Невинные жертвы?

Последние громкие скандалы выявили, что в «пост-сноуденовскую» эпоху в США появился легальный способ воздействия на любого IT-вендора в американской юрисдикции, так называемый секретный порядок, позволяющий встроить бэкдор (в терминах АНБ – «имплант»). Формально, вендор имеет право оспорить данный приказ в секретном суде.

Теперь посмотрим на ситуацию сложных взаимоотношений американских IT-вендоров и спецслужб в подробностях, и разберем на реальных примерах обнаружения бэкдоров в Yahoo (октябрь 2016) и Juniper (декабрь 2015).

Исторические корни

Прежде чем говорить о взаимоотношениях американских IT-вендоров и спецслужб, придется немного углубиться в историю, чтобы понять первопричины. Кто-то удивится, но в США до 1942 года… не было единой секретной службы в привычном нам понимании. До создания Управления стратегических служб, УСС (преемником которого затем в 1946 году стало Центральное разведывательное управление, ЦРУ), в США стратегической разведкой не занимался никто, а отдельные частные вопросы находились в ведении специальных отделов в Госдепе, армии и флоте. И лишь в 1942 Уильям Донован (William Donovan) создал и возглавил единый разведывательный орган для сбора и анализа стратегической информации.

Генерал Уильям Донован (1883–1959)

Интересны принципы, на которых создавалась разведка США. Донован был мультимиллионером с Уолл-Стрит, и во главе ключевых подразделений УСС — крупнейшими американскими финансово-промышленными группами, ФПГ (финансы, оружие, сталь, нефть, связь) — были расставлены свои люди, получившие от Донована максимум полномочий при минимальных ограничениях. Одной из главных стратегических целей, кроме непосредственно победы в войне с Японией и Германией, было обеспечение мировой экспансии США и большого бизнеса в Европу, Азию и Латинскую Америку после ее окончания. Принципиально за эти 70 лет ничего не изменилось, и спецслужбы США так же тесно исторически переплетены с ФПГ и предприятиями военно-промышленного комплекса, ВПК, обслуживая их бизнес-интересы. И все эти структуры обладают колоссальной поддержкой в Белом доме, на Капитолийском холме, в Пентагоне и, весьма вероятно, в Лэнгли и Мэриленде (ЦРУ и Агентство национальной безопасности, АНБ, соответственно).

IT-неофиты

И все в этой схеме было привычно и спокойно, пока в начале 90-х в мир финансово-промышленных групп и предприятий ВПК стремительно не ворвались IT-вендоры: Microsoft, IBM, Intel, Cisco, а затем Apple, Google, Facebook. К 2016 году по капитализации в первую пятерку американских компаний входят Apple (первое место), Google (второе место), Microsoft (третье место) и Facebook (пятое место).

Крупнейшая в мире нефтяная компания Exxon Mobil (нефть – главный политический фактор современного мира) занимает лишь четвертое место с двукратным(!) отрывом от Apple. Не так уж серьезно отстают и остальные американские IT-гиганты – Cisco, Oracle, IBM, Intel.

Получается, что эти IT-неофиты, с одной стороны, своей финансовой мощью быстро потеснили ведущие финансово-промышленные группы и предприятия ВПК, определяющие на протяжении последнего столетия политику США, а с другой — совершенно явно не успели «вылезти из-под коряги» (С), получив соответствующее их финансовой мощи политическое влияние и прикрытие в Вашингтоне. Традиционный ВПК очевидно не воспринимает IT-вендоров всерьез, считая их не более чем обслуживающим свои интересы посредником, без которого уже не обойтись. А крупнейшие производители IT справедливо полагают, что сегодня их финансовая мощь позволяет им вести свою политику. Налицо вероятный политико-экономический конфликт IT-неофитов и традиционного ВПК.

Акционеры – первый уровень сопротивления

А теперь давайте посмотрим на истории с «имплантами» АНБ, секретными порядками, судами и т.п. с точки зрения IT-вендоров. Попробуем поразмышлять над тем, зачем им помогать АНБ или ЦРУ, которые откровенно используют их для ведения своей большой геополитической игры в интересах ФПГ и предприятий ВПК. Здесь возможны два сценария.

