Шпионы в законе

(Ноябрь 2011)

Если коммерческие компании старательно утаивают от общества назначение своей продукции и принципы ее работы, то можно ли их бизнес называть антинародным?

Gamma-FinFisher

У «арабской весны», волной народных восстаний прокатившейся в этом (2011) году по ближневосточному региону, оказался один примечательный побочный результат. Суть его в том, что у западноевропейской и североамериканской публики обострился интерес к своим ИТ-компаниям, снабжающим, как выяснилось, режимы восточных деспотий наиболее продвинутыми средствами для цифровой слежки за оппозицией и политическими противниками.

Множество сигналов об этом бизнесе, довольно сомнительном с этической точки зрения, в разное время приходило из Ирана, Бахрейна, Сирии, Ливии. Однако наиболее драматичная история из этого ряда произошла в марте 2011 в Каире, когда восставшие демонстранты на пике противостояния с режимом Мубарака взяли штурмом штаб-квартиру египетской службы госбезопасности. А среди массы обнаруженных там конфиденциальных бумаг всплыла, в частности, техническая документация к шпионскому программному обеспечению некой западной фирмы Gamma International.

Имеющая штаб-квартиру в Мюнхене, Германия, и основное маркетинговое подразделение в Великобритании, эта фирма прежде была очень мало кому известна, поскольку бизнес ее ведется в специфической нише – разработка и продажа технических средств «законного перехвата» для государственных правоохранительных органов, полиции и спецслужб.

Продаваемые компанией программы носят названия типа FinSpy, FinFly или FinFisher, а применяются они для таких, в частности вещей, как подсаживание в компьютеры (или смартфоны) подозреваемых специальных троянцев, обеспечивающих полный доступ к шифрованным звонкам людей через Skype и к прочим защищенным коммуникациям вроде IM-чатов и электронной почты.

После драматичных событий в Египте фирма Gamma International, сама того не желая, попала в заголовки мировых новостей, причем далеко не в самом приятном контексте. Обвинив ее в связях с репрессивным режимом, восставшие заявили, что Gamma помогала Мубараку подавлять в стране инакомыслие и преследовать сторонников перемен.

И хотя представители компании категорически отрицали факты поставки своей техники властям Египта, настаивая, что найденная в здании госбезопасности документация представляла собой только лишь рекламные материалы, заявления эти мало кого удовлетворили. К тому же, Gamma International категорически не желает говорить о тех конкретных странах, куда она реально поставляет свое оборудование, ссылаясь на конфиденциальные особенности бизнеса (о делах с властями Британии и Германии, впрочем, все равно стало известно).

Короче говоря, вся эта искусственно обволакиваемая туманами тема вообще и фирма Gamma в частности стали с той поры не только предметом особого интереса прессы, но и объектом дотошных журналистских расследований. Об одном из наиболее любопытных и поучительных результатов подобных расследований хотелось бы рассказать поподробнее. Уже потому, хотя бы, что он привел к существенному укреплению безопасности медиаплеера Apple iTunes, установленного ныне более чем на четверти миллиарда компьютеров по всему миру.

Четверть миллиарда и 1200 дней

В конце сентября 2011 в Берлине проходило весьма своеобразное мероприятие, чем-то напоминающее закрытый слет какого-нибудь тайного общества. Высокие начальники из военных структур и спецслужб, плюс представители индустрии безопасности из разных стран мира собрались в дорогом отеле, чтобы обсудить «угрозы цифрового мира»: кибер-атаки, электронный шпионаж, онлайновую организованная преступность и тому подобные вещи. Однако наиболее горячей темой обсуждения были технологии, которые можно было бы применять для противостояния всем этим угрозам.

Хотя официально конференция-выставка носила название Cyberwarfare Europe, на самом деле многие участники прибыли в германскую столицу из весьма отдаленных регионов Америки и Азии. В частности, среди участников были замечены представители правительственных и промышленных кругов из таких стран как США, ОАЭ, Индонезия, Малайзия. Каждый из участников конференции заплатил неслабую сумму в размере 2700 евро за высокую привилегию послушать доклады ведущих ИТ-экспертов и военных авторитетов, а также пообщаться в фойе у стендов компаний, предлагающих свои кибервоенные «решения».

Один из таких стендов был здесь и у мюнхенской фирмы Gamma International GmbH. А у репортера журнала Spiegel, сумевшего попасть на конференцию, было множество вопросов к компании по поводу ее деятельности и продукции. Однако один из директоров, также оказавшийся около стенда, заявил, что у их фирмы нет никакого интереса к общению с прессой. Более того, когда до фирмы Gamma дошла очередь делать доклад в конференц-зале, руководство приложило максимум усилий, чтобы при этом в аудитории не было никого из журналистов.

