Sean Brian Townsend, informnapalm.org
Митове и реалност за антивирусните програми
Около антивирусните компании (AV) често има много митове. Ползвателите обикновено ги обвиняват в два смъртни гряха: че те самите пишат вируси, за да припечелят, и че антивирусът може да се използва за следене. Тези митове често са фалшиви, но много жизнеспособни и производителите на AV не успяват да се измъкнат от тези конспиративни теории с десетилетия.
„Лабораторията Касперски“ се крепи 25 години, но веднъж не издържа. И сега този антивирус ще бъде запомнен не като защитник, а като в анекдота за строителя, козата и човешката благодарност.
Митове за хакерите
За хакерите има не по-малко митове. В масовата култура хакерите се възприемат като някаква „суперсила“. Както казва Артър Кларк: «Всяка достатъчно развита технология е неразличима от магия». Персонаж с маската на Гай Фокс натиска няколко копчета и измъкват паролата „от звездичките“, превежда милиони долари или превключва тунела на насрещно движение, сеейки паника и разрушения. Така не се случва. По-точно може да се случи, но не точно така.
По-голяма част от хакерите работят в определена област и се осланят на количество, стабилност и простота на технологиите, а не на някакво езотерично компютърно вуду. В основата лежат прости икономически и статистически закономерности. По-добре хиляда пъти по лев, отколкото наведнъж хиляда лева. Шансовете са несъизмерими. Затова цената на целенасочена атака започва от няколко хиляди долара. За разработка на хакерски инструменти е необходимо време (то също е пари), което може да бъде похарчено за нещо по-полезно от опити да пробиеш стената с главата си.
Казвам това, за да подчертая, че има ясни шаблони на поведение, които отличават хакерите от тези, които се правят на такива. И винаги съществува съблазанта да припишеш собствените си грешки или да прикриеш следите си, оправдавайки се с хакерска атака («Бях хакнат», «Вирусът „изяде“ файла с проекта за бюджета», The Shadow Brokers). Малко хора разбират как работят хакерите, и оправданията изглеждат съвсем достоверно. А що се отнася до специалните служби, на тях им е необходима съвсем конкретна информация, те не са ограничени нито от времето, нито от бюджета, нито от някакви етични съображения. Национална сигурност и точка.
Историята с изтичането на информация от NSA (Агенцията за Национална Сигурност на САЩ) продължава години. През февруари 2015 година «Лаборатория Касперски» публикува доклад за Equation Group (кодово име измислено от Касперски за подразделение на АНС, провеждащо кибер-разузнаване). През март същата година Агенцията, току що справила се с изтеклата информация от Сноудън, достатъчно пряко намекна на руските „охранители“, че са навлезли в грешно поле. Bloomberg публикува статия «Компанията, която защитава вашият интернет има тесни връзки с руски шпиони». Основателят на компанията Евгени Касперски се направи, че не разбира намеците.
Самият факт за
сътрудничеството на Касперски със специалните служби на Русия
не е тайна за никого. Бизнесът на Касперски започва с това, че има подкрепата на бившия преподавател от Висшата школа на КГБ Решетников, и служителите в компанията не само че не крият сътрудничеството си със специалните служби, но и се гордеят с него:
В офиса периодично идва милиция. Когато пристигнах около масата вече стояха двама. „Да поговорим за пет минути“ – ги помоли Шевченко и ме покани да седна. „Това е отдел „К“. Дойдоха за пореден отчет,- обясни той, когато хората си тръгнаха.- При нас и ФСБ редовно идва…“ Шевченко даже не мигна, споменавайки тези букви.
Защо АНС се зае с Касперски чак през 2017
„Защо АНС забрани да се използва софтуерът на Касперки чак през 2017 година, а не по-рано? Нали той е шпионин на КГБ?!“, — ще попита читателят. Работата е в това, че тогава ставаше дума само за образци от злонамерена програма. Образец (или на професионален сленгизвадка, тяло№ – е само фрагмент от цяла програма. Този същият вирус, когото трябва да арестуват антивирусите. В днешно време се появяват толкова много вируси, че нито един човек или компания не може да се справи с анализа им. По-голяма част от вирусите се залавят автоматично, а в антивирусната програма са вградени десетки хиляди различни правила, и когато файлът й се стори твърде подозрителен, антивирусът го изпраща в компанията за анализ. Така са направени по-голяма част от антивирусите.
