Этика кибервзлома: США обвиняют Россию во взломе на основании данных из собственных незаконных закладок
Автор статьи — Илья Медведовский, эксперт, директор компании «Digital Security», занимающейся информационной безопасностью
Хакеры, взломы, похищение и публичное обнародование информации стали модным трендом. А последний год ознаменовался целым рядом громких событий, доказавших, что незаконный доступ к компьютерным системам и информации стал не только обычным коммерческим рынком со своими покупателями и продавцами (см., например, взлом Hacking Team), но и одним из распространенных инструментов, к которому активно прибегают государства.
Новые ужасы: русские хакеры идут! На этом фоне слежка собственных спецслужб должна выглядеть даже не милой шалостью, а защитой и необходимым действием.
Впрочем, конкретно эта неделя запомнилась крайне необычным и интересным заявлением, которое при должной оценке может иметь большие технические, политические и юридические последствия.
Часть 1. Государственный имплант
Неделя началась с
обнародования в американской прессе факта получения доступа Агентства национальной безопасности США (АНБ) ко всем письмам почтового сервиса Yahoo! — речь о более чем 500-миллионной аудитории пользователей, большинство из которых — американцы. Массовая слежка за пользователями была организована, по словам информированных источников, через установку в почтовую систему Yahoo! специальной программы — руткита (в терминах АНБ это «имплант», т. е. скрытно установленная программа для негласного выполнения разнообразных действий). Этот механизм позволял АНБ сканировать всю почту всех пользователей с целью поиска интересующей информации. То есть речь шла не о слежке за конкретным пользователем (хорошо бы — еще и с санкции суда), а о массовом анализе всех проходящих сообщений.
Вы уверены, что вашу почту читаете только вы?
Что интересно, речь идет не о программе массовой слежки PRISM, информацию о которой три года назад обнародовал Эдвард Сноуден — это другая, неизвестная ранее секретная программа.
Второе важное следствие: подтвердилось давнее подозрение относительно глобальной распространенности таких программ. По информации из прессы, в США уже достаточно давно действует секретная процедура, в рамках которой любая американская компания, работающая в сфере ИТ, может получить от спецслужб секретное предписание (разглашение которого равно разглашению государственной тайны со всеми вытекающими из этого последствиями), обязательное к исполнению: например, встроить «имплант» в свое ПО или оборудование. В теории, обжаловать такое предписание компания может в суде (называется FISA), однако речь идет о специальном секретном суде, который тесно связан с государственными структурами, ответственными за безопасность.
Можно ли считать историю с Yahoo! уникальной? Маловероятно. Во-первых, никто ради одного случая не будет разрабатывать целую программу и вводить соответствующие процедуры с судами и т. п. Во-вторых, в прессе появилась информация, что ряд вендоров якобы ищет легальные способы борьбы с этой инициативой, например предлагается заранее вывешивать на свой сайт заявление о том, что они не сотрудничают со спецслужбами, а потом, в случае получения секретного приказа — убирать его. Это одна из немногих оставшихся возможностей уведомить пользователей о том, что их данные не в безопасности. Впрочем, вряд ли им позволят даже это.
Комментарии, как говорится, излишни. Забавно отметить сходство со знаменитой «Родина слышит», но тут речь о текущем дне.
Таким образом, возникают вполне обоснованные подозрения, что любой американский вендор, включая Microsoft, Oracle, Cisco и т. д., может получить такое секретное предписание и будет обязан выполнить приказ о встраивании «импланта» так же, как и Yahoo!, заявившая на прямой вопрос прессы: «Мы законопослушная компания». Причем — это стоит отметить особо — слежка может вестись за гражданами и организациями как США, так и любой другой страны, а возможности для ее ведения могут встраиваться в оборудование, предназначенное для работы в любой части мира.
Новая информация позволяет по-новому взглянуть на многие недавние события, когда лидеры ИТ-рынка — Microsoft, Apple, Google — раз за разом рассказывали пользователям, что массовой слежки не производится, а они стоят на страже приватности пользователей. И официально клялись, что наши данные в безопасности.
Часть 2. Официальные обвинения России во взломе, построенные на доказательствах, полученных путем взлома
Но самые интересные события произошли все же в конце недели.
