13.09.2016

Heartbleed, атрибуция кибератак и бритва Хенлона

Давно хотел написать эту заметку, но все как-то руки не доходили. Но после почти месяца пребывания в США тема всплыла вновь и теперь я уже не могу про нее не написать. Но сначала я задам риторический вопрос: "Кто стоит за уязвимостью Heartbleed?" Отдельные чудаки, как это часто бывает, безапелляционно скажут, что это АНБ внедрило уязвимость, которой были подвержены сотни тысяч узлов в Интернет. Я же, известный агент вашингтоновского обкома, расширю этот список (несанкционный) следующими кандидатурами:
  • ФСБ. А почему бы и нет? Если уж наша спецслужба манипулирует мочой спорстменов и выборами американского президента (и непонятно, что еще сложнее), то что ей мешает внести правки в код OpenSSL?
  • Криминал. Тоже вариант. OpenSSL крутится на многих финансовых ресурсах, которые могут представлять интерес для злоумышленников, которые могли подкупить разработчиков OpenSSL или самостоятельно внести уязвимость в код.
  • Обиженный фанат open source community, которого отшила подружка на день Рунета (а именно в этот день была опубликована информация о Heartbleed).
  • Инопланетяне. Ну а почему бы и нет? При отсутствии доказательств их несуществования тоже вполне себе версия; не хуже и не лучше других.
Аналогичный вопрос об авторстве может возникнуть и в отношении кибератак. Сами по себе они врядли возникают (а уязвимости могут, но об этом ниже). Поэтому вопрос об атрибуции киберугроз встает достаточно остро. У нас часто обвиняют американцев, а те в свою очередь, а за ним и европейцы, любят обвинять во всех своих кибер-бедах китайцев и русских. Но на чем каждая сторона основывает свои доводы? На принципе геополитической целесообразности. Ничего другого пока за этими обвинениями нет.

В последний месяц-другой было очень много обвинений России в кибератаках. То на Демпартию США, то на WADA, то на спортивный арбитраж, то на NY Times, то даже на само АНБ... Тут впору вспомнить известный старый фильм "Красная жара" с Шварцнегером:



Юный инноватор (таким званием он был награжден) из американской CrowdStrike, ее основатель и технический директор, Дмитрий Альперович, изучавший взлом демократов, дословно написал в своем исследовании: "Extensive targeting of defense ministries and other military victims has been observed, the profile of which closely mirrors the strategic interests of the Russian government, and may indicate affiliation with Главное Разведывательное Управление (Main Intelligence Department) or GRU, Russia’s premier military intelligence service". То есть вывод о русском следе сделан на основании того, что среди жертв были преимущественно военные организации, и атаки происходили с IP-адресов, зарегистрированных за Россией.

В отчете ThreatConnect, названном "Все дороги ведут в Россию", чуть больше деталей деятельности хакера(ов), скрывающихся под именем Guccifer. Опираясь на информацию о владельцах ряда адресов, участвующих в атаке на демократов, и используемый русскоязычный интерфейс, был вновь сделан вывод о русском следе. Тут не могу опять не вспомнить очередное творение советского периода - книгу "Тайна Фенимора" и снятый по ее мотивам фильм "Три веселые смены". Там был такой фрагмент:

"Но неожиданно Ира Привалова спросила Женю Рыжика:
– А кто такой Фенимор?
– Не знаю… – неуверенно сказал мальчик и тут же поправился: – Писатель такой… Фенимор… Купер.
– Странно, – сказала вожатая, – сегодня во сне ты произносил это имя. Может быть, тебе приснился Фенимор Купер?…
Писатель? – Не знаю. Может быть, и приснился. Какое это имеет значение.
Ира Привалова сурово посмотрела на Женю Рыжика.
– Штабс-капитан Рыбников во сне заговорил на родном японском языке, и это выдало его как японского шпиона. Во сне человек может открыть свою тайну.
С этими словами она встала и пошла прочь.
– Нет у меня никаких тайн! – вслед ей крикнул Рыжик."


