New York Times: Разыскать китайского кибершпиона
Для детективов прежних лет проблема всегда заключалась в сборе информации. Для поиска в киберпространстве, охоты за свидетельствами в сплетениях интернета, проблема совершенно в ином, отмечается в статье, опубликованной 12 мая на страницах New York Times.
“Вот в чем священный грааль: как суметь отличить информацию, являющуюся мусором, от информации, представляющей ценность?” - говорит выходец из Кембриджского университета Рафал Рогозински (Rafal Rohozinski), специалист по общественным наукам, занимающийся проблемами компьютерной безопасности.
Восемь лет тому назад он и Рональд Дейберт (Ronald Deibert), специалист по политической науке из Университета Торонто, основали совместно две группы - ‘Information Warfare Monitor’ и ‘Citizen Lab’. Обе группы, базирующиеся в Университете Торонто, занимаются поиском такого грааля, а также стремятся предоставить инструменты следствия, используемые обычно агентствами компьютерной безопасности и правоохранительными структурами, в распоряжение организаций, которые подобными ресурсами не обладают. “Мы думаем, что у организаций гражданского общества нет возможностей вести следствие”, - отмечает д-р Дейберт.
Эти группы уже добились значимых успехов. В прошлом году 34-летний Нарт Вильнев (Nart Villeneuve), работающий на обе лаборатории специалист по международным отношениям, обнаружил, что китайская версия программы Skype используется одной крупнейших компаний беспроводной связи Китая для перехвата информации - вполне возможно, что по поручению китайских спецслужб.
В этом году он содействовал разоблачению системы шпионажа, которую он и его друзья окрестили Ghostnet. Эта Ghostnet весьма напоминает шпионскую систему, созданную китайским руководством для слежки за компьютерами правительственных учреждений Юго-Восточной Азии во всем мире.
Оба открытия стали результатом нового типа детективной работы, иллюстрирующими возможности и ограничения следствия в киберпространстве.
Дело ‘Ghostnet’ началось с того, что входящий в эту команду ученых редактор журнала Infowar Monitor Грег Уолтон (Greg Walton) получил приглашение проверить работу сети в офисе Далай-ламы в Дхарамсале, в Индии. Подвергавшиеся постоянным атакам со стороны нанятых китайским правительством хакеров сотрудники тибетского правительства в изгнании обратились к специалистам из Канады с просьбой помочь в борьбе с цифровыми шпионами, уже несколько лет обосновавшимися в их системе обмена данными.
Как в офисе Далай-ламы, так и в кабинетах тибетского правительства в изгнании, Уолтон использовал для изучения связанного с находящимися там компьютерами потока данных в интернете мощную программу ‘Wireshark’. Открытое программное обеспечение ‘Wireshark’, доступное бесплатно для специалистов по компьютерной безопасности, отличается легкостью в использовании и способностью распознавать и декодировать сотни общепринятых интернет-протоколов, употребляющихся для разных типов передачи данных. Такая программа, известная как sniffer, часто применяется сыщиками, отслеживающими в интернете киберпреступников и шпионов.
‘Wireshark’ позволяет следить за незашифрованным сеансом чата, идущим в интернете, или - как в случае, с которым Уолтон столкнулся в Дхарамсале, - следить за тем, как хакеры копируют файлы из сети Далай-ламы.
Практически во всех случаях, когда системные администраторы Ghostnet захватывают контроль над удаленным компьютером, они должны установить разработанную в Китае скрытую программу под названием ‘GhOst RAT’ (сокращение от Remote Administration Terminal, терминал удаленного администрирования). Программа ‘GhOst RAT’ позволяет управлять подключенным к интернету удаленным компьютером вплоть до возможности включать схемы аудио- и видеозаписи, перехватывая их файлы. Таким образом, операторы этой шпионской системы - кем бы они ни являлись - могут, помимо хищения файлов и посланий электронной почты, превратить офисные компьютеры в устройства прослушки на расстоянии.
Такой шпионаж сразу вызвал обеспокоенность у тибетцев, так как среди похищенных документов оказались материалы, относящиеся к тем позициям, которых собирались придерживаться на переговорах с китайской стороной посланники Далай-ламы.