Хотя прессу, похоже, реально не подпустили к наиболее содержательным презентациям, это не помешало журналистам нарыть массу информативных материалов. В частности, сотрудники газеты Wall Street Journal сумели раздобыть здоровенный электронный каталог, описывающий все наиболее современные достижения ИТ-индустрии в столь специфической области, как электронный шпионаж. Этот содержательный каталог, затем выложенный на сайте WSJ, предоставляет, среди прочего, и данные о продукции Gamma International.

Из того же каталога, или по каким-то свои каналам, но журналу Spiegel удалось-таки разведать немало интересных подробностей об особенностях функционирования программ Gamma. В частности, были проштудированы собственные рекламные видеоролики фирмы, демонстрирующие широкий спектр возможностей, предлагаемых компанией для проникновения в компьютеры и установки в них шпионского программного обеспечения.

Помимо тривиальных вариантов – когда «агент» имеет физический доступ к компьютеру человека-«объекта» и просто ставит машину под контроль втыканием USB-флешки (FinFly USB) – предлагаются и более изощренные решения.

В частности, рекламный видеоматериал показывает, как через специальный интернет-сервис FinFly ISP пользователь сети фактически сам подсаживает троянца в свой компьютер через механизм обновлений популярной программы Apple iTunes. Когда пользователю приходит (от FinFly ISP) подложное предложение обновить свое ПО, он считает, что это предложение от Apple, кликает на ссылке и загружает в свой компьютер троянца FinFisher. А «штаб-квартира», соответственно, получает полный доступ к компьютеру объекта…

Когда американская газета Wall Street Journal и германский журнал Spiegel в 20-х числах ноября 2011 практически одновременно опубликовали весьма познавательные материалы о тех шпионских инструментах для слежки, что применяются правительственными органами в век цифровых технологий, то основное внимание и публики, и прочих СМИ оказалось сконцентрировано на выявленной журналистами уязвимости iTunes.

Что вполне понятно, учитывая нынешнюю гиперпопулярность продукции Apple. При этом и в уже упомянутых изданиях, и в прочих новостных сообщениях, написавших о проблеме, было особо подчеркнуто, что в ноябре этого года – аккурат накануне публикаций с расследованиями – корпорация Apple залатала именно ту уязвимость, которую использовал троянец FinFisher (а также, как выяснилось, некоторые криминальные ботнеты).

Укрепление защиты было сделано с помощью очередного – на этот раз настоящего – кросс-платформенного обновления для iTunes, получившего номер версии 10.5.1. Как объявлено, начиная с этой версии, программа iTunes, работающая на пользовательском компьютере, теперь станет запрашивать адрес апдейта через безопасное (https) соединение – таким образом блокируя возможные атаки типа «человек посередине»…

Чуть ли не единственным, кто сразу обратил внимание на «одну небольшую, но чрезвычайно существенную деталь», умалчиваемую во всех этих публикациях СМИ о компрометации и лечении iTunes, оказался американский журналист Брайен Кребс (Brian Krebs).

В прошлом обозреватель компьютерной безопасности в газете Washington Post, а ныне самостоятельный исследователь, Кребс в своем блоге напомнил публике, что именно об этой опасной уязвимости компанию Apple давным-давно – еще в середине 2008 года – предупреждал серьезный эксперт по инфозащите. Однако по совершенно неясным причинам корпорация Apple выжидала свыше 1200 дней – то есть три с лишним года – прежде, чем залатать эту дыру.

Данное обстоятельство, считает Кребс, поднимает вполне естественные вопросы относительно того, знала ли Apple (а если знала, то с каких пор) о вскрывшихся ныне особенностях троянцев, применяемых для шпионажа правительственными органами. Упорное нежелание Apple залатать столь откровенную дыру можно было бы очень просто объяснить тайным сговором с властями – принимая в учет, что масштабы распространения плеера iTunes по планете уже превышают четверть миллиарда пользователей (рубеж 250 миллионов был зафиксирован в июне 2011).

Брайен Кребс хорошо ориентируется в данной теме по той причине, что он сам лично писал именно об этой уязвимости в Washington Post в июле 2008, по результатам интервью с аргентинским исследователем-хакером Франсиско Амато (Francisco Amato). Этим специалистом была разработана специфическая программа Evilgrade – как новый инструмент для тестирования компьютерных систем на предмет стойкости к проникновениям. Особенностью инструментария было то, что он позволял автоматически рассылать подложные извещения о появлении обновлений для тех программ, в которых не применяется цифровая подпись для апдейтов. Степень серьезности этой угрозы разъяснялась в статье примерно следующим образом.

Представьте себе, что вы находитесь, скажем, в зале аэропорта, ожидая посадки на рейс. Вы раскрываете свой ноутбук, чтобы посмотреть, нельзя ли тут подключиться к открытой беспроводной сети. Следует, однако, иметь в виду, что существует множество свободно доступных средств, позволяющих злоумышленникам создавать ложные точки беспроводного доступа – дабы осуществлять маршрутизацию ваших интернет-соединений через свой компьютер. Вы подсоединяетесь к такой фальшивой сети, полагая, что всего лишь глянете на результаты очередной игры своей любимой команды. Несколько секунд спустя одно из приложений в вашем компьютере сообщает, что вышло новое обновление программы. Вы, соответственно, даете добро на установку апдейта. Можно сказать, тут-то вас и отоварили.

