Взломать всё: Как сильные мира сего используют уязвимости систем в своих интересах

ВЗЛОМАТЬ
ВСЁ

A HACKER’S MIND

H    ’ ,
     

B S

Москва
2023

ВЗЛОМАТЬ
ВСЁ
КАК СИЛЬНЫЕ МИРА СЕГО
ИСПОЛЬЗУЮТ УЯЗВИМОСТИ
СИСТЕМ В СВОИХ ИНТЕРЕСАХ

БРЮС ШНАЙЕР

ПЕРЕВОД С АНГЛИЙСКОГО

УДК 65.011.56
ББК 88.23
 
Ш76

ISBN 978-5-9614-8310-9 (рус.)
ISBN 978-0-3938-6666-7 (англ.)

© 2023 by Bruce Schneier
© Издание на русском языке, 
перевод, оформление. 
ООО «Альпина Паблишер», 2023

УДК 65.011.56
ББК 88.23

Ш76

Шнайер Б.

Взломать всё: Как сильные мира сего используют уязвимости 
систем в своих интересах / Брюс Шнайер ; Пер. с англ. — М. : 
Альпина Паб лишер, 2023. — 372 с.

ISBN 978-5-9614-8310-9
Классический образ хакера – это специалист ИТ высочайшего 
класса, который знает несколько языков программирования, разбирается 
в устройстве систем безопасности и в два счета подберет 
пароль к вашему почтовому ящику. Он изучает системы для того, 
чтобы найти в них уязвимости и заставить работать в своих интересах. 
Однако взламывать можно не только компьютеры, но и социальные 
системы: от налогового законодательства до финансовых рынков 
и политики. В своей книге легендарный криптограф, специалист 
по кибербезопасности и преподаватель Гарварда Брюс Шнайер 
рассказывает о том, как могущественные, но неизвестные публике 
хакеры помогают богатым и влиятельным людям становиться еще 
богаче и манипулировать сознанием людей. Кроме того, он приводит 
огромное количество примеров хаков социальных систем: 
взломов тарифных планов для междугородних звонков, банкоматов, 
программ лояльности пассажиров, манипуляций на рынке элитной 
недвижимости и многих других. Прочитав ее, вы узнаете, как 
замечать взломы, и уже не сможете смотреть на мир по-прежнему.

Все права защищены. Никакая часть этой книги 
не может быть воспроизведена в какой бы 
то ни было форме и какими бы то ни было средствами, 
включая размещение в интернете 
и в корпоративных сетях, а также запись в память 
ЭВМ для частного или публичного использования, 
без письменного разрешения владельца 
авторских прав. По вопросу организации доступа 
к электронной библиотеке издательства обращайтесь 
по адресу mylib@alpina.ru.

Переводчик  Михаил Белоголовский

Научный редактор Артем Деркач

Редактор Даниэль Орлов

В книге упоминаются социальные сети Instagram и/или Facebook — 
продукты компании Meta Platforms Inc., деятельность которой по реализации 
соответствующих продуктов на территории Российской 
Федерации запрещена как экстремистская. 

Содержание

Предисловие  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Часть I
ХАКИНГ ДЛЯ «ЧАЙНИКОВ»

1. Что такое хак  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
2. Системы и хакинг . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
3. Что такое система . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
4. Жизненный цикл хака  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
5. Вездесущность хакинга  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

Часть II
ОСНОВНЫЕ ВИДЫ ХАКИНГА 
И ЗАЩИТА ОТ НЕГО

6. Хакинг банкоматов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
7. Хакинг казино  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
8. Хакинг программ лояльности авиакомпаний  . . . . . . . .56
9. Хакинг в спорте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
10. Хакеры паразитируют. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
11. Защита от хаков. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
12. Более тонкие средства защиты. . . . . . . . . . . . . . . . . . . . . . .75
13. Устранение потенциальных хаков 
на этапе проектирования систем. . . . . . . . . . . . . . . . . . . . .81
14. Экономика безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
15. Устойчивость . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93

Часть III
ХАКИНГ ФИНАНСОВЫХ СИСТЕМ

16. Хакинг райских кущ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
17. Хакинг в банковском деле  . . . . . . . . . . . . . . . . . . . . . . . . . 102
18. Хакинг финансовых бирж. . . . . . . . . . . . . . . . . . . . . . . . . . 109

