Категорія: Кібербезпека

tl;dr:

Законопроект #6688 неприйнятний та контрпродуктивний з точки зору кібербезпеки, адже створює значно більше загроз приватності та свободі, ніж вирішує загроз кібербезпеки. Все, для чого він ефективний, — це введення державної цензури в інтернеті та обмеження прав та свобод громадян.

Дієвою альтернативою законопроекту є підсилення кібербезпеки держави традиційними методами та підвищення обізнаності громадян, а особливо військовослужбовців, службовців та членів їхніх сімей, щодо загроз кібербезпеки та способів протистояння ним.

В якості одного з аргументів за введення державної цензури в інтернеті автори законопроекту наводять захист кібербезпеки держави. Очевидно, серед авторів законопроекту (власне, як і взагалі в Верховній Раді України) немає жодного компетентного спеціаліста з кібербезпеки. Адже, як влучно зазначає Sean Brian Townsend, блокування інтернет-ресурсів, навіть з найвищою можливою швидкістю української бюрократії, не допоможе спинити сучасну кібер-атаку. А що ж допоможе?

Невеличкий ліричний відступ. Як і в будь-якій професії або області знань в період її стрімкого розвитку, в кібербезпеці дуже багато шарлатанів та відвертих непрофесіоналів, які називають себе експертами або просто голосно і авторитетно висловлюються з цих питань, і навіть ведуть успішний бізнес, пишуть книжки та готують законопроекти. У вівторок я мав нагоду читати лекцію студентам Літня Філософська Школа УКУ і наприкінці першої пари сказав їм, що тепер вони більш освічені, аніж більшість людей, які називаються експертами з кібербезпеки. Я не жартував.

В чому ж секрет успіху шарлатанів та невігласів? Він базується на тому, що широкий загал не має жодних релевантних знань. Тому суспільною думкою так просто маніпулювати, знаючи пару спеціальних термінів та засобів впливу, та роблячи впевнений вигляд. А, і ще, звичайно, дуже допомагає використання аргументів що це типу все заради національної безпеки. Ліричний відступ завершено.

Повертаємось до теми кібербезпеки як дисципліни, а не полігону для шарлатанства та політичного популізму. Не перемикайтесь: тут насправді все дуже просто.

Коли ми говоримо про національну безпеку в кіберпросторі, то ми говоримо про APT (Advanced Persistent Threats), хакерські групи, які підтримуються певними державами. В нашому випадку це можуть бути APT28, APT29 та ще пачка команд з цього бестіарію (кому раптом цікаво, можете почати дослідження тут: https://www.fireeye.com/current-threats/apt-groups.html), але зараз давайте їх всіх умовно назвемо “пацаки”.

Так ось, в пацаків, як і у всіх APT, є певні тактики, інструменти та процедури — TTP (Tasctics, Tools, and Procedures). Іншими словами, як і в будь-якій команді, в кожній APT є певна культура співпраці, яка складається з прийнятих тактик, напрацьованих процедур, розроблених або видозмінених засобів автоматизації, захоплених серверів та мереж тощо. І коли вони здійснюють певну операцію — кібер-атаку, диверсію, або операцію інформаційно впливу (пропаганди) — вони діють в рамках цієї культури. Вони можуть з легкістю модифікувати свої інструменти: видозмінювати шкідливі програми (віруси), чи міняти сервери віддаленого управління цими програмами ( С&C, Command and Control servers) як рукавички. Але тактики та процедури змінити не так легко, адже ці традиції та, як ми кажемо, “культурні особливості”, напрацьовуються довго та змінюються поволі.

Саме тому, навіть за відсутності прямих доказів втручання тих чи інших APT в системи та мережі, режим операції (MO, Modus Operandi або Mode of Operation) зазвичай видає певні ознаки, за якими можливо провести атрибуцію до тієї чи іншої групи. Не забувайте, це дуже кваліфіковані та дуже добре фінансовані групи, тому прямих доказів зазвичай годі й чекати (хоча трапляються факапи). Але ви зрозуміли: якщо довго і тихо спостерігати, то можна зробити певні висновки, які з дуже великою ймовірністю будуть вірними.

