Еще немного вокруг истории Лаборатории Касперского и США с Equation Group и ShadowBrokers

Nov 18, 2017 22:46

Я примерно месяц назад (в 20-х числах октября) отвечал на вопросы "Радио Свобода", которые возникли на базе моих постов по вышеуказанной теме (есть по тэгам). Но так как в текст статьи войдет далеко не все и не в таком виде (две части: первая; вторая выйдет завтра - вторая часть вышла), поэтому решил опубликовать свои ответы в журнале у себя (согласовано с журналистом). Потому что, с одной стороны, потратил время, с другой стороны, возможно, кому-то будет интересно мое мнение.

Вопрос №1: В своих записях вы назвали случившееся провалом [российских] спецслужб. Объясните, пожалуйста, вашу логику.

Ответ №1: Моя логика исходит из следующего (почему это провал).

Если исходить из следующих предпосылок:
а) ЛК в общем и ЕК в частности (через него и его мотивы и волю) добровольно сотрудничают со спецслужбами и предоставляют материалы и информацию чувствительного характера (это не обязательно загрифованная информация);
б) спецслужбы гарантируют, что о факте сотрудничества не будет известно никому, если только он сам не сообщит об этом (кстати, это может быть тоже нарушением договоренности и раскрытием методов работы спецслужб и объектов интереса и способов взаимодействия);
в) материалы были получены в результате активных действий явной направленности (работа по конкретной цели) спецслужб или в силу случайных обстоятельств, но в результате конкретных действий ЛК (здесь это не имеет значения далее);
г) материалы были переданы спецслужбам под явным условием использования их только во внутренней работе, т.е. как большинство оперативных материалов (без возможности какой-либо публикации или посвящения широкого круга лиц в информацию об этом или получения доступа к этим данным).

Мы видим по факту, что [предположительно] спецслужбы со стороны РФ произвели активное мероприятие, создав публично анонимную группу "хакеров" ShadowBrokers, и в политических целях [предположительно] начали "публиковать" информацию об утечке инструментария из NSA.

Таким образом для спецслужб это провал потому что:
1) они раскрыли свой источник;
2) они раскрыли методы работы, как в отношении способов получения информации (источник), так и в отношении реализации (активное мероприятие SB);
3) они публично показали, что подобная халатность или безрассудность (несоблюдение договоренностей с агентами, отсутсствие легендирования или плохое легендирование) - норма для них; т.е. другие организации или люди, которые хотели бы сотрудничать или которым будет предложено подобное сотрудничество в будущем, 10 раз подумают, а нужно ли им нести такие риски, если их ценность около нуля, и их подставят/сольют при первом возможном случае или просто в силу халатности; и никто и никак не будет компенсировать им причиненный ущерб (да это и невозможно физически);
4) они разрушили зарубежный бизнес одной из передовых РФ компаний, которой можно было гордиться;
5) они в очередной раз дали почву для многолетних слухов и стереотипов (вполне реалистичных), что русский софт и компании на западе опасны (медведь, водка, кгб);
6) результаты этого провала приведут к политическим сотрясениям и, вероятно, скажутся на новых санкциях, если не напрямую, то косвенно.

(Можно только оптимистичности ему добавить. Например, Барри Сила убили в результате слива).

Вопрос №2: По вашему мнению, ЛК сознательно разыскивала секретные файлы АНБ и других американских спецслужб, или действительно зацепила архив с секретными файлами в ходе стандартной работы продукта? Понимали ли на тот момент специалисты ЛК, что Equation Group вероятно тесно связана со спецслужбами США?

Ответ №2: То, что они сознательно разыскивали файлы Equation Group - сомнений нет.
То, что это могло проводиться в рамках обычной работы аналитиков - тоже. Никто никогда не задумывается над тем, а что именно себе позволяют аналитики в этом процессе, и какие возможности у них есть. Я уже очень давно писал ( первый пост, во втором), что и Group-IB, и Kaspersky Lab водрузили на себя возможность ведения ОРМ, не обладая таким правом по закону (т.е. считают себя не меньше, чем оперативниками спецслужб, проводят изъятия информации, взломы систем потенциальных злоумышленников или тех, кто им таковыми кажется, нелегальное копирование информации по сети с чужих устройств, давление на хостинги и другие организации для съема образов вирутальных машин клиентов этих организаций и т.д. -- все это уголовные статьи, многие из этих вещей себе даже ФСБ без санкции суда позволить ну никак не может).

Ни касперский, ни Group IB не являются субъектами ОРД по закону.

Чем это (вот такая вот неподконтрольная государству деятельность) заканчивается в итоге? Посмотрите на арест ЦИБовцев, Стоянова и закулисные проблемы в контексте этой истории у Group-IB.

Знали ли что Equation - это спецслужбы? Да все эксперты это знали. А уж после слива каталога инструментов NSA/GCHQ, нашлись и фактические подтверждения (упоминания кодовых названий ПРОГРАММ; в данном случае программа - не в смысле ПО).