19. Хакинг компьютеризированных 
финансовых бирж. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
20. Хакинг и элитная недвижимость. . . . . . . . . . . . . . . . . . . 120
21. Нормализация социальных хаков . . . . . . . . . . . . . . . . . . 124
22. Хакинг и рынок . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
23. «Слишком большой, чтобы обанкротиться». . . . . . . . 133
24. Венчурный капитал и прямые инвестиции. . . . . . . . . 138
25. Хакинг и богатство. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Часть IV
ХАКИНГ ПРАВОВЫХ СИСТЕМ

26. Хакинг законов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
27. Юридические лазейки  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
28. Хакинг бюрократических барьеров  . . . . . . . . . . . . . . . . 157
29. Хакинг и власть . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
30. Хакинг нормативных актов  . . . . . . . . . . . . . . . . . . . . . . . . 167
31. Взаимодействие юрисдикций  . . . . . . . . . . . . . . . . . . . . . . 174
32. Административное бремя . . . . . . . . . . . . . . . . . . . . . . . . . . 179
33. Хакинг и общее право  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
34. Хакинг как эволюция  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

Часть V
ХАКИНГ ПОЛИТИЧЕСКИХ СИСТЕМ

35. Скрытые положения в законодательстве. . . . . . . . . . . 197
36. Законопроекты «под прикрытием»   . . . . . . . . . . . . . . . . 204
37. Делегирование и отсрочка принятия законов. . . . . . 208
38. Хакинг и контекст. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
39. Хакинг избирательного права. . . . . . . . . . . . . . . . . . . . . . 219
40. Другие предвыборные хаки . . . . . . . . . . . . . . . . . . . . . . . . 223
41. Деньги и политика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
42. Хакинг на разрушение системы . . . . . . . . . . . . . . . . . . . . 234

Часть VI
ХАКИНГ КОГНИТИВНЫХ СИСТЕМ

43. Когнитивные хаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
44. Внимание и зависимость. . . . . . . . . . . . . . . . . . . . . . . . . . . 247
45. Убеждение  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
46. Доверие и авторитет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
47. Страх и риск  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
48. Защита от когнитивных хаков  . . . . . . . . . . . . . . . . . . . . . 269
49. Иерархия хакинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

Часть VII
ХАКИНГ И СИСТЕМЫ 
ИСКУССТВЕННОГО ИНТЕЛЛЕКТА

50. Искусственный интеллект и робототехника. . . . . . . . 277
51. Хакинг систем искусственного интеллекта . . . . . . . . . 282
52. Проблема объяснимости . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
53. Очеловечивание искусственного интеллекта. . . . . . . 290
54. Хакинг человека искусственным интеллектом 
и роботами. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
55. Компьютеры и искусственный интеллект 
ускоряют социальный хакинг  . . . . . . . . . . . . . . . . . . . . . . 301
56. Когда искусственный интеллект 
становится хакером  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
57. Хакинг ради цели  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
58. Защита от хакеров 
с искусственным интеллектом  . . . . . . . . . . . . . . . . . . . . . 316
59. Будущее хакеров 
с искусственным интеллектом  . . . . . . . . . . . . . . . . . . . . . 321
60. Системы управления хакингом  . . . . . . . . . . . . . . . . . . . . 328

Послесловие. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

Благодарности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

Примечания  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

Предисловие

Говорят, что вода1 никогда не бежит в гору.
Никогда не бежала, никогда не побежит.
Но если у тебя достаточно денег,
В законах природы всегда найдется лазейка.
И вот уже ручеек течет вверх по склону.