Тепер дивіться, аналіз та розслідування діяльності APT то не є мистецтво. Це сумлінна, кропітка та методична праця, яка не дозволяє вільної інтерпретації вхідних даних, а тим більше висновків. Основним завданням аналітиків загроз є спостереження за тим, що відбувається у кібер-просторі, своєчасне виявлення ознак кібер-атак, діагностика того, як ці атаки відбуваються, та поширення ознак цих діагнозів світом: серед своїх клієнтів чи то публічно. Кожна атака складається з певних етапів, об’єднаних в послідовність дій, яку аналітики загроз називають Kill Chain. Назва трохи пере-розпіарена, але влучна, адже досконало проаналізувавши кожну ланку атаки можна впровадити відповідні засоби безпеки й не дати хакерам піти далі по цьому ланцюгу. Звісно ж, просунуті хакери будуть використовувати декілька резервних ланок, щоб вихід однієї з них із ладу не відбивався на загальному результаті, тому все трохи складніше, ніж здається. Але загальну тактику протидії кібер-атакам ви вловили.

Нарешті, ми підібралися до питання, як кібер-атаки зупиняються та як їх можна попередити. Є ціла купа джерел, з яких можна отримати стандарти, настанови та рекомендації, що становлять так звані “найкращі практики” кібер-захисту. Більшість з них морально застаріли, та майже всі вони сповідують суто детерміністичний підхід до розв’язання поставлених задач. Що це таке, і чому це погано, я поясню іншим разом, та якщо коротко, то якщо ви зробите все, що написано в розумних книжках розумними людьми, але не проаналізуєте, як ваше оточення та модель загроз відрізняється від загального випадку, вас все одно дуже легко зламають. Адже кібер-простір це стохастичне середовище, в якому ви не маєте впливу на мотивацію та вплив більшості агентів загроз.

Зважаючи на недоліки “найкращих практик”, спеціалісти з кібер-безпеки вирішили створити нову модель аналізу загроз, яка допоможе бізнесу та державі протистояти діям APT. Ця модель називається Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) Matrix. Вона знаходиться у відкритому доступі та наповнюється експертами з кібербезпеки в режимі Open Source. Модель класифікує тактики APT за їхнім місцем у Kill Chain, а це дуже зручно, адже можна вибудовувати ланцюжки з наявних “квадратиків”, і ці ланцюжки будуть характеризувати певні атаки і навіть хакерські групи. Для цього вже є спеціальні інструменти, які ви можете завантажити на сайті проекту ATT&CK і почати використовувати в вашій компанії просто зараз, адже все це — безкоштовно.

Давайте поглянемо на ATT&CK уважніше та поставимо собі питання: які ланки атаки з першої категорії Initial Access (первинний доступ) можна зруйнувати за допомогою блокування ресурсів в інтернеті? З усіх реалістичних варіантів, я бачу, що лише Spearphishing via Service, тобто фішинг через використання ціллю легітимної служби, може ну хоч якось постраждати від блокування цього сервісу операторами зв’язку. Прикладом такої тактики атаки може бути нещодавнє поширення троянських програм на смартфонах ізраїльських військових. Чи є блокування Google Play Store або Apple AppStore ефективним способом протидії такій атаці? В масштабах організації, міністерства або армії — цілком можливо. В масштабах країни? Очевидно, негативні економічні наслідки від такого блокування є асиметричними та диспропорційними. І я навіть не згадую про те, що на момент вступу в дію такого блокування, відповідна операція буде вже однозначно успішно завершена. Пам’ятаєте неПєтю? Він поширився менше ніж за півтори години. І не забувайте, що в разі успішного і своєчасного блокування джерела атаки чи поширення шкідливої програми, змінити відповідні інструменти або перенести їх на інші системи буде дуже і дуже просто.

