5. Враг среди нас
5. Враг среди нас
Интернет превратился в поле битвы. Но враг прятался прямо на виду. В киберпространстве повсюду, куда ни глянь, Кит Александер видел угрозы. Для банков. Для энергетических сетей. Для сетей военных и разведывательных организаций. Каким образом киберсолдаты АНБ смогут обнаружить все эти угрозы?
Через год после начала службы в АНБ, Александер предупредил свою команду о приближающейся «сетевой войне». Агентство было вынуждено постепенно отойти от своей контртеррористической миссии, которая была развернута в полную силу после атак 11 сентября, в сторону розыска хакеров и борьбы с ними независимо от того, работают ли они на террористические организации, криминальные структуры или иностранные государства. Александер отправил указания сотрудникам АНБ, приписанным к секретной программе «Турбуленция» (Turbulence). Это была одна из первых попыток ведения наблюдения с помощью системы датчиков за хакерами и их вредоносными программами во всемирном масштабе, а в некоторых случаях и организации кибератак для нейтрализации угрозы. Александер сообщил членам команды, задействованным в программе, что «в агентстве нет ничего важнее» их работы.
Для завершения своей миссии АНБ должно было перейти к более агрессивной политике по внедрению прослушивающих и наблюдающих устройств в компьютерные системы во всем мире. Американские хакеры, которые дали клятву защищать государство от киберугроз, должны были начать думать так же, как их противники: они должны были стать хитрыми и коварными. Им пришлось принять на вооружение многие из тех тактических приемов, от которых они сами же и пытались защититься. Киберсолдаты собирались «войти в серую зону», и ради того, чтобы сделать Интернет безопасным, им придется подорвать самые его основы.
В процессе того, как киберсолдаты АНБ осматривали горизонт в поисках угроз, они осознавали, что определенные ключевые свойства киберпространства станут препятствием для осуществления их миссии. Поэтому они решили избавиться от этих помех. В первую очередь они обратили свой взор на популярную систему маршрутизации под названием Tor, которая позволяла людям со всего света подключаться к Интернету анонимно. В самой технологии Tor нет ничего криминального, и поддерживается она вовсе не врагами Соединенных Штатов. Она была разработана в Исследовательской лаборатории ВМС США в 2002 г. и сегодня используется демократическими активистами и диссидентами, которые таким образом избегают слежки со стороны деспотичных властей. Но вместе с тем этой технологии отдают предпочтение злонамеренные хакеры, шпионы и мошенники, скрывающие свое местоположение при осуществлении противоправных действий. Кроме того, Tor прокладывает путь в самые темные уголки Интернета, где люди анонимно покупают и продают противозаконные товары и услуги, в том числе наркотики, оружие, компьютерные вирусы, хакерские услуги и даже услуги наемных убийц.
Анонимность – это проклятие для кибервоенных операций АНБ. Хакеры не могут добраться до цели, если не знают, где она находится. Поэтому неудивительно, что в 2006 г. АНБ начало предпринимать попытки подорвать анонимные возможности технологии Tor. И в течение нескольких лет продолжало эти попытки.
Пользователи Tor, в основе которого лежит так называемая луковая маршрутизация, загружают свободно распространяемое ПО на свои компьютеры. Скажем, пользователь хочет анонимно подключиться к сайту. Программа автоматически направляет его через сеть, состоящую из тысяч узлов ретрансляции, работа которых поддерживается по большей части добровольцами. Трафик в пределах Tor шифруется, когда проходит через различные сетевые слои, – отсюда и появилась «луковая» метафора. Как только пользователь соединяется с сайтом, его данные шифруются столько раз, а его трафик передается через такое количество промежуточных точек, что определить местоположение пользователя становится практически невозможно. Tor может использовать любой – наркоторговцы, распространители детской порнографии, хакеры, террористы и шпионы, любой, кто нашел в этой технологии жизнеспособное средство для достижения анонимности в сети и надежный способ ускользнуть от преследования правоохранительных органов и разведывательных служб.
В феврале 2012 г. АНБ на шесть дней объединило усилия со своими британскими коллегами из Центра правительственной связи, чтобы установить 11 «ретрансляторов» в сети Tor. Ретранслятор, он же маршрутизатор или узел, распределяет трафик внутри системы. Установленные государством ретрансляторы получили название Freedomnet.
Оказалось, что установка шпионского ретранслятора в сети Tor является лучшей альтернативой прямым атакам на узлы этой сети с целью их отключения, хотя, согласно сверхсекретным документам, хакеры из АНБ рассматривали и такой вариант. В итоге они решили отказаться от непосредственных атак, поскольку не могли всякий раз наверняка определить, находится ли узел в Соединенных Штатах или он расположен за пределами страны, при этом использование спецоборудования для проведения атак внутри США сопряжено с массой правовых проблем. Устранение узлов также представлялось авантюрным предприятием, поскольку в сети Tor тысячи ретрансляторов, и их могут устанавливать в самых разных местах. Таким образом, АНБ попыталось идентифицировать пользователей внутри сети с помощью собственных узлов ретрансляции, перенаправляя на них трафик. Кроме того, хакеры из АНБ отправляли потенциальным пользователям Tor фишинговые сообщения электронной почты – сообщения, которые составлены так, как будто они отправлены из надежного источника (например, от друга или от человека, контакты которого есть в адресной книге пользователя), но на самом деле в таком электронном письме содержался вирус или ссылка, перейдя по которой жертва попадет на сайт, зараженный шпионским ПО.