Вопрос №3: В своем отчете ЛК уклончиво описывает содержание архива, не говоря прямо, что в нем были обнаружены файлы под грифом секретности. Как вы думаете, на самом деле они эти файлы там увидели? Это правда, что можно очень быстро увидеть, что файлы - секретные? А как?

Ответ №3: Да, увидели. Если вы внимательно посмотрите сливы материалов, то там почти в каждом документе почти на каждом абзаце указывается гриф, кто и с каким допуском может знакомиться. Точно так же в заголовках (в комментариях) исходного кода.

Да Касперский и сам не отрицает, что они поняли, что информация грифованная. Он это говорит, но уклончиво, да.

Вопрос №4: Не смущает ли вас в версии, озвученной ЛК, что человек, имеющий такой уровень доступа, что спокойно хранит на домашнем компьютере архив в секретными эксплоитами АНБ, в то же время пользуется взломанной верисей Microsoft Office, да еще и прибегает к зараженному генератору ключей? Если не смущает - почему?

Ответ №4: Не смущает нисколько. Обычная практика для людей, хоть как-то связанных с ИБ. Warez, торренты, в чем вообще вопрос? Вот то, что он не знает, что через кейгены и краки лет 15-20 ведется заражение (а уж последние лет 10 так массовое), и что нельзя использовать "недоверенные" кейгены/активаторы, и их надо тщательно проверять (не антивирусом) - это глупость этого человека и его "авось".

Вообще, ложную безопасность кейгенов и краков создала сама антивирусная индустрия, как раз за последние лет 15. С того момента, когда стала детектировать нормальные (не вредоносные, не трояны) кейгены и краки как "нежелательное" или даже вредоносное ПО. Что стало в итоге?! Они (антивирусные компании) воспитали в людях отношение: если антивирус "ругается" на крак или кейген - это норма (даже в .nfo файлах варезных групп стали появляться пометки "отключите свой антивирус перед использованием"). Мол, он просто детектит краки и кейгены. И поэтому нужно отключить или внести в исключения, если нужно воспользоваться кейгеном или краком. И в итоге отлично под видом кейгенов и краков (а также совмещенно с ними - это важно) распространяются трояны. И пользователи сами заражают свои системы. Это происходит массово. Т.е. антивирусы, начав детектировать нелегальные краки-кейгены, подложили огромную свинью в контексте безопасности пользователей. Стандартная история со сказкой "Волки! Волки!!!".

Кстати, Касперский приводит это заражение очень странно, как будто попытка тем самым сказать, что, мол, он был заражен, мы тут ни при чем. Попытка увода в сторону на пустом месте.
(Добавлено 18.11.2017: я это говорил в 20-х числах октября, а 16 ноября, почти через месяц, Касперский именно это и сделал в своем новом отчете!)

Вопрос №5: Насколько убедительной вам кажется озвученная в WSJ история, что израильские хакеры специально использовали для проверки продуктов ЛК honeytraps с ключевыми словами "top secret", "classified" и так далее. Это чисто технически имеет смысл?

Ответ №5: Перед ответом на этот вопрос я бы хотел уточнить формулировку. Речь там идет не об израильских хакерах, а об израильских спецслужбах.

Соответственно, уровень действий и уровень доверия к ним слегка иной.

31.10 (дополнение к вопросу): Да, израильские спецслужбы, а не хакеры, конечно.

Ответ от 18.11: На мой взгляд про ключевые слова - это передерг и некорректная интерпретация информации от источников (т.е. "сидит Гоголь на дереве и ..."), а потом все это (журналисты, участники, специалисты) комментируют. Полагаю, что никакие "top secret" не искали, а вот названия из NSA-каталога - да.

"Top secret" и "classified" искать абсолютно бессмысленно. Вы не представляете сколько мусора вы нашли бы по этому запросу. Просто 99.9(9)% - мусор.

Полагаю, что источники им сказали, что искали по top secret/classified названиям программ (здесь не в смысле программного обеспечения, софта), а далее произошла неверная интерпретация слов.

Теперь Касперскому это очень выгодно, он за это цепляется всеми руками: "Мы top secret не искали!". Кто бы спорил, абсолютная правда, скорее всего.

Но тут как ложь по методичкам владельца одного секретного мессенджера. Top secret не искали (потому что нет смысла), а вот названия программ (не ПО) искали (потому что нигде, кроме целевых объектов и разработчиков и не будет). В общем, просто строишь из себя дурачка.

Вопрос №6: Евгений Касперский обнаружил, что в KSN попал архив с секретными эксплоитами АНБ. И тут же поребовал его удалить. Верите? А как это могло выглядеть на самом деле?

Ответ №6: Конечно же, не верю.

Анекдоты по этой теме (два) я в посте указал, могу целиком процитировать.

Как это могло выглядеть? Вот как Касперский и его окружение выражают огромную радость? Вот думаю так это и выглядело.