Отже, первинне проникнення від блокувань не постраждає, але ж є ще C&C. Дивимось в останню колонку ATT&CK Matrix і бачимо, що лише ідіот стане здійснювати віддалене керування імплантатами в чужих мережах виключно через канали зв’язку, на які може вплинути державне блокування. Але ж яка цьому розумная альтернатива? (с)

Якщо уважно почитати статті Remediation відповідних розділів ATT&CK, стане зрозуміло, що універсальним способом протистояння кібер-атакам є зниження рівня вразливості цілей цих кібер-атак. А саме, застосування сучасних технологій та процесів кібербезпеки, яким в нашій країні приділяється вкрай замало уваги. Треба робити прості та зрозумілі речі: оновлювати системи, шукати та виправляти вразливості, впроваджувати засоби захисту, та навчати людей бути складнішими цілями для кібер-атак. Ці традиційні засоби дієвіші за будь-яке блокування, адже змушують APT-групи не просто змінювати свої інструменти та місця їх розташування, а ускладнювати тактики та процедури, що є на порядок складніше. А більшість із цих заходів ще й практично безкоштовні. На відміну від систем DPI (Deep Packet Inspection), які неодмінно будуть лобіюватися для застосування в ході впровадження блокування.

Сподіваюся, якщо ви сумлінно та уважно дочитали аж до цього абзацу, для вас очевидно, що жодних суттєвих перешкод державне блокування для APT-груп не створить. Можливо, змусить зробити певні інструменти більш надійними, але за це вони ще й подякують. На що ж зможе вплинути блокування?

На свободу висловлення думок та доступу до інформації власних громадян, звісно. За винятком тих з них, хто навчиться обходити блокування та захистить власну приватність від тоталітарної держави. Ця категорія громадян постійно збільшуватиметься, тому що кібер-грамотність ставатиме все більш важливою в умовах підсилення тоталітарного режиму.

На тих з нас, хто критикує законопроект #6688, він аж ніяк не вплине: ми й без нього живемо і працюємо в режимі non-stop on-demand VPN. Але ж інші… Іншим доведеться навчитися цінувати власну свободу та приватність у складний спосіб.

(навіть тимчасово, навіть зважаючи на гібридну війну)

Як завжди після лівацьких постів на захист свободи слова та доступу до інформації, я отримав цілу купу критики. В основному через те, що в позиції не враховані гібридна війна, пацакська агресія та інші обтяжувальні обставини, в яких зараз опинилася наша держава.

Справді, нормальний режим функціонування демократії може перериватися на тимчасові військові або надзвичайні стани. В ці періоди діє окрема форма суспільного договору: на цей час народ жертвує певними правами заради якнайшвидшого завершення війни або кризи, ліквідації наслідків стихійного лиха тощо. Деколи держава цим зловживає та встановлює військовий чи надзвичайний стан саме для того, щоб придушити мирні демонстрації народу, який прагне здобуття чи відновлення певних прав.

Важливою особливістю військового та надзвичайного станів є те, що з їхнім завершенням тимчасово обмежені права та свободи автоматично відновлюються. Обмеження ж прав в «нормальному» режимі становить суттєву загрозу, про яку власне й мова. Але ж у нас ситуація інша, дорікають мені, у нас гібридна війна.

Моя думка: війна це явище тимчасове та спрямоване на вирішення ситуації за допомогою силових методів, коли мирні, політичні засоби вже не працюють. У нас не так. У нас — на всю голову відморожений сусід, який використовує силу не для вирішення ситуації, а для її створення. Я не буду зараз робити екскурс в історію пацакстану для тих, хто пропустив останні 18 років. Обмежуся лише тим, що на даному етапі розвитку диктатури в РФ їхньому уряду потрібен зовнішній ворог. Бажано, хтось дуже злий, щоб на фоні цього антагоніста пуйло виглядало більш-менш пристойно. Зараз негативний імідж «Київської хунти» підтримується в свідомостях росіян здебільшого за допомогою інтенсивної пропаганди. Та чим далі стежкою закручування гайок піде український уряд, тим легше Кремлю буде досягати своєї мети. І триватиме це стільки, скільки пуйло при владі, тобто ми не можемо вважати це тимчасовим явищем.

