20.11.2018
Кибербезопасность

Кибербезопасность в 2017 году. Отрасль боится вмешательства государства

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

Компьютерная безопасность трещит по швам. Но чем больше последствий, тем активнее она совершенствуется, об этом пишет издание The Economist.

В течение нескольких дней в феврале сотни тысяч принтеров в ресторанах по всему миру вели себя странно. Одни печатали какие-то изображения компьютеров и гигантских роботов с надписью «С любовью от самого бога хакеров». Некоторые проинформировали своих хозяев о том, что «У ВАШЕГО ПРИНТЕРА НОВЫЙ ВЛАДЕЛЕЦ». Некоторые выдавали на бумаге месседж «Ради Бога, закройте этот порт».

Когда «бог хакеров» дал интервью тематическому сайту Motherboard, он назвался учеником британской старшей школы под ником Stackoverflowin. Его раздражал ужасное состояние компьютерной безопасности, поэтому, по словам юноши, он решил сделать людям одолжение и показать, насколько просто получить контроль над их техникой.

И есть еще и другие хакеры, не настолько патриотично настроены. И для таких 2016 год стал золотым дном. В феврале 2016-го киберпреступники украли $81 млн непосредственно в центробанке Бангладеш и могли бы украсть еще больше, если бы не ключевая описка. В августе в Агентстве национальной безопасности США заметили, как его же хакерские инструменты были слиты в интернет группой, называющей себя «Теневыми брокерами» (Shadow Brokers). ЦРУ, кстати, претерпело подобного унижения в марте этого года. В октябре провайдера интернет-инфраструктуры Dyn через программу Mirai атаковали потоком бессмысленного трафика, сайты вроде Twitter и Reddit стали недоступны многим пользователям. А излом почтовых серверов Национального комитета Демократической партии и слив компрометирующей переписки оттуда, похоже, были попыткой повлиять на результаты выборов в США.

Если абстрагироваться от масштабных инцидентов и «больших стратегий», то случаи хакерства — это в основном показной вандализм или банальное мошенничество. Заниматься им становится все проще. Непонятные форумы способствуют торговле информации с кредитных карт людей, иногда она продается многотысячными пачками. Торговцы данными выискивают слабые места в кодировке, через которые злоумышленники вламываются в системы. Кроме того, можно купить программы-вымогатели: те зашифровывают фото и документы на компьютерах жертв, а за расшифровку требуется выкуп. Такие посреднические рынки развились настолько, что для участия в них не обязательно даже уметь писать коды. Почасово можно арендовать ботнеты — сети компьютеров, где установился вирус (строятся они с помощью по вроде Mirai), из них можно забрасывать трафиком сайты, пока они упадут, а потом требовать компенсацию, чтобы атаки прекратились. «Загонщики» ботов, как обычный законный бизнес, за доплату в несколько долларов обеспечат техническую поддержку, когда произойдет что-то непредвиденное.

Какими суммами измеряется все это хакерство, неизвестно (о большинство малых атак и много масштабных никто не сообщает). Но все соглашаются, что количество их будет расти, так же активно расширяется пространство для злодеяний. «Мы строим робота величиной с мир», — говорит аналитик Брюс Шнайер, который занимается безопасностью. Он говорит про интернет вещей. Это словосочетание означает компьютеризацию всего: от авто и счетчиков света до детских игрушек, медицинских приборов и лампочек в светильнике. В 2015 году группа исследователей компьютерной безопасности продемонстрировала, что на расстоянии можно захватить управление некоторыми автомобилями Jeep. Строя ботнеты, вирус Mirai выискивает устройства вроде видеорекордеров или веб-камер. Но вскоре ботнеты будут строиться и из холодильников.

Компьютер, нельзя!

«Бытует мнение, что уязвимым является абсолютно все», — говорит Роберт Уотсон, компьютерный ученый из Кембриджского университета. Это объясняется глубинными причинами. Уязвимость компьютеров обусловлена основополагающими аспектами информационных технологий, культурой разработки ПО, бешеным ритмом разрастания этого бизнеса, экономическими стимулами, которые управляют компьютерными компаниями, и конфликтными интересами правительств. Однако что больше вреда от опасных компьютеров, тем серьезнее бизнес, ученые и политики берутся за работу.

Современные компьютерные чипы обычно разрабатывает одна фирма, изготавливает другая, а устанавливает на схемные платы третья, и тогда они оказываются в соседстве с чипами от других производителей. Следовательно еще одна компания пишет ПО самого низкого уровня, необходимое для того, чтобы компьютер мог хотя бы работать. Операционная система, с помощью которой машина воспринимает определенные программы, созданная еще другим разработчиком. Сами программы — еще кем-то. Ошибка на любой стадии или в связи между ними может сохранить дефект в целой системе или же сделать ее уязвимой перед хакерами.