Также, согласно краткому документу, озаглавленному Tor Stinks, хакеры рассматривали возможность «нарушения работы» сети Tor. Может быть, посредством ее замедления или с помощью «установки множества действительно медленных узлов Tor (заявленных как высокоскоростные) для снижения общей стабильности работы сети». Они обдумывали, как усложнить или «затруднить» процедуру подключения к Tor. АНБ примеряло на себя роль злого гремлина, из вредности ломающего технику.
Агентство также пыталось атаковать пользователей Tor из внешней сети, заражая или «помечая» их компьютеры своего рода электронным маркером в те моменты, когда они входили и выходили из сети Tor. Хакеры АНБ искали разные пути взлома компьютеров, которые могли использовать эту сеть, но могли и не использовать. Однажды им удалось обнаружить особенно слабое место в одной из версий интернет-браузера Firefox, и благодаря этому стало легче помечать компьютеры, использующие этот браузер. Никто не брал в голову, что та же уязвимость, если ее не устранить, могла принести вред людям, которые не слышали никогда о сети Tor и не испытывали никакого желания скрыть следы своей онлайн-активности.
Кампания АНБ против сети Tor проходила в 2013 г., как следует из сверхсекретных документов, опубликованных Эдвардом Сноуденом. Эти документы также говорят о том, что затея по большей части провалилась. АНБ удалось идентифицировать и определить местоположение всего нескольких десятков человек, использующих Tor. Это показывает, насколько хорошо работает Tor. Вместе с тем атаки АНБ были показателем того, насколько далеко готово зайти агентство, чтобы получить преимущество перед своими противниками, не считаясь с затратами. С учетом того, что АНБ не всегда может знать местоположение компьютера, использующего Tor, оно почти наверняка заразило компьютеры американских пользователей. По оценкам, около 400 000 пользователей подключается к сети Tor непосредственно из Соединенных Штатов.
Методы АНБ также шли вразрез с американской внешней политикой. За последние несколько лет Госдепартамент выделил миллионы долларов на поддержку Tor и поощрял использование этой сети иностранными активистами и диссидентами, в том числе повстанцами в Сирии, которые участвуют в изнурительной гражданской войне за свержение диктатора Башара аль-Асада. В АНБ знали, что Госдеп продвигает Tor, и тем не менее агентство атаковало эту сеть. В США теперь конкурируют две прямо противоположных политики: поддержка сети Tor и в то же время попытки ее демонтажа.
Бывший директор АНБ Майкл Хайден описал эту дилемму, используя особенно резкие выражения, свойственные АНБ. «Госсекретарь отмывает деньги через общественные организации для распространения программного обеспечения в арабском мире и защиты людей на улицах арабских стран от слежки со стороны их властей, – сказал он в 2012 г. в «мозговом» центре в Вашингтоне еще до того, как операции АНБ против Tor были раскрыты. – Поэтому, с одной стороны, мы боремся с анонимностью, а с другой – мы выбрасываем туда программные продукты для защиты анонимности в сети».
В результате действий АНБ усилия США по продвижению демократии и свободного доступа в Интернет теперь сдерживаются. «Правительство Соединенных Штатов крайне щедро на многочисленные программы… и сотрудники не должны придерживаться тех взглядов на мир, которые исповедует АНБ, – говорит Дан Мередит, директор фонда Open Technology – частной некоммерческой организации, которая получает через радиостанцию «Свободная Азия» ежегодное финансирование из США на проекты, направленные на борьбу с цензурой в Интернете, в том числе на работу с сетью Tor. – Вам следует попытаться объяснить это активистам в Судане, хотя не факт, что они поймут вас. Иногда я трачу пятнадцать минут на общение с людьми, пытаясь убедить их, что я не [шпион]».
Не только АНБ работает над разрушением ключевых основ безопасности и неприкосновенности частной жизни в Интернете. В рамках секретной программы SIGINT Enabling Project агентство заключает сделки с технологическими компаниями по внедрению бэкдоров в их коммерческие продукты. В 2013 г. конгресс США выделил $250 млн на реализацию этого проекта. АНБ, работая в тесном сотрудничестве с ФБР, получило инсайдерскую информацию об одной особенности программы Microsoft Outlook для работы с электронной почтой, которая могла создать затруднения для слежки, если бы осталась без внимания. Агентство также получило доступ к переписке и разговорам в Skype и к облачному хранилищу Microsoft SkyDrive[9], таким образом аналитики АНБ могли читать сообщения пользователей еще до выполнения шифрования.
Из секретных документов также следует, что АНБ предлагает производителям криптографических продуктов разрешить экспертам агентства проанализировать продукцию компаний под мнимым предлогом повышения устойчивости алгоритмов шифрования. Однако на самом деле эксперты АНБ внедряют в эти продукты уязвимости, чтобы потом использовать их в шпионских или кибервоенных операциях. В одном из документов утверждается, что эта работа позволяет агентству «удаленно доставлять или получать информацию в/из целевой конечной точки». Другими словами, похищать информацию с удаленного компьютера или устанавливать на нем вредоносное ПО.
