Что это было?

Oct 18, 2017 10:30

Оригинал взят у e_kaspersky в Что это было?
Дамы и господа, мальчики и девочки,

Как вы все наверняка заметили (ибо не заметить было очень сложно) в сентябре-октябре в американской прессе была организована откровенная травля нашей компании. На нас обрушился водопад обвинений. Не проходило недели, чтобы очередной блумберг медиа-гигант не выкатил очередной пасквиль про русских хакеров и руку Кремля, которые каким-то неведомым образом через наши продукты шпионят за американскими пользователями и охотятся за их секретами.

Медиа-атака была массированной, хорошо организованной и крупнокалиберной - некоторое время пришлось "отсиживаться в окопе". Но вот прошла уже почти целая неделя без крупных наездов, можно приподняться, ответить на все эти обвинения и задать свои вопросы. Именно сейчас, поскольку передышка, очевидно, короткая. В конце октября - начале ноября намечаются очередные слушания в Конгрессе США и я не исключаю, что американская медиа-артиллерия заговорит снова.

Итак, что это было.



Началось всё очень давно, ещё в далёких 1990-x годах, когда мы робко выходили на рынок США. Уже тогда некоторые американские конкуренты обеспокоились и начали нашёптывать клиентам про наше происхождение, про "агентов КГБ и длинную руку Москвы". Хотя какие мы тогда были им конкуренты? Так, в границах статитической погрешности - наши обороты были в сотни раз меньше лидеров рынка. Аналогичные "нашёптывания" случались и потом, но на уровне корпоративных сплетен.

Так продолжалось до начала 2010-х, когда обвинения по национальному признаку стали периодически появляться и в прессе "топового уровня", которая лично мной ранее не была замечена в таком поведении. Доказательства "руки русских хакеров" строились, например, на том, что наш офис в Москве находится "в 10 милях от Кремля". Чем не аргумент!? Год за годом подобные статейки появлялись всё чаще и чаще, пока, наконец, в этом году не превратились в поток откровенной паранойи на тему связей "русских госхакеров", Кремля и вашего покорного слуги.

Хронология событий с мая этого года:

1. 9 мая. Заговорили о меморандуме Коутса и Сешнса, где они предупреждают о возможной опасности продукции ЛК. Меморандум секретный, что там - в подробностях неизвестно. Но в целом - "ужасный вездесущий антивирус, опасность для национальной безопасности, ЛК может быть подвержена влиянию Кремля".

2. 11 мая. Слушание в Сенате с главами разведки о вмешательстве РФ в выборы США, неожиданно разговор перешёл на продукцию ЛК в резко негативных тонах.

Тучи сгущались и в июне грянул первый гром:

3. 28 июня. Стало известно, что ФБР допрашивает сотрудников американского офиса ЛК, а сенаторы хотят запрета наших продуктов в американском госсекторе.
4. Тогда же, 28 июня - сенаторы предложили запретить наши продукты в армии США (хотя нашего софта в МО США никогда не было и нет).

И далее понеслось (можно без перевода, и так всё понятно) :

11 июля дуплет Блумберга:
5. Why U.S. Officials Are Worried About This Russian Firm.
6. Kaspersky Lab Has Been Working With Russian Intelligence.

7. 22 августа: Rob Joyce, President Donald Trump's administration's cybersecurity coordinator, warned the public against using software developed by Kaspersky Labs.
8. 4 сентября: NY Times, "The Russian Company That Is a Danger to Our Security"
9. 13 сентября: Washington Post, "U.S. moves to ban Kaspersky software in federal agencies amid concerns of Russian espionage"

5 октября дуплет:
10. Wall Street Journal, "Russian Hackers Stole data on US Cyberdefense"
11. Washington Post: "Russian government hackers used antivirus software to steal U.S. cyber capabilities"

// тогда же особенно... удивили (это если очень мягко и политкорректно) вашингтонские политики, которые признались, что решения против нас базируются, в основном, на информации из открытых источников - то есть, "в интернетах прочитали"!

