11. Корпоративная контратака
11. Корпоративная контратака
В середине декабря 2009 г. программисты из штаб-квартиры Google, расположенной в городке Маунтин-Вью в Калифорнии, заподозрили, что хакеры из Китая получили доступ к личным аккаунтам электронной почты Gmail, в том числе тем, которые использовались китайскими правозащитниками, противостоящими властям Пекина. Как и большинство других крупных и известных интернет-компаний, Google и ее пользователи часто становились мишенями для кибершпионов и преступников. Но в этот раз, когда специалисты начали вникать в детали, они обнаружили, что имеют дело с необычной хакерской операцией.
Позже Google назовет эту операцию «крайне сложной и целенаправленной атакой, организованной Китаем, на нашу корпоративную инфраструктуру». Киберграбители смогли получить доступ к службе паролей, которая позволяла пользователям единовременно входить во множество приложений Google. Эта система была важнейшим объектом интеллектуальной собственности и относилась к «сокровищнице» исходных кодов компании. Google хотела получить конкретные доказательства взлома, которые можно было бы передать в американские правоохранительные органы и разведывательные службы. Для этого компания отследила источник взлома – сервер, расположенный на Тайване. Именно он получал украденные данные. Предположительно, этот сервер находился под управлением хакеров с материкового Китая.
«Google взломала этот сервер», – рассказывает бывший руководитель из разведслужбы, который был осведомлен о действиях компании. Он говорит, что в этом решении присутствовала некоторая доля правового риска. Был ли это случай ответного взлома? Точно так, как не существует закона, запрещающего домовладельцу следить за грабителем до его места жительства, так же и здесь Google не нарушила никаких законов, отследив источник вторжения в свои системы. Остается неясным, как специалисты компании смогли получить доступ к серверу, но, взяв его под свой контроль, они бы переступили черту закона только в том случае, если бы удалили или уничтожили бы данные на нем. Однако Google не стала ничего уничтожать. Фактически компания поступила неожиданно и беспрецедентно – она поделилась своей информацией.
Компания Google представила доказательства и раскрыла детали одной из самых крупных кампаний кибершпионажа в американской истории. Доказательства показывали, что китайские хакеры проникли в системы примерно трех десятков разных компаний, среди которых оказались технологические гиганты Symantec, Yahoo, Adobe, оборонный подрядчик Northrop Grumman, производитель оборудования Juniper Networks. Такой широкий охват не позволял выделить какую-то одну причину этой атаки. Был ли это промышленный шпионаж? Слежка за правозащитниками? Может быть, Китай пытался получить некий шпионский плацдарм в ключевых секторах американской экономики или, что хуже, внедрить вредоносное ПО в оборудование, используемое для управления важнейшими объектами инфраструктуры? Единственное, в чем Google, казалось, была уверена, так это в том, что хакерская операция была масштабной и продолжительной и что за ее реализацией стоял Китай. Не просто независимые хакеры, а китайские власти, у которых были средства и мотивы для начала столь массированной атаки.
Google поделилась своими находками с другими компаниями, ставшими объектами атаки, а также с американскими правоохранительными органами и разведывательными службами. В течение последних четырех лет руководители корпораций тайно давили на государственных чиновников, призывая их обнародовать информацию о шпионаже и, пристыдив Китай, заставить его прекратить свою кампанию. Но, для того чтобы президент Обама или госсекретарь Хиллари Клинтон могли выступить с речью и указать пальцем на эту страну, нужны были неопровержимые доказательства, которые бы подтверждали, что источники атак находятся в Китае. А глядя на материалы, предоставленные компанией Google, государственные аналитики не были уверены, что такие доказательства у них есть. Американские чиновники решили, что взаимоотношения между двумя крупнейшими экономиками были слишком хрупкими, а опасность развития конфликта слишком велика, чтобы публиковать то, что узнала Google.
Google с этим не согласилась.
Заместитель госсекретаря Джеймс Штейнберг был на вечернем приеме в Вашингтоне, когда его помощник принес срочное сообщение: Google собирается сделать публичное заявление о китайской шпионской кампании. Штейнберг, второй человек в Америке по вопросам внешней политики, сразу же осознал значимость принятого компанией решения. Вплоть до этого момента американские корпорации не изъявляли желания публично обвинять Китай в шпионских действиях или в краже интеллектуальной собственности. Компании боялись потерять доверие инвесторов и клиентов, а потому приглашали хакеров со стороны, чтобы те искали наиболее слабые места в корпоративной системе безопасности, и посылали проклятия в адрес государственных чиновников Китая, которые могли легко отменить доступ к одному из крупнейших и самых быстро растущих рынков товаров и услуг в США. Для любой компании выступление против Китая имело бы огромное значение. Но для Google, самой влиятельной компании эпохи Интернета, подобное выступление было историческим.
