Pranešama, kad Rusija, pasinaudodama „Kaspersky“, pavogė NSA paslaptis – ką mes dabar žinome

„Wall Street Journal“ ką tik paskelbė uždegantį straipsnį, kuriame sakoma, kad įsilaužėliai, dirbantys Rusijos vyriausybėje, pavogė konfidencialią medžiagą iš Nacionalinės saugumo agentūros rangovo namų kompiuterio, nustačiusi bylas, nors rangovas naudojo antivirusinę programinę įrangą iš Maskvos „Kaspersky Lab“.

Ataskaita gali būti teisinga, tačiau kol kas nėra galimybės jos savarankiškai patvirtinti. Ataskaita paremta neįvardijamais žmonėmis, leidinyje teigiama, kad žinojo šį klausimą, ir nepateikia jokių įrodymų, patvirtinančių jos teiginį. Be to, dėl išsamumo trūkumo paliekama galimybė, kad, net jei „Kaspersky“ AV padėjo Rusijai patekti į itin jautrų kodą ir dokumentus, atskleidimas buvo netyčinis programinės įrangos klaidos rezultatas ir niekas iš „Kaspersky Lab“ nebendradarbiavo su užpuolikai bet kokiu būdu. Taip pat dėmesio centre „Kaspersky Lab“ prarastas stulbinantis atskleidimas, kad dar vienas NSA viešai neatskleistas asmuo sugebėjo išvesti įslaptintą medžiagą už NSA tinklo ribų ir įdėti ją į neapsaugotą kompiuterį. Toliau bus pateikta daugiau šios analizės.

Pirmiausia pateikiame santrauką WSJ pranešė.

Bevardis rangovas pašalino medžiagą iš NSA ir išsaugojo ją namų kompiuteryje, kuriame buvo „Kaspersky AV“ versija. Medžiaga, anot neįvardytų šaltinių, pateikė „išsamią informaciją apie tai, kaip NSA skverbiasi į užsienio kompiuterių tinklus, kompiuterio kodą, kurį ji naudoja tokiam šnipinėjimui, ir kaip ji gina tinklus JAV“. Kažkada 2015 m. Medžiagą pavogė Rusijos remiami hakeriai, kurie, atrodo, „Kaspersky AV“ taikė rangovą po to, kai nustatė bylas naudodamiesi rangovu. Pažeidimas buvo nustatytas per pirmuosius tris 2016 m. Mėnesius.

Įrašas tęsėsi:

JAV tyrėjai mano, kad rangovas, naudodamasis programine įranga, perspėjo Rusijos įsilaužėlius apie tai, kad yra failų, kurie gali būti paimti iš NSA, teigia žmonės, žinantys apie tyrimą. Ekspertai teigė, kad programinė įranga, ieškodama kenksmingo kodo, galėjo rasti jo pavyzdžių iš rangovo iš NSA pašalintų duomenų.

Tačiau neaišku, kaip antivirusinė sistema padarė tokį nustatymą, pavyzdžiui, ar „Kaspersky“ technikai programavo programinę įrangą ieškoti konkrečių parametrų, nurodančių NSA medžiagą. Taip pat neaišku, ar „Kaspersky“ darbuotojai perspėjo Rusijos vyriausybę apie radinį.

Tyrėjai nustatė, kad ginkluoti žinodami, kad „Kaspersky“ programinė įranga pateikia rangovo kompiuteryje esančius failus, kurie įtariami, Rusijoje dirbantys įsilaužėliai įsitaisė mašinoje ir gavo daug informacijos, teigia su tuo susipažinę žmonės.

Rusijos įgaliotinis

Ataskaita susijusi su JAV įsilaužimu dėl Rusijos įsilaužimo apskritai ir konkrečiau apie tai, ar „Kaspersky Lab“ kada nors, ar gali ateityje vaidinti vaidmenį palaikant tokius įsilaužimus. Daugelį metų sukosi gandai, kad dėl „Kaspersky Labs“ pilietybės ir ankstyvo mokymo steigėjo Eugenijaus Kaspersky, kurį gavo iš Rusijos vyriausybės, įmonė buvo Rusijos įgaliotinė, teikianti ar bent jau galinti suteikti šios šalies vyriausybei pagalbą palaužiant į Rusijos priešininkų kompiuterius.

