23.1.14

Осторожно! Во дворе злая собака!

Илья Медведовский в 2 ночи в Twitter'е решил поинтересоваться обещанным завершением истории про Сноудена (видимо его очень волнует эта тема, что ночами не спит). Илья, тебе посвящается эта заметка :-)



Жителям Москвы и крупных городов не часто приходится видеть табличку на заборе "Осторожно! Злая собака", а в небольших городках с частными жилыми домами, такая табличка не редкость. У нее одна задача - отпугнуть потенциальных воришек или иных вандалов от участка и дома. И не важно есть во дворе собака или нет - главное, заставить нарушителя задуматься и, возможно, одуматься. Так вот ситуация со Сноуденом напоминает мне такую же табличку. Объясню почему.

Во-первых, смутило меня как отсутствие подтвержденных фактов наличия имплантов (это за 7 лет-то), так и список пострадавших компаний.

Во-вторых, еще как только стало известно о разоблачениях Сноудена (кстати, если вы хотите самостоятельно сгенерить новое "разоблачение Сноудена", то достаточно сделать всего один клик :-)), меня посетила банальная мысль. Эдвард Сноуден, бывший охранник, ставший системным администратором с доступом к данным уровня "Совершенно секретно" (и даже выше) за непродолжительное время работы утащил 1.7 миллиона секретных документов по совершенно различным тематикам из самого закрытого ведомства в мире? И все это один человек? И никто не смог отследить его действия? В АНБ не было внедрено системы разграничения доступа? В АНБ не было логов и системы их анализа? Не странно ли?

Когда в 91-м году я начинал заниматься безопасностью и практику проходил в одном "ящике", я ходил в тамошнюю библиотеку и читал недоступную на тот момент широкой аудитории литературу по безопасности. Преимущественно переводную. Так вот тогда очень много говорилось о защите информации от НСД и применении различных моделей контроля доступа. В России говорили, в основном, только о модели Белла-ЛаПадулла, в то время как в США свое применение находили и другие модели контроля доступа - Миллена, Кларк-Вилсона, Биба и т.п. И реализовывались они, преимущественно, в силовом блоке США - МинОбороны и спецслужбах. И систему обнаружения атак, впервые появившиеся в 80-м году, анализировали именно логи и такие подозрительные действия просто не могли пропустить. Я не был в АНБ и не знаю как у них устроена система разграничения доступа, но что-то подсказывает мне, что там сидят явно не тупицы, ничего не понимающие в безопасности (иначе бы проникнуть в системы АНБ мог любой мало-мальски подкованный нарушитель).

И вот на фоне моих сомнений, Саша Гостев из Лаборатории Касперского подкинул мысль, которая показалась мне вполне здравой. Он привел выдержки из книги Ричарда Кларка "Третья мировая война. Какой она будет?", первое издание которой было опубликовано в 2010-м году (за 3 года до "разоблачений" Сноудена). Напомню, что Кларк был одним из идеологов темы кибербезопасности в США, первым "киберцарем", советником Президента США по кибербезопасности и т.п.


Первый фрагмент - "Предположим, что Соединенные Штаты (или какая-либо другая страна) обладают таким мощным наступательным кибероружием, что могут преодолеть любую защиту и нанести серьезный урон вооруженным силам и экономике противника. Если бы США объявили о таких возможностях, не раскрывая деталей, многие оппоненты сочли бы, что мы блефуем. Когда не известны подробности, когда никто не видел американское кибероружие в действии, мало кто испугается до такой степени, чтобы воздерживаться от действий."

Второй фрагмент - "Поскольку около 20–30 стран уже создали наступательные киберподразделения, очевидно, что предотвратить их появление нам не удалось. Чтобы помешать противнику использовать эти возможности против нас, необходимо «опираться на демонстрацию нашего потенциала». Однако атмосфера секретности, окружающая наступательное кибероружие США, означает, что мы не можем продемонстрировать свои возможности."

Третий - "Предполагалось, что в рамках инициативы будет разработана «стратегия удержания от информационной войны и декларативная доктрина». Реализация этой части плана была почти полностью заморожена. В мае 2008 года комитет по делам вооруженных сил сената раскритиковал секретность этой программы в публичном докладе, отметив, что "сложно представить, как Соединенные Штаты смогут провозгласить убедительную доктрину сдерживания, если каждый аспект наших возможностей и оперативных принципов засекречен". Читая это, я не мог не вспомнить доктора Стрейнджлава, который в фильме Стэнли Кубрика ругал советского посла за то, что Москва хранит в секрете существование мощного средства сдерживания — ядерной "машины судного дня": "Конечно же, весь смысл "машины судного дня" пропадает, если вы держите ее в секрете! Почему вы не рассказали о ней всему миру?"

