Шейн Харрис - Кибервойн@. Пятый театр военных действий
На всяком рынке, будь он серый или любой другой, крупнейшие покупатели имеют привилегии устанавливать свои условия и правила. АНБ как общепризнанный единственный крупнейший покупатель уязвимостей и эксплоитов нулевого дня может перевернуть рынок с ног на голову, если начнет приобретать информацию с ясной целью раскрыть ее обществу. Агентство располагает миллиардами долларов для расходов на кибербезопасность. Почему бы не потратить часть этих денег на то, чтобы предупредить мир о существовании устранимых уязвимостей? Какую ответственность понесет агентство, если предупредит собственников и операторов небезопасной технологии о существовании потенциальной угрозы атак на них? Эту этическую дилемму агентство не обязано решать. Однако, если когда-нибудь случится кибератака на США, которая приведет к значительному физическому ущербу или вызовет массовую панику, а может, и смерти, агентство будет призвано к ответу за то, что не сумело предотвратить катастрофу. Вполне вероятно, что когда-нибудь в будущем директору АНБ придется сесть на место свидетеля и перед телевизионными камерами объяснить членам конгресса и гражданам США, как так вышло, что он знал об уязвимости, которой воспользовались враги Америки, но только из-за желания АНБ однажды воспользоваться этой информацией решил сохранить ее в тайне.
К наиболее уязвимым для разрушительных кибератак нулевого дня относятся те же самые объекты, которые АНБ так старается защитить: электростанции, предприятия атомной промышленности, газовые трубопроводы и другие жизненно важные объекты инфраструктуры, банки и компании финансового сектора. Не во всех этих компаниях есть система для легкого обмена информацией об уже известных уязвимостях и эксплоитах, информацию о которых зачастую раскрывают хакеры, больше ориентированные на защиту. Эти хакеры видят свое предназначение в поиске недостатков в высокотехнологичных продуктах и предупреждении о них компаний-производителей, а не в извлечении личной выгоды. Когда выясняется, что информационная система компании подвергается риску, установка исправлений и обновлений системы ложится на саму компанию, а технологическая гибкость у разных компаний разная. Одни готовы к оперативному внесению исправлений, другие могут даже не осознавать, что они используют уязвимое программное обеспечение. Иногда компании буквально не получают от производителей извещений, предупреждающих о необходимости установки обновления или изменения параметров безопасности продукта для повышения его надежности. Даже если компания использует ПО, для которого регулярно выпускаются обновления, системные администраторы компании должны согласовано скачать эти обновления, убедиться, что они были установлены повсеместно в компании, и продолжать отслеживать все будущие обновления. Когда на одном предприятии нужно обслуживать сотни или тысячи компьютеров, установка обновлений может оказаться весьма трудной задачей.
Приобретая такое большое количество эксплоитов нулевого дня, АНБ поддерживает рынок кибероружия, существование которого подвергает опасности американские компании и жизненно важные объекты инфраструктуры. Если какое-то государство или террористическая группа захотят оставить один из американских городов без света, то, скорее всего, они воспользуются эксплоитом, купленным у одной из компаний, поставляющей эксплоиты также и АНБ. Кроме того, продавцы эксплоитов нулевого дня несут по крайней мере потенциальную ответственность за снижение безопасности Интернета. Однако они предпочитают обвинять производителей программного обеспечения в том, что их программы вообще могут быть взломаны. «Мы не продаем оружие, мы продаем информацию, – ответил основатель компании ReVuln, продающей эксплоиты, на вопрос журналиста Reuters, будет ли его компания обеспокоена, если одна из ее программ будет использована для атаки, которая приведет к уничтожению систем или смерти людей. – Этот вопрос лучше задать производителям, оставляющим дыры в своих продуктах».
Подобная линия защиты немного похожа на ситуацию, когда в ограблении обвиняют слесаря, сделавшего замок. Да, считается, что слесарь создает вещь, которая не позволит взломщикам проникнуть в дом. Однако, если грабителю все же удается вломиться внутрь и украсть телевизор или, еще хуже, напасть на владельцев дома, мы же не предъявляем иск слесарю. Компании, подобные ReVuln, конечно, сами никого не грабят, но, если продолжить аналогию, они продают отмычки. Нет никаких сомнений, что они тоже несут некоторую ответственность за совершенные преступления – пусть не правовую, но моральную.
