(В Древнем Египте) термином «хэка» обозначалась магия, то есть «слова власт...
(В Древнем Египте) термином «хэка» обозначалась магия, то есть «слова власти» – магические слова, заклинания.
(Уоллис Бадж. Египетская магия)
Имеется некоторое сообщество, некая общая культура, состоящая из опытных программистов и сетевых чародеев, которая ведет свою историю от многолетней давности первых миникомпъютеров и от самых ранних экспериментов с сетью ARPAnet. Члены этой культуры и дали рождение термину «hacker» (хэка). Хэкеры построили Интернет.
(Эрик Рэймонд. Как стать хэкером)
Во все времена власти с опаской относились к компетентным людям, хорошо знающим свое дело, а потому имеющим тенденцию к самостоятельному мышлению и независимым суждениям. В древнейшие времена такой репутацией пользовались маги, с наступлением эры высоких технологий обостренное раздражение властей стали вызывать так называемые «хакеры». Сейчас уже никто, наверное, и не скажет, в какой момент к термину «хакер» прирос криминальный смысл. Обычно в этом принято винить поверхностных журналистов и киношников, не способных провести грань между пытливым исследователем-профессионалом и каким-нибудь безответственным или злонамеренным негодяем (кракером, т. е. криминальным хакером), использующим чужие результаты в собственных корыстных целях.
Откуда исходит угроза миру?
В последний день 1999 года на страницах популярного сайта Slashdot.org была опубликовано интервью с членами известной хакерской организации LOpht (В 2000 году на базе LOpht была создана консалтинговая компания @Stake, специализирующаяся на проблемах компьютерной безопасности), признанное читателями, как один из лучших материалов такого рода за всю историю Slashdot. Интервью было коллективным, то есть ответы давал как бы просто LOpht, без конкретизации отвечавших личностей. И один из самых первых вопросов звучал примерно так: «Чьи угрозы следует рассматривать более опасными для личных свобод, со стороны правительства или со стороны транснациональных корпораций?»
Вот что, в несколько вольном пересказе, ответили на это хакеры из Lopht: [BR99]
Хотя и правительства, и транснациональные корпорации в значительной степени несут угрозу личным свободам человека (в частности, в Интернете), но существует опасность, значительно превосходящая первые две. Имя ей – неинформированные граждане. И как это ни парадоксально звучит, эта опасность многократно реальнее именно в условиях демократических режимов, где правительства стараются следовать общественному мнению. Потому что уже абсолютно четко видно, как большинство граждан вполне согласны и готовы поступиться своими личными свободами в обмен на ощущение некой безопасности. Обычно это укладывается в формулу типа «ради безопасности наших детей».
Уже сейчас многие люди полагают, что анонимный доступ к Интернету – это признак криминального поведения. Тем, кто управляет рычагами власти, обычно очень хочется, чтобы стремление воспользоваться правом на личную тайну воспринимали как «антисоциальное» поведение. Ведь добропорядочному гражданину нечего скрывать, не так ли? Это только террористам, наркодельцам и педофилам нужно скрывать свои темные замыслы.
На правительство надавливают неинформированные граждане, либо те, кому уже промыли мозги до стадии панического ужаса от угроз современных технологий и от тех людей, которые бесконтрольно могут технологии использовать (хакеров, одним словом). В этом процессе лоббирования активно участвуют и транснациональные корпорации, финансируя деятельность «озабоченных» общественных групп или принимая участие в деятельности ассоциаций, оказывающих консультативную помощь правительственным структурам в технических вопросах. И весьма часто эти рекомендации приводят к очередному урезанию священного права граждан на личные свободы.
Весьма проблематичным является и то, что мир деятельности транснациональных корпораций – это мир частной собственности. И когда какая-либо внешняя группа начинает заниматься тщательным анализом технологических продуктов или коммуникационных услуг корпораций, то возникают конфликты принципиального характера. Если эта группа обнаруживает существенный изъян, скажем, в безопасности и публикует информацию о дыре в защите, то корпорация в свою очередь нередко объявляет, что этим нанесен сильнейший ущерб ее деятельности и затевает судебное преследование в отношении опубликовавших компромат, а то и добивается изменений в законодательстве.
Одна из наиболее известных историй такого рода – судебная тяжба индустрии сотовой связи в США. Клонирование сотовых телефонов было острейшей занозой в наиболее нежных местах индустрии мобильной связи. В конце концов к решению проблемы привлекли американское правительство, дабы подобного рода мошенничество было запрещено специальным законом. В итоге же определенный участок спектра радиочастот стал в США запрещенным для прослушивания и сканирования. А обладание «оборудованием для клонирования» стало преступлением, хотя это просто компьютер, программатор перезаписываемых микросхем и сотовый телефон. Любому, кто понимает техническую суть проблемы, очевидно, что это явная глупость. Но имеющие большие деньги имеют и большое влияние на власть. И именно государственная власть принимает такого рода законы.
