Шейн Харріс - ВІЙН@: битви в кіберпросторі, Шейн Харріс
Шрифт:
Інтервал:
Добавити в закладку:
Цей арсенал піддає загрозі людей цілого світу. Якщо АНБ накопичує інформацію про вразливості, замість того щоб повідомляти виробників високотехнологічної продукції про вади в їхньому апаратному та програмному забезпеченні, то, ймовірно, агентство приховує цінну інформацію, яку можна використати для захисту від зловмисних хакерів. Звісно, АНБ використовує накопичені знання щодо експлойтів нульового дня, щоб залатати дірки у технічних засобах, які воно застосовує або може застосувати для військової чи розвідувальної діяльності. Але агентство не попереджає про них решту світу, адже тоді експлойти нульового дня втратять свою ефективність. Якщо АНБ повідомить технологічні компанії про вразливості їхніх продуктів, відповідні агентства в Китаї або Ірані зможуть підготуватися до відбиття атак.
Але на тіньовому ринку вразливостей нульового дня ніхто не дає гарантій ексклюзивного доступу до інформації. Один сумнівний продавець, французька компанія Vupen, продає інформацію про ті самі вразливості та експлойти багатьом клієнтам, серед яких державні органи різних країн. АНБ також є клієнтом компанії Vupen – загальнодоступні документи свідчать, що агентство купує інформацію про вразливості нульового дня за підпискою, яка передбачає здобуття інформації про певну кількість вразливостей згідно з договором. (Озброєне цією інформацією, АНБ може створювати власні експлойти.) Компанія Vupen також має каталог складних, готових до реалізації атак нульового дня, які коштують значно дорожче за інформацію, надану підписникам.
АНБ знає, що Vupen не завжди укладає ексклюзивні угоди, тому агентству доводиться купувати щораз більше інформації про вразливості нульового дня, усвідомлюючи, що принаймні якийсь відсоток із них стане непридатним для атак, якщо інша держава, приватна компанія або кримінальне угруповання скористаються ними.
Критики звинувачують компанію Vupen у «гонці кіберозброєння» –підбурюванні державних розвідслужб і збройних сил різних країн одне проти одного. Клієнти компанії знають: якщо знехтують можливістю придбати нову інформацію про вразливість, компанія обов’язково знайде іншого покупця. Вразливості, інформацією про які володіє Vupen, не унікальні для якоїсь однієї країни. Чимало з них виявлені у популярних технологічних продуктах, використовуваних у всьому світі. Отже, держави мають стимул купувати якнайбільше інформації про вразливості нульового дня і для самозахисту, і для атак на своїх противників.
Представники компанії Vupen стверджують, що лише продають інформацію «надійним організаціям», під якими мають на увазі «підприємства зі сфери безпеки, що займаються захистом», державні організації у «схвалених країнах» і «всесвітні корпорації», серед яких компанії з першої тисячі рейтингу журналу Fortune. Це довгий перелік потенційних клієнтів, і компанія визнає, що не в змозі засвідчити надійність кожного з них і гарантувати, що клієнти, які купують за підпискою або каталогом, не передадуть інформацію людям, яким компанія ніколи не продасть її безпосередньо. Керівники непереконливо пояснюють, що існує внутрішня процедура перевірки клієнта, щоб незалежні хакери та посередники не отримали небезпечні продукти й інформацію, продану державним структурам. Особливе занепокоєння викликають країни Північної Африки і Близького Сходу з репресивним режимом правління, влада яких, намагаючись здолати опір борців за демократію, залучає хакерів для впровадження шкідливого ПЗ в комп’ютери протестувальників. Ці шкідливі програми купують у таких компаній, як Vupen, представники яких стверджують, що ніколи не продають власних продуктів для таких негідних цілей. Однак ці продукти повсякчас виявляють на комп’ютерах і в мобільних телефонах активістів, деякі з яких зазнали переслідувань або насильства від влади та інших переслідувачів.