Специалните служби на различни страни много пъти са хващани за писане на вируси и антивируси, и ще продължават да ги хващат. Ако ставаше въпрос само за фрагменти, американските спец служби вероятно щяха да си премълчат и даже нямаше да размахват на Касперски палец от свободната преса. Но този път те вече имат съмнения, че ситуацията не е обичайна. След като през лятото на 2016 беше хакната DNC (демократическата партия в САЩ), за взлома бяха обвинени руснаците. И изведнъж, през август, се появява никому неизвестната хакерска група The Shadow Brokers и заявява, че те са разбили Equation Group. И започват да вграждат не просто анализи или семпли, а напълно окомплектован хакерски софтуер заедно с документацията. Към парите, както и в случая с NotPetya, всъщност никой не проявява интерес.
Хакери или специални служби (поведенчески анализ без знак за равенство)
Сериозна грешка. Ако това бяха хакери, то те щяха да заявят, че са хакнали NSA или групата за оперативен достъп на АНС (TAO — Office of Tailored Access Operations), но вероятно нямаше да наричат групата с условното име, което (внимание) й е дал Касперски. Да не говорим, че хакерите не биха пуснали просто така в открит достъп инструменти, струващи няколко милиона долара (!). Странно, да хакнеш компютър и да не разбереш на кого точно принадлежи. АНС понякога на шега се нарича No Such Agency («Няма Такава Агенция»), но никога с прякора «Equation Group», който й е измислил някакъв руснак.
Хората, стоящи зад The Shadow Brokers или не са оценили правилно важността на публикуваните инструменти, или точно обратното – разбират, че такива уязвими точки като Eternal Blue и Eternal Romance, ще бъдат незабавно използвани от черните хакери. И това ще отвлече вниманието на обществеността от Тръмп-гейт, руските хакери и шпионските операции. Точно това се случи, «вирусите» WannaCry, NotPetya и BadRabbit исползват изтеклата информация от The Shadow Brokers по разработката на АНС.
Само че «хакерският скандал» не утихва, The Shadow Brokers продължават да пущат в пространството детайли от разработката на АНС. И на агенцията това окончателно й идва до гуша. През пролетта на 2017 година започва обсъждане на забраната за използване на Антивирусната програма Касперски в държавния сектор в САЩ, а след като забраната е приета, от продажбата на руската антивирусна програма се отказват и американските търговци. Защо толкова късно? Руснаците и американците не са единствените участници в кибервойната – през същата 2015 година в тази война навлизат и специалните служби на Израел (кодово име «Duqu»).
Израелското разузнаване хаква Лабораторията Касперски и още няколко големи технологични компании. Взломът е разкрит през юни 2015 година («Kaspersky Lab investigates hacker attack on its own network» — лабораторията Касперски разследва хакерска атака на собствената си фирмена мрежа). А Израел не се намесва случайно. Касперски не за първи път слага прът в колелата на разузнаването (Stuxnet). И в резултат привлича върху себе си вниманието на най-силните играчи. Възелът се затяга. На шията на Касперски.
Какво се е случило? Моята версия
На Касперски му отеснява на антивирусния пазар. Да добавяш в базата 100500 хилядният (без преувеличение) банков троянски кон е много скучно. И Лабораторията Касперски навлиза в шпионските игри. От каталога на ANT NSA (Сноудън. Декември 2013 (!)) те научават кодовите имена на секретните програми на АНС. Такива като COTTONMOUTH («памучна уста»). По-нататък може да се потърси тази дума сред натрупаните подозрителни файлове (при Касперски те са десетки, ако не и стотици милиони). Може да се добави специална процедура в антивирусната база.
В съвременните антивируси базите са съставени не само от шаблони за търсене, но и от кодове. И когато Касперский предлага на американците да проверят кода на антивирусната си програма за „отбелязвания“ – това е най-обикновено хитруване. В антивирусната база има хиляди подпрограми, и няма никаква възможност всички те да бъдат проверени, а освен това те могат да се променят след първото обновяване. Кодът може да изглежда така: всеки файл, в който има дума от 11 букви, които като сума дават 164 (A=1, B=2,…) трябва да бъде изпратен в «центъра» за допълнителен анализ. По този начин файл, съдържащ думата «COTTONMOUTH» ще бъде изпратен в KSN («Kaspersky Security Network» — хранилище на подозрителни файлове). Може да се използва по-сложен алгоритъм от обикновено добавяне и никакъв анализ на кода няма да позволи да се докаже, че Касперски е търсил секретна американска разработка, а не някакъв праисторически вирус от времената на MS-DOS.
