Недекларированные возможности

Недекларированные возможности или программы-импланты (по аналогии с медицинскими имплантами) – преднамеренно видоизмененная часть программного обеспечения, благодаря которой можно получить скрытый несанкционированный доступ в безопасную компьютерную систему.

Большая часть вредоносных программ (вирусы, руткиты, кейлоггеры) внедряется на компьютеры пользователей извне, но есть и другая возможность. Достаточно изменить файлы легитимной программы и добавить в  нее недекларированные возможности. Она может как напрямую выполнять необходимую злоумышленнику функциональность, так и умышленно создавать дыры в безопасности, являться своего рода бэкдором.

Недекларированные возможности. Анализатор исходного кода

Источником таких имплантов и связанных с ними недекларированных возможностей могут быть как создатели разных приложений, так и государственные спецслужбы. И если деятельность нечистоплотных разработчиков способна привлечь лишь ограниченное внимание (в сознании простого пользователя они идут в одном ряду с прочими хакерами), то любые сообщения о программах-закладках от спецслужб неизменно вызывают бурные дискуссии.

Спецслужбы действительно заинтересованы в беспрепятственном доступе к компьютерам и смартфонам любых пользователей, частных лиц и организаций, и программы-закладки являются одним из оптимальных способов решения задачи.

Классификация недекларированных возможностей (программ-имплантов)

В зависимости от целей возможностей программы-импланты можно разделить на несколько категорий:

    • Полный доступ к удаленному компьютеру или системе. По сути такие программы аналогичны хакерским руткитам и бэкдорам с той лишь разницей, что их функциональность заложена в одну из легальных программ пользователя. Могут применяться для шпионажа либо нарушения работы компьютеров, телекоммуникационного оборудования и смартфонов коммерческих и общественных организаций, широких групп граждан.
    • Кража паролей доступа, т.е. функции кейлоггера. Наличие пароля удаленного доступа к компьютеру обеспечивает столь же обширные возможности, как самый лучший бэкдор, а доступ к аккаунтам электронной почты и Skype позволит отслеживать переговоры и переписку даже в тех случаях, когда человек использует для общения другие компьютеры, на которых программ-закладок нет. Особый интерес кража паролей представляет в случаях, когда нужен доступ ко всей внутренней сети, где работает компьютер с закладкой.
    • Несанкционированные изменение данных и вывод из строя компьютерных систем. Наибольшую угрозу такие программы представляют в системах АСУ ТП, в особенности критически важных объектов, управления техникой военного или двойного назначения. Установленные программные закладки позволял в случае необходимости вывести из строя  инфраструктурные и военные объекты потенциального противника

Объекты внедрения программных имплантов:

  • Компьютеры и серверы. Доступ к содержимому жестких дисков и оперативной памяти – извечная мечта всех хакеров и работников спецслужб. Программы-закладки могут как напрямую копировать и пересылать информацию, так и открывать доступ другому шпионскому ПО.
  • Телекоммуникационное оборудование. Переговоры подозрительных лиц не менее, а порой и более ценны, чем содержимое их жестких дисков, поскольку позволяют выявить и пресечь актуальные преступные планы, а при наличие GPS спецслужбы могут еще и без всякого наружного наблюдения отслеживать все перемещения объекта. Закладки же в сетевом оборудовании позволят контролировать трафик от больших групп населения.
  • Бортовые и промышленные компьютеры. Сейчас практически любая серьезная техника оснащается если не полноценным компьютером, то, как минимум, микропроцессором. Внедрив в него программы-закладки, спецслужбы смогут как получать информацию о периодах и режимах работы техники, так и, в случае необходимости, легко выводить ее из строя.

Источники угрозы

Теоретически закладку можно внедрить в любой программный код.  Однако в некоторых категориях вероятность обнаружения недекларированных возможностей и связанные с ними риска существенно выше.

Программы, разработанные непосредственно в подразделениях госструктур, либо по их заказу. Получив приказ вышестоящего начальства, разработчики включат в них любой, в том числе и недокументированный функционал.

Программы, подлежащие государственной сертификации. В первую очередь к таковым относятся продукты информационной безопасности. Имея соответствующий доступ, по заказу спецслужб в них могут быть модифицирован код и внедрены дополнительные модули.

Программы-мессенджеры, в особенности средней популярности. Прослушка чужих разговоров – один из важнейших интересов спецслужб, и наличие закладок в программах, которые используют для общения – наиболее простой способ.

Программное обеспечение для техники военного и двойного назначения. В силу важности представляют особый интерес и являются наиболее вероятным объектом для закладок. К тому же практически все производители вооружений если не принадлежат напрямую государству, то, как минимум, ориентированы в первую очередь на заказы от национального министерства обороны, а потому очень уязвимы для давления со стороны государственных структур.

Анализ риска

Опасность получить закладку зависит от надежности и порядочности разработчиков программы, интереса со стороны спецслужб, а также мер по анализу исходного кода и поиску недекларированных возможностей.

Огромный интерес для спецслужб представляют и широко распространенные, используемые миллионами программы. Как правило при разработке ПО программисты используют чужие библиотеки и Открытое программное обеспечение (Open source), в котором могут быть открытые уязвимости используемые для сбора информации, например, “АНБ использовало уязвимость в OpenSSL для сбора информации”.

Что же до непопулярных программ, то в силу малого числа пользователей они представляют малый интерес и для спецслужб. Если в таких программах и есть закладки, то автор внедрил их не ради государственных интересов, а по собственной неосмотрительности.

Среди граждан и организаций наибольший интерес спецслужб привлекают представители крайних политических и религиозных течений, лица, ведущие разного рода незаконную деятельность либо связанные с ними. За такими людьми устанавливаются различные виды слежки, прослушки, скрытой видеозаписи, а на компьютеры внедряют  программы-закладки и другое шпионское ПО.

Государственные предприятия, производители военной техники, а также предприятия стратегически важных отраслей могут стать объектом интереса заграничных спецслужб.

Защититься от программ-закладок труднее, чем от иного вредоносного ПО, антивирус их видит, а аномалий в работе может не быть. В то же время закладки могут быть обнаружены при помощи специализированных анализаторов исходного кода. В частности ими располагают правительственные структуры и частные фирмы, выполняющие сертификацию ПО, так что в случае повышенного риска наличия чужих закладок, проверка на посторонний код и недокументированные функции обязательна.