Обнаружить разницу не всегда легко. Научный сотрудник аналитического центра New America Питер Зингер рассказывает про производственный дефект, обнаруженный в 2011 году в каких-то транзисторах, из которых состоял чип, что его использовали на вертолетах американских ВМС. Если бы порок не заметили, он блокировал бы запуск ракет с вертолетов. Как и большинство, тот чип был изготовлен в Китае. Наконец в ВМС пришли к выводу, что дефект — случайность. Но серьезно рассматривали и вариант умышленного вреда.

У большинства хакеров мало ресурсов, чтобы играть с дизайном и производством чипов. Да им и не нужны последние. Вдоволь инструментов для диверсий можно найти в программном обеспечении. В 2015 году Рэйчел Потвин, инженер Google, рассказала, что в целом компания в различных своих продуктах руководит около 2 млрд строк программирования. Те программные продукты, в свою очередь, должны работать на операционных системах, которые являются еще более сложными. Популярная система Linux в 2015 году регистрировала 20,3 млн строк. Считается, что последняя версия Windows 10 от Microsoft написана в 50 млн строк, а самая популярная операционная система для смартфонов Android — 12 млн.

Сделать так, чтобы каждая из строк адекватно взаимодействовала с остальными в программе, а также со всеми остальными компонентами ПО и устройствами, с которыми она должна коммуницировать, — это задание, с которым никто не справится с первого раза. В этом контексте часто цитируют слова гуру программирования Стива Макконнелла о том, что люди, которые пишут исходные коды (инструкции, что внутри машины компонуются в готовую к выполнению программу), делают от 10 до 50 ошибок на каждую тысячу строк. Внимательная проверка в больших компаниях — разработчиках ПО, как говорит он, может снизить эту цифру примерно до 0,5%, на 1 тыс. Но даже такая плотность ошибок означает, что в современном ПО будут тысячи багов и любой из них может стать лазейкой для хакера. «Тем, кто атакует, нужно одно-единственное слабое место, — объясняет компьютерный ученый Кэтлин Фишер из Университета Тафтса в Массачусетсе. — Поэтому защитникам приходится закрывать каждую пробоину, в частности и те, о которых они не догадываются».

Все, что нужно злоумышленнику, чтобы компьютер принял набор команд, которые не должен принимать. Если в архитектуре его ошибка, то он способен реагировать на определенную команду или набор непредсказуемо. Компьютер можно заставить интерпретировать данные как инструкции, ведь и те, и те в машине представлены в одинаковой форме — последовательностями чисел. Ник Stackoverflowin, выбранный хакером, взламывал принтеры в ресторане (он переводится как «переполнение стека») собственно и описывает эту технологию. Когда данные «перетекают» из части системы, предназначенной для памяти, в часть, где машина выполняет инструкции, она считывает их как набор новых инструкций. (Процесс можно также развернуть в обратном направлении и превратить инструкции на неожиданный поток данных. В феврале исследователи из Университета Бен-Гуриона в Израиле показали, что могут добыть данные со взломанного компьютера через лампочку, которая показывает, работает ли жесткий диск, и передать эти данные на дрон-наблюдатель).

Полностью исключить любой риск злоупотреблений в миллионах строк кодов до того, как им начнут пользоваться, практически невозможно. Департамент обороны США, как говорит Зингер, выявил серьезные недостатки в каждой оружейной системе, которую проверял. В гражданском секторе ситуация не лучше. По данным компании Trustwave, занимающейся анализом безопасности, в 2015 году приложение для смартфона имел в среднем 14 уязвимых точек.

Все эти программы надстраиваются на старых технологиях, часто созданных по логике времен, когда кибербезопасность вообще мало кого волновала. Особенно это касается интернета, потому что в начале он был инструментом, с помощью которого ученые делились своей информацией. Первые версии сети были регулируемые консенсусом и этикетом, в частности серьезным предубеждением против использования имеющейся там информации для коммерческого заработка.

Когда ученый из США и один из пионеров интернета Винт Серф заговорил о внедрении в сеть функции шифрования в 1970-х, то его усилия, как он утверждал, заблокировали американские шпионы, что считали криптографию оружием государства. Итак, вместо того, чтобы иметь встроенную безопасность от самого начала интернет вместо этого использует слой дополнительного ПО на миллион строк, чтобы гарантировать безопасность информации, например, о кредитных картах. Ежегодно появляются сообщения про новые и новые дефекты и слабые места в этом слое.

