Автор статьи — Илья Медведовский, эксперт, директор компании «Digital Security», занимающейся информационной безопасностью
Хакеры, взломы, похищение и публичное обнародование информации стали модным трендом. А последний год ознаменовался целым рядом громких событий, доказавших, что незаконный доступ к компьютерным системам и информации стал не только обычным коммерческим рынком со своими покупателями и продавцами (см., например, взлом Hacking Team), но и одним из распространенных инструментов, к которому активно прибегают государства.
Часть 1. Государственный имплант
Неделя началась с обнародования в американской прессе факта получения доступа Агентства национальной безопасности США (АНБ) ко всем письмам почтового сервиса Yahoo! — речь о более чем 500-миллионной аудитории пользователей, большинство из которых — американцы. Массовая слежка за пользователями была организована, по словам информированных источников, через установку в почтовую систему Yahoo! специальной программы — руткита (в терминах АНБ это «имплант», т. е. скрытно установленная программа для негласного выполнения разнообразных действий). Этот механизм позволял АНБ сканировать всю почту всех пользователей с целью поиска интересующей информации. То есть речь шла не о слежке за конкретным пользователем (хорошо бы — еще и с санкции суда), а о массовом анализе всех проходящих сообщений.
Второе важное следствие: подтвердилось давнее подозрение относительно глобальной распространенности таких программ. По информации из прессы, в США уже достаточно давно действует секретная процедура, в рамках которой любая американская компания, работающая в сфере ИТ, может получить от спецслужб секретное предписание (разглашение которого равно разглашению государственной тайны со всеми вытекающими из этого последствиями), обязательное к исполнению: например, встроить «имплант» в свое ПО или оборудование. В теории, обжаловать такое предписание компания может в суде (называется FISA), однако речь идет о специальном секретном суде, который тесно связан с государственными структурами, ответственными за безопасность.
Можно ли считать историю с Yahoo! уникальной? Маловероятно. Во-первых, никто ради одного случая не будет разрабатывать целую программу и вводить соответствующие процедуры с судами и т. п. Во-вторых, в прессе появилась информация, что ряд вендоров якобы ищет легальные способы борьбы с этой инициативой, например предлагается заранее вывешивать на свой сайт заявление о том, что они не сотрудничают со спецслужбами, а потом, в случае получения секретного приказа — убирать его. Это одна из немногих оставшихся возможностей уведомить пользователей о том, что их данные не в безопасности. Впрочем, вряд ли им позволят даже это.
Новая информация позволяет по-новому взглянуть на многие недавние события, когда лидеры ИТ-рынка — Microsoft, Apple, Google — раз за разом рассказывали пользователям, что массовой слежки не производится, а они стоят на страже приватности пользователей. И официально клялись, что наши данные в безопасности.
Часть 2. Официальные обвинения России во взломе, построенные на доказательствах, полученных путем взлома
Но самые интересные события произошли все же в конце недели.
Прямые обвинения
Уже довольно давно в США ведется жесткая кампания по обвинению российских хакеров в различных взломах американских и международных структур с последующим обнародованием украденной информации. Постепенно СМИ дошли до обвинений в попытках влиять на работу избирательной системы (а это прямое покушение на основы государственного строя, серьезнейшее преступление — или недружественный акт со стороны другого государства). Недавно в этой кампании произошел новый поворот: стали появляться многочисленные утверждения, что речь идет не просто о «русских хакерах», а о целенаправленной деятельности, управляемой государством, т. е. Россию обвиняют фактически в акте агрессии против США.
Впрочем, гораздо интереснее не политический аспект события, а то, как именно спецслужбы выяснили, кто стоит за данной атакой.
Никаких технических доказательств
На протяжении последних месяцев произошла целая серия кибератак: на серверы демократической партии США, почтовый сервер Хилари Клинтон, антидопинговое агентство WADA, систему голосования США и т. д. Однако ни в одном случае никаких существенных фактов, доказывающих, кто именно несет ответственность, общественности предъявлено так и не было. Спецслужбы США отделывались лишь туманным «факты получены на основании секретных оперативных данных». В результате даже многие американские ИБ-эксперты серьезно сомневались в том, что атаки были инспирированы со стороны России. Это породило массу показательных шуток типа:
Заголовок в прессе: спецслужбы из РФ взломали систему голосования!
