ИТ-бульдоги под ковром

в 7:35, , рубрики: apple, Cisco, Google, juniper, Yahoo, анб, безопасность, Блог компании «Digital Security», закладки, имплант, информационная безопасность, разведка, спецслужбы, ЦРУ, шпионаж, метки:

А поговорим мы с вами сегодня про сложные взаимоотношения американских ИТ-вендоров и спецслужб: о мировой ИТ-закулисе, скандале в Yahoo, тайне бекдора в Juniper, истории Apple vs ФБР. Также обсудим, зачем АНБ заплатило RSA 10 млн. долларов за криптобэкдор. Попробуем нарисовать несколькими штрихами современный ИТ-мир как он есть, и без лишней суеты и параноидальных выводов, и без слепого обожания в «розовых тонах». Что получилось — смотрите под катом.

Последние громкие скандалы выявили, что в «пост-сноуденовскую» эпоху в США появился легальный способ воздействия на любого ИТ-вендора в американской юрисдикции, так называемый секретный порядок, позволяющий встроить бэкдор (в терминах АНБ – «имплант»).

Исторические корни

Прежде, чем говорить о взаимоотношениях американских ИТ-вендоров и спецслужб, придется немного углубиться в историю, чтобы понять первопричины. Кто-то удивится, но в США до 1942 года … не было единой секретной службы в привычном нам понимании. До создания Управления стратегических служб, УСС, (преемником которого затем в 1946 году стало Центральное разведывательное управление, ЦРУ) в США стратегической разведкой не занимался никто, а отдельные частные вопросы находились в ведении специальных отделов в Госдепе, армии и флоте. И лишь в 1942 Уильям Донован создал и возглавил единый разведывательный орган для сбора и анализа стратегической информации.

WilliamDonovan
Рисунок 1 — Генерал Уильям Донован (1883–1959)

Интересны принципы, на которых создавалась разведка США. Донован был мультимиллионером с Уолл-Стрит, и во главе ключевых подразделений УСС — крупнейшими американскими финансово-промышленными группами, ФПГ (финансы, оружие, сталь, нефть, связь) — были расставлены свои люди, получившие от Донована максимум полномочий при минимальных ограничениях. Одной из главных стратегических целей, кроме непосредственно победы в войне с Японией и Германией, было обеспечение мировой экспансии США и большого бизнеса в Европу, Азию и Латинскую Америку после ее окончания. Принципиально за эти 70 лет ничего не изменилось, и спецслужбы США также тесно исторически переплетены с ФПГ и предприятиями военно-промышленного комплекса, ВПК, обслуживая их бизнес интересы. И все эти структуры обладают колоссальной поддержкой в Белом Доме, на Капитолийском Холме, в Пентагоне и, весьма вероятно, в Лэнгли и Мэриленде (ЦРУ и Агентство национальной безопасности, АНБ, соответственно).

ИТ-неофиты

И все в этой схеме было привычно и спокойно, пока в начале 90-х в мир финансово-промышленных групп и предприятий ВПК стремительно не ворвались ИТ-вендоры: Microsoft, IBM, Intel, Cisco, а затем Apple, Google, Facebook. К 2016 году по капитализации в первую пятерку американских компаний сегодня входят Apple (1 место), Google (2 место), Microsoft (3 место) и Facebook (5 место).

Крупнейшая в мире нефтяная компания ExxonMobil (нефть – главный политический фактор современного мира) занимает лишь 4 место с двукратным отрывом (!) от Apple. Не так уж серьезно отстают и остальные американские ИТ-гиганты – Cisco, Oracle, IBM, Intel.

Получается, что эти ИТ-неофиты с одной стороны своей финансовой мощью быстро потеснили ведущие «традиционные» мировые промышленные компании и предприятия ВПК, определяющие на протяжении последнего столетия политику США, а с другой — совершенно явно не успели «вылезти из-под коряги» (С), получив соответствующее их финансовой мощи политическое влияние и прикрытие в Вашингтоне. Традиционный ВПК очевидно не воспринимает ИТ-вендоров всерьез, считая их не более чем обслуживающим свои интересы посредником, без которого уже не обойтись. А крупнейшие производители ИТ справедливо полагают, что сегодня их финансовая мощь позволяет им вести свою политику. Налицо вероятный политико-экономический конфликт ИТ-неофитов и традиционного ВПК. Или все гораздо проще, и они давно являются частью большой общей игры? Об этом ниже.