На ринку – чорному, сірому чи будь-якому іншому – найбільші покупці мають змогу диктувати власні умови й правила. Як загальновизнаний найбільший покупець вразливостей і експлойтів нульового дня, АНБ може збурити ринок, якщо почне купувати інформацію й оприлюднювати її. Бюджет агентства на підтримку кібербезпеки становить мільярди доларів. Чом би не витратити частину цих коштів на попередження світу про існування вразливостей, які можна усунути? Яка відповідальність чекає агентство, якщо воно не попередить власників і операторів небезпечної технології щодо існування загрози атак? Це етична дилема, яку АНБ не мусить вирішувати. Проте, якщо колись станеться кібератака на США і призведе до значних матеріальних збитків або масової паніки, а можливо, навіть смертей, агентство буде змушене відповідати за те, що не запобігло катастрофі. Цілком імовірно, що колись у майбутньому директор АНБ сяде на місце свідка і під прицілом телевізійних камер пояснюватиме членам Конгресу і громадянам США, чому, знаючи про вразливість, якою скористалися вороги Америки, тримав її в таємниці лише тому, що АНБ просто чекало нагоди використати її для власних цілей.
Найуразливіші для нищівних кібератак нульового дня – саме ті об’єкти, які так прагне захистити АНБ: електростанції, підприємства атомної промисловості, газові трубопроводи та інші критично важливі об’єкти інфраструктури, а також банки й фінансові компанії. Не всі ці компанії мають системи обміну інформацією про відомі вразливості та експлойти, знайдені й оприлюднені здебільшого «білими» хакерами, які бачать своє покликання у попередженні компаній-виробників щодо недоліків у їхніх продуктах і не шукають особистого зиску. Коли компанія виявляє загрозу, «латання дір» і оновлення системи стає додатковим навантаженням, натомість технологічна гнучкість різних компаній різна. Одні готові до оперативного виправлення недоліків, інші можуть навіть не усвідомлювати, що використовують уразливе програмне забезпечення. Інколи компанії просто не отримують від виробників сповіщень щодо необхідності оновлення або зміни параметрів безпеки продукту для її посилення. Навіть якщо компанія використовує програмне забезпечення, для якого випускаються регулярні оновлення, системні адміністратори компанії повинні погодити операцію, переконатися, що оновлення проведене в усіх системах компанії, і продовжувати відстежувати майбутні оновлення. Багатьом адміністраторам здається, що оновлення сотні або тисячі комп’ютерів на підприємстві – вельми важке завдання.
Купуючи так багато експлойтів нульового дня, АНБ підтримує ринок кіберзброї, загрозливий для американських компаній і критично важливих об’єктів інфраструктури. Якщо якась держава або терористична група захочуть вимкнути струм в одному з американських міст, найімовірніше, вони скористаються експлойтом, придбаним в однієї з компаній, яка продає експлойти АНБ. Продавці експлойтів нульового дня принаймні номінально винні у зменшення безпеки інтернету. Проте вони покладають провину на виробників програмного забезпечення, яке можна зламати. «Ми не продаємо зброю, ми продаємо інформацію, – відповів засновник компанії ReVuln, що продає експлойти, коли журналіст Reuters запитав його, чи хвилюватиме компанію, якщо одну з її програм використають для атаки, яка призведе до знищення систем або смерті людей. – Це запитання краще поставити виробникам, що залишають діри в своїх продуктах».
Така стратегія захисту нагадує звинувачення виробника замків у пограбуванні будинку. Так, слюсар створює продукт, який запобігає проникненню в будинок. Проте, якщо грабіжник таки потрапить усередину й украде телевізор, ба навіть гірше – атакує власників будинку, ми не висунемо звинувачень слюсареві. Звісно, такі компанії, як ReVuln, нікого не грабують, але
Увага!
Сайт зберігає кукі вашого браузера. Ви зможете в будь-який момент зробити закладку та продовжити читання книги «ВІЙН@: битви в кіберпросторі, Шейн Харріс», після закриття браузера.