А для крутых парней барабаны - часть 16
Все серии
Начнем с седой старины. В 2005 году, когда я в последний раз профессионально занимался компьютерной безопасностью, большинство работников этой сферы верило в несколько вещей.
Во первых, что вирусы распространяются только через исполняемые файлы (читай программы - то есть .exe). Чуть позже, неожиданно для многих пользователей, даже продвинутых, вдруг выяснилось, что в Windows файл screensaver-а тоже является программой, а значит столь же опасен. Твой друг Вася прислал тебе красивую заставку с плавающими рыбками, ты на нее мышкой два раза клацнул, а она помимо изображения аквариума на твоем рабочем столе, отправила себя всем твоим контактам из Оutlook, и еще что-то нехорошее сделала на твоем компьютере.
И уж никто не подозревал в качестве источника потенциальной заразы документы - читай Word, Excel, и уже тем более PDF.
Во вторых, подавляющее большинство профессионалов считало, что Windows всех мастей (и даже NT) is broken beyond repair - хотя не всегда могло это доказать. Поэтому мы все ж таки регулярно соглашались с просьбами клиентов, и ставили даже в качестве Firewall машины с операционными системами от Microsoft, предварительно, впрочем, попытавшись убрать с них все ненужное.
Панацеей от вообще всех возможных атак считался air gap (буквально «воздушный зазор») - то есть самые супер-секретные сети просто не подключали к интернету. Хочешь скачать что-то - бери флешку, иди с ней на отдельный компьютер, желательно Linux, желательно с read-only жестким диском. Потом сисадмин ее прогонит через антивирус, и лишь потом можешь наслаждаться своим интернет-уловом. Это достаточно параноидальный вариант, military grade так сказать.
Ну и кроме того, очень многие верили в принцип «неуловимого Джо», хорошо сформулированный чуть ниже. Английский текст я переводить не буду, но общая идея очень простая - если ты простой человек, а не секретный агент, то нет никакого смысла бояться того, что твой домашний компьютер взломает Моссад. От простых злоумышленников поможет здравый смысл и нетривиальные пароли, а от Моссада не поможет ничего.
Людям, за которыми охотится Моссад. автор приведенных ниже строчек советовал использовать магические амулеты, по мере возможности симулировать собственную смерть, и немедленно переехать жить на подводную лодку, но предупреждал, что даже эти крайние меры все равно не помогут.
http://www.usenix.org/system/files/1401_08-12_mickens.pdf
Basically, you’re either dealing with Mossad or not-Mossad. If your adversary is not-Mossad, then you’ll probably be fine if you pick a good password and don’t respond to emails from ChEaPestPAiNPi11s@ virus-basket.biz.ru.
If your adversary is the Mossad, YOU’RE GONNA DIE AND THERE’S NOTHING THAT YOU CAN DO ABOUT IT. The Mossad is not intimidated by the fact that you employ https. If the Mossad wants your data, they’re going to use a drone to replace your cellphone with a piece of uranium that’s shaped like a cellphone, and when you die of tumors filled with tumors, they’re going to hold a press conference and say “It wasn’t us” as they wear t-shirts that say “IT WAS DEFINITELY US,” and then they’re going to buy all of your stuff at your estate sale so that they can directly look at the photos of your vacation instead of reading your insipid emails about them. In summary, https and two dollars will get you a bus ticket to nowhere. Also, SANTA CLAUS ISN’T REAL.
When it rains, it pours.
В 2004м эта точка зрения возможно и была оправдана. В 2014м, после того как файлы Сноудена начали вытекать наружу, это уже выглядело излишне наивным подходом к жизни.
В принципе, картина new brave world начала проясняться году в 2010м, сразу после обнаружения Stuxnet, и окончательно сформировалась году к 2013-201.
Выглядела она приблизительно так: кибер-шпионаж и кибер-война из терминов научной фантастики (кибер-панка, ага) плотно перекочевали в новости. Ничего вот такого уж волшебного хакеры на государственной службе делать не научились, но все что в принципе возможно технически - они делали, делали хорошо, и собирались продолжать делать.
На момент бегства Сноудена, квантового компьютера у NSA не было, но зато они могли послать ЦРУшного оперативника физически взломать офис абсолютно не связанной с их целью фирмы, только для того чтобы украсть private key, которым они потом будут свой вирус подписывать. Или залезть в рабочий компьютер сисадмина бельгийского интернет-провайдера - причем не потому, что он на самом деле пакистанский шпион, а из-за того, что это самый простой способ добраться до сети GRX, через которую мобильные операторы всего мира обмениваются данными.
И вершина технологических возможностей помноженных на старые добрые методы рыцарей плаща и кинжала из государственного разведывательного агентства - забрать перед отсылкой заказчику прямо на почте Cisco router, предназначенный для сирийского интернет-провайдера для того чтобы поставить туда парочку дополнительных микросхем - при том, что даже само Cisco обо всем это ни сном, ни духом.