Такие опорные точки в технологических продуктах, продаваемых и используемых по всему миру, позволяют агентам АНБ вести шпионаж без риска быть обнаруженными, а если понадобится, то и вывести из строя сам технологический продукт. Работа компьютерного червя Stuxnet, который уничтожил центрифуги на иранском ядерном производстве, была построена на неизвестной ранее уязвимости в системе управления, используемой компанией Siemens. Эксперты по компьютерной безопасности задавались вопросом: может быть, производитель знал об этой уязвимости и согласился оставить ее неисправленной? В любом случае АНБ, несомненно, обладало какой-то детальной информацией о слабых местах и использовало ее при создании червя Stuxnet.
Военные тоже обучали своих киберсолдат, которые работали под руководством Кибернетического командования США, взламывать некоторые из широко распространенных видов телекоммуникационного оборудования. Армия отправляла солдат на курсы, где студенты обучались устройству и эксплуатации сетевого оборудования Cisco. Не для того, чтобы они могли обслуживать оборудование, а для того, чтобы уметь его взламывать и защищать от взлома.
В рамках программы SIGINT Enabling Project АНБ платило телефонным и интернет-компаниям, чтобы они при строительстве своих сетей оставляли лазейки для агентства или, если использовать менее понятный язык секретного документа, «обеспечивали непрерывное сотрудничество с основными поставщиками телекоммуникационных услуг для формирования глобальной сети с целью приобретения набора доступов».
Вся эта секретная работа подчеркивает степень зависимости АНБ от корпораций, которые производят программное и аппаратное обеспечение, а также владеют сегментами глобальной сети и обслуживают их. Без кооперации с такими компаниями агентство, в общем-то, не смогло бы вести шпионскую и кибервоенную деятельность. Однако попытки агентства занять доминирующее положение на «пятом театре» военных действий не ограничивались только заключением сделок с частными корпорациями.
За последние десять лет АНБ совместно с британскими коллегами из Центра правительственной связи прилагало все усилия, чтобы нейтрализовать повсеместное использование технологий шифрования путем внедрения скрытых уязвимостей в широко используемые стандарты шифрования. Шифрование – простыми словами, это процедура превращения онлайн-данных (например, содержимого электронного письма) в бессмысленный набор символов, который можно расшифровать только с помощью ключа, находящегося у адресата. АНБ однажды вступило в открытую борьбу за получение доступа к ключам шифрования, чтобы иметь возможность расшифровывать сообщения по своему желанию, но проиграло битву. Тогда агентство переключило свое внимание на ослабление алгоритмов шифрования, которые используются прежде всего для шифрования онлайн-коммуникаций.
АНБ – кузница лучших в мире криптографов, которые регулярно консультируют общественные организации, в том числе и правительственные агентства, по вопросам повышения устойчивости алгоритмов шифрования. В 2006 г., через год после прихода Александера на должность директора АНБ, агентство помогало разрабатывать стандарт шифрования, который был в итоге официально принят Национальным институтом стандартов и технологий (NIST) – американским правительственным агентством, которое имеет последнее слово в вопросах мер и весов, используемых для тарировки всякого рода инструментов, промышленного оборудования и научных приборов. Одобрение стандарта шифрования институтом – это своего рода знак качества. Этот знак убеждает компании, лоббистские группы, частных лиц и правительственные агентства по всему миру в том, что можно использовать одобренный стандарт. NIST работает открыто и прозрачно, что позволяет экспертам анализировать стандарт и давать свои комментарии. Это одна из причин, по которой одобрение института имеет такой вес. Доверие к NIST настолько велико, что любой алгоритм шифрования, который используется в коммерческих продуктах, продаваемых в США, должен получить одобрение института.
Однако за кулисами этого, в остальном открытого, процесса АНБ курировало разработку генератора случайных чисел – ключевого компонента любого алгоритма шифрования. Как отражено в секретных документах, АНБ заявляло, что всего лишь хотело слегка «усовершенствовать» некоторые детали алгоритма, но на самом деле агентство стало его «эксклюзивным редактором» и засекретило весь процесс создания. Скомпрометировав генератор случайных чисел, причем таким способом, о котором знает только АНБ, агентство подорвало доверие к надежности всего стандарта шифрования. АНБ получило лазейку, которую оно могло использовать для расшифровки информации или получения доступа к компьютерным системам.
Участие АНБ в создании алгоритма не было секретом. Действительно, участие агентства придавало процессу некоторый престиж. Но менее чем через год после официального утверждения стандарта исследователи в области безопасности обнаружили очевидные слабые места в алгоритме и публично предположили, что эти недостатки были введены в алгоритм шпионским агентством. Известный эксперт в области компьютерной безопасности Брюс Шнайер обратил пристальное внимание на один из четырех методов генерации случайных чисел, одобренных NIST. И этот метод, писал он в 2007 г., «не похож на остальные».
Во-первых, Шнайер отметил, что этот алгоритм работал в три раза медленнее остальных. Кроме того, его «отстаивало АНБ, которые впервые предложило этот метод годом ранее в рамках связанного проекта по стандартизации в Американском национальном институте стандартов».
