7 марта 2017 года организация WikiLeaks начала публикацию секретного архива документов Центрального разведывательного управления (ЦРУ) США. Проект «Vault 7» должен стать крупнейшей утечкой конфиденциальных бумаг ведомства.
Первая часть публикации содержит 8761 документ с подробностями программы слежки за пользователями по всему миру, хранившийся в изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли (Вирджиния, США).
Из опубликованных данных стала известна внутренняя организационная структура Центра по киберразведке ЦРУ, которая включает, как минимум, пять подразделений:
- группа инженерных разработок (Engineering Development Group, EDG) создает и тестирует бэкдоры, эксплоиты, трояны и вирусы;
- отдел мобильных устройств (Mobile Devices Branch, MDB) занимается поиском уязвимостей в операционных системах Android, iOS и Windows;
- отдел интегрированных устройств (Embedded Devices Branch, EDB) разрабатывает механизмы взлома интернета вещей;
- отдел автоматизированных имплантатов (Automated Implant Branch, AIB) разрабатывает атакующие системы для автоматического заражения вредоносными программами и контроля системы пользователей Windows, Mac OS X, Solaris, Linux;
- отдел сетевых устройств (Network Devices Branch, NDB) занимается атаками на инфраструктуру интернета и веб-серверы.
В отчете WikiLeaks также отмечается, что в структуре разведки США есть подразделение, занимающееся разработкой вредоносного софта исключительно для продукции Apple. В WikiLeaks поясняют, что доля телефонов, работающих на iOS, на мировом рынке не так велика — всего 14,5% против 85% доли телефонов на Android. Однако аппараты iPhone очень популярны в среде политиков, дипломатов и представителей бизнеса.
Из обнародованных документов также следует, что американское консульство во Франкфурте-на-Майне является «хакерским центром» ЦРУ, курирующим регионы Европы, Ближнего Востока и Африки.
Ущерб
Согласно заявлению WikiLeaks, ЦРУ способно не только взламывать популярные модели смартфонов, но и обеспечивать удалённый доступ к хранящейся на них конфиденциальной информации владельцев: аудио- и видеофайлам, текстам, фотографиям и геотегам. Помимо этого, спецслужбы США могут перехватывать сообщения мессенджеров Telegram, WhatsApp, Signal, Weibo, Confide и Cloackman до того, как они будут зашифрованы.
ЦРУ также имеют возможность взламывать телевизоры с функцией Smart TV и записывать разговоры через их микрофоны даже в спящем режиме. Атака на «умные» телевизоры компании Samsung была проведена в сотрудничестве с MI5/BTSS Соединенного Королевства Великобритании и Северной Ирландии.
Кроме того, с октября 2014 года в ЦРУ изучают различные системы контроля, разработанные для автотранспорта.
По словам экс-сотрудника ЦРУ Эдварда Сноудена, хакеры могут использовать оставленные ЦРУ лазейки в системе безопасности для своих целей.
По мнению WikiLeaks, архив «хакерского арсенала» ЦРУ, включающего вредоносные программы, вирусы и «трояны», уже попал в руки людей, не связанных с американскими властями. «Этот необычайный набор, объем которого составляет несколько сотен миллионов строчек кода, предоставляет своему обладателю практически все возможности ЦРУ по проведению хакерских атак», — пишет WikiLeaks.
Позиции пострадавших сторон
В ЦРУ отказались подтвердить подлинность обнародованных WikiLeaks документов, указав лишь, что агентство занимается сбором информации за рубежом для того, чтобы «защитить Америку от террористов, враждебных стран и других противников». При этом в ведомстве категорически отвергли подозрения в шпионаже за гражданами США.
Президент США Дональд Трамп «крайне обеспокоен» обвинениями в разглашении секретной информации, которые появились на ресурсе Wikileaks, говорится в сообщении Белого дома.
Официальный представитель МИД РФ Мария Захарова заявила, что действия ЦРУ, если информация WikiLeaks верна, представляют опасность и могут подорвать доверие между странами. Москва призывает спецслужбы США дать полноценный ответ на обвинения WikiLeaks о хакерах американской разведки.
Китайское правительство также обеспокоено просочившимися материалами ЦРУ по киберразведке и призывает США прекратить слежку за другими странами и кибератаки, заявил официальный представитель МИД КНР Гэн Шуан.
В свою очередь новый глава МИД Германии Зигмар Габриэль, где, согласно докладу WikiLeaks, располагается хакерский центр ЦРУ, заявил, что власти ФРГ предпочитают считать эту информацию слухами.
Крупнейшие технологические компании Apple, Samsung и Microsoft отреагировали на публикацию конфиденциальных документов разведывательного управления, заявив, что большинство указанных в докладе уязвимостей устранены в последних версиях операционных систем.
Разработчики текстового редактора Notepad++ также сообщили об устранении используемых спецслужбой «дыр» в безопасности. Наряду с Google Chrome, VLC Media Player, Firefox, Opera, Thunderbird, LibreOffice, Skype и другими программами, данное ПО входило в список уязвимых приложений, которые спецслужба взламывала с помощью системы Fine Dining. Пользователю казалось, что агент запускает программу просмотра видеороликов (например, VLC), демонстрирует слайды (Prezi), играет в компьютерную игру (Breakout2, 2048) или даже прогоняет антивирусную программу (Kaspersky, McAfee, Sophos), в действительности пока «отвлекающее» приложение отображается на экране, происходит автоматическое заражение компьютерной системы, ее просмотр и извлечение информации.
Пояснение аналитического центра InfoWatch
В мире насчитывается около 3,5 млн мобильных приложений, причем большая часть программ для Android и iOS так или иначе транслируют пользовательские данные вовне.
