Кто и как нас прослушивает

Кто и как нас прослушивает

О том, удалось ли спецслужбам превратить каждый гаджет в «жучок» для электронной слежки за гражданами, рассказывает ИТ-эксперт Олег Демидов.


Надежды на то, что власти будут вести себя законопослушно и откажутся от развития наступательного киберпотенциала, окончательно улетучились. © Фото из личного архива

Скандал, вызванный публикацией сайтом WikiLeaks массива документов, проливающих свет на деятельность ЦРУ в киберпространстве, поставил перед миллионами пользователей во всем мире ряд вопросов. В частности о том, насколько защищены мобильные устройства, персональные компьютеры, популярные сервисы в интернете от взломов со стороны спецслужб разных стран. Об этом обозреватель «Росбалта» побеседовал с консультантом ПИР-Центра Олегом Демидовым.

— Может ли информация WikiLeaks о том, что спецслужбы научились взламывать устройства, работающие под управлением самых распространенных операционных систем — iPhone OS, Android, Windows Phone, сказаться на продажах компаний, которые их выпускают? Ведь речь идет о несанкционированном доступе не только к мобильным гаджетам, но, скажем, к «умным телевизорам», подключенным к интернету?

 — Я не уверен, что в краткосрочной перспективе раскрытие данных об уязвимостях в продукции крупнейших ИТ-вендоров существенно скажется на их рыночных позициях. Какой-то краткосрочный спад продаж конкретных моделей продукции — например, «умных телевизоров» (Smart TV), на волне информационного шума возможен, но им, скорее всего, все и ограничится.

Во-первых, значительная часть компаний, упомянутых в документах WikiLeaks — это глобальные вендоры, которые занимают либо околомонопольное положение в нише соответствующих продуктов и сервисов (Android), либо весьма существенный ее сегмент. Собственно, именно их популярностью и объясняется то, что программы спецслужб были нацелены в первую очередь на продукцию именно этих компаний — эксплуатация уязвимостей в наиболее распространенных платформах и продуктах чисто статистически дает шанс подобраться к максимальному числу целей операций.

Поэтому мне трудно представить, что может случиться с долей того же Android или iOS, которые в сумме и составляют абсолютное большинство на рынке мобильных платформ. Тем более что количество уязвимостей и масштаб проблем вследствие внимания спецслужб к их продукции у таких компаний примерно сопоставим, судя по опубликованным WikiLeaks данным — никто из ключевых игроков не получает явного преимущества в этой ситуации.

Сегодня, с точки зрения обывателя (а зачастую и экспертов), если известно, что программы спецслужб компрометируют безопасность продуктов компании А — значит, то же самое происходит с продукцией ее конкурентов — компаний Б и В, просто об этом пока не написал WikiLeaks.

Какие-то серьезные подвижки возможны на отдельных национальных рынках, где государство может использовать нынешнюю ситуацию в качестве рычага для ускорения программ импортозамещения в сфере массовой ИТ-продукции. Но это частные случаи и даже здесь потребуется значительное время.

— Иными словами, потребителю все равно деваться некуда?

 — По большому счету, да, но это если мы говорим о краткосрочной перспективе — о том, что будет происходить прямо сейчас или в ближайшие месяцы. Другой вопрос состоит в том, как отреагирует на эти события глобальная ИТ-отрасль и сообщество сетевых инженеров. Если вспомнить прошлые разоблачения, сделанные Эдвардом Сноуденом в отношении программ АНБ (Агентства национальной безопасности США, отвечающего за радиотехническую и электронную разведку), то тогда, летом-осенью 2013 года, на рынке тоже не произошло никаких мгновенных изменений. Однако по прошествии года и по нарастающей далее, реакция отрасли и технического сообщества привела к появлению и росту популярности новых сервисов и продуктов, которые позиционировались именно как средства повышения уровня безопасности интернет-пользователей — в том числе от угрозы массовой прослушки и сбора данных.

