Неспособность или нежелание?

Интернет – это развлечение, необязательное, а следовательно и нерегулируемое, или это настолько обязательное и регулируемая часть жизни, что за него можно сажать в тюрьму?

Десять лет – это долго по любым меркам. За десять лет можно превратиться из ребёнка во взрослого, сменить несколько работ или мест жительства, сесть в тюрьму и выйти из неё, вступить в брак или развестись, а то и умереть. В общем, это не мгновение, а достаточно продолжительный срок. За последние лет десять в Интернет произошёл ряд изменений. Во-первых, кое-где за высказывания в Интернет начали сажать в тюрьму и присуждать штрафы такой величины, что они вполне могут разрушить жизнь обвиняемого. Давайте пока предположим, что это всё правильно и хорошо. Но почему же за тот же самый период времени ничего ровным счётом не изменилось в регулировании технологических решений, которые позволяют преступникам получать несанкционированный доступ к ресурсам?

Разработанное мной программное обеспечение ежедневно фиксирует, блокирует и визуализирует непрекращающийся поток нападений на инфраструктуру его пользователей, поэтому я в курсе происходящего. Эти нападения ничем не отличаются от поведения банды подростков, шляющейся по плохому району, разрисовывающей стены и бьющей окна. Отчасти они проверяют, где и кто их игнорирует, чтобы начать там грабить, толкать запрещённые вещества или пасти проституток, а отчасти напоминают окружающим о своём присутствии.

В некоторых регионах существует законодательство, предусматривающее наказания за такую деятельность в Интернет. Кое-где его нет. Но объединяет и те и другие регионы общая практика не обращать на неё внимание. Наверное, есть дела поважнее. А тем временем это же самое ПО заодно выявляет наращивание инфраструктуры для преступной деятельности и её эскалацию, не то что год от года, а день ото дня. Если с преступностью не бороться, она вовлекает в свою деятельность новых рекрутов и расширяет свои географические рамки и экономические и технологические возможности. Это известно каждому, кто когда-либо изучал противодействие преступным элементам в любой форме.

Кому-то этот параграф может показаться циничным, но только на первый взгляд. Если повременить с эмоциональной реакцией, вчитаться и вдуматься, то всё же окажется, что я объективно прав. Из сообщений прессы последних десятилетий очевидно, что по отношению к Интернет правоохранительные органы подходят серьёзно практически только, к распространению детской порнографии, хотя некоторые обвиняемые виновны лишь в удовлетворении собственной похоти, тогда как настоящее преступление совершено кем-то другим, где-то далеко, когда-то в прошлом, и есть вероятность, что они как раз могут уйти от ответственности. Остальные правонарушения в Интернет крайне редко расследуются и почти никогда не приводят к обвинительным приговорам. Целые регионы планеты полностью игнорируются. Даже обращения пострадавших крайне затруднительны, если не совершенно невозможны, а виной всему этому — отсутствие границ. Любой полицейский или гражданский сотрудник государственных регулирующих органов прекрасно понимает, что ничего не сможет сделать с неизвестными, ведущими свои хакерские атаки с противоположной стороны планеты, а следовательно, у него практически равен нулю интерес к охране прав и интересов пострадавших от них.

Сомневаетесь в этом? Что ж, заведите себе сайт в Интернет и попытайтесь обратиться в полицию по поводу того, что на него тут же обрушится шквал попыток взлома. Ручаюсь, что Вас в полиции всерьёз не воспримут в лучшем случае.

В праве существуют два порядка регулирования деятельности: разрешительный и запретительный. Первый предусматривает тотальный запрет и разрешает отдельные понятия и явления. Второй является противоположностью первого. Так вот в глобальной сети Интернет действует запретительный подход, тогда как должен был изначально применяться разрешительный. Из-за этой явной нелепости все, включая преступников, могут творить всё, что им в голову взбредёт, где угодно, тогда как в тех же регионах другие, гораздо менее опасные виды деятельности зарегулированы до практического удушения. Нелепость? Ещё какая!

Некоторые читатели осведомлены о ведущихся на просторах Интернет спорах по поводу т.н. «сетевого нейтралитета», который подаётся, как преимущество и ценность, и заключается в требовании пропуска провайдерами любого сетевого пакета, независимо от адресов отправления и получения или содержания. Мол, соблюдение сетевого нейтралитета обязательно и неоспоримо. Какая чушь! Это всё равно, что запретить полиции следить за соблюдением правил дорожного движения, чтобы кто угодно мог передвигаться в любом направлении на любых транспортных средствах или останавливаться где угодно.

Некоторые читатели в курсе дискуссий по поводу допустимости такого вида несанкционированного доступа, как сканирование портов и содержимого ресурсов. Защитники этой практики сравнивают его с хождением по улицам и глядением на фасады зданий. Они наверняка уверены, что нашли милый способ легализовать и обелить правонарушение. Какая чушь! На самом деле это совпадает совсем с другой деятельностью, а именно с поворотом дверных ручек в поиске незапертых дверей, подбором ключей к замкам и использованием стремянки для заглядывания в окна. Они забывают, что во многих регионах это называется незаконным проникновением и каралось бы тюремным сроком, попробуй они так зайти на чужую собственность.

У преступности в Интернет много эмиссаров в соцсетях и прессе, и они без устали заняты обелением и легализацией своих хозяев и дискредитацией их критиков. Среди них есть и искренне заблуждающиеся «полезные идиоты», и оплаченные тролли с ферм. Общим знаменателем является то, что идёт целенаправленное противодействие соблюдению интересов законных пользователей. Сам факт беспрепятственного ведения этой деятельности столь же нелеп с точки зрения интересов общества, но тоже никакого противодействия не встречает.