В 2010м году, уже закончив восхищаться нашими талантливыми «мальчиками», сумевшими без единого выстрела уничтожить 20% процентов иранских центрифуг, и отбросивших атомную программу аятолл на пару лет назад, можно было сообразить, что даже если у других стран таких мальчиков пока нет - то очень скоро они появятся. А вслед за ними появятся гораздо менее симпатичные ребята, которые будут заниматься ровно тем-же самым для крайне антипатичных мафиозных товарищей с большими деньгами.
И если американские ВВС умудрились потерять атомную бомбу где-то в болотах Северной Каролины, то несколько наивно рассчитывать на то, что американские (или какие-нибудь другие) боевые хакеры не пролюбят рано или поздно кибер-оружие из своего арсенала.
http://mentalfloss.com/article/17483/8-nuclear-weapons-us-has-lost
Но все мы очень умны задним числом.
Итак, по состоянию дел на конец 2017го года - операционные системы Microsoft как были, так и остались дырявыми как дуршлаг. Непонятный Вася Пупкин шлет мейл вашей бухгалтерше Татьяне Николавне: «новые требования налогового кодекса» с поддельного адреса большой аудиторской конторы. Та всего-навсего открывает текстовый документ в Word - и, бамс, через баг в механизме показа true-type шрифтов ее компьютер начинает исполнять чужой код, а с помощью еще одной дырки - насквозь проходит сквозь все патентованные слои обороны и получает на компьютере бедной Татьяны Николавны больше прав чем она сама. Из Worda - да прямо в 0-вое кольцо обороны и ядро операционной системы. Красота.
Впрочем, иногда человеческая глупость достигает таких высот, что не нужны никакие высокие технологии взлома. Пошли в предвыборный штаб демократов десяток писем о том, что google требует срочно сменить пароль - и вот уже у тебя такое количество компромата на ключевых лиц партии, что еще пару лет будет что на вентилятор кидать.
По поводу демократов - остался за мной должок с прошлой серии. Потратив немало часов на исследование темы участия русских государственных структур конкретно во взломе DMC, мой ответ на вопрос «кто это сделал на самом деле?» - «хрен его знает».
То ли этим занимались русские хакеры, напрямую работающие на ГРУ или ФСБ (в доказательство этому часы работы с 9 утра до 5 вечера по Москве, и перерыв в атаках на празднование дня работника радиоэлектронной разведки), то ли кибер-криминалы, которых ГРУ/ФСБ наняло на субподряд, то ли просто какие-то непонятные панки, ломавшие с помощью похожего арсенала совершенно не связанные организации.
Я свой текст про взлом DMC потому на середине и забросил, что все статьи цитируют ровно один технический источник, который тоже небогат на детали, а что хуже - находится в определенном конфликте интересов (об этом позже). Журналисты, которые о всем этом пишут - имеют явную политическую ангажированность в ту или другую сторону, а отсутствие конкретики приводит к ситуации: «кто громче крикнул - того и тапки». Очень мутная вода.
Если вы меня спросите - я предположу, что как-минимум одна из организаций, ломавших демократов, была таки связана с российскими разведчиками, но скорее всего они купили часть или весь свой арсенал кибер-оружия (да, самая пора привыкать к таким терминам) где-то еще. Делали они это чтобы осознанно помочь Трампу, насолить Клинтон, или просто в попытке дестабилизировать ситуацию в США - мне лично непонятно.
Фабрика троллей в Ольгино свой бюджет конечно отработала - но местами коряво, местами «против всех» -
http://www.nytimes.com/2017/11/01/us/politics/russia-2016-election-facebook.html
С другой стороны, V15 - «только не Биби (Нетаниягу)» на прошлых израильских выборах своих намерений совсем не скрывали, и американские деньги очень активно под это дело использовали. Другие страны тоже борцам за мир и справедливое решение конфликта достаточно щедро отстегивали - ан нет, не прокатило. Я это в том контексте говорю, что даже если докажут, что Россия активно в американские выборы на стороне Трампа вмешивалась, то это не первый случай, и вряд ли последний.
http://www.jpost.com/Israel-News/Politics-And-Diplomacy/Senate-report-charges-NGO-of-using-US-tax-dollars-in-anti-Netanyahu-campaign-460187
Но хватит о политике, если будут дополнительные подробности про взлом DMC - постараюсь про них написать, а пока давайте перейдем к тем материям, про которые можно рассказать чуть подробнее, и с гораздо большей доказательной базой. Их есть у меня.
