И защитники пребывают в смятении, допуская глупые ошибки. Они пишут код, содержащий множество изъянов. Они не устанавливают «заплаты» и не обновляют средства безопасности. Их вера в абсолютно безопасное изделие сродни теологической. Они не понимают, каковы реальные угрозы, и, соответственно, не принимают необходимых мер.
Время работает на нападающих. Системы должны работать изо дня в день. Нападающие могут ждать, выискивая тем временем слабые места системы, до того момента, когда защитники потеряют бдительность. Они могут менять стратегию и тактику в зависимости от ситуации.
Единственный выход – перейти в наступление.
Мы не боремся с преступностью, когда делаем наши банки невосприимчивыми к нападениям; с преступностью мы боремся, когда ловим преступников. К счастью, преступники довольно глупы. Хороший эксперт по безопасности имеет достаточно высокие доходы, которые и не снились хакеру, поэтому он может господствовать на поле боя.
Когда существовала угроза ядерного нападения СССР на Соединенные Штаты, предполагалось нанести ответный удар в случае ее реализации. Взаимное уничтожение столь же абсурдно, сколь нереально создание неуязвимой системы обороны, но это работало.
Детективное агентство Пинкертона было основано в 1852 году. В самом начале своей деятельности люди Пинкертона защищали от грабителей поезда на американском Западе. Они сразу поняли, что сопровождать каждый поезд – слишком дорогое удовольствие. Они также хорошо понимали, что ограбление – сложная операция: если вы собираетесь ограбить поезд, вам понадобится свой человек в управлении железной дороги, знающий график движения поездов, дюжина людей, лошади и т. д. Немногие способны справиться с такой задачей. Так что люди Пинкертона решили следовать непосредственно за грабителями. Для них было не так уж важно, платит ли железная дорога за расследование; они ловили преступников, чтобы защитить своих клиентов.
Люди Пинкертона были непреклонны. Если бы вы ограбили охраняемый ими поезд, они обязательно бы выследили вас. Это были серьезные ребята; проводились целые вооруженные сражения против банды Hole in the Wall Gang, в которые вовлекались сотни людей Пинкертона. Имеется сцена в «Butch Cassidy and the Sundance Kid» («Грубиян Кэссиди и Малыш»), где гангстеры преследуются после грабежа поезда группой, которая не собиралась отступать. «Кто эти парни?» – спрашивает Грубиян у Малыша. Это были люди Пинкертона.
В киберпространстве нужны такие же хорошие контратаки. Сегодняшняя ситуация такова, что, если вам не грозит расплата, вас ничто не удержит от взлома. Вторжение в сеть – не игра, это – преступление. Кража денег с помощью взлома системы электронных платежей – преступление. Распространение в Интернете материала, защищенного авторским правом, – тоже преступление. И преступники должны преследоваться по закону. Судебное преследование, помимо наказания преступника, приносит дополнительную пользу. Во-первых, осужденный вряд ли пойдет на новое преступление. И во-вторых, вероятно, другие люди не станут рисковать, пытаясь сделать то же самое.