Интернет существует уже несколько десятков лет. Что было сделано за это время, чтобы обеспечить безопасность его пользователей, под которыми понимаются, как те, кто создают ресурсы, так и те, кто подключаются к ним для получения услуг? Практически ничего.

Можно было сделать многое. Например, можно было признать, что шифрование соединений является обязательным для некоторых услуг, и создать комплекс мер, определяющих требования к средствам шифрования и их применению, а также сделать их доступными всем, кому они требуются. Это не было сделано, и контроль над средствами шифрования узурпировали организации с конфликтующими интересами. Я уже писал о том, как их клуб выкручивает руки пользователям бесплатных сертификатов шифрования.

Можно было ввести требования по разграничению услуг, например заставить организации, предлагающие услуги по пересылке электронной почты, прямых сообщений, аудио и видеосвязи, конференциям и т.д., выделять их по адресам из сетей, которые используются с другими целями. Это не было сделано, и вычленение таких услуг среди адресов злоумышленников остаётся нетривиальной задачей. Я уже писал о том, как, например, Гугл, Майкрософт и Амазон перемешивают адреса своей собственной электронной почты Gmail, Outlook, и клиентов AWS, пересылающих сообщения, с адресами виртуальных машин, арендованных злоумышленниками. С повальным помешательством по поводу перемещения услуг в облака, многие организации подписались на услуги транзакционной электронной почты вроде SendGrid, PostMark, MailChimp и других. Будучи сами облачными сервисами, они размещают свои отправляющие серверы SMTP на облаках Amazon AWS или Google Cloud, вперемешку с виртуальными машинами злоумышленников, в результате чего заблокировать последних, не заблокировав скопом и первых, почти невозможно.

Можно было создать систему международных договоров о блокировке и отмене выделения адресов, используемых с незаконными целями. Это не было сделано, и жертвы нападений из иностранных хостинговых компаний ничего не могут поделать, кроме самостоятельной блокировки, которая далеко не всегда эффективна. Я уже писал о том, с какой лёгкостью преступники и их пособники раскупили адреса глобального массива IPv4 и выдают их злоумышленникам по первому требованию, направо и налево, оставив за собой и пользуясь возможностью игнорировать обращения жертв атак или даже информируя самих злоумышленников о таких обращениях. Цена IPv4 адреса растёт, и преступность довольна.

Чтобы что-то сделать по этому поводу, человечество должно было признать несколько неудобных истин. Например, что Интернет глубоко монополизирован со всеми вытекающими, что крохотная горстка организаций и лиц узурпировала возможность диктовать миллиардам пользователей Интернет, что и как они могут и не могут делать. Ещё 100 с лишним лет назад человечество осознало опасность и вред монополий, ведущих к коррупции, стагнации и загниванию, но так и не вынесло из этого никаких уроков. Результат у всех перед глазами: это почти ежедневные новости о взломах инфраструктур и утечках данных. А сколько подобных инцидентов происходит в организациях, которые могут позволить себе замалчивать произошедшее? Не знаю, как вы, а я насмотрелся на это достаточно.

А сколько стоит человечеству непрекращающееся противодействие усилиям взломщиков? Кто-нибудь подбил общую стоимость персонала, оборудования, программного обеспечения, электроэнергии и других ресурсов, которые тратятся на противодействие несанкционированному доступу, начиная с подготовки специалистов в ВУЗах и до развёртывания и ежедневной эксплуатации комплексов мер? Это вам не пару скриптов на пайтоне написать — тут нужно готовить экспертов, а потом постоянно оплачивать их труд.

Так что, человечество не может или не хочет поставить жирный крест на правонарушениях в Интернет, введя в нём границы и позволив давить преступную деятельность в зародыше? Что для этого потребовалось бы?

Нетрудно представить себе национальный регулирующий орган, в который могли бы обращаться жертвы атак по аналогии со службами противодействия рассылкам. В последние подают заголовки сообщений электронной почты, показывающие путь доставки, а в первый можно было бы подавать такие атрибуты, как время, запрос и исходящий адрес атаки, после чего блокировка этого адреса становилась бы обязательной для операторов линий связи, входящих в страну. Стоимость такой инфраструктуры была бы невелика, а польза для экономики существенна. Вдумайтесь: небольшой контингент уже подготовленных профессионалов в области сетевой безопасности следил бы за работой однажды написанного и развёрнутого ПО и изредка обрабатывал апелляции владельцев заблокированных адресов вместо дублирования того же самого, вразнобой, каждой организацией и множеством частных лиц. Мы, как общество, что, страдаем от избытка денежных средств и не знаем, куда их девать, что настаиваем на втором вместо первого?

Но нет, для государств всё, что относится к Интернет, несерьёзно, и они самоустранились от всего, что их непосредственно не затрагивает, предоставив организованной преступности практически полную свободу деятельности. А потом мы возмущаемся, что очередную старушку в Торжке, Чихуахуа или Уагадугу довели до исступления мошенники, скачавшие базу данных клиентов банка. Ещё мы возмущаемся, что несколько миллионов камер наблюдения подчинили себе хакеры и с их помощью устроили атаку на какой-нибудь важный сервис. Но никаких действий, кроме усиливающейся монополизации рынка Интернет-услуг, не происходит, а она способствует вышеупомянутым проявлениям, которые только усугубляют наше положение: так нам проще заткнуть рты, содрать с нас более высокую оплату, затруднить защиту наших интересов и избежать ответственности.