Вернувшись в Канаду, Уолтон предоставил обнаруженные им данные Вильневу - для анализа этой информации они использовали второй инструмент. Они загрузили данные в программу визуализации, предоставленную ученым софтверной компанией ‘Palantir Technologies’, разработавшей программу, которая позволяет исследователям “сращивать” большие объемы данных, чтобы найти исправления и связи, которые иначе остались бы незамеченными.
Эта компания была основана несколько лет назад группой технологов, впервые применивших технологии обнаружения мошеннических действий на Paypal, электронной платежной системе из Силиконовой долины. ‘Palantir Technologies’ разработала механизм распознавания образов, использовавшийся как разведывательными агентствами, так и компаниями финансовых услуг, а специалисты ‘Citizen Lab’ усовершенствовали его, добавив специальные возможности для изучения данных из интернета.
Именно такое программное обеспечение использовал Вильнев, просматривая файлы данных в подвальном этаже Университета Торонто, когда заметил с виду безопасную, но подозрительную строку из 22 символов, появляющуюся в различных файлах. Интуитивно введя эту строку в поисковую систему Google, он внезапно получил ссылку на подобные файлы, хранившиеся в огромной системе компьютерного слежения, расположенной на острове Хайнань у побережья Китая. Файлы тибетского правительства копировались на эти компьютеры.
Однако ученые не могут сказать с определенностью, кто же все-таки контролирует эту систему. Она может быть создана так называемыми патриотическими хакерами, независимыми компьютерщиками внутри Китая, чьи действия тесно связаны c китайским правительством, но не зависят от него. Или же ее могли создать и использовать шпионящие за интернетом лица в какой-нибудь третьей стране.
На самом деле, в результате этого открытия возникло не меньше вопросов, чем получено ответов. Почему столько мощная система перехвата данных не была защищена паролем - ведь именно это слабое место позволило Вильневу с легкостью определить, как она работает? И почему среди более чем 1200 подвергшихся атаке правительственных компьютеров, представляющих 103 страны, не оказалось систем правительства Соединенных Штатов? Эти вопросы повисли в воздухе.
Проведение следственной экспертизы в киберпространстве представляет существенные технические трудности, дополнительно усложняемые тем, что интернет без особых усилий пронизывает как местные границы, так и рубежи целых стран и правительств. К примеру, преступник может скрыть свои действия, соединяясь с намеченным компьютером через цепочку компьютеров ни о чем не подозревающих пользователей, подключенных к интернету на разных континентах, что значительно увеличивает время, необходимое правоохранительным органам для завершения расследования, или делает расследование вообще невозможным.
Один из самых неприятных вопросов, с которыми сталкиваются работающие в киберпространстве следователи и ученые, это вопрос “атрибуции”. Известная карикатура из журнала New Yorker, на которой сидящая на клавиатуре собака говорит другой: “в интернете никто не знает, что ты собака”, - для киберсыщиков вовсе не шутка.
Чтобы справиться с этой проблемой, ученые из Торонто прибегли к методологии, которую они описывают как фьюжн, когда данные, полученные из интернета, рассматриваются в контексте событий реального мира. “У нас возникла важная догадка: чтобы понять, что происходит в киберпространстве, необходимо собрать два совершенно разных комплекта данных, - отмечает Рогозински. - С одной стороны, нам нужны технические данные, сгенерированные из лог-файлов интернета. Другой компонент для того, чтобы попытаться понять, что происходит в киберпространстве, создается путем бесед с людьми и понимания того, как работают учреждения”.
Опытные исследователи по вопросам безопасности в киберпространстве соглашаются в том, что самым лучшим из киберсыщиков необходимо выйти за пределы интернета. Возможно, им даже понадобится надеть кожаные туфли. “Мы не должны упираться только в свои утилиты, - подчеркивает Кент Андерсон (Kent Anderson), специалист по безопасности, являющийся членом комитета управления безопасностью в 'Information Systems Audit and Control Association'. - Я постоянно наталкиваюсь на хороших технологов, которые понимают, как использовать утилиты, но совершенно не понимают, как их утилиты вписываются в более обширную схему расследования”.