Тому хочемо ми чи ні, розглядати агресора нам треба як щось перманентне. Як Ізраїль розглядає ісламські держави, що його не визнали. Як Штати розглядають терористів та наркокартелі. Як Росія, Іран та КНДР розглядають Штати. І так само, як введення військового стану було б контрпродуктивним для розбудови демократичної держави, загрозливим є введення механізмів обмеження прав та свобод громадян. Адже від того, який шлях ми оберемо, — Західну ліберальну демократію, чи Східний тоталітаризм — залежить, якою буде наша держава в недалекому майбутньому.

Ось ми впритул наблизились до коріння проблеми: чому в ХХІ столітті в парламенті європейської країни лунають заклики до впровадження механізмів обмеження свободи слова та доступу до інформації. Справа в тому, що взагалі тоталітаризм простіше за демократію. Прості відповіді на складні запитання та інші популярні політичні методи приваблюють політиків відсутністю необхідності щось пояснювати. Від давньогрецьких популістів, які згноїли Сократа в тюрмі саме за його прихильність до свободи думок та висловлювань, до сучасних українських — популізм не втратив своєї магічної аури. Як боротися з популізмом? Так само, як і з пропагандою: просвітництвом мас. Але це ж так багато роботи… Тому набагато легше заборонити, врегулювати, дати змогу блокувати, створити ще один реєстр та “вдосконалити” КПК. Тут нічого не треба мудрувати, всі розв’язки на поверхні. Їхня ефективність сумнівна, але ж видно, що “ми щось робимо”.

Остання репліка, про свободу слова. Чую як часто дорікають, не завжди в цивілізованій манері, що ліберал-демократи носяться з свободою слова як дурень зі ступою та ставляться до неї як до релігійної догми. Поясню, чому може скластися таке враження.

Як каже Сем Гарріс, якого я б не став підозрювати в догматизмі, свобода слова захищає всі інші. Лише зберігаючи свободу слова ми можемо зберегти можливість продовжувати перемовини суспільства та держави без застосування сили з обох боків — повстань та репресій відповідно. Аргументована, цивілізована дискусія можлива лише в умовах свободи слова. Саме тому збереження свободи слова таке важливе та вимагає такої безкомпромісної рішучості.

Як дуже влучно зазначає чотиризірковий генерал Майкл Гайден, який за свою цікаву кар’єру мав змогу керувати і ЦРУ, і АНБ, приватність — це результат постійних перемовин, наскільки ми можемо поступитися нашим особистим заради нашого суспільного. Іншими словами, персональна свобода та суспільна безпека завжди знаходяться в певному балансі, який наразі актуальний з точки зору безпеки та прийнятний з точки зору свободи. І ці перемовини не припиняються ніколи.

Приватність, свобода слова, свобода доступу до інформації, свобода думки та переконань — це фундаментальні принципи, які складають той самий європейський вибір України, про який ми так часто говоримо або чуємо. Це універсальні цінності так званого Вільного Світу, і якщо ми вважаємо, що належимо до нього, то це і наші цінності теж. А якщо це не наші цінності, то ми до нього не належимо. Тут з причиною та наслідком все дуже просто.

Наша держава останнім часом демонструє нам деякі відхилення від стратегічного вектору інтеграції в той самий Вільний Світ. Спочатку вона запропонувала нам боротися в інтернеті, який взагалі вважається вільним та незалежним середовищем обміну інформацією, з відверто ворожими нам ресурсами. Ідея сама по собі непогана, але реалізація трохи кульгає. Задля реалізації, держава запропонувала розміщувати на провайдерах доступу до інтернету спеціальне обладнання та технічно блокувати доступ користувачів до визначеного переліку ресурсів. Але менше з тим, будемо вважати, що попри всі застереження експертів цей раунд переговорів про баланс свободи та безпеки держава в суспільства виграла.

