Кибервойн@. Пятый театр военных действий - Шейн Харрис

Когда у посредников появляется информация о новых уязвимостях нулевого дня, они продают ее своему клиенту – АНБ. Однако цепочка поставок начинается с хакера. Чтобы стать хорошим охотником на уязвимости нулевого дня, хакер должен уметь смотреть на вещи глазами программиста и находить недостатки в его коде. Процесс можно в некоторой степени автоматизировать. К примеру, метод «фаззинг» заключается в том, что в компьютерную программу вводятся неожиданные или случайные данные с целью вызвать критическую ошибку. Потом хакер анализирует те недостатки, которые вызвали «падение» программы.

Однако, чтобы отыскать глубоко скрытые изъяны, хакер должен придумывать новые, более искусные методики, которые заставят компьютер показать слабые места программы. Например, в 2005 г. аспирант Калифорнийского университета в Лос-Анджелесе обнаружил, что, если измерять «небольшие, микроскопические колебания» во внутреннем генераторе тактовых частот компьютера, можно однозначно идентифицировать компьютер в сети, состоящей из тысяч машин. Позже в своей научной статье он написал, что с помощью этой методики «злоумышленники, находясь за тысячи километров» от атакуемого компьютера, могут обойти программные средства сокрытия физического местоположения компьютера, в том числе и средства Tor – сети маршрутизаторов-анонимайзеров, которую АНБ с таким усердием пыталось разрушить. Через год после публикации статьи исследователь из Кембриджского университета обнаружил, что фактически существует возможность идентифицировать в сети сервер, на котором запущено программное обеспечение для сохранения анонимности в сети Tor и таким образом лишить эту сеть самого важного преимущества. Ему удалось это сделать, отправляя на анонимный сервер сети Tor множественные запросы, которые повышали нагрузку на сервер и буквально заставляли его разогреваться. С повышением температуры изменяется интенсивность движения электронов в микросхемах, что, в свою очередь, влияет на точность тактового генератора. Таким образом, расположение анонимного сервера было по-прежнему неизвестно, но удалось получить уникальный «фазовый сдвиг импульсов тактового генератора» и опросить компьютеры в глобальном Интернете, чтобы найти нужный сервер. Исследователь это и сделал. Фазовый сдвиг позволил ему определить местоположение сервера сети Tor, который считался скрытым. Согласно секретному документу АНБ под названием Tor Stinks, в котором описаны попытки АНБ уничтожить эту сеть, агентство изучило обе методики, связанные с определением фазового сдвига, для поиска маршрутизаторов сети.

Изобретательность и искусность при розыске таких скрытых, едва различимых особенностей отличает великих хакеров от просто хороших. Именно это умение позволяет находить уязвимости нулевого дня. Хакеры просят за них высокую цену. Если эксплоиты поставляются в форме «оружия», то есть готовыми к применению против какой-либо системы, их цена начинается от $50 000 и может достигать $100 000, как говорят эксперты. Некоторые эксплоиты могут стоить еще дороже, в случае если они предназначены для атаки на более ценные или труднодоступные объекты. Текущая стоимость эксплоита для атаки на операционную систему Apple iOS, которая установлена в смартфонах iPhone и других мобильных устройствах той же компании, составляет полмиллиона долларов, по словам одного из экспертов. А более сложные эксплоиты, которые используют недостатки во внутренней механике элементов оборудования, могут стоить миллионы долларов. Столь высокая цена таких эксплоитов обусловлена тем, что объектом их атаки является аппаратная часть оборудования, недостатки которого не могут быть устранены так же, как ошибки в программном обеспечении, с помощью нескольких новых строк кода. Структурами, у которых есть стимулы и средства для покупки такого оружия, являются исключительно организованные преступные группы и государственные организации.

Серьезные покупатели информации об уязвимостях нулевого дня, такие как АНБ, добывают ее разными способами. Они создают резервы на будущее. По словам бывшего высокопоставленного государственного чиновника, получившего информацию на секретном совещании с руководителями АНБ, агентство хранит данные более чем о двух тысячах уязвимостей нулевого дня для потенциального применения против одних только китайских электронных систем. Это потрясающе огромное количество эксплоитов. Компьютерный червь Stuxnet, который был создан совместными усилиями США и Израиля для нарушения работы объектов иранской атомной программы, содержал четыре эксплоита нулевого дня, что само по себе немало для одной атаки. Коллекция из 2000 эксплоитов нулевого дня – это кибернетический аналог ядерного арсенала.