Шнейер был встревожен тем, что NIST будет продвигать посредственный алгоритм, который был принят с энтузиазмом тем агентством, чья основная задача заключается во взломе шифров. Однако никаких доказательств злого умысла АНБ не было. Несовершенство генератора случайных чисел не делало его бесполезным. Шнейер отметил, что существовал способ обхода недостатка алгоритма, хотя вряд ли кто-нибудь озаботился бы его реализацией. Тем не менее этот изъян держал криптографов в напряжении. АНБ, несомненно, знало об их беспокойстве, а также о возрастающем количестве признаков, указывающих на тайное вмешательство агентства. В агентстве рассчитывали на решение международной организации по стандартизации, которая представляет 163 страны, об официальном одобрении нового алгоритма. АНБ хотело распространить алгоритм по всему миру, чтобы отказаться от его использования компаниям было бы уже затруднительно.
Шнейер был озадачен, зачем АНБ нужно было использовать в качестве бэкдора такую очевидную, а теперь еще и всем известную уязвимость (годом ранее на слабость алгоритма впервые указали сотрудники компании Microsoft). Частично это могло быть связано со сделкой, которую, как сообщают, АНБ заключило с RSA, одной из ведущих мировых компаний в области компьютерной безопасности, пионером индустрии. Согласно опубликованному в 2013 г. отчету агентства Reuters, компания приняла на вооружение созданный АНБ алгоритм «даже до его одобрения в NIST. Позже АНБ ссылалось на раннее внедрение алгоритма в правительственных организациях, аргументируя положительное одобрение его в NIST». Алгоритм стал «использоваться по умолчанию для генерации случайных чисел» в программном продукте bSafe компании RSA, предназначенном для обеспечения безопасности, говорилось в докладе Reuters. «Бывшие сотрудники говорили, что это никого не встревожило, поскольку о сделке договаривались управленцы, а не технари». Согласно докладу Reuters, за согласие и готовность компании RSA внедрить слабый алгоритм в свой продукт ей заплатили $10 млн.
И не важно, что АНБ создало для себя очевидную лазейку. Алгоритм был внедрен в продукты, которые продавались одной из ведущих мировых компаний в области безопасности. Кроме того, он был одобрен не только NIST, но и международной организацией по стандартизации. Кампания АНБ по ослаблению глобальной безопасности ради собственных целей была проведена превосходно.
Когда в 2013 г. появились новости о «достижениях» АНБ благодаря документам, опубликованным Эдвардом Сноуденом, и RSA, и NIST хоть и дистанцировались от шпионского агентства, но не опровергли внедрение бэкдора.
В заявлении, сделанном после публикации доклада Reuters, компания RSA отрицала, что она пошла на тайную сделку с АНБ, и утверждала, что «мы никогда не вступали ни в какие договорные отношения и совместные проекты с намерением ослабления защиты продуктов RSA или внедрения потенциальных бэкдоров в наши продукты для их последующего использования кем бы то ни было». Но она не отрицала, что бэкдор существовал или мог существовать. Действительно, RSA утверждала, что несколькими годами ранее, когда было принято решение об использовании этого уязвимого генератора случайных чисел, «АНБ пользовалось доверием общества и прилагало усилия по повышению безопасности шифрования, а не его ослаблению». Но теперь это уже было не так. Когда опубликованные Сноуденом документы подтвердили подозрения о результатах работы АНБ, компания RSA призвала отказаться от использования этого генератора случайных чисел, так же поступил и NIST.
После сделанных Сноуденом разоблачений Комитет по стандартизации обнародовал собственное заявление. Представителям комитета пришлось очень тщательно подбирать слова. «NIST не будет преднамеренно ослаблять криптографические стандарты, – говорилось в публичном заявлении организации, которое совершенно явно оставляло допустимой вероятность того, что АНБ тайно внедрило уязвимость или сделало это против воли NIST. – NIST имеет богатую историю всестороннего сотрудничества с экспертами по криптографии мирового уровня ради поддержки надежных стандартов шифрования. [АНБ] участвовало в криптографических разработках института, поскольку в агентстве работают признанные эксперты в этой области. Кроме того, устав института требует проведения консультаций с АНБ».
Фактически Комитет по стандартизации говорил миру, что у него не было никаких возможностей воспрепятствовать АНБ. Даже если бы в комитете хотели отстранить АНБ от разработки стандартов, этого нельзя было сделать по закону. Высокопоставленный представитель АНБ, по всей видимости, поддержал этот аргумент. В декабре 2013 г. Анна Ньюбергер, которая отвечала в АНБ за взаимодействие с технологическими компаниями, дала интервью национальному блогу по вопросам безопасности Lawfare. Анну спросили о сообщениях, согласно которым агентство тайно ухудшило алгоритм в процессе его разработки. Она не подтвердила, но и не опровергла эти обвинения. Ньюбергер назвала NIST «крайне уважаемым и близким партером по многим вопросам». Однако она отметила, что «институт не входит в число членов разведывательного сообщества».
«Вся их деятельность абсолютно чиста, – продолжала Ньюбергер, подразумевая, что в работе института не было никакого злого умысла, а ее целью была исключительно защита шифрования и содействие обеспечению безопасности. – Они отвечают только за стандартизацию и усовершенствование и укрепление стандартов настолько, насколько это возможно».
Похоже, что Ньюбергер собиралась «выдать NIST индульгенцию», избавляющую институт от всякой ответственности за внедрение уязвимости.