Реальность: более 10 лет CMS без обновлений и слабый пароль.
Никаких доказательств нет и сейчас. В официальном заявлении американских правительственных органов прозвучало лишь странное утверждение, что «деятельность хакеров в целом соответствует направлениям деятельности российского государства, поэтому это точно оно». Государственный департамент также отказался приводить доказательства.
Незаконные доказательства доказательствами не считаются. Или?..
Для начала давайте взглянем, что же предшествовало обнародованию данного официального обвинения.
После нескольких взломов (и до выдвинутых официальных обвинений в отношении России) произошел скандал с обнародованием в сети части архива кибероружия АНБ, где в исходных кодах были представлены те самые «импланты», в частности «имплант» для оборудования Cisco, о котором три года назад писало издание Der Spiegel применительно к истории со Сноуденом. Так широкая общественность поняла, что «импланты» АНБ — это реальность, а не «параноидальный» вымысел экспертов по информационной безопасности. «Джинн» был выпущен из бутылки.
Через день после того, как Россию обвинили в кибератаках, в одной из статей The New York Times, посвященной вариантам действий в связи с «русской угрозой», проскочила фраза о том, что доказательства причастности России были добыты АНБ «путем использования «имплантов» в оборудовании и ПО, расположенном на территории других стран, в том числе, вероятно, и в России».
То есть если описать ситуацию простым языком: ведущее СМИ США в качестве доказательства того, что государственные органы США, политические группы и т. д. были взломаны «русскими хакерами», приводит неофициальные слова «представителей разведки» о том, что информацию они получили благодаря предварительному взлому государственных сетей в Российской Федерации, с помощью которых якобы и координировался взлом американских сетей.
В принципе, все понятно: теперь нет никакого смысла отрицать очевидное, и можно спокойно допускать проникновение в прессу через доверенные источники информации об использовании «имплантов» АНБ.
Кому-то можно?
То есть Россию обвиняют в государственном взломе, но при этом власти США сами признаются, что информация об этом добыта посредством… аналогичного государственного взлома при помощи тех самых «имплантов» АНБ! Парадокс.
Маски сняты
Еще несколько месяцев назад вполне можно было считать, что Сноуден все придумал, никаких имплантов АНБ или секретных программ слежки не существует и в помине, а американские ИТ-гиганты стоят на страже демократических свобод граждан по всему свету. Однако стремительная череда событий последних месяцев явно доказывает, что это совершенно не так.
Потом — обнародование истории с «имплантом» АНБ в Yahoo!, поставившее точку в подозрениях о секретных приказах и продемонстрировавшее, что любую ИТ-компанию США могут обязать официально (!) встроить «имплант» в ПО и оборудование, в том числе и предназначенные для зарубежного использования — причем запретив ей кого-либо уведомлять об этом.
Все, забрало поднято и маски сняты?
Печальные итоги
Судя по всему, в распоряжении правительства США есть законный механизм секретного встраивания «имплантов» в продукты любого производителя или разработчика, подпадающего под американскую юрисдикцию. Которым оно, скорее всего, регулярно пользуется. Здесь так и напрашивается шутка про то, что, видимо, АНБ просто надоело перехватывать на почте и вскрывать маршрутизаторы Cisco для встраивания своего «импланта» — информация об этом факте была обнародована два года назад в прессе, и компания Cisco тогда была вынуждена комментировать этот факт в СМИ, обратившись к Президенту США. Теперь же достаточно выпустить соответствующую секретную директиву и обязать вендора встроить «имплант» на заводе при конкретной поставке.
А что же делать нам? А нам всем в очередной раз пора свыкнуться с новой технической и, к сожалению, политической реальностью и перестать отрицать очевидное, сняв розовые очки и распрощавшись с иллюзиями, если у кого-то они еще оставались. Теперь практически официально подтверждено, что любое поставляемое США в Россию ПО и оборудование может содержать вполне официальные американские «импланты». Другое дело — складывается впечатление, что у нас будут закупать данную продукцию даже при наличии наклейки «Содержит имплант АНБ». Но это уже совершенно другая история. Видимо, пора привыкать к новому миру. «Приучили к уязвимостям — приучим и к имплантам».
Спойлер: она начинается с подписки на наш канал