Anot „Cyber ​​Scoop“, rugpjūčio mėn. FTB tyliai informavo privataus sektoriaus įmones apie grėsmę, kuri, jų manymu, kelia „Kaspersky“ produktus ir paslaugas. Rugsėjo pradžioje elektronikos mažmenininkas „Best Buy“ nustojo pardavinėti „Kaspersky“ programinę įrangą ir pasiūlė nemokamus pašalinimus ir kreditus konkuruojantiems paketams. Praėjusį mėnesį įtarimai pasiekė naują aukštumą, kai JAV Tėvynės saugumo departamentas žengė beprecedentį žingsnį nurodydamas visoms JAV agentūroms nutraukti „Kaspersky“ produktų ir paslaugų naudojimą.

JAV vyriausybė niekada nepateikė tvirtų įrodymų dėl privačių instruktažų ar DHS direktyvos. Dave’as Aitelis, buvęs NSA įsilaužėlis, kuris dabar yra įsiskverbimo bandymų įmonės „Immunity“ generalinis direktorius, teigė, kad įtarimai buvo paskelbti ketvirtadienio WSJ pranešimas yra patikimas paaiškinimas.

„Būtent toks elgesys paskatintų JAV vyriausybę daryti tai, ką jie daro“, – sakė jis „Ars“. „Yra tik vienas tikrai didelis dalykas, kurį jie mano [Kaspersky] veikia kaip užsienio vyriausybės agentas, greičiausiai sąmoningai “.

Ne taip greitai

Priešingas argumentas tam, ką sako „Aitel“ ir daugybė žmonių saugumo ir nacionalinio saugumo srityse, yra tai, kad nepaprastieji įtarimai yra pagrįsti tik anoniminiais šaltiniais ir nėra pagrįsti jokiais rimtais įrodymais. Negana to, anoniminiai šaltiniai niekada nesako, kad kas nors iš „Kaspersky Lab“ padėjo ar bendradarbiavo su įsilaužėliais. Pastarasis punktas palieka atvirą galimybę, kad „Kaspersky AV“ palikta skylė buvo netyčinė jos kūrėjų ir buvo panaudota Rusijos įsilaužėlių be jokios bendrovės pagalbos.

2015 m. Rugsėjo mėn. „Google Project Zero“ tyrėjas Tavisas Ormandy teigė, kad jo „Kaspersky AV“ paviršutiniškas tyrimas atskleidė daugybę pažeidžiamumų, kurie užpuolikams leido nuotoliniu būdu vykdyti kenkėjišką kodą kompiuteriuose, kuriuose buvo naudojama programinė įranga. Jei įsilaužėliai turėjo žinių, kad NSA rangovas naudoja „Kaspersky AV“, tai bent jau įmanoma, kad jie panaudojo šias arba panašias spragas, kad nustatytų neskelbtinas medžiagas ir galbūt jas taip pat pavogtų.

Nuo tada „Kaspersky“ užtaisė pažeidžiamumus. Per daugelį metų „Ormandy“ atrado vienodai rimtus AV programinės įrangos kodo vykdymo pažeidžiamumus iš daugelio „Kaspersky“ konkurentų.

The WSJ straipsnyje tyliai teigiama, kad šios alternatyvios teorijos nėra. Jame cituojamas buvęs NSA įsilaužėlis, kuris spėja, kad neskelbtinų failų pavadinimai ir pirštų atspaudai buvo indeksuoti nuskaitymo metu, kurį atliko „Kaspersky“ programinė įranga, ir tada įkeliami į bendrovės debesies aplinką, kad juos būtų galima palyginti su pagrindiniu žinomos kenkėjiškos programos sąrašu. „Jūs iš esmės atsisakote savo teisės į privatumą naudodami„ Kaspersky “programinę įrangą“, – leidiniui sakė buvęs NSA darbuotojas Blake’as Darché.

