А для крутых парней барабаны - часть 18
Все серии
Есть у меня любимая тема, о которой я готов говорить практически бесконечно. Называется «карго культ». Вот здесь писал о ней чуток:
http://dwarkin.livejournal.com/399716.html
Многие знают, что помимо обычного есть еще и обратный карго-культ: вера в то, что у белых людей тоже все аэропорты построены из палок и мусора, а любые утверждения обратного - пыль в глаза для того чтобы лишить папуасов изначально предназначенных им сокровищ.
Многие годы российские СМИ демонстрировали чудеса обратного карго-культа - то есть приписыванию американцам бездонной коррупции, и прочих «благ» пост-советского общества. Понятно, что и в самом «чистом» современном западном обществе есть некая (регулярно нездоровая) смычка между большими деньгами и большой властью, но это как в старом анекдоте: «конечно же все писают в бассейн, но только вы это делаете с трамплина». Однако последние скандалы доказали, что обратный карго-культ не чужд и американским журналистам: как только они обнаружили, что русский миллиардер Юрий Мильнер одновременно имеет гешефты с Путиным , дружит с Трампом, и владеет некоей толикой акций Facebook - его сразу объявили агентом влияния. Как там на самом деле - я не знаю, но лично мне кажется гораздо более разумным предположение, что он просто «общаком» распоряжается в интересах Папочки.
Вся эта компашка не для того виллы в Майами-Бич покупала за многие миллионы долларов, и семьи там держит постоянно, чтоб погрузить Америку в кровавый хаос. Смотрите дело Анны Чапман.
http://www.theguardian.com/news/2017/nov/05/russia-funded-facebook-twitter-investments-kushner-associate
http://ru.wikipedia.org/wiki/Чапман,_Анна
К сожалению, раз за разом меня на околополитические темы заносит, и во всем этом есть один совершенно ужасный момент - до получения нами дополнительной информации разумной дискуссии не получится - ибо доказательства уж очень слабые. А дополнительной информации может и не быть в ближайшие пару десятков лет. Поэтому срочно возвращаемся к технике.
Итак, по мере превращения области защиты информации в поле боя между разведками разных стран, и мощными группировками кибер-преступников, позиция нормальных профессионалов в этой области стала все более и более нетривиальной. Возьмем к примеру, белорусскую фирму «ВирусБлокада». Вспоминаете название? Нет? Это они первыми обнаружила Stuxnet в иранских правительственных сетях. Вы спросите, при чем тут белорусы? А кто еще возьмется обслуживать центр ядерных исследований в стране под американскими и европейскими санкциями? Вот и получается «союз отверженных»
Конечно, никто не ожидал, что Stuxnet окажется такой мощной и сложной штукой. Но даже поняв, что за ним стоят государственные структуры, белорусы могли надеяться, что игроки такого уровня (а у нас есть более чем веские подтверждения, что Stuxnet был совместной операцией NSA и 8200), в отличие от мафиози из фильмов не будут заниматься местью просто ради мести.С другой стороны, а если вдруг окажется, что некая антивирусная фирма до сих пор обслуживает «клиентов», которыми 8200 (или другой APT подобного масштаба) активно интересуется? То есть у них есть данные о сети потенциального противника, а возможно даже "защищенное" соединение прямо к нему в логово? Тут уже сам бог велел к ним залезть, и посмотреть, что интересного там можно украсть.
Еще один вариант - «уязвимости 0-го дня». Этим термином называют дырки в операционной системе/софте, которые «плохие ребята» уже успели обнаружить, а производители пока не успели закрыть. В зависимости от серьезности проблемы - ее детальное описание с примерами «как использовать» стоит десятки тысяч долларов, иногда сотни тысяч. Можно посадить десяток хакеров ковырять исходный код операционных систем и прикладных программ в поисках проблемных кусков. Можно, понимая общие принципы, искать подобные дыры и без доступа к исходникам. А еще можно, особенно при условии, что тебя «крышует» государство, залезть в сеть производителя антивирусов, и посмотреть на недавно выловленный им «свежачок».
Например некие юркие ребята, особо не стесняясь, взломали корпоративную сеть самого Microsoft, скачали базу данных о пока неисправленных ошибках в их продуктах, и, судя по всему, еще очень долго использовал в своих целях. Microsoft знали, что к ним влезли, но решили никому об этом не сообщать. Я бы только за это всю их команду по информационной безопасности вывел бы на улицу, и расстрелял поганой метлой из профессии гнал.
http://www.reuters.com/article/us-microsoft-cyber-insight/exclusive-microsoft-responded-quietly-after-detecting-secret-database-hack-in-2013-idUSKBN1CM0D0
Ладно, заканчиваем пятиминутку ненависти.
