Шейн Харріс - ВІЙН@: битви в кіберпросторі, Шейн Харріс
Шрифт:
Інтервал:
Добавити в закладку:
Над руйнуванням засад безпеки і недоторканності приватного життя в інтернеті працює не лише АНБ. У рамцях секретної програми SIGINT Enabling Project агентство домовляється з технологічними компаніями щодо впровадження бекдорів у їхні комерційні продукти. У 2013 році Конгрес США виділив $250 млн на реалізацію цього проекту. Завдяки тісній співпраці з ФБР АНБ дізналося про одну особливість програми Microsoft Outlook для роботи з електронною поштою, яка могла б створити перешкоди для стеження, якщо не втрутитися. Агентство також отримало доступ до листування та розмов у Skype і до хмарного сховища Microsoft SkyDrive, і аналітики АНБ могли читати повідомлення користувачів іще до шифрування.
Секретні документи також свідчать, що АНБ спонукає виробників криптографічних продуктів дозволити експертам агентства аналізувати продукцію компаній під приводом боротьби за надійність алгоритмів шифрування. Проте насправді експерти АНБ інсталюють у ці продукти вразливості, щоб згодом використати їх у шпигунських або кібервоєнних операціях. В одному документі йдеться про те, що ця робота дозволяє агентству «доставляти або отримувати інформацію до/з цільового кінцевого пункту віддалено». Інакше кажучи, красти інформацію з комп’ютера або встановлювати на ньому шкідливий код.
Такі плацдарми в технологічних продуктах, що продаються і використовуються в усьому світі, дозволяють агентам АНБ шпигувати потай, а за потреби вивести з ладу технологічний продукт. Принцип дії комп’ютерного «хробака» Stuxnet, який знищив центрифуги на іранському ядерному виробництві, ґрунтується на невідомій раніше вразливості в системі управління компанії Siemens. Експерти з комп’ютерної безпеки запитували себе: можливо, виробник знав про цю вразливість і погодився залишити її? У будь-якому разі немає жодного сумніву, що АНБ володіло детальною інформацією про недоліки системи й використало її для створення «хробака» Stuxnet.
Військові навчили кібервоїнів, які працювали під керівництвом Кібернетичного командування США, зламувати деякі поширені види телекомунікаційного обладнання. Армія скеровувала солдатів на курси, на яких навчали принципів роботи й експлуатації мережевого устаткування Cisco. Не лише тому, як обслуговувати обладнання, а й тому, як його зламувати й захищати від зламування.
У рамцях програми SIGINT Enabling Project АНБ також платило телефонним і інтернет-компаніям за те, щоб, будуючи свої мережі, вони залишали лазівки для агентства або, якщо використовувати менш зрозумілу мову секретного бюджетного документа, «забезпечували безперервну співпрацю з основними постачальниками телекомунікаційних послуг для формування глобальної мережі з доступом для інших методів збирання інформації».
Уся ця секретна робота свідчить про рівень залежності АНБ від корпорацій, які розробляють програмне й апаратне забезпечення, а також володіють сегментами глобальної мережі та обслуговують їх. Без співпраці з такими компаніями агентство не змогло б вести шпигунську й кібервоєнну діяльність. Проте спроби агентства запанувати у «п’ятому вимірі» військових дій не обмежувались угодами з приватними корпораціями.
Упродовж десяти останніх років АНБ спільно з британськими колегами з Центру урядового зв’язку поклало чимало зусиль на боротьбу з криптографічними технологіями, інсталюючи приховані вразливості в поширені стандарти шифрування. Шифрування – це процедура перетворення даних (наприклад, електронного листа) в мішанину цифр і символів, яку можна розшифрувати лише за допомогою ключа, яким володіє адресат. Якось АНБ вступило у відкриту боротьбу за отримання доступу до ключів шифрування, щоб розшифровувати повідомлення за власним вибором, але програло битву. Тоді агентство взялося за послаблення алгоритмів шифрування, які використовуються насамперед для кодування онлайн-комунікацій.
АНБ – це домівка найкращих у світі криптографів, яких регулярно консультують різноманітні інституції, зокрема й державні агентства, щодо збільшення стійкості алгоритмів шифрування. У 2006 році, через рік після призначення Александера на посаду директора АНБ, агентство допомагало розробляти стандарт шифрування, який згодом затвердив Національний інститут стандартів і технологій (NIST) – державне агентство, яке має вирішальне слово щодо прийнятності засобів вимірювання, використовуваних для калібрування розмаїтих інструментів, промислового обладнання та наукових приладів. Схвалення стандарту шифрування інститутом – це своєрідний знак якості. Він переконує компанії, групи лобістів, приватних осіб і державні структури в усьому світі, що цей стандарт можна використовувати. NIST працює абсолютно прозоро, дозволяючи експертам аналізувати стандарт і коментувати його. Це одна з причин того, що схвалення інститутом має таку вагу. Довіра до NIST така велика, що будь-який алгоритм шифрування, який використовується в комерційних продуктах, що продаються в США, повинен дістати схвалення інституту.
Проте за лаштунками цього здебільшого відкритого процесу АНБ активно розробляло такий алгоритм, як генератор випадкових чисел – основний компонент шифрування. Згідно з секретними документами, АНБ заявляло, що хотіло лише злегка «вдосконалити» деякі деталі алгоритму, проте насправді стало його «одноосібним редактором» і засекретило процес створення. Підірвавши довіру до генератора випадкових чисел, агентство поставило під сумнів надійність цілого процесу шифрування й здобуло лазівку для розшифрування інформації або отримання доступу до комп’ютерних систем.
Праця АНБ зі створення алгоритму не була таємницею. Участь агентства навіть додавала процесові певної престижності. Але не минуло й року після затвердження стандарту, як фахівці в галузі безпеки виявили в алгоритмі очевидні вразливості та висловили припущення, що ці бекдори – справа рук шпигунського агентства. Відомий експерт із комп’ютерної безпеки Брюс Шнаєр звернув увагу на один із чотирьох методів генерації випадкових чисел, схвалених NIST. Цей метод, писав він 2007 року, «не схожий на інші».
Шнаєр зауважив, що цей алгоритм працював утричі повільніше за інші. Крім того, його «вибороло АНБ, яке вперше запропонувало цей метод кілька років тому в рамках проекту зі стандартизації Американського національного інституту стандартів».
Шнаєр занепокоїло те, що NIST заохочував людей користуватися посереднім алгоритмом, запропонованим агентством, місія якого полягала в зламуванні шифрів. Проте не було жодних доказів того, що АНБ замислило щось лихе. Недосконалість генератора випадкових чисел не робила його неужитковим. Як зауважив Шнаєр, недолік можна було завиграшки виправити, однак навряд чи хтось потурбувався про це. Але ця вразливість непокоїла криптографів. Безсумнівно, АНБ знало про невдоволення фахівців, а також про збільшення кількості доказів таємного втручання агентства, однак покладалося на офіційне схвалення нового алгоритму міжнародною організацією зі стандартизації, до якої прислуховуються 163 країни. АНБ хотіло впровадити алгоритм у цілому світі у таких масштабах, щоб людям було важко відмовитися від його використання.
Та передусім Шнаєра спантеличило те, що АНБ
Увага!
Сайт зберігає кукі вашого браузера. Ви зможете в будь-який момент зробити закладку та продовжити читання книги «ВІЙН@: битви в кіберпросторі, Шейн Харріс», після закриття браузера.