Компьютерра - Компьютерра PDA N147 (26.11.2011-02.12.2011)
Помимо тривиальных решений, когда "агент" имеет физический доступ к компьютеру человека-"объекта" и просто ставит машину под контроль путём втыкания USB-флешки (FinFly USB), предлагаются и более изощрённые штуки. В частности, рекламный видеоматериал показывает, как через специальный интернет-сервис FinFly ISP пользователь сети фактически сам подсаживает троянца в свой компьютер через механизм обновлений популярной программы Apple iTunes. Когда пользователю приходит (от FinFly ISP) подложное предложение обновить своё ПО, он считает, что это предложение от Apple, кликает по ссылке и загружает в свой компьютер троянца FinFisher. А "штаб-квартира" соответственно получает полный доступ к компьютеру объекта.
Когда американская газета Wall Street Journal и германский журнал Spiegel в двадцатых числах ноября практически одновременно опубликовали весьма познавательные материалы о тех шпионских инструментах для слежки, что применяются правительственными органами в век цифровых технологий, то основное внимание и публики, и прочих СМИ оказалось сконцентрировано на выявленной журналистами уязвимости iTunes. Что вполне понятно, учитывая нынешнюю гиперпопулярность продукции Apple.
При этом и в уже упомянутых изданиях, и в прочих новостных сообщениях, написавших о проблеме, было особо подчёркнуто, что в ноябре этого года - аккурат накануне публикаций с расследованиями - корпорация Apple залатала именно ту уязвимость, которую использовал троянец FinFisher (а также, как выяснилось, некоторые криминальные ботнеты).
Укрепление защиты было сделано с помощью очередного - в этом случае самого настоящего - кросс-платформенного обновления для iTunes, получившего номер версии 10.5.1. Как было объявлено, начиная с этой версии программа iTunes, работающая на пользовательском компьютере, теперь станет запрашивать адрес апдейта через безопасное (https) соединение, таким образом блокируя возможные атаки типа "человек посередине".
Чуть ли не единственным, кто сразу обратил внимание на "одну небольшую, но чрезвычайно существенную деталь", умалчиваемую во всех этих публикациях СМИ о компрометации и лечении iTunes, оказался американский журналист Брайен Кребс. В прошлом обозреватель компьютерной безопасности в газете Washington Post, а ныне самостоятельный исследователь, Кребс в своём блоге напомнил публике, что именно об этой опасной уязвимости компанию Apple давным-давно - ещё в середине 2008 года - предупреждал серьёзный эксперт по инфозащите. Однако по совершенно неясным причинам корпорация Apple выжидала свыше 1200 дней, то есть три с лишним года, прежде чем залатать эту дыру.
Данное обстоятельство, считает Кребс, поднимает вполне естественные вопросы относительно того, знали ли в Apple (а если знали, то с каких пор) о вскрывшихся ныне особенностях троянцев, применяемых для шпионажа правительственными органами. Упорное нежелание Apple залатать столь откровенную дыру можно было бы очень просто объяснить тайным сговором с властями, учитывая, что масштабы распространения плеера iTunes по планете уже превышают четверть миллиарда пользователей (рубеж 250 миллионов был зафиксирован в июне 2011).
Брайен Кребс хорошо ориентируется в теме - он сам писал именно об этой уязвимости в Washington Post в июле 2008 по результатам интервью с аргентинским исследователем-хакером Франсиско Амато. Амато тогда создал программу Evilgrade - новый инструмент для тестирования компьютерных систем на предмет стойкости к проникновениям. Особенностью инструментария было то, что он позволял автоматически рассылать подложные извещения о появлении обновлений для тех программ, в которых не применяется цифровая подпись для апдейтов. Степень серьёзности этой угрозы разъяснялась в статье примерно следующим образом.
Представьте себе, что вы находитесь, скажем, в зале аэропорта, ожидая посадки на рейс. Вы раскрываете свой ноутбук, чтобы посмотреть, нельзя ли тут подключиться к открытой беспроводной сети. Следует, однако, иметь в виду, что существует множество свободно доступных средств, позволяющих злоумышленникам создавать ложные точки беспроводного доступа, дабы осуществлять маршрутизацию ваших интернет-соединений через свой компьютер. Вы подсоединяетесь к такой фальшивой сети, полагая, что всего лишь глянете на результаты очередной игры своей любимой команды. Несколько секунд спустя одно из приложений в вашем компьютере сообщает, что вышло новое обновление программы. Вы соответственно даёте добро на установку апдейта. Можно сказать, тут-то вас и отоварили.