Прямые обвинения
Уже довольно давно в США ведется жесткая кампания по обвинению российских хакеров в различных взломах американских и международных структур с последующим обнародованием украденной информации. Постепенно СМИ дошли до обвинений в попытках влиять на работу избирательной системы (а это прямое покушение на основы государственного строя, серьезнейшее преступление — или недружественный акт со стороны другого государства). Недавно в этой кампании произошел новый поворот: стали появляться многочисленные утверждения, что речь идет не просто о «русских хакерах», а о целенаправленной деятельности, управляемой государством, т. е. Россию обвиняют фактически в акте агрессии против США.
На вопрос, защищен ли пароль от русских хакеров, ответ приходит по-русски. Хороший, тонкий юмор, обыгрывающий стереотип.
На этой неделе обвинения стали официальными: в
официальном заявлении Министерства внутренней безопасности (Department Of Homeland Security) и Управления национальной разведки по безопасности выборов (Office of the Director of National Intelligence on Election Security) Россия как государство прямо обвиняется в организации и координации атак на государственную ИТ-инфраструктуру США.
История успеха. Впрочем, в реальности «медалей» куда больше. Только вот кому их давать?
Это произошло впервые в истории: хотя до этого в разные моменты времени в совершении кибератак обвинялись хакеры Китая и Северной Кореи, но никогда дело не доходило до официальных обвинений в отношении государства.
Впрочем, гораздо интереснее не политический аспект события, а то, как именно спецслужбы выяснили, кто стоит за данной атакой.
Никаких технических доказательств
На протяжении последних месяцев произошла целая серия кибератак: на серверы демократической партии США, почтовый сервер Хилари Клинтон, антидопинговое агентство WADA, систему голосования США и т. д. Однако ни в одном случае никаких существенных фактов, доказывающих, кто именно несет ответственность, общественности предъявлено так и не было. Спецслужбы США отделывались лишь туманным «факты получены на основании секретных оперативных данных». В результате даже многие американские ИБ-эксперты серьезно сомневались в том, что атаки были инспирированы со стороны России. Это породило массу показательных шуток типа:
Заголовок в прессе: спецслужбы из РФ взломали систему голосования!
Реальность: более 10 лет CMS без обновлений и слабый пароль.
Никаких доказательств нет и сейчас. В официальном заявлении американских правительственных органов прозвучало лишь странное утверждение, что «деятельность хакеров в целом соответствует направлениям деятельности российского государства, поэтому это точно оно». Государственный департамент также
отказался приводить доказательства.
Незаконные доказательства доказательствами не считаются. Или?..
Для начала давайте взглянем, что же предшествовало обнародованию данного официального обвинения.
После нескольких взломов (и до выдвинутых официальных обвинений в отношении России) произошел скандал с обнародованием в сети части архива кибероружия АНБ, где в исходных кодах были представлены те самые «импланты», в частности «имплант» для оборудования Cisco, о котором три года назад писало издание Der Spiegel применительно к истории со Сноуденом. Так широкая общественность поняла, что «импланты» АНБ — это реальность, а не «параноидальный» вымысел экспертов по информационной безопасности. «Джинн» был выпущен из бутылки.
Прослушка США даже своих союзников стала уже общеизвестным фактом. И опять бросается глаза схожесть со старыми карикатурами на прослушивающих все и всех KGB.
Затем происходит история с руткитом Yahoo! и обнародованием секретного приказа для официального встраивания «имплантов», ставшая венцом целой серии аналогичных скандалов.
Через день после того, как Россию обвинили в кибератаках, в
одной из статей The New York Times, посвященной вариантам действий в связи с «русской угрозой», проскочила фраза о том, что доказательства причастности России были добыты АНБ «путем использования «имплантов» в оборудовании и ПО, расположенном на территории других стран, в том числе, вероятно, и в России».
Прошло 25 лет, но стоит сделать что-то на высшем мировом уровне — как звезды и серп и молот снова в строю! Вот что значит узнаваемый бренд.
То есть если описать ситуацию простым языком: ведущее СМИ США в качестве доказательства того, что государственные органы США, политические группы и т. д. были взломаны «русскими хакерами», приводит неофициальные слова «представителей разведки» о том, что информацию они получили благодаря предварительному взлому государственных сетей в Российской Федерации, с помощью которых якобы и координировался взлом американских сетей.