Далее:

12. 10 октября: New York Times, "NYT: How Israel Caught Russian Hackers Scouring the World for U.S. Secrets"

11 октября снова дуплет:
13. Washington Post, "Israel hacked Kaspersky, then tipped the NSA that its tools had been breached"
14. Wall Street Journal, "Russia Has Turned Kaspersky Software Into Tool for Spying"

Вот такие маски-шоу мы наблюдали в этом году и совсем не по телевизору. Более того, я уверен, они ещё не закончились. Американская "топовая" пресса накинулась на нас почти в полном составе - кстати, спасибо за брендинг! - и врали фантазировали они синхронно, будто по команде, но путались при этом в деталях. Одни говорили, что спецслужбы, якобы, засовывают свой код в наши базы, другие - что по анонимным слухам мы сами шпионим за пользователями, третьи - что это просто некая потенциальная опасность и неведомая угроза.

При этом никаких фактических доказательств предъявлено не было ни разу. Ни одного раза вообще за всю историю подобных наездов и обвинений! (читай - за все 20 лет существования компании). А ведь всем ясно и очевидно - если бы были хоть какие-то доказательства, то нас бы уже давно похоронили! С рынков выносят и за гораздо меньшие прегрешения.

Ещё раз. Обвинения против нас достаточно серьёзные. Какие же фактические доказательства лежат под этими обвинениями? А никаких вообще!

Вы не ослышались. Никаких фактов, улик, доказательств нет! И быть не может.

Когда предъявляют подобного рода серьёзнейшие обвинения, в цивилизованном обществе принято представлять доказательства, ну или хотя бы имена/фотографии жертв. В случае технического шпионажа (к чему относятся и кибератаки) предъявляют средства шпионажа. В кибермире - названия модулей, местоположение кода, его дизассемблер (или часть). Примерно как у нас в отчётах о наиболее сложных и интересных инцидентах (читать здесь).

В нашем случае ничего этого не было (презумпция невиновности? Нет, не слышали!). Все обвинения опираются на "осведомлённые источники, близкие к теме", плюс беседы с анонимными свидетелями, плюс отсылы к "classified information" (к секретной информации) и прочим слухам (примерно как "ехал в лифте и вот что услышал").

Какая там может быть "секретная информация" и какие "осведомлённые источники", если все наши продукты и апдейты есть на серверах в публичном доступе? Покупай коробку в соседнем супермаркете или в онлайн любые версии - анализируйте, декомпилируйте и разбирайтесь! Хоть с утра до вечера и без выходных, если есть такое желание.

Функционал наших продуктов целиком и полностью зависит от кода приложений и записей в обновлениях баз данных - никакой загадочной магии здесь нет (примерно как и у всех остальных софтверных компаний). И продукты, и базы - всё целиком и полностью доступно на публичных серверах. Старые продукты и все обновления - в бэкапах. Если в них есть хоть какой-либо недекларируемый (шпионский) функционал, нарушающий конфиденциальность информации наших пользователей - сообщите название продукта, название модуля, адрес подозреваемого кода или же номер апдейта и идентификатор записи. Только такая техническая информация принимается к рассмотрению - но отнесёмся к ней мы максимально серьёзно, вплоть до внутреннего расследования. Если такая информация будет представлена. Если же её нет - то это означает заведомое враньё, либо же трансляцию чьего-то ещё вранья и фальсификаций.

Повторяю предыдущую мысль. К рассмотрению принимаются только факты: названия, адреса, дампы, дизассемблированный код. Всё остальное - заведомая или транслируемая ложь, слухи, клевета, фальсификации. Вне зависимости от уровня и "уважаемости" транслятора.

Ещё раз. Поведение наших продуктов определяется исключительно логикой работы алгоритмов в программных модулях и содержимым баз данных. В прошлый раз полный аудит исходного кода продуктов и записей баз данных был проведён весной-летом 2015 по причине компрометации нашей сети шпионским зловредом "Дуку-2". Никаких программных закладок обнаружено не было - ни в продуктах, ни в базах и апдейтах. Мы проводим аналогичный аудит прямо сейчас. Более того, мы готовы пригласить для проведения дополнительного аудита внешних наблюдателей, обладающих экспертизой в области компьютерной безопасности. Я абсолютно уверен, что ничего неожиданного обнаружено не будет.

