Шпионски скандал като изтичане на NSA потвърждаваданни на сноудън
Подозрения
Доказателства
Основният извод днес: всичко, което Сноудън каза през 2013 г., е вярно. Наистина има мащабна програма за наблюдение, в която участват доставчиците. Американското техническо разузнаване разполага с впечатляващ арсенал от способности за провеждане на различни атакуващи операции в киберпространството и редовно ги изпълнява.
Друг важен извод: кибероръжията се използват редовно и масово от агенти на NSA в техните операции по света в продължение на много години.
На всички уязвимости и специализиран софтуер (троянски коне/импланти и др.) в каталога са присвоени уникални кодови имена и са дадени подробни инструкции за полеви агенти. Всички кибероръжия са разработени в детайли, имат широка функционалност и удобен потребителски интерфейс. Така дори и непрофесионалисти могат да използват този софтуер.
В допълнение, самият архив е датиран от 2013 г., а миналата седмица редица доставчици, по-специално Cisco, Fortinet и Juniper, потвърдиха наличието на уязвимости от каталога на NSA в техните продукти. Това означава, че "бъговете" са открити от NSA по време на изследване или целенасочено въведени в продукти чрез специална операция, вероятно много преди 2013 г. По този начин някои уязвимости могат да бъдат на години.
Друг важен извод: критични съоръжения в Съединените щати не са били сериозно застрашени през всичките тези години и сигурността на американския бизнес е от значение за NSA само ако е в зоната на отговорност на агенцията.
Мотиви на НСА
Защо NSA не предаде информация за уязвимостите на нулевия ден на доставчиците, излагайки на риск и американските компании? Днес този въпрос се задава в американската преса от всички водещи експерти по информационна сигурност.
в-Първо, основната цел на NSA е техническата поддръжка и осъществяването на разузнавателни кибероперации по света, а не информиране на бизнеса, дори и на неговия собствен.
Второ, основите на разузнаването казват, че поради редица причини никоя специална служба никога няма да информира никого, и още повече доставчиците, за уязвимостите, които са били използвани в процеса на провеждане на активни кибер операции. NSA е най-секретната служба в САЩ. Както си спомняме от неотдавнашния скандал между Apple и ФБР, NSA дори не информира ФБР за своите възможности, с право се страхува от разкриването им в американски съд, на който ФБР е длъжно да докладва.
Трето, за да се гарантира и контролира сигурността в критични съоръжения в САЩ, изобщо не е необходимо незабавно да се затварят уязвимостите чрез пускане на пачове директно от доставчика. Съществуват и други технически методи за контрол, подлежащи на познаване на "бъгове" или импланти (внедрени програми). Достатъчно е да знаете за уязвимостта или спецификата на внедряването на импланта и да разполагате със съответните технически средства в контролирани съоръжения.
Друг извод: след 2013 г. архивът на кибероръжията стана като куфар без дръжка - жалко е да го изхвърлите и не е съвсем ясно какво да правите с него.
Защо тази информация стана публична сега? От една страна, изглежда, че този архив от кибероръжия струва десетки милиарди долари (между другото е) и дава почти абсолютна власт над света. Защо не беше публично достояние през 2013 г.? Това е сложен въпрос, който няма точен отговор, затова ще се спрем само на техническите подробности и изводи. Очевидно след изтичането на информация от 2013 г., ако NSA изчисли вероятността от кражба не само на каталога, но и на самия архив на внедряване (което е най-вероятно), NSA започна мащабна работа за създаваненови кибер оръжия и използването на уязвимости и импланти, разкрити от Сноудън в кибер операции, беше спряно.
Освен това е ясно, че след публичността на изтичането през 2013 г. всеки опит за използване на арсенала от каталога срещу САЩ щеше да бъде незабавно идентифициран от NSA. Следователно, с огромната техническа стойност на този архив, неговата оперативна стойност за похитителя беше близо до нула. Разбира се, ако не говорим за банални кибер гангстери, но подозирането за тяхното участие в такъв случай е поне донякъде наивно.
Собствено означава безопасно?
Много любопитно е, че в частично освободения архив на NSA имаше информация за уязвимостите на малко известната китайска защитна стена Topsec. При по-внимателно разглеждане обаче се оказва, че в "големия" свят не познават доставчика, а за китайските държавни компании той е "номер едно", а мащабът на бизнеса на Topsec е сравним с Huawei. След 2013 г. китайските правителствени агенции започнаха масово да изоставят продуктите на американски доставчици (Cisco, Juniper) и да преминат към Topsec, от което незабавно се възползва NSA, хвърляйки сили в търсене на критични уязвимости. Тази история може да научи на много нашите „заместители на вноса“, особено производителите на инструменти за информационна сигурност (ISP), работещи в критични съоръжения. Радвам се, че FSTEC на България (агенцията, отговаряща за износа и техническия контрол) сериозно усложнява живота на местните разработчици на информационна сигурност, принуждавайки ги да обърнат най-сериозно внимание на проблемите със сигурността.
Масовото наблюдение и широкомащабните кибероперации на специалните служби е обективна реалност, която при цялата си външна приличие все повече напомня реалността на Оруел. И това, което някога изглеждаше като опасни фантазии, сега се потвърждава от факти.