На следующий день, 12 января 2010 г., старший сотрудник по правовым вопросам компании Google Дэвид Драммонд опубликовал объемное заявление в блоге компании, в котором обвинял хакеров из Китая в атаке на инфраструктуру Google и критиковал китайские власти за цензуру в Интернете и подавление правозащитного движения. «Мы сделали неожиданный шаг, поделившись информацией об этих атаках с широкой аудиторией. Мы пошли на это не только из-за того, что обнаружили нарушение безопасности и гражданских прав, но еще и потому, что эта информация позволит начать более масштабную дискуссию о свободе слова», – сказал Драммонд.
В то же время чиновники Госдепартамента увидели редкую возможность оказать давление на Китай. Той ночью Хиллари Клинтон выступила с собственным заявлением. «Мы получили информацию об этих обвинениях от Google, и полученные сведения поднимают очень серьезные вопросы и проблемы. Мы ждем объяснений от китайских властей, – сказала она. – Возможность доверительной работы в киберпространстве крайне важна для современных общества и экономики».
Эти дипломатические маневры имели крайне важное значение. Администрация Обамы получила от Google благоприятную возможность для обвинения Китая в шпионаже, не выдвигая при этом собственных убедительных доводов. Чиновники могли просто сослаться на факты, обнаруженные компанией Google в результате ее собственного расследования. «Нам представился удобный случай для обсуждения этих вопросов без необходимости привлечения секретных источников или деликатных методов [сбора информации]», – сказал Штейнберг. Администрация не была предупреждена о решении Google, которое вступало в противоречие с нежеланием некоторых чиновников выводить обсуждение шпионажа в публичную сферу. Но теперь, когда все случилось, никто не жаловался. «Это было их решение. У меня, безусловно, нет никаких возражений», – говорит Штейнберг.
Администрация Обамы начала ужесточать тон общения с Китаем, и первой ласточкой стала речь Клинтон, посвященная ее инициативе о свободе в Интернете (Internet Freedom initiative), которую она произнесла девятью днями позже. Она призвала Китай отменить цензурирование поисковых запросов в Интернете и прекратить блокировку доступа к сайтам, публикующим критику в адрес руководителей страны. Клинтон уподобила эти виртуальные барьеры Берлинской стене.
Со своей стороны Google заявила, что она прекратит фильтрацию результатов поиска по словам и темам, запрещенным государственной цензурой. И если Пекин будет возражать, Google готова повысить ставки и полностью покинуть китайский рынок, потеряв миллиарды долларов потенциальной прибыли. Из-за этого заявления другие американские технологические компании оказались в двусмысленном положении. Будут ли они и дальше мириться с вмешательством властей и подавлением свободы слова, чтобы сохранить свой бизнес в Китае?
После заявления Google другим компаниям стало проще признать, что они подверглись хакерским атакам. В конце концов, если подобное случилось с Google, то могло произойти и с любой другой компанией. Шпионаж со стороны Китая мог даже стать знаком отличия, показывающим, что компания имеет достаточно важное значение и привлекает внимание сверхдержавы. Одной лишь записью в своем блоге Google изменила глобальное обсуждение кибернетической безопасности.
Также компания показала, что довольно много знает о китайских шпионах. АНБ захотело понять, насколько много.
Google известила АНБ и ФБР о том, что ее сети были взломаны хакерами из Китая. ФБР, будучи правоохранительным агентством, могло начать расследование этого проникновения как уголовного преступления. Однако АНБ требовалось разрешение компании Google для того, чтобы принять участие в расследовании и помочь оценить брешь в защите. В тот день, когда юрист Google написал свой пост в блоге компании, главный юрисконсульт АНБ начал готовить проект «соглашения о совместном исследовании и развитии». Это правовое соглашение изначально было разработано на основании закона 1980 г. для ускорения коммерческого развития новых технологий, заинтересованность в которых была как у компаний, так и у государства. Цель соглашения заключалась в том, чтобы создать что-то новое – какое-то устройство или технологию например. Компания, участвующая в соглашении, не получала денег, но могла рассчитывать на то, что государство примет на себя расходы на исследование и разработку, а кроме того, она могла использовать государственное оборудование и привлекать специалистов из госструктур для проведения исследований. Каждая из сторон сохраняла результаты сотрудничества в секрете до тех пор, пока обе стороны не принимали решения об их обнародовании. В итоге компания получила исключительные патентные права на создание того, что было разработано общими усилиями, а государство могло использовать любую информацию, полученную в рамках сотрудничества.
