Многие криптографические методы существуют благодаря подобной уверенности. Большинство математических моделей основано на оценке вероятности. Криптография с привлечением открытого ключа использует простые числа, и лишь в одном случае из миллиарда число может оказаться в действительности не простым. Однонаправленные хэш-функции, возможно, уникальны: вероятность того, что два различных документа будут иметь одинаковое значение хэш-функций, составляет один к 2^80. Алгоритм шифрования AES предоставляет 2^128 различных ключей, таким образом, вероятность того, что нападающий с первого раза подберет ключ, составляет один к 2^128. Некоторых беспокоят эти цифры, и это объясняется их представлениями о том, что можно обеспечить абсолютную надежность. Однако наступление события, имеющего вероятность один к 2^80, гораздо менее правдоподобно, чем, например, возможность сделать ставку при игре в рулетку на один единственный номер и выиграть пятнадцать раз подряд или дважды подряд получить наилучший набор карт при игре в бридж, или возможность того, что при игре в покер четыре раза подряд придет флеш-рояль.

В этом смысле средства безопасности работают. Большинство устройств сигнализации имеют четырехзначный код, поэтому вероятность того, что взломщик сможет отключить сигнал тревоги, составляет одну десятитысячную. Если цифровой замок имеет три набора по 36 различных комбинаций, вероятность открыть его с первой попытки составляет один на 47 000. Отпечатки пальцев не настолько уникальны, как кажется: существует вероятность, составляющая 0,1%, что постороннее лицо будет идентифицировано как имеющее права доступа. Вот все, что хотелось сказать о вероятности.

Действия в чрезвычайных ситуациях

Опасность, таящаяся в компьютеризированных системах, состоит среди прочего в том, что они столь редко ошибаются, что люди не готовы к чрезвычайным ситуациям. Распространенное убеждение состоит в том, что компьютер не может ошибиться. На самом деле это происходит постоянно, и «плохие» хакеры рады воспользоваться этим.

Один мой приятель установил у себя дома сигнализацию. Когда она срабатывала, обслуживающая его компания должна была связаться с полицией. Приятель мог отправить сигнал, с помощью которого он сообщил бы компании о том, что это – ложная тревога (поскольку полицейским не хотелось выезжать по каждому вызову без разбора). Также имелся другой сигнал (duress code – сигнал о противозаконном принуждении под угрозой насилия) на всякий случай, который означал: «Мне в голову направлено ружье, и меня вынудили сообщить вам, что это была ложная тревога. Это неправда. Помогите!»

Однажды приятель нечаянно подал сигнал тревоги, и, конечно, уведомил компанию о том, что это была ошибка. Случайно он отправил после этого и сигнал, который мы только что описали. Он сразу осознал свою ошибку и исправил ее. Женщина, принимавшая сообщения, испытала огромное облегчение и сказала: «Благодарение Богу! Я не знала, что мне делать».

Когда сигнализация срабатывает несколько раз в неделю, даже если это ложная тревога, люди знают, что делать. Если же это случается раз в несколько лет, может оказаться, что никто не сталкивался с подобной ситуацией и не знает, как следует поступить. Самодовольные пользователи часто подвергаются нападениям. В этот момент они не отдают себе отчета в происходящем и видят причину неполадок в чем-то другом. Помните Чернобыль? «Эта красная лампочка никогда не загоралась раньше. Интересно, что это значит?…»

Именно поэтому всех нас еще в начальной школе обучают действиям по пожарной тревоге. Мы должны быть готовы к чрезвычайным ситуациям – учения помогают избежать паники и подготавливают нас к мысли, что нечто подобное может случиться. Я никогда не был на пожаре, но знаю, что делать в таком случае. Со мной, скорее всего, все будет в порядке. То же самое можно сказать о путешествиях по воздуху. Когда вдруг сверху падают кислородные маски, никто не собирается попусту отрывать пассажиров от чтения романов и заставлять выяснять, что означают эти глупые выходки… Кассир в банке тоже должен быть внимателен и в подозрительной ситуации не думать так: «Банковский компьютер велит мне выдать этому человеку миллион долларов наличными. Кто я такой, чтобы спорить с компьютером?» Диспетчер ядерного реактора должен быть готов к чрезвычайной ситуации, чтобы не размышлять, что же может означать мигание красной лампочки.