Правительство подталкивает людей, люди подталкивают правительство. Уже и не найдешь, кто первым высадил это семя… Те же, кто смыслят что-то в технологиях, страсть как все заняты разработкой какой-нибудь очередной крутой штуковины. Ну, а погруженный в эти технические чудеса мир тем временем все больше сползает к глобальной диктатуре, пока население понемногу привыкает к ней под видом «безопасности».
Конец цитаты, как говорится.
Когда законы готовит полиция
В ноябре 2003 года президент США Джордж Буш обратился с просьбой к американскому Сенату ратифицировать первый международный закон о компьютерных преступлениях или Конвенцию о киберпреступности (Convention on Cybercrime). В своем письме к Сенату Буш назвал этот весьма спорный в своем содержании договор, официально подготовленный Советом Европы, «эффективным инструментом в глобальных усилиях по противодействию преступлениям, связанным с компьютерами» и «единственным многосторонним договором, направленным на компьютерные преступления и электронный сбор улик».
Хотя США не являются членом Евросовета с правом голоса, достаточно хорошо известно, что именно американские правоохранительные органы были главной силой, стоявшей за подготовкой международного договора о киберпреступности. В этом законе они видят путь к выработке интернациональных стандартов в оценке криминальной деятельности, имеющей отношение к посягательствам на авторские права, к онлайновому мошенничеству, детской порнографии и несанкционированным сетевым вторжениям. Как заявляют в Министерстве юстиции США, эта конвенция устранит «процедурные и юридические препятствия, которые могут задерживать или мешать международным расследованиям» [DE03].
Поскольку столь благородному, на первый взгляд, делу яростно и который уже год подряд сопротивляются правозащитники многих стран, имеет смысл рассмотреть историю рождения данной конвенции в некоторых содержательных подробностях.
Для компьютерных специалистов, уважающих термин «хакер», под «хакингом» обычно понимается процесс проникновения в суть той или иной вещи. Конечный результат – понимание того, «как это работает», зачастую сопровождаемое предложениями по улучшению работы. У властей же понимание «хакинга» сложилось совсем иное. Поскольку политическое руководство государств – народ занятой, то им некогда разбираться во всех этих терминологических тонкостях. Для этого есть эксперты и консультанты. Раз кругом говорят, что хакеры взламывают защиту компьютерных сетей, значит это дело экспертов из полиции и прочих правоохранительных органов. Логика же полиции свелась примерно к следующему умозаключению: раз хакерская публика мнит себя дюже умной и пишет всякие-разные программы, плодящие киберпреступность и лишающие корпорации доходов, то надо это дело запретить. Причем на корню.
Впервые о подготовке закона стало известно в октябре 2000 года, когда был рассекречен весьма важный и любопытный документ, подготовленный под эгидой Совета Европы и носивший название «22-я версия Проекта договора о киберпреступлениях» (Draft Convention on Cybercrime, № 22 rev). Этот документ, подготовленный в условиях необычной для европейского сообщества секретности, был представлен как «первый международный договор, посвященный уголовному праву и процедурным аспектам разного рода преступного поведения, направленного против компьютерных систем, сетей и данных».
В 22-й версии проекта обнаружилось много чего интересного: и намерение заставить всех интернет-провайдеров хранить подробные отчеты о деятельности своих клиентов (нечто подобное уже реализовал у себя Китай, поскольку это крайне полезный инструмент в борьбе с инакомыслием); и намерение привлекать к уголовной ответственности за посягательство на копирайт (для множества европейский стран это весьма спорный с правовой точки зрения вопрос); и запрет на хакерскую деятельность вкупе с хакерским инструментарием, и ряд положений, игнорирующих презумпцию невиновности, а также побуждающих граждан к «самообвинению». Достаточно подробный разбор весьма спорных юридических новшеств, предложенных в проекте и противоречащих европейской Конвенции о правах человека, был сделан в коллективном письме GILC (www.gUc.org), международной коалиции нескольких десятков правозащитных групп, на имя генерального секретаря Евросовета. По оценкам, сделанным в заявлении GILC, этот проект «противоречит прочно утвердившимся нормам защиты личности, подрывает разработку эффективных технологий сетевой безопасности и снижает подотчетность правительств в их правоохранительной деятельности» [GIOO].
В контексте нашей истории наибольший интерес представляют те положения проекта Договора, что посвящены непосредственно хакерам и их инструментам. В компактном представлении выглядят эти положения проекта следующим образом.