Не понятно, что именно АНБ и Google создали после обнаружения китайского проникновения. Однако в процессе написания соглашения представительница агентства сделала несколько намеков. «В общем случае, в части своей миссии по обеспечению информационной безопасности, АНБ работает с широким спектром коммерческих партнеров и исследовательских объединений, чтобы гарантировать доступность безопасных специализированных решений для Министерства обороны и клиентов систем национальной безопасности», – сказала она. Фраза про «специализированные решения» звучала очень интригующе. Эта фраза предполагает существование чего-то, сделанного по заказу агентства, для того чтобы оно могло выполнять свои функции по сбору информации. По рассказам чиновников, знакомых с деталями соглашения Google и АНБ, компания соглашалась предоставлять информацию о трафике в своих сетях АНБ в обмен на разведданные об иностранных хакерах. Услуга за услугу, информация в обмен на информацию. А с точки зрения АНБ информация в обмен на защиту.
Совместное соглашение и ссылка на «специализированное решение» явно намекали на то, что Google и АНБ разработали устройство или технологию выявления вторжений в сети компании. Таким образом, АНБ могло бы получать ценную информацию для своей так называемой системы активной защиты, которая использует сочетание автоматизированного оборудования и специальных алгоритмов для обнаружения вредоносного ПО или признаков надвигающейся атаки и принимает меры по противодействию им. Одна система под названием «Паника» (Turmoil) распознает трафик, который может оказаться опасным. Затем другая автоматическая система «Турбина» (Turbine) принимает решение, пропустить этот трафик или заблокировать его. Turbine также может предложить какую-либо атакующую программу или хакерскую методику, которую оператор сможет применить для нейтрализации источника вредоносного трафика. Он может сбросить интернет-соединение источника трафика или перенаправить трафик на сервер, находящийся под контролем АНБ. Там источник может быть инфицирован вирусом или шпионской программой, с помощью которой АНБ сможет продолжить наблюдение за ним.
Чтобы Turbine и Turmoil работали, АНБ была нужна информация, особенно сведения о передаваемых по сети данных. Google со своими миллионами клиентов по всему миру фактически была каталогом людей, пользующихся Интернетом. Компания владела их адресами электронной почты. Знала, где они находятся физически, когда входят в сеть. Знала, что они ищут в сети. Власти могут приказать компании передавать им эту информацию, что они и делают в рамках программы PRISM, в которой компания Google участвовала в течение года еще до того, как подписала совместное соглашение с АНБ. Однако этот инструмент используется для поиска людей, подозреваемых властями в террористической деятельности или шпионаже. Миссия АНБ по обеспечению киберзащиты подразумевает более широкий обзор сетей в поисках потенциальных угроз, иногда еще до того, как становится известно, где находится источник этих угроз. В пользовательском соглашении компания Google уведомляет своих клиентов о том, что может передавать их «персональные данные» во внешние организации, в том числе в государственные агентства, для «обнаружения, предотвращения или принятия иных мер по отношению к мошенническим действиям, проблемам безопасности или техническим вопросам», а также для «защиты прав, собственности или безопасности Google». По словам людей, знакомых с деталями соглашения между АНБ и Google, оно не дает властям разрешение на чтение электронных писем пользователей Google. Власти могут делать это в рамках программы PRISM. Наоборот, это соглашение позволяет АНБ анализировать аппаратное и программное обеспечение Google в поисках уязвимостей, которыми могут воспользоваться хакеры. Учитывая, что АНБ является единственным крупнейшим хранителем информации об уязвимостях нулевого дня, эти сведения могут помочь сделать Google более безопасной, чем другие компании, которые не предоставляют доступ к своим драгоценным секретам. Соглашение также позволяет агентству анализировать уже свершившиеся взломы, чтобы в дальнейшем оказывать помощь при отслеживании их источника.
Google взяла на себя риск, сопутствующий сотрудничеству с АНБ. Корпоративный девиз компании «Не будь злым», кажется, не стыкуется с работой под прикрытием разведывательного кибервоенного агентства. Однако Google получила полезную информацию в обмен на свое сотрудничество. Вскоре после разоблачения Китая власти предоставили Сергею Брину, сооснователю компании Google, временный допуск к секретной информации, который позволил присутствовать на закрытых совещаниях, где обсуждалась операция против его компании. Государственные аналитики пришли к выводу, что вторжение координировалось подразделением Народно-освободительной армии Китая. Это была самая специфическая информация об источнике вторжения, которую компания Google смогла получить. Эти данные могли помочь компании укрепить свои системы, заблокировать трафик от определенных интернет-адресов и принять более обоснованное решение о том, стоит ли вообще продолжать работать в Китае. Руководители Google могли с пренебрежением относиться к «секретному ингредиенту» АНБ. Однако, когда компания подверглась атаке, она обратилась за помощью именно в Форт-Мид.