Neapsakoma potekstė yra ta, kad „Kaspersky“ tarnybai indeksavus NSA medžiagą, įmonės pareigūnai privačiai pranešė Rusijos šnipams, kad jie galėtų nukreipti rangovo kompiuterį. Bet galimas atsakymas yra tas, kad buvo pažeistas „Kaspersky“ tinklas, leidžiantis atsakingiems užpuolikams nustatyti failų vietą rangovo kompiuteryje. Galų gale, „Kaspersky Lab“ jau atskleidė, kad nuo 2014 m. Vidurio iki 2015 m. Pirmojo ketvirčio jos tinklą pažeidė labai sudėtinga kenkėjiška programa, turinti šalies remiamų užpuolikų požymius. Tačiau „Aitel of Immunity“ ir toliau sutiko su teorija, „Kaspersky“ sąmoningai padėjo Rusijai, nors jis pripažino, kad šiuo metu nėra viešų įrodymų, jog tai teisinga.

„Tai nėra kažkas, kur kažkas naudojo„ Kaspersky “programinę įrangą“, – sakė jis. „Jei taip ir buvo, jo nebūtų „Wall Street Journal“„Kalbėdamas apie telefono ir interneto ryšių paspaudimo terminą, norėdamas sužinoti dominančios informacijos, jis pridūrė:” Nemanau, kad tai buvo Rusijos vyriausybės žvalgybos signalas. Jie aiškiai jį gavo iš „Kaspersky“ mašinos. Tai atrodo daug labiau tikėtina “.

Prisimeni lygčių grupę?

Teoriją labiau tikėtina tai, kad iki 2015 m. „Kaspersky Lab“ turėjo išsamių žinių apie kai kuriuos NSA elitiškiausius įsilaužimo įrankius ir metodus. Bendrovės tyrėjai įgijo šias žinias atlikę išsamų tyrimą grupėje, pavadintoje „Lygčių grupė“. Kaip tų metų vasarį pranešė „Ars“, įsilaužėlių komanda buvo aiškiai susieta su NSA – jei ne jos dalimi – dėl išplėstinės prieigos prie „nulinės dienos“ naudojimo, kuri vėliau bus naudojama „Stuxnet“ slieke, kurį, kaip pranešama, sukūrė kartu NSA ir jos kolegos Izraelyje.

Elektroniniame laiške „Kaspersky“ pareigūnai rašė:

„Kaspersky Lab“ nepateikė jokių įrodymų, patvirtinančių bendrovės dalyvavimą tariamame incidente, apie kurį pranešė „Wall Street Journal“ 2017 m. spalio 5 d., ir gaila, kad naujienos apie neįrodytas pretenzijas ir toliau įamžina kaltinimus įmonei.

Kaip privati ​​įmonė, „Kaspersky Lab“ neturi neadekvačių ryšių su jokia vyriausybe, įskaitant Rusiją, ir atrodo, kad vienintelė išvada yra ta, kad „Kaspersky Lab“ pakliuvo į geopolitinės kovos vidurį.

Mes neatsiprašome už agresyvumą kovoje su kenkėjiškomis programomis ir kibernetiniais nusikaltėliais. Bendrovė aktyviai nustato ir mažina kenkėjiškų programų infekcijas, neatsižvelgdama į jų šaltinį, ir mes tai didžiuodamiesi jau 20 metų, o tai lėmė nuolatinius aukščiausius įvertinimus atliekant nepriklausomus kenkėjiškų programų nustatymo testus. Taip pat svarbu atkreipti dėmesį į tai, kad „Kaspersky Lab“ produktai laikosi griežtų kibernetinio saugumo pramonės standartų ir turi panašų prieigos lygį ir privilegijas prie jų saugomų sistemų, kaip ir bet kuris kitas populiarus saugos pardavėjas JAV ir visame pasaulyje.