В первом, менее вероятном, они уже являются частью ФПГ и просто делают вид, изображая публично свое несогласие. В пользу этого сценария свидетельствует ряд факторов. В частности, ведущими акционерами Apple, Microsoft, Oracle и других являются две крупнейших в мире инвестиционные компании Vanguard и Black Rock с суммарными активами порядка 8 триллионов долларов. США (что в сумме близко к суммарным активам всех остальных мировых инвестиционных фондов). Эти же две компании также являются основными акционерами многих ведущих компаний ВПК США, в частности, Lockheed Martin. Этот факт напрямую не свидетельствует о прямом контроле, но говорит о многом. Также существует еще масса менее значительных фактов, в частности, например, личность акционера Google Эрика Шмидта. Он недавно покинул свой пост, вернувшись на работу в министерство обороны США, хотя как раз это и можно расценивать как вероятный показатель начавшейся борьбы топовых IT-неофитов со спецслужбами.

Второй сценарий – конфликт за переделы сфер влияния с ФПГ. В его пользу свидетельствуют и истории с Yahoo и Juniper (о чем ниже). Все это больше похоже на подковерную борьбу с выражением своего несогласия с политикой государства в лице его спецслужб.

Итак, предположим, что вендоры не входят в эти ФПГ, а значит, их не объединяют общие интересы в сфере участия в межгосударственной разведывательной деятельности. Им, в отличие от классических ФПГ, не надо “подсматривать, подслушивать”. Бессмысленно. Они и так абсолютные лидеры. Вся эта история с «имплантами» и глобальной слежкой серьезно портит бизнес IT-вендоров, тем самым только усиливая их существующий конфликт с ФПГ и отстаивающими их интересы спецслужбами. Подобная «подковерная возня» всегда имела место в американской большой политике, но сейчас, взглянув на всю ситуацию с закладками подновым углом, мы можем увидеть подтверждения конфликту в виде всплесков: различные публичные заявления в прессе от Apple, Microsoft, Google, Cisco.

Конечно, было бы наивно полагать, что вендоры отстаивают интересы демократического общества. Их, по сути, волнует только одно – ежегодный рост капитализации компаний и увеличение прибыли. И им не интересны проблемы ФПГ, спецслужб и государства, если не произошла их смычка по первому сценарию. Поэтому, если считать наиболее вероятным именно второй сценарий, очевидно, что акционеры и руководство вендоров будут всеми силами бороться с практикой секретных предписаний, что мы, вероятно, и видим сейчас на примере последних скандалов в прессе.

Разработчики – второй уровень сопротивления

Не стоит недооценивать принципы свободы и демократии, которыми руководствуются многие американцы. На людях, которые искренне верят во все это, держится IT-индустрия США. Вспомним известное видео с искренними восторженными криками Стива Балмера на ежегодной встрече Microsoft со своими сотрудниками: «Разработчики, разработчики, разработчики!!!» И у них есть свои принципы. Большинство из них искренне верят в свободу и демократию, и им не интересно намеренно встраивать в свои продукты бэкдоры, даже получив секретный приказ, разглашение которого приравнивается к разглашению государственной тайны со всеми вытекающими последствиями. И даже если акционеры и боссы IT-гигантов уже давно «сроднились» с ФПГ и спецслужбами, это вовсе не означает, что разработчики будут их поддерживать. Как минимум, пока из России с Китаем путем многолетней пропаганды не сделают в очередной раз пугал «империи Зла». Поэтому разработчики — второй уровень сопротивления.

Факты. История 1. Yahoo

Кратко напомним, что в октябре 2016 года в американской прессе разразился грандиозный скандал из-за утечки, который, по информации из компетентных источников, выявил:

• массовый анализ почты всех 500 миллионов пользователей почтового сервиса через установку в него силами самого вендора «импланта» АНБ для негласного сбора информации;
• систему секретных предписаний, согласно которым государство может обязать любого вендора выполнить секретный приказ по встраиванию «импланта».

Интересно посмотреть на историю с Yahoo под новым углом. Итак, руководство Yahoo получает секретный приказ о встраивании «импланта», который они претворяют в жизнь узкой группой специалистов. Однако, судя по имеющейся отрывочной информации из прессы, данные об этом стали постепенно распространяться внутри Yahoo. В итоге, CISO покинул компанию, видимо, не согласившись участвовать в этой игре и затем перейдя в Facebook. По словам информированных источников, при очередной проверке служба ИБ Yahoo обнаружила «имплант». Через какое-то время произошла утечка в прессу и разразился грандиозный скандал.

По опыту, маловероятно, что безопасники Yahoo без дополнительной наводки сами обнаружили данный «имплант» – скорее всего, им помогли разработчики (или топ-менеджеры, хотя в данном случае это сомнительно).

Факты. История 2. Juniper

Самая загадочная история на стыке мира ИБ/IT случилась менее года назад — в конце декабря 2015 года — с главным конкурентом компании Cisco — компанией Juniper. Большого шума она не вызвала. Во-первых, вендор не так популярен, во-вторых, дело было в канун рождества. На самом деле, это была необъяснимая на тот момент таинственная история, к возможной разгадке которой привели недавние события от момента обнародования архива кибероружия АНБ и до истории с Yahoo.