Потом и я перечитал Кларка и нашел у него еще один интересный фрагмент - "И все же сдерживание — это самая неразвитая теоретическая область в современной концепции кибервойн. Теория сдерживания служила основой ядерных стратегий США, Советского Союза и НАТО в эпоху холодной войны. Страх последствий использования ядерного оружия (и опасение того, что любое его использование станет глобальным) удерживал ядерные державы от применения абсолютного оружия друг против друга. Он также удерживал государства, как ядерные, так и нет, от любых действий, которые могли бы спровоцировать ответный ядерный удар."

После перечитывания этой книжки произошедшие за последние полгода события заиграли новыми красками. И то, что поначалу вызывало сомнения (особенно когда таких "фактов" стало слишком много и вброшенных за короткий промежуток времени), теперь оформилось в уверенность. Разумеется, 100%-й гарантии, что "разоблачения Сноудена" и есть пример примененной стратегии сдерживания, я дать не могу, но ситуация и не такая однозначная, как ее преподносят некоторые не шибко погруженные в тему эксперты и тем более журналисты.

Но если мы связываем высказывания Кларка и "факты" Сноудена в единую цепь, то кого хотят сдерживать США? Неужели нас? Тут кроется классическая ошибка большинства людей. Они эгоцентричны по своей природе и считают, что мир крутится вокруг них. У кого-то от этого синдром непризнанного гения развивается, у кого-то патология протекает легче, а то и вовсе незаметно. Живя в России, мы почему-то считаем, что те или иные события, которые публикуют западные СМИ, имеют отношение к нам, к России. И уж тем более такая мысль у нас возникает, если речь идет о США. Нам долгие годы вдалбливали, что США и Россия - это враги. Потом, после периода перестроечного затишься мы вновь вернулись к риторике времен холодной войны. Список Магнитского, "закон Димы Яковлева", педофильское лобби, чморение Гугла, пикировки Госдепа и МИДа... Вновь многие считают США - основным врагом России, а Россию - основным врагом для США. Но ведь это не так!

Если почитать Кларка, да и не только его (только в оригинале, а не перепечатки российскими СМИ), то основным врагом в киберпространстве США считают не нас, а Китай. Именно их они опасаются больше всего. Именно их они пытаются сдерживать всеми правдами и неправдами. Не России, а Китаю были адресованы "разоблачения" Сноудена. Вы знаете, что сейчас происходит в Китае? Скорее всего нет. Мы же в "деле Сноудена" рассматриваем только двусторонние взаимоотношения "США - Россия" и по сторонам уже не смотрим, а стоило бы. Даже в англоязычной прессе (я не говорю уже про обзоры китайской прессы) сейчас немало говорится про ситуацию, в которой оказалась китайская Huawei после того, как ее "вскользь" упомянул немецкий "Шпигель". Руководство китайской государственной ИТ-компании вынужено официально объясняться по поводу сложившейся ситуации. А она непростая. После появления на свет "фактов Сноудена" китайцы не только вынуждены будут пересмотреть свои наступательные и оборонительные стратегии, но и начать разбираться уже во внутренних делах, ища доказательства виновности или невиновности Huawei в "государственной измене". Ведь если верить "фактам" Сноудена - АНБ может вторгнуться куда угодно - в почти любой *nix, в Windows, в Juniper, в Dell, в HP, в GPS, в GSM, в Wi-Fi и т.д. Все под угрозой!

Что бы вы сделали в такой ситуации? Продолжали готовить кибервторжение в США (Кларк, кстати, рассматривает такой пошаговый сценарий в своей книге) или сначала бы среагировали бы на "факты", решив проверить их подлинность? Скорее второе, чем первое. Неудобно получится, если вдруг эти факты действительно имеют место быть. Надо быть готовым к ним, разработав резервную стратегию. В чем она может заключаться? Ну, например, в создании собственных ИТ-решений и инфраструктуры. Случайно ли сейчас заговорили о создании в Китае собственной операционной системы? Про создание собственных навигационных спутников, про активное участие китайских представителей в разных комитетах по стандартизации и разработке протоколов и технологий я уже и не говорю.

