Илья Медведовский
Обнародованная хакерами информация позволяет оценить масштаб уязвимостей в оборудовании ведущих мировых производителей
16 августа мы неожиданно стали свидетелями грандиозного шпионского скандала, который в среде IT-специалистов может претендовать на звание "скандал века". Событие сравнимо с появлением откровений Эдварда Сноудена в 2013 году. Некая неизвестная ранее хакерская группировка выложила часть архива кибероружия АНБ (Агентства национальной безопасности) в открытый доступ, а другую часть выставила на аукцион. По версии американских СМИ, архив получен через взлом якобы связанной с АНБ группы хакеров. Однако есть вероятность, что это внутренняя утечка из АНБ, результат действий инсайдера, которого можно условно обозначить как "Сноуден-2".
Подозрения
АНБ - крупнейшая и самая авторитетная в мире техническая разведка, наиболее засекреченная спецслужба США. В одном только спецподразделении агентства по осуществлению киберопераций работают как минимум 2000 специалистов. В 2013 году АНБ потряс грандиозный скандал, связанный с обнародованием сначала Эдвардом Сноуденом, а затем журналом Spiegel подробной информации о массовых программах слежки за гражданами (в причастности к проекту PRISM и сотрудничестве с АНБ были обвинены компании Google, Microsoft, Yahoo! и Facebook). Тогда же стало известно о каталоге кибероружия, которым владеет АНБ, включающем в себя так называемые уязвимости нулевого дня (вредоносные программы, против которых пока нет защиты) и специализированное ПО для слежки, разработанное для различного оборудования (Cisco, Juniper, Huawei и т.п.). Однако - и это было самое главное в той истории - никаких фактов и технических доказательств представлено не было. Благодаря этому все вовлеченные в "нехорошую" историю вендоры спокойно заявляли о несостоятельности обвинений.
Немало нашлось тех, кто склонен был поверить Сноудену, но едва ли не большая часть специалистов причисляли его к опасным клеветникам. Известные технические эксперты основали открытый проект, решив попробовать повторить отдельные разработки из каталога АНБ, описанные лишь в общих чертах. Некоторые вендоры категорически отрицали даже саму техническую возможность создания подобных имплантов под свое оборудование. В общем, шум вокруг истории не стихал несколько лет.
Доказательства
Длившиеся три года яростные споры внезапно оборвались на прошлой неделе. Был обнародован уже не просто каталог с кратким описанием кибероружия АНБ, а все детали, исходники, названия и инструкции по применению для полевых агентов! И выяснилось, что как сами названия уязвимостей и имплантов, так и их описание в точности совпадают с опубликованным три года назад каталогом Сноудена и Spiegel! То есть произошла и была предана огласке первая в истории разведки утечка большого архива современного кибероружия (архив, кстати, датируется тем же 2013 годом, что и утечка Сноудена).
Основной вывод сегодня: все, о чем говорил Сноуден в 2013 году, чистая правда. Действительно существует массовая программа слежки, в которую вовлечены вендоры. Техническая разведка США обладает внушительным арсеналом возможностей для проведения разнообразных атакующих операций в киберпространстве и регулярно их осуществляет.
Еще один важный вывод: кибероружие долгие годы регулярно и массово использовалось агентами АНБ в своих операциях по всему миру.
Всем уязвимостям и специализированному ПО (троянам/имплантам и т.д.) в каталоге присвоены уникальные кодовые имена, даны подробные инструкции для полевых агентов. Все кибероружие детально проработано, обладает широкой функциональностью и удобным пользовательским интерфейсом. Таким образом, данное ПО могут использовать даже непрофессионалы.
Кроме того, сам архив датирован 2013 годом, а на прошлой неделе ряд вендоров, в частности Cisco, Fortinet и Juniper, подтвердили наличие в своих продуктах уязвимостей из каталога АНБ. Это означает, что "баги" были найдены АНБ в процессе исследований или целенаправленно внесены в продукцию путем проведения спецоперации, вероятно, задолго до 2013 года. Таким образом, возраст некоторых уязвимостей может исчисляться годами.
