1. У банка нет службы безопасности и гарантии качества программного обеспечения.
2. В нем никогда не проводились проверки безопасности.
3. Обсуждаемые изъятия денег никто не проверял.
Фактически программисты банка заявили, что поскольку код написан на ассемблере, в нем не может быть проблем (дескать, если бы там были ошибки, то они привели бы к поломке системы). Так или иначе, этого человека осудили. При рассмотрении апелляции банк представил суду гору документов, подготовленных аудиторской фирмой и подтверждающих безопасность системы. Когда защита потребовала неограниченного доступа к системе для того, чтобы самостоятельно оценить степень ее безопасности, банк отказал, но обвинение было снято.
От атак, использующих несовершенство законодательства, защититься труднее всего. Цель таких атак не в том, чтобы использовать недостатки системы. И даже не в том, чтобы обнаружить эти недостатки. Цель состоит в том, чтобы убедить судью и присяжных (которые, возможно, не сильны в технике), что в системе могут быть недостатки. В том, чтобы дискредитировать систему, заронить в умы судьи и присяжных сомнения в совершенстве системы и в результате доказать невиновность клиента.
Вот гипотетический пример. В большом деле о наркотиках полиция использует данные сотовой телефонной сети, по которым устанавливает местонахождение обвиняемого с телефоном в определенном месте в определенное время. Адвокат находит какого-нибудь специалиста-хакера, который дает показания, что такие данные легко могли быть сфабрикованы, что они ненадежны и не могут служить доказательством. У прокурора есть другая группа экспертов, которые утверждают противоположное, и единственный возможный выход состоит в том, что они уравновесят друг друга: суд продолжится без учета данных сотовой связи.
То же самое может произойти, если данные экспертизы используют для осуждения кого-то, взломавшего компьютерную систему, или если данные о подписании документов используют для навязывания контракта. «Я этого никогда не подписывал, – говорит ответчик. – Компьютер попросил меня ввести пароль и нажать эту кнопку. Что я и сделал». Присяжные, возможно, в такой же степени несведущи в технологии, в какой представляет себя ответчик, и, скорее всего, сочувствуют ему.
У всякой монеты есть и оборотная сторона. Полиция может использовать показания экспертов, чтобы убедить присяжных в том, что расшифрованное сообщение является изобличающей уликой, хотя расшифровка не стопроцентно точна, или что установление факта компьютерного вмешательства несомненно, и поэтому подсудимый виновен.