Взломать всё: Как сильные мира сего используют уязвимости систем в своих интересах

ВЗЛОМАТЬ
ВСЁ

A HACKER’S MIND

H    ’ ,
     

B S

Москва
2023

ВЗЛОМАТЬ
ВСЁ
КАК СИЛЬНЫЕ МИРА СЕГО
ИСПОЛЬЗУЮТ УЯЗВИМОСТИ
СИСТЕМ В СВОИХ ИНТЕРЕСАХ

БРЮС ШНАЙЕР

ПЕРЕВОД С АНГЛИЙСКОГО

УДК 65.011.56
ББК 88.23
 
Ш76

ISBN 978-5-9614-8310-9 (рус.)
ISBN 978-0-3938-6666-7 (англ.)

© 2023 by Bruce Schneier
© Издание на русском языке, 
перевод, оформление. 
ООО «Альпина Паблишер», 2023

УДК 65.011.56
ББК 88.23

Ш76

Шнайер Б.

Взломать всё: Как сильные мира сего используют уязвимости 
систем в своих интересах / Брюс Шнайер ; Пер. с англ. — М. : 
Альпина Паб лишер, 2023. — 372 с.

ISBN 978-5-9614-8310-9
Классический образ хакера – это специалист ИТ высочайшего 
класса, который знает несколько языков программирования, разбирается в устройстве систем безопасности и в два счета подберет 
пароль к вашему почтовому ящику. Он изучает системы для того, 
чтобы найти в них уязвимости и заставить работать в своих интересах. 
Однако взламывать можно не только компьютеры, но и социальные 
системы: от налогового законодательства до финансовых рынков 
и политики. В своей книге легендарный криптограф, специалист 
по кибербезопасности и преподаватель Гарварда Брюс Шнайер 
рассказывает о том, как могущественные, но неизвестные публике 
хакеры помогают богатым и влиятельным людям становиться еще 
богаче и манипулировать сознанием людей. Кроме того, он приводит огромное количество примеров хаков социальных систем: 
взломов тарифных планов для междугородних звонков, банкоматов, 
программ лояльности пассажиров, манипуляций на рынке элитной недвижимости и многих других. Прочитав ее, вы узнаете, как 
замечать взломы, и уже не сможете смотреть на мир по-прежнему.

Все права защищены. Никакая часть этой книги 
не может быть воспроизведена в какой бы 
то ни было форме и какими бы то ни было средствами, включая размещение в интернете 
и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца 
авторских прав. По вопросу организации доступа 
к электронной библиотеке издательства обращайтесь по адресу mylib@alpina.ru.

Переводчик  Михаил Белоголовский

Научный редактор Артем Деркач

Редактор Даниэль Орлов

В книге упоминаются социальные сети Instagram и/или Facebook — 
продукты компании Meta Platforms Inc., деятельность которой по реализации соответствующих продуктов на территории Российской 
Федерации запрещена как экстремистская. 

Содержание

Предисловие  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Часть I
ХАКИНГ ДЛЯ «ЧАЙНИКОВ»

1. Что такое хак  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
2. Системы и хакинг . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
3. Что такое система . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
4. Жизненный цикл хака  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
5. Вездесущность хакинга  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

Часть II
ОСНОВНЫЕ ВИДЫ ХАКИНГА 
И ЗАЩИТА ОТ НЕГО

6. Хакинг банкоматов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
7. Хакинг казино  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
8. Хакинг программ лояльности авиакомпаний  . . . . . . . .56
9. Хакинг в спорте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
10. Хакеры паразитируют. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
11. Защита от хаков. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
12. Более тонкие средства защиты. . . . . . . . . . . . . . . . . . . . . . .75
13. Устранение потенциальных хаков 
на этапе проектирования систем. . . . . . . . . . . . . . . . . . . . .81
14. Экономика безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
15. Устойчивость . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93

Часть III
ХАКИНГ ФИНАНСОВЫХ СИСТЕМ

16. Хакинг райских кущ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
17. Хакинг в банковском деле  . . . . . . . . . . . . . . . . . . . . . . . . . 102
18. Хакинг финансовых бирж. . . . . . . . . . . . . . . . . . . . . . . . . . 109

19. Хакинг компьютеризированных 
финансовых бирж. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
20. Хакинг и элитная недвижимость. . . . . . . . . . . . . . . . . . . 120
21. Нормализация социальных хаков . . . . . . . . . . . . . . . . . . 124
22. Хакинг и рынок . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
23. «Слишком большой, чтобы обанкротиться». . . . . . . . 133
24. Венчурный капитал и прямые инвестиции. . . . . . . . . 138
25. Хакинг и богатство. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Часть IV
ХАКИНГ ПРАВОВЫХ СИСТЕМ

26. Хакинг законов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
27. Юридические лазейки  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
28. Хакинг бюрократических барьеров  . . . . . . . . . . . . . . . . 157
29. Хакинг и власть . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
30. Хакинг нормативных актов  . . . . . . . . . . . . . . . . . . . . . . . . 167
31. Взаимодействие юрисдикций  . . . . . . . . . . . . . . . . . . . . . . 174
32. Административное бремя . . . . . . . . . . . . . . . . . . . . . . . . . . 179
33. Хакинг и общее право  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
34. Хакинг как эволюция  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

