(Февраль 2011)
Красивые формулы социального протеста и сопротивления — типа «мы это народ, имя нам легион, поэтому нас не победить» — в специфических условиях интернета приобретают особо глубокий смысл.
Согласно давно уже утвердившейся традиции (теперь и не вспомнить, когда и кем установленной) на конференциях по компьютерной безопасности наиболее любопытными и значимыми событиями зачастую оказываются те, что по разным причинам были запрещены инстанциями или в последний момент отменены самими авторами докладов-презентаций.
Не стал тут исключением и только что закончившийся в Сан-Франциско форум RSA Conference 2011. Это масштабное и респектабельное мероприятие инфосекьюрити-бизнеса, конечно же, мало похоже на хакерские конференции, где чаще всего случаются тихие или громкие скандалы с блокированием разоблачительных презентаций, а бывало, и с арестом докладчика. Однако и здесь, как показывает жизнь, никто из участников не застрахован от больших неприятностей.
Правда, для героя нынешней истории, калифорнийской компании HBGary, источником всех этих гранд-проблем стали отнюдь не федеральные власти или – как это часто бывает – некая гигантская корпорация, разъяренная публичной компрометацией своих продуктов.
Тем не менее, и в данном случае руководители HBGary сочли целесообразным отменить заранее анонсированные доклады, а развернутый на выставке-конференции стенд своей компании (с гордым слоганом «Побеждая завтрашние вредоносные программы уже сегодня») оставить совершенно безлюдным и сиротливо заброшенным.
Причину столь наглядного упадка и запустения своеобразно поясняет пошедшая гулять по Сети фотография этого стенда, к которому кем-то из посетителей мероприятия прикреплен от руки сделанный плакатик с надписью типа «Анонимусы были тут – смеха ради»…
Смешно все это или же не очень, каждый понимает в меру своего чувства юмора, но то, что произошедшая с HBGary история в высшей степени поучительна и симптоматична – это представляется несомненным.
У фирмы компьютерной безопасности HBGary вплоть до сегодняшнего дня не было абсолютно никаких проблем с госвластями и флагманами ИТ-бизнеса. Скорее даже наоборот, эта небольшая, но с крепкой профессиональной репутацией компания пользовалась среди специалистов заслуженным уважением, поставляя собственные программные продукты и сервисы компьютерно-сетевой защиты весьма крупным корпорациям и разного рода «трехбуквенным» правительственным агентствам типа ФБР, ЦРУ, АНБ и тому подобного.
Поначалу HBGary была известна в миру, главным образом, благодаря нескольким серьезным уязвимостям, выявленным и описанным прежним техническим директором компании Джеймсом Батлером (James Butler), который небезосновательно имел авторитет видного эксперта в области руткитов ОС Windows.
На сегодняшний день одним из наиболее упоминаемых продуктов фирмы являетя программа HBGary Responder для анализа памяти Windows-систем. Эту программу нередко используют правоохранительные органы в ходе компьютерных криминалистических расследований, а также она применяется как аналитический инструмент для выявления в системе признаков работы вредоносного ПО.
Ну а кроме того, как становится известно ныне, без лишней огласки эта же фирма довольно давно и интенсивно занимается также и куда менее благородными вещами.
В последние месяцы, в частности, руководство HBGary на свою беду решило помочь усилиям ФБР в действиях против Anonymous, известного сообщества анонимных интернет-хактивистов. Это неформальное и нечетко структурированное международное движение в последние годы не раз привлекало к себе внимание массовыми сетевыми акциями протеста (кто-то предпочитает называть это киберпреступлениями), вроде атак типа «отказ в обслуживании» и хищений-публикаций компрометирующих внутренних материалов с сайтов сомнительных организаций вроде церкви сайентологии.