Д Ф, песня «Water Never Runs Uphill» 
из репертуара группы Session Americana

Компания Uncle Milton Industries продает детские муравьиные 
фермы с 1956 г. Ферма представляет собой конструкцию 
из двух листов прозрачного пластика, соединенных между 
собой с зазором в 6 мм, запаянную с трех сторон, а с четвертой — 
имеющую крышечку. Идея заключается в том, чтобы 
заполнить это узкое пространство песком, запустить туда 
муравьев и с комфортом наблюдать, как они роют туннели.
Однако в самом наборе никаких муравьев нет. Довольно 
сложно сохранить их живыми, пока коробка лежит на магазинной 
полке, да к тому же наверняка существуют правила 
безопасности, касающиеся детей, игрушек и насекомых. 
Поэтому в комплекте с чудо-фермой идет почтовая карточка, 
на которой вы можете указать свой адрес, отправить 
ее в компанию, и через некоторое время вам доставят пробирку 
с живыми муравьями.
Большинство людей, впервые увидевших эту карточку, 
удивляются самому факту, что компания высылает клиентам 
пробирки с муравьями. Но моей первой мыслью было: «Вот 
это да! Я могу сделать так, что компания отправит пробирку 
с муравьями любому человеку, чей адрес я укажу».

Взломать всё

Специалисты по кибербезопасности смотрят на мир иначе, 
чем большинство людей. Обычно, когда человек видит перед 
собой некую систему, он сосредоточивается на том, как она 
работает. Профессионал в сфере кибербезопасности, видя 
ту же систему, первым делом пытается понять, как можно 
вывести ее из строя, а точнее, как использовать сбой системы, 
чтобы заставить ее вести себя непредвиденным образом 
и делать такое, чего система в принципе не должна делать, 
но что способно дать хакеру определенное преимущество.
Это и есть взлом — разрешенные системой действия, 
которые подрывают цель или замысел самой системы. В точности, 
как отправка пробирок с муравьями компанией Uncle 
Milton Industries людям, для которых это стало бы полной 
неожиданностью.
Я преподаю курс кибербезопасности в Гарвардском институте 
государственного управления, больше известном как 
школа им. Кеннеди. В конце первого занятия я даю аудитории 
неожиданное задание2 к нашей следующей встрече: через 
два дня каждый студент должен будет записать по памяти 
первые сто цифр числа пи. «Я понимаю, нет смысла надеяться, 
что вы запомните сотню случайных цифр за такой короткий 
срок, — говорю я им. — Поэтому рассчитываю, что вы будете 
хитрить. Единственное условие — не попадайтесь».
Спустя два дня аудитория гудит от возбуждения. Большинство 
студентов прибегают к старым уловкам, записывая 
цифры мелким почерком на клочках бумаги или наговаривая 
число на диктофон в надежде незаметно пронести наушник. 
Но кое-кто проявляет невероятную изобретательность. Один 
студент, к примеру, использовал невидимые чернила и очки, 
в которых цифры проявлялись. Другой написал искомое 
число на китайском языке, которого я, увы, не знаю. Третий 
закодировал цифры разноцветными бусинами и сделал из них 
ожерелье. Еще один запомнил несколько первых и последних 
цифр из сотни, а остальные взял из головы, полагая, что 

Предисловие

я не стану проверять всю последовательность. Но больше всего 
меня поразил случай, когда студент по имени Ян, потратив 
на это кучу времени, делая долгие паузы между цифрами, 
записал весь необходимый ряд. Он закончил, когда все уже 
сдали ответы. Помню, как и я, и другие студенты смотрели 
на него, не понимая, как именно он это делает. Неужели 
парень действительно вычисляет в уме бесконечный ряд? 
Но все оказалось намного проще: хитрец запрограммировал 
телефон, и тот вибрировал в его кармане, передавая каждую 
цифру азбукой Морзе.
Смысл подобного задания вовсе не в том, чтобы превратить 
добросовестных студентов в жуликов. На лекциях 
я всегда напоминаю, что за списывание в Гарварде полагается 
исключение. Дело в другом: если они собираются заниматься 
государственной политикой в области кибербезопасности*, 
они должны думать как жулики и воспитывать в себе хакерское 
мышление. 
Моя книга рассказывает историю хакерства, сильно отличающуюся 
от того, что преподносят на эту тему фильмы, 
телепередачи и пресса. Вы не найдете подобной информации 
в книгах, посвященных взлому компьютерных систем или 
защите от хакерских атак. Это история о вещах куда более 
распространенных, фундаментально присущих человеку 
и гораздо более древних, нежели компьютер. Это история 
о деньгах и власти.
Настоящими прирожденными хакерами являются дети. 
Они взламывают системы инстинктивно, просто потому что 
не до конца понимают их правила и общий замысел. (В этом 
они схожи с системами искусственного интеллекта, о которых 
мы поговорим в конце книги.) Но хакингом вполне осознанно 
занимаются и весьма состоятельные люди. В отличие от детей 

 * Автор использует здесь забавное сленговое выражение cybersexcurity (букв. 
киберсексуальное любопытство), созвучное с термином cybersecurity. — 
Прим. пер.

