Позначка: Кібервійна

Антивіруси та інший софт: російський та взагалі

Піднімається чергова хвиля публічного обговорення участі Касперського в розвідувальних операціях РФ, зокрема задля викрадення документів та програмних інструментів АНБ, які згодом потрапили до “Shadow Brokers” та спричинили WannaCry та NotPetya. Цього разу рупор у анонімних джерел в американській розвідці та визнаних експертів з кібер-безпеки, серед яких Дейв Айтел (Immunity Inc., виробник славетного Canvas) та Дейв Кенеді (АКА ReL1K, засновник TrustedSec та DerbyCon, автор SET). Обидва ці джентльмени не вирізняються симпатією до РФ, але в експертних висновках не втрачають об’єктивності. Закрема, наприклад, Дейв неодноразово пояснював ситуацію на національному телебаченні та навіть давав свідчення в комісіях Конгресу.

Моя думка з цього приводу незмінна: добровільно чи ні, Лабораторія Касперського була і є активом російських спецслужб, в тому числі й розвідувальних. Але сьогодні я хочу підкреслити інше.

Незалежно від того, брав Касперський участь в спецопераціях свого уряду, чи ні, використання антивірусу є просто геніальним способом здійснення кібер-атак та міжнародного шпіонажу.

По-перше, технічна складова цього каналу просто надпотужна. Як я багато разів вже казав, розташування на комп’ютері процесу, який має необмежені права, тобто може отримати доступ до будь-якого файлу та вмісту оперативної пам’яті, саме по собі — дуже сумнівна ідея з точки зору архітектури безпеки. Додамо до цього факт, що цей процес повинен обробляти неймовірну кількість різних форматів файлів: для людей, які не знають, що таке фазинг та чому .pdf = Penetration Document Format, я просто скажу, що саме через помилки в обробниках складних типів даних і зламуються комп’ютерні системи. Що отримаємо? Що залишається лише мріяти про те, що після встановлення антивірусу безпека системи підвищиться, а не навпаки. (Для кого це не очевидно, підписуйтесь на @taviso в Твітері та блог Google Project Zero.) А якщо ми взнаємо, що люди, які мають доступ до оновлень та вразливостей цього антивірусу, є нашими ворогами?

По-друге, робота антивірусів складна, а їхня взаємодія з операційною системою ще складніша, і ми не знаємо до кінця, які дані вони передають своїм розробникам. Тому, використання антивірусів для шпіонажу відкриває безпрецедентні можливості відхреститися від будь-яких звинувачень. Це просто апогей Plausible Deniability. КАВ “спалив” на лептопі інструменти АНБ та передав їх у Москву? Але ж вони виглядали як шкідливі програми! (якими вони фактично і є). КАВ здійснював пошук по ключових словах по жорсткому диску? Але ж ці ключові слова містилися в зразках “шкідливого” ПЗ! І так далі, і так далі, аж до моменту, коли можна підняти руки вгору і заявити, що їх зламали ГРУ чи ФСБ та вони теж –справжнісінькі жертви кібер-шпіонажу. Не кажучи вже про давні традиції пацакських спецслужб розставляти “повноважних представників” на ключових посадах приватних компаній. У такий спосіб можна відхреститися взагалі від усього та списати все на персональну вербовку окремих працівників, про що вище керівництво та рада директорів, звичайно ж, не мала жодного уявлення.

Це все цікаво та драматично, але які висновки?

Прості та радикальні. Не можна користуватися програмними та інформаційними продуктами ворога, так само як продуктами, які створені на території, що контролюється ворогом, або в компаніях, частина працівників яких живе на цій території, або має родичів, які на ній проживають. Саме тому ребрендинг Лаборатории Касперского в Kaspersky Lab навіть з фактичною еміграцією штаб-квартири — нічого не змінює. Міграція з продуктів ЛК на продукти інших компаній (білоруських, казахських, словацьких тощо) з “тісними культурними зв’язками” з РФ — майже нічого не змінює. Лише повна відмова від інформаційних продуктів, зв’язок яких з ворогом можна прослідкувати бодай інтуїтивно — може знизити ризик.

Але навіть якщо ви позбавитеся 1С, знесете ЛК, знищите аккаунт у ВКонтакте та не дивитиметеся відео в озвучці Кураж-бамбей — залишковий ризик неминучій. Тому що, останній раз, коли я перевіряв, всі ваші друзі та бізнес-партнери користувалися 1С, відвідували ВК, та інші російські веб-сайти.

https://finance.yahoo.com/news/experts-link-nsa-leaks-shadow-brokers-russia-kaspersky-144840962.html

https://www.wsj.com/articles/how-kasperskys-software-fell-under-suspicion-of-spying-on-america-1515168888

Originally published at blog.styran.com on February 15, 2018.