Каждая сторона, подписывающая договор, должна принять такое законодательство и прочие меры, которые окажутся необходимы для преследования как уголовных преступлений следующих деяний: (1) доступ к компьютерной системе в целом или любой ее части без надлежащего на то права; (2) осуществляемый с помощью технических средств перехват компьютерных данных, идущих внутри компьютерной системы, от нее или к ней, а также перехват электромагнитных излучений системы, несущих такие компьютерные данные; (3) внесение, уничтожение, подмена, повреждение или удаление компьютерных данных без надлежащего на то права; (4) создание, продажа и прочее распространение устройств и компьютерных программ, разработанных или приспособленных для целей, перечисленных в предыдущих пунктах; (5) распространение информации, способствующей доступу к компьютерным системам без надлежащего на то права.
На проходившей в ту пору в Амстердаме конференции DEFCON, где собираются хакеры, занимающиеся вопросами компьютерной безопасности, новость о подготовке драконовского договора взбудоражила всех. Как прокомментировал ситуацию один из участников форума, «они просто боятся тех вещей, которых не понимают, того, что не могут контролировать… это действительно может превратиться в охоту на ведьм». По заключению американского эксперта по киберправу Дженифер Грэник, из положений документа следует, что вне закона оказываются и все публикации об уязвимостях и слабостях компьютерных систем. В частности, и столь популярные среди профессионалов рассылочные листы как BugTraq и NTBugTraq, имеющие десятки тысяч подписчиков и служащие ценным источником для поддержания компьютерных систем «в форме». А то, что под запретом окажутся такие программы, как сетевые сканеры, тестирующие уязвимость портов системы, очевидно и без заключения экспертов. Более того, логика документа может со временем наложить запрет и на самые обычные программы-отладчики (дебаггеры), поскольку и этот инструмент широко используется для «хакинга». Конечно, всем ясно, что это абсурд и глупость, поскольку для программиста дебаггер – что отвертка для слесаря. (Талантливый слесарь, как известно, и отверткой может открыть замок, но никому не приходит в голову запретить отвертки) [SUOO].
Весьма примечательно, как именно готовился этот законопроект – в обстановке строгой секретности «авторами из 41 страны в тесном сотрудничестве с Министерством юстиции США». Этот нюанс кое-что проясняет и косвенно указывает «откуда ноги растут». Весной 1999 года в результате утечки в прессу попали секретные документы Европейской Комиссии (Enfopol 19), свидетельствующие об обширных планах взятия под контроль Интернета и всех будущих цифровых коммуникационных систем. Основу этих планов составляют предложения секретной международной организации, возглавляемой США и объединяющей органы безопасности и полиции. Эта организация именуется «Международным семинаром правоохранительных органов по телекоммуникациям» или ILETS (International Law Enforcement Telecommunications Seminar) и объединяет сотрудников полиции и госбезопасности из более чем 20 стран, включая Европу, Гонконг, Канаду, Австралию и Новую Зеландию, которые проводят регулярные встречи с начала 1990-х годов [DC99].
Организация ILETS была создана ФБР в 1993 году после нескольких неудачных попыток провести через Конгресс США новый закон, требующий от производителей оборудования и операторов связи за собственный счет встраивать в аппаратуру средства прослушивания. То, что не получилось сделать в лоб в США, стали проводить через международные структуры. К концу 1990-х годов ILETS удалось добиться одобрения своих планов в качестве политики Евросоюза и их включения в национальное законодательство нескольких стран. Впервые эта группа встретилась в исследовательском и учебном центре ФБР в Куантико, штат Вирджиния в 1993 году. На следующий год они встречались в Бонне и одобрили документ, получивший название «Международные требования по перехвату» или IUR 1.0. В течение следующих двух лет «требования» IUR незаметно стали секретной официальной политикой Евросоюза. ILETS и его эксперты снова встречались в Дублине, Риме, Вене и Мадриде в 1997 и 1998 годах, и разработали новые «требования» по перехвату Интернета. Результатом же стал документ Enfopol 19 [ЕР99].
В конце октября 2000 г. информированное американское издание Wall Street Journal опубликовало информацию о том, что Министерство юстиции США в приватном порядке сообщило компаниям американской индустрии инфотехнологий, что подготовленный вариант «Договора о киберпреступлениях» уже практически согласован и «слишком поздно что-либо существенное в нем переделывать». В действительности дела пошли несколько не так – под давлением общественности подписание договора было задержано еще на год, в течение которого в текст документа были внесены многочисленные «смягчающие» поправки [SL01].
Но, вообще говоря, если полиция сама начинает готовить под себя законы, вместо того, чтобы лишь обеспечивать их выполнение, то единственное, что может здесь получиться – это полицейское государство.