Оружие массового поражения для всех

Оружие массового поражения для всех
- Безопасность - это когда стоимость взлома превышает стоимость выгод атакующего.
- Вы уверены?

Новости про ЦРУ уже не произвели такого фурора, как товарищ Сноуден, в свое время. Все привыкли, что за нами следят и вендоры бывают на госконтрактах и их терзают смутные сомнения. Очевидна нерентабельность усилий противостояния гражданина армии , что объясняет наличие соответствующих по возможностям подразделений

Но, тем не менее, лично мне эта публикация все равно расширила кругозор, цитаты:
1. "Securing such 'weapons' is particularly difficult since the same people who develop and use them have the skills to exfiltrate copies without leaving traces — sometimes by using the very same 'weapons' against the organizations that contain them. There are substantial price incentives for government hackers and consultants to obtain copies since there is a global "vulnerability market" that will pay hundreds of thousands to millions of dollars for copies of such 'weapons'. Similarly, contractors and companies who obtain such 'weapons' sometimes use them for their own purposes, obtaining advantage over their competitors in selling 'hacking' services."

2. "In what is surely one of the most astounding intelligence own goals in living memory, the CIA structured its classification regime such that for the most market valuable part of "Vault 7" — the CIA's weaponized malware (implants + zero days), Listening Posts (LP), and Command and Control (C2) systems — the agency has little legal recourse.

The CIA made these systems unclassified.

Why the CIA chose to make its cyberarsenal unclassified reveals how concepts developed for military use do not easily crossover to the 'battlefield' of cyber 'war'.

To attack its targets, the CIA usually requires that its implants communicate with their control programs over the internet. If CIA implants, Command & Control and Listening Post software were classified, then CIA officers could be prosecuted or dismissed for violating rules that prohibit placing classified information onto the Internet . Consequently the CIA has secretly made most of its cyber spying/war code unclassified. The U.S. government is not able to assert copyright either, due to restrictions in the U.S. Constitution. This means that cyber 'arms' manufactures and computer hackers can freely "pirate" these 'weapons' if they are obtained. The CIA has primarily had to rely on obfuscation to protect its malware secrets."

В целом, текст достаточно красноречив , и не нуждается в моих комментариях... Но вы только вдумайтесь: все мои инвестиции в проактивную безопасность - это повышение стоимости взлома, потому что, очевидно, взломать можно все и вопрос только в ресурсах на это потраченных. Но в сложившейся ситуации аксиома о том, что я могу чувствовать себя в безопасности, когда стоимость моей компрометации достаточно высока - уже не работает, потому что есть некоторая организация с бесконечными ресурсами, инвестирующая в технологии нападения и никак не ограничивающая и не контролирующая их использование! Даже, выкинув из внимания вопросы этики, морали и глобальной информационной безопасности, - ситуация выглядит аналогично, как если бы некая контора делала атомные бомбы (или оружие массового поражения (ОМП) вообще) и разбрасывала их по миру для всеобщего использования. Конечно же, оно при этом может попадать в руки террористов и прочего криминала, а пытаться что-то со всем этим делать приходится нам.
Вспоминается, как подозрение в наличии ОМП послужило причиной лишения государства суверенитета, как аргумента для спасения Человечества. Здесь же кибероружие разрабатывают и практически публикуют, и это "считается" нормальным, все по комплайенсу .
Так что, уважаемые коллеги, интерпрайзные безопасники, вот у нас с вами новое обстоятельство, которое надо брать во внимание.

Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Сергей Солдатов

REPLY-TO-ALL is a double language blog (English/Russian) run by three information security practitioners. Want to discuss information security problems? This is the place.