Публикация WikiLeaks массива внутренних документов ЦРУ Vault 7 — крупнейшая утечка данных о госпрограммах электронной слежки и наращивании киберпотенциала спецслужбами со времен разоблачения деятельности Эдвардом Сноуденом деятельности АНБ США. Масштабы впечатляют: внутренняя вики-библиотека ведомства насчитывает более 8700 документов, содержащих описания более тысячи образцов вредоносного ПО, программных уязвимостей и иных средств вторжения в информационные системы и тайного сбора данных. Суммарный объем кода разработок спецслужбы оценивается в несколько сотен миллионов строк, что непринципиально отличается от объема кода Facebook или Google, крупнейших проектов в истории программирования. Все эти цифры могут расти по мере дальнейших публикаций утечек, которые уже были анонсированы WikiLeaks.
Фото: ПИР-Центр
Масштаб утечек и разброс специализации инструментов электронной слежки ЦРУ настолько велики, что эксперты ИТ-отрасли сейчас находятся в положении слепых из известной притчи, пытающихся ощупать слона с разных сторон. И приходится признать, что слон находится уже в каждой лавке. Программы ЦРУ нацелены почти на все крупнейшие сегменты интернет-отрасли: мобильные и десктопные платформы и устройства для конечных пользователей, включая их ОС и низкоуровневые прошивки, сетевое оборудование, мессенджеры, умное телевидение и сервисы IoT, АСУ ТП и перспективные разработки в нише киберфизических систем, включая умный транспорт,— список почти бесконечен.
Какие выводы следуют из этой истории? Собственный инструментарий киберопераций и электронной слежки развивает и будет развивать каждая спецслужба, имеющая для этого ресурсы,— причем зачастую автономно или в режиме конкуренции со своими коллегами. Список целей программ АНБ и ЦРУ частично совпадает, а вот инструменты у каждого ведомства свои: свой киберпотенциал — это ключевой актив в смысле удержания и расширения аппаратных полномочий и борьбы за бюджет.
Стоит напомнить, что ЦРУ — лишь один из 16 членов разведсообщества США, объединяющего как гражданские, так и военные разведывательные и аналитические структуры. А значит, свои тайные программы есть или будут у Госдепа, Минфина, Министерства внутренней безопасности, Министерства юстиции и различных структур МО помимо АНБ и киберкомандования. Вопрос лишь в их масштабах и стилистике применения — так, если АНБ стремилось выстроить систему массового, неизбирательного перехвата данных чуть ли не в масштабе всего интернета, ЦРУ все же использует инструменты для целевых операций — будь то Stuxnet и саботаж иранской ядерной программы, слежка за французским кандидатом в президенты или тайное противоборство с РФ, КНР и другими потенциальными противниками США в киберпространстве.
Ждать какой-то радикальной реакции от американских властей бессмысленно — Дональд Трамп не только не сможет, но и не захочет ничего менять, ведь наращивание наступательного киберпотенциала США — один из немногих внятных пунктов в его программе по укреплению национальной безопасности в киберпространстве. А значит, нас неизбежно ждут новые публикации утечек — как описаний, так и кода вредоносного ПО и других средств киберопераций, созданных спецслужбами, причем не только американскими. После разоблачений Сноудена публикации WikiLeaks уже не вызывают такого шока и в каком-то смысле подводят черту под простым фактом: киберсредства уже стали настоящим оружием, и мы живем в мире, где государства применяют это оружие в постоянном и необходимом режиме, не делая принципиальных различий между целями на своей территории и за рубежом. В этих условиях крайне наивно полагать, что собственные средства тайного сбора данных и программы киберопераций не развивают гражданские и военные спецслужбы России, Китая, Израиля, государств ЕС и вообще любого государства.
Ключевой вопрос: может ли в этих условиях выжить система доверия, на которой основан интернет
Ключевой вопрос в том, может ли в этих условиях выжить и развиваться система доверия, на которой основан интернет, и по производной современная глобальная цифровая экономика. Еще одна опасность заключается в том, что госсредства операций в киберпространстве не только бьют по репутации и позициям крупнейших вендоров и разработчиков ИТ-продукции, но и насыщают передовыми разработками мировой рынок компьютерной преступности. Причина такой ситуации — неизбежные утечки не только сведений о госразработках, но и их кода, как уже было с архивом кибероружия АНБ, выложенного в сеть группировкой Shadow Brokers. В условиях параллельного тайного развития собственных киберарсеналов разными ведомствами, работы с обширным кругом подрядчиков и ростом движения гражданского активизма по заветам Эдварда Сноудена и Джулиана Ассанжа массовые утечки неизбежны как минимум в США — и каждая из них будет выбрасывать на рынок передовые образцы вредоносного ПО и подходы к перехвату данных и вторжениям в информационные системы.