Висновки після notPetya

для керівників вищої ланки

Мене тут увесь день питали, тому коротенько про висновки, які мають зробити біг-бада-боси, з усього, що сталося.

  1. Інформаційна безпека (ІБ) це не антивірус і не фаєрвол. ІБ це агрегатний стан. Ви або в змозі триматися до купи, або розтікаєтеся по підлозі. Щоб не розтектися, треба ІБешить.
  2. ІБшить мають ІБшники. ІБешники це професія; адмін, програміст, секретар, перекладач, кур’єр — це інші професії, їх не можна примусити ІБшить продуктивно.
  3. Досвідчені ІБшники коштують дорого. Можна взяти молодого і виростити, але вийде ще дорожче. Оптимально буде взяти декілька досвідчених і нехай вирощують молодих.
  4. ІБшникам треба давати бюджет. Не те, що лишилося від бюджету ІТшників, а окремий бюджет, який вони в змозі логічно обґрунтувати за допомогою оцінки ризиків та чинних норм законодавства. І не половину, не третину того що вони обґрунтують, а весь.
  5. ІБшники повинні ІБшить, а не писати RFP на тендери, щоб найняти інших ІБшників, які будуть ІБшить замість них. Безпека це не прок’юрмент. Деколи ІБшникам потрібна допомога інших ІБшників ззовні. Деколи вона необхідна. Але коли ІБшники займаються виключно освоєнням бюджету — “на фіг” пишеться окремо.
  6. Сертифікат це не доказ безпеки, це шматок зіпсованого паперу. Абсолютно непотрібна в побуті річ, тому що ламінована і погано гнеться. Комплаянс це не безпека (точніше, це безпека сраки керівника від гніву регулятора, не більше). Щасливий аудитор це не безпека. “Зелений” звіт про пентест це не безпека. Безпека це коли досвідчений ІБшник, який читає зранку під каву скорельовані логі, бухтить собі під ніс: “– Як малі діти, єйбогу.”
  7. Безпека це головняк Генерального директора, чи як у вас там на візитці написано. Не ІБшників, не COO, не CFO, не борда, а вищої виконавчої влади в корпорації. Можна делегувати цю функцію, але не можна делегувати відповідальність за неї. Кіберполіція не прилетить на ракеті та не врятує вас від хакерів. Безпека — це +1 бізнес-процес та +1 параметр кожного бізнес-процесу.
  8. Будьте готові до інциденту до того, як він настане. Нормальні ІБшники вас до нього підготують. Але майте під рукою плани Б і В, тому що вони знадобляться. Вас хакнуть. (Вас скоріш за все вже хакнули: якщо вас ще не хакнули, це означає, що ви робите щось дуже незначне та нікому не цікаве). Але якщо ви не вважаєте, що ваш бізнес повинен завершитися на першому ж зламі, будьте до нього готові.
  9. Майте під рукою кризову піар-стратегію. “Ми нічого не знаємо” це не стратегія. “В нас все добре” це не стратегія. “Ми не винні” це не стратегія. “Майкрософт та інші вендори помиляються, а ми говоримо правду” це не стратегія. Стратегія, це: нас зламали — так; ми вибачаємося за це перед усіма, кому це завдало шкоди; і ми зробимо усе що в людських силах для того, щоб винести максимум уроків з цього зламу та не дозволити цьому повториться знов. Саме ваша піар поведінка під час кризи демонструє ваше справжнє ставлення до клієнтів.

Бережіться.

Чому не можна блокувати ВКонтакті та Однокласники

Ніколи не думав, що до цього дійде. Одразу попереджаю, що на мою особисту думку, обидва зазначені вебсайти не заслуговують права на існування з цілої низки причин, але мова далі не про це. Мова про блокування доступу до ресурсів в мережі інтернет.

В такого блокування є два дуже важливі аспекти, які я спробую пояснити. Перше, це технологічна складова, та друге, це суспільна складова проблеми.