В своем блоге Google рассказала, что более 20 компаний подверглись атаке со стороны китайских хакеров в рамках операции, получившей позже название «Аврора» (Aurora) по имени файла на компьютере атакующих. Вскоре компания, занимающаяся информационной безопасностью, определила, что объектов атаки было около трех десятков. В действительности, охват китайского шпионажа был и остается намного шире.
Эксперты по безопасности, как государственные так и независимые, дали название хакерам, которые стоят за такими атаками, как Aurora, направленными против тысяч разных компаний, работающих практически в каждом секторе экономики США. Они назвали таких хакеров «повышенной постоянной угрозой» (advanced persistent threat, APT). Название грозное и с подтекстом. Когда государственные чиновники говорят об APT, чаще всего они имеют в виду Китай, а еще конкретнее – хакеров, работающих под управлением или по поручению китайских властей.
Слово «повышенная» в этом описании частично относится к хакерским методикам, которые ничуть не уступают в эффективности методам, применяемым АНБ. Китайские кибершпионы могут использовать приложения для общения и отправки мгновенных сообщений на зараженном компьютере, чтобы связываться с управляющим сервером. Они могут установить вредоносную программу и затем удаленно ее настроить, добавив новые возможности по сбору информации. Государственные структуры, поддерживающие всю эту шпионскую деятельность, весьма совершенны и гораздо лучше организованы, чем малочисленные банды кибервандалов или активисты вроде группы Anonymous, которые шпионят за компаниями в политических целях. Они даже лучше организованы, чем российские криминальные группы, которые чаще всего заинтересованы в похищении банковских данных и сведений о кредитных картах. Китай готов к долгой игре. Его руководители хотят, чтобы экономика страны и промышленная мощь достигли максимального уровня за одно поколение, и готовы воровать знания, необходимые для достижения этой цели. Так говорят американские власти.
Здесь в игру вступает слово «постоянная» из описания этой угрозы. Сбор такого огромного объема информации из столь многочисленных источников требует максимального напряжения сил, воли и финансовых ресурсов, ведь нужно испытать множество различных методов взлома, в том числе и дорогостоящие эксплоиты нулевого дня. Как только шпионам удается найти плацдарм, обосноваться в корпоративной сети, сами они уже не уйдут, пока их не вытолкнут силой. И даже тогда они быстро возвращаются. «Угроза», которую подобный шпионаж несет американской экономике, состоит в упущенной выгоде и в потере стратегической позиции. Вместе с тем существует опасность, что китайские военные обзаведутся скрытыми точками входа в системы управления жизненно важными объектами инфраструктуры США. Американские чиновники из разведки полагают, что китайские военные уже составили схему управляющих инфраструктурных сетей, так что если два государства когда-либо окажутся в состоянии войны, китайцы смогут нанести удар по американским объектам, таким как электрические сети или газовые трубопроводы, не прибегая к запуску ракет или отправке флотилии бомбардировщиков.
Операция Aurora позволила сделать первую беглую оценку широты использования эксплоитов APT. Впервые в контексте китайской шпионской деятельности были названы конкретные компании. «Масштаб этой деятельности намного больше, чем кто-либо мог себе вообразить», – сказал Кевин Мандиа, генеральный директор и президент компании Mandiant, расположенной недалеко от Вашингтона и занимающейся компьютерной безопасностью и криминалистикой. АРТ представляет собой хакерскую деятельность, которая ведется на государственном, стратегическом уровне. «Скомпрометированы не 50 компаний. Опасности подвергаются тысячи компаний. Опасности настоящей. Прямо сейчас», – сказал Мандиа, ветеран киберрасследований, который начал карьеру в качестве офицера компьютерной безопасности в военно-воздушных силах и работал над расследованием киберпреступлений. Mandiant стала профессиональной организацией, в которую компании обращались, когда обнаруживали, что шпионы проникли в их компьютерные сети. Вскоре после взлома Google Mandiant раскрыла детали собственного расследования на закрытой встрече с представителями Министерства обороны за несколько дней до опубликования этой информации.