Случай, связанный с проведенной в 2006 г. работой по снижению безопасности генератора случайных чисел, не был единичным. Это было частью масштабной, длительной кампании по ослаблению безопасности основных стандартов защиты информации, которыми частные лица и организации пользуются во всем мире. Судя по документам, АНБ и NIST сотрудничали еще в начале 1990-х гг. Задачей АНБ было ослабление стандартов шифрования еще до их официального утверждения и внедрения. АНБ контролировало процесс разработки стандарта DSS (цифровой подписи) – метода установления подлинности отправителя электронного сообщения и проверки достоверности содержащейся в сообщении информации. «NIST открыто предложил [стандарт] в августе 1991 г. и сначала не упоминал о каком-либо участии АНБ в его разработке. Этот стандарт предназначался для использования в несекретных гражданских системах», – рассказывают в Информационном центре защиты электронных персональных данных, который получил документы о разработке стандарта DSS с помощью Закона о свободе информации. После того как группа экспертов в области компьютерной безопасности подала судебный иск, NIST признал, что АНБ разработало стандарт, который «был подвергнут широкой критике представителями компьютерной индустрии за его низкую надежность и неполноценность по сравнению с существующими технологиями проверки подлинности». «Многие наблюдатели допускали, что [существующая] методика не получила одобрения АНБ, поскольку фактически она была более безопасной, чем алгоритм, предложенный агентством».
C точки зрения АНБ его усилия, направленные на дискредитацию шифрования, совершенно естественны. В конце концов, взлом шифров – основной вид деятельность агентства. Именно этой работой оно уполномочено заниматься, и именно этой работы от него ожидают. Если агентство внедрило лазейки в алгоритмы шифрования, о которых знало только оно, то какой от этого вред?
Однако изъяны алгоритмов не были секретом. К 2007 г. об уязвимости генератора случайных чисел писали популярные сайты и ведущие эксперты по безопасности. Использовать эту уязвимость, то есть подобрать ключ, который открывал бы «черный ход», оставленный АНБ, было довольно сложно, но возможно. Иностранные власти могли найти способ взломать алгоритм шифрования, и тогда им открывалась возможность шпионить за своими гражданами или за американскими компаниями и агентствами, которые использовали этот алгоритм. Криминальные структуры могли использовать недостатки алгоритма для похищения персональных и финансовых данных. Алгоритм был уязвим везде, где он применялся, в том числе в продуктах одной из ведущих на мировом рынке компаний в сфере безопасности.
В АНБ могли успокаивать себя, рассуждая о том, что криптографические службы других стран, несомненно, пытались нейтрализовать использование шифрования, в том числе и тех алгоритмов, которыми манипулировало АНБ. И конечно, они этим занимались. Однако это не ответ на вопрос, зачем сознательно дискредитировать не просто один алгоритм, а весь процесс создания стандартов шифрования? Тайные действия АНБ подорвали доверие к NIST и разрушили давнюю репутацию агентства как надежного и ценного партнера, внесшего свой вклад в создание некоторых основополагающих технологий в Интернете – тех самых устройств, благодаря которым люди могли не опасаться за безопасность своих личных данных, а значит, и за неприкосновенность своей личной жизни. Представьте, если бы АНБ занималось производством дверных замков и навязчиво предлагало бы каждой строительной компании в Америке отдавать предпочтение их моделям, в которых есть тайный изъян. Никто не стал бы этого терпеть. В крайнем случае сами потребители завалили бы компанию судебными исками и требовали бы отставки руководителей организации.
Однако реакция общества на работу АНБ, направленную против шифрования информации, была относительно слабой. Отчасти это связано с тем, что многие эксперты, среди которых были и криптографы, уже давно подозревали агентство в подобного рода теневой деятельности. Новое разоблачение было содержательным и полезным, но не вызвало удивления. Кроме того, у американских законодателей и чиновников было сильное ощущение, что именно этим АНБ и должно заниматься. Оно взламывает шифры, чтобы похищать информацию. NIST утверждает новые стандарты посредством открытой и прозрачной процедуры. А это проклятие для скрытного характера АНБ. С точки зрения агентства Комитет по стандартизации создает угрозу распространения устойчивых ко взлому алгоритмов и криптографических технологий, которые позволяют надежно защитить информацию, то есть ведет деятельность, прямо противоположную задачам АНБ. Многие годы законотворцы, которые утверждали бюджет АНБ, и чиновники Администрации, которые курировали его работу, были на стороне агентства. Рассеять возникающие опасения им помогал тот факт, что, пока проделки АНБ оставались в секрете, ущерб безопасности Интернета и репутации Соединенных Штатов был минимальным. Разоблачения, опубликованные в 2013 г., положили конец подобным предположениям.
Из всех темных дел АНБ, наверное, ни одно другое не подвергало безопасность Интернета и людей, его использующих, большему риску, чем секретный поиск методов создания кибероружия.
В течение последних 20 лет аналитики АНБ подробно изучали мировое программное, аппаратное обеспечение и сетевое оборудование, пытаясь найти ошибки и уязвимости, с помощью которых можно создать программы для атаки на компьютерные системы. Такие программы получили название эксплоитов[10] нулевого дня, поскольку в них используются ранее неизвестные уязвимости, защиты от которых еще не существует.
Уязвимость нулевого дня – самое эффективное кибероружие. Применение этого оружия создает эффект неожиданности, дающий огромное преимущество в битве. Эксплоит нулевого дня создается специально под конкретную уязвимость. А поскольку недостаток системы, делающий ее беззащитной, скорее всего будет устранен, как только объект поймет, что был атакован, использовать такой эксплоит можно лишь один раз.
