Antiviruses and other software, Russian and beyond

(This is a rather old post translated to English by a friend, so keep it in mind while reading.)

Another wave of public discussions of Kapersky participation in Russian intelligence operations is emerging, in particularly in the context of stealing US classified documents and NSA software tools, which later got to “Shadow Brokers”, and eventually played role in WannaCry and NotPetya outbreaks.

My opinion on that is consistent: willingly or not, Kaspersky Lab was and is an asset of Russian intelligence. But I’d like to underline a different thing today. Regardless if Kaspersky was or wasn’t a part of their own government’s APT ops, using an antivirus for cyber-attacks and international espionage is awesome.

Firstly, technically this channel is super powerful. As I often told previously, running a process on a computer with unlimited permissions is a very doubtful idea from security architecture point of view. It can have access to any file or memory contents. Moreover, this process must digest a lot of different file formats. For those who don’t know what fuzzing is or why .pdf = Penetration Document Format I will simply tell that a lot of breaches happen because of errors in complex datatype parsers. So, we can only dream that after installing and antivirus the overall system security level will increase at all. (Those, for whom it is still not obvious, should subscribe for Tavis Ormandy on Twitter and to Google Project Zero blog). So what should we do, if we find out that people having access to antivirus updates and vulnerabilities are our enemies?

Secondly, antivirus functionality is complicated and its interaction with the operating system is even more complicated, and we never know for sure, which data they pass to their developers. Therefore, using antivirus for espionage opens enormous opportunities to deny involvement and defend against any accusation. This is a Plausible Deniability apogee. KAV caught some NSA tools on laptop and passed them to Moscow? But they looked like malware! (Which they in fact are). KAV did a keyword search on hard drive? But these words were part of “malware” samples! And so on, and so forth. Until Eugene puts his hands up and claims that he was hacked by GRU or FSB and he is also a victims of cyber espionage. Not taouching an old tradition of Russian special forces to have people on key positions in private companies. In this way they can deny anything and claim that particular employees were recruited directly, whilst the Board and the Management knew nothing.

What are the conclusions?

Simple and radical. You can’t use software and information tools provided by your enemy, created on the territory, controlled by your enemy, or by companies, employing people based on the territory controlled by your enemy. Therefore, rebranding of Laboratory of Kaspersky to Kaspersky Lab with fictitious migration of headquarters doesn’t change anything. Migration from Kaspersky products to products of other companies (Belarusian, Kazakh, Slovakian etc.) with “strong cultural connections” with Russian Federation, again, doesn’t change anything. Only full ban of information products, even intuitively traceable to the enemy, can decrease the risk.

However, even if you get rid of Kaspersky, uninstall 1C, delete account in Vkontakte and will not watch Kurazh Bambey voice overs, residual risk is inevitable. Because, last time I checked, all your friends and business partners used 1C, visited VK, and other Russian web sites.

Stay safe.

Hackers don’t give a shit about your excuses

Most of security breaches happen because of lack of effort on security prioritization.

Most corporate security departments are engaged with procedural burden which is documented in policies and is required by management. Instead of fulfilling their direct duties, which is to protect business from cyber threats. Why is it so? Because execution of procedures is easier, as well as it is easier for them to justify their existence in such a way. We exist because of PCI DSS, GDPR, SOX, ISO 27k etc.

Most of the companies that were hacked had some sort of security policy. Why have they suffered a breach? Because paper doesn’t protect from hackers. Only rules and actions protect from hackers and malicious software (aka viruses). Rules and actions separately — do not protect, only both combined: rules + actions. Moreover, you don’t have to invent neither rules nor actions — they were invented a long time ago and are publicly available.

Based on my experience, I’ve reached a conclusion that an enterprise cybersecurity practice should start neither from a corporate security policy nor from a new firewall or antivirus. Management gets “paper tigers” and “blinking boxes” well, however this is a bad, even unprofessional start. The right thing would be to start from applying simple rules and actions and demonstrate their effectiveness. We must not have outdated OS versions in our network. All users must have long and strong passwords. Network and resources must be segmented based on business needs. Remote access should be supplied with two factor authentication. Interactive administrative access to systems should be prohibited. And so on, and so forth. One rule at a time, one action after another.

And then you will have chances not to become a victim.


Хакерам начхати на ваші відмазки

Більшість зламів відбуваються через відсутність пріоритезації зусиль, що витрачаються на безпеку.

Більшість корпоративних підрозділів безпеки займаються процедурними речами, які прописані в політиках та вимагаються “згори”. Замість того, щоб виконувати свої прямі обов’язки — захищати бізнес від кібер-загроз. Чому так? Тому що виконувати процедури легше, та й пояснити мету власного існування так набагато простіше. Ми існуємо, тому що PCI DSS, GDPR, SOX, СОУ Н НБУ тощо.

Більшість компаній, які були зламані, мали в тій чи іншій формі Політику безпеки. Чому вони постраждали? Тому що папір не захищає від хакерів. Від хакерів та шкідливого програмного забезпечення (ака вірусів) захищають правила та дії. Правила окремо та дії окремо — не захищають, лише разом: правила + дії. Причому ані правила, ані дії не треба вигадувати — все вже давно в доступній формі є “у пабліку”.