Технологічна складова досить проста: це неймовірно дорого та вимагає централізованого підходу. Україна генерує неймовірні об’єми мережевого трафіку, тепер уявіть собі, що увесь він буде проходити через декілька майданчиків, у власності високорівневих провайдерів чи під контролем держави, на яких буде відбуватися застосування політики фільтрації. Це дуже важко зробити інженерно правильно і майже неможливо зробити ефективно. На цей час це більш-менш вдалося реалізувати в Китаї, бюджети астрономічні. Всі інші реалізації або неповноцінні, або граничать з повною ізоляцією від всесвітньої мережі. Наведу приклад: понад 5 років YouTube був “заблокований” у Туреччині. Не занурюючи вас у подробиці такого рішення та деталі його реалізації, повідомлю, що увесь цей час YouTube залишався п’ятим за кількістю відвідувань вебсайтом в цій країні.

Суспільна складова трохи складніша та для багатьох неочевидна. Блокування окремих вебсайтів в інтернеті — це обмеження свободи слова, перший крок до імплементації тоталітарних інструментів контролю доступу до інформації. Так, заради безпеки завжди треба жертвувати якоюсь частиною свободи, але де ви проведете межу? Яку частину вашої свободи ви віддасте державі, яка неминуче буде контролювати такий інструмент? І як ви переконаєтеся в тому, що цей інструмент не буде використовуватися не за призначенням? А повірте мені — він буде використовуватися саме так: немає дурних сидіти та дивитися, як ідеальний інструмент виявлення зрадників, колабораціоністів та п’ятої колони простоює без діла. Точніше, зайнятий якимись дурницями по типу блокування російських соціальних мереж. Ми щось дуже рано забули про закони 16 січня, чи ви справді вважаєте, що рівень тоталітаризму в державі залежить від того, хто наразі за кермом?

Останні пару днів я обговорюю цю тему з прихильниками ідеї блокування окремих або усіх російських інтернет-ресурсів та зустрічаю дуже різні аргументи. Спробую пояснити хибність деяких із них.

2. Мобільні оператори з легкістю дозволяють безплатний доступ до соціальних мереж та інших сервісів, тобто виявляють та не тарифікують трафік на ці мережі. Тому організувати блокування ресурсів легко.

  • Невірна аналогія. Виключення з білінгу певних напрямків не має відношення до контролю доступу: просто не враховується певна категорія спожитих послуг для усіх абонентів, або усіх абонентів, які замовили таку послугу. Інженерно це трохи інша річ: ви не повинні контролювати, ви просто ігноруєте певну більш-менш сталу кількість пунктів призначення. У випадку контролю доступу ця кількість буде постійно змінюватися, звичайно ж в бік зростання. Кращою аналогією для такого проєкту є імплементація перенесення номеру на іншого мобільного оператора, яку нам за чинним законодавством повинні забезпечити.

2. Заборона телевізійних каналів теж несе загрозу свободі слова, і нічого — заборонили ж Дождь та інші.

  • Невірна аналогія. По-перше, соціальні мережі це платформа, а ТВ — це цілком контрольований продукт, який не є носієм свободи слова, він є носієм редакційної політики певного телеканалу. Обмеження доступу до ТВ взагалі — ось краща аналогія блокуванню доступу до певних соцмереж.

3. Блокування ресурсів, які контролюються ворогом — це адекватна міра протидії в умовах війни.

  • Якщо ворог змусить нас вдатися до таких дій, він переможе. Якщо терорист змусив вас боятися, він переміг. Скочування України в тоталітарний режим, або будь-яке наближення до цього, — в інтересах ворога. Я не прихильник конспірології, але мушу поділитися підозрою, що цілком можливо нас до цього підштовхують просто зараз.

На завершення хочу зауважити, що майже нічого з написаного вище не є моєю особистою думкою. За включенням, звичайно, мого ставлення до відвертого лайнокоду типу ВК та ОК. Просто я давно цікавлюся темою приватності та намагаюся бути в курсі дискусій на цю тему в експертному середовищі. До того ж я знаю достатньо способів обходу контролю доступу до інтернету, щоб особисто мене ця загроза аж ніяким боком не торкалася. А ще я знаю, як це — контролювати чийсь доступ до інтернету, і повірте мені, ви не хочете довіряти це нікому у світі.

В Україні найвільніший доступ до всесвітньої мережі, ніж в будь-якій іншій країні, в якій я бував. Цьому варто радіти і це варто захищати.

Бережіться.

Про розв’язання морально-етичних дилем

tl;dr: Особисто я твердо впевнений, що будь-які професійні контакти з російською індустрією інформаційної/кібербезпека повинні бути виключені до завершення окупації території України, включаючи Донецьку та Луганську області та АР Крим. І це не моя особиста думка чи політична позиція, це результат розв’язання морально-етичної дилеми за допомогою простого та доступного інструменту, про який нижче.