Наступним кроком, держава пропонує нам надати можливість слідчим органам в досудовому порядку блокувати доступ до ресурсів на час до двох діб. Тобто, по суті, список блокування стає динамічним, і його можуть наповнювати дуже багато різних людей, здебільшого службовців. Кого це врятує та кому додасть безпеки, особисто мені не очевидно, але ж я не експерт зі слідчих дій. Я трохи шарю в кібербезпеці та ніби розуміюся на приватності, тому дозвольте поділитися з вами наступним. В тому, де проходитиме межа, є певні неприємні наслідки, які слід враховувати, коли ми, як вільне суспільство, ведемо з державою відповідні перемовини. Наприклад:

1. Підсилення заходів безпеки за рахунок послаблення свободи перейде у спадок наступному уряду. Тому, помилковим є міркування з точки зору “а чи довіряю я поточному Президенту, прем’єру або голові СБУ”. Мова йде про системні зрушення, зміну “суспільного договору”, яка в бік підсилення цензури, тоталітаризму та регулювання інтернету відбувається дуже легко, а от вибороти “обмежені” права назад буде набагато складніше.
2. Завжди думайте про наступний крок, який держава спробує зробити в бік обмеження свободи та підсилення безпеки. Вчора нам заборонили пацакські соцмережі, сьогодні намагаються зробити ці заборони гнучкими та зручними (читати: вразливими для зловживань). Що буде завтра? Блокування VPN, якими масово захопилася молодь, чи одразу заборона криптографії та шифрування пристроїв, дисків та повідомлень?
3. Аргументи держави завжди будуть логічними. І в ідеальному світі вони були б правильними. Але ніколи не можна виключати з рівняння людину та її егоїзм. Всі запропоновані інструменти регулювання та блокування можуть, а отже будуть, використані не за призначенням. Скоріш за все, з метою підсилення цензури, здійснення нечесної конкуренції та інших проявів корупції. Тому, коли ми говоримо про розширення повноважень держави в інтернеті, ми повинні в першу чергу думати про потенційну шкоду, яку нам за допомогою цих нових можливостей зможуть нанести окремі корумповані можновладці, чиновники та правоохоронці.
4. Аргументи держави завжди будуть більш-менш прийнятними. Тому що цензура та тоталітаризм водночас не встановлюються. До них йдуть роками, роблячи маленькі кроки. Кожен з яких зрушує status quo на невеличку, суспільно прийнятну дельту. “Та шо, ми ж всього на 48 годин. І якшо шо то слідчому надають по шапці. Та шо ж ви не довіряєте нашим суддям та прокурорам?” І так далі.

На фоні цих невеличких кроків на провайдерах будуть впроваджуватися та удосконалюватися технології, які одного дня дадуть державі не косметичні, як зараз, а вже суттєві важелі впливу на інформаційний простір. І вже не обов’язково з метою забезпечення суспільної безпеки.

Я колись обіцяв шо не буду писати нічо про GDPR, але треба, бо деяких діячів вже трохи заносить. Тому мушу, для кращого загального розуміння теми тими з нас, для кого вона важлива, але хто не займається приватністю напряму.

1. GDPR про приватність, а не про кібербезпеку. Приватність це секретність даних про людей. Конфіденційність це секретність даних про бізнес. Кібербезпека це скоріше друге. Тому раджу не змішувати одне з одним та пам’ятати, що в GDPR основні суб’єкти це не ваш бізнес та євробюрократи, а ваш бізнес та резиденти ЄС, які найняли бюрократів, які написали закон. Тому коли вам парять DPI, DLP та Next-Gen фаєрволи для “кращого комплаянсу” з GDPR – попросіть пояснити, чому вам пропонують застосовувати це до всієї вашої інфраструктури. Коли в дійсності треба просто токенізувати або пошифрувати вміст ваших БД та написати пару форм та політик. Я утрірую, але настрій ви вловили.

2. GDPR не регулює дані про померлих. GDPR-compliant cemetery це не вдалий жарт, а маячня та невігластво, хоча і то і то може бути кумедне.

3. Фізичні особи які збирають дані для особистого використання, науковці які збирають знеособлені дані для досліджень, работодавці які збирають дані про працівників є виключеннями з GDPR. Причому стосунки роботодавців та працівників є предметом інших нормативів, але коли вам кажуть шо ви subject to GDPR тому шо у вас працює іноземець – женіть продавця в шию.