З досвідом я дійшов висновку, що розпочинати програму кібербезпеки в бізнесі треба не з Політики і не з нових фаєрволів з антивірусами. Паперові тигри та блимаючі скриньки це зрозумілий, доступний для керівництва, але поганий, навіть дилетантський старт. Розпочинати треба з застосування простих правил та дій з перевірки їхнього виконання. В нашій мережі не повинно бути застарілих версій операційних систем. Всі користувачі повинні мати довгі та сильні паролі. Мережа та ресурси повинні бути сегментовані згідно з потребами підрозділів. Віддалений доступ лише з двох-факторною автентифікацією. Інтерактивний вхід в систему з правами адміністратора заборонений. І так далі, і таке інше. Одне правило за раз, одна вправа за підхід.

І тоді у вас будуть шанси не стати жертвою.

Атрибуція кібератак: довге та невдячне доведення очевидних фактів

У зв’язку з останніми гучними заявами МЗС Великобританії та Білого дому, в яких вони напряму звинувачують Російську федерацію в здійсненні минулорічної кібер-атаки з використанням вірусу #NotPetya, вкотре повертають нас до питання атрибуції кібератак.

МЗС Сполученого королівства та Адміністрація Президента США одностайні в тому, що минулого року Росія за допомогою своїх військ свідомо вчинила кібер-напад на Україну з метою заподіяння шкоди нашій економіці та дестабілізації політичних процесів в нашому суспільстві. Розумію, для більшості читачів ці слова звучать як стара пластинка, тому що це вже багато разів обговорювалося спеціалістами з кібербезпеки, включаючи вашого покірного слугу. Є документальні та відео докази того, що спільнота професіоналів кібербезпеки ще 8 місяців тому була впевнена в тому, що російська федерація є кінцевим бенефіціаром та виконавцем цієї кібератаки. Чому ж офіційному Білому дому та МЗС Великобританії знадобилося стільки часу для того, щоб зробити відповідні висновки та політичні заяви?

Для початку відповім на інше запитання, яке дуже часто лунає від читачів та журналістів. Як ми взагалі можемо бути впевнені в тому, що та чи інша держава або група нападників є авторами певної кібератаки? Коротка відповідь: ніяк. Річ у тому, що якщо атака здійснюється високопрофесійними агентами загроз, які мають доступ до майже необмеженого бюджету, та виконують усі настанови дисципліни “операційна безпека” (OPSEC), провести стовідсотково точну атрибуцію кібератаки буде практично неможливо. Тобто, іншими словами, ми ніколи не будемо на 100% впевнені, хто здійснив кібератаку, якщо будемо володіти лише інформацію доступною її цілі.

Встановлення атрибуції кібератак можна порівняти із теоретичною фізикою. Так-так не смійтеся. Як багатьом відомо, хороша фізична теорія пояснює наші спостереження в навколишньому світі, та одночасно може якісно передбачити майбутні спостереження та результати експериментів. Але спільна риса усіх фізичних теорій полягає в тому, що жодна з них не може бути до кінця доведена. Теорія існує лише до того моменту, коли буде здійснено спостереження, яке вона не в змозі пояснити. І тоді настає момент, коли теорію необхідно або узагальнити (як це було з ньютонівською фізикою на початку минулого століття, коли Айнштайн запропонував Спеціальну теорію відносності), або повністю реформувати та запропонувати нову теорію та інтуїцію для її сприйняття (як це відбулося трохи пізніше, коли той самий Айнштайн висунув Загальну теорію відносності).

Так само і в кібер-розвідці. Аналітики провідних розвідувальних агенцій займається тим, що спостерігають факти та будують гіпотези, які згодом підтверджуються спостереженнями та перетворюється на теорії, які використовуються до тих пір, поки вони підтверджуються фактами. Як і у випадку з теоретичною фізикою, кількість цих фактів дуже велика, а якість — дуже й дуже висока. Та коли в теорії знаходяться протиріччя, вона скасовується та починається розробка нової.

Повертаючись до МЗС Великої Британії та прес-секретаря Білого дому. Чому Вова Стиран та інші українські спеціалісти з кібербезпеки вже 8 місяців впевнені в тому, що саме Росія здійснила кібер-атаку 27 червня, а офіційним особам потрібно аж стільки часу, щоб заявити то саме? Тому що, така заява, як і справжня фізична теорія, в майбутньому передбачатиме дуже багато важливих подій. В контексті окремих експертів кібербезпеки ці події очевидні: ми так само будемо звинувачувати Росію, ми так само будемо вказувати на необхідність адекватного кібер-захисту, ми так само будемо розвивати професійну спільноту, щоб кібербезпека нашої держави стала можливою та ефективною. В контексті ж світових лідерів ці події зовсім інші. Вартість їхньої помилки відіб’ється не лише на їхній репутації, а на долях людей, тому ставки та ризики в них набагато вищі.