Резко выросла популярность защищенных мессенджеров, которые предоставляют пользователям надежную и удобную криптографическую защиту их данных, в том числе средствами сквозного шифрования (end-to-end encryption). Новой нормой стало внедрение крупнейшими онлайн-сервисами средств двухфакторной аутентификации пользователей; произошел перелом в темпах внедрения HTTPS в Сети. Наконец, резко выросла популярность таких средств как VPN (технологии виртуальных частных сетей) и иных сервисов, обеспечивающих шифрование и анонимность при передаче данных в Интернете — как следствие резко вырос объем рынка и качество (включая простоту использования, user friendliness) тех же сервисов VPN.

Вполне возможно, что что-то подобное мы увидим и сейчас в качестве ответной реакции на раскрытые программы ЦРУ. Но произойдет это не сразу — необходимо время, чтобы сформулировать архитектурные принципы, разработать и внедрить стандарты безопасности для ИТ-сервисов и продуктов нового поколения, более защищенных от государственных операций.

— Сотрудничают ли вендоры со спецслужбами или они взламывают гаджеты без консультаций с их производителями?

 — Насколько мне известно, в той части «базы знаний» спецслужб, которую уже опубликовали на WikiLeaks (массив Year Zero), нет данных о том, что крупные ИТ-вендоры и разработчики напрямую сотрудничали с ЦРУ. Речь идет лишь о том, что агенты ЦРУ методично и целенаправленно собирали информацию об уязвимостях в продукции различных компаний, после чего эта спецслужба самостоятельно разрабатывала разнообразные средства эксплуатации этих уязвимостей. Максимум, что можно отметить — скупку агентами на черном рынке информации об уже обнаруженных, но пока не известных самому вендору уязвимостях.

К сотрудничеству с производителями это никакого отношения не имеет. В этой истории, как ни странно, частная отрасль пока выглядит достойнее, чем в истории с АНБ. Во-первых, после публикации данных, добытых Эдвардом Сноуденом в 2013 году, на крупнейшие американские ИТ-корпорации и их сервисы (Yahoo, Google, Facebook, YouTube, Skype, Apple) пали подозрения в сотрудничестве с АНБ в рамках глобальной программы Prism, позволявшей этой спецслужбе перехватывать колоссальные объемы данных пользователей за счет прямого доступа к корпоративным серверам, где эти данные хранились и обрабатывались.

Отраслевые гиганты резко отрицали свое сотрудничество с АНБ, однако окончательную истину в этой ситуации вряд ли удастся установить.

Во-вторых, в рамках отдельной программы Bullrun, нацеленной на компрометацию средств криптографической защиты данных, АНБ подкупала и принуждала разработчиков таких средств внедрять в свои решения для массового рынка бэкдоры (backdoor — в данном случае программные средства, позволяющие третьей стороне получать доступ к содержимому зашифрованных коммуникаций между двумя сторонами — в том числе системы депонирования ключей шифрования). То есть в той или иной степени частный ИТ-сектор США в прошлой истории с АНБ оказался «замазан» — а сегодня в ситуации с ЦРУ мы таких фактов пока не наблюдаем.

Впрочем, в WikiLeaks обещали публиковать другие массивы документов, охватывающих период до 2013 года — так что возможно нас еще ожидают истории о добровольно-принудительном взаимодействии частного сектора со спецслужбой в духе Bullrun.

— Правильно я понимаю, что такими вещами различные спецслужбы занимаются параллельно?

 — Безусловно. В США существует Разведывательное сообщество, которое объединяет 16 разведывательных и информационно-аналитических правительственных структур. Половина из них — это структуры гражданских ведомств. Например, информационно-аналитическое управление министерства внутренней безопасности, информационное управление Госдепартамента, управление разведки и безопасности в ядерной сфере министерства энергетики, управление разведки и борьбы с терроризмом Минфина. То есть даже среди гражданских ведомств ЦРУ далеко не монополист, хотя и, безусловно, крупнейший по штату, бюджету и иным ресурсам игрок в сфере разведывательной деятельности. Остальные восемь участников Разведсообщества — различные структуры Минобороны США, включая печально известное после разоблачений Сноудена АНБ.

