Коллектив Авторов - Цифровой журнал «Компьютерра» № 197

Но мечтать об этих деньгах сейчас смешно. Ведь даже формализовать задачу кажется нереальным! Сегодня подобным занимается только человек: высококвалифицированные, опытные специалисты, способные осмыслить программный текст и придумать, как заставить программу работать неожиданно, нестандартно, тем самым добившись от неё незапланированных результатов. Разве что одни спецы работают на «тёмной» стороне, а другие — на «светлой». Но в любом случае выданный Природой патент на изобретательство принадлежит пока только нам. Машина творить ещё не научилась.

Это не значит, что компьютер не в состоянии искать ошибки. Automatic error detection — обширное, активное направление в ИТ. Код анализируют статически на предмет известных проблемных паттернов, исполняют в виртуальных машинах, следят за состоянием памяти во время работы, мучают некорректными вводными данными, и так далее, и тому подобное. Такой поиск может быть очень эффективным: вот, например, моя заметка десятилетней давности о том, как автомат нашёл тысячу ошибок в ядре Linux. Но и десять лет назад, и сегодня такой поиск — лишь автоматизация того, что человек мог бы сделать и сам, вручную, после того как придумал очередную концепцию ошибки. Придумывать же новые концепции компьютер по-прежнему не умеет! Лучшим подтверждением этому — простой факт: ИТ-гиганты и спецслужбы всё ещё платят четырёх-пятизначные суммы левым хакерам, вместо того чтобы истратить те же деньги на программное обеспечение, ищущее ошибки автоматически.

Так вот, DARPA поставило условие: в CGC не будут приниматься работы, основанные на эволюционном развитии существующих практик. Иначе говоря, нужны только революционные идеи поиска ошибок. Ни один из существующих методов не решает проблему щита и меча: ошибки, о которых стало известно, устраняют быстро, но нападающие всегда на шаг впереди, они постоянно придумывают новые виды атак, находят принципиально новые слабости. Эффективно противостоять им сможет только машина, которая сама способна осмысливать код, выдвигать теории и проверять их. Может быть, и не искусственный интеллект в классическом понимании, но что-то очень к нему близкое.

Удастся ли эту задачу решить? Я не знаю, да и кто может такое знать наперёд? Но есть два соображения, которые следует иметь в виду. Во-первых, особого выбора у нас нет, мы должны начинать искать решение! Дело в том, что число уязвимостей в программном обеспечении (в данном случае — вскрывшихся, но тем более справедливо это и для пока ещё скрытых дефектов) росло и продолжает расти все последние годы. Человеческие же ресурсы небесконечны — и однажды мы не сможем удержать лавину багов, «дыр», ошибок, вирусов. Компьютерам нужна иммунная система.

Во-вторых, даже если найденное участниками CGC решение окажется частичным, если получится не автоматический, как надеются в DARPA, а полуавтоматический механизм, создание его будет означать революцию в компьютерной безопасности. Специалисты по безопасности ИТ-систем уже не будут нужны, по крайней мере в прежнем количестве. Сами спецы в это, естественно, пока не верят: например, человек из Sophos, комментируя CGC в одном из интервью, выразил большое сомнение, что удастся сделать security-автомат, который заслужил бы такое же доверие бизнеса, как живой человек. Но даже если автоматические системы профилактики не вытеснят людей, они точно заставят многих из нас поменять специализацию — вместо анализа кода заняться программами, анализирующими код. 

Станет ли мир, в котором о машинах заботятся машины, спокойнее? Весьма вероятно, но не наверняка. Помнится, «Скайнет» начинала именно с этого.

В статье использованы иллюстрации Giselo Giardino, Sean Davis.