Або чому я не відвідую російські конференції з кібербезпеки

Останнім часом у нас в “узком кругу ограниченых людей” регулярно виникають дебати, правильно це чи не правильно в умовах конфлікту співпрацювати з російською індустрією інформаційної безпеки, споживати послуги або товари російського походження, продавати послуги російським компаніям (включаючи їхні українські активи) та, що найчастіше, відвідувати російські конференції з інформаційної безпеки. Нормальні люди можуть порівняти цю вічну драму з більш широко обговорюваними гастролями українських “зірок” на території країни-агресора та отримування ними від неї музичних премій.

На вищому рівні все зводиться до того, чи повинні професійні інтереси враховувати політичну ситуацію. В цьому місці думки розходяться: одні вважають, що професіонали “внє політікі”, тому заради світлого майбутнього, розвитку технологій та бла-бла-бла треба стулити пельку та продовжувати співпрацю. Інші ж впевнені, що відчуження від Росії має бути повним та абсолютним: жодних контактів, включаючи професійні, а хто проти — той зрадник та колабораціоніст. Звичайно, я тут трошки навожу різкість на крайніх випадках, є напевно щось посередині, але я думаю загальну картину ви вловили.

Якщо ви мене знаєте давно та близько, то ви в курсі, що я зарозумілий та пихатий мораліст, якого краще не питати про такі речі. Але, що дивно, навіть добре знайомі люди питають, і то регулярно. Тому, як то кажуть дописувачі Фейсбуку, “я просто залишу це тут”.

tl;dr: Особисто я твердо впевнений, що будь-які професійні контакти з російською індустрією інформаційної/кібербезпека повинні бути виключені до завершення окупації території України, включаючи Донецьку та Луганську області та АР Крим. І це не моя особиста думка чи політична позиція, це результат розв’язання морально-етичної дилеми за допомогою простого та доступного інструменту, про який нижче.

Але спочатку трохи про себе. До середини 90-х, тобто 15 років життя, я прожив на території РФ, спілкувався виключно російською та десь до 20 років вважав себе носієм “східнослов’янської” культури, вірив в братство народів тощо. З 2005 по 2007 я працював у російській компанії, причому не просто в її українському відділенні, а з відрядженнями, часто довготривалими, у найвіддаленіші куточки СНД. Далі, я двічі виступав на досить масштабній конференції з кібербезпеки PHDays, за деякими оцінками найбільшій в регіоні. Я це все розказую, щоб не залишалося сумнівів: я знаю, про що йде мова, і у 2014-му мені довелося багато з чим розпрощатися.

Тепер про інструмент. Є таке поняття, система цінностей. Для багатьох воно суто віртуальне, але якщо розібратися, то все до смішного просто. Є а) цінності та б) їхні пріоритети.

За прикладом далеко ходити не треба: західні, більш відомі як європейські, цінності. Вони складають основу культури т.з. “міжнародної співдружності”. Якщо спрощувати, то це Європа, Північна Америка та країни, які мають з ними тісні культурні зв’язки. Цінності та порядок їхнього пріоритету у цивілізованої західної людини виглядають так:

  1. Людина
  2. Суспільство
  3. Держава
  4. Професія

Або, якщо розгорнути:

  1. Цінність людського життя, права людини, недоторканість приватної власності тощо.
  2. Інтереси суспільної групи: сім’ї, родини, громади, колективу, політичної партії тощо.
  3. Інтереси держави, громадський контроль, фіскальна дисципліна тощо.
  4. Інтереси роботодавця, професійної спільноти тощо.

Як бачите, цінності розташовані в певному порядку, який показує пріоритети між ними. Ці пріоритети важливі в ситуації, яка називається моральною дилемою: коли дві та більше цінності конфліктують одна з одною. У таких випадках, пріоритети використовуються для розв’язання дилем: цінність з вищим пріоритетом (в нормальних умовах) має бути реалізована, а цінність з нижчим пріоритетом — пригнічена. Така поведінка називається моральною або принциповою, а прямо протилежна — аморальною або дефектною.

Якщо я вас вже заплутав, то ось спрощений варіант, який набагато практичніший.

  1. Спершу, будь хорошою людиною.
  2. Потім, будь хорошим членом сім’ї та суспільства.
  3. Потім, будь хорошим громадянином.
  4. І нарешті, будь хорошим працівником та професіоналом.

Розберемо приклад. Або два.

