14.01.2014

Здравый смысл безопасника или не читайте перед обедом немецких газет

Безопасника от журналиста, падкого на сенсации, отличает здравый смысл и взвешенная позиция. Именно так я хотел бы посмотреть на последние "разоблачения Сноудена", описанные в немецком "Шпигеле" в конце прошлого года и которые стали активно обсуждать именно сейчас.

Что мы узнаем из этих материалов? В 2007-м году у АНБ был "каталог ОТТО" со списком возможностей, которые можно было использовать для несанкционированного доступа к ИТ-продукции большого спектра ведущих ИТ-компаний в целях спецслужб. Тут важны 4 момента:

  1. Цели спецслужб обычно отличаются своей скрытностью, которая является антонимом массовости. Ни о каком массовом внедрении "имплантов" речи не идет. Тем более не идет речи и о наличии предустановленных производителем на заводе закладок или уязвимостей. В статье Шпигеля говорится, что американские спецслужбы имеют возможность инсталляции своих имплантов в оборудование и продукцию, поставляемую отдельным заказчикам, попадающим под экспортный контроль (о нем я уже писал), за счет изменения маршрута логистики через "свои" склады, где и осуществляются все действия; скрытно от всех, включая производителей, дистрибьюторов, заказчиков и т.д. Я, конечно, не могу говорить за спецслужбы, но мне кажется, что они сами не заинтересованы в массовости установки своих имплантов - повышается вероятность их обнаружения. Поэтому если такие импланты и устанавливались, то под жестким контролем АНБ.
  2. Эти возможности по несанкционированному доступу известны с, как минимум, 2007-го года. Знаем ли мы о примерах использования этих возможностей? Я не слышал. О Stuxnet, созданном теми же спецслужбами, стало известно спустя полгода-год после его внедрения на заводе по обогащению урана в Натанзе. Тут проходит 7 лет и ни одного публичного факта использования. Секретность секретностью, но всплыть-то такие факты должны были за такой продолжительный интервал времени. Либо их нет, либо они единичны и против очень специфических жертв (террористы, китайцы и другие реальные "противники" США).
  3. Список пострадавших ИТ-компаний очень разносторонен и включает и американские, и арабские, и китайские компании. При этом в каталог включены не все линейки продукции, а только некоторые (не всегда самые ходовые). Если бы речь шла о закладках, сделанных сами разработчиками, в каталог были бы включено гораздо большее количество уязвимых продуктов. На мой взгляд это доказывает, что это "личная инициатива" спецслужб, имеющих возможность (не обязательно использующих) устанавливать руткиты на ИТ-продукции, но не на всей.
  4. То, что это каталог возможностей, а не продуктов с уже установленными закладками доказывает и тот факт, что почти все крупные компании не только подвергают свою продукцию тщательному QA-анализу со своей стороны, но и и привлекают для этого внешних консультантов, которые за 7 лет не нашли ничего похожего на упоминания в каталоге АНБ (в таком количестве). А еще есть и независимые исследователи, которым просто так рот не заткнуть (если предположить, что вендор и привлеченные им тестеры не будут выносить сор из избы).


На мой взгляд, все это доказывает только одно - проблема не так уж и опасна для массового заказчика, как ее преподносят СМИ (их мотивация понятна). Я не буду утверждать, что она совсем неактуальна, но не всем и не всегда. Правда, все это при условии, что материалы "Шпигеля" истинные, а не являются фальсификацией, призванной на волне интереса к разоблачениям Сноудену ударить по ИТ-монополии американских и азиатских компаний. Обратите внимание - в списке европейского Шпигеля нет европейских ИТ-компаний.

Но, допустим, это не газетная утка и не европейская провокация и факт имеет место быть - спецслужбы действительно могуть получить несанкционированный доступ к отдельным ИТ-продуктам, упомянутым в каталоге, и местами уже снятыми с производства. Что это значит для рядового потребителя? А ровным счетом ничего! Если не брать отдельные категории заказчиков, имеющих дело с гостайной или работающих в ВПК (а там и так особые требования к используемому ПО и оборудованию), то описанная "Шпигелем" угроза неактуальна. Разве может быть АНБ интересна рядовая российская компания, даже крупная по нашим меркам? Разве нет у спецслужб более простого способа получения нужной информации (при нашем-то уровне коррупции)? Ситуация аналогична ПП-1119 с его уровнями защищенности. Я уже писал (и моя позиция неофициально подтверждается коллегами из ФСТЭК и ФСБ), что угроза наличия НДВ в ИСПДн для 99% российских организаций является неактуальной и это решение принимает именно оператор ПДн. В случае с угрозой со стороны АНБ ситуация ровно аналогичная. Вы сами определяете - угроза они для вас или нет?