АРТ – это не единая организация, но совокупность хакерских групп, куда входят команды, работающие на Народно-освободительную армию Китая, а также так называемые хакеры-патриоты – инициативная молодежь, помешанная на компьютерах, которая хочет послужить своей стране. В китайских университетах множество студентов, обучающихся компьютерным наукам, после окончания идут работать в военные организации. Наиболее важными качествами хакеры АРТ считают хитрость и терпение. Они используют уязвимости нулевого дня и устанавливают бэкдоры. Они тратят время на идентификацию сотрудников в интересующей их организации, затем отправляют им тщательно подготовленные фишинговые электронные письма, снабженные шпионским ПО. Они проникают в организацию и часто находятся там месяцами или даже годами, прежде чем кто-то обнаружит их присутствие, и все это время скачивают схемы и чертежи, читают электронные письма и просматривают вложения к ним, отслеживают уволившихся и вновь принятых сотрудников, которые могут стать в будущем объектами для атаки. Иными словами, китайские шпионы ведут себя точно так же, как их американские коллеги.
Ни одна разведывательная организация не сможет выжить, если не будет знать своего врага. С такой обширной сетью наблюдения, как у АНБ, иногда проще получить точную информацию о хакерских кампаниях от самих объектов атаки. Именно поэтому АНБ сотрудничает с Google. Именно поэтому власти выслушали частных сыщиков из Mandiant, когда те пришли с информацией об АРТ. Защита киберпространства – слишком масштабная работа даже для лучшего в мире шпионского агентства. Нравится им это или нет, но АНБ и корпорации должны бороться с врагом вместе.
Сергей Брин – всего лишь один из сотен директоров, которые были допущены в тайный круг АНБ. Начиная с 2008 г. агентство предлагает руководителям компаний временное право допуска к закрытой информации, иногда сроком всего на один день. Это дает им возможность присутствовать на закрытых брифингах по проблемам киберугроз. «Агентство могло пригласить кого-нибудь из руководителей на один день и познакомить со множеством пикантных фактов об опасностях, грозящих бизнесу в Соединенных Штатах», – говорит руководитель телекоммуникационной компании, который присутствовал на нескольких таких встречах, проводимых примерно три раза в год. Директора должны были подписать соглашение о неразглашении любой информации, полученной ими в ходе брифинга. «Их многословно предупреждали, что, если нарушишь это соглашение, тебя арестуют, осудят и ты проведешь остаток своих дней в тюрьме», – говорит руководитель.
Почему люди соглашались с такими суровыми требованиями? «Пусть на один день, но они становились особенными и могли видеть вещи, доступные лишь немногим», – говорит руководитель телекоммуникационной компании, который благодаря регулярной работе над секретными проектами имел высокий уровень доступа к закрытой информации и сведениям о самых тайных операциях АНБ, в том числе о незаконной программе слежки, реализация которой началась после терактов 11 сентября. «[На этих закрытых встречах] Александер приобрел много личных друзей среди директоров компаний, – добавляет источник. – Я присутствовал на некоторых из них и сказал как-то: “Генерал, вы рассказываете этим парням такие вещи, утечка информации о которых может подвергнуть нашу страну опасности”. А он ответил: “Я знаю. Но это осознанный риск, на который мы вынуждены пойти. И если утечка произойдет, все они предупреждены о последствиях”».
Однако агентству не было нужды запугивать руководителей компаний, чтобы привлечь их внимание. Разоблачения агентства, касающиеся похищенных данных и вражеских взломов пугают сами по себе, и это сделано специально. «Мы пугаем их до чертиков», – сказал госчиновник, выступая на Национальном общественном радио в 2012 г. Некоторые из руководителей выходили с подобных совещаний с теми же чувствами, которые испытали оборонные подрядчики, «поседевшие» после встречи в Пентагоне летом 2007 г. Неуверенные в собственных силах, некоторые директора обратились в частные охранные компании, такие как Mandiant. «Я лично знаю одного генерального директора, жизнь которого сильно изменилась после закрытого совещания в АНБ по вопросам киберугроз, – рассказал Ричард Бейтлич, старший офицер безопасности Mandiant, в интервью Национальному общественному радио. – Генерал Александер усадил его и рассказал, что происходит. Этот руководитель, на мой взгляд, должен был знать о тех угрозах, которые стоят перед его компанией, но он не знал, и теперь эта информация заставила его переосмыслить все, что он думал об этой проблеме».
