Кивино гнездо: Общество анонимных ассенизаторов Берд Киви
Кивино гнездо: Общество анонимных ассенизаторов
Берд Киви
Опубликовано 22 февраля 2011 года
Согласно давно уже утвердившейся традиции (теперь и не вспомнить, когда и кем установленной), на конференциях по компьютерной безопасности наиболее любопытными и значимыми событиями зачастую оказываются те, что по разным причинам были запрещены инстанциями или в последний момент отменены самими авторами докладов.
Не стал тут исключением и только что закончившийся в Сан-Франциско форум RSA Conference 2011. Это масштабное и респектабельное мероприятие секьюрити-бизнеса, конечно же, мало похоже на хакерские конференции, где чаще всего случаются тихие или громкие скандалы с блокированием разоблачительных презентаций, а бывало, и с арестом докладчика. Однако и здесь, как показывает жизнь, никто из участников не застрахован от больших неприятностей.
Правда, для героя нынешней истории, калифорнийской компании HBGary, источником проблем стали отнюдь не федеральные власти или, как это часто бывает, некая гигантская корпорация, разъярённая публичной компрометацией своих продуктов. Тем не менее, и в данном случае руководители HBGary сочли целесообразным отменить заранее анонсированные доклады, а развёрнутый на выставке-конференции стенд своей компании (с гордым слоганом «Побеждая завтрашние вредоносные программы уже сегодня») оставить совершенно безлюдным и сиротливо заброшенным.
Причину столь наглядного упадка и запустения своеобразно поясняет пошедшая гулять по Сети фотография этого стенда, к которому кем-то из посетителей мероприятия прикреплён от руки сделанный плакатик с надписью типа «Анонимусы были тут — смеха ради»... Смешно всё это или же не очень, каждый понимает в меру своего чувства юмора, но то, что произошедшая с HBGary история в высшей степени поучительна и симптоматична, представляется несомненным.
У фирмы компьютерной безопасности HBGary вплоть до сегодняшнего дня не было абсолютно никаких проблем с госвластями и флагманами ИТ-бизнеса. Скорее даже наоборот, эта небольшая, но с крепкой профессиональной репутацией компания пользовалась (среди тех, кто знает) заслуженным уважением, поставляя собственные программные продукты и сервисы компьютерно-сетевой безопасности весьма крупным корпорациям и разного рода «трёхбуквенным» правительственным агентствам, типа ФБР, ЦРУ, АНБ и тому подобных.
Поначалу HBGary была известна в миру главным образом благодаря нескольким серьёзным уязвимостям, выявленным и описанным прежним техническим директором компании Джеймсом Батлером, который небезосновательно обладал авторитетом видного эксперта в области руткитов ОС Windows. В последние годы одним из наиболее упоминаемых продуктов фирмы была программа HBGary Responder для анализа памяти систем на основе Windows. Эту программу нередко используют правоохранительные органы в ходе компьютерных криминалистических расследований, а также она применяется как аналитический инструмент для выявления в системе признаков работы вредоносного ПО. Кроме того, эта же фирма без лишней огласки довольно давно и интенсивно занимается и куда менее благородными вещами.
В последние месяцы, в частности, руководство HBGary на свою беду решило помочь усилиям ФБР в действиях против Anonymous, известного неформального и нечётко структурированного движения анонимных интернет-хактивистов. В последнее время оно не раз привлекало к себе внимание массовыми сетевыми акциями протеста (кто-то предпочитает называть это киберпреступлениями), вроде атак типа «отказ в обслуживании» и хищений-публикаций компрометирующих внутренних материалов с сайтов сомнительных организаций, вроде церкви сайентологии. Нынешний повышенный интерес к анонимусам со стороны ФБР был вызван тем, что данное движение стояло за так называемой «Операцией Расплата», организованной в знак поддержки усилий WikiLeaks по массовым публикациям компромата. В рамках Operation Payback анонимусами была устроена серия DDOS-атак против веб-сайтов таких корпораций, как PayPal, Visa и MasterCard, которые в самодеятельном порядке и без каких-либо решений компетентных судебных инстанций попытались помешать добровольным финансовым пожертвованиям народа в пользу WikiLeaks.
Поскольку компания HBGary Federal (дочернее предприятие HBGary для работы по заказам федерального правительства) уже давно испытывала ощутимые финансовые затруднения, директору этой фирмы Аарону Барру пришла в голову роковая идея попытаться заработать на интересе ФБР к анонимусам. Имея значительный опыт в сборе и сопоставлении разрозненных персональных данных с различных сайтов интернета, Аарон Барр и его сотрудник, путем прочесывания чатов, социальных сетей Facebook и Twitter, набрали достаточно большое количество «установочной информации» о предположительных лидерах и активистах анонимного движения. Скомпилировав соответствующее досье, Барр намеревался выгодно продать его властям США. Однако на деле всё вышло совершенно не так, как мечталось инициативному разведчику.
Началом катастрофы стало опрометчивое интервью, которое Барр дал газете Financial Times и где он, не скрывая гордости, объявил, что успешно сдёрнул покровы секретности с анонимусов — установив их лидеров и продемонстрировав, что не такие уж они «анонимные». В этом же интервью, дабы привлечь побольше внимания к своему досье со стороны властей, Аарон Барр сообщил, что доложит о методах и итогах своих изысканий на ближайшей конференции по инфобезопасности в Сан-Франциско.
Практически сразу же вслед за этой публикацией некие безвестные умельцы проникли в несколько компьютерных систем как HBGary Federal, так и родительской HBGary (хотя опозоренный «родитель» ныне старательно дистанцируется от своей в хлам скомпрометированной «дочки», настаивая на том, что юридически это самостоятельная компания; на деле у обеих фирм одни и те же владельцы, один общий офис, общие серверы, специалисты и так далее). Проникнув же в системы HBGary — фирмы, напомним, позиционирующей себя в качестве экспертов компьютерно-сетевой защиты, — анонимусы отыскали там составленное Барром досье, а также очень много чего другого и интересного. Например, большущий, примерно на 67 000 писем, архив электронной почты обеих фирм, весьма деликатного свойства внутреннюю документацию и всяческие прочие файлы, совершенно не предназначавшиеся для глаз посторонних.