Взломать всё

или искусственного интеллекта они понимают и правила, 
и контекст. С детьми их роднит другое — многие не готовы 
признать, что правила, созданные для всех, применимы 
и к ним. Превыше всего они ставят собственные интересы, 
а в результате то и дело взламывают всевозможные системы.
Моя история хакерства выходит за рамки того, что делают 
с компьютерными системами скучающие подростки, конкурирующие 
правительства или не слишком радивые студенты, 
отлынивающие от учебы. Я также не беру во внимание представителей 
контркультуры. Хакер, который мне интересен, 
работает на крупную корпорацию, выборное должностное 
лицо или, к примеру, на хедж-фонд, находя лазейки в правилах 
финансовой игры, позволяющие выкачивать из системы 
дополнительную прибыль. Хакинг как таковой является неотъемлемой 
частью деятельности любого правительственного 
лоббиста. Благодаря хакингу социальные сети удерживают 
нас на своих платформах.
В моей книге хакинг — это то, чем занимаются богатые 
и влиятельные люди, нечто, что укрепляет существующие 
структуры власти.
В качестве примера приведу историю Питера Тиля. 
Roth IRA — это легальный пенсионный счет, разрешенный 
законом с 1997 г. Он предназначен для инвесторов среднего 
класса и имеет ограничения как на уровень дохода инвестора, 
так и на сумму инвестиций. Но миллиардер Питер 
Тиль, один из основателей PayPal, умудрился найти лазейку3. 
Используя этот пенсионный счет, он купил 1,7 млн акций 
собственной компании по цене $0,001 за акцию, превратив 
$2000 в $5 млрд, навсегда освобожденных от налогов.
Хакерство часто служит ответом на вопрос, почему правительство 
не в состоянии защитить нас от корпоративных 
или чьих-то личных интересов, подкрепленных могуществом 
и деньгами. Хакерство является одной из причин, по которой 
мы чувствуем бессилие перед государственной машиной. 

Предисловие

Богатые и влиятельные люди нарушают правила, чтобы 
увеличить свое богатство и власть, — это и есть хакерство. 
Они постоянно работают над поиском новых хаков, а также 
над сохранением найденных лазеек, чтобы извлечь из них 
максимальную прибыль. И это очень важный момент. Дело 
не в том, что богатые и влиятельные люди — непревзойденные 
взломщики, а в том, что их с меньшей вероятностью за это 
накажут. Зачастую их хаки просто становятся общественной 
нормой. Чтобы исправить такое положение дел, необходимы 
изменения на уровне официальных институтов, но все осложняет 
очевидный факт: официальные лидеры — это те самые 
люди, которые подтасовывают карты не в нашу пользу.
Любая система может быть хакнута. В настоящее время 
взломаны уже многие крупные системы, и ситуация становится 
только хуже. Если мы не научимся контролировать этот 
процесс, наши экономические, политические и социальные 
системы начнут давать все более ощутимые сбои. В конце 
концов они просто рухнут, поскольку перестанут эффективно 
служить целям, для которых были предназначены, а люди 
потеряют к ним доверие. И это уже происходит. Скажите, что 
вы чувствуете, когда думаете о том, как Питеру Тилю сошла 
с рук неуплата налога на миллиардный прирост капитала?
Однако, как я покажу в дальнейшем, хакинг не всегда 
разрушителен. При должном использовании он является 
одним из способов эволюции и совершенствования систем. 
Именно так развивается общество. А точнее сказать, именно 
так люди развивают общество, не разрушая до основания 
то, что уже было построено. Взлом может быть и орудием 
светлой стороны. Фокус заключается в том, чтобы понять, 
как поощрять «хорошие» взломы, предотвращать «плохие» 
и отличать одни от других.
В дальнейшем хакерство станет еще более разрушительным, 
поскольку мы интенсивно внедряем искусственный интеллект (
ИИ) и автономные системы. Все это компьютерные