Акционеры – первый уровень сопротивления

А теперь давайте посмотрим на истории с «имплантами» АНБ, секретными порядками, судами и т.п. с точки зрения ИТ-вендоров. Попробуем поразмышлять над тем, зачем им помогать АНБ или ЦРУ, которые откровенно используют их для ведения своей большой геополитической игры в интересах ФПГ и предприятий ВПК. Здесь возможно два сценария.

В первом, наиболее вероятном, они уже являются частью финансово-промышленных групп и просто делают вид, изображая публично свое несогласие. В пользу этого сценария свидетельствует ряд факторов. В частности, ведущими акционерами Apple, Microsoft, Oracle и других являются две крупнейших в мире инвестиционные компании Vanguard и BlackRock с суммарными активами порядка 8 трлн долл. США (что в сумме близко к суммарным активам всех остальных мировых инвестиционных фондов). Эти же две компании также являются основными акционерами многих ведущих компаний ВПК США, в частности, Lockheed Martin. Этот факт напрямую не свидетельствует о прямом контроле, но говорит о многом. Также существует еще масса менее значительных фактов, в частности, например, личность акционера Google Эрика Шмидта. Он недавно покинул свой пост, вернувшись на работу в Министерство Обороны США, хотя, как раз это и можно расценивать как вероятный показатель начавшейся борьбы топовых ИТ-неофитов со спецслужбами.

Второй сценарий – конфликт за переделы сфер влияния с ФПГ или борьба разных ФПГ, в которые входят разные ИТ-вендоры. В его пользу свидетельствуют и истории с Yahoo и Juniper (о чем ниже). Все это больше похоже на «подковерную борьбу» с выражением своего несогласия с политикой государства в лице его спецслужб.

Итак, предположим, что вендоры не входят в эти финансово-промышленные группы (или финансовый клан, куда входит вендор, в определенных случаях не заинтересован в выполнении данного секретного приказа, который навязан другой финансово-промышленной группой), а значит, вендоров не объединяют общие интересы в сфере участия в межгосударственной разведывательной деятельности. Самим по себе ИТ-вендорам, в отличие от классических ФПГ, не надо «подсматривать, подслушивать». Бессмысленно. Они и так абсолютные лидеры. Вся эта история с «имплантами» и глобальной слежкой серьезно портит бизнес ИТ-вендоров, тем самым, только усиливая их возможный существующий конфликт с ФПГ и отстаивающими их интересы спецслужбами.

Подобная «подковерная возня» всегда имела место в американской большой политике, но сейчас, взглянув на всю ситуацию с закладками под новым углом, мы можем увидеть подтверждения конфликту в виде всплесков: различные публичные заявления в прессе от Apple, Microsoft, Google, Cisco.

Конечно, было бы наивно полагать, что вендоры отстаивают интересы демократического общества. Их, по сути, волнует только одно – ежегодный рост капитализации компаний и увеличение прибыли. И им не интересны проблемы ФПГ, спецслужб и государства, если не произошла их смычка по первому сценарию. Поэтому, в случае второго сценария, очевидно, что акционеры и руководство вендоров будут всеми силами бороться с практикой секретных предписаний, что мы, вероятно, и видим сейчас на примере последних скандалов в прессе. Или, все еще хуже, и мы просто наблюдаем отголоски борьбы различных ФПГ.

Отличной демонстрацией откровенного цинизма, подковерных игр и попыток изобразить хорошую мину при плохой игре в современном ИТ-бизнесе является вскрывшаяся на днях история с компанией Apple. В декабре 2015 года их вице-президент пишет шефу избирательной компании Клинтон приватное подобострастное письмо, в котором уверяет в полной лояльности компании и удовлетворении «тысяч запросов в месяц» по раскрытию информации для американских спецслужб.