Фундамент многих компьютерных систем, который выстраивали по принципу доверия, остается источником беспокойства. Как и доверчивость многих пользователей. Если отправить достаточному количеству людей безопасное с виду письмо, в котором попросить их пароли или написать якобы какие-то данные (а на самом деле инструкции для машины), то есть немалый шанс, что кто-то кликнет на то, на что кликать не стоит.

Высокая культура безопасности (как среди разработчиков, так и среди компаний и их клиентов) выстраивается не сразу. Это одна из причин, что заставляет тревожиться через интернет вещей. «Некоторые компании, производящие умные лампочки или счетчики электроэнергии, не работают в компьютерной сфере», — говорит Грег Стол, который руководит фирмой Cryptosense, что занимается анализом автоматизированного криптозащиты информации. База данных Spiral Toys (компания продает подключенных к интернету мишек, из-за которых малыши могут отправлять сообщения родителям) лежала онлайн без защиты несколько дней в конце 2016 года. Следовательно из нее можно было похищать личные данные и сообщения детей.

Даже бизнесу, осознающему эти опасности, такому как автопроизводители, гарантировать безопасность непросто. «Крупные компании, чьи логотипы на машинах, которые вы покупаете, на самом деле не производят автомобилей, — подчеркивает Фишер. — Они собирают много комплектующих от меньших поставщиков. И все большая часть этих комплектующих содержит программные продукты. Автопроизводителю действительно сложно проследить абсолютно за всем».

Кроме влияния технологий и культуры есть еще третий фундаментальный источник опасности: экономические стимулы в компьютерном бизнесе. Интернет-компании практически более всего ценят рост своей стоимости. Время, потраченное на написание безопасных кодов и на привлечение новых клиентов, — это не то же самое. «Присылайте продукт во вторник, проблемы с безопасностью решите когда-то там на следующей неделе... наверное», — так можно описать их отношение к вопросу, говорит Росс Андерсон, еще один эксперт по компьютерной безопасности из Кембриджского университета.

Длинные лицензионные соглашения, на которые должны соглашаться пользователи ПО (почти никогда не читая) обычно снимают любую ответственность с разработчика программ на случай, когда что-то пойдет не так, даже если это программное обеспечение создано именно для защиты компьютеров от вирусов и т. др. Такие дисклеймеры не всегда и не везде имеют юридическую силу. Но суды в США (американский рынок ПО является крупнейшим) обычно относятся к разработчикам с симпатией. Их безнаказанность частично объясняет, почему компьютерная индустрия настолько инновационная и динамичная. Но отсутствие правовых последствий даже тогда, когда продукт оказывается уязвимым, оборачивается значительными убытками для пользователя.

Если потребителям сложно давить на компании через суды, то логично надеяться, что вмешается государство. Но Андерсон подчеркивает, что компьютерные фирмы страдают от противоречивых стимулов правительства. Иногда оно хочет мощной защиты компьютеров, потому что хакеры ставят под угрозу и граждан, и само функционирование государства. В то же время компьютеры — это инструменты слежения и шпионажа, и пользоваться ими проще, когда они не вполне защищены. По этому бытует мнение, что Агентство национальной безопасности США умышленно встраивало дефекты в некоторые технологии шифрования, которыми оно пользуется больше всего.

Паранойя у роботов

Но риск в том, что любой, обнаружив эти недостатки, может сделать то же самое, что и спецслужбы. В 2004 году кто-то (ни одна официальная организация не заявила, кто конкретно) много месяцев прослушивал звонки на мобильные телефоны греческих чиновников, в частности премьера Костаса Караманлиса. Это делалось с помощью хакнутых инструментов наблюдения, встроенных в систему, разработанную компанией Ericsson для оператора Vodafone.

Некоторые крупные компании, а также некоторые правительства сейчас пытаются систематически решать проблемы с безопасностью. Охотники за багами часто требуют у компаний деньги за то, что находят в их ПО дефекты. Microsoft настоятельно просит потребителей переходить с устаревших менее безопасных версий Windows на новые, хоть и с ограниченным доступом. Google и Amazon пытаются выловить как можно больше багов, поэтому разрабатывают собственные версии стандартных протоколов шифрования, переписывая от А до Я программу, которая сохраняет информацию о кредитных картах и другие данные, на которые падки хакеры. Amazon сделал свою версию открытой, поэтому все потребители могут посмотреть исходный код и предложить улучшения. Так открытые проекты в принципе создают широкую базу для критики и совершенствования. Но подход работает достаточно хорошо тогда, когда удается привлечь и удержать активное сообщество программистов.