Я лично отвечаю за то, что в продуктах и апдейтах компании не содержится никакого шпионского/зловредного/недекларируемого функционала. И я лично заявляю, что все обвинения компании в шпионаже за [американскими] пользователями являются бездоказательной паранойей (в лучшем случае).

Ещё раз, недавняя травля нашей компании - это паранойя, костер инквизиции и охота на ведьм.

Да, наши продукты обладают правами на глубокое сканирование системы и файлов (как и вообще весь софт категории "утилиты"). Да, мы проверяем файлы на наличие зловредного кода. Да, мы специально следим и вычисляем подозрительное поведение неизвестных объектов в системе - и, в полном соответствии с заявленной функциональностью, передаём их в облако для дальнейшего анализа (и только если в продукте включена соответствущая опция - кстати, так поступают практически все существующие антивирусы). Это всё заточено и оптимизировано исключительно для отлова зловредов, их нейтрализации и защиты наших пользователей, что мы и делаем лучше всех в мире. Наша работа - защищать пользователей и их данные. Слежкой, подсматриванием, подслушиванием и поднюхиванием занимаются разнообразные шпионские агентства, которых мы периодически ловим и рассказываем об этом всему миру.

Вроде всё подробно разъяснил? Теперь же по существу вопроса: что это было и кому это выгодно? Какие есть варианты?

1. Происки конкурентов.

Про это я подумал в первую очередь.

Сразу напрашивается аналогичная история с компанией Huawei, которую в начале 2010-х без всяких доказательств обвиняли в бэкдорах в сетевом оборудовании и шпионаже на разведку Китая. Обвиняли долго, пристально, тоже с использованием ведущих американских медиа. Не поленитесь, погуглите это в новостях 2010-2012 годов. Если сравнить с обвинениями в наш адрес - да там у них просто шаблон какой-то! Стандартная методика, примерно те же слова, те же комитеты, Конгресс и так далее. Всё один-в-один.

Причём тогда всё это происходило на фоне конкурса на поставку оборудования в очень-много-$миллиардный проект "Всего Интернета Австралии" National Broadband Network. Но прошло какое-то время, тендер на поставки выиграла Cisco, в оборудовании Huawei бэкдоров так и не нашли - и всё успокоилось.

В нашем случае масштаб наездов сопоставим, но миллиардные контракты нам даже за горизонтом не маячат. Короче, в теорию завистливых конкурентов я не верю - масштаб атаки не бьётся с объёмом нашего бизнеса (в целом, а не только в США).

2. Политический.

Всё это очень напоминает советский единый порыв "Пастернака не читал, но осуждаю" в худших его проявлениях. Но наша компания и я лично всегда дистанцируемся от политики, посему эта теория тоже не выглядит убедительной.

3. Разборки Кремля и Капитолия.

Тоже перспективная тема, но мы как-то мелковаты будем. Есть компании побогаче и публичнее. Тоже отбрасываем.

4. Мне тут в качестве бреда ещё предлагали "международный киберкриминал", который проплатил вашингтонских лоббистов и т.п. Технически это возможно. У кибернегодяев денег достаточно, политических механизмов на Холме и вокруг тоже хватает, но я почему-то не верю. "Не верю!" (с) Станиславский. Это была бы совсем острая паранойя, но уже в моем исполнении.

5. Какая-то неведомая и очень неудачная для нас комбинация вышеперечисленных теорий.

Всё может быть. Ответ на эту загадку нам пока неизвестен.

Понятно одно, что кому-то мы очень серьёзно перешли дорогу. Кому имено? Почему это случилось именно сейчас? Почему именно мы, а не кто-то ещё?

Пока на эти вопросы ответов у меня нет. Но рано или поздно мы узнаем что это было и кто за этим стоял. Маринуйте попкорн бочками и пристегните ремни безопасности, это не конец истории. Боюсь, что даже не середина. Впереди будет ещё много забавного и интересного.

Но я ещё раз декларирую и отвечаю за свои слова:

Главный приоритет компании - защита её пользователей от всех видов киберугроз вне зависимости от их происхождения. И то, что мы делаем это лучше остальных - это не наша вина, а наша заслуга.

Спасибо за внимание,
Искренне ваш,
Е.К.

Экономическая война, технологии, Информационная война

Previous post Next post
Up