ИТ-бульдоги под ковром - 2
Рисунок 2 — фрагмент письма вице-президента Apple

А всего через два месяца компания Apple устраивает в прессе наигранный открытый скандал под эгидой: «Ничего не дадим ФБР: демократия в опасности!» Возникает вопрос, если это делают с таким «китом» индустрии как Apple, то что говорить о более мелких рыбешках.

Разработчики – второй уровень сопротивления

Америка – колоссальная страна с великими традициями. Не стоит недооценивать принципы свободы и демократии, которыми руководствуются многие американцы. На людях, которые искренне верят во все это, держится ИТ-индустрия США. Вспомним известное видео с искренними восторженными крики Стива Балмера на ежегодной встрече Microsoft со своими сотрудниками: «Разработчики, разработчики, разработчики!!!» И у них есть свои принципы. Большинство из них искренне верят в свободу и демократию, и им не интересно намеренно встраивать в свои продукты бэкдоры, даже получив секретный приказ, разглашение которого приравнивается к разглашению государственной тайны со всеми вытекающими последствиями. И даже если акционеры и боссы ИТ-гигантов уже давно «сроднились» с ФПГ и спецслужбами, это вовсе не означает, что разработчики будут их поддерживать. Как минимум, пока из России с Китаем путем многолетней пропаганды не сделают в очередной раз пугал «империи Зла». Поэтому разработчики — второй и, пожалуй, сегодня главный уровень сопротивления. Недаром RSA получило от АНБ премию в 10 млн долл., но об этом ниже.

ФПГ vs вендоры, Или ничего личного – только бизнес

Последнее время мир тяготеет к крайностям. Ясно, что нет однозначно черного или 100% белого, существует масса оттенков и полутонов. Это касается и отношений между ИТ-вендорами и государством. Сегодня это большой бизнес, и у него свои законы. Существует масса легальных возможностей оказать влияние на любую компанию и очевидно, что этими способами будут пользоваться в условиях рыночной экономики.

Специфика корпоративного права в США такова, что для влияния совершенно необязательно владеть всей компанией, достаточно ее контролировать. Учитывая 8+ триллионов активов на двоих у Vanguard и Black Rock, многократное перекрестное владение, а также наличие долей практически по всех крупных корпорациях, акции которых вращаются на бирже, несложно заметить, что, являясь крупнейшими акционерами ИТ-вендоров и одновременно предприятий ВПК, это позволяет им централизованно проводить любую собственную политику, корректируя ее и учитывая интересы как ФПГ, так и США в целом. При этом, очевидно, что за таким гигантским капиталом стоят не ИТ-неофиты, а те же самые представители различных глобальных ФПГ, которые еще 100 лет назад определяли политику США – их капиталы за эти 100 лет никуда не делись, а только умножились и многократно выросли.

Кстати, пару лет назад во Флоренции провели любопытное исследование, сравнив список 1000 богатейших семей города 500 лет назад и сейчас — корреляция оказалась близка к 100%: подавляющее большинство семей, которые были богаты тогда, также богаты и сейчас. Поэтому не стоит думать, что клан Рокфеллеров с их миллиардами начала 20 века куда-то внезапно пропал и теперь их место заняли современные ИТ-неофиты, владеющие «жалкими» десятками миллиардов долларов. Настоящие «кукловоды», контролирующие триллионы долларов и влияющие на мировую политику, судя по всему, теперь предпочитают оставаться далеко за кадром, не мелькая в списках Forbes.

Понимая это, можно иными глазами посмотреть на многие сегодняшние процессы в большом ИТ-бизнесе. Идет большая игра, отголоски которой мы иногда видим в американской прессе, в том числе, серьезная борьба между различными ФПГ, а ИТ-вендоры, как публичные компании, вероятно, давно не обладают возможностью играть свою роль самостоятельно. От биржевых щупалец контроля теперь никуда не деться.