Атаки нулевого дня особенно сложны для реализации, поскольку неизвестные уязвимости трудно найти. Однако АНБ много лет занималось накоплением информации о таких уязвимостях. В 1997 г., согласно недавно рассекреченному информационному бюллетеню АНБ, по крайней мере 18 подразделений агентства тайно собирали данные об уязвимостях технологий, используемых частными лицами, компаниями и государственными учреждениями по всему миру. В настоящее время и эксперты в области безопасности, и государственные чиновники признают, что АНБ – единственный крупнейший владелец эксплоитов нулевого дня, многие из которых агентство покупает на теневом рынке в Сети у независимых хакеров и корпоративных посредников.
Этот теневой рынок, строго говоря, не является незаконным, но он функционирует на «задворках» Интернета. Принцип его работы следующий: специалисты по вопросам безопасности – еще одно название для хакеров – находят уязвимости. (Многие из этих специалистов базируются в Европе, где местные и национальные законы, противодействующие взлому компьютерных систем, гораздо мягче, чем в Соединенных Штатах.) Затем специалисты разрабатывают эксплоиты, или способы атаки с использованием найденной уязвимости, о которой на тот момент знают только те, кто ее обнаружил. Далее они продают эксплоиты посредникам, в качестве которых, как правило, выступают крупные оборонные подрядчики. Два крупнейших игрока на этом рынке – компании Raytheon и Harris Corporation. Они также разрабатывают традиционные виды систем вооружения для военных ведомств, при этом являются самыми крупными и авторитетными подрядчиками Пентагона. Они имеют давние и прочные связи с военными и АНБ. Кроме того, сбором и продажей уязвимостей нулевого дня занимаются небольшие специализированные фирмы. Некоторыми из них руководят бывшие армейские офицеры или сотрудники разведслужб.
Когда у посредников появляется информация о новых уязвимостях нулевого дня, они продают ее своему клиенту – АНБ. Однако цепочка поставок начинается с хакера. Чтобы стать хорошим охотником на уязвимости нулевого дня, хакер должен уметь смотреть на вещи глазами программиста и находить недостатки в его коде. Процесс можно в некоторой степени автоматизировать. К примеру, метод «фаззинг» заключается в том, что в компьютерную программу вводятся неожиданные или случайные данные с целью вызвать критическую ошибку. Потом хакер анализирует те недостатки, которые вызвали «падение» программы.
Однако, чтобы отыскать глубоко скрытые изъяны, хакер должен придумывать новые, более искусные методики, которые заставят компьютер показать слабые места программы. Например, в 2005 г. аспирант Калифорнийского университета в Лос-Анджелесе обнаружил, что, если измерять «небольшие, микроскопические колебания» во внутреннем генераторе тактовых частот компьютера, можно однозначно идентифицировать компьютер в сети, состоящей из тысяч машин. Позже в своей научной статье он написал, что с помощью этой методики «злоумышленники, находясь за тысячи километров» от атакуемого компьютера, могут обойти программные средства сокрытия физического местоположения компьютера, в том числе и средства Tor – сети маршрутизаторов-анонимайзеров, которую АНБ с таким усердием пыталось разрушить. Через год после публикации статьи исследователь из Кембриджского университета обнаружил, что фактически существует возможность идентифицировать в сети сервер, на котором запущено программное обеспечение для сохранения анонимности в сети Tor и таким образом лишить эту сеть самого важного преимущества. Ему удалось это сделать, отправляя на анонимный сервер сети Tor множественные запросы, которые повышали нагрузку на сервер и буквально заставляли его разогреваться. С повышением температуры изменяется интенсивность движения электронов в микросхемах, что, в свою очередь, влияет на точность тактового генератора. Таким образом, расположение анонимного сервера было по-прежнему неизвестно, но удалось получить уникальный «фазовый сдвиг импульсов тактового генератора» и опросить компьютеры в глобальном Интернете, чтобы найти нужный сервер. Исследователь это и сделал. Фазовый сдвиг позволил ему определить местоположение сервера сети Tor, который считался скрытым. Согласно секретному документу АНБ под названием Tor Stinks, в котором описаны попытки АНБ уничтожить эту сеть, агентство изучило обе методики, связанные с определением фазового сдвига, для поиска маршрутизаторов сети.
Изобретательность и искусность при розыске таких скрытых, едва различимых особенностей отличает великих хакеров от просто хороших. Именно это умение позволяет находить уязвимости нулевого дня. Хакеры просят за них высокую цену. Если эксплоиты поставляются в форме «оружия», то есть готовыми к применению против какой-либо системы, их цена начинается от $50 000 и может достигать $100 000, как говорят эксперты. Некоторые эксплоиты могут стоить еще дороже, в случае если они предназначены для атаки на более ценные или труднодоступные объекты. Текущая стоимость эксплоита для атаки на операционную систему Apple iOS, которая установлена в смартфонах iPhone и других мобильных устройствах той же компании, составляет полмиллиона долларов, по словам одного из экспертов. А более сложные эксплоиты, которые используют недостатки во внутренней механике элементов оборудования, могут стоить миллионы долларов. Столь высокая цена таких эксплоитов обусловлена тем, что объектом их атаки является аппаратная часть оборудования, недостатки которого не могут быть устранены так же, как ошибки в программном обеспечении, с помощью нескольких новых строк кода. Структурами, у которых есть стимулы и средства для покупки такого оружия, являются исключительно организованные преступные группы и государственные организации.
