А для крутых парней барабаны - часть 17
Все серии
В 2005м специалисты по компьютерной безопасности воспринимались в очень многих конторах как необходимое зло. Можно было поймать вирус на всю компьютерную сеть, и потерять на этом несколько рабочих дней всей фирмы, но все равно за пределами узкого сектора параноиков особого пиетета все эти cyber-security товарищи не вызывали. Никакого флера геройства.
Представьте себе периодическое обслуживание UPS (батарей резервного питания то есть). Если ими не заниматься пару лет - то во время очередного сбоя электричества можно и всех серверов лишиться. А когда они поднимутся - еще очень хороший вопрос что там на диск успело записаться, а что нет - и сколько времени даже самая продвинутая база данных, и самые надежные диски будут откатывать назад транзакции до последнего стабильного и консистентного состояния. Поэтому раз в какое-то время приходят какие-то там электрики, что-то проверяют, новую бумажку клеют - и пока, до следующего визита.
И «электрики» эти помимо изначально не очень дружественных правил безопасности (туда не ходи, этого не делай, пароли меняй каждый квартал, причем для каждого сайта имей разные),так еще и клинической паранойей страдают, и все бормочут про себя: «вот подожди, Mossad will do Mossad things to your computer»
А потом был Stuxnet - и он показал, что при правильном применении вредоносным софтом можно достичь большего, чем стратегическим бомбардировщиком. И, что немаловажно, Stuxnet не распознавался антивирусом, распространялся в том числе и с помощью флешки, и физически портил некое оборудование (иранские центрифуги для обогащения урана). Помните, когда мы последний раз говорили про флешки? Да-да, при обсуждении «воздушного зазора» и самых параноидальных мер безопасности, принятых у военных.
Оказалось, что на каждую хитрую ***** есть *** крестиком. По крайней мере, если речь идет об операциях государственного уровня.И едва только индустрия окончательно переварила этот факт, как Эдвард Сноуден решил поделиться с нами своими файлами, а там, помимо прочего, оказался каталог полезных железяк, доступный к заказу работникам NSA.
Железяки эти оказались ровно тем самым «mossad things to your computer», о которых столько лет говорили большевики. Что приятно - ничего по настоящему сверхьестественного, а просто продукт громадной корпорации с бесконечным бюджетом, которая поставила себе целью добраться конкретно до твоих файлов.
Может стоит сделать отдельный выпуск "барабанов" поговорить про детали этого каталога, но пока можете сами почитать и восхититься:
http://en.wikipedia.org/wiki/NSA_ANT_catalog
Это уже нельзя было назвать надписью на стене, скорее громадным плакатом прямо посередине автотрассы - так что не то что не заметить, уже бочком обьехать, и то не получалось.
Популярность «электриков» вдруг взлетела до небес. Новости, интервью, рассуждения с умным видом о гибридной войне нового поколения должны были сторицей компенсировать многие годы (если не десятилетия) недостаточно серьезного отношения к вопросам компьютерной безопасности практически везде.
С другой стороны, явно криминальным структурам тоже стало понятно, что определенные виды атак могут быть ну очень хорошо оплачены - банкоматы, сбор данных кредитных карточек, работа по заказу на около-политические, политические и даже государственные силы. То есть имеет смысл вслед за «крутыми чуваками с барабанами» открывать свои собственные R&D отделы, и начинать создавать кибер-оружие просто чтобы нарубить чуток капусты. Ну или просто купить уже что-то готовое на закрытых форумах в глубинах «даркнета».
Даркнетом, не углубляясь слишком глубоко в технические детали, в данном контексте называются форумы и чаты, на которых обсуждаются разные противозаконные вещи. Наркотики, оружие, порнография, и работающие инструменты для взлома разных систем. Большинство из этих программ нетривиально в написании, но очень просто в использовании. Есть даже такой термин, script kiddies, он означает крайне неопытного пользователя достаточно продвинутых инструментов для взлома.
Еще чуть позже случился совсем замечательный момент: NSA таки умудрился потерять свою «атомную бомбу» в очень неподходящем месте, и она попала в настолько неправильные руки, насколько только могла. Но к этому мы еще вернемся.
И тут возникает вот какой аспект: Ни 8200, ни NSA, ни даже Северная Корея никогда на себя официальную ответственность за свои операции не брали. По мере все большей доступности кибер-оружия, на вопрос: «кто виноват?» ответы стали все более неоднозначными.