Причем сама отлично ранее «проданная» идея повсеместного выхода на биржу, при наличии капитала, а его более чем достаточно у мировой бизнес закулисы, дает возможности совершенно безболезненно и бескровно постепенно получать контроль над всеми интересующими публичными компаниями и технологиями. Понимая это, теперь также можно несколько иными глазами посмотреть и на процесс в некоторых случаях, казалось бы, бессмысленного поглощения крупными публичными компаниями малых и средних, но при этом непубличных. А самое главное, многие непонятные ранее истории становятся вполне банальными и простыми.

Например, история с RSA, о которой рассказал Сноуден, когда компания специально встроила криптобэкдор АНБ за 10 млн. долл. Ясно, что для RSA, как компании, которая затем была продана за 2.1 млрд. долл., это явно не та сумма, за которую она стала бы рисковать своей репутацией. Вероятнее всего, это была… премия топ-менеджерам и разработчикам, которые смогли обеспечить реализацию данного распоряжения. А сама компания RSA была просто вынуждена «взять под козырек» и выполнить приказ.

Без ответа остается вопрос, сколько еще таких секретных приказов отдано и поступит еще различным американским вендорам от правительства США. Сегодня мы видим только лишь совсем небольшую верхушку этого гигантского ИТ-айсберга.

Факты. История 1. Yahoo

Кратко напомним, что в октябре 2016 года в американской прессе разразился грандиозный скандал из-за утечки, который, по информации из компетентных источников, выявил:

  • массовый анализ почты всех 500 миллионов пользователей почтового сервиса через установку в него силами самого вендора «импланта» АНБ для негласного сбора информации;
  • систему секретных предписаний, согласно которым государство может обязать любого вендора выполнить секретный приказ по встраиванию «импланта».

Интересно посмотреть на историю с Yahoo под новым углом. Итак, руководство Yahoo получает секретный приказ о встраивании «импланта», который они претворяют в жизнь узкой группой специалистов. Однако, судя по имеющейся отрывочной информации из прессы, данные об этом стали постепенно распространяться внутри Yahoo. В итоге, CISO покинул компанию, видимо, не согласившись участвовать в этой игре и затем перейдя в Facebook. По словам информированных источников, при очередной проверке служба ИБ Yahoo обнаружила «имплант». Через какое-то время произошла утечка в прессу и разразился грандиозный скандал.

По опыту, маловероятно, что безопасники Yahoo без дополнительной наводки сами обнаружили данный «имплант» – скорее всего, им помогли разработчики (или топ-менеджеры, хотя в данном случае это сомнительно).

Факты. История 2. Juniper

Самая загадочная история на стыке мира ИБ/ИТ случилась менее года назад — в конце декабря 2015 года — с главным конкурентом компании Cisco — компанией Juniper. Большого шума она не вызвала. Во-первых, вендор не так популярен, во-вторых, дело было в канун рождества. На самом деле, это была необъяснимая на тот момент таинственная история, к возможной разгадке которой привели недавние события от момента обнародования архива кибероружия АНБ и до истории с Yahoo.

Как было дело. 21 декабря 2015 года Juniper объявила об обнаружении в своем VPN-устройстве двух закладок, которые давали злоумышленнику следующие грандиозные возможности:

  • удаленный доступ к устройству через «вшитый» дефолтный пароль (был очень хитро закамуфлирован в коде);
  • удаленная расшифровка VPN-соединения путем ослабления реализации криптоалгоритма.

Другими словами, речь шла о полной компрометации VPN почти всех версий устройств Juniper. При этом, представители компании заявили… что не знают, откуда в ее коде появились две данные закладки. ФБР затем заявила о расследовании, но вся история тогда очень подозрительно быстро заглохла в американской прессе – о ней никто не вспоминает и до сих пор, хотя напрасно.

Тогда было невозможно понять, во-первых, зачем компания сама обнародовала скандальный факт, а, во-вторых, как специалисты одновременно обнаружили две такие совершенно разные закладки. Никто не мешал Juniper тихо выпустить патч, добавив их к другим уязвимостям или обновлениям, который затем постепенно разошелся бы по клиентам. Вероятность, что кто-то из исследователей занялся бы реверсом патча, обнаружив эти закладки, крайне мала, хотя ее не стоит исключать. Juniper также ничто не мешало традиционно назвать обнаруженные закладки уязвимостями, не привлекая к ним внимания, вместо публичного признания обнаружения чужеродных закладок к коде.