Для кого-то это радостные крики и похлопывания друг-друга по плечу, кто-то может шампанское выпить, да что угодно. Это радость своего успеха, победы, решения сложной задачи, удачи.

Вопрос №7: Вы связываете украденные у АНБ эксплоиты с дампом, который некоторое время спустя предложила к продаже группировка Shadow Brokers. Пожалуйста, объясните, почему вы считаете, что это одно и то же.

Ответ №7: Потому что для меня это очевидно. Это мое субъективное профессиональное экспертное мнение. Я говорил про SB, когда никто в СМИ не говорил, что ЛК украла что-то, имеющее отношение к Equation. Для меня просто было очевидно сочетанте всех фактов. Я никогда не верил в то, что SB видит своими целями какие-то продажи и т.п. Для меня это так же было очевидно, что это "увод в сторону", цель не в этом.

Вопрос №8: Если файлы достались Shadow Brokers от ЛК/ФСБ, зачем нужно было выставлять их в открутую продажу? Почему нельзя было тихо и спокойно использовать самим?

Ответ №8: А с чего вы взяли, что часть из этого и не использовали втихую в 10-ке или 100-не специализированных мест?

Могли и использовать.

А могли не использовать, чтобы не засветить утечку как раз, и получение этой информации. Но, видимо, не у всех отделов мнение в этом сходилось. И разыграли какую-то политическую карту через публичное активное мероприятие. Итог мы сейчас обсуждаем. Провал, прилетевший бумерангом.

Вопрос №9: Атака Petya2, которая использовала EternalBlue - произведена российскими госструктурами?

Ответ №9: Полагаю, да. Причем сам этот NotPetya/Petya2 - такой же увод в сторону от чего-то другого, скорее всего. А может сразу же несколько задач решал. Все не смотрят на очень важную составляющую - атаку на M.E.Doc и мониторинг/доступ к большинству организаций на Украине. Сбор информации по ним. Длительное время.

Вопрос №10: Есть ли связь между атаками на сервера Демпартии США и другими попытками повлиять на исход американских выборов (мифическими и нет) и всей этой историей с Касперским?

Ответ №10: Нет, связи в локальном смысле - нет.

В глобальном - Россия ведет открытую информационную войну по всему миру сейчас. Почему избрана стратегия работать как условный ОМОН, а не тихо, как это делают все спецслужбы всех стран - сложно понять. (Одно не исключает другого, кстати. Пока некоторые ломают как медведь в посудной лавке [здесь специально изменено], другие делают подобные же вещи тихо и без следов по воде). Видимо, ряд мест и ряд конкретных людей не имеют опыта, специальных знаний и понимания, как вести информационную войну профессионально и тихо, как это должны делать спецслужбы (и как это делают успешно лет 25 спецслужбы США, 5 глаз, и еще ряда стран), не имеют должного контроля за исполнителями, а исполнителям не ставятся задачи по легендированию их методик и объектов, отсутствию связи между ними, а сами исполнители (не все) не имеют понимания и практического опыта проведения скрытых операций. Для кого-то это еще и большая гордость, читать о себе, как в очередной раз их атрибутировали и "спалили". Глупое локальное восприятие, недальновидное относительно последствий.

И да. Информационная война идет не в СМИ, как у нас любят говорить, а в сетях и на реальных объектах. Прямо сейчас.

Дополнение от 10.11.2017:

Вопрос: Интересные новости с викиликс. Что думаете?

Ответ: Ничего не думаю. Ничего интересного. К той ситуации не имеет никакого отношения. Разве что почему-то викиликс именно сейчас заинтересовал Касперский и они решили поискать что-нибудь в документах о нем. Но это может быть и именно просто контекстный интерес к ситуации. А может и попытка увести тему через СМИ. Ведь никто не поймет о чем там. Ни "лохи-журналисты", ни "еще-большие-лохи-читатели". Такой тип пропаганды.

Я еще вчера читал что они выложили: кроме слова "Касперский" - с ситуацией связи ноль.

Варианты описал:
1) Люди из викиликс из-за шумихи заинтересовались и стали искать в архиве все по Касперскому (найти хоть что-нибудь). Т.е. нормальное поведение исследователей.
2) Агитпроп, целевой.

Первое вполне вероятно, вот легко вообще. Не определишь это. Я держу в голове и второй вариант тоже, но доказательств ноль, и это может быть абсолютно "крипто-теорией". Первый вариант абсолютно нормален.

Смотрю, как РФ-журналисты пишут :), ну прямо сказка, чтобы "отмазываться":
http://www.rbc.ru/technology_and_media/10/11/2017/5a0531fe9a7947783013ae7f

Вот так все напишут. И еще хуже будет. Я почему и говорю про "лохов-журналистов" и легкий отмаз по теме, ссылаясь на материалы викиликс. Хотя связи - ноль.

Россия, shadowbrokers, nsa, США, information warfare, ФСБ, kaspersky lab

Previous post Next post
Up