Компьютерные утилиты, подобные этой, показывающей денежные потоки, помогают ученым визуально представлять связи между различными комплектами данных, полученных из сети
Ъ - Взломано в Китае
Компьютерные сети правительства ФРГ все чаще подвергаются кибератакам
“Вот в чем священный грааль: как суметь отличить информацию, являющуюся мусором, от информации, представляющей ценность?” - говорит выходец из Кембриджского университета Рафал Рогозински (Rafal Rohozinski), специалист по общественным наукам, занимающийся проблемами компьютерной безопасности.
Восемь лет тому назад он и Рональд Дейберт (Ronald Deibert), специалист по политической науке из Университета Торонто, основали совместно две группы - ‘Information Warfare Monitor’ и ‘Citizen Lab’. Обе группы, базирующиеся в Университете Торонто, занимаются поиском такого грааля, а также стремятся предоставить инструменты следствия, используемые обычно агентствами компьютерной безопасности и правоохранительными структурами, в распоряжение организаций, которые подобными ресурсами не обладают. “Мы думаем, что у организаций гражданского общества нет возможностей вести следствие”, - отмечает д-р Дейберт.
Эти группы уже добились значимых успехов. В прошлом году 34-летний Нарт Вильнев (Nart Villeneuve), работающий на обе лаборатории специалист по международным отношениям, обнаружил, что китайская версия программы Skype используется одной крупнейших компаний беспроводной связи Китая для перехвата информации - вполне возможно, что по поручению китайских спецслужб.
В этом году он содействовал разоблачению системы шпионажа, которую он и его друзья окрестили Ghostnet. Эта Ghostnet весьма напоминает шпионскую систему, созданную китайским руководством для слежки за компьютерами правительственных учреждений Юго-Восточной Азии во всем мире.
Оба открытия стали результатом нового типа детективной работы, иллюстрирующими возможности и ограничения следствия в киберпространстве.
Дело ‘Ghostnet’ началось с того, что входящий в эту команду ученых редактор журнала Infowar Monitor Грег Уолтон (Greg Walton) получил приглашение проверить работу сети в офисе Далай-ламы в Дхарамсале, в Индии. Подвергавшиеся постоянным атакам со стороны нанятых китайским правительством хакеров сотрудники тибетского правительства в изгнании обратились к специалистам из Канады с просьбой помочь в борьбе с цифровыми шпионами, уже несколько лет обосновавшимися в их системе обмена данными.
Как в офисе Далай-ламы, так и в кабинетах тибетского правительства в изгнании, Уолтон использовал для изучения связанного с находящимися там компьютерами потока данных в интернете мощную программу ‘Wireshark’. Открытое программное обеспечение ‘Wireshark’, доступное бесплатно для специалистов по компьютерной безопасности, отличается легкостью в использовании и способностью распознавать и декодировать сотни общепринятых интернет-протоколов, употребляющихся для разных типов передачи данных. Такая программа, известная как sniffer, часто применяется сыщиками, отслеживающими в интернете киберпреступников и шпионов.
‘Wireshark’ позволяет следить за незашифрованным сеансом чата, идущим в интернете, или - как в случае, с которым Уолтон столкнулся в Дхарамсале, - следить за тем, как хакеры копируют файлы из сети Далай-ламы.
Практически во всех случаях, когда системные администраторы Ghostnet захватывают контроль над удаленным компьютером, они должны установить разработанную в Китае скрытую программу под названием ‘GhOst RAT’ (сокращение от Remote Administration Terminal, терминал удаленного администрирования). Программа ‘GhOst RAT’ позволяет управлять подключенным к интернету удаленным компьютером вплоть до возможности включать схемы аудио- и видеозаписи, перехватывая их файлы. Таким образом, операторы этой шпионской системы - кем бы они ни являлись - могут, помимо хищения файлов и посланий электронной почты, превратить офисные компьютеры в устройства прослушки на расстоянии.
Такой шпионаж сразу вызвал обеспокоенность у тибетцев, так как среди похищенных документов оказались материалы, относящиеся к тем позициям, которых собирались придерживаться на переговорах с китайской стороной посланники Далай-ламы.