Android:
- 73% приложений передают e-mail адреса пользователей;
- 49% делятся именами;
- 33% передает GPS-координаты;
- 25% передают фактический адрес;
- 24% отправляют IMEI устройства и другие данные о телефоне.
IOS:
- 47% приложений анализируют и передают третьим сторонам информацию о местонахождении;
- 18% делятся именами пользователей;
- 16% переправляют на сторону email-адреса (источник: http://techscience.org/).
Например, приложение «Фонарик», которое включает вспышку камеры телефона как источник света, автоматически запрашивает у пользователя доступ к контактам, SMS, местоположению, микрофону, фотографиям и так далее. В 99% случаев пользователь соглашается на все.
Самый большой поток информации о пользователях генерируют приложения для видеотрансляций, мессенджеры и социальные сети.
При этом тот же Google, например, устанавливает прямой запрет для производителей смартфонов: нет сервисов от Google — нет доступа к экосистеме и обновлениям. Это приводит к массовым захватам рынков с одной стороны и появлению сотен прошивок для разных производителей — с другой, что не позволяет создать универсальную систему защиты данных. Смартфоны состоят из большого количества компонентов, которые умеют работать не только в системе, но и сами по себе, также формируя почву для возможностей двойного применения устройства.
Сейчас «под колпаком» находится более 3,4 млрд пользователей смартфонов или больше трети населения планеты, и эта цифра постоянно увеличивается даже несмотря на то, что этот рынок близок к насыщению.
Новые угрозы несет и наступившая эра «новой мобильности». Умные телевизоры (Smart TV) видят и слышат все, что происходит в помещении, передавая на неизвестные серверы звук и видео, журналы просмотров, данные о браузере и использовании приложений. Носимые устройства, как например фитнес-трекеры, передают производителю идентификаторы пользователя, данные о его здоровье, местоположении и привязанном устройстве — смартфоне или планшете. Причем с интенсивным развитием носимых устройств таких данных будет все больше.
И где заканчивается частное и начинается корпоративное — с развитием умных вещей эти границы стираются, ведь личный трекер, смартфон, планшет или умные часы могут оказаться у руководителя коммерческой или государственной структуры во время переговоров, а телевизоры и прочие умные устройства прочно обосновались в кабинетах многих руководителей самого разного ранга.
Вопрос создания собственной компонентной базы и системного программного обеспечения давно перестал быть просто вопросом технологической конкуренции и перешел в разряд одного из ключевых для национальной безопасности и глобальной конкурентоспособности страны.
«Сегодня более 40 миллионов россиян являются обладателями телефонов на Android и iOS, — сказал генеральный директор ГК InfoWatch Алексей Нагорный. — На практике это означает, что Google и Apple знают о местоположении трети граждан России с точностью до 50 метров в любой момент времени, включая их перемещения, периоды активности, социальный статус, имеют доступ к их фотографиям на устройствах, а также ко всем персональным данным: ФИО, возрасту, номерам счетов, кругам общения, данным переписки по SMS и электронной почте. Причем разрешение на сбор указанной информации держатели этих устройств предоставляют сами, «подписывая» пользовательские соглашения. Уверен, что одной из главных задач в области импортозамещения в сфере ИКТ должно стать создание экосистемы собственных конкурентоспособных потребительских продуктов, которые не будут бесконтрольно поставлять пользовательские данные нашим зарубежным партнерам».
Утечка документов по Vault 7 еще раз доказывает, что информация любого уровня секретности может быть скомпрометирована. Чем больше секретов у компании, тем выше вероятность того, что эти секреты будут раскрыты. Вероятность также повышается в зависимости от количества пользователей, имеющих доступ к информации. Иначе говоря, у ЦРУ слишком много секретов и слишком много людей, которые имеют к ним доступ. В таких условиях утечка информации — всего лишь дело времени.
Не стоит забывать и о внутренней конкуренции американских спецслужб, особенно в свете того, что еще в 2001 году ЦРУ получило политическое и бюджетное преимущество над Агентством национальной безопасности США, сформировав свой собственный хакерский отдел из пяти тысяч сотрудников. Как сообщило WikiLeaks, «ЦРУ создало свое собственное «АНБ», которое не отчитывалось практически ни перед кем, и агентству не потребовалось публично отвечать на вопрос о том, чем можно оправдать огромные расходы на содержание такой конкурирующей структуры».
Утечка показательна еще в том смысле, что мы даже не знаем, как она произошла, какой канал использовался для передачи информации. Но, что интересно — это и не важно. Девять тысяч электронных документов запросто помещаются на флешку, в память мобильного телефона, даже в оперативную память принтера, откуда особо продвинутые пользователи могут их извлечь. Проще говоря, канал передачи информации давно потерял свое значение как важный параметр утечки.
Не так важно, сколько каналов вы контролируете, если существует еще сотня способов вывести данные за пределы защищенного периметра. Проще и правильнее контролировать доступ к информации и действия людей, имеющих к ней доступ. Причем идеально, если действия отслеживаются как в связи с доступом к информации, так и вне этой связи — по неявным корреляциям и отклонениям.
И наконец, мы лишний раз убедились, что даже самые проверенные люди в организации, тратящей миллионы долларов на собственную безопасность, могут оказаться нелояльными и нанести своими действиями ощутимый вред и организации, и национальной безопасности в целом. Вывод прост — в компании не может быть привилегированных пользователей. Принципиально неверно выводить из-под контроля системных администраторов, топ-менеджмент, даже основателей. Даже если привилегированный пользователь лоялен, он всего лишь человек. То есть совершает ошибки. А цена его ошибок, с учетом уровня доступа к информации, может быть весьма высокой.