У Сунь-Цзы в "Искусстве войны" есть такой фрагмент: "Война - это путь обмана. Поэтому, даже если [ты] способен, показывай противнику свою неспособность. Когда должен ввести в бой свои силы, притворись бездеятельным. Когда [цель] близко, показывай, будто она далеко; когда же она действительн далеко, создавай впечатление, что она близко." Китайцы очень хорошо понимают, что такое "Искусство войны". И они могут понимать, что американцы это понимают. И так далее, замкнутый круг... "Я оглянулся посмотреть не оглянулась ли она, чтоб посмотреть не оглянулся ли я..."  Стратегия сдерживания... Она такая!..

ЗЫ. Кстати, эта заметка тоже может быть примером стратегии сдерживания :-) Кто-то будет воспринимать ее как руководство к размышлению (а вдруг и правда США "запустили" Сноудена, чтобы оттянуть время в потенциальном киберконфликте с Китаем), а кто-то как мою попытку "обелить" своего работодателя :-) Каждый воспринимает сложившуюся ситуацию в меру своего понимания и так, как сам бы поступил, попади в нее :-)

19 коммент.:

Алексей комментирует...

Действия Сноудена:
1) подстегнули руководство России и других стран к деятельности по уменьшению зависимости от США;
2) отрицательно сказались на репутации США - как бы стало ещё тяжелее продвигать свободу и демократию при оруэлловских масштабах слежки за всем миром;
3) отрицательно сказались на бизнесе американских корпораций, некоторые из которых ощутили прямой ;материальный ущерб - гугл в помощь
4) китайцы не "начали вдруг говорить о своей ОС", это наши олухи о ней поговорили и забыли (скорее всего просто продались), а китайцы уже показали действующие образцы - а значит готовили они их давно;
5) несмотря на розовые очки людей с тонкой душевной организацией, да, и Китай, и Россия - в числе основных потенциальных врагов США, и нет никаких философских или геополитических причин (кроме случаев поражения) к тому, чтобы одна из стран вдруг прекратила борьбу за лидерство;
6) насчёт того как один простой админ мог это всё сделать - да множеством способов, СЗИ могли устанавливаться и работать криво, от разгвоздяйства отдельных кадров с высоким уровнем доступа никто не защищён, какой-нить начальник попросил настроить ему какую-нить службу и оставил Сноудена наедине с кучей секретных документов и т.д.
Кроме того, наверняка у него были кураторы и помощники, которые ему подсказали как взять информацию, какую информацию и в какую страну поехать, подарив ей +1 козырь против США. Штаты тоже неоднородны и там есть множество недовольных текущей политикой властей и спецслужб.

Artem Ageev комментирует...

"Ведь если верить "фактам" Сноудена - АНБ может вторгнуться куда угодно - в почти любой *nix, в Windows, в Juniper, в Dell, в HP, в GPS, в GSM, в Wi-Fi и т.д. Все под угрозой!"

А почему в этом абзаце пропущено слово "Cisco"?

Анонимный комментирует...

Василий Сноуден

Ригель комментирует...

Милая, но важная для понимания деталь: Huawei представляющим угрозу безопасности США объявили, когда он вдруг в своих продуктах АНБшную лазейку закрыл. 11 месяцев пытались с ним договорится - ни в какую. Тогда враг.

ilya комментирует...

Аргументация в стиле: "Лучшее средство от головной боли - это гильотина". Разочарован. Ждал совершенно иных "железных" аргументов после предыдущих категоричных заявлений, что Сноуден это фейк. Но за оригинальность полета фантазии зачет.

Алексей Лукацкий комментирует...

Алексей:
1. Никого ничего не подстегнуло. Запретительные нормативные акты обсуждаются и принимаются уже несколько лет. Только помимо запретов, стоило бы еще и стимулировать производство локальной ИТ-продукции, чего не было и нет.
2. Репутация "демократии" США и так не на высоком уровне.
3. О бизнесе американских корпораций судить надо не по Гуглу, а по годовым или квартальным отчетам и только по истечении года с момента статьи в Шпигее, т.к. жизненный цикл сделок составляет для крупных корпораций несколько месяцев.
4. А противостояние США и Китая идет уже давно. Книга Кларка опубликована в 2010-м году и уже тогда Китай там назван основной киберугрозой.
6. Как отдельный случай вполне допускаю. Как массовую и часто повторяющуюся акцию на протяжении длительного времени?.. Не уверен.