То есть только в США насчитывается 16 государственных игроков в сфере разведки, и у каждого из них есть или разрабатываются те или иные программы и средства для работы в Сети — хотя, повторюсь, по масштабам и объемам финансирования АНБ и ЦРУ далеко превосходят своих коллег. Не стоит забывать, что свои программы сетевой разведки сегодня есть и у спецслужб других стран: России, Китая, Израиля, Евросоюза. Сейчас разработка собственных инструментов для такой деятельности становится необходимостью для спецслужб.

Состояние общественной дискуссии по теме тайного сбора электронных данных пользователей после информации, полученной от Сноудена, серьезно изменилось и, вероятно, изменится и после нынешних разоблачений. Надежды на то, что государства будут вести себя законопослушно, не наступать на права собственных и зарубежных граждан, откажутся от развития наступательного киберпотенциала, окончательно улетучились. Мы живем в мире, где киберпространство непрерывно используется государствами для реализации собственных интересов, в том числе за счет методов тайной электронной слежки и проактивных киберопераций, и теперь с этим надо что-то делать. Предотвратить эту реальность не удалось.

— Есть ли способы защиты от взлома того или иного устройства спецслужбами?

 — Если вы являетесь объектом целевой кибероперации ЦРУ, то вам вряд ли помогут какие-либо стандартные средства информационной безопасности. Но вообще банальная компьютерная гигиена помогает во многих случаях. Стоит отметить, что, несмотря на все успехи и передовые технологические возможности ЦРУ, большинство разработанных спецслужбой пакетов вредоносного ПО необходимо доставить до цели (то есть до устройства или оборудования пользователя) довольно традиционными методами: через внешний съемный носитель (например, зараженную флэшку или диск), через исполняемый файл из фишингового письма, или заставив пользователя перейти на скомпрометированный интернет-ресурс.

Так что стандартных правил поведения и мер компьютерной гигиены обычно бывает достаточно, чтобы нейтрализовать эти векторы атаки. Например, не надо вставлять в свои устройства неизвестные внешние носители, в происхождении и безопасности которых вы не уверены. Во-вторых, не надо сохранять и открывать файлы, направленные вам по электронной почте или через мессенджеры от незнакомых отправителей. Также не следует переходить на подозрительные сайты, особенно, когда ПО вашего устройства и используемые вами сервисы выдают предупреждение о возможных проблемах с безопасностью — например, отсутствии у сайта действующего сертификата безопасности.

Естественно, необходимо убедиться, что веб-ресурс, на который вы собираетесь перейти, не размещается на фишинговом домене (Фишинг — вид интернет-мошенничества, целью которого является получение доступа к данным пользователя — логину и паролю. Часто для этого используют интернет-рассылки, а также ссылки на адреса сайтов, похожих на адреса сайтов известных компаний, — «Росбалт»).

Не стоит пренебрегать антивирусной защитой и ее регулярными обновлениями. Для тех сервисов, которым вы пользуетесь, используйте не привычную систему логин-пароль, а двухуровневую аутентификацию. Сейчас такую возможность предлагают почти все крупнейшие сервисы: и социальные сети (Facebook, LinkedIn, Вконтакте), и мессенджеры (WhatsApp, Telegram), Gmail и другие сервисы электронной почты, и так далее.

Если говорить о паролях, и здесь есть место азбучным истинам компьютерной гигиены — например, использованию для разных сервисов разнообразных «сильных» паролей, применение сервисов типа менеджера паролей и т. д. Ну и такие средства как VPN сегодня достаточно актуальны и просты в использовании.

В общем, все довольно банально, но абсолютное большинство пользователей этими простыми правилами до сих пор пренебрегает.

— Вы упомянули в качестве защиты антивирусные программы, но есть расхожее мнение, что производители этих программ сами создают вирусы, от которых потом и предлагают соответствующее лечение…

 — Честно говоря, история эта и в России, и за рубежом регулярно всплывает и обсуждается в разных ипостасях как минимум с 1990-х годов — и ни разу я не сталкивался с тем, чтобы она подтверждалась. По большому счету, это такая отраслевая легенда. Дело в том, что у антивирусных компаний всегда и так было работы невпроворот — рынок вредоносного ПО и баз уязвимостей всегда развивался опережающими темпами по отношению к самой антивирусной индустрии. Как следствие, у антивирусных разработчиков не возникает адекватной бизнес-мотивации для того, чтобы расширять объем рынка сбыта своих решений за счет искусственного создания дополнительных угроз.