Вернувшись в Канаду, Уолтон предоставил обнаруженные им данные Вильневу - для анализа этой информации они использовали второй инструмент. Они загрузили данные в программу визуализации, предоставленную ученым софтверной компанией ‘Palantir Technologies’, разработавшей программу, которая позволяет исследователям “сращивать” большие объемы данных, чтобы найти исправления и связи, которые иначе остались бы незамеченными.
Эта компания была основана несколько лет назад группой технологов, впервые применивших технологии обнаружения мошеннических действий на Paypal, электронной платежной системе из Силиконовой долины. ‘Palantir Technologies’ разработала механизм распознавания образов, использовавшийся как разведывательными агентствами, так и компаниями финансовых услуг, а специалисты ‘Citizen Lab’ усовершенствовали его, добавив специальные возможности для изучения данных из интернета.
Именно такое программное обеспечение использовал Вильнев, просматривая файлы данных в подвальном этаже Университета Торонто, когда заметил с виду безопасную, но подозрительную строку из 22 символов, появляющуюся в различных файлах. Интуитивно введя эту строку в поисковую систему Google, он внезапно получил ссылку на подобные файлы, хранившиеся в огромной системе компьютерного слежения, расположенной на острове Хайнань у побережья Китая. Файлы тибетского правительства копировались на эти компьютеры.
Однако ученые не могут сказать с определенностью, кто же все-таки контролирует эту систему. Она может быть создана так называемыми патриотическими хакерами, независимыми компьютерщиками внутри Китая, чьи действия тесно связаны c китайским правительством, но не зависят от него. Или же ее могли создать и использовать шпионящие за интернетом лица в какой-нибудь третьей стране.
На самом деле, в результате этого открытия возникло не меньше вопросов, чем получено ответов. Почему столько мощная система перехвата данных не была защищена паролем - ведь именно это слабое место позволило Вильневу с легкостью определить, как она работает? И почему среди более чем 1200 подвергшихся атаке правительственных компьютеров, представляющих 103 страны, не оказалось систем правительства Соединенных Штатов? Эти вопросы повисли в воздухе.
Проведение следственной экспертизы в киберпространстве представляет существенные технические трудности, дополнительно усложняемые тем, что интернет без особых усилий пронизывает как местные границы, так и рубежи целых стран и правительств. К примеру, преступник может скрыть свои действия, соединяясь с намеченным компьютером через цепочку компьютеров ни о чем не подозревающих пользователей, подключенных к интернету на разных континентах, что значительно увеличивает время, необходимое правоохранительным органам для завершения расследования, или делает расследование вообще невозможным.
Один из самых неприятных вопросов, с которыми сталкиваются работающие в киберпространстве следователи и ученые, это вопрос “атрибуции”. Известная карикатура из журнала New Yorker, на которой сидящая на клавиатуре собака говорит другой: “в интернете никто не знает, что ты собака”, - для киберсыщиков вовсе не шутка.
Чтобы справиться с этой проблемой, ученые из Торонто прибегли к методологии, которую они описывают как фьюжн, когда данные, полученные из интернета, рассматриваются в контексте событий реального мира. “У нас возникла важная догадка: чтобы понять, что происходит в киберпространстве, необходимо собрать два совершенно разных комплекта данных, - отмечает Рогозински. - С одной стороны, нам нужны технические данные, сгенерированные из лог-файлов интернета. Другой компонент для того, чтобы попытаться понять, что происходит в киберпространстве, создается путем бесед с людьми и понимания того, как работают учреждения”.
Опытные исследователи по вопросам безопасности в киберпространстве соглашаются в том, что самым лучшим из киберсыщиков необходимо выйти за пределы интернета. Возможно, им даже понадобится надеть кожаные туфли. “Мы не должны упираться только в свои утилиты, - подчеркивает Кент Андерсон (Kent Anderson), специалист по безопасности, являющийся членом комитета управления безопасностью в 'Information Systems Audit and Control Association'. - Я постоянно наталкиваюсь на хороших технологов, которые понимают, как использовать утилиты, но совершенно не понимают, как их утилиты вписываются в более обширную схему расследования”.
Компьютерные утилиты, подобные этой, показывающей денежные потоки, помогают ученым визуально представлять связи между различными комплектами данных, полученных из сети
Ъ - Взломано в Китае
Компьютерные сети правительства ФРГ все чаще подвергаются кибератакам