Нынешний повышенный интерес к Анонимусам со стороны ФБР был вызван тем, что данное движение стояло за так называемой «Операцией Расплата», организованной в знак поддержки усилий WikiLeaks по массовым публикациям компромата. В рамках Operation Payback Анонимусами была устроена серия DDOS-атак против веб-сайтов таких корпораций, как PayPal, Visa и MasterCard, которые в самодеятельном порядке и без каких-либо решений компетентных судебных инстанций попытались помешать добровольным финансовым пожертвованиям народа в пользу WikiLeaks.
Поскольку компания HBGary Federal, дочернее предприятие HBGary для работы по заказам федерального правительства, уже давно испытывала ощутимые финансовые затруднения, директору этой фирмы Аарону Барру (Aaron Barr) пришла в голову роковая идея попытаться заработать на интересе ФБР к Anonymous.
Имея значительный опыт в сборе и сопоставлении разрозненных персональных данных с различных сайтов интернета, Аарон Барр и его сотрудник – путем прочесывания чатов, социальных сетей Facebook и Twitter – набрали достаточно большое количество «установочной информации» о предположительных лидерах и активистах анонимного движения. Скомпилировав соответствующее досье, Барр намеревался выгодно продать его властям США. Однако на деле все вышло совершенно не так, как мечталось инициативному разведчику.
Началом катастрофы стало опрометчивое интервью, которое Барр дал известнейшей газете Financial Times и где он не скрывая гордости сообщил, что успешно сдернул покровы секретности с Anonymous – установив их лидеров и продемонстрировав, что не такие уж они «анонимные». В этом же интервью, дабы привлечь побольше внимания к своему досье со стороны властей, Аарон Барр объявил, что доложит о методах и итогах своих изысканий на ближайшей конференции по инфобезопасности в Сан-Франциско.
Практически сразу же вслед за этой неосторожной публикацией некие безвестные умельцы проникли в несколько компьютерных систем как HBGary Federal, так и родительской HBGary (хотя опозоренный «родитель» ныне старательно дистанцируется от своей в хлам скомпрометированной «дочки», настаивая, что юридически это самостоятельная компания, на деле у обеих фирм одни и те же владельцы, один общий офис, общие серверы, специалисты и так далее).
Проникнув же в системы HBGary – фирмы, напомним, позиционирующей себя как команду профессионалов в области компьютерно-сетевой защиты – Анонимусы отыскали там составленное Барром досье, а также очень много чего другого-интересного: большущий, примерно на 67 000 писем архив электронной почты обеих фирм, весьма деликатного свойства внутреннюю документацию и всяческие прочие файлы, совершенно не предназначавшиеся для глаз посторонних.
Мало того, что все эти материалы были Анонимусами выкачаны, а многие из них, включая email-архив и Anonymous-досье, тут же выложены в пиринговые сети для всеобщего свободного скачивания и ознакомления (со словами типа «Барр хотел продать это досье ФБР, мы же дарим его им абсолютно бесплатно, потому что собрана там сплошная чепуха»).
Попутно Анонимусы хакнули и опустили веб-сайты, связанные с бизнесом HBGary, захватили эккаунты их руководства и сотрудников в Твиттере, где стали публиковать всякие нелицеприятные слова о компании, уничтожили резервные архивы данных фирмы, а ради уязвления лично Аарона Барра дистанционно стерли информацию в его планшете iPad.
Короче говоря, масштаб катастрофы, постигшей компанию HBGary, без всякого преувеличения можно называть фатальным. Чтобы хоть как-то сохранить лицо, сооснователь и исполнительный директор HBGary Грег Хоглунд (Greg Hoglund) дает прессе интервью примерно в таких сдержанно-угрожающих выражениях:
«И прежде то, что делали эти ребята, было технически незаконным, однако все это совершалось ради прямой поддержки сливов компромата на власти [что преступлением не является]. Но теперь мы имеем ситуацию, когда они совершают федеральное преступление, похищая частные данные и засылая их в торрент-сети… Они атаковали не просто какую-то там компанию – ведь мы пытаемся защищать правительство США от хакеров. Они не могли выбрать себе худшую цель для атаки…»
Судя по происходящему, крайне маловероятно, что хоть кого-то из Анонимусов способны испугать подобные угрозы со стороны тотально раздавленной HBGary. Особенно, если принимать во внимание характер и содержание той информации о деятельности данной фирмы, что ныне стали общеизвестными.