К оглавлению

Опубликовано 31 октября 2013

После скандальных «утечек» Джулиана Ассанжа, разоблачений псевдошпиона Эдварда Сноудена и циничных признаний спецслужб мир всколыхнула волна озабоченности в отношении тайны личной жизни. Сегодня уже не для кого не секрет, что в самых разных базах данных по всему свету о нас хранится столько всевозможных сведений, сколько мы не помним о себе сами. Однако при этом упор делается почему-то исключительно на онлайновые средства сбора информации: создаются всевозможные средства обеспечения анонимности в интернете, предлагаются услуги стирания малейших частиц личных данных в Сети. Между тем, как утверждают эксперты, даже полностью исчезнув из интернета, вам всё равно не удастся ускользнуть от тотальной слежки, налаженной государственными агентствами.

На американском телеканале CBS вот уже третий год с успехом идёт детективный телесериал Person of Interest, в основу сюжета которого положен факт существования некоей созданной правительством США супермашины, осуществляющей тотальную слежку за всеми людьми на территории, очевидно, пока лишь Соединённых Штатов Америки. Эта машина создавалась с целью предотвращения актов терроризма, но она способна прогнозировать и любые другие противоправные действия. Более того, она может самостоятельно сотрудничать с лицами, не имеющими никакого отношения к антитеррористическим подразделениям, и вообще вести себя совершенно несообразно первоначальным целям.

Так вот, такая машина действительно существует, причём не только на территории США, но и в глобальном масштабе. Точнее, это не какая-то одна машина, а целая система разнообразных средств сбора и анализа информации о передвижениях и действиях людей, в том числе и в режиме реального времени. Все эти многочисленные машины создавались с самыми благими целями — от оптимизации дорожного движения до предложения покупателю товаров, которые ему наверняка понравятся. Однако любая информация, особенно в подобных масштабах, представляет собой опаснейшее оружие, и, к сожалению, она всё чаще оказывается в руках посторонних, которые используют её в не самых благовидных целях.

Вот лишь пара случаев, получивших широкую огласку. Сотрудники Агентства национальной безопасности, по признанию представителей самого агентства, были замечены в использовании служебного положения для слежки за партнёром или супругом, находящимися за рубежом. Штатный сотрудник иммиграционной службы Великобритании внёс собственную жену в список террористов, чтобы она не могла вернуться из Пакистана, где навещала родственников.

Номера социального страхования, которые первоначально присваивались гражданам в целях последующего пенсионного обеспечения, сегодня фактически стали универсальными идентификаторами личности в США и постепенно становятся таковыми и в России — в частности, номер СНИЛС требуется для регистрации и последующей авторизации на федеральном портале «Госуслуги». И чрезвычайно велика вероятность того, что рано или поздно такой номер будет похищен и выложен в открытый доступ, как это неоднократно проделывала хакерская группа Anonymous.

Один из создателей приложения для приватной переписки когда-нибудьWickr и одновременно организатор известнейшей хакерской конференции Def Con Нико Селл появляется на публике исключительно в больших солнцезащитных очках, чтобы никто не мог составить полное представление о её внешности. У неё нет аккаунта в Facebook, и она хранит карточку для оплаты проезда по платным дорогам в экранированном конверте. Селл допускает, что все её телефонные звонки и сообщения электронной почты в будущем смогут найти простым интернет-поиском все желающие. Сама себя она называет суперпараноиком, каковых в мире около 1%, однако все её подозрения вполне обоснованны. Несмотря на то что до сих пор некоторые полагают, будто можно оставаться анонимным в интернете, Селл уверена, что это абсолютно, на сто процентов невозможно.

Эксперт по безопасности Гюнтер Оллманн, коллеги которого по правоохранительным органам в своё время пытались «уйти с радаров» ради безопасности своих семей, убеждён, что для этого необходимы годы подготовки. И речь идёт совсем не об интернете.  

Основная угроза для тех, кто не желает быть отслеживаемым, таится в привычных бытовых предметах, о которых мало кто задумывается, что они вообще могут представлять опасность. Прежде всего это радиочастотные идентификаторы — RFID-метки, встраиваемые сегодня в самые неожиданные вещи. Но если в России такие метки применяются пока не слишком широко (в основном это пропуска в офисные здания, ключи от номеров в гостиницах или билеты для общественного транспорта), то за рубежом в некоторых странах радиочастотная идентификация получила даже чрезмерное распространение.