Более фундаментальную работу финансирует Агентство передовых оборонных исследовательских проектов США. Это структура Департамента обороны, что причастна к развитию интернета. В Кембриджском университете Уотсон за деньги Агентства разработал новый вид чипа CHERI, который пытается встроить безопасность в железо, а не программное обеспечение компьютера. Он объясняет одно из свойств чипа: тот управляет своей памятью таким образом, чтобы гарантировать, что машина не трактует ошибочно данные как инструкции. Таким образом он обезвреживает целую когорту недостатков. Благодаря CHERI отдельные программы или даже их фрагменты могут работать в безопасной «песочнице» — изолированной программной среде, что уменьшает ее влияние на другие части системы. Поэтому даже если злоумышленники получат доступ к одной ее части, в другие не взламаются.

Операционные системы, веб-браузеры уже используют такие «песочницы». Но когда их вписывают в ПО, то они съедают ресурс. Если же встроить чип в железо, этот недостаток можно обойти. «Можно иметь веб-браузер, где каждый элемент страницы — картинка, реклама, текст и т. п — будет работать в отдельном маленьком безопасном анклаве», — говорит доктор Уотсон. Он считает, что инновационную разработку его команды можно довольно беспроблемно добавить в созданные ARM или Intel чипы, на которых работают телефоны и ноутбуки.

Другой проект Агентства сосредотачивается на технологии «формальных методов». Она сжимает компьютерные программы до гигантских спецификаций, выстроенных по принципу формальной логики. Здесь на математических способах доказательства теорем можно показать, что программа действует именно так, как запланировал разработчик. «Компьютерные ученые исследуют такие подходы много лет», — говорит Фишер. Но только недавно доступные вычислительные мощности и инструменты позволили применить результаты к фрагментам ПО, достаточно масштабным, чтобы быть интересными с точки зрения практического применения. В 2013 году команда Фишер разработала формально проверенную программу контролирования полета любительского дрона. Команда хакеров, хотя ей дали полный доступ к исходному коду беспилотника, не смогла в него вломиться.

«Пока эту разработку можно будет использовать на чем-то, что будет иметь уровень сложности полноценной операционной системы, пройдет еще много времени», — говорит Фишер. Но она подчеркивает, что немало рискованных компьютеризированных девайсов работают на одной простой программке. «Вещи вроде инсулиновых помп, комплектующих к авто или самые дешевых девайсах из интернета вещей — эту разработку можно применить к ним всем».

Но главное — качество изменения рынков. Повсеместность кибератак и впечатление, что предотвратить невозможно, побуждают крупные компании обращаться к старым, проверенным методам на случай неизбежных рисков — страхования. «Объем рынка киберстрахования — это сейчас около $3-4 млрд за год, — говорит Джеремайя Гроссман из компании Sentinel One, которая продает защиту от хакеров (и, что нетипично, предлагает гарантию на действенность своего продукта). — И он растет на 60% ежегодно».

Чем дороже становится страхование, тем требовательнее компании могут быть в ПО, которым себя защищают. А чем больше будут расти страховые выплаты, тем активнее страховщики потребуют, чтобы программным обеспечением пользовались адекватно. Это может вылиться в благородный союз интересов. По данным отчета консалтинговой компании PwC за 2015 год, треть американского бизнеса имеет какое-то киберстраховое покрытие, хотя оно часто предлагает лишь ограниченный защиту.

Но самым проблемным может оказаться вопроса ответственности разработчиков за свой продукт. Прецеденты, которые есть в этой области сегодня, относятся к эпохе, когда программное обеспечение было новинкой в бизнесе, а компьютеры работали в основном с абстрактными вещами вроде динамических таблиц. В те дни этот вопрос был не таким насущным. Но в мире, где ПО — все, а компьютеризированные машины или медицинские приборы могут непосредственно убить человека, убегать от него вечно не получится.

«Индустрия не на жизнь, а на смерть будет воевать с каждой попыткой наложить на нее ответственность», — говорит Гроссман. Кроме привычного сопротивления регулированию, что увеличивает для них расходы, компаниям Кремниевой долины часто присущ либертарианский дух, который корнями уходит контркультуры 1960-х и усиливается удобным для себя убеждением, будто то, что замедляет инновации, — это атака против общего блага. Вашингтонский исследователь криптографии Кеннет Уайт предостерегает: если государство возьмется за бизнес программистов слишком активно, он начнет напоминать фармацевтический: там строгое и повсеместное регулирование частично объясняет, почему стоимость разработки новых лекарств сейчас достигает миллиарда долларов. Поэтому в компьютерной индустрии есть мощный стимул очиститься еще до того, как за него возьмется государство. Ведь если будет больше лет вроде 2016-го, то эта возможность испарится, словно деньги из хакнутого счета в банке.

  1. Последние
  2. Популярные
Загрузка...

Новости технологий сегодня

Самые популярные метки