Сейчас в ходу сокращение APT (Advanced Persistant Treat - то есть постоянная серьезная угроза) - глобально говоря, это означает, что если APT занялись компьютерной сетью твоей организации, то защищаться будет сложно. У каждого APT есть любимые инструменты и определенный почерк, но мы точно не знаем кто есть кто, и, в лучшем случае узнаем из мемуаров очередного политика или многозвездочного генерала уже после того как он уйдет в отставку. То есть, мало того, что кибер-оружие в определенных случая действует лучше чем бомбардировки, так еще есть шанс сказать «я не я, а корова не моя». Со стратегическими бомбардировщиками такой трюк выполнить будет гораздо сложнее.
APT28 и APT29 в простонародье зовутся «прикольный медведь» и «уютный медведь» (Fancy Bear/Cozy Bear) и считаются соответственно хакерскими группами при ГРУ/ФСБ. Equation Group (о ней чуть позже) считается кибер-подразделением NSA. 8200, кажется, APT номера, и специального обозначения не присвоили. Mossad will do Mossad things to your computer.
Я обещал сказать два слова про конфликт интересов. Итак, приходит, например, технический директор американской киберсекьюрити фирмы Crowdstrike в штаб-квартиру DMC которых только что взломали на британский флаг, причем относительно «детскими» методами, и пытается понять, что же там произошло.
Вариантов, грубо говоря, три:
1. «Детишки баловались». То есть script kiddies нашли в свободном доступе мейлы не слишком умных стажеров, выкачали из интернета готовые программки, и начали слать им всякую хрень в надежде, что те сдуру нажмут «да я согласен».
2. ФСБ/ГРУ заплатило хакерской группировке пару копеек, те написали/купили/выкачали из интернета готовые программки, дальше как в пункте 1
3. Боевые российские хакеры на службе Кремля и Путина лично решили вмешаться в священный процесс американского избирательного волеизъявления, технические детали смотри в пункте первом.
Однозначных доказательств нет. Но в третьем случае и славы и денег будет намного больше.
И этот вариант не высосан из пальца, а вполне реален, да и клиенту намного удобней. Так зачем напрягаться?
В следующей серии мы поговорим про нелегкую судьбу выпускника школы КГБ Евгения Касперского, Серую Рыбку, и как со всем этим связан Израиль и 8200.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ
В 2005м специалисты по компьютерной безопасности воспринимались в очень многих конторах как необходимое зло. Можно было поймать вирус на всю компьютерную сеть, и потерять на этом несколько рабочих дней всей фирмы, но все равно за пределами узкого сектора параноиков особого пиетета все эти cyber-security товарищи не вызывали. Никакого флера геройства.
Представьте себе периодическое обслуживание UPS (батарей резервного питания то есть). Если ими не заниматься пару лет - то во время очередного сбоя электричества можно и всех серверов лишиться. А когда они поднимутся - еще очень хороший вопрос что там на диск успело записаться, а что нет - и сколько времени даже самая продвинутая база данных, и самые надежные диски будут откатывать назад транзакции до последнего стабильного и консистентного состояния. Поэтому раз в какое-то время приходят какие-то там электрики, что-то проверяют, новую бумажку клеют - и пока, до следующего визита.
И «электрики» эти помимо изначально не очень дружественных правил безопасности (туда не ходи, этого не делай, пароли меняй каждый квартал, причем для каждого сайта имей разные),так еще и клинической паранойей страдают, и все бормочут про себя: «вот подожди, Mossad will do Mossad things to your computer»
А потом был Stuxnet - и он показал, что при правильном применении вредоносным софтом можно достичь большего, чем стратегическим бомбардировщиком. И, что немаловажно, Stuxnet не распознавался антивирусом, распространялся в том числе и с помощью флешки, и физически портил некое оборудование (иранские центрифуги для обогащения урана). Помните, когда мы последний раз говорили про флешки? Да-да, при обсуждении «воздушного зазора» и самых параноидальных мер безопасности, принятых у военных.
Оказалось, что на каждую хитрую ***** есть *** крестиком. По крайней мере, если речь идет об операциях государственного уровня.И едва только индустрия окончательно переварила этот факт, как Эдвард Сноуден решил поделиться с нами своими файлами, а там, помимо прочего, оказался каталог полезных железяк, доступный к заказу работникам NSA.
Железяки эти оказались ровно тем самым «mossad things to your computer», о которых столько лет говорили большевики. Что приятно - ничего по настоящему сверхьестественного, а просто продукт громадной корпорации с бесконечным бюджетом, которая поставила себе целью добраться конкретно до твоих файлов.