Касперский умудрился очень вовремя запрыгнуть на празднично украшеный поезд борьбы с государственным кибер-шпионажем, и при этом долгие годы вел себя максимально корректно. Вирус есть вирус, зараза есть зараза. Надо помогать зараженным компаниям, организациям, правительствам. Но, с другой стороны, вряд ли правительство Ирана допустит в свою сеть американского производителя антивирусов. Особенно после историй Сноудена, когда стало понятно, что NSA с громадным удовольствием поставит какую-нибудь практически невидимую затычку на любое железо или софт, купленное Сирией или Ираном.
И даже если американский производитель антивирусов не готов в этом участвовать активно - так не проблема, посылку можно и на почте перехватить. Ну или просто запретить помогать явно плохим ребятам путем прямых санкций, или косвенной рекомендации («хочешь выигрывать тендера на поставку security решений государственным структурам в США - заканчивай продавать Ирану»).Таким образом, Касперский остался одним из очень немногих серьезных игроков security рынка, который был готов активно защищать «плохих парней». За что и огреб по полной программе. Несколько раз. Сейчас мы к этому вернемся, а пока немножко истории.
- В 2010м году Касперский активно помогал Майкрософту разобраться с програмной частью червя Stuxnet.
- В 2012 работники Касперского обнаружили Flame , заразивший несколько тысяч машин, в основном на Ближнем Востоке, в частности на компьютерах Иранского нефтяного министерства. Судя по всему, Flame был ранней версией Stuxnet, то есть добрые пару лет до этого спокойно воровал данные и отправлял их крутым парням с барабанами.
Чуть позже в этом же году русские исследователи обнаружили заразу под названием Гаусс, основанную на очень похожем коде, но специально заточенную для распространения через USB. География заражения - Ливан, Палестина, Израиль. Основной интерес авторов - Ливанские банки. Мне кажется кто-то искал источники финансирования Хизбаллы, но это, конечно-же, чистой воды спекуляция.
- В 2013м году Касперский активно боролся с кибер-шпионажем со стороны китайцев. Там тоже нет точных подтверждений, что это были именно китайцы, но вроде немало косвенных.
- В 2014м Касперский обнаружил Regin. По линку ниже можно найти немало технических деталей, а я здесь попробую кратко перечислить основные:
https://securelist.com/regin-nation-state-ownage-of-gsm-networks/67741/
- Очень сложное технически решение, остававшееся не обнаруженным как минимум с 2008го года (то есть 6 лет, возможно больше)
- Подавляющее большинство заражений - арабские или мусульманские страны.
- Специальные модули для заражения и контроля базовых станций (BSC) мобильных операторов. То есть можно получить кучу информации о телефонных разговорах некого Абу Джихада не вылезая со своего удобного кресла где-то в штате Мэрилэнд.
- Глубоко продуманная система, в которой почти все зараженные компьютеры в одной стране общаются только друг с другом, а слив информации наружу и управление «шпионской сетью» очень аккуратно осуществляется через специально подобранные «точки выхода».
Лет 30 назад для осуществления половины вышесказанного нужно было в каждой из этих стран держать высокопрофессиональную шпионскую сеть в пару десятков (если не сотен) человек, которые повседневно рисковали бы своей свободой и жизнью. Стоимость одноразового написания (не говоря уж о повседневной поддержке) программного продукта такого уровня - десятки миллионов долларов. И тут уже нет никаких шансов, что это «детишки балуются». Чуть позже выяснилось, что именно тогда Касперский в первый (но не в последний раз) столкнулся с APT, позднее ставшим известным широкой публике под названием The Equation Group.
Касперский, не будь дурак, развел очень правильную со стороны маркетинга шумиху: самый сложный в мире программный продукт для кибер-шпионажа, целые страны под угрозой, и т.д. и т.п. Единственный момент - на тот момент русский производитель антивирусов кажется еще не понял в какие игры он играет. И с кем.