С появлением собственных Сноуденов в других странах может сложиться ситуация ненамеренной гонки вооружений, когда спецслужбы разных стран будут вынуждены модернизировать свои программы с учетом слитых в открытый доступ разработок зарубежных коллег. Сойти с этих рельсов будет трудно.
Но есть и две хорошие новости. Во-первых, несмотря на масштаб и технологическую сложность своих программ, ЦРУ, как и АНБ ранее, не удалось сломать ключевой элемент системы безопасности и доверия в сети — современные стандарты криптографической защиты информации. Причем ЦРУ, в отличие от их военных коллег с программой Bullrun, и не особо пыталось — среди всех известных направлений деятельности ведомства работа по компрометации протоколов и реализаций ключевых стандартов шифрования почти не представлена. А значит, использование всего громадного арсенала уязвимостей и вредоносного ПО спецслужбой во многих случаях ограничено необходимостью доставлять средства эксплуатации уязвимостей на отдельные конкретные системы и устройства при помощи фишинга, распространения зараженных съемных носителей и других традиционных методов. Пользователю, ставшему жертвой целевой операции, от этого не легче, но интернет как открытая глобальная экосистема выживет, пока не скомпрометированы базовые криптографические механизмы поддержания и распространения доверия между его пользователями.
Во-вторых, нынешние утечки могут стать катализатором давно необходимых подвижек и изменений по крайней мере в двух областях. Одна из них — согласование и внедрение стандартов и механизмов безопасности в тех нишах, где они по различным причинам отсутствуют. Например, речь идет об интернете вещей, устройства которого сегодня массово эксплуатируются для организации беспрецедентно масштабных сетевых атак, которые уже угрожают устойчивости ключевых сервисов интернета, включая глобальную DNS. Еще одна область, где стандартизация безопасности серьезно отстает от развития самой технологии,— умный транспорт, который как раз стал целью отдельного проекта ЦРУ. Наконец, подвижки остро необходимы и в таких областях, как внедрение обязательного шифрования данных на нижних уровнях сетей производственных объектов (уровень обмена данными между АСУ ТП). Угроза со стороны государственных спецслужб может стать для заинтересованных сторон в каждой из этих ниш (вендоры, операторы, интеграторы, национальные регуляторы и пользователи) необходимым и давно нужным стимулом к ускоренной разработке и внедрению адекватных стандартов и архитектурных принципов безопасности.
Еще одна область, в которой остро необходим прогресс,— выработка международного режима ответственного поведения в киберпространстве, в том числе в части разумного ограничения государственных киберопераций. С учетом последних событий надежд на то, что этот вопрос решат между собой сами государства, откровенно мало. Принимаемые на международных площадках доклады и меры доверия пока по большей части остаются декларациями о намерениях, а бюджеты программ спецслужб на создание военизированного киберпотенциала на многие порядки превышают расходы на продвижение дипломатических инициатив по регулированию поведения в киберпространстве.
Если кто и может изменить ситуацию, то альянс глобальных ИТ-вендоров и инженерного сообщества, бизнес-интересам которых и принципам деятельности напрямую угрожают госпрограммы киберопераций. Именно эти игроки в состоянии сформулировать такие нормы и стандарты обмена информацией, атрибуции кибератак и ограничения распространения кибероружия, которые сами смогут реально выполнять, будучи глобальными разработчиками и провайдерами технологий и инфраструктуры. В этом смысле российские, китайские и американские вендоры, разработчики и сетевые инженеры могут оказаться в одной лодке, даже пока их правительства скованны взаимным недоверием и гонкой цифровых вооружений. Частных игроков между собой объединяют интересы бизнеса, а с сетевыми инженерами их сближает необходимость поддержания единства и открытости интернета, без которой невозможно существование глобального трансграничного ИТ-рынка. Но все же наивно хочется, чтобы и правительства хотя бы отвлекались от игры в Большого Брата и выступали на стороне условного меркантильного добра.