К несчастью, ложные тревоги столь часты, что люди привыкают не обращать на них внимания. «Эта красная лампочка никогда не загоралась раньше. Интересно, что это значит?…» Бывает, однако, еще хуже: «Красная лампочка постоянно вспыхивает, и это ровным счетом ничего не значит. Не стоит обращать внимания». (Вспомните сказку про пастушка, который кричал: «Волки! Волки!») Хуже всего, если надоедливую лампочку вовсе отключат. Этим объясняется эффективность атак, направленных на отказ в обслуживании, и некоторые их сценарии я приводил в главе 3.

Если нападающему удается сломать брандмауэр и перекрыть доступ к сети законным пользователям (атака, приводящая к отказу в обслуживании), они будут недовольны и потребуют, чтобы брандмауэр был отключен до тех пор, пока проблема не будет решена. Когда нападающему удастся вызвать постоянные сбои в работе засекреченной телефонной связи, люди, пользующиеся ею, потеряют терпение и станут вести переговоры по обычному телефону.

Такова человеческая природа. Людям хочется общаться друг с другом, и средства безопасности не должны, по меньшей мере, мешать им. Трудно представить себе, что люди откажутся от разговоров по телефону только потому, что зашифрованная связь не работает. Даже дисциплинированные военные не в силах удержаться от переговоров, когда не могут воспользоваться секретной связью; если уж они неспособны на это, не приходится ожидать такого геройства от простых смертных.

Взаимодействие человека с компьютером

Мы уже говорили о том, что наиболее небезопасна та система, которая не используется. И чаще всего безопасной системой не пользуются потому, что она вызывает раздражение.

Недавно я выполнял некую работу для одной международной корпорации. Беспокойство вызывало то обстоятельство, что ее руководство часто использовало незащищенную телефонную связь: обычные линии и сотовые телефоны; нередко ему приходилось пользоваться связью в других странах. Чем я мог им помочь? Можно было использовать средства шифрования переговоров, и мы обсудили эти возможности. Качество звука было ниже, чем у обычных телефонов, и оставляло желать лучшего. Инициализация алгоритма шифрования при звонке вызывала задержку на несколько секунд. Телефонные аппараты имели чуть большие размеры, нежели самые миниатюрные и модные сотовые телефоны. Однако переговоры были бы засекречены.

Руководство было не слишком довольно. Ему хотелось иметь безопасную связь, но оно не было готово смириться с плохой передачей звука и задержкой в начале разговора. В конце концов, оно вернулось к обычным незащищенным телефонам.

Люди стремятся к безопасности, но не хотят терпеть неудобства, которые возникают при использовании соответствующих средств. Полезно было бы побеседовать с людьми, которые помнят те времена, когда двери в их жилища были впервые оборудованы замками. Таких людей еще можно встретить в сельской местности. (В городах дома запирались столетиями, а в деревне люди долгое время обходились без запоров на дверях.) Они могут рассказать, каким наказанием были для них дверные замки. Приходилось вначале искать ключ, затем вставлять его в замок и проворачивать там… и все это лишь для того, чтобы попасть в свой собственный дом. Поначалу ключи забывали или вовсе теряли – все это вызывало досаду и раздражение. Конечно, преступность существовала всегда, и дверные замки были полезной вещью, однако люди противились новшествам. Я знаю людей, которые до сих пор оставляют двери незапертыми. (Порочное убеждение: «Со мной это никогда не случится» – чрезвычайно живуче.)