Серьезные покупатели информации об уязвимостях нулевого дня, такие как АНБ, добывают ее разными способами. Они создают резервы на будущее. По словам бывшего высокопоставленного государственного чиновника, получившего информацию на секретном совещании с руководителями АНБ, агентство хранит данные более чем о двух тысячах уязвимостей нулевого дня для потенциального применения против одних только китайских электронных систем. Это потрясающе огромное количество эксплоитов. Компьютерный червь Stuxnet, который был создан совместными усилиями США и Израиля для нарушения работы объектов иранской атомной программы, содержал четыре эксплоита нулевого дня, что само по себе немало для одной атаки. Коллекция из 2000 эксплоитов нулевого дня – это кибернетический аналог ядерного арсенала.
Этот арсенал к тому же подвергает риску пользователей во всем мире. Раз АНБ запасает данные об уязвимостях, вместо того чтобы сообщать производителям высокотехнологичной продукции, что в их аппаратном и программном обеспечении имеются изъяны, значит агентство, вероятно, скрывает ценную информацию, которая могла бы быть использована для защиты от злонамеренных хакеров. АНБ, конечно же, использует накопленные знания об эксплоитах нулевого дня для затыкания дыр в технических средствах, которые оно применяет или может применить в рамках военной или разведывательной деятельности. Но оно не предупреждает остальной мир, ведь тогда эксплоиты нулевого дня будут менее эффективны или вообще бесполезны. Если АНБ предупредит технологические компании об уязвимостях в их продуктах, то потенциальные цели агентства в Китае или Иране смогут подготовиться к отражению атак.
Однако на теневом рынке уязвимостей нулевого дня никто не дает гарантий, что АНБ приобретает исключительные права на информацию об этих уязвимостях. Один сомнительный поставщик, французская компания Vupen, продает информацию об одних и тех же уязвимостях нулевого дня и одни и те же эксплоиты многим клиентам, в том числе и государственным ведомствам разных стран. АНБ тоже является клиентом компании Vupen – из общедоступных документов видно, что агентство приобретает информацию об уязвимостях нулевого дня по подписке, которая предполагает получение информации об определенном количестве уязвимостей в течение срока действия договора. (Вооруженное этой информацией, АНБ может создать собственные эксплоиты.) Vupen также ведет каталог сложных, готовых к реализации атак нулевого дня, которые стоят гораздо дороже информации, распространяемой по подписке.
АНБ знает, что Vupen не всегда заключает эксклюзивные договоры, поэтому агентству приходится покупать все больше и больше информации об уязвимостях нулевого дня, рассчитывая на то, что по крайней мере какая-то часть из них окажется бесполезной в случае, если другое государство или компания, или криминальная группа воспользуются ими. Критики обвиняют компанию Vupen в поддержке «гонки кибервооружений» – стравливании государственных разведслужб и вооруженных сил друг с другом. Клиенты Vupen знают, что, если они упустят возможность купить информацию об очередной уязвимости, компания обязательно найдет клиента где-нибудь еще. Уязвимости, информацией о которых владеет Vupen, не являются уникальными для какой-то одной страны. Многие из них обнаружены в широко продаваемых высокотехнологичных продуктах, используемых по всему миру. Таким образом, у государств имеется стимул приобретать как можно больше информации об уязвимостях нулевого дня как для самозащиты, так и для проведения атак на своих противников.
В компании Vupen говорят, что они всего лишь продают информацию «заслуживающим доверия организациям». К таким организациям компания относит «разработчиков в сфере безопасности, поставляющих оборонные решения», государственные организации в «одобренных странах» и «всемирные корпорации», среди которых компании из первой тысячи рейтинга журнала Fortune. Это длинный список потенциальных клиентов, и в Vupen согласны, что не имеют возможности убедиться в надежности каждого из них. Компания не может гарантировать, что клиенты, купившие подписку или кибероружие из ее каталога, не передадут эти сведения людям, которым компания никогда не продает информацию непосредственно. Руководители дают туманные заверения, что существует внутренняя процедура проверки, не попадут ли в руки независимым хакерам и посредникам опасные продукты и знания, проданные компанией государственным ведомствам. Особое беспокойство вызывали страны Северной Африки и Ближнего Востока с репрессивным режимом правления, где власти, пытаясь сломить сопротивление демократических активистов, привлекают хакеров для внедрения зловредного ПО, чтобы вести слежку за протестующими. Вредоносные же программы приобретаются у таких компаний, как Vupen, представители которых заявляют, что никогда не продают свои продукты для таких неблаговидных целей. Тем не менее подобные продукты можно обнаружить на компьютерах и мобильных телефонах активистов, некоторые из которых подвергались преследованию и жестокому обращению со стороны властей и экстремистских группировок.