Можно, конечно, не одобрять обновление, но и это спасает не всегда. Функции автоапдейта, часто встраиваемые в программы, начинают работать сами и скачивают фальшивое обновление программы в ваш компьютер сразу же, как только о нём узнают. И только потом раз за разом напоминают о наличии апдейта, который можно установить. Вполне вероятно, что ко времени очередного напоминания пользователь уже доберётся до места назначения и никогда не узнает, что апдейт скачивался через скомпрометированную сеть.
Ещё тогда подчёркивалось, что Evilgrade особенно эффективно работает с уязвимостью в механизме апдейтов программы iTunes для Windows. Амато описывал эту уязвимость следующим образом: "iTunes проверяет бинарный код на предмет того, имеет ли он цифровую подпись Apple. Однако вредоносный контент можно встраивать в описание, открывающее браузер, - так что пользователь полагает, будто апдейт пришёл от Apple".
Известно, что Франсиско Амато в июле 2008 года обращался непосредственно к команде обеспечения безопасности в продукции Apple, чтобы предупредить о выявленной дыре.
По свидетельству Амато, вскоре после этого контакта из Apple подтвердили факт получения его отчёта. Но затем никаких вестей от них не было более трёх лет - вплоть до 28 октября 2011, когда от Apple пришло ещё одно электронное письмо с просьбой подтвердить имя и реквизиты, чтобы надлежащим образом сослаться на его работу при сообщении о залатанной уязвимости в новом апдейте под номером iTunes 10.5.1. В своём блоге Кребс отмечает то, как долго в Apple тянули с "заплаткой".
Пять с лишним лет назад, весной 2006 года, Кребс уже предпринимал довольно обширное исследование - он хотел узнать, сколько времени у Apple в среднем уходит на выпуск патчей для своих продуктов. Были отобраны обновления, выпускавшиеся в течение двух лет для исправления серьёзных дефектов в защите операционной системы Mac OS X и прикладных программ. Было установлено, что в среднем проходил 91 день между датой, когда исследователи предупреждали Apple о выявленной дыре, и тем днём, когда Apple выпускала соответствующий патч для решения проблемы. В своём исследовании Кребс проследил время создания патчей для полусотни дефектов. Рекорд составил аж 245 дней.
Закрывая тему "cтранного" поведения Apple в вопросе латания конкретной дыры в iTunes, уместно задаться и ещё одним, более широким вопросом.
О роли антивирусных компаний.Нынешнее повышенное внимание публики ко всем тем инструментам цифровой слежки, что бойко продаются правоохранительным органам по всему миру, простимулировало дискуссии о двусмысленной роли антивирусных фирм. В частности, задаётся много вопросов о том, что они реально делают и делают ли что-то вообще для того, чтобы выявлять подобных "законных шпионов".
Наиболее известные производители антивирусов предпочитают отмалчиваться. Но есть и исключения. К примеру, Микко Хиппонен, директор по исследованиям в финской фирме компьютерной безопасности F-Secure, смело говорит на столь деликатную тему.
Хиппонен упомянул в блоге F-Secure знаменитую ныне программу-троянца FinFisher ещё в марте 2011 года, когда восставший против Мубарака народ захватил здание штаб-квартиры египетской госбезопасности и получил доступ к конфиденциальным государственным документам. Включая и те, что демонстрировали закупки западных программных продуктов для цифровой слежки за пользователями компьютеров и мобильных телефонов.
По этому поводу Хиппонен чётко сказал, что F-Secure однозначно будет выявлять любое вредоносное ПО, о котором узнает, независимо от того, насколько активно власти применяют его для слежки. Он также заметил, что не все антивирусные компании публично объявляют о подобных обязательствах: "В действительности здесь нет какой-то реальной дискуссии или же чего-то вроде общего для всей индустрии соглашения... Всё это происходит так, что [антивирусные] компании не имеют ни малейшего понятия о том, является ли очередной троянец, которого они зацепили, неким правительственным инструментом или же это их обычный материал. Вполне возможно, что существует намного больше правительственных троянцев, которых выявляем и мы и остальные [антивирусы]. Часто мы так и не узнаём, что они применяются для правительственной слежки".
Василий Щепетнёв: О параллельных мирах
Автор: Василий Щепетнев
Опубликовано 30 ноября 2011 года
Алексей Жариков в комментариях к недавней колонке спрашивает: "Как вы думаете, разрешил бы ваш любимый Гайдай зрителю поменять концовку "Кавказской пленницы" так, чтобы зло победило – Нина вышла бы замуж за товарища Сааxова, а Шурик был бы пожизненно заперт в псиxушке?"