Рубрика: Бэкдоры

Posted on

DUQU, или скрытая угроза

(Октябрь 2011)

Новейшая шпионская программа государственных спецслужб как наглядная иллюстрация странных реалий нашей жизни.

duquv

Трудности шпионской работы

Среди множества интересных, но малоизвестных эпизодов второй мировой войны однажды имел место такой случай.

Совсем молодая по тем временам американская разведслужба OSS (из которой впоследствии получилось ЦРУ) по просьбе английских коллег занялась похищением криптографических ключей Испании. Ибо британцам было очень нужно регулярно читать шифрованную дипломатическую переписку генерала Франко, как одного из главных союзников Гитлера в Европе, а аналитическими методами испанские шифры вскрыть не удавалось.

Похищение криптоключей происходило совершенно тривиальным образом. В подходящую ночь умельцы по взлому из OSS просто проникали в испанское посольство в Вашингтоне и копировали нужный англичанам очередной комплект ключей. Правда, поскольку комплекты менялись каждый месяц, то и ночные визиты в посольство приходилось наносить тоже ежемесячно. И вот, при завершении четвертого из таких посещений, сотрудников американской разведки арестовало ФБР США…

Конечно же, произошло это совсем не случайно и отнюдь не по недоразумению. Просто глава ФБР Эдгар Гувер – в годы войны ставший еще и главным контрразведчиком страны – был абсолютно уверен, что подобного рода тайные дела на американской территории могут происходить только с его ведома и под его контролем.

А поскольку шеф внешней разведки Уильям Донован про операции в испанском посольстве не только с Гувером не советовался, но и вообще не считал нужным ставить его в известность, то директор ФБР решил как следует проучить зарвавшихся шпионов из смежного ведомства.

Ничего путного, впрочем, из этого урока не получилось. Разъяренный Донован (известный также под кличкой «Дикий Билл») велел своим сотрудникам собрать на Гувера компромат посерьезнее. А когда он вскоре был добыт, то все проблемы разведки с ФБР стали решаться легко и просто – элементарным методом под названием беспощадный шантаж. Но это, впрочем, уже совсем другая история… (подробности см. тут )

Предупреждения об угрозе

Вспоминается этот забавный эпизод сегодня вот по какой причине. Под конец октября (2011) сразу несколько государственных ведомств США, отвечающих за определенные аспекты национальной безопасности страны, выпустили информационные бюллетени с предупреждениями о новой компьютерной угрозе – вредоносной программе под названием DUQU (читать это буквосочетание в англоязычной среде предлагается как «дью-кью», однако для русского языка куда более естественно было бы просто «дуку»).

На общем фоне гигантского количества разнообразных вредоносных кодов, постоянно появляющихся в компьютерах и сетях, программа DUQU выделяется как особо опасная тем, что несет в себе бесспорные черты фамильного сходства и общего происхождения со знаменитым «червем червей» по имени Stuxnet (см. «Боевой червь Stuxnet«).

Этот супер-троянец, можно напомнить, в прошлом году просто-таки поразил антивирусную индустрию и сетевую публику в целом своей небывалой сложностью и изощренностью. А конкретно для Ирана Stuxnet стал проблемой, серьезно затормозившей прогресс в обогащении урана и национальную ядерную программу в целом.

И хотя документальных – или тем более официальных – подтверждений этому нет, среди специалистов практически никто не сомневается, что созданием кода Stuxnet занимались в секретных лабораториях государственных спецслужб. Более того, имеется достаточное количество свидетельств, которые недвусмысленно указывают, разведки каких именно государств наверняка приложили тут руку – США и Израиля.

