Коллектив Авторов - Цифровой журнал «Компьютерра» № 97
Вся эта искусственно обволакиваемая туманами тема вообще и фирма Gamma в частности стали с той поры объектом дотошных журналистских расследований. Одно из таких расследований особенно интересно — в частности, потому, что привело к существенному укреплению безопасности медиаплеера Apple iTunes, установленного ныне более чем на четверти миллиарда компьютеров по всему миру.
В конце сентября 2011 года в Берлине проходило весьма своеобразное мероприятие, чем-то напоминающее закрытый слёт какого-нибудь тайного общества. Высокие начальники из военных структур и спецслужб плюс представители индустрии безопасности из разных стран мира собрались в дорогом отеле, чтобы обсудить «угрозы цифрового мира»: кибератаки, электронный шпионаж, онлайновую организованную преступность и тому подобные вещи. Однако наиболее горячей темой обсуждения были технологии, которые можно было бы применять для противостояния всем этим угрозам.
Официально конференция-выставка носила название Cyberwarfare Europe, но на самом деле многие участники прибыли в германскую столицу из весьма отдалённых регионов Америки и Азии. В частности, среди участников были замечены представители правительственных и промышленных кругов из США, ОАЭ, Индонезии и Малайзии. Каждый из участников конференции заплатил неслабую сумму в размере 2700 евро за высокую привилегию послушать доклады ведущих экспертов и военных авторитетов, а также пообщаться в фойе у стендов компаний, предлагающих свои кибервоенные решения.
Один из таких стендов был здесь и у мюнхенской фирмы Gamma International Gmbh. У репортера журнала Spiegel, сумевшего попасть на конференцию, было множество вопросов к компании по поводу её деятельности и продукции. Однако один из директоров, также оказавшийся около стенда, заявил, что у их фирмы нет никакого интереса к общению с прессой. Более того, когда до фирмы Gamma дошла очередь делать доклад в конференц-зале, руководство приложило максимум усилий, чтобы при этом в аудитории не было никого из журналистов.
Хоть прессу и не подпустили к наиболее содержательным презентациям, это не помешало журналистам нарыть массу информативных материалов. В частности, сотрудники газеты Wall Street Journal сумели раздобыть здоровенный электронный каталог, описывающий все наиболее современные достижения в электронном шпионаже. Этот содержательный каталог, затем выложенный на сайте WSJ, предоставляет, среди прочего, и данные о продукции Gamma International.
Из того же каталога или по каким-то свои каналам журналу Spiegel удалось-таки разведать немало интересных подробностей об особенностях функционирования программ Gamma. В частности, были проштудированы рекламные видеоролики фирмы, демонстрирующие широкий спектр возможностей, предлагаемых компанией для проникновения в компьютеры и установки в них шпионского программного обеспечения.
Помимо тривиальных решений, когда «агент» имеет физический доступ к компьютеру человека-"объекта" и просто ставит машину под контроль путём втыкания USB-флешки (FinFly USB), предлагаются и более изощрённые штуки. В частности, рекламный видеоматериал показывает, как через специальный интернет-сервис FinFly ISP пользователь сети фактически сам подсаживает троянца в свой компьютер через механизм обновлений популярной программы Apple iTunes. Когда пользователю приходит (от FinFly ISP) подложное предложение обновить своё ПО, он считает, что это предложение от Apple, кликает по ссылке и загружает в свой компьютер троянца FinFisher. А «штаб-квартира» соответственно получает полный доступ к компьютеру объекта.
Когда американская газета Wall Street Journal и германский журнал Spiegel в двадцатых числах ноября практически одновременно опубликовали весьма познавательные материалы о тех шпионских инструментах для слежки, что применяются правительственными органами в век цифровых технологий, то основное внимание и публики, и прочих СМИ оказалось сконцентрировано на выявленной журналистами уязвимости iTunes. Что вполне понятно, учитывая нынешнюю гиперпопулярность продукции Apple.
При этом и в уже упомянутых изданиях, и в прочих новостных сообщениях, написавших о проблеме, было особо подчёркнуто, что в ноябре этого года — аккурат накануне публикаций с расследованиями — корпорация Apple залатала именно ту уязвимость, которую использовал троянец FinFisher (а также, как выяснилось, некоторые криминальные ботнеты).
