Угрозы на три буквы

(Май 2014)

Все знают, что выбор правильного названия для нового корабля, нового продукта или новой инициативы – дело очень важное. Особо же интересны такие случаи, когда тщательно подобранное название оказывается чем-то вроде «оговорки по Фрейду».

Malware-Trap

Ярчайший пример подобных казусов имел место весной 2003 года, когда госадминистрация США устроила международное военное вторжение в Ирак. Для общего именования этого мероприятия по свержению режима Саддама Хуссейна вашингтонские политтехнологи придумали специальное благородное название – Operation Iraqi Liberty, то есть «Операция Иракская Свобода».

Но затем красивое имя пришлось поспешно менять. Лишь после того, как исходное название уже было озвучено и растиражировано в средствах массовой информации, до лидеров великой державы дошло, наконец, что первые буквы их операции складываются в слово OIL или «НЕФТЬ». То есть в прямое указание на истинную цель новой войны, развязанной США абсолютно без всяких законных оснований и даже без сколь-нибудь убедительного повода.

История, о которой будет рассказано здесь, закручена вокруг совершенно других, казалось бы, вещей – типа цифровых мобильных устройств, компьютерной безопасности и тому подобного. Но если посмотреть на тему под определенным углом, то несложно заметить, что и здесь речь идет, в сущности, все о том же… Читать «Угрозы на три буквы» далее

Трындец, приехали, или Йожик здох…

(Апрель 2014)

Технический прогресс и логика шпионской жизни довели наши компьютеры вообще, и подсистему BIOS-UEFI в частности, до очень интересного состояния. И как теперь из него выбираться, никто толком не знает.

yozhik-v-tumane

В застойные брежневские времена ходил среди советских студентов такой, помнится, грустный анекдот.

Жили-были в лесной чаще два маленьких ёжика. Один совсем слепой, другой одноглазый. И вот решили они однажды развлечься – сходить к девочкам. Взял одноглазый слепого за лапку, и отправились они в путь. Долго шли по лесу, устали уже, и тут вдруг наткнулся зрячий ёжик на сучок – и лишился последнего глаза… «Ну все, трындец, пришли», – мрачно сказал проводник. «Здравствуйте, девочки!» – радостно воскликнул слепенький…

Созвучная этой притче история, о которой пойдет речь здесь, тоже начиналась довольно давно, еще в середине 1990-х годов. Именно тогда стали появляться первые новости о манипуляциях с прошивками BIOS, то есть с «базовой системой команд ввода-вывода» ПК, обеспечивающей самые начальные этапы загрузки компьютера сразу после включения питания.

В первом десятилетии нового века на хакерских конференциях не раз отмечались доклады, демонстрирующие, что в принципе код прошивки чипа BIOS (а также флеш-память других компонентов, вроде видеокарты, накопителя, сетевой платы и т.д.) позволяет прятать там шпионские бэкдоры или вирусы. При этом ни одна из антивирусных программ на рынке в таких местах искать вредоносные программы не умеет.

Докладчиков слушали, с выводами их соглашались, однако ничего конкретного для исправления ситуация никто практически не делал. Потому что память в BIOS очень маленькая, каждый производитель компьютеров (точнее, материнских плат) имеет для программирования BIOS собственное ПО и прошивки, заточенные под особенности конкретной архитектуры, все эти прошивки разных фирм имеют закрытый код и вообще друг с другом несовместимы.

Короче говоря, универсальной угрозы «для всех» тут не просматривалось и близко, а  масштабы распространения и серьезности вирусов «обычных» настолько огромны, что тема борьбы с инфекциями в BIOS представлялась всем, мягко говоря, неактуальной. Читать «Трындец, приехали, или Йожик здох…» далее

#gotofail: Ошибка или Умысел?

(Март 2014)

Недавний гранд-прокол Apple с обеспечением безопасности своих ОС породил тучу весьма неудобных вопросов к корпорации. Важнейший из них звучит просто: была ли это случайность или же чье-то вредительство? И самое грустное, что действия Apple выглядят очень нехорошо фактически при любом варианте ответа на данный вопрос.

apple-fail

Почти идеальная закладка?

Когда мир вступил в «Эпоху Эдварда Сноудена», сообщество компьютерной безопасности оказалось, без преувеличения, шокировано и подавлено реальными масштабами того, насколько глубоко скомпрометированы спецслужбами чуть ли не все общераспространенные средства защиты информации.