Скажімо, ви — рядовий армії, який “вміє працювати з комп’ютером”. Сидите в аналітичному центрі, слідкуєте “щоб скрізь порядок був”. Аж раптом натрапляєте на засекречений, але не дуже захищений відеозапис розстрілу репортерської групи з борту армійського гелікоптера. Ваші дії? Керуючись цінностями, які у вас закладені з вихованням та формуванням особистості, в тому числі тією ж армією, ви чітко усвідомлюєте, що з одного боку — треба бути хорошим громадянином: розголос цього інциденту вочевидь не на користь вашій державі. Але з іншого боку — треба бути хорошою людиною: розстріл мирних та неозброєних людей, навіть через тактичну помилку, має бути публічно прийнятий та розслідуваний, а винуватці — покарані. Деякий час хороший громадянин та хороша людина всередині вас сперечаються, але людина перемагає. І ви виносите відео з дата-центру, передаєте його в Вікілікс, вас заарештовують, обвинувачують та відправляють за ґрати на термін “до 35 років з правом на помилування”. Аж до поки інша людина не згадує про те, що вона теж ніби хороша, і треба вас помилувати поки президентський термін не скінчився.

Або не так радикально: припустимо, що ви — аудитор, який робить перевірку фінансової звітності. Сидите у клієнта в офісі, в якомусь тихому куточку, звіряєте звіти з фактами. І тут оба-на: бачите ознаки величезної фінансової махінації, про яку, схоже, ніхто крім вас та її організаторів в топменеджменті клієнта не здогадується. І для вас очевидно, що постраждали тисячі міноритарних акціонерів, до того ж держава не отримала мільйони податків в бюджет. Ваші дії? Високоморальний носій західних цінностей, звичайно ж, поставить інтереси суспільства та держави вище за інтереси роботодавця. Зв’яжеться з журналістами та контрольними органами та повідомить про зловживання. Скоріш за все, буде звільнений за порушення угоди про нерозголошення, але зможе (звичайно, у цивілізованій західній країні) успішно оскаржити звільнення в суді, отримати матеріальну компенсацію та розпочати власний бізнес або іншу кар’єру.

Отже, усвідомлюєте ви це чи ні, цінності у вас є. Вони є у всіх, тому що суспільство їх в нас вкладає з народження і до смерті. Цінності — це основа культури, яка об’єднує людей у нації та цивілізації. Та відповідно до відмінностей в системах цінностей ми розділяємо цивілізації: на європейську, азійську, африканську, латиноамериканську тощо. В одній з них може домінувати цінність людського життя, в іншій — інтереси держави, ще в одній — родинні інтереси тощо.

У східній культурі, наприклад, інтереси суспільства та людини зазвичай знаходяться нижче інтересів держави та роботодавця. Не тому, що це результат репресій та деспотизму, ні. Просто це інша культура, інша система цінностей, яка так само як європейська виникла як еволюційна відповідь на виклики часу та в решті решт виявилася оптимальною для сталого розвитку цивілізації. Так, деякі “культурні особливості” східної цивілізації європейцям можуть здаватися аморальним або абсурдними: культури різні, цінності різні. І те, чого ми можемо вимагати від носіїв спільної з нами культури, ми зазвичай не можемо й очкувати від аутсайдерів. Є теорія, що в результаті розвитку цивілізації невідмінно приходять до ідеалів гуманізму, але це вже інша тема.

Отже, повертаючись до питання правильності чи неправильності співпраці з Росією в професійній та діловій площинах. Я розумію, що це може віддавати популізмом в дусі “не за це стояв Майдан”, але на мою думку Україна чітко та виразно дала зрозуміти, якої системи цінностей вона дотримується та до якої цивілізації тяжіє. У такій культурі інтереси держави та суспільства стоять вище за професійні та кар’єрні цілі. І якщо розпрощатися з російським роботодавцем це не завжди швидко та легко, а деколи й суперечить інтересам сім’ї, то принаймні закрити для себе питання участі в професійному житті держави-агресора дозволити собі може кожен. А якщо ні, то постає ціла низка питань, відповіді на які майже ніколи не бувають на користь співпраці з такими елементами.

Звичайно, розв’язання морально-етичних дилем — це не єдине застосування системі цінностей. Якщо тема вас зацікавила, можете проаналізувати як культурні пріоритети використовуються в переговорах (фрейм моральної переваги) та насадженні бізнесової корпоративної культури (розвиток суспільних груп в трудових колективах).

Бережіться.