Но сначала я бы хотел две минуты поговорить про новую роль производителей антивирусов и прочих спецов по кибер-безопасности. «Из грязи, да в князи». Об этом следующая серия.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ
Начнем с седой старины. В 2005 году, когда я в последний раз профессионально занимался компьютерной безопасностью, большинство работников этой сферы верило в несколько вещей.
Во первых, что вирусы распространяются только через исполняемые файлы (читай программы - то есть .exe). Чуть позже, неожиданно для многих пользователей, даже продвинутых, вдруг выяснилось, что в Windows файл screensaver-а тоже является программой, а значит столь же опасен. Твой друг Вася прислал тебе красивую заставку с плавающими рыбками, ты на нее мышкой два раза клацнул, а она помимо изображения аквариума на твоем рабочем столе, отправила себя всем твоим контактам из Оutlook, и еще что-то нехорошее сделала на твоем компьютере.
И уж никто не подозревал в качестве источника потенциальной заразы документы - читай Word, Excel, и уже тем более PDF.
Во вторых, подавляющее большинство профессионалов считало, что Windows всех мастей (и даже NT) is broken beyond repair - хотя не всегда могло это доказать. Поэтому мы все ж таки регулярно соглашались с просьбами клиентов, и ставили даже в качестве Firewall машины с операционными системами от Microsoft, предварительно, впрочем, попытавшись убрать с них все ненужное.
Панацеей от вообще всех возможных атак считался air gap (буквально «воздушный зазор») - то есть самые супер-секретные сети просто не подключали к интернету. Хочешь скачать что-то - бери флешку, иди с ней на отдельный компьютер, желательно Linux, желательно с read-only жестким диском. Потом сисадмин ее прогонит через антивирус, и лишь потом можешь наслаждаться своим интернет-уловом. Это достаточно параноидальный вариант, military grade так сказать.
Ну и кроме того, очень многие верили в принцип «неуловимого Джо», хорошо сформулированный чуть ниже. Английский текст я переводить не буду, но общая идея очень простая - если ты простой человек, а не секретный агент, то нет никакого смысла бояться того, что твой домашний компьютер взломает Моссад. От простых злоумышленников поможет здравый смысл и нетривиальные пароли, а от Моссада не поможет ничего.
Людям, за которыми охотится Моссад. автор приведенных ниже строчек советовал использовать магические амулеты, по мере возможности симулировать собственную смерть, и немедленно переехать жить на подводную лодку, но предупреждал, что даже эти крайние меры все равно не помогут.
http://www.usenix.org/system/files/1401_08-12_mickens.pdf
Basically, you’re either dealing with Mossad or not-Mossad. If your adversary is not-Mossad, then you’ll probably be fine if you pick a good password and don’t respond to emails from ChEaPestPAiNPi11s@ virus-basket.biz.ru.
If your adversary is the Mossad, YOU’RE GONNA DIE AND THERE’S NOTHING THAT YOU CAN DO ABOUT IT. The Mossad is not intimidated by the fact that you employ https. If the Mossad wants your data, they’re going to use a drone to replace your cellphone with a piece of uranium that’s shaped like a cellphone, and when you die of tumors filled with tumors, they’re going to hold a press conference and say “It wasn’t us” as they wear t-shirts that say “IT WAS DEFINITELY US,” and then they’re going to buy all of your stuff at your estate sale so that they can directly look at the photos of your vacation instead of reading your insipid emails about them. In summary, https and two dollars will get you a bus ticket to nowhere. Also, SANTA CLAUS ISN’T REAL.
When it rains, it pours.
В 2004м эта точка зрения возможно и была оправдана. В 2014м, после того как файлы Сноудена начали вытекать наружу, это уже выглядело излишне наивным подходом к жизни.
В принципе, картина new brave world начала проясняться году в 2010м, сразу после обнаружения Stuxnet, и окончательно сформировалась году к 2013-201.
Выглядела она приблизительно так: кибер-шпионаж и кибер-война из терминов научной фантастики (кибер-панка, ага) плотно перекочевали в новости. Ничего вот такого уж волшебного хакеры на государственной службе делать не научились, но все что в принципе возможно технически - они делали, делали хорошо, и собирались продолжать делать.
На момент бегства Сноудена, квантового компьютера у NSA не было, но зато они могли послать ЦРУшного оперативника физически взломать офис абсолютно не связанной с их целью фирмы, только для того чтобы украсть private key, которым они потом будут свой вирус подписывать. Или залезть в рабочий компьютер сисадмина бельгийского интернет-провайдера - причем не потому, что он на самом деле пакистанский шпион, а из-за того, что это самый простой способ добраться до сети GRX, через которую мобильные операторы всего мира обмениваются данными.
И вершина технологических возможностей помноженных на старые добрые методы рыцарей плаща и кинжала из государственного разведывательного агентства - забрать перед отсылкой заказчику прямо на почте Cisco router, предназначенный для сирийского интернет-провайдера для того чтобы поставить туда парочку дополнительных микросхем - при том, что даже само Cisco обо всем это ни сном, ни духом.