Этот арсенал к тому же подвергает риску пользователей во всем мире. Раз АНБ запасает данные об уязвимостях, вместо того чтобы сообщать производителям высокотехнологичной продукции, что в их аппаратном и программном обеспечении имеются изъяны, значит агентство, вероятно, скрывает ценную информацию, которая могла бы быть использована для защиты от злонамеренных хакеров. АНБ, конечно же, использует накопленные знания об эксплоитах нулевого дня для затыкания дыр в технических средствах, которые оно применяет или может применить в рамках военной или разведывательной деятельности. Но оно не предупреждает остальной мир, ведь тогда эксплоиты нулевого дня будут менее эффективны или вообще бесполезны. Если АНБ предупредит технологические компании об уязвимостях в их продуктах, то потенциальные цели агентства в Китае или Иране смогут подготовиться к отражению атак.

Однако на теневом рынке уязвимостей нулевого дня никто не дает гарантий, что АНБ приобретает исключительные права на информацию об этих уязвимостях. Один сомнительный поставщик, французская компания Vupen, продает информацию об одних и тех же уязвимостях нулевого дня и одни и те же эксплоиты многим клиентам, в том числе и государственным ведомствам разных стран. АНБ тоже является клиентом компании Vupen – из общедоступных документов видно, что агентство приобретает информацию об уязвимостях нулевого дня по подписке, которая предполагает получение информации об определенном количестве уязвимостей в течение срока действия договора. (Вооруженное этой информацией, АНБ может создать собственные эксплоиты.) Vupen также ведет каталог сложных, готовых к реализации атак нулевого дня, которые стоят гораздо дороже информации, распространяемой по подписке.

АНБ знает, что Vupen не всегда заключает эксклюзивные договоры, поэтому агентству приходится покупать все больше и больше информации об уязвимостях нулевого дня, рассчитывая на то, что по крайней мере какая-то часть из них окажется бесполезной в случае, если другое государство или компания, или криминальная группа воспользуются ими. Критики обвиняют компанию Vupen в поддержке «гонки кибервооружений» – стравливании государственных разведслужб и вооруженных сил друг с другом. Клиенты Vupen знают, что, если они упустят возможность купить информацию об очередной уязвимости, компания обязательно найдет клиента где-нибудь еще. Уязвимости, информацией о которых владеет Vupen, не являются уникальными для какой-то одной страны. Многие из них обнаружены в широко продаваемых высокотехнологичных продуктах, используемых по всему миру. Таким образом, у государств имеется стимул приобретать как можно больше информации об уязвимостях нулевого дня как для самозащиты, так и для проведения атак на своих противников.

В компании Vupen говорят, что они всего лишь продают информацию «заслуживающим доверия организациям». К таким организациям компания относит «разработчиков в сфере безопасности, поставляющих оборонные решения», государственные организации в «одобренных странах» и «всемирные корпорации», среди которых компании из первой тысячи рейтинга журнала Fortune. Это длинный список потенциальных клиентов, и в Vupen согласны, что не имеют возможности убедиться в надежности каждого из них. Компания не может гарантировать, что клиенты, купившие подписку или кибероружие из ее каталога, не передадут эти сведения людям, которым компания никогда не продает информацию непосредственно. Руководители дают туманные заверения, что существует внутренняя процедура проверки, не попадут ли в руки независимым хакерам и посредникам опасные продукты и знания, проданные компанией государственным ведомствам. Особое беспокойство вызывали страны Северной Африки и Ближнего Востока с репрессивным режимом правления, где власти, пытаясь сломить сопротивление демократических активистов, привлекают хакеров для внедрения зловредного ПО, чтобы вести слежку за протестующими. Вредоносные же программы приобретаются у таких компаний, как Vupen, представители которых заявляют, что никогда не продают свои продукты для таких неблаговидных целей. Тем не менее подобные продукты можно обнаружить на компьютерах и мобильных телефонах активистов, некоторые из которых подвергались преследованию и жестокому обращению со стороны властей и экстремистских группировок.