Если бы я был русским хакером, работающим на ФСБ, то я специально бы выбрал для своей деятельности сайт, у которого только один интерфейс, на русском; чтобы он уж точно вел все следы в Россию (это была шутка). Хотя в ThreatConnect на полном серьезе считают, что использование русского VPN-сервиса через французскую инфраструктуру - это фирменный знак российских спецслужб :-) Помимо ThreatConnect, а они написали целых 9 статей на тему взлома "русскими хакерами" американских демократов, этот кейс разбирали в Mandiant, известной своей любовью к России, и Fidelis. Уровень их доказательств примерно такой же и в качестве основа атрибута в своих выводах они опираются на "русские" IP-адреса.

Пресса тоже сходится в мнении, что за последними атаками стоят русские хакеры, ассоциированные с государством. Мотивация журналистов проста - а кто еще, кроме России, которая имеет большой опыт влияния на внутреннюю политику по всей Европе? Например, в Independent это обосновывается так: "And who was responsible for the leak? Almost certainly, experts say, the Russians, directly or indirectly. For one thing, the Kremlin has a long record in doing this sort of thing, meddling in internal politics across Europe. Back when the DNC hack became public, in mid-June, Russian agents were identified as prime suspects".

Однако, если отбросить всю эту околополитическую шумиху, то на самом деле провести реальную атрибуцию киберугроз сегодня очень затруднительно. Я в прошлом году писал большую статью на эту тему, в которой постарался показать, что существует множество причин организационного, правового, коммерческого, геополитического, психологического плана, которые мешают адекватной атрибуции. И это еще мы не рассматриваем ситуацию, когда злоумышленники осознанно фальсифицируют якобы "доказательства" своей деятельности, призванные направить исследователей по лживому следу. Например, Лаборатория Касперского обнаружила такие факты в отношении кампании CloudAtlas и хакерских групп Lazarus и Sofacy. Понимая всю сложность атрибуции ЛК отказалась от того, чтобы указывать авторство вредоносных программ и кампаний, которые они расследуют. И многие специалисты (а не балаболы, гонящиеся за дешевой популярностью) сегодня стараются следовать этой практике.

Например, известный эксперт по кибербезопасности промышленных систем Роберт Ли, известный своей русофобией, часто называл Россию в качестве основного источника современных киберугроз. Я с ним даже спорил на эту тему и в Интернете и на курсах SANS, на которых он был моим инструктором. После неоднократных дискуссий на эту тему он перестал огульно обвинять Россию, сменив риторику на более спокойную. В частности в своей мартовской статье, он подробно описывает все сложности атрибуции киберугроз и просит не считать его прежние высказывания о том, что за атаками на энергосистему Украины стоит Россия, верными. Более того, он пишет, что доказательств этого нет и скорее всего не будет найдено, с чем я тоже соглашусь (если не будет какого-либо перебежчика, который раскроет, кто же все-таки стоял за этой атакой).

Завершить свою длинную заметку мне хотелось бы возвратом к тому, с чего я начал. Помимо названных пяти вариантов появления Heartbleed есть и шестой, который лично мне представляется наиболее вероятным. Называется он "бритвой Хенлона", за которой скрывается известная фраза "Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью". По данным компании Black Duck 67% компаний в мире не анализируют уязвимости в open source. И с OpenSSL ситуация была именно такой - этот проект поддерживался в инициативном порядке всего двумя разработчиками, занимающимися этим неполный рабочий день. Стоило ли в таких условиях ждать, что они будут заниматься безопасностью модуля по безопасности?


При таких исходных условиях я с большей охотой поставлю именно на раздолбайство, а не на спецслужбы, якобы стоящие за всеми громкими уязвимостями. Как сказал Пелевин: "Миром правит не тайная ложа, а явная лажа" и я склонен с ним согласиться. Значит ли это, что это всегда так? С уязвимостями вполне допускаю, но с атаками дело обстоит иначе и за ними всегда стоит кто-то. Только вот чтобы утверждать об этом "ком-то" необходимо гораздо более веские доводы, чем "только русские спецслужбы говорят на русском языке", "только китайцам интересны американские секреты" или "только Израиль может стоять за атаками на Сирию и Иран".