В 2010м году, уже закончив восхищаться нашими талантливыми «мальчиками», сумевшими без единого выстрела уничтожить 20% процентов иранских центрифуг, и отбросивших атомную программу аятолл на пару лет назад, можно было сообразить, что даже если у других стран таких мальчиков пока нет - то очень скоро они появятся. А вслед за ними появятся гораздо менее симпатичные ребята, которые будут заниматься ровно тем-же самым для крайне антипатичных мафиозных товарищей с большими деньгами.
И если американские ВВС умудрились потерять атомную бомбу где-то в болотах Северной Каролины, то несколько наивно рассчитывать на то, что американские (или какие-нибудь другие) боевые хакеры не пролюбят рано или поздно кибер-оружие из своего арсенала.
http://mentalfloss.com/article/17483/8-nuclear-weapons-us-has-lost
Но все мы очень умны задним числом.
Итак, по состоянию дел на конец 2017го года - операционные системы Microsoft как были, так и остались дырявыми как дуршлаг. Непонятный Вася Пупкин шлет мейл вашей бухгалтерше Татьяне Николавне: «новые требования налогового кодекса» с поддельного адреса большой аудиторской конторы. Та всего-навсего открывает текстовый документ в Word - и, бамс, через баг в механизме показа true-type шрифтов ее компьютер начинает исполнять чужой код, а с помощью еще одной дырки - насквозь проходит сквозь все патентованные слои обороны и получает на компьютере бедной Татьяны Николавны больше прав чем она сама. Из Worda - да прямо в 0-вое кольцо обороны и ядро операционной системы. Красота.
Впрочем, иногда человеческая глупость достигает таких высот, что не нужны никакие высокие технологии взлома. Пошли в предвыборный штаб демократов десяток писем о том, что google требует срочно сменить пароль - и вот уже у тебя такое количество компромата на ключевых лиц партии, что еще пару лет будет что на вентилятор кидать.
По поводу демократов - остался за мной должок с прошлой серии. Потратив немало часов на исследование темы участия русских государственных структур конкретно во взломе DMC, мой ответ на вопрос «кто это сделал на самом деле?» - «хрен его знает».
То ли этим занимались русские хакеры, напрямую работающие на ГРУ или ФСБ (в доказательство этому часы работы с 9 утра до 5 вечера по Москве, и перерыв в атаках на празднование дня работника радиоэлектронной разведки), то ли кибер-криминалы, которых ГРУ/ФСБ наняло на субподряд, то ли просто какие-то непонятные панки, ломавшие с помощью похожего арсенала совершенно не связанные организации.
Я свой текст про взлом DMC потому на середине и забросил, что все статьи цитируют ровно один технический источник, который тоже небогат на детали, а что хуже - находится в определенном конфликте интересов (об этом позже). Журналисты, которые о всем этом пишут - имеют явную политическую ангажированность в ту или другую сторону, а отсутствие конкретики приводит к ситуации: «кто громче крикнул - того и тапки». Очень мутная вода.
Если вы меня спросите - я предположу, что как-минимум одна из организаций, ломавших демократов, была таки связана с российскими разведчиками, но скорее всего они купили часть или весь свой арсенал кибер-оружия (да, самая пора привыкать к таким терминам) где-то еще. Делали они это чтобы осознанно помочь Трампу, насолить Клинтон, или просто в попытке дестабилизировать ситуацию в США - мне лично непонятно.
Фабрика троллей в Ольгино свой бюджет конечно отработала - но местами коряво, местами «против всех» -
http://www.nytimes.com/2017/11/01/us/politics/russia-2016-election-facebook.html
С другой стороны, V15 - «только не Биби (Нетаниягу)» на прошлых израильских выборах своих намерений совсем не скрывали, и американские деньги очень активно под это дело использовали. Другие страны тоже борцам за мир и справедливое решение конфликта достаточно щедро отстегивали - ан нет, не прокатило. Я это в том контексте говорю, что даже если докажут, что Россия активно в американские выборы на стороне Трампа вмешивалась, то это не первый случай, и вряд ли последний.
http://www.jpost.com/Israel-News/Politics-And-Diplomacy/Senate-report-charges-NGO-of-using-US-tax-dollars-in-anti-Netanyahu-campaign-460187
Но хватит о политике, если будут дополнительные подробности про взлом DMC - постараюсь про них написать, а пока давайте перейдем к тем материям, про которые можно рассказать чуть подробнее, и с гораздо большей доказательной базой. Их есть у меня.
Но сначала я бы хотел две минуты поговорить про новую роль производителей антивирусов и прочих спецов по кибер-безопасности. «Из грязи, да в князи». Об этом следующая серия.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