Читати книгу - "ВІЙН@: битви в кіберпросторі, Шейн Харріс"

Не відомо, що саме спільно створили АНБ і Google після китайської хакерської заяви. Проте під час написання угоди представниця агентства зробила кілька натяків. «Загалом, у рамках місії із забезпечення інформаційної безпеки АНБ працює з низкою комерційних партнерів і дослідницьких об’єднань, аби запевнити доступність безпечних особливих рішень для Міністерства оборони та клієнтів системи національної безпеки», – сказала вона. Інтригує фраза про «особливі рішення», яка вочевидь стосується чогось створеного на замовлення агентства для збору інформації. Зі слів офіційних осіб, знайомих із деталями угоди між Google і АНБ, компанія погодилася надавати АНБ інформацію про трафік у своїх мережах в обмін на розвіддані щодо іноземних хакерів. Послуга за послугу, інформація за інформацію. А з перспективи АНБ – інформація в обмін на захист.

Ця спільна угода та згадка про «особливе рішення» дозволяють упевнено припустити, що Google і АНБ розробили пристрій або технологію виявлення вторгнень у мережі компанії. Завдяки цьому АНБ могло б отримувати цінну інформацію для своєї так званої системи активного захисту, яка використовує комбінацію автоматичних сенсорів і алгоритмів для виявлення шкідливого ПЗ або ознак запланованої атаки і протидіє їм. Одна система під назвою «Паніка» (Turmoil) розпізнає потенційно небезпечний трафік. Потому інша автоматична система «Турбіна» (Turbine) ухвалює рішення, пропустити цей трафік чи заблокувати його. Остання система також може запропонувати програму для атаки або хакерську методику, яку оператор зможе застосувати для нейтралізації джерела шкідливого трафіку. Він може скасувати інтернет-з’єднання джерела трафіку або скерувати трафік на контрольований АНБ сервер. А там джерело можна інфікувати вірусом або шпигунською програмою, за допомогою якої АНБ надалі спостерігатиме за ним.

Для роботи систем Turbine і Turmoil АНБ потребувало інформації, зокрема про дані, які передаються в мережі. Компанія Google, що має мільйони клієнтів у всьому світі, – це наче каталог користувачів інтернету. Компанія має адреси їхньої електронної пошти. Знає їхнє фізичне розташування під час входу в мережу. Знає, що саме вони шукають у мережі. Влада може наказати компанії надати цю інформацію, як робить це в рамках програми Prism, в якій компанія Google брала участь протягом року ще до того, як підписала угоду про співпрацю з АНБ. Однак саме цей інструмент використовують для розшуку людей, яких влада підозрює в терористичній діяльності або шпигунстві. Місія АНБ із забезпечення кіберзахисту передбачає ширше охоплення мереж у пошуках потенційних небезпек, інколи ще до того, як стане відомо, де саме розташоване джерело загроз. У користувацькій угоді компанія Google повідомляє своїх клієнтів про те, що може передавати їхні «персональні дані» стороннім організаціям, зокрема й державним агентствам, для «виявлення, запобігання або інших заходів у разі шахрайських дій, проблем безпеки або технічних питань», а також для «захисту прав, власності або безпеки Google». За словами людей, знайомих із деталями угоди між АНБ і Google, влада не має дозволу на читання електронних листів користувачів Google, утім може робити це в рамках програми Prism. Натомість угода дозволяє АНБ аналізувати апаратне й програмне забезпечення Google у пошуках уразливостей, якими можуть скористатися хакери. Зважаючи на те що АНБ є єдиним найбільшим охоронцем інформації про вразливості нульового дня, ця інформація може зробити Google безпечнішою за інші компанії, які не дають доступу до своїх найбільших секретів. Угода також дозволяє агентству аналізувати втручання, які вже відбулися, щоб відстежити джерело атак.

Компанія Google пішла на ризик, співпрацюючи з АНБ. Корпоративний девіз компанії «Не будь злим», здається, суперечить роботі з прикриття розвідувального кібервоєнного агентства. Але внаслідок цієї співпраці Google отримала корисну інформацію. Незабаром після викриття китайського втручання Сергію Бріну, співзасновникові компанії Google, надали тимчасовий допуск до секретної інформації, що дозволив йому брати участь у закритих нарадах, де обговорювалась операція проти його компанії. Державні аналітики виснували, що вторгнення координував підрозділ Народно-визвольної армії Китаю. Це була найдокладніша інформація про джерело вторгнення, яку компанія Google отримала. Ці дані допомогли їй посилити захист систем, заблокувати трафік для кількох інтернет-адрес і ухвалити зважене рішення про те, чи варто продовжувати працювати в Китаї. Керівники Google зневажливо відгукувалися про «секретний складник» АНБ. Але коли компанію атакували, по допомогу вона звернулася до Форт-Міда.

Компанія Google розповіла у блозі, що в рамцях операції, яка згодом отримала назву Aurora за іменем файлу на комп’ютері нападників, китайські хакери атакували понад 20 компаній. А невдовзі одна компанія зі сфери інформаційної безпеки вирахувала, що об’єктів атаки було близько тридцяти. Насправді масштаби китайського шпигунства були і є значно більшими.

Експерти з безпеки, державні і незалежні, дали спеціальну наз­ву хакерам, які стоять за такими атаками, як Aurora, націленими на тисячі різних компаній, що працюють практично в кожному секторі економіки США. Вони назвали таких хакерів «підвищеною постійною загрозою» (Аdvanced persistent threat – APT). Ця назва звучить загрозливо й має певний підтекст. Коли держслужбовці говорять про APT, найчастіше вони мають на увазі Китай, а якщо конкретніше, то хакерів, які працюють під керівництвом чи на замовлення китайської влади.

Слово «підвищена» у цьому описі почасти стосується хакерських методів, які анітрохи не поступаються за ефективністю методам АНБ. Китайські кібершпигуни використовують застосунки для спілкування та надсилання миттєвих повідомлень на зараженому комп’ютері, щоб з’єднатись із сервером, що контролює операцію. Вони інсталюють шкідливі програми, а потім віддалено вдосконалюють їх, додаючи нові можливості зі збору інформації. Державний апарат, що підтримує всю цю шпигунську діяльність, також «просунутіший» за розрізнені групи кібервандалов або таких активістів, як група Anonymous, які шпигують за компаніями в політичних цілях, або навіть за російські кримінальні групи, які найчастіше зацікавлені у викраданні банківських даних і номерів кредитних карт. Китай готовий до довготривалої операції. Керівники країни прагнуть, щоб економіка та промисловість сягнули максимального розвитку в досяжному майбутті, і ладні викрадати знання, необхідні для досягнення цієї мети. Ось що говорять американські можновладці.

В описі цієї загрози також варто звернути увагу на слово «постійна». Збір величезних обсягів інформації з багатьох джерел потребує максимальної концентрації, політичної волі й фінансових ресурсів, адже потрібно випробувати безліч різноманітних методів зламу, зокрема й дорогі експлойти нульового дня. Шпигуни, що знай­шли плацдарм і облаштувалися в корпоративній мережі, не підуть самостійно, поки їх не викинуть силоміць. Але