Иначе говоря, налицо имеются следующие факты нашей странной жизни. В компьютерах множества разных государств объявляется новая, весьма изощренная шпионская программа, по своим ключевым признакам явно сработанная при участии разведки США. А в ответ американские органы безопасности, вроде DHS (Департамент госбезопасности) и ICS-CERT (Реагирование на киберугрозы в области систем промышленного управления) рассылают документы о том, как этой трудноуловимой напасти следует противостоять (в общем-то, никак, кроме регулярного обновления штатных антивирусов)… Читать «DUQU, или скрытая угроза» далее

Posted on

Без срока давности

(Январь 2011)

О том, как ФБР и АНБ встраивали закладки-бэкдоры в криптографию OpenBSD, операционной системы с открытыми исходными кодами.

keyhole

Среди всего того разнообразия операционных систем, что в свое время отпочковались от ОС Unix, проект OpenBSD всегда отличался особо тщательным подходом к обеспечению защиты информации.

Именно по этой причине — ну и благодаря открытому исходному коду, конечно же — криптография, поначалу создававшаяся в рамках OpenBSD, ныне лежит в основе подсистем безопасности в неисчислимом множестве коммуникационных устройств и интернет-приложений, работающих под любыми операционными системами.

В подобных условиях вполне можно понять беспокойство, появившееся у специалистов по защите информации после того, как в середине декабря (2010) Тео де Раадт (Theo de Raadt), основатель и бессменный лидер проекта  OpenBSD, опубликовал через форум разработчиков этой ОС послание следующего содержания:

Я получил письмо относительно ранней стадии разработки стека IPSEC в OpenBSD. В этом письме утверждается, что некоторые экс-разработчики (и компания, на которую они работали) получали деньги от правительства США на встраивание закладок-бэкдоров в наш набор сетевых протоколов, в частности в [отвечающий за безопасность] стек  IPSEC. Происходило все это дело примерно в 2000-2001 годах.

Поскольку первый IPSEC-стек у нас был доступным бесплатно, то значительные фрагменты этого кода ныне обнаруживаются во множестве других проектов и программных продуктов. За минувшие более чем 10 лет данный код пакета IPSEC проходил через множество модификаций и исправлений, так что уже неясно, каковым может быть реальный эффект от этих утверждений.

Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять. Читать «Без срока давности» далее

Posted on

Такая вот «паранойя»

(Ноябрь 2003)

Один из первых сигналов о попытках встраивания бэкдоров в ПО с открытым исходным кодом.

linuxbd

Программисты-разработчики, создающие следующую (2.6) версию ядра ОС Linux, обнаружили и заделали в исходных кодах «черный ход» (backdoor), реализованный столь хитро и искусно, что отныне даже для скептиков досужие разговоры о неуловимых «троянцах» в программах не кажутся больше параноидальным бредом.

Выявленный тайный ход или бэкдор в систему представляет собой неприметное добавление из всего двух строчек кода, тщательно замаскированных под невинный контроль ошибок, добавленный к функции системного вызова wait4().

Эта функция доступна любой программе, работающей на компьютере, и, грубо говоря, дает команду операционной системе сделать паузу в исполнении данной программы, пока другая программа не завершит свою работу.

При поверхностном просмотре новая добавка к коду просто проверяла, не использует ли программа, вызывающая wait4(), некую конкретную недопустимую комбинацию двух флагов, и не запущена ли она пользователем с максимальными привилегиями (root). Если оба условия выполняются, то вызов прерывается.

Но при более пристальном рассмотрении выяснилось, что код вовсе не проверяет, является ли пользователь всемогущим «root». На самом деле, если обнаруживается нужное сочетание флагов, то вызвавший процесс получает максимальные корневые привилегии и моментально превращает wait4() в «черный ход».

Другими словами, человек, знающий нужное сочетание флагов и место, где их следует применить, получает полный контроль над любой машиной. И вся эта гигантская разница – между тем, как код выглядит, и что он в действительности делает – заключена всего лишь в различии между знаками равенства и сравнения в языке программирования Си.

Так что если бы этот нюанс обнаружили при обычных обстоятельствах, то наверняка сочли бы за тривиальный «баг», элементарную ошибку программиста.

Суть же произошедшего в том, что выявлен был данный баг при обстоятельствах, не совсем обычных. Читать «Такая вот «паранойя»» далее