Укрепление защиты было сделано с помощью очередного — в этом случае самого настоящего — кросс-платформенного обновления для iTunes, получившего номер версии 10.5.1. Как было объявлено, начиная с этой версии программа iTunes, работающая на пользовательском компьютере, теперь станет запрашивать адрес апдейта через безопасное (https) соединение, таким образом блокируя возможные атаки типа «человек посередине».
Чуть ли не единственным, кто сразу обратил внимание на «одну небольшую, но чрезвычайно существенную деталь», умалчиваемую во всех этих публикациях СМИ о компрометации и лечении iTunes, оказался американский журналист Брайен Кребс. В прошлом обозреватель компьютерной безопасности в газете Washington Post, а ныне самостоятельный исследователь, Кребс в своём блоге напомнил публике, что именно об этой опасной уязвимости компанию Apple давным-давно — ещё в середине 2008 года — предупреждал серьёзный эксперт по инфозащите. Однако по совершенно неясным причинам корпорация Apple выжидала свыше 1200 дней, то есть три с лишним года, прежде чем залатать эту дыру.
Данное обстоятельство, считает Кребс, поднимает вполне естественные вопросы относительно того, знали ли в Apple (а если знали, то с каких пор) о вскрывшихся ныне особенностях троянцев, применяемых для шпионажа правительственными органами. Упорное нежелание Apple залатать столь откровенную дыру можно было бы очень просто объяснить тайным сговором с властями, учитывая, что масштабы распространения плеера iTunes по планете уже превышают четверть миллиарда пользователей (рубеж 250 миллионов был зафиксирован в июне 2011).
Брайен Кребс хорошо ориентируется в теме — он сам писал именно об этой уязвимости в Washington Post в июле 2008 по результатам интервью с аргентинским исследователем-хакером Франсиско Амато. Амато тогда создал программу Evilgrade — новый инструмент для тестирования компьютерных систем на предмет стойкости к проникновениям. Особенностью инструментария было то, что он позволял автоматически рассылать подложные извещения о появлении обновлений для тех программ, в которых не применяется цифровая подпись для апдейтов. Степень серьёзности этой угрозы разъяснялась в статье примерно следующим образом.
Представьте себе, что вы находитесь, скажем, в зале аэропорта, ожидая посадки на рейс. Вы раскрываете свой ноутбук, чтобы посмотреть, нельзя ли тут подключиться к открытой беспроводной сети. Следует, однако, иметь в виду, что существует множество свободно доступных средств, позволяющих злоумышленникам создавать ложные точки беспроводного доступа, дабы осуществлять маршрутизацию ваших интернет-соединений через свой компьютер. Вы подсоединяетесь к такой фальшивой сети, полагая, что всего лишь глянете на результаты очередной игры своей любимой команды. Несколько секунд спустя одно из приложений в вашем компьютере сообщает, что вышло новое обновление программы. Вы соответственно даёте добро на установку апдейта. Можно сказать, тут-то вас и отоварили.
Можно, конечно, не одобрять обновление, но и это спасает не всегда. Функции автоапдейта, часто встраиваемые в программы, начинают работать сами и скачивают фальшивое обновление программы в ваш компьютер сразу же, как только о нём узнают. И только потом раз за разом напоминают о наличии апдейта, который можно установить. Вполне вероятно, что ко времени очередного напоминания пользователь уже доберётся до места назначения и никогда не узнает, что апдейт скачивался через скомпрометированную сеть.
Ещё тогда подчёркивалось, что Evilgrade особенно эффективно работает с уязвимостью в механизме апдейтов программы iTunes для Windows. Амато описывал эту уязвимость следующим образом: «iTunes проверяет бинарный код на предмет того, имеет ли он цифровую подпись Apple. Однако вредоносный контент можно встраивать в описание, открывающее браузер, — так что пользователь полагает, будто апдейт пришёл от Apple».
Известно, что Франсиско Амато в июле 2008 года обращался непосредственно к команде обеспечения безопасности в продукции Apple, чтобы предупредить о выявленной дыре.
По свидетельству Амато, вскоре после этого контакта из Apple подтвердили факт получения его отчёта. Но затем никаких вестей от них не было более трёх лет — вплоть до 28 октября 2011, когда от Apple пришло ещё одно электронное письмо с просьбой подтвердить имя и реквизиты, чтобы надлежащим образом сослаться на его работу при сообщении о залатанной уязвимости в новом апдейте под номером iTunes 10.5.1. В своём блоге Кребс отмечает то, как долго в Apple тянули с «заплаткой».