Может стоит сделать отдельный выпуск "барабанов" поговорить про детали этого каталога, но пока можете сами почитать и восхититься:
http://en.wikipedia.org/wiki/NSA_ANT_catalog
Это уже нельзя было назвать надписью на стене, скорее громадным плакатом прямо посередине автотрассы - так что не то что не заметить, уже бочком обьехать, и то не получалось.
Популярность «электриков» вдруг взлетела до небес. Новости, интервью, рассуждения с умным видом о гибридной войне нового поколения должны были сторицей компенсировать многие годы (если не десятилетия) недостаточно серьезного отношения к вопросам компьютерной безопасности практически везде.
С другой стороны, явно криминальным структурам тоже стало понятно, что определенные виды атак могут быть ну очень хорошо оплачены - банкоматы, сбор данных кредитных карточек, работа по заказу на около-политические, политические и даже государственные силы. То есть имеет смысл вслед за «крутыми чуваками с барабанами» открывать свои собственные R&D отделы, и начинать создавать кибер-оружие просто чтобы нарубить чуток капусты. Ну или просто купить уже что-то готовое на закрытых форумах в глубинах «даркнета».
Даркнетом, не углубляясь слишком глубоко в технические детали, в данном контексте называются форумы и чаты, на которых обсуждаются разные противозаконные вещи. Наркотики, оружие, порнография, и работающие инструменты для взлома разных систем. Большинство из этих программ нетривиально в написании, но очень просто в использовании. Есть даже такой термин, script kiddies, он означает крайне неопытного пользователя достаточно продвинутых инструментов для взлома.
Еще чуть позже случился совсем замечательный момент: NSA таки умудрился потерять свою «атомную бомбу» в очень неподходящем месте, и она попала в настолько неправильные руки, насколько только могла. Но к этому мы еще вернемся.
И тут возникает вот какой аспект: Ни 8200, ни NSA, ни даже Северная Корея никогда на себя официальную ответственность за свои операции не брали. По мере все большей доступности кибер-оружия, на вопрос: «кто виноват?» ответы стали все более неоднозначными.
Сейчас в ходу сокращение APT (Advanced Persistant Treat - то есть постоянная серьезная угроза) - глобально говоря, это означает, что если APT занялись компьютерной сетью твоей организации, то защищаться будет сложно. У каждого APT есть любимые инструменты и определенный почерк, но мы точно не знаем кто есть кто, и, в лучшем случае узнаем из мемуаров очередного политика или многозвездочного генерала уже после того как он уйдет в отставку. То есть, мало того, что кибер-оружие в определенных случая действует лучше чем бомбардировки, так еще есть шанс сказать «я не я, а корова не моя». Со стратегическими бомбардировщиками такой трюк выполнить будет гораздо сложнее.
APT28 и APT29 в простонародье зовутся «прикольный медведь» и «уютный медведь» (Fancy Bear/Cozy Bear) и считаются соответственно хакерскими группами при ГРУ/ФСБ. Equation Group (о ней чуть позже) считается кибер-подразделением NSA. 8200, кажется, APT номера, и специального обозначения не присвоили. Mossad will do Mossad things to your computer.
Я обещал сказать два слова про конфликт интересов. Итак, приходит, например, технический директор американской киберсекьюрити фирмы Crowdstrike в штаб-квартиру DMC которых только что взломали на британский флаг, причем относительно «детскими» методами, и пытается понять, что же там произошло.
Вариантов, грубо говоря, три:
1. «Детишки баловались». То есть script kiddies нашли в свободном доступе мейлы не слишком умных стажеров, выкачали из интернета готовые программки, и начали слать им всякую хрень в надежде, что те сдуру нажмут «да я согласен».
2. ФСБ/ГРУ заплатило хакерской группировке пару копеек, те написали/купили/выкачали из интернета готовые программки, дальше как в пункте 1
3. Боевые российские хакеры на службе Кремля и Путина лично решили вмешаться в священный процесс американского избирательного волеизъявления, технические детали смотри в пункте первом.
Однозначных доказательств нет. Но в третьем случае и славы и денег будет намного больше.
И этот вариант не высосан из пальца, а вполне реален, да и клиенту намного удобней. Так зачем напрягаться?
В следующей серии мы поговорим про нелегкую судьбу выпускника школы КГБ Евгения Касперского, Серую Рыбку, и как со всем этим связан Израиль и 8200.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