На всяком рынке, будь он серый или любой другой, крупнейшие покупатели имеют привилегии устанавливать свои условия и правила. АНБ как общепризнанный единственный крупнейший покупатель уязвимостей и эксплоитов нулевого дня может перевернуть рынок с ног на голову, если начнет приобретать информацию с ясной целью раскрыть ее обществу. Агентство располагает миллиардами долларов для расходов на кибербезопасность. Почему бы не потратить часть этих денег на то, чтобы предупредить мир о существовании устранимых уязвимостей? Какую ответственность понесет агентство, если предупредит собственников и операторов небезопасной технологии о существовании потенциальной угрозы атак на них? Эту этическую дилемму агентство не обязано решать. Однако, если когда-нибудь случится кибератака на США, которая приведет к значительному физическому ущербу или вызовет массовую панику, а может, и смерти, агентство будет призвано к ответу за то, что не сумело предотвратить катастрофу. Вполне вероятно, что когда-нибудь в будущем директору АНБ придется сесть на место свидетеля и перед телевизионными камерами объяснить членам конгресса и гражданам США, как так вышло, что он знал об уязвимости, которой воспользовались враги Америки, но только из-за желания АНБ однажды воспользоваться этой информацией решил сохранить ее в тайне.
К наиболее уязвимым для разрушительных кибератак нулевого дня относятся те же самые объекты, которые АНБ так старается защитить: электростанции, предприятия атомной промышленности, газовые трубопроводы и другие жизненно важные объекты инфраструктуры, банки и компании финансового сектора. Не во всех этих компаниях есть система для легкого обмена информацией об уже известных уязвимостях и эксплоитах, информацию о которых зачастую раскрывают хакеры, больше ориентированные на защиту. Эти хакеры видят свое предназначение в поиске недостатков в высокотехнологичных продуктах и предупреждении о них компаний-производителей, а не в извлечении личной выгоды. Когда выясняется, что информационная система компании подвергается риску, установка исправлений и обновлений системы ложится на саму компанию, а технологическая гибкость у разных компаний разная. Одни готовы к оперативному внесению исправлений, другие могут даже не осознавать, что они используют уязвимое программное обеспечение. Иногда компании буквально не получают от производителей извещений, предупреждающих о необходимости установки обновления или изменения параметров безопасности продукта для повышения его надежности. Даже если компания использует ПО, для которого регулярно выпускаются обновления, системные администраторы компании должны согласовано скачать эти обновления, убедиться, что они были установлены повсеместно в компании, и продолжать отслеживать все будущие обновления. Когда на одном предприятии нужно обслуживать сотни или тысячи компьютеров, установка обновлений может оказаться весьма трудной задачей.
Приобретая такое большое количество эксплоитов нулевого дня, АНБ поддерживает рынок кибероружия, существование которого подвергает опасности американские компании и жизненно важные объекты инфраструктуры. Если какое-то государство или террористическая группа захотят оставить один из американских городов без света, то, скорее всего, они воспользуются эксплоитом, купленным у одной из компаний, поставляющей эксплоиты также и АНБ. Кроме того, продавцы эксплоитов нулевого дня несут по крайней мере потенциальную ответственность за снижение безопасности Интернета. Однако они предпочитают обвинять производителей программного обеспечения в том, что их программы вообще могут быть взломаны. «Мы не продаем оружие, мы продаем информацию, – ответил основатель компании ReVuln, продающей эксплоиты, на вопрос журналиста Reuters, будет ли его компания обеспокоена, если одна из ее программ будет использована для атаки, которая приведет к уничтожению систем или смерти людей. – Этот вопрос лучше задать производителям, оставляющим дыры в своих продуктах».
Подобная линия защиты немного похожа на ситуацию, когда в ограблении обвиняют слесаря, сделавшего замок. Да, считается, что слесарь создает вещь, которая не позволит взломщикам проникнуть в дом. Однако, если грабителю все же удается вломиться внутрь и украсть телевизор или, еще хуже, напасть на владельцев дома, мы же не предъявляем иск слесарю. Компании, подобные ReVuln, конечно, сами никого не грабят, но, если продолжить аналогию, они продают отмычки. Нет никаких сомнений, что они тоже несут некоторую ответственность за совершенные преступления – пусть не правовую, но моральную.
А что же АНБ? В аналогии с ограблением невозможно подобрать эквивалент тому, что делает агентство. В воровском мире никто не скупает отмычки просто так. Вместе с тем АНБ хочет играть роль своего рода охранника для Интернета. Что обычно происходит, если охранник, нанятый для патрулирования окрестностей, увидит открытое окно, но не сообщит об этом владельцам дома? Более того, что если он найдет изъян в конструкции окон, которую используют все жители района, дающий взломщику возможность открыть окно снаружи? Если охранник не предупредит домовладельцев, они его просто уволят, а может быть, и потребуют его арестовать. Никому в голову не придет оправдывать охранника тем, что он держал в секрете информацию об уязвимости конструкции окна, чтобы защитить домовладельцев. И полицию, наверняка, не устроит, если эта информация останется известной только охраннику, который сможет ей воспользоваться, чтобы ходить и обворовывать дома.
Аналогия не идеальная. АНБ не относится к правоохранительным органам, это военная и разведывательная организация. Деятельность агентства подчиняется другим законам и направлена на решение других задач. Тем не менее поскольку агентство поднимает тему кибервойны и заявляет о том, что именно оно наилучшим образом подготовлено к защите государства от злоумышленников и их атак, то и вести себя оно должно, именно как охранник, а не как грабитель.
Данный текст является ознакомительным фрагментом.