След като американците разбират, че Касперки проучва техните вируси не случайно, а целенасочено, му изпращат предупреждение чрез Bloomberg. Никой не би показал безпокойство заради случаен единичен провал, за да не наруши режима на секретност. Но израелците, след като хакват Лабораторията, явно са намерили там не отделни гнезда с вируси, а и документи, и спомагателен не злонамерен код. Касперски зачислява не само вирусите, но и компютрите, на които са писани и тествани. Какво е правил с тези компютри антивирусът Касперски е отделен разговор. Евгени Касперски не се въздържа и нарушава първата заповед на антивирусните компании – да не използват собствения си продукт за взлом, и да чисти компютрите до край. А след това вероятно се е заел с шантаж: „Или спирате да обвинявате руските хакери, или The Shadow Brokers ще пуснат информация за това как вие хаквате другите“. Възможно е първо Касперски да е предал информацията на ФСБ, а те, неуспявайки да се възползват от откраднатия софтуер, да са я използвали за политически натиск.
J’accuse! Аз съм абсолютно сигурен, че Лаборатория Касперски и «хакерската група» The Shadow Brokers — са едно и също. Независимо от това стои ли зад Касперски ФСБ, или той е проявил самоинициатива.Страничен клон в тази история е «Киберберкут» и хакването на ЦВК (централната избирателна комисия) през май 2014 година. «Киберберкут» е low tech група, през която основно минават изтичанията на информация. Но след взлома те заявиха, че са се възползвали от експлойтите в нулевия ден на Cisco. Можеха да напишат каквото си искат, можеха да премълчат, но написаха именно това. Тогава никой не им повярва. Но експлойтите в нулевия ден за Cisco принадлежат на АНС, и те бяха публикувани от The Shadow Brokers още в първия дъмп на «Equation Group».
Част от изводите засега са спекулативни, но като цяло всичко изглежда така, както предполагах. Сега вече разполагаме с всички съставни части от главоблъсканицата – Администрацията на Президента на РФ, която задава общият политически курс; разнообразни черни хакери, които са използвани от време на време и може да са както истински хакери, така и просто прикритие; и ФСБ (Федералната служба за сигурност), която плътно си сътрудничи с производителите на ПО и фирмите, които се занимават с информационната сигурност.
И тук един на пръв поглед неглупав човек прави на практика фатална грешка. Евгени Касперски в интервю пред Associated Press подтвърждава факта, че той съхранява не само вируси (те могат да попаднат при него по естествен път), но и допълнителен софтуер и секретни документи, които би могъл да получи само чрез хакване:
Касперски потвърждава, че файловете са се оказали у специалистите от компанията по време на събиране на информация за хакерскат групировка Equation Group, за която се твърдяло, че сътрудничи с АНС. По думите на бизнесмена, разбирайки за неочакваната находка, той поръчал незабавно да се изтрият тези данни. («Лабораторията на Касперски» случайно свалила секретни документи на АНС»)
Не е важно дори, «изтрил» ли ги е той, или не. Най-вероятно не е. Най-важно е, че Касперски признава, че е използвал антивирус за хакване и шпионаж. И най-малкото е провокирал (ако не е организирал) вирусна пандемия. Отворил е кутията на Пандора, на чието дъно по принцип не лежи никаква надежда!
Ако веднъж се нарушат договореностите (както се случи с Будапещкия меморандум), то системата за колективна сигурност вече не работи. И в случая имаме работа не с обикновен самотен шпионин, а участие в световната кибервойна. Както и в случая с руско-украинската война, руснаците дори не разбраха, че престъпиха невидима, но много важна граница. А сега може да вдигат рамене и да нареждат: „А нас защо?“, „Защо те може, а ние не?“. Те действително не разбират, но това нищо не променя, защото заради техните безумни действия вече необратимо се променя целият свят.
*Авторът на публикацията Sean Brian Townsend, независим изследовател в областта на информационната и компютърна сигурност и член и говорител на Украински кибералианс описва как антивирусната програма Касперски и ФСБ се преструват на „хакерската група“ The Shadow Brokers, за да разбият и откраднат секретни разработки от АНС на САЩ. Това изтичане на информация предизвика епидемиите от вирусите WannaCry, NotPetya и BadRabbit.