Мнение Ровно 40 лет назад четверо молодых британских хакеров решили изменить закон, хотя тогда они об этом и не подозревали. Это была кроссплатформенная атака с использованием ZX Spectrum, BBC Micro и Tatung Einstein, которая обрушила сервис Prestel британской компании British Telecom через коммутируемые модемы со скоростью 75 бит в секунду.
Процессоры этих домашних компьютеров потребляли всего около десяти ватт на всех, но этого было достаточно, чтобы команда оказалась в очень неприятном положении. Многочисленные судебные заседания спустя выяснилось, что никаких законов о взломе на самом деле нарушено не было. Просто не существовало законов о взломе, которые можно было бы нарушить. Необходимо было что-то предпринять.
В 1990 году, после нескольких неудачных попыток, что-то было сделано. Был принят Закон о неправомерном использовании компьютеров (Computer Misuse Act), и как нельзя более своевременно. Компьютеры теперь оснащались процессорами, способными подогреть чашку чая, модемы могли работать на скорости 9600 бит в секунду, а Тим Бернерс-Ли только что изобрёл Всемирную паутину, чтобы дать любителям чая занятие в интернете. Закон CMA криминализировал доступ или изменение данных на компьютерах без разрешения. Для исследователей в области кибербезопасности не предусматривалось никаких исключений, поскольку таких исследователей, получивших бы официальный статус, было ещё очень мало.
Тем не менее, взлом Prestel подтолкнул некоторые дальновидные британские институты, такие как Университет Стратклайда, к созданию факультетов компьютерной безопасности. Первые выпускники уже активно строили карьеру. По мере того как детище Бернерса-Ли начало превращать всё в данные, стало очевидно, что исследователям кибербезопасности необходимо право на исследования. Опять же, нужно было что-то предпринять.
Увы, Закон Мура не распространяется на реальные законы. Британскому правительству потребовалось до нынешнего момента, чтобы начать необходимые изменения. Оно наконец заметило, что за последние 25 лет киберпреступность превратилась в многомиллиардную глобальную индустрию, враждебные иностранные державы пробивают бреши в промышленности и государстве, и позволить хорошим парням делать то, что всё это время делали плохие парни, — не самая плохая идея. Да благословит Бог британских законодателей.
Есть только одна проблема. Специалистов по кибербезопасности катастрофически не хватает. Те, что уже есть, полностью заняты другими делами. Изменение законодательства, позволяющее «белым хакерам» тестировать действующую инфраструктуру с использованием инструментов, времени и методов по своему выбору, абсолютно необходимо, но этого совершенно недостаточно. Этичный хакинг должен стать национальной одержимостью — или, по крайней мере, высокопрофильным, престижным занятием с возможностью быстрого признания. Модель «множества глаз» для безопасности кода с открытым исходным кодом должна применяться и к действующей инфраструктуре.
Это может показаться кошмаром для CISOs и специалистов по защите, которые могут справедливо рассматривать поощрение тысяч новых атакующих как крайне нежелательное дополнительное бремя. Но так же, как Вторая поправка к Конституции США разрешает владение оружием как часть хорошо организованных ополчений, ключевой частью любых изменений CMA должно стать определение легитимности. Для опытных профессионалов достаточно будет передовых практик, этических кодексов и уважаемой репутации среди коллег. Аналогично, те, кто получает соответствующее формальное образование, не будут иметь проблем, если будут вести себя должным образом. Нам нужны тысячи таких специалистов.
Это означает, что нужно рассказать всем, кто может быть к этому склонен, что такое этичный хакинг, предоставить доступные среды с правильным сочетанием образования и соблазна, а также сделать ответственное использование этого условия для получения значка, который можно носить в реальном мире. Это как TryHackMe, смешанное с GalaxyZoo, но вместо краудсорсинга инспекции реальных галактик в космосе — инспекция реальных организаций в интернете. Да, у вас будет подтверждённая учётная запись. Да, ваши действия будут записываться. Да, вы получите вознаграждение, если сможете проникнуть. Думайте об этом как об учебном водительском удостоверении — его может получить каждый, и если вы будете соблюдать правила, вы будете легитимны.
Хакеры Prestel были озорными, но этичными. Их проигнорировали и отвергли, когда они попытались сообщить о своих находках, поэтому они усилили давление, пока заголовки газет не поставили власти в неловкое положение и не заставили их действовать. Действия были не идеальными, но 40 лет — достаточный срок, чтобы всё точно настроить и начать использовать это по максимуму.
Это не создаст корпус суперхакеров за одну ночь, хотя и начнёт заполнять этот конвейер. Это может показаться недешёвым, пока вы не сравните это со счетом за программы-вымогатели. Это может показаться дополнительной работой для недофинансированных, недолюбленных команд безопасности, за исключением того, что сотня хороших парней, стучащихся в ваши ворота, — это не атакующие. Они там, чтобы увеличить шансы того, что другие не попадут внутрь первыми. Плюс, и это, возможно, самый большой плюс из всех, это означает, что больше людей всех профессий получат опыт того, как выглядит плохая безопасность и хорошая этика. Это гораздо лучшее место для достижения хорошей безопасности, чем то, где мы находимся сейчас.
Пусть в школах, на рабочих местах, в онлайн-пространствах расцветают тысячи хакерских клубов. Распространяйте в социальных сетях сообщение о том, что это законно, это весело и это может привести вас куда угодно. В отличие от оружия и автомобилей, вы не можете случайно убить кого-то. «Белый хакер» умнее, чем человек в чёрной толстовке. Распространяйте информацию. ®
Автор – Rupert Goodwins