В 2015м году, судя по всему совершенно случайно, работники «Лаборатории Касперского» обнаружили, что они не единственные пользователи своей корпоративной сети. Там плотно (как минимум несколько месяцев) обосновался кто-то неимоверно крутой, очень осторожный, но при этом нахальный до невозможности. Если у вас промелькнуло в голове слово «хуцпа», то вы не ошиблись.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ
Есть у меня любимая тема, о которой я готов говорить практически бесконечно. Называется «карго культ». Вот здесь писал о ней чуток:
http://dwarkin.livejournal.com/399716.html
Многие знают, что помимо обычного есть еще и обратный карго-культ: вера в то, что у белых людей тоже все аэропорты построены из палок и мусора, а любые утверждения обратного - пыль в глаза для того чтобы лишить папуасов изначально предназначенных им сокровищ.
Многие годы российские СМИ демонстрировали чудеса обратного карго-культа - то есть приписыванию американцам бездонной коррупции, и прочих «благ» пост-советского общества. Понятно, что и в самом «чистом» современном западном обществе есть некая (регулярно нездоровая) смычка между большими деньгами и большой властью, но это как в старом анекдоте: «конечно же все писают в бассейн, но только вы это делаете с трамплина». Однако последние скандалы доказали, что обратный карго-культ не чужд и американским журналистам: как только они обнаружили, что русский миллиардер Юрий Мильнер одновременно имеет гешефты с Путиным , дружит с Трампом, и владеет некоей толикой акций Facebook - его сразу объявили агентом влияния. Как там на самом деле - я не знаю, но лично мне кажется гораздо более разумным предположение, что он просто «общаком» распоряжается в интересах Папочки.
Вся эта компашка не для того виллы в Майами-Бич покупала за многие миллионы долларов, и семьи там держит постоянно, чтоб погрузить Америку в кровавый хаос. Смотрите дело Анны Чапман.
http://www.theguardian.com/news/2017/nov/05/russia-funded-facebook-twitter-investments-kushner-associate
http://ru.wikipedia.org/wiki/Чапман,_Анна
К сожалению, раз за разом меня на околополитические темы заносит, и во всем этом есть один совершенно ужасный момент - до получения нами дополнительной информации разумной дискуссии не получится - ибо доказательства уж очень слабые. А дополнительной информации может и не быть в ближайшие пару десятков лет. Поэтому срочно возвращаемся к технике.
Итак, по мере превращения области защиты информации в поле боя между разведками разных стран, и мощными группировками кибер-преступников, позиция нормальных профессионалов в этой области стала все более и более нетривиальной. Возьмем к примеру, белорусскую фирму «ВирусБлокада». Вспоминаете название? Нет? Это они первыми обнаружила Stuxnet в иранских правительственных сетях. Вы спросите, при чем тут белорусы? А кто еще возьмется обслуживать центр ядерных исследований в стране под американскими и европейскими санкциями? Вот и получается «союз отверженных»
Конечно, никто не ожидал, что Stuxnet окажется такой мощной и сложной штукой. Но даже поняв, что за ним стоят государственные структуры, белорусы могли надеяться, что игроки такого уровня (а у нас есть более чем веские подтверждения, что Stuxnet был совместной операцией NSA и 8200), в отличие от мафиози из фильмов не будут заниматься местью просто ради мести.С другой стороны, а если вдруг окажется, что некая антивирусная фирма до сих пор обслуживает «клиентов», которыми 8200 (или другой APT подобного масштаба) активно интересуется? То есть у них есть данные о сети потенциального противника, а возможно даже "защищенное" соединение прямо к нему в логово? Тут уже сам бог велел к ним залезть, и посмотреть, что интересного там можно украсть.
Еще один вариант - «уязвимости 0-го дня». Этим термином называют дырки в операционной системе/софте, которые «плохие ребята» уже успели обнаружить, а производители пока не успели закрыть. В зависимости от серьезности проблемы - ее детальное описание с примерами «как использовать» стоит десятки тысяч долларов, иногда сотни тысяч. Можно посадить десяток хакеров ковырять исходный код операционных систем и прикладных программ в поисках проблемных кусков. Можно, понимая общие принципы, искать подобные дыры и без доступа к исходникам. А еще можно, особенно при условии, что тебя «крышует» государство, залезть в сеть производителя антивирусов, и посмотреть на недавно выловленный им «свежачок».
Например некие юркие ребята, особо не стесняясь, взломали корпоративную сеть самого Microsoft, скачали базу данных о пока неисправленных ошибках в их продуктах, и, судя по всему, еще очень долго использовал в своих целях. Microsoft знали, что к ним влезли, но решили никому об этом не сообщать. Я бы только за это всю их команду по информационной безопасности вывел бы на улицу, и расстрелял поганой метлой из профессии гнал.
http://www.reuters.com/article/us-microsoft-cyber-insight/exclusive-microsoft-responded-quietly-after-detecting-secret-database-hack-in-2013-idUSKBN1CM0D0
Ладно, заканчиваем пятиминутку ненависти.