Возможен, конечно, и другой вариант – вы не дали добро на обновление. Однако в большинстве случаев это становится уже неважным. Потому что функции авто-апдейта, часто встраиваемые во многие программы, начинают работать сами и скачивают «обновление программы» в ваш компьютер сразу же, как только о нем узнают. А затем начинают раз за разом капать вам на мозги про наличие апдейта, который ждет не дождется установки – пока вы не согласитесь, наконец, его инсталлировать…

Одной из особо подчеркнутых уже тогда особенностей инструмента Evilgrade было то, что он особо эффективно работал с уязвимостью в механизме апдейтов программы iTunes в условиях операционной системы Windows. Сам Амато описывал эту уязвимость следующим образом:

«Программа iTunes проверяет бинарный код на предмет того, имеет ли он цифровую подпись Apple. Однако вредоносный контент можно встраивать в описание, открывающее браузер – так что пользователь полагает, будто оно пришло от Apple».

Документально известно, что Франсиско Амато в июле 2008 года непосредственно обращался к команде обеспечения безопасности в продукции Apple, дабы предупредить их о выявленной дыре – что механизмом апдейтов iTunes можно злоупотреблять для подсадки в компьютеры вредоносных программ.

По свидетельству Амато, вскоре после этого контакта из Apple подтвердили сам факт получения его отчета. Но больше никаких вестей от них не было свыше трех лет – вплоть до 28 октября 2011, когда от Apple пришло еще одно email-письмо с просьбой подтвердить имя и реквизиты, дабы надлежащим образом сослаться на его работу при сообщении о залатанной уязвимости в новом апдейте под номером iTunes 10.5.1.

Как комментирует эту странную историю в своем блоге Кребс, особо примечательна та продолжительность времени, что потребовалась Apple на латание именно данной дыры в безопасности.

Пять с лишним лет назад, весной 2006, Кребс уже предпринимал довольно обширное исследование на предмет того, сколько времени в среднем уходит у Apple на выпуск заплат для своих продуктов. В ходе этого анализа журналист проследил патчи, выпускавшиеся в течение двух лет для исправления серьезных дефектов в защите операционной системы Mac OS X, а также прочих программных приложений Apple вроде iTunes.

Было установлено, что в среднем проходил 91 день между датой, когда исследователи предупреждали Apple о выявленной дыре, и тем днем, когда Apple выпускала соответствующий патч для решения проблемы. В своем исследовани Кребс проследил время создания патчей для полусотни в общей сложности дефектов, а самое длительное время появления заплатки составляло в тот период 245 дней…

Закрывая тему «cтранного» поведения Apple в вопросе латания конкретной дыры в iTunes (где честных разъяснений от корпорации ожидать не приходится), уместно задаться и еще одним – более широким – вопросом.

О роли антивирусных компаний

Нынешнее повышенное внимание публики ко всем тем инструментам цифровой слежки, что бойко продаются правоохранительным органам по всему миру, простимулировало также дискуссии о двусмысленной роли антивирусных фирм. В частности, задается много вопросов о том, что они реально делают и делают ли что-то вообще для того, чтобы выявлять подобных «законных шпионов».

Наиболее известные в мире производители антивирусов на данный счет предпочитают обычно отмалчиваться. Но вот, к примеру, Микко Хиппонен (Mikko Hypponen), директор по исследованиям в финской фирме компьютерной безопасности F-Secure, имеет смелость говорить на столь деликатную тему вполне открыто.

Именно Хиппонен, в частности, сразу упомянул в блоге F-Secure знаменитую ныне программу-троянца FinFisher еще в марте 2011 года, когда восставший против Мубарака народ захватил здание штаб-квартиры египетской госбезопасности и получил доступ к конфиденциальным государственным документам. Включая и те, что демонстрировали закупки западных программных продуктов для цифровой слежки за пользователями компьютеров и мобильных телефонов.

По этому поводу Хиппонен четко сказал, что F-Secure одназначно будет выявлять любое вредоносное ПО, о котором она знает. В независимости от того, насколько активно его применяют для слежки правительственные власти. Однако, тут же заметил он, не все антивирусные компании объявляют публично о подобных обязательствах:

«В действительности здесь нет какой-то реальной дискуссии или же чего-то типа общего для всей индустрии соглашения по данному вопросу…

Все это происходит так, что [антивирусные] компании не имеют ни малейшего понятия о том, является ли очередной троянец, которого они зацепили, неким правительственным троянцем или же это их обычный материал.

Вполне возможно, что существует намного больше правительственных троянцев, которых выявляем мы и остальные [антивирусы]. Однако мы просто остаемся не в курсе, что они применяются для правительственной слежки».

# # #