Как было дело. 21 декабря 2015 года Juniper объявила об обнаружении в своем VPN-устройстве двух закладок, которые давали злоумышленнику следующие грандиозные возможности:

• удаленный доступ к устройству через «вшитый» дефолтный пароль (был очень хитро закамуфлирован в коде);
• удаленная расшифровка VPN-соединения путем ослабления реализации криптоалгоритма.

Другими словами, речь шла о полной компрометации VPN почти всех версий устройств Juniper. При этом представители компании заявили… что не знают, откуда в ее коде появились две данные закладки. ФБР затем заявила о расследовании, но вся история тогда очень подозрительно быстро заглохла в американской прессе – о ней никто не вспоминает и до сих пор, хотя напрасно.

Тогда было невозможно понять, во-первых, зачем компания сама обнародовала скандальный факт, а во-вторых, как специалисты одновременно обнаружили две такие совершенно разные закладки.

Никто не мешал Juniper тихо выпустить патч, добавив их к другим уязвимостям или обновлениям, который затем постепенно разошелся бы по клиентам. Вероятность, что кто-то из исследователей занялся бы реверсом патча, обнаружив эти закладки, крайне мала, хотя ее не стоит исключать. Juniper также ничто не мешало традиционно назвать обнаруженные закладки уязвимостями, не привлекая к ним внимания, вместо публичного признания обнаружения чужеродных закладок к коде.

Вторая уязвимость, связанная с возможностью удаленного раскрытия VPN-сессий, оказалась особенно важна. Криптографы поняли только через несколько месяцев (!) после раскрытия, что это было виртуозно выполненное ослабление в реализации криптоалгоритма. Чей это почерк? Очевидно, спецслужб. Кто обладает таким высочайшим уровнем мастерства в криптоанализе: специалисты из США, РФ, вероятно, Китая, Великобритании, Франции и, возможно, Израиля. Последних трех можно смело вычеркнуть. Китай и Россия – крайне маловероятно: сложно внедрить своих агентов внутрь Juniper, да и Cisco им было бы взломать гораздо интереснее. Круг подозреваемых сужается, и самыми вероятными из них оказываются сотрудники АНБ. Тем более, они это уже проделывали подобное ранее за 10 миллионов долларов с RSA.

После раскрытия архива кибероружия АНБ всплыл еще один факт, который косвенно указывает в этой истории на АНБ. Как оказалось, у агентства долгие годы через уязвимость (уязвимость или закладка?) была возможность удаленного раскрытия VPN-сессий… Cisco. Для обеспечения достойного покрытия им не хватало… наличия аналогичной возможности в продуктах главного мирового конкурента Cisco – Juniper.

Давайте вспомним, что говорилось в прессе про эту историю самой компанией Juniper. Якобы в процессе аудита и анализа кода свои безопасники нашли данные уязвимости. Вспоминаем историю с Yahoo – легенда один в один. Особенно интересно, как они так внезапно случайно обнаружили такую сложнейшую уязвимость в VPN, да и дефолтный пароль просто так обнаружить было невозможно – надо было точно знать, что и где искать.

Вероятно, представители Juniper ранее либо получили секретный приказ от АНБ встроить данные закладки в свое оборудование, либо в свое время АНБ удалось провести удачную спецоперацию. Затем разработчики, знающие об этой истории, допустили утечку внутри компании, и баг был в данном случае демонстративно предан огласке, что, кстати, говорит о том, что Juniper вероятно не инкорпорирован ни в один из кланов ФПГ, или это совсем уж недоступно тонкая игра.

Вместо заключения

Из открытой информации достоверно оценить, что именно происходит во взаимоотношениях между американскими IT-вендорами и спецслужбами, достаточно сложно. Ясно, что идет мощная подковерная игра, отголоски которой мы регулярно видим в прессе. Также ясно, что такие монстры, как Apple, Microsoft и Google, если они уже не внутри традиционных ФПГ (хотя судя по основным владельцам первых двух в лице Vanguard и Black Rock очень похоже на это), имеют огромные финансовые возможности влиять на ситуацию и, судя по всему, ищут политического прикрытия на капитолийском холме для противовеса действия спецслужбам. А даже если они это и делают только для отвода глаз, последние истории четко показали, что не стоит сбрасывать со счетов американских разработчиков – они вполне имеют возможность влиять на данную ситуацию, не давая АНБ жить спокойно.

Об авторе: Илья Медведовский — эксперт, директор компании Digital Security, занимающейся информационной безопасностью.