Ведь если принять угрозу НСД со стороны спецслужб актуальной, то получается, что необходимо защищаться от возможности несанкционированного доступа к сетевому оборудованию и средствам защиты (Сноуден про это пишет), ОС (про все операционки, включая Windows и Linux, также упоминается у Сноудена), мобильным и беспроводным устройствам (Сноуден и про это рассказал), процессорам (это с 95-го года известный факт) и т.п. И как с этим бороться? Методы есть; мы их уже обсуждали, когда готовились к 21-му приказу ФСТЭК, и потом, когда он уже вышел. Но все эти методы дорогостоящи, а для ряда платформ и вовсе невозможны. Есть еще один метод - разработка своей ИТ-продукции (одна попытка уже была). По нему пошел Китай. Но вот у нас почему действует другой метод - мы только запрещаем чужое, не создавая своего. Точнее запрещают одни, а создавать (или стимулировать создание) должны другие. Но первые работают эффективно, а вот вторые забили болт на развитие национальной ИТ-индустрии. В итоге страдает рядовой потребитель, которого уравняли со стратегическими объектами и объектами, обрабатывающими гостайну.

Резюмирую. Можно долго разглагольствовать об угрозах со стороны американских, английских, китайских, израильских или иных спецслужб. Такой флейм забавен на какой-либо конференции или в целях обеспечения государственной безопасности. Но для рядового безопасника, работающего в обычной коммерческой или муниципальной (а временами и в государственной) организации, эта тема является непродуктивной. Здравый смысл и мой опыт подсказывает, что это именно так. Если, конечно, не рассматривать угрозу со стороны российских силовиков, которые могут "отжать" бизнес (или просто напакостить), что происходит достаточно часто в последнее время. Правда, это уже не проблема специалистов по ИБ. Неактуальность угрозы ИБ со стороны иностранных спецслужб не отменяет необходимости задумываться о развитии собственной ИТ-отрасли, но думать об этом должны немного другие люди. Кстати, эта тема упомянута в Стратегии кибербезопасности РФ. Что же касается повседневной деятельности или прогнозов на 2014-й год, то могу дать ссылку на неплохую заметку "Игнорируйте прогнозы, забудьте рекомендации и сосредоточьтесь на трех ключевых направлениях, которые сделают успешным этот год ИБ для вас". В ней говорится, что ориентироваться надо всего на три вещи в своей ИБ-деятельности:

  • Изучите и знайте СВОЙ бизнес, чтобы принести ему пользу и ценность!
  • Обеспечьте минимально необходимый уровень безопасности того, что нужно в первую очередь бизнесу!
  • Установите приоритеты своей ИБ-деятельности, дающей новую ценность бизнесу!
Если борьба с иностранными спецслужбами попадает у вас в эти три рекомендации, то чтож, значит вас ждет интересная (это новый опыт) и затратная (это очень дорого) борьба с ветряными мельницами!

ЗЫ. Со Старым Новым Годом!

17 коммент.:

Ригель комментирует...

Есть неточности. Во-первых, спецслужбы США часто приравнивают интересы крупнейших своих налогоплательщиков к интересам национальной безопасности.
Во-вторых, актуальность угроз не должна оцениваться огульно - без учета политического момента и конкретного проекта. Так у объектов, возводимых в интересах российско-венесуэльского и российско-итальянского сотрудничеств она будет разной. В-третьих, не все жучки ставятся физически через TAO.

Tomas комментирует...

Если иностранные спецслужбы делали бы ставку только на коррупцию, т.е. что можно все купить, и не имели бы средств проверки достоверности, то остальные спецслужбы играли бы в двойных агентов, продавая дезу. А так сведения поступают из разных источников, вероятность их правдивости выше. Затратность жучков для АНБ не велика, зато + доп.канал информации.

Артем Агеев комментирует...

В соответствие с ранними материалами Сноудена АНБ имеет несколько десятков точек сбора трафика на территории России (http://www.nrc.nl/nieuws/2013/11/23/nsa-infected-50000-computer-networks-with-malicious-software/).

Кроме того закладка для МЭ Cisco, по словам АНБ, широко применялась еще в 2008 году ("Has been widely deployed..").

Поэтому можно вполне предположить, что на территории России есть как минимум несколько десятков активных зараженных устройств.

Целью атак АНБ частенько являлись не просто ИТ компании, а СОЮЗНЫЕ ИТ компании (BELGACOM). Что уж говорить про наших операторов связи, точки обмена трафиком, нефтегазовые компании и т.д.

Закладка в МЭ Cisco состоит из двух частей. Первая JETPLOW храниться в BIOS, переживает обновления операционной системы и подгружает по необходимости вторую закладку - BANANAGLUE, которая может управлять устройством, отправлять на сервера АНБ интересующую их информацию и т.д.

Пассивная часть бесплатна для АНБ и союзных спецслужб, "широко распространена" и очень сложно детектируется в своей "спящей" стадии (так как в операционной системе не присутствует). Поэтому для АНБ вполне экономически и технически выгодно максимально её распространить и потом уже активировать полностью исходя из оперативных потребностей.

Если даже специалисты Cisco не участвовали в создании/распространении закладки, то в этом, вероятно, не было необходимости.