Вторая уязвимость, связанная с возможностью удаленного раскрытия VPN-сессий, оказалась особенно важна. Криптографы поняли только через несколько месяцев (!) после раскрытия, что это было виртуозно выполненное ослабление в реализации криптоалгоритма. Чей это почерк? Очевидно, спецслужб. Кто обладает таким высочайшим уровнем мастерства в криптоанализе: специалисты из США, РФ, вероятно, Китая, Великобритании, Франции и, возможно, Израиля. Последних трех можно смело вычеркнуть. Китай и Россия – крайне маловероятно: сложно внедрить своих агентов внутрь Juniper, да и Cisco им было бы взломать гораздо интереснее. Круг подозреваемых сужается, и самыми вероятными из них оказываются сотрудники АНБ. Тем более, они это уже проделывали подобное ранее за 10 млн долларов с RSA.

После раскрытия архива кибероружия АНБ всплыл еще один факт, который косвенно указывает в этой истории на АНБ. Как оказалось, у агентства долгие годы через уязвимость (уязвимость или закладка?) была возможность удаленного раскрытия VPN-сессий… Cisco. Для обеспечения достойного покрытия им не хватало… наличия аналогичной возможности в продуктах главного мирового конкурента Cisco – Juniper.

Давайте вспомним, что говорилось в прессе про эту историю самой компанией Juniper. Якобы в процессе аудита и анализа кода свои безопасники нашли данные уязвимости. Вспоминаем историю с Yahoo – легенда один в один. Особенно интересно, как они так внезапно случайно обнаружили такую сложнейшую уязвимость в VPN, да и дефолтный пароль просто так обнаружить было невозможно – надо было точно знать, что и где искать.

Вероятно, представители Juniper ранее либо получили секретный приказ от АНБ встроить данные закладки в свое оборудование, либо в свое время АНБ удалось провести удачную спецоперацию. Затем разработчики, знающие об этой истории, допустили утечку внутри компании, и баг был в данном случае демонстративно предан огласке, что, кстати, говорит о том, что Juniper вероятно не инкорпорирован ни в один из кланов ФПГ, или это свидетельство борьбы кланов. Или это совсем уж недоступно тонкая игра.

Вместо заключения

Из открытой информации достоверно оценить, что именно происходит во взаимоотношениях между американскими ИТ-вендорами и спецслужбами, достаточно сложно. Ясно, что идет мощная подковерная игра, отголоски которой мы регулярно видим в прессе. Также ясно, что такие монстры, как Apple, Microsoft и Google, если они уже не внутри традиционных ФПГ (хотя судя по основным владельцам первых двух в лице Vanguard и BlackRock очень похоже на это) имеют огромные финансовые возможности влиять на ситуацию и, судя по всему, ищут политического прикрытия на капитолийском холме для противовеса действия спецслужбам. А даже если они это и делают только для отвода глаз или это последствия борьбы различных финансовых кланов, последние истории четко показали, что не стоит сбрасывать со счетов американских разработчиков – они вполне имеют возможность влиять на данную ситуацию, не давая АНБ жить спокойно. Вот и получается, что разработчики сегодня … последний реальный оплот свободы и демократии в современном ИТ-мире.

А современный корпоративный ИТ-мир окончательно превратился в традиционный большой бизнес со своими суровыми законами и стал совсем не тот, к которому мы привыкли еще совсем недавно. На место наивным розовым тонам пришли оттенки черно-серой гаммы, и сегодня нужно быть крайне оптимистичным дальтоником, чтобы всего этого не видеть. Кусочки разбросанного по столу ИТ-пазла сегодня постепенно сложились в одну большую и крайне неприглядную картину. К нашему всеобщему и величайшему сожалению.

Автор: Digital Security

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js