4. Збір даних спецслужбами, судами, правоохоронними органами, пенітенціарними установами, військовими, прокуратурами тощо – є виключеннями з GDPR. Думаю, це очевидно, але доводиться чути різне.

Довший час хотів узагальнити свої думки щодо блокування вебсайтів та інших форм “регулювання інтернету”, ось нарешті дійшли руки.

По-перше, забудьте про те, що є хороше та погане саме по собі, адже у всього є контекст. І догматичні ствердження про те, що щось є добром, а щось злом – причина більшості страждань на планеті. Тому будь-яке твердження або принцип треба завжди розглядати в контексті та оцінювати яке благо та яке зло вони можуть спричинити.

Ось вам класичний приклад: твердження про цінність людського життя. В будь-якої нормальної людини його правильність сумнівів не викликає. Але якщо звести його у догму, то починаються проблеми, адже неможливо чітко визначити коли свідоме життя розпочинається та коли воно закінчується. Звідси – заборона контрацептивів в певних культах та віруваннях, священні війни проти абортів, та кримінальна відповідальність за згоду на евтаназію.

Ще один приклад: вільний доступ до інформації. Тут у нас просто повний безлад, адже й сама інформація, і її використання, можуть бути дуже й дуже різноманітними. Не будемо вдаватися до суперечок щодо приватності або вільного поширення інформації в інтернеті, краще візьмемо екстремальну точку. Уявіть, що одного дня вчені дізнаються, що на Землю летить астероїд, та людству залишилося існувати лічені дні, і немає жодного шансу щось змінити. Чи повинні вони розголосити цю інформацію? З етичної точки зору – ні, адже це лише призведе до неймовірного збільшення страждань, через які людство пройде в фіналі свого існування. Але якщо сприймати “вільну інформацію” як догму…

Думаю, я склав потрібне враження, ідемо далі. Отже, все залежить від контексту. Тому перед тим як засуджувати або схвалювати щось, треба розібратися в деталях: що взагалі відбувається.

Коли в нашого уряду лише почали проявлятися схильності до регулювання поширення інформації в інтернеті, я спостерігав виникнення трьох таборів. Перший вважає, що це добре, адже блокувати планується лише “погані” вебсайти, які поширюють російську пропаганду. Другий вважає, що це погано, адже інформація повинна бути вільною, а вільний доступ до інформації – це одна з основ вільного демократичного суспільства. І треті, найменш чисельні, до яких я відношу себе та багато однодумців, вважають, що “добре” або “погано” тут не канає: просто уряд це не та категорія людей, які повинні це визначати. Уряд не має ані морального, ані юридичного права вирішувати, що і як приховувати в інтернеті від народу. Адже уряд не є компетентним вирішувати, що є добре, що є погано, та яку користь або шкоду знання або незнання може спричинити. Уряд складається з політиків та чиновників, які аж ніяк не є моральним компасом суспільства. Ось чому довіряти уряду вирішувати що блокувати – це погана, дуже погана ідея. Тому що така функція неодмінно буде використана урядом не за призначенням.

З цим розібралися, ідемо далі. А що ж тоді робити? Тут теж є варіанти. Можна спробувати створити для цього “компетентний орган”, який складатиметься з найкращих представників суспільства, вчених, філософів, філантропів, соціологів та митців, які колегіально будуть вирішувати морально-етичні дилеми. Я не в курсі, щоб десь таке спрацювало. Або – можна дати урядові по руках та просто не дозволити перетворити доступ до інформації на політичний інструмент, тобто надати проблемі можливість саморегулюватися. Власне, другий спосіб і пропонували активні критики блокувань, більшість з яких далекі від ідей безумовного вільного поширення інформації, – просто вони в курсі, в якій країні ми живемо, та хто нею керує.

Хороші ідеї можуть мати погані наслідки та погану реалізацію. Погані ідеї можуть мати короткочасні позитивні наслідки, які спокушатимуть вас погодитися з їхніми авторами. Щоб не помилитися, треба розглядати будь-які ідеї в контексті їхнього використання. А догми та популістські заклики – завжди сприймати критично.