Išsinešimas yra tas, kad, kaip pažymima „Kaspersky Lab“ pranešime, WSJSprogstamieji teiginiai nėra pagrįsti jokiais įrodymais, be to, jie remiasi anoniminiais šaltiniais. Tai reiškia, kad šiuo metu žurnalistai niekaip negali savarankiškai patikrinti pretenzijų. Be to, rašomasis straipsnis palieka galimybę, kad „Kaspersky AV“ vaidmenį pažeidime sukėlė tas pats kritinis pažeidžiamumas, kuris buvo praktiškai visoje AV programinėje įrangoje.

Tai reiškia, kad jei įtarimai yra teisingi, jie tikrai paskatins jau didėjantį Rusijos įsilaužimo susirūpinimą, kuris, JAV žvalgybos agentūrų teigimu, bandė paveikti JAV prezidento rinkimus ir išplėsti politinę ir kultūrinę takoskyrą socialinėje žiniasklaidoje. Be to, jei įtarimai pasitvirtina, tai beveik neabejotinai baigiasi „Kaspersky Lab“, nes ji tapo žinoma per pastarąjį dešimtmetį.

Tik ne vėl!

Ketvirtadienio ataskaitoje nereikėtų pamiršti, kad tai yra trečias žinomas NSA pažeidimo atvejis, atsirandantis dėl viešai neatskleistos informacijos apie įslaptintą medžiagą per pastaruosius ketverius metus. Geriausiai žinomas atvejis yra pranešėjas Edwardas Snowdenas, kuris ilgą laiką galėjo traluoti per NSA tinklus rinkdamas dokumentus, kol juos perdavė žurnalistams. 2016 m. Buvo areštuotas atskiras NSA rangovas Haroldas T. Martinas III, kai jis iš NSA išplėšė 50 terabaitų konfidencialios medžiagos ir ją laikė savo namuose Glen Burnie mieste, Merilando valstijoje. Trove sudaro net 75 procentai išnaudojimų, priklausančių „Tailored Access Operations“ – elito įsilaužęs NSA padalinys, kuris kuria ir diegia sudėtingiausius pasaulyje programinės įrangos išnaudojimus.

Geguže, „The New York Times“ pranešė, kad NSA darbuotojas buvo sulaikytas 2015 m. dėl įtarimų dėl viešai neatskleistos informacijos, tačiau niekada nebuvo nustatytas. Ne iš karto aišku, ar šis viešai neatskleistas asmuo skiriasi nuo paminėto ketvirtadienio WSJ straipsnis. Ataskaitoje, paskelbtoje po to, kai „Ars“ pradėjo gyventi su šiuo pranešimu, „Washington Post“ pasakė, kad asmuo, paėmęs NSA medžiagą ir išsaugojęs ją savo namų kompiuteryje, buvo NSA darbuotojas, dirbęs pritaikytos prieigos operacijose ir kuriantis įrankius, kurie pakeistų tuos, kurie laikomi pažeistais dėl „Snowden“ nutekėjimo. The „Washington Post“ toliau teigė, kad viešai neatskleistas asmuo buvo tas pats, kuriam 2015 m. kilo įtarimas

Dar daugiau aktualumo prideda labai žalingų nutekėjimų serija, kurią per pastaruosius 14 mėnesių padarė paslaptinga grupė, pasivadinusi „Shadow Brokers“. Į šią bylą įtraukti keli NSA stipriausi programinės įrangos išnaudojimai ir dokumentai, išsamiai apibūdinantys praeities išpuolius. Ar paviešinta „Shadow Brokers“ medžiaga atsirado dėl viešai neatskleistos vagystės, ar dėl pašalinių asmenų įsilaužimo, lieka nežinoma.

Ketvirtadienio ataskaita reiškia, kad dar vienas patikimas viešai neatskleistas asmuo galėjo nuslėpti dokumentus ir kodus už NSA ribų ir ne tik laikyti juos prie interneto prijungtame, bet ir kompiuteryje, kuriame buvo naudojama AV programinė įranga. Nepriklausomai nuo „Kaspersky Lab“ vaidmens įsilaužime, NSA ir jos darbuotojų atlikta kvapą gniaužiančių saugumo klaidų serija turėtų išlikti pirmoji ir svarbiausia šiame pranešime.

Įrašas atnaujintas, kad būtų galima pridėti „Washington Post“ ataskaitų teikimas.