По сути дела, оказалось так, что доверять тут нельзя никому и ничему, а изощренные шпионские закладки или «бэкдоры» спецслужб могут обнаруживаться в абсолютно любых компьютерных устройствах, программах и средствах связи.

Иначе говоря, теперь и независимым авторитетным экспертам по защите информации волей-неволей приходится ставить себя на место компетентных правительственных органов – дабы лучше представлять себе возможные модели атак и злоупотреблений, к примеру. И вот, один из таких широко известных специалистов, американский крипто-гуру Брюс Шнайер, осенью 2013 сформулировал в этом ключе следующую любопытную идею.

Рассуждая «как шпион» о наилучших путях к разработке и реализации программного бэкдора, Шнайер предложил три главных особенности-характеристики для «действительно хорошей закладки»:

  1. Низкие шансы на обнаружение;
  2. Минимальный уровень заговора для практической реализации;
  3. Высокая степень правдоподобности для отрицания умысла в случае обнаружения.

Об этой своей концепции Брюс Шнайер сразу же вспомнил ныне, когда миру стало известно о той критически серьезной уязвимости, что обнаружена в защите операционных систем Apple – мобильной iOS и OSX для десктопов и ноутбуков.

Потому что эта дыра – или даже скорее дырища – которую корпорация Apple латала в последнюю неделю февраля своими новыми релизами ПО, по компетентному мнению Шнайера представляет собой «превосходный пример» именно такой действительно хорошей закладки.

Читать «#gotofail: Ошибка или Умысел?» далее

Мечты о защите

(февраль 2013)

В области компьютерной безопасности вообще и в области антивирусного ПО, в частности, ныне стали звучать более адекватные оценки реальной ситуации с защитой. Особых перемен в связи с этим пока не происходит, однако и честное признание проблем – уже большое дело.

chess

Практически на протяжении всего февраля (2013) в американских СМИ одна за другой волнами проходят очень тревожные публикации. В стране, как выясняется, ужасная ситуация с защитой компьютерной инфраструктуры.

В сетях чуть ли не всех ведущих газет-журналов, многих правительственных ведомств США и неисчислимого множества корпораций уже орудуют или непрерывно пытаются туда проникнуть коварные и умелые китайские хакеры, работающие на военных КНР.

За этим тревожным набатом почти не слышно голосов независимых американских экспертов по защите информации, которые пытаются, как могут, спокойно объяснить народу, что все это, в сущности, политические игры. Что компьютерный шпионаж был всегда, сколько существуют компьютеры и сети. Причем активно участвуют в нем все, кто только может, включая в первую очередь и сами США.

Называть же это дело «кибервойной» вдруг стало очень важно по той причине, что под защиту страны от военной угрозы деньги из бюджета дают намного лучше и в несравнимо больших количествах, нежели под какие-то темные шпионские дела.

Но это все, так сказать, общие фразы для погружения в тему.

Конкретно же здесь имеет смысл рассказать, как началась нынешняя волна «кибервоенной истерии» – с публикации большой статьи в выпуске центральной газеты New York Times (NYT) от 31 января 2013 года. Потому что статья эта была объективно полезная и содержательная. Можно даже сказать, этапный получился материал.

Ибо в конечном счете он может послужить не только и не столько раскручиванию лишь очередного витка в пропагандистской политической кампании, но и куда более важному делу.

Есть вероятность, что именно благодаря таким необычным публикациям – а также их необычным последствиям и более реалистичному взгляду общества на вопиющую НЕэффективность стандартных антивирусных средств защиты – удастся добиться перемен в этой области.

Смена правил

Что же такого необычного было в статье NYT под названием «Хакеры из Китая атаковали Таймс на протяжении последних 4 месяцев»?

Во-первых, вопреки давно сложившимся и по умолчанию принятым в бизнесе правилам, газета честно и подробно рассказала, как стала жертвой широкомасштабной хакерской атаки. Обычно в бизнес-кругах считается, что рассказывать всем о подобных вещах – это компрометировать собственную репутацию и отпугивать потенциальных клиентов.

Руководство газеты в данной ситуации решило иначе, и проинформированное общество наверняка от этого решения только выигрывает.

Во-вторых, поскольку в статье NYT открытым текстом сказано, что для защиты редакционной сети изначально использовались антивирусные средства компании Symantec (оказавшиеся абсолютно бесполезными), данная фирма в ответ тоже нарушила общепринятые правила – не давать комментариев о своих клиентах – и заявила нечто неординарное.

