
Автор публікації: Sean Brian Townsend — незалежний дослідник в галузі інформаційної та комп’ютерної безпеки, учасник і спікер Українського кіберальянсу.
Редакція InformNapalm може не поділяти думки авторів у рубриці [opinion].
Антивірусні програми: міфи і реальність
Довкола антивірусних компаній (AV) часто крутиться багато міфів. Користувачі звинувачують їх у двох смертних гріхах: у тому, що вони самі пишуть віруси для власного збагачення, і в тому, що антивірус можуть використати для стеження. Міфи ці неправдиві, але дуже живучі, і виробникам AV не вдається позбутися цих “теорій змови” десятиліттями. Підозріливість виникає тому, що використання антивірусних програм ґрунтується на довірі.
«Лабораторія Касперського» кріпилась 25 років, але одного разу все-таки не втрималася. І запам’ятають цей антивірус тепер не як захисника, а як в анекдоті про будівельника, козу та людську вдячність.
Міфи про хакерів
Про хакерів міфів не менше. У масовій культурі хакінг сприймається як «суперсила». Як говорив Артур Кларк: «Достатньо розвинута технологія не відрізняється від магії». Персонаж у масці Гая Фокса начебто натискає кілька кнопок і витягує паролі «з-під зірочок», переказує мільйон доларів чи перемикає тунель на зустрічний рух, сіючи паніку та руйнування. Так не буває. Точніше, буває не зовсім так.
Більшість хакерів працюють в якійсь одній галузі і беруть кількістю, стабільністю і простотою технологій, а не езотеричним комп’ютерним вуду. В основі лежать прості економічні та статистичні закономірності. Краще тисячу разів по рублю, ніж один раз тисячу. Шанси неспівмірні. Тому вартість цільової атаки починається від кількох тисяч доларів. На розробку хакерських інструментів потрібен час (він же гроші), який можна витратити на щось корисніше, аніж спроби пробити головою стінку.
Я це кажу, щоб підкреслити, що є впізнавані шаблони поведінки, які відрізняють хакерів від тих, хто намагається ними прикидатися. І завжди є спокуса списати власні помилки чи заплутати сліди, зваливши все на хакерську атаку («Ай воз хакд», «Вірус ‘з’їв’ файл з проектом бюджету», The Shadow Brokers). Мало хто розуміє, як працюють хакери, і виправдання мають цілком достовірний вигляд. А от спецслужбам потрібна абсолютно конкретна інформація, вони не обмежені ні часом, ні грошима, ні якимись етичними міркуваннями. Національна безпека і крапка.
Історія з витоком з NSA (Агентство Національної Безпеки США) тривала роками. У лютому 2015 року «Лабораторія Касперського» опублікувала звіт про Equation Group (кодова назва, придумана Касперським для підрозділу АНБ, що начебто веде кіберрозвідку). В березні того ж року Агентство тільки оговталось після витоку Сноудена і доволі прямо натякнуло російським спецслужбам, що вони влізли не на ту галявинку. Bloomberg опублікував статтю «Компанія, яка захищає ваш інтернет, має тісні зв’язки з російськими шпигунами». Засновник компанії Євгеній Касперський прикинувся, що натяків не розуміє.
Сам факт співпраці Касперського зі спецслужбами Росії, звісно, ні для кого не секрет. Бізнес Касперського почався з того, що його підтримав колишній викладач з ВШ КДБ Решетніков, і співробітники компанії не тільки не приховують співпраці зі спецслужбами, але й пишаються нею:
У кабінет періодично заходить міліція. Коли я підійшов до столу, біля нього вже сиділи двоє. «Поговоримо через п’ять хвилин», — попросив їх Шевченко і запросив мене присісти. «Це відділ «К». Прийшли за черговим звітом, — сказав він, коли люди прикрили за собою двері. — У нас і ФСБ регулярно буває…». Шевченко навіть не поморщився, згадуючи ці букви. (Нова Газета «Гостєв з майбутнього», вересень 2005)
Чому АНБ взялося за Касперського тільки в 2017
«Чому АНБ заборонили використовувати софт Касперського тільки в 2017 році, а не раніше? Він же шпигун КДБ?!», — запитає, прочитавши, середньостатистичний користувач. Річ у тім, що тоді йшлося тільки про зразки шкідливого програмного забезпечення (ПЗ). Зразок (або на професійному сленгу – семпл, тіло) — тільки фрагмент великої програми. Той самий вірус, який і повинні ловити антивіруси. Зараз вірусів з’являється так багато, що жодна людина, жодна компанія не впорається з їхнім аналізом. Більшу частину вірусів ловить автоматика, а в антивірус вбудовані десятки тисяч нечітких правил, і коли файл здається надто підозрілим, антивірус відправляє його в рідну компанію для аналізу. Так влаштовані більшість антивірусів.
