чересчур агрессивных процедур расследования и слежки. Акт о компьютерном мошенничестве и злоупотреблении (CFAA ^[4]) — краеугольнй камень американского законодательства по компьютерным преступлениям, полон слишком широких обобщений и нечетких определений. С момента принятия в 1986 году этот акт стал причиной множества путанных прецедентов и преувеличенных обвинений. Министерства обороны и внутренней безопасности США используют страхи перед технологическими угрозами чтобы добиваться увеличения финансирования и проталкивать законы (такие, как небезызвестные SOPA ^[5] и CISPA ^[6]), которые могут иметь ужасающие последствия для наших прав. Чтобы защитить свободу слова и приватность в интернете нам стоит серьёзно пересмотреть своё отношение к мрачному образу хакера, который служит оправданием для расширения полномочий спецслужб.

Образ хакера в массовой культуре развивался по мере того как менялось наше отношениие к технологии. В фильме 1983 года «Военные игры» хакер предстал в образе ребенка, движимого интересом и любознательностью, который по неосторожности нарушил работу военного суперкомпьютера. Последующие воплощения, в фильмах «Хакеры», “Тихушники”, «Золотой глаз» и “Крепкий орешек 4” стали куда опаснее и действовали умышленно, вламываясь в компьютерные системы и нанося непоправимый ущерб несчастным жертвам. Хакер в американсоком фильме почти всегда белый мужчина, из среднего класса, психологически незрелый, асоциальный и мстительный. Им движет эгоизм или проблемы со психикой. В основе сюжета таких фильмов — апокалиптическая техно-пранойя, вера в полный контроль хакера над любыми технологиями в мире.

Новостные сюжеты следуют этому же штампу массовой культуры. Обитающий в тёмном подвале хакер — главный злодей вечерних новостей и первых полос газет, независимо от того, насколько этот образ близок к реальности. Слово «взлом» используется как универсальный термин для любого киберпреступления или инцидента, независимо от способа его совершения и квалификации «взломщика». Журналисты часто путают потенциальную уязвимость и реально произошедший взлом, принимая новости с конференций по компьютерной безопасности, имеющие скорее академическое значение, за реально осуществлённые взломы систем и алгоритмов. Последний писк моды — группа Anonymous, новости о которой подливают масла в огонь технологической паранойи и, как писал Иохай Бенклер в недавней статье в “Foreign affairs” ^[7], стирают различия между электронным гражданским неповиновением и киберпреступностью, нанося тем самым огромный вред самой идее политической активности в интернете.

Хакер таится в глубине сети, он — неуловимая угроза, он способен нанести удар, находясь на другой стороне планеты. Его патологическую страсть к технологиям, его первобытную тягу ко взлому невозможно обуздать. Он асоциален и ему наплевать на рамки поведения нормальных людей, его интересует лишь общество других хакеров, стремящихся превзойти друг друга в инфантильной страсти к вандализму в интернете. Добавьте в этот коктейль сверхчеловеческие способности манипуляции любой железкой, способной выполнять хоть какой-то код, и вот оно — современное пугало, от которого нужно защитить общество любой ценой.

Для защиты общества и государства от угрозы, исходящей от этого воображаемого врага, правительство США принимает чересчур широкие и мутно написанные законы и правила, которые серьёзно подрывают свободу в интернете и ставят под угрозу его роль площадки для политических дискуссий и творческого самовыражения. Пытаясь переиграть злобных хакеров, такие законы как CFAA ставят во главу угла определённые действия в сети, придавая куда меньше значения умыслу или реальному ущербу от них. Это ведет к тому, что множество вполне невинных действий потенциально могут преследоваться по закону. Когда основой политики в отношении свободы, приватности и доступа в интернет становится подозрительность и боязнь хакеров, появляются такие законопроекты, как CISPA, который, если станет законом, будет иметь разрушительные последствия для приватности онлайн. Демонический образ хакера из новостей и кинобоевиков служит демонстративной мишенью и оправданием таких законов и правил. Вместо призрачных хакеров они будут делать нас преступниками и соучастниками, путая технические знания и навыки с намерением причинить вред, как было в деле Брета МакДэнела ^[8], который отсидел 16 месяцев за то, что разослал несколько тысяч писем с сообщением о дыре в почтовом сервере, после того как компания-производитель проигнорировала все предупреждения об угрозе.

Строить государственную и корпоративную политику на образе стереотипного кинозлодея — в лучшем случае неэффективно, а в худшем — преступно. В сети полно реальных угроз, от забытого в автобусе ноутбука или наплевательского и неграмотного отношения к безопасности до всё более реальной опасности кибервойны между государствами. Если бросить непропорционально много сил на борьбу с хакерами, то не останется ни времени, ни ресурсов на преодоление реальных угроз. Закрывая файлообменники, вводя уголовную ответственность за джейлбрейки, моддинг и нарушение условий использования, ограничивая возможность анонимных высказываний в сети, правительство и спецслужбы извлекают максимум выгоды из атмосферы страха и зря тратят государственные и корпоративные ресурсы. К счастью, некоторые судебные процессы последних лет, такие как дело Дэвида Нозала ^[9] уже сужают область действия CFAA, что дает нам надежду на то, что интернет может регулироваться более адекватными реальности методами.

Чтобы выработать разумные правила игры в Интернете, надо отбросить стереотип хакера, как главного источника угрозы. В последние годы интернет становится основным пристанищем для свободных политических дискуссий, как в США, так и во всём мире. Интернет используется для обмена идеями, организации протестов и свержения диктаторов. Мы дорого ценим свободу слова здесь, у себя в стране. Но законы США, регулирующие интернет, имеют непропорционально большое влияние на остальной мир. Мы должны спросить у себя, хотим ли мы, чтобы следующая Арабская весна была зарегулирована до смерти правилами, принятыми для борьбы с несуществующей угрозой?

Автор: ilya42