Касперский умудрился очень вовремя запрыгнуть на празднично украшеный поезд борьбы с государственным кибер-шпионажем, и при этом долгие годы вел себя максимально корректно. Вирус есть вирус, зараза есть зараза. Надо помогать зараженным компаниям, организациям, правительствам. Но, с другой стороны, вряд ли правительство Ирана допустит в свою сеть американского производителя антивирусов. Особенно после историй Сноудена, когда стало понятно, что NSA с громадным удовольствием поставит какую-нибудь практически невидимую затычку на любое железо или софт, купленное Сирией или Ираном.
И даже если американский производитель антивирусов не готов в этом участвовать активно - так не проблема, посылку можно и на почте перехватить. Ну или просто запретить помогать явно плохим ребятам путем прямых санкций, или косвенной рекомендации («хочешь выигрывать тендера на поставку security решений государственным структурам в США - заканчивай продавать Ирану»).Таким образом, Касперский остался одним из очень немногих серьезных игроков security рынка, который был готов активно защищать «плохих парней». За что и огреб по полной программе. Несколько раз. Сейчас мы к этому вернемся, а пока немножко истории.
- В 2010м году Касперский активно помогал Майкрософту разобраться с програмной частью червя Stuxnet.
- В 2012 работники Касперского обнаружили Flame , заразивший несколько тысяч машин, в основном на Ближнем Востоке, в частности на компьютерах Иранского нефтяного министерства. Судя по всему, Flame был ранней версией Stuxnet, то есть добрые пару лет до этого спокойно воровал данные и отправлял их крутым парням с барабанами.
Чуть позже в этом же году русские исследователи обнаружили заразу под названием Гаусс, основанную на очень похожем коде, но специально заточенную для распространения через USB. География заражения - Ливан, Палестина, Израиль. Основной интерес авторов - Ливанские банки. Мне кажется кто-то искал источники финансирования Хизбаллы, но это, конечно-же, чистой воды спекуляция.
- В 2013м году Касперский активно боролся с кибер-шпионажем со стороны китайцев. Там тоже нет точных подтверждений, что это были именно китайцы, но вроде немало косвенных.
- В 2014м Касперский обнаружил Regin. По линку ниже можно найти немало технических деталей, а я здесь попробую кратко перечислить основные:
https://securelist.com/regin-nation-state-ownage-of-gsm-networks/67741/
- Очень сложное технически решение, остававшееся не обнаруженным как минимум с 2008го года (то есть 6 лет, возможно больше)
- Подавляющее большинство заражений - арабские или мусульманские страны.
- Специальные модули для заражения и контроля базовых станций (BSC) мобильных операторов. То есть можно получить кучу информации о телефонных разговорах некого Абу Джихада не вылезая со своего удобного кресла где-то в штате Мэрилэнд.
- Глубоко продуманная система, в которой почти все зараженные компьютеры в одной стране общаются только друг с другом, а слив информации наружу и управление «шпионской сетью» очень аккуратно осуществляется через специально подобранные «точки выхода».
Лет 30 назад для осуществления половины вышесказанного нужно было в каждой из этих стран держать высокопрофессиональную шпионскую сеть в пару десятков (если не сотен) человек, которые повседневно рисковали бы своей свободой и жизнью. Стоимость одноразового написания (не говоря уж о повседневной поддержке) программного продукта такого уровня - десятки миллионов долларов. И тут уже нет никаких шансов, что это «детишки балуются». Чуть позже выяснилось, что именно тогда Касперский в первый (но не в последний раз) столкнулся с APT, позднее ставшим известным широкой публике под названием The Equation Group.
Касперский, не будь дурак, развел очень правильную со стороны маркетинга шумиху: самый сложный в мире программный продукт для кибер-шпионажа, целые страны под угрозой, и т.д. и т.п. Единственный момент - на тот момент русский производитель антивирусов кажется еще не понял в какие игры он играет. И с кем.
В 2015м году, судя по всему совершенно случайно, работники «Лаборатории Касперского» обнаружили, что они не единственные пользователи своей корпоративной сети. Там плотно (как минимум несколько месяцев) обосновался кто-то неимоверно крутой, очень осторожный, но при этом нахальный до невозможности. Если у вас промелькнуло в голове слово «хуцпа», то вы не ошиблись.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