Хотя в заявлении Symantec отчетливо видны скользкие формулировки пиара, общество в итоге все равно оказывается в выигрыше. Поскольку хотя бы часть правды о реальной «пользе» антивирусов становится известна непосредственно от их ведущего поставщика.

Ну и в третьих, тщательный анализ текста статьи NYT позволяет в общих чертах восстановить, каким образом ныне происходит реальная борьба с действительно серьезными компьютерными проникновениями злоумышленников в ваши компьютерные системы.

И постичь, что единственно эффективный на данный момент способ вернуть себе «чистую» систему в подобной ситуации – это полностью сменить зараженные компьютеры. И далее просто надеяться, что подобное не повторится.

Понятно, что ни один поставщик средств компьютерной безопасности в явном виде этого никогда не признает. Обществу же (т. е. и нам, пользователям, в конечном счете), однако, самое время задуматься над тем, как и почему все это с компьютерами произошло. И каким образом, главное, столь унылое положение дел можно было бы изменить. Читать «Мечты о защите» далее

DUQU, или скрытая угроза

(Октябрь 2011)

Новейшая шпионская программа государственных спецслужб как наглядная иллюстрация странных реалий нашей жизни.

duquv

Трудности шпионской работы

Среди множества интересных, но малоизвестных эпизодов второй мировой войны однажды имел место такой случай.

Совсем молодая по тем временам американская разведслужба OSS (из которой впоследствии получилось ЦРУ) по просьбе английских коллег занялась похищением криптографических ключей Испании. Ибо британцам было очень нужно регулярно читать шифрованную дипломатическую переписку генерала Франко, как одного из главных союзников Гитлера в Европе, а аналитическими методами испанские шифры вскрыть не удавалось.

Похищение криптоключей происходило совершенно тривиальным образом. В подходящую ночь умельцы по взлому из OSS просто проникали в испанское посольство в Вашингтоне и копировали нужный англичанам очередной комплект ключей. Правда, поскольку комплекты менялись каждый месяц, то и ночные визиты в посольство приходилось наносить тоже ежемесячно. И вот, при завершении четвертого из таких посещений, сотрудников американской разведки арестовало ФБР США…

Конечно же, произошло это совсем не случайно и отнюдь не по недоразумению. Просто глава ФБР Эдгар Гувер – в годы войны ставший еще и главным контрразведчиком страны – был абсолютно уверен, что подобного рода тайные дела на американской территории могут происходить только с его ведома и под его контролем.

А поскольку шеф внешней разведки Уильям Донован про операции в испанском посольстве не только с Гувером не советовался, но и вообще не считал нужным ставить его в известность, то директор ФБР решил как следует проучить зарвавшихся шпионов из смежного ведомства.

Ничего путного, впрочем, из этого урока не получилось. Разъяренный Донован (известный также под кличкой «Дикий Билл») велел своим сотрудникам собрать на Гувера компромат посерьезнее. А когда он вскоре был добыт, то все проблемы разведки с ФБР стали решаться легко и просто – элементарным методом под названием беспощадный шантаж. Но это, впрочем, уже совсем другая история… (подробности см. тут )

Предупреждения об угрозе

Вспоминается этот забавный эпизод сегодня вот по какой причине. Под конец октября (2011) сразу несколько государственных ведомств США, отвечающих за определенные аспекты национальной безопасности страны, выпустили информационные бюллетени с предупреждениями о новой компьютерной угрозе – вредоносной программе под названием DUQU (читать это буквосочетание в англоязычной среде предлагается как «дью-кью», однако для русского языка куда более естественно было бы просто «дуку»).

На общем фоне гигантского количества разнообразных вредоносных кодов, постоянно появляющихся в компьютерах и сетях, программа DUQU выделяется как особо опасная тем, что несет в себе бесспорные черты фамильного сходства и общего происхождения со знаменитым «червем червей» по имени Stuxnet (см. «Боевой червь Stuxnet«).

Этот супер-троянец, можно напомнить, в прошлом году просто-таки поразил антивирусную индустрию и сетевую публику в целом своей небывалой сложностью и изощренностью. А конкретно для Ирана Stuxnet стал проблемой, серьезно затормозившей прогресс в обогащении урана и национальную ядерную программу в целом.

И хотя документальных – или тем более официальных – подтверждений этому нет, среди специалистов практически никто не сомневается, что созданием кода Stuxnet занимались в секретных лабораториях государственных спецслужб. Более того, имеется достаточное количество свидетельств, которые недвусмысленно указывают, разведки каких именно государств наверняка приложили тут руку – США и Израиля.