А что же АНБ? В аналогии с ограблением невозможно подобрать эквивалент тому, что делает агентство. В воровском мире никто не скупает отмычки просто так. Вместе с тем АНБ хочет играть роль своего рода охранника для Интернета. Что обычно происходит, если охранник, нанятый для патрулирования окрестностей, увидит открытое окно, но не сообщит об этом владельцам дома? Более того, что если он найдет изъян в конструкции окон, которую используют все жители района, дающий взломщику возможность открыть окно снаружи? Если охранник не предупредит домовладельцев, они его просто уволят, а может быть, и потребуют его арестовать. Никому в голову не придет оправдывать охранника тем, что он держал в секрете информацию об уязвимости конструкции окна, чтобы защитить домовладельцев. И полицию, наверняка, не устроит, если эта информация останется известной только охраннику, который сможет ей воспользоваться, чтобы ходить и обворовывать дома.
Аналогия не идеальная. АНБ не относится к правоохранительным органам, это военная и разведывательная организация. Деятельность агентства подчиняется другим законам и направлена на решение других задач. Тем не менее поскольку агентство поднимает тему кибервойны и заявляет о том, что именно оно наилучшим образом подготовлено к защите государства от злоумышленников и их атак, то и вести себя оно должно, именно как охранник, а не как грабитель.
В 2013 г. на приобретение эксплоитов нулевого дня в бюджете АНБ было предусмотрено $25 млн. Эта статья расходов во внутреннем бюджетном документе агентства называлась «тайное приобретение информации о программных уязвимостях». Однако АНБ, приобретая кибероружие, полагается не только на теневой и нерегулируемый рынок. Преимущественно агентство создает свое оружие. А почему нет? Агентство располагает собственной производственной базой, состоящей из лучших в стране хакеров, многие из которых поднялись по карьерной лестнице на военной службе и за государственный счет прошли обучение на курсах по компьютерной безопасности университетского уровня. Подготовка такого персонала – это дорогостоящие и долгосрочные инвестиции. Соединенные Штаты полагаются на опыт и знания этих специалистов в киберборьбе с Китаем, у которого, вероятно, всегда будет преимущество по абсолютному числу хакеров.
Проблема АНБ заключается в том, что эти высококлассные киберсолдаты не всегда остаются на государственной службе. Они легко могут продолжить карьеру при переходе в частный бизнес, особенно сейчас, когда их работа в частном секторе так же востребована, как и в государственном.
Чарли Миллер, бывший сотрудник АНБ, известен своим умением находить трудные для обнаружения ошибки в продуктах компании Apple, в том числе в ноутбуках MacBook Air и смартфонах iPhone. В 2012 г. он ушел работать в Twitter. Таких, как Миллер, в хакерских кругах называют «хорошими парнями». Он взламывает системы для того, чтобы их исправить, прежде чем «плохие парни» смогут воспользоваться не устраненными ошибками и нанести вред. Социальная сеть, созданная компанией Twitter, по мере своего роста становилась все более привлекательной целью для шпионов и преступников. Миллер использует опыт, приобретенный в АНБ, и природный талант, чтобы защитить сотни миллионов пользователей компании Twitter, которая в 2013 г. стала публичной.
Джастин Шах прошел похожий путь. Он начал свою карьеру в середине 1990-х в качестве информационного аналитика, программиста и системного администратора в Корпусе морской пехоты США. В 2001 г. Шах поступил на службу в АНБ, где он прошел обучение в рамках Междисциплинарной программы подготовки по системам и сетям, разработанной агентством. Ее основная цель – подготовка кибервоинов. «Выпускники этой программы становятся для агентства незаменимыми, поскольку они могут решать самые универсальные задачи по управлению компьютерными сетями», – говорится в брошюре АНБ, в которой за техническими терминами скрывается главное – речь идет о киберпреступности и кибератаках. Менее чем через два года Шах перешел на службу в ЦРУ. Там он работал в Отделе технических операций, который помогал АНБ устанавливать оборудование для слежки в труднодоступных местах. Однако вскоре он ушел в частный сектор и в итоге оказался в компании Google на должности инженера по информационной безопасности.