«Индустрия страха» прекрасно работает и без этого. Другое дело, что изредка в вирусописательстве и хакерской деятельности действительно бывают замешаны отдельные сотрудники компаний сектора информационной безопасности. Но это уже истории про незаконопослушных инсайдеров и нарушение внутренних норм безопасности в части отбора персонала, то есть сюжеты частного, а не корпоративного уровня.

Другой момент состоит в том, что в опубликованном WikiLeaks массиве есть данные о предпринятой ЦРУ работе по созданию целой линейки средств вредоносного ПО, которое спроектировано таким образом, что антивирусные программы в принципе не могут его обнаружить. Некоторые из этих программ используют шифрование своих файлов в системе — для того, чтобы антивирусные программы не могли их распознать. Другие функционируют на том уровне ПО системы, который может быть недосягаем для многих антивирусных средств (например, разработанный ЦРУ руткит DarkMatter переписывает низкоуровневую прошивку на устройствах MacBook).

Самая неприятная новость в том, что ЦРУ сформировало целый каталог уязвимостей и средств их эксплуатации для большинства наиболее распространенных антивирусных программ. Такой каталог содержится в документе Personal Security Products (PSPs) и охватывает продукцию 21 антивирусного вендора, включая таких отраслевых лидеров как Comodo, Avast, Kaspersky, AVG, ESET, Symantec. Некоторые из этих средств эксплуатации уязвимостей блокируют работу антивирусных программ, другие могут заставить их самоудалиться с устройства.

Да, «жертву» целевой операции ЦРУ антивирусные средства скорее всего не защитят, но это не означает, что они полностью бесполезны. В целом реально полезная область применения антивирусных программ значительна, но все же ограничена — и защита от государственных целевых киберопераций история, скорее, не про антивирусы.

— А что вы можете сказать по поводу использования VPN?

 — Технологии VPN (Virtual Private Network) созданы для того, чтобы защищать ваши данные в процессе их передачи по сети с неизвестным уровнем доверия к безопасности такой сети. Грубо говоря, поверх сети передачи данных, которой вы пользуетесь (например, общественный Wi-Fi), создается отдельный зашифрованный виртуальный канал (отсюда и VPN — виртуальная частная сеть), по которому вы передаете свои данные — и уровень их защищенности не зависит от уровня защиты в самой сети передачи данных.

Возможность организовать сетевую атаку, позволяющую перехватить ваши данные в процессе их передачи, при использовании этой технологии серьезно ограничиваются. В этом смысле сервисы VPN — достаточно надежный способ обеспечить безопасность для коммуникаций пользователя в интернете.

Однако нужно понимать, что VPN позволяет защитить только данные — но не само ваше устройство и его программное обеспечение. Коммуникации при помощи VPN не отменяют наличие в прошивке и ОС устройств уязвимостей и возможностей их эксплуатации, не защищают от вредоносного ПО в тех случаях, когда оно тем или иным способом уже доставлено на устройство.

Несмотря на это, в целом VPN — очень полезная технология и ее востребованность среди пользователей быстро растет. В России для этого есть дополнительные причины: сервисы VPN безотказно работают как средство обхода блокировок тех или иных интернет-ресурсов. Не то чтобы виртуальные частные сети задумывались техническим сообществом именно с такой целью, но в той мере, в которой сложившаяся в России практика их использования способствует росту навыков обеспечения сетевой и информационной безопасности и компьютерной гигиены среди широких масс пользователей, ее можно считать положительной.

Беседовал Александр Желенин


Ранее на тему В Роскомнадзоре назвали сроки возможной разблокировки соцсети LinkedIn

СМИ узнали об обмене Бута на Сноудена

ЦРУ сократило список подозреваемых в утечке данных