Ибо реальную основу бизнеса HBGary, судя по конфиденциальной переписке компании, составляла не столько защита от вредоносного ПО, сколько написание новых, все более опасных и неистребимых руткитов, троянов, бэкдоров и прочих шпионских программ. Изготовляемых, естественно, по заказам видных корпораций военно-промышленного комплекса США под всякими нейтральными названиями типа «Проект С», «Задание Z», «Задание M», «Задание B» и так далее.
Как правило, заказчиком всех этих «изделий» обычно выступала известная фирма американского ВПК General Dynamics, а стоимость отдельных заказов могла исчисляться сотнями тысяч долларов. Но особый интерес представляет совсем свежий контракт HBGary, обсуждаемый в январе 2011 года в личной переписке Грега Хоглунда с некоей фирмой Farallon.
Не самая известная, мягко говоря, в ИТ-бизнесе корпорация, Farallon формулирует свою официальную миссию следующими словами: «Объединять продвинутые коммерческие технологии и компании, которые их разрабатывают, с запросами и потребностями правительства США». В развернутом письме-презентации Хоглунда для этого интегратора описывается одно из конкретных предложений на запросы американского правительства – совершенно новая разработка HBGary под названием «супер-руткит Magenta» [http://hbgary.anonleaks.ru/greg_hbgary_com/16406.html].
Цитируя содержательную часть данного документа,
«Magenta – это новый тип руткита под все нынешние разновидности ОС Windows, который в HBGary получил название мульти-контекстного руткита. Тело этого руткита, на 100% реализованного на языке ассемблер и имеющего размер порядка 4 кбайт или менее того, вводится в память ядра ОС с помощью техники частичной загрузки DriverEntry. Однажды внедренный в память ядра, руткит Magenta автоматически выявляет там контекст активных процессов и тредов, чтобы встраивать себя в них через механизм APC (асинхронный вызов процедуры). Как только APC срабатывает в контексте нового процесса, тут же выполняется и код руткита.
При завершении каждой активации APC, Magenta будет перемещать себя на новое место в памяти и автоматически выявлять новые комбинации процессов/тредов для запуска одного или нескольких дополнительных APC. Среди ключевых особенностей руткита можно отметить, что совершенно новый тип, не имеющий аналогов в открытых публикациях. Его практически невозможно удалить из живой работающей системы.
Любые инструменты, основанные на физическом анализе памяти, которые позволят вам увидеть текущее местоположение тела Магенты, будут почти бесполезны, поскольку к тому времени, когда аналитик попытается проверить свой результат, Magenta уже переместится в новое место и в новый контекст.
Руткит невидим для оборонительных компонентов режима ядра и оснащен элегантной и мощной системой инструкций командования и управления (C&C message system), для которых имеется практически бесконечное количество способов их внедрения в физическую память сетевого компьютера даже при нулевых полномочиях»…
Переходя к не менее любопытной и до последнего времени столь же незримой деятельности дочерней компании, HBGary Federal, можно увидеть, что с заказами федерального правительства у нее как-то с самого начала не задалось. Однако задачи, которые эта компания с энтузиазмом бралась решать для столкнувшихся с проблемами богатых клиентов, вроде Bank of America или Торговая палата США, в каком-то смысле ничуть не уступают коммерческому изготовлению шпионских руткитов. А с точки зрения сомнительной легальности творимого, быть может, даже и превосходят.
Когда осенью прошлого года Торговая палата США пожелала собрать информацию о некоторых из своих наиболее рьяных оппонентов в рядах профсоюзов, Аарон Барр почуял большие деньги и объединился с двумя другими компаниям по инфобезопасности, чтобы предложить Палате радикальное решение.