В принципе, все понятно: теперь нет никакого смысла отрицать очевидное, и можно спокойно допускать проникновение в прессу через доверенные источники информации об использовании «имплантов» АНБ.
Кому-то можно?
То есть Россию обвиняют в государственном взломе, но при этом власти США сами признаются, что информация об этом добыта посредством… аналогичного государственного взлома при помощи тех самых «имплантов» АНБ! Парадокс.
Google троллит российскую оппозицию. Угроза русскими хакерами реально продает новые услуги! Впрочем, АНБ прочитает и так, волноваться не о чем.
Технических доказательств не предъявлено и, скорее всего, предъявлено не будет. Таким образом, в профессиональной среде вопрос ответственности России остается недоказанным, но целевой аудиторией являются не они, а простые американцы, для которых простыми средствами быстро лепят новый образ врага.
Викиликс считает, что глупо винить Россию без доказательств. Вот за это Викиликс и не любят.
И при этом для придания веса бездоказательному заявлению авторитетные СМИ США вполне открыто пишут о том, что государственный взлом находящихся за рубежом компьютеров и компьютерных сетей является для спецслужб США обыденным делом, не нуждающимся в какой-либо отдельной оценке.
Маски сняты
Еще несколько месяцев назад вполне можно было считать, что Сноуден все придумал, никаких имплантов АНБ или секретных программ слежки не существует и в помине, а американские ИТ-гиганты стоят на страже демократических свобод граждан по всему свету. Однако стремительная череда событий последних месяцев явно доказывает, что это совершенно не так.
А Сноуден предупреждал!
Вначале — обнародование в исходных текстах архива кибероружия АНБ вместе с инструкциями полевым агентам, включая детали вплоть до названий «имплантов», подтвердивших статью в Der Spiegel трехлетней давности (видимо, связанную со Сноуденом). Затем — признание уже самих американских властей, что Сноуден и правда выкрал секретные документы (а ранее они это не подтверждали).
Потом — обнародование истории с «имплантом» АНБ в Yahoo!, поставившее точку в подозрениях о секретных приказах и продемонстрировавшее, что любую ИТ-компанию США могут обязать официально (!) встроить «имплант» в ПО и оборудование, в том числе и предназначенные для зарубежного использования — причем запретив ей кого-либо уведомлять об этом.
Безопасность такая безопасность...
А в заключение — полуофициальное признание спецслужбами США использования «имплантов» в оборудовании и ПО, легально поставленном в РФ, для осуществления собственной шпионской деятельности.
Все, забрало поднято и маски сняты?
Печальные итоги
Судя по всему, в распоряжении правительства США есть законный механизм секретного встраивания «имплантов» в продукты любого производителя или разработчика, подпадающего под американскую юрисдикцию. Которым оно, скорее всего, регулярно пользуется. Здесь так и напрашивается шутка про то, что, видимо, АНБ просто надоело перехватывать на почте и вскрывать маршрутизаторы Cisco для встраивания своего «импланта» — информация об этом факте была обнародована два года назад в прессе, и компания Cisco тогда была вынуждена комментировать этот факт в СМИ, обратившись к Президенту США. Теперь же достаточно выпустить соответствующую секретную директиву и обязать вендора встроить «имплант» на заводе при конкретной поставке.
Если не можешь бороться — используй! Суть карикатуры: раз АНБ все равно хранит все данные, то их можно использовать как облачного провайдера.
А что же делать нам? А нам всем в очередной раз пора свыкнуться с новой технической и, к сожалению, политической реальностью и перестать отрицать очевидное, сняв розовые очки и распрощавшись с иллюзиями, если у кого-то они еще оставались. Теперь практически официально подтверждено, что любое поставляемое США в Россию ПО и оборудование может содержать вполне официальные американские «импланты». Другое дело — складывается впечатление, что у нас будут закупать данную продукцию даже при наличии наклейки «Содержит имплант АНБ». Но это уже совершенно другая история. Видимо, пора привыкать к новому миру. «Приучили к уязвимостям — приучим и к имплантам».