Иначе говоря, налицо имеются следующие факты нашей странной жизни. В компьютерах множества разных государств объявляется новая, весьма изощренная шпионская программа, по своим ключевым признакам явно сработанная при участии разведки США. А в ответ американские органы безопасности, вроде DHS (Департамент госбезопасности) и ICS-CERT (Реагирование на киберугрозы в области систем промышленного управления) рассылают документы о том, как этой трудноуловимой напасти следует противостоять (в общем-то, никак, кроме регулярного обновления штатных антивирусов)… Читать «DUQU, или скрытая угроза» далее

Без срока давности

(Январь 2011)

О том, как ФБР и АНБ встраивали закладки-бэкдоры в криптографию OpenBSD, операционной системы с открытыми исходными кодами.

keyhole

Среди всего того разнообразия операционных систем, что в свое время отпочковались от ОС Unix, проект OpenBSD всегда отличался особо тщательным подходом к обеспечению защиты информации.

Именно по этой причине — ну и благодаря открытому исходному коду, конечно же — криптография, поначалу создававшаяся в рамках OpenBSD, ныне лежит в основе подсистем безопасности в неисчислимом множестве коммуникационных устройств и интернет-приложений, работающих под любыми операционными системами.

В подобных условиях вполне можно понять беспокойство, появившееся у специалистов по защите информации после того, как в середине декабря (2010) Тео де Раадт (Theo de Raadt), основатель и бессменный лидер проекта  OpenBSD, опубликовал через форум разработчиков этой ОС послание следующего содержания:

Я получил письмо относительно ранней стадии разработки стека IPSEC в OpenBSD. В этом письме утверждается, что некоторые экс-разработчики (и компания, на которую они работали) получали деньги от правительства США на встраивание закладок-бэкдоров в наш набор сетевых протоколов, в частности в [отвечающий за безопасность] стек  IPSEC. Происходило все это дело примерно в 2000-2001 годах.

Поскольку первый IPSEC-стек у нас был доступным бесплатно, то значительные фрагменты этого кода ныне обнаруживаются во множестве других проектов и программных продуктов. За минувшие более чем 10 лет данный код пакета IPSEC проходил через множество модификаций и исправлений, так что уже неясно, каковым может быть реальный эффект от этих утверждений.

Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять. Читать «Без срока давности» далее

Такая вот «паранойя»

(Ноябрь 2003)

Один из первых сигналов о попытках встраивания бэкдоров в ПО с открытым исходным кодом.

linuxbd

Программисты-разработчики, создающие следующую (2.6) версию ядра ОС Linux, обнаружили и заделали в исходных кодах «черный ход» (backdoor), реализованный столь хитро и искусно, что отныне даже для скептиков досужие разговоры о неуловимых «троянцах» в программах не кажутся больше параноидальным бредом.

Выявленный тайный ход или бэкдор в систему представляет собой неприметное добавление из всего двух строчек кода, тщательно замаскированных под невинный контроль ошибок, добавленный к функции системного вызова wait4().

Эта функция доступна любой программе, работающей на компьютере, и, грубо говоря, дает команду операционной системе сделать паузу в исполнении данной программы, пока другая программа не завершит свою работу.

При поверхностном просмотре новая добавка к коду просто проверяла, не использует ли программа, вызывающая wait4(), некую конкретную недопустимую комбинацию двух флагов, и не запущена ли она пользователем с максимальными привилегиями (root). Если оба условия выполняются, то вызов прерывается.

Но при более пристальном рассмотрении выяснилось, что код вовсе не проверяет, является ли пользователь всемогущим «root». На самом деле, если обнаруживается нужное сочетание флагов, то вызвавший процесс получает максимальные корневые привилегии и моментально превращает wait4() в «черный ход».

Другими словами, человек, знающий нужное сочетание флагов и место, где их следует применить, получает полный контроль над любой машиной. И вся эта гигантская разница – между тем, как код выглядит, и что он в действительности делает – заключена всего лишь в различии между знаками равенства и сравнения в языке программирования Си.

Так что если бы этот нюанс обнаружили при обычных обстоятельствах, то наверняка сочли бы за тривиальный «баг», элементарную ошибку программиста.

Суть же произошедшего в том, что выявлен был данный баг при обстоятельствах, не совсем обычных. Читать «Такая вот «паранойя»» далее