У АНБ и частных охранных компаний сложились взаимовыгодные отношения. Власти запугивали руководителей, а те бежали за помощью к экспертам, таким как Mandiant. Эти компании, в свою очередь, делились с властями сведениями, которые они получали в результате своих расследований. Например, именно так поступила Mandiant после взлома сетей компании Google в 2010 г. АНБ также использовало закрытые брифинги для того, чтобы побудить компании укреплять свои средства защиты. На одной встрече, прошедшей в 2010 г., представители агентства заявили, что они обнаружили уязвимость в биосе персональных компьютеров – коде, вшитом в память машины и управляющем ее работой. Эта уязвимость давала хакерам возможность превратить компьютер в «кирпич», сделав его абсолютно бесполезным. Руководители компаний – производителей компьютеров, которые присутствовали на этой встрече и были заранее проинформированы об этой уязвимости, распорядились ее устранить.
Закрытые совещания на высшем уровне – это только один из методов, применяемых АНБ для организации альянсов с корпорациями. Некоторые секретные программы позволяют компаниям передавать документацию по своим продуктам агентству, чтобы оно могло провести анализ на наличие уязвимостей, а в некоторых случаях установить бэкдоры или иные средства для доступа. Среди компаний, которые раскрывали АНБ информацию о своих продуктах, были производители компьютеров, серверов и сетевых маршрутизаторов, разработчики популярного программного обеспечения (в том числе и Microsoft), поставщики услуг электронной почты и интернет-провайдеры, телекоммуникационные компании, производители спутников, антивирусные компании и разработчики алгоритмов шифрования.
АНБ оказывало компаниям помощь в поиске слабых мест в их продуктах. При этом агентство платило компаниям, чтобы те не устраняли некоторые из обнаруженных уязвимостей. Наличие слабых мест давало агентству точку входа для ведения шпионажа или проведения атак на иностранные государства, в разведывательных агентствах, военных ведомствах и ключевых объектах инфраструктуры которых устанавливались эти продукты. К примеру, Microsoft, по словам представителей компании и американских властей, передавала АНБ сведения об уязвимостях нулевого дня в своих программных продуктах еще до публикации официальных предупреждений и выхода программных обновлений. По сведениям профессионала в области кибербезопасности, который обучал сотрудников АНБ технологиям цифровой защиты, компания Cisco, один из ведущих мировых производителей сетевого оборудования, оставляла бэкдоры в своих маршрутизаторах, чтобы американские агентства могли отслеживать работу оборудования. Компания McAfee, работающая в сфере обеспечения безопасности в Интернете, перенаправляла в АНБ, ЦРУ и ФБР потоки сетевого трафика, результаты анализа вредоносного ПО и информацию о тенденциях развития хакерской активности.
Чиновники и эксперты, знакомые с ситуацией, говорят, что компании, которые обещают раскрывать сведения о дырах в безопасности своих продуктов только шпионским агентствам, получают деньги за свое молчание. Более того, закон требует наличия подобных дыр, через которые власти могут вести наблюдение. Прежде всего это относится к телекоммуникационным компаниям, которые обязаны так проектировать свое оборудование, чтобы правоохранительные органы при наличии судебного разрешения могли легко организовать прослушку, как раньше на проводных линиях телефонной связи. Однако, когда АНБ собирает информацию за границей, на деятельность агентства эти законы уже не распространяются. Но, с другой стороны, наблюдение, которое ведется агентством с помощью бэкдоров и секретных уязвимостей в аппаратном и программном обеспечении, во многих странах противоречит местным законам.
Конечно, бэкдорами и неустраненными уязвимостями могут воспользоваться и хакеры. В 2010 г. исследователь из компании IBM обнаружил дыру в системе безопасности операционной системы Cisco, благодаря которой хакер мог использовать бэкдор, предназначавшийся исключительно для правоохранительных органов. Хакер мог взломать оборудование Cisco и воспользоваться им для отслеживания всего проходящего трафика, в том числе и содержимого электронных писем. Когда технологические продукты, особенно широко распространенные программные продукты типа производимых компанией Microsoft, остаются уязвимыми для атак, то опасности подвергаются миллионы пользователей и их личная информация, а также электрические станции, объекты коммунальных служб и транспортные системы.