Еще один важный вывод: критические объекты в США не подвергались серьезной угрозе все эти годы, а безопасность американского бизнеса АНБ волнует только при условии, если он входит в зону ответственности агентства.
Мотивы АНБ
Почему АНБ не передавало информацию об уязвимостях нулевого дня вендорам, поставив под удар в том числе компании США? Сегодня этим вопросом задаются в американской прессе все ведущие эксперты по информационной безопасности.
Во-первых, главная цель АНБ - техническая поддержка и реализация разведывательных киберопераций по всему миру, а не информирование бизнеса, даже своего.
Во-вторых, азы разведки говорят, что по ряду причин никакая спецслужба никогда не будет информировать кого-либо, а тем более вендоров, об уязвимостях, которые были использованы в процессе проведения активных киберопераций. АНБ - самая секретная служба США. Как мы помним по недавнему скандалу Apple с ФБР, АНБ не информирует о своих возможностях даже ФБР, справедливо опасаясь их раскрытия в американском суде, перед которым ФБР обязано отчитываться.
В-третьих, чтобы обеспечивать и контролировать безопасность на критических объектах США, вовсе не обязательно немедленно закрывать уязвимости через выпуск патчей непосредственно вендором. Существуют иные технические методы контроля при условии обладания знанием о "багах" или имплантах (внедренных программах). Достаточно знать об уязвимости или специфике реализации импланта и иметь соответствующие технические средства на контролируемых объектах.
Еще один вывод: после 2013 года архив кибероружия стал похож на чемодан без ручки - и выбросить жалко, и что с ним делать, не совсем понятно.
Почему данная информация была обнародована именно сейчас? С одной стороны, кажется, что этот архив кибероружия стоит десятки миллиардов долларов (так и есть, кстати) и дает чуть ли не абсолютную власть над миром. Почему же его не предали огласке еще в 2013 году? Это сложный вопрос, на который нет точного ответа, поэтому остановимся только на технических деталях и выводах. Очевидно, что после утечки 2013 года, если в АНБ была высчитана вероятность кражи не только каталога, а и самого архива реализации (что вероятнее всего), в АНБ началась масштабная работа по созданию нового кибероружия, и использование засвеченных Сноуденом уязвимостей и имплантов в кибероперациях было прекращено.
Кроме того, ясно, что после огласки утечки в 2013 году любая попытка использования арсенала из каталога против США была бы немедленно вычислена АНБ. Поэтому при огромной технической ценности данного архива его оперативная ценность для похитителя была близка к нулю. Конечно, если речь не идет о банальных кибергангстерах, но подозревать их участие в таком деле как минимум несколько наивно.
Свое - значит безопасное?
Очень любопытно, что в частично обнародованном архиве АНБ была информация об уязвимостях малоизвестного китайского файрвола Topsec. Однако при ближайшем рассмотрении оказывается, что не знают вендора в "большом" мире, а для китайских госкомпаний это "номер один", и масштабы бизнеса Topsec сравнимы с Huawei. После 2013 года китайские госструктуры стали массово отказываться от продукции американских вендоров (Cisco, Juniper) и переходить на Topsec, чем немедленно воспользовалось АНБ, бросив силы на поиск критических уязвимостей. Эта история может многому научить наших "импортозаместителей", особенно производителей средств защиты информации (СЗИ), работающих на критических объектах. Радует, что ФСТЭК России (ведомство, отвечающее за экспортный и технический контроль) серьезно усложняет жизнь отечественным разработчикам СЗИ, заставляя их обращать самое серьезное внимание на проблемы безопасности.
Массовая слежка и масштабные кибероперации спецслужб - это объективная реальность, которая при всей своей внешней благопристойности все больше напоминает реальность Оруэлла. И то, что раньше казалось опасными фантазиями, теперь получает подтверждение фактами.