Алексей Лукацкий комментирует...

Артем: Так получилось :-)

Алексей Лукацкий комментирует...

Ригель: не совсем понял твоего хода мыслей :-(

Алексей Лукацкий комментирует...

ilya: Фантазией и демагогией страдаешь обычно ты. Я опираюсь на факты - публичные и не очень. Ты бы вместо очередной порции словоблудия в блоге и особенно в Твиттере занялся бы делом и доказал на практике наличие имплантов. Ты же руководишь самой крутейшей в мире компанией хакеров (если верить хотя бы половине твоих высказываний). Вот и займись делом и покажи, что я фантазер, а факты имеют место быть.

Ригель комментирует...

Мне надо было явно написать, что каталог от восьмого года, а ссора вышла в одиннадцатом.

Анонимный комментирует...

Слышал от отставных служак из DHS, с которыми общался в Лас-Вегасе, что Сноуден админил Sharepoint и тупо унес бекап, на котором все было. Звучит топорно, но, имхо, уровень раззвиздяйства в любых госорганах одинаков.

Artem Ageev комментирует...

Вообще-то Сноуден использовал 20-25 различных учеток своих коллег чтобы слить информацию.

http://www.reuters.com/article/2013/11/08/net-us-usa-security-snowden-idUSBRE9A703020131108

Не забывайте, этот человек - тренированный хакер самой крутой киберспецслужбы в мире.

Анонимный комментирует...

Есть еще одна интересная версия появления Сноудена
http://www.kp.ru/daily/26102/2998755/
и
http://www.kp.ru/daily/26103.4/2999140/
и
http://www.kp.ru/daily/26103/2999568/

Алексей Лукацкий комментирует...

toxa: Вот не верю я в такое разгильдяйство :-( Это еще хуже, чем выкладывать в public документы с грифом

Алексей Лукацкий комментирует...

Артем: эту версию я тоже слышал. Как и версию про то, как обычный охранник мог стать человек с доступом выше "совсекретно". Слишком много допущений получается. Слишком. Именно их число и вызывает вопросы.

Ну слил бы он только сведения про контакты Гугла с АНБ. Ну и все. А тут что ни день, то новая сенсация. Скоро дойдет до того, что у АНБ есть специальные лазеры, которые считывают данные на невключенном компьютере в бетонированном сейфе за 25 тысяч километров

Unknown комментирует...

да бывает разгильдяи всюду, бывают...
одни терят флэшки с литерными доками, другие допускают срочников кшифрам,
третьим нужно племянника троюродной сестры пристроить в тёплое место,
у четвёртых бабушка было еврейкой..ой! это прошло уже.

Artem Ageev комментирует...

Алексей: Если бы за пару лет до Сноудена не было Бредли Мэннинга, то "слишком много допущений" еще смотрелось бы как аргумент!

А так, один унес 600 тысяч документов на CD-R из секретной части Министерства Обороны, а другой 1.5 миллиона доков на флешке из АНБ.

Вполне в тренде! Кто следующий?

ilya комментирует...

Артем, все так.
Просто, когда очень хочется, то себя можно убедить в чем угодно. А при должном джедайском умении даже в том, что черное - это белое и наоборот. Но есть один неприятный нюанс - других сложно. И чем больше других в этом убеждаешь - тем становится только хуже и хуже - это болото все глубже засасывает, постепенно превращая интересную поначалу нейтральную спокойную и профессиональную дискуссию в совершенно обычный и очевидный всем дешевый и местами даже грубый фарс. Что мы, к сожалению, и имеем на данный момент. Поэтому обсуждать эту тему здесь более не вижу смысла.

Алексей Лукацкий комментирует...

ilya: Если мне не изменяет память эту риторику я уже неоднократно читал. И у себя в блоге, и в LinkedIn, и в ФБ, и в Твиттер. Ты уж прими какое-то одно решение - считаешь, что я пишу фигню и я "эксперт" (как ты регулярно пишешь), то зачем ты все это читаешь и постоянно комментируешь? Хочешь хоть как-то засветиться? Показать свое превосходство и эпическую крутизну? Еще какие-то цели преследуешь? Я понимаю, если бы ты хоть как-то аргументировал свои заявления, которые меняются в зависимости от ситуации как флюгер меняет направление от ветра. Но у тебя на протяжении последних пары лет одно словоблудие - ни одного факта, ни одного. Это уже порядком поднадоело.