Часть V
ХАКИНГ ПОЛИТИЧЕСКИХ СИСТЕМ

35. Скрытые положения в законодательстве. . . . . . . . . . . 197
36. Законопроекты «под прикрытием»   . . . . . . . . . . . . . . . . 204
37. Делегирование и отсрочка принятия законов. . . . . . 208
38. Хакинг и контекст. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
39. Хакинг избирательного права. . . . . . . . . . . . . . . . . . . . . . 219
40. Другие предвыборные хаки . . . . . . . . . . . . . . . . . . . . . . . . 223
41. Деньги и политика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
42. Хакинг на разрушение системы . . . . . . . . . . . . . . . . . . . . 234

Часть VI
ХАКИНГ КОГНИТИВНЫХ СИСТЕМ

43. Когнитивные хаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
44. Внимание и зависимость. . . . . . . . . . . . . . . . . . . . . . . . . . . 247
45. Убеждение  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
46. Доверие и авторитет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
47. Страх и риск  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
48. Защита от когнитивных хаков  . . . . . . . . . . . . . . . . . . . . . 269
49. Иерархия хакинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

Часть VII
ХАКИНГ И СИСТЕМЫ 
ИСКУССТВЕННОГО ИНТЕЛЛЕКТА

50. Искусственный интеллект и робототехника. . . . . . . . 277
51. Хакинг систем искусственного интеллекта . . . . . . . . . 282
52. Проблема объяснимости . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
53. Очеловечивание искусственного интеллекта. . . . . . . 290
54. Хакинг человека искусственным интеллектом 
и роботами. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
55. Компьютеры и искусственный интеллект 
ускоряют социальный хакинг  . . . . . . . . . . . . . . . . . . . . . . 301
56. Когда искусственный интеллект 
становится хакером  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
57. Хакинг ради цели  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
58. Защита от хакеров 
с искусственным интеллектом  . . . . . . . . . . . . . . . . . . . . . 316
59. Будущее хакеров 
с искусственным интеллектом  . . . . . . . . . . . . . . . . . . . . . 321
60. Системы управления хакингом  . . . . . . . . . . . . . . . . . . . . 328

Послесловие. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

Благодарности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

Примечания  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

Предисловие

Говорят, что вода1 никогда не бежит в гору.
Никогда не бежала, никогда не побежит.
Но если у тебя достаточно денег,
В законах природы всегда найдется лазейка.
И вот уже ручеек течет вверх по склону.

Д Ф, песня «Water Never Runs Uphill» 
из репертуара группы Session Americana

Компания Uncle Milton Industries продает детские муравьиные фермы с 1956 г. Ферма представляет собой конструкцию 
из двух листов прозрачного пластика, соединенных между 
собой с зазором в 6 мм, запаянную с трех сторон, а с четвертой — имеющую крышечку. Идея заключается в том, чтобы 
заполнить это узкое пространство песком, запустить туда 
муравьев и с комфортом наблюдать, как они роют туннели.
Однако в самом наборе никаких муравьев нет. Довольно 
сложно сохранить их живыми, пока коробка лежит на магазинной полке, да к тому же наверняка существуют правила 
безопасности, касающиеся детей, игрушек и насекомых. 
Поэтому в комплекте с чудо-фермой идет почтовая карточка, на которой вы можете указать свой адрес, отправить 
ее в компанию, и через некоторое время вам доставят пробирку с живыми муравьями.
Большинство людей, впервые увидевших эту карточку, 
удивляются самому факту, что компания высылает клиентам 
пробирки с муравьями. Но моей первой мыслью было: «Вот 
это да! Я могу сделать так, что компания отправит пробирку 
с муравьями любому человеку, чей адрес я укажу».

Взломать всё

Специалисты по кибербезопасности смотрят на мир иначе, 
чем большинство людей. Обычно, когда человек видит перед 
собой некую систему, он сосредоточивается на том, как она 
работает. Профессионал в сфере кибербезопасности, видя 
ту же систему, первым делом пытается понять, как можно 
вывести ее из строя, а точнее, как использовать сбой системы, 
чтобы заставить ее вести себя непредвиденным образом 
и делать такое, чего система в принципе не должна делать, 
но что способно дать хакеру определенное преимущество.
Это и есть взлом — разрешенные системой действия, 
которые подрывают цель или замысел самой системы. В точности, как отправка пробирок с муравьями компанией Uncle 
Milton Industries людям, для которых это стало бы полной 
неожиданностью.
Я преподаю курс кибербезопасности в Гарвардском институте государственного управления, больше известном как 
школа им. Кеннеди. В конце первого занятия я даю аудитории 
неожиданное задание2 к нашей следующей встрече: через 
два дня каждый студент должен будет записать по памяти 
первые сто цифр числа пи. «Я понимаю, нет смысла надеяться, 
что вы запомните сотню случайных цифр за такой короткий 
срок, — говорю я им. — Поэтому рассчитываю, что вы будете 
хитрить. Единственное условие — не попадайтесь».
Спустя два дня аудитория гудит от возбуждения. Большинство студентов прибегают к старым уловкам, записывая 
цифры мелким почерком на клочках бумаги или наговаривая 
число на диктофон в надежде незаметно пронести наушник. 
Но кое-кто проявляет невероятную изобретательность. Один 
студент, к примеру, использовал невидимые чернила и очки, 
в которых цифры проявлялись. Другой написал искомое 
число на китайском языке, которого я, увы, не знаю. Третий 
закодировал цифры разноцветными бусинами и сделал из них 
ожерелье. Еще один запомнил несколько первых и последних 
цифр из сотни, а остальные взял из головы, полагая, что