Сергей Борисов комментирует...

Что мешает АНБ действовать аналогично и даже более эффективно чем небольшие хак. группы: скупать приватные эксплоиты для сетевого оборудования, заказывать аналитикам разработку новых (ведь у США есть исходники ПО большинства вендоров, с исходниками найти уязвимость проблем не составляет), используя уязвимости устанавливать на сетевое оборудования временное ПО, которое не будет ничего делать пока не получит команду или раз в месяц не выйдет на связь, а когда потребуется загрузить вредоносное ПО под конкретную актуальную задачу

Сергей Борисов комментирует...

У них есть эти возможности и такие работу будут соответствовать достижению целей АНБ, значит они ими воспользуются?!

Turkish комментирует...

Если судить по виду некоторых аппаратных закладок (на фото-перепечатках в C-news), то видно, что это ручные поделки. Что, какбэ, выглядит странно для такой организации как АНБ с ее финансированием (1), неприменимо для масштабного использования (2).
Таки следует вывод, что это скорее всего фейк, вброшенный с какими-то неясными целями.

Алексей Лукацкий комментирует...

Ригель: я же не про огульность, а про здравый смысл. Я не писал, что такого не может быть. Просто для основной массы безопасников эта проблема не стоит и выеденного яйца. Но, и в заметке это есть, есть и те, кому стоит задуматься. Правда, основной затык будет на попытке ответить на вопрос "Что делать дальше?". Государство у нас ничего предложить не может :-(

Алексей Лукацкий комментирует...

Артем, все-таки "widely deployed" и "широко применялась" - это не одно и тоже. Скорее "широко внедрена". Но это не значит, что она использовалась - я про это и написал.

Алексей Лукацкий комментирует...

Сергей: они и скупают приватные эксплойты - это факт общеизвестный. Я в заметке написал, что упомянутое Шпигелем оборудование тестируется не только самими вендорами и нанятыми тестерами, но и независимыми тестерами. Например, Cisco, активно FX тестит. Но почему-то никто пока ничего не нашел похожего на описанное Шпигелем. Поэтому о массовости говорить не приходится.

Ригель комментирует...

Алексей, ориентироваться на (типовое и старое) мнение ФСБ об актуальности Н6 - это не здравый смысл. В остальном не о чем спорить, все ясно же.

з.ы. Каталог в оригинале нужен кому?
http://cryptome.org/2013/12/nsa-catalog.zip

Роман Юдичев комментирует...

Вид "ручных поделок" аппаратных закладок можно попытаться объяснить тем, что это, возможно, не "каталог ОТТО" в чистом виде, а какой-то вид отчёта перед руководством\спонсорами за период финансирования + крючок с наживкой для отлова новых траншей на развитие технологий.

Ригель комментирует...

Ручные поделки в случае своего обнаружения и должны выглядеть именно ручными поделками, а не указывать на происхождение с заводов TI по госзаказу.

tsv комментирует...

Алексей,
вот это http://www.securitylab.ru/news/448813.php усиленно тестируют QA-анализаторы в Cisco да ещё и с привлечением независимых консультантов? но находят, почему-то, независимые исследователи.

И эта проблема действительно "не так уж и опасна для массового заказчика, как ее преподносят СМИ" ?

Алексей Лукацкий комментирует...

tsv: именно так - направление Linksys с оборудованием для малого бизнеса (а уязвимость найдена именна там) было продано нами компании Belkin ввиду того, что нам надо было сконцентрироваться на более профильных и прибыльных направлениях.

И я еще раз обращаю ваше внимание, что я написал в заметке про тестирование и со стороны независимых тестеров. Приведенный по ссылке факт только это подтверждает.

Иван Радуга комментирует...

Алексей, цель поста обелить своего работодателя?

Иван Радуга комментирует...

Tomas, Алексей уже давно не имеет практики в безопасноти, поэтому упустил этот момент.

Дмитрий Желвицкий комментирует...

Вполне возможно, что журналисты многое не понимают и не тех экспертов опросили. Но у Вас сразу бросается в глаза предпосылка, что АБН не интересны обычные российские предприятия, не относящиеся к ВПК. Во-первых, отжать могут не только российские силовики. Можно искать грехи и заставлять, что-то делать. Например, давать деньги в фонды защиты демократии (то есть, на переворот). Думаю, многие наши бизнесмены это делают, хотя не очень желают. Чаще другие методы используются, но следить за своими агентами (коих много в России) нужно. Можно собирать конфиденциальную и секретную информацию (коммерческие секреты, технологии - в некоторых сферах вполне интересно для воровства). Наконец, можно угрожать нанесением массового вреда различным системам, но это когда уже дело дойдет почти до войны. Стратегически важные отрасли охватывают почти всю экономику. Думаю, интересны не только предприятия, но даже обычные граждане. Хотя для этого, вероятно, используются не жучки, а Интернет. Вредоносное ПО это несколько другое, чем сбор информации, которая проходит через анализ.