По американскому законодательству руководители компаний обязаны получать уведомления всякий раз, когда власти используют их продукты, сервисы или оборудование для наблюдения и сбора информации. Некоторые из этих соглашений об обмене информацией заключаются самими руководителями и могут быть просмотрены только некоторыми юристами. Выгода от подобного сотрудничества может быть довольно заметной. Джон Чамберс, руководитель Cisco, стал другом Джорджа Буша, когда тот занимал президентское кресло. В апреле 2006 г. Чамберс и президент обедали в Белом доме вместе с Генеральным секретарем Центрального комитета Коммунистической партии Китая Ху Цзиньтао, а на следующий день Буш позволил Чамберсу лететь на «Борту номер один» в Сан-Хосе, где президент и Чамберс приняли участие в круглом столе, проходившем в штаб-квартире Cisco и посвященном конкурентоспособности американского бизнеса. Губернатор Калифорнии Арнольд Шварценеггер также присутствовал на той встрече. Близость к политической власти уже сама по себе награда. Кроме того, привилегированные компании иногда получают ранние оповещения от властей о грозящих им опасностях.
Министерство внутренней безопасности также проводит встречи с компаниями в рамках своих инициатив «межотраслевых рабочих групп». Эти встречи дают шанс руководителям из корпоративного мира, с которыми власти делятся информацией, пообщаться друг с другом и послушать американских чиновников. Участники подобных встреч зачастую обладают допуском к закрытой информации и проходят предварительные проверки и опросы. Министерство открыто публикует расписание и программу некоторых встреч, но не раскрывает названия компаний-участников и сохраняет в секрете многие детали обсуждаемых проблем. В период с января 2010 г. по октябрь 2013 г., судя по сведениям, которые удалось получить из открытых источников, власти провели не менее 168 встреч с компаниями только в рамках межотраслевых рабочих групп. На самом деле проходили еще сотни встреч, распределенных по отраслям экономики: например, в области энергетики, телекоммуникаций и транспорта.
Обычно эти встречи подразумевали проведение «брифинга по киберугрозам» представителями американских властей, как правило, из АНБ, ФБР или Министерства внутренней безопасности; получение последних новостей о конкретных инициативах, таких как повышение безопасности банковских сайтов, совершенствование процедуры обмена информацией между коммунальными предприятиями или учет вредоносного ПО. Кроме того, проходило обсуждение «средств безопасности», разработанных государством и частными компаниями, вроде тех, которые используются для обнаружения взломщиков в сети. Одно из совещаний, прошедшее в апреле 2012 г., было посвящено «сценариям обмена информацией для обеспечения активной защиты» – разработанной АНБ процедуре нейтрализации киберугроз до того, как они приведут к существенному ущербу. В этом случае имелся в виду информационный обмен не между государственными службами, а между корпорациями.
На большей части встреч речь шла о защите промышленных систем управления – подключенных к Интернету устройств, которые контролируют работу оборудования электростанций, ядерных реакторов, банков и других жизненно важных объектов. Именно эти слабые места американского киберпространства больше всего тревожили руководителей разведки. Именно эта тема так оживила Джорджа Буша в 2007 г., и именно к ней Барак Обама обратился в своей публичной речи двумя годами позже. Рассекреченные сведения о программе этих встреч позволяют взглянуть, какие именно проекты реализовали компании и государство для создания внутренней киберобороны.
23 сентября 2013 г. Межотраслевая рабочая группа по базовым операциям для устойчивой безопасности (Cross Sector Enduring Security Framework Operations Working Group) обсуждала изменения, вносимые в законодательную инициативу под названием «Установление связи между ведущими операторами и государственным оперативным центром» (Connect Tier 1 and USG Operation Center). Под Tier 1 обычно подразумевается крупный интернет-провайдер или сетевой оператор. Некоторые из самых известных компаний уровня Tier 1 в Соединенных Штатах – это AT&T, Verizon и CenturyLink. Аббревиатура USG расшифровывается как United States Government – правительство Соединенных Штатов. Скорее всего, инициатива имела отношение к организации канала передачи данных между оборудованием АНБ и этими компаниями и являлась расширением пилотной программы DIB. Расширение программы было санкционировано в феврале 2013 г. президентским указом, направленным на повышение уровня безопасности ключевых объектов инфраструктуры по всей стране. Власти передавали, преимущественно через АНБ, информацию об угрозах двум интернет-провайдерам – AT&T и CenturyLink. Те, в свою очередь, могли продавать «расширенные услуги киберзащиты» компаниям, которые государственные власти признавали жизненно важными для национальной и экономической безопасности. Формально этой программой руководит Министерство внутренней безопасности, однако информационное обеспечение и техническую экспертизу осуществляет АНБ.