Суть предложения – создать крутую и абсурдно дорогостоящую «ячейку синтеза» для быстрого и эффективного сбора компрометирующих материалов на оппонентов, по типу тех ячеек, что «создают и применяют в JSOC [крайне засекреченном] американском Командовании совместных спецопераций» для оперативной борьбы с национальными угрозами. Аналогичная инициатива для бизнес-структур, по подсчетам Барра и его подельников, обошлась бы Палате в круглую сумму 2 миллиона долларов ежемесячно…
Еще даже не получив предварительное «добро» или, тем более, контракта на операцию, три фирмы уже начали собирать твиты и прочие сетевые публикации либеральных активистов, а также составлять диаграммы социальных связей между людьми, используя для этого продвинутые программы анализа контактов, чаще всего применяемые в спецслужбах и разведывательном сообществе.
Примерно тогда же, в ноябре 2010 года, когда руководители одного из крупнейших банков США, Bank of America, начали с беспокойством искать способы, с помощью которых можно было бы как-то прищучить WikiLeaks (где в ближайшем будущем обещано опубликовать большой массив компромата на BoA), Аарон Барр и тут предложил свои услуги.
Он быстро и деловито сгенерировал презентацию-план [http://wikileaks.ch/IMG/pdf/WikiLeaks_Response_v6.pdf], в котором HBGary Federal вызывалась организовать «кибератаки против инфраструктуры WikiLeaks, чтобы добыть данные об источниках-поставщиках документов». А когда дело дойдет до прессования этих поставщиков, то в итоге, по мысли Барра, это убьет и весь проект.
Другой сильной идеей была фабрикация компрометирующих документов с подсовыванием их для слива через WikiLeaks. А затем, публичным предоставлением фактов и доказательств, указывающих на подделку, продемонстрировать всем, что WikiLeaks – это крайне сомнительный источник всякого мусорного хлама.
Наконец, в плане Барра предлагалось пойти и еще дальше, занявшись персональными информационными атаками против таких людей, как репортер британской Guardian Джеймс Болл (James Ball) и американский колумнист издания Salon.com Глен Гринволд (Glenn Greenwald), регулярно и с симпатией пишущих об инициативах WikiLeaks. Цель атак – угрозами и шантажом заставить журналистов заткнуться:
«Это авторитетные профессионалы с либеральным уклоном, но в конечном счете, большинство таких людей выбирает карьеру и профессиональное благополучие, а не последствия [приверженности своей позиции]. Такова уж ментальность большинства бизнес-профессионалов… Без поддержки таких людей, как Гринволд и Болл, проект WikiLeaks уже загнулся бы»…
Комментируя всех этих планов громадье, журналист Глен Гринволд (то есть один из потенциальных объектов барровых атак, имеющий, кстати, юридическое образование), выразился следующим аккуратным образом:
«То, что закладывается во всех этих предложениях, вполне возможно содержит в себе серьезные преступления. Изготовление и передача фальшивых документов с намерением их публикации напоминают действия с составом таких преступлений как подделка и мошенничество. Угрозы карьере журналистов и общественных активистов с целью того, чтобы заставить их замолчать, можно трактовать как шантаж, а в зависимости от специфических методов, используемых для этого, составляют также и другие преступления. Атаки в отношении компьютерной инфраструктуры WikiLeaks в попытках скомпрометировать их источники вне всяких сомнений нарушают многие законы о поведении в киберпространстве»…
Если же формулировать суть происходящего попроще, то Анонимусы с их жесткими ударами возмездия, спору нет, занимаются весьма предосудительными с точки зрения закона вещами. Однако если брать в учет то, что за информация благодаря им раскрывается о закулисных действиях влиятельных и очень близких к властям корпораций, то общественной пользы от активности Анонимусов, похоже, гораздо больше, чем вреда.
В каком-то смысле их можно уподобить ассенизаторам, избавляющим социум от нечистот. Занятие ассенизаторов тоже не назовешь возвышенным и особо почитаемым, однако именно благодаря их работе обществу удается оставаться чище и здоровее.
# # #
kiwi arXiv 