Але в той момент коли уряд держави, впевнено покладаючись на рекомендації своїх розвідувальних агентств, робить такі різкі дипломатичні заяви, ми мусимо готуватися до сюрпризів. Які саме несподіванки приготували нам західні партнери, ми з вами ще побачимо. Але вже зараз очевидно, що у розвідок співдружності 5 Eyes є достатні, можливо навіть прямі, докази нашої теорії.

Антивіруси та інший софт: російський та взагалі

Піднімається чергова хвиля публічного обговорення участі Касперського в розвідувальних операціях РФ, зокрема задля викрадення документів та програмних інструментів АНБ, які згодом потрапили до “Shadow Brokers” та спричинили WannaCry та NotPetya. Цього разу рупор у анонімних джерел в американській розвідці та визнаних експертів з кібер-безпеки, серед яких Дейв Айтел (Immunity Inc., виробник славетного Canvas) та Дейв Кенеді (АКА ReL1K, засновник TrustedSec та DerbyCon, автор SET). Обидва ці джентльмени не вирізняються симпатією до РФ, але в експертних висновках не втрачають об’єктивності. Закрема, наприклад, Дейв неодноразово пояснював ситуацію на національному телебаченні та навіть давав свідчення в комісіях Конгресу.

Моя думка з цього приводу незмінна: добровільно чи ні, Лабораторія Касперського була і є активом російських спецслужб, в тому числі й розвідувальних. Але сьогодні я хочу підкреслити інше.

Незалежно від того, брав Касперський участь в спецопераціях свого уряду, чи ні, використання антивірусу є просто геніальним способом здійснення кібер-атак та міжнародного шпіонажу.

По-перше, технічна складова цього каналу просто надпотужна. Як я багато разів вже казав, розташування на комп’ютері процесу, який має необмежені права, тобто може отримати доступ до будь-якого файлу та вмісту оперативної пам’яті, саме по собі — дуже сумнівна ідея з точки зору архітектури безпеки. Додамо до цього факт, що цей процес повинен обробляти неймовірну кількість різних форматів файлів: для людей, які не знають, що таке фазинг та чому .pdf = Penetration Document Format, я просто скажу, що саме через помилки в обробниках складних типів даних і зламуються комп’ютерні системи. Що отримаємо? Що залишається лише мріяти про те, що після встановлення антивірусу безпека системи підвищиться, а не навпаки. (Для кого це не очевидно, підписуйтесь на @taviso в Твітері та блог Google Project Zero.) А якщо ми взнаємо, що люди, які мають доступ до оновлень та вразливостей цього антивірусу, є нашими ворогами?

По-друге, робота антивірусів складна, а їхня взаємодія з операційною системою ще складніша, і ми не знаємо до кінця, які дані вони передають своїм розробникам. Тому, використання антивірусів для шпіонажу відкриває безпрецедентні можливості відхреститися від будь-яких звинувачень. Це просто апогей Plausible Deniability. КАВ “спалив” на лептопі інструменти АНБ та передав їх у Москву? Але ж вони виглядали як шкідливі програми! (якими вони фактично і є). КАВ здійснював пошук по ключових словах по жорсткому диску? Але ж ці ключові слова містилися в зразках “шкідливого” ПЗ! І так далі, і так далі, аж до моменту, коли можна підняти руки вгору і заявити, що їх зламали ГРУ чи ФСБ та вони теж –справжнісінькі жертви кібер-шпіонажу. Не кажучи вже про давні традиції пацакських спецслужб розставляти “повноважних представників” на ключових посадах приватних компаній. У такий спосіб можна відхреститися взагалі від усього та списати все на персональну вербовку окремих працівників, про що вище керівництво та рада директорів, звичайно ж, не мала жодного уявлення.

Це все цікаво та драматично, але які висновки?

Прості та радикальні. Не можна користуватися програмними та інформаційними продуктами ворога, так само як продуктами, які створені на території, що контролюється ворогом, або в компаніях, частина працівників яких живе на цій території, або має родичів, які на ній проживають. Саме тому ребрендинг Лаборатории Касперского в Kaspersky Lab навіть з фактичною еміграцією штаб-квартири — нічого не змінює. Міграція з продуктів ЛК на продукти інших компаній (білоруських, казахських, словацьких тощо) з “тісними культурними зв’язками” з РФ — майже нічого не змінює. Лише повна відмова від інформаційних продуктів, зв’язок яких з ворогом можна прослідкувати бодай інтуїтивно — може знизити ризик.

Але навіть якщо ви позбавитеся 1С, знесете ЛК, знищите аккаунт у ВКонтакте та не дивитиметеся відео в озвучці Кураж-бамбей — залишковий ризик неминучій. Тому що, останній раз, коли я перевіряв, всі ваші друзі та бізнес-партнери користувалися 1С, відвідували ВК, та інші російські веб-сайти.

https://finance.yahoo.com/news/experts-link-nsa-leaks-shadow-brokers-russia-kaspersky-144840962.html

https://www.wsj.com/articles/how-kasperskys-software-fell-under-suspicion-of-spying-on-america-1515168888


Originally published at blog.styran.com on February 15, 2018.