Благодаря такому обмену информацией государство создало кибероборонный бизнес. AT&T и CenturyLink фактически выступают частными караульными, продающими защиту избранным корпорациям и промышленным предприятиям. AT&T имеет одну из самых долгих историй сотрудничества с государством в сфере надзора. Компания была среди тех первых фирм, которые после терактов 11 сентября добровольно передавали АНБ записи о звонках своих клиентов, чтобы агентство могло проанализировать их в поисках потенциальных связей с террористами, – эта программа сотрудничества продолжается по сей день. Большинство телефонных звонков в Соединенных Штатах проходят через оборудование AT&T независимо от того, в сети какого оператора был инициализирован вызов. Инфраструктура компании является одним из самых важных и наиболее часто прослушиваемых хранилищ электронной информации для АНБ и американских правоохранительных органов.
Компания CenturyLink, штаб-квартира которой находится в городе Монро, в течение многих лет была мало известна в разведывательном сообществе. Однако в 2011 г. она приобрела телекоммуникационную фирму Qwest Communications, с которой АНБ было очень хорошо знакомо. Еще до террористической атаки 11 сентября представители АНБ выходили на руководителей Qwest и просили их предоставить доступ к высокоскоростным оптоволоконным сетям для наблюдения и выявления потенциальных кибератак. Компания давала категорический отказ на все запросы агентства, поскольку его представители не имели судебного разрешения на получение доступа к оборудованию компании. После террористической атаки АНБ снова обратилось к Qwest с просьбой передать агентству записи телефонных разговоров клиентов компании без судебной санкции, как это сделала AT&T. И снова компания отказала. Только спустя 10 лет, когда компания была продана, сети Qwest стали частью расширенной аппаратной структуры безопасности АНБ.
Потенциальная клиентская база для реализации поставляемой государством киберинформации, продаваемой через корпорации, настолько же широка и разнообразна, насколько разнообразна сама экономика США. Чтобы получить эту информацию, компания должна удовлетворять государственному определению ключевого объекта инфраструктуры: «имущество, системы и сети, физические или виртуальные, настолько жизненно необходимые США, что их выход из строя или уничтожение может подорвать обороноспособность страны, национальную экономическую безопасность или национальную систему здравоохранения». Может показаться, что это определение довольно узкое, однако категории ключевых объектов инфраструктуры многочисленны, разнообразны и охватывают тысячи различных направлений деятельности. Официально выделены 16 секторов: химическая промышленность; коммерческие предприятия, включая торговые центры, спортивные учреждения, казино и парки отдыха; линии связи; ключевые промышленные предприятия; плотины; военно-промышленный комплекс; экстренные службы, такие как службы оперативного реагирования и поисково-спасательные службы; энергетические предприятия; здравоохранение; информационные технологии; ядерные реакторы, материалы и отходы; транспортные системы; системы водоснабжения и канализации.
Невозможно представить, чтобы каждая компания из подобного списка рассматривалась как столь «жизненно необходимая Соединенным Штатам», что прекращение ее работы нанесет урон национальной безопасности и здоровью нации. Кроме того, за годы, прошедшие после терактов 11 сентября, государство раскинуло такую широкую защитную сеть, что практически каждая компания могла быть объявлена ключевым объектом инфраструктуры. Власти не раскрывают сведения о том, какие компании получают информацию о киберугрозах. К тому же на данный момент участие в программе остается добровольным. Тем не менее законодатели и некоторые представители разведслужб, в том числе Кит Александер и другие сотрудники АНБ, вынуждали конгресс урегулировать стандарты кибербезопасности для владельцев и операторов ключевых объектов инфраструктуры. Если бы это произошло, то власти смогли бы потребовать, чтобы все компании, начиная с Pacific Gas & Electric и заканчивая Harrah’s Hotels and Casinos, приняли государственную помощь, делились информацией о своих клиентах с разведслужбами и выстраивали свою киберзащиту согласно государственным стандартам.
В 2013 г. в своем выступлении главный советник Пентагона по кибербезопасности генерал-майор Джон Дэвис объявил, что Министерство внутренней безопасности и Министерство обороны работали вместе над планом расширения оригинальной программы DIB на другие сектора экономики. Дэвис сказал, что они собирались начать с энергетики, транспорта и нефтегазовой отрасли – с «тех, кто является ключевыми для миссии Министерства обороны, национальной экономики и государственной безопасности и которых мы не можем контролировать непосредственно». Генерал назвал «неизбежной угрозой» раскрытие хакерами структуры этих систем и потенциальные атаки на них. Государство само никогда не справится с обеспечением столь всестороннего режима безопасности. Оно не может справиться и сейчас, и именно поэтому полагается на сотрудничество с AT&T и CenturyLink. Гораздо больше компаний обратится к реализации этой миссии, как только государство расширит пределы кибернетического периметра. Потенциальный рынок для услуг в сфере кибернетической безопасности практически безграничен.
Данный текст является ознакомительным фрагментом.