Спецслужби різних країн світу не раз ловили за руку через написання вірусів, і антивіруси їх також ловлять. Якби йшлося тільки про семпли, то американські спецслужби промовчали б і навіть не пригрозили б Касперському пальцем вільної преси. У них вже були підозри, що цього разу все пішло зовсім не так, як зазвичай. Після того, як влітку 2016 зламали DNC (демократична партія США), росіян звинуватили у зламі. І одразу, у серпні, з’являється нікому не відома хакерська група і заявляє, що зламала Equation Group. І почали викладати не просто аналітику чи семпли, а повні комплекти хакерського софту разом з документацією. Гроші, як і у випадку з NePetya, нікого насправді не цікавили.
Хакери чи спецслужби (поведінковий аналіз без знака рівності)
Серйозна помилка. Якби це були хакери, то вони б заявили, що зламали NSA чи групу оперативного доступу АНБ (TAO — Office of Tailored Access Operations), але, певна річ, вони не називали б групу умовною назвою, яку (увага!) їй дав Касперський. Не кажучи вже про те, що хакери просто так не злили б у відкритий доступ інструменти вартістю кілька мільйонів доларів (!). Дивно: зламати комп’ютер і не зрозуміти, кому саме він належить. АНБ іноді називає себе жартома No Such Agency («Немає Такого Агентства»), але аж ніяк не кличкою «Equation Group», яку придумав якийсь росіянин.
Люди, які стоять за The Shadow Brokers, або не змогли оцінити важливість опублікованих інструментів, або навпаки, розуміли, що такі вразливості, як Eternal Blue і Eternal Romance, будуть негайно використані чорними хакерами. Або тими, хто вирішив удавати чорних хакерів. І це відволікатиме увагу громадськості від Трамп-гейту, російських хакерів та шпигунських операцій. Так і сталося: «вимагачі» WannaCry, NePetya і BadRabbit використовують злиті The Shadow Brokers розробки АНБ.
Та «хакерський скандал» не стихав, The Shadow Brokers продовжували зливати розробки АНБ. І Агентству це зрештою набридло. Весною 2017 року починається обговорення заборони на використання Антивірусу Касперського в державному секторі США, і після того, як заборону ввели, від продажу російського антивірусу відмовилися великі американські рітейлери. Чому так пізно? Росіяни й американці не єдині учасники кібервійни, у тому самому 2015 році в кібервійну вступили спецслужби Ізраїлю (кодове ім’я «Duqu»).
Ізраїльська розвідка зламала Лабораторію Касперського та кілька інших великих технологічних компаній. Злам виявили в червні 2015 («Kaspersky Lab investigates hacker attack on its own network» — лабораторія Касперського розслідує хакерську атаку на свою корпоративну мережу). А Ізраїль втрутився не просто так. Касперський не вперше ставить палиці в колеса розвідці (Stuxnet). Тому привернув до себе увагу найсерйозніших гравців. Вузол зав’язався міцно.
Що ж сталося? Моя версія
Касперському стало тісно на ринку антивірусів. Добавляти в базу 100500 тисячний (і це не перебільшення) банківський троян дуже скучно. І Лабораторія Касперського полізла в шпигунські ігри. З каталогу ANT NSA (Сноуден. Грудень 2013 (!)) вони дізналися кодові назви секретних програм АНБ, наприклад, COTTONMOUTH («бавовняний рот»). Далі можна пошукати це слово серед накопичених підозрілих файлів (їх у Касперського десятки, якщо не сотні мільйонів). Можна додати спеціальну процедуру в антивірусну базу.
У сучасних антивірусах бази складаються не тільки з шаблонів для пошуку, а й з коду. І коли Касперський пропонує американцям перевірити код свого антивірусу на наявність «закладок» — це звичайне лукавство. В антивірусній базі тисячі підпрограм, перевірити їх усі неможливо, і вони можуть змінитися після першого ж оновлення. Код може мати такий вигляд: будь-який файл, у якому є слово з 11 букв, які в сумі дають 164 (A=1, B=2,…), треба відправити в «центр» для додаткового аналізу. Так файл, що має рядок «COTTONMOUTH», буде відправлено в KSN («Kaspersky Security Network» — сховище підозрілих файлів). Алгоритм можуть використовувати трохи складніший, ніж просте додавання, і жоден аналіз коду не дасть можливості довести, що Касперський шукав секретну американську розробку, а не якийсь доісторичний вірус часів MS-DOS.
Коли американці зрозуміли, що Касперський вивчає їхні віруси не випадково, а цілеспрямовано, тоді вони й надіслали попередження через Bloomberg. Через випадковий одиничний провал ніхто не заморочувався б, щоб не порушити режим секретності. Але ізраїльтяни, які зламали Лабораторію, напевно, знайшли там не окремі тушки вірусів, а й документи, і допоміжний не шкідливий код. Касперський вирахував не тільки віруси, а й комп’ютери, де їх писали й тестували. Що на цих комп’ютерах робив антивірус Касперського — окрема розмова. Євгеній Касперський не втримався і порушив першу заповідь антивірусних компаній — не використовувати власний продукт для зламу — і вигріб вміст комп’ютерів начисто. А потім, мабуть, взявся за шантаж: «Або ви припиняєте звинувачувати російських хакерів, або Касперський зіллє, як ви ламаєте інших».
J’accuse! Я абсолютно впевнений, що Лабораторія Касперського і група «хакерів» The Shadow Brokers — одне й те саме. Незалежно від того, чи стоїть за Касперським ФСБ, чи він зробив все самостійно. Побічне відгалуження від цієї історії — «Кіберберкут» і злам ЦВК у травні 2014. «Кіберберкут» — low tech група, через яку йдуть в основному зливи. Але після зламу вони заявили, що використали експлойт нульового дня в Cisco. Могли написати що завгодно, могли промовчати, але написали саме так. Тоді їм ніхто не повірив. Але експлойти нульового дня для Cisco належать АНБ, і їх опублікували The Shadow Brokers у першому ж дампі «Equation Group».
Частина висновків поки умоглядна, але загалом все має саме такий вигляд, як я й передбачав. Тепер у нас є всі складники головоломки — Адміністрація Президента РФ, яка задає загальний політичний курс, різні чорні хакери, яких використовують при нагоді і які можуть бути як справжніми хакерами, так і легендою прикриття, і Федеральна Служба Безпеки, яка тісно співпрацює з виробниками ПЗ та фірмами, які займаються інформаційною безпекою.
І тут недурна, здавалося б, людина робить практично фатальну помилку. Євгеній Касперський в інтерв’ю Associated Press підтвердив факт, що у нього були не тільки тушки вірусів (вони могли потрапити до нього звичайним способом), а й додатковий софт і секретні документи, які можна було отримати тільки способом зламу:
Касперський переконує, що файли опинилися у спеціалістів компанії під час збору інформації про хакерське угруповання Equation Group, що начебто співпрацювало з АНБ. За словами бізнесмена, дізнавшись про несподівану знахідку, він вимагав негайно видалити ці дані. («Лабораторія Касперського» випадково завантажила секретні документи АНБ»)
Не важливо навіть, «видалив» він їх чи ні. Насправді — ні. Найважливіше, що Касперський визнав, що справді умовно «розіп’яв хлопчика в самих трусиках», тобто, використав антивірус для зламу і шпигунства. І, щонайменше, спровокував (якщо не організував) вірусну пандемію. Відкрив скриньку Пандори, в якій на дні жодної надії немає в принципі!
Якщо домовленість один раз порушили (як це було з Будапештським меморандумом), то система колективної безпеки більше не працює. І ми маємо справу не зі звичним поєдинком шпигунів, а беремо участь у світовій кібервійні. Як і у випадку з російсько-українською війною, росіяни навіть не зрозуміли, що перетнули невидиму, але дуже важливу межу. І тепер можуть махати руками і голосити: «А нас за що?», «Чому їм можна, а нам ні?» Вони справді не розуміють, що це нічого не змінює, бо через їхні божевільні дії світ вже змінився незворотно.
No Responses to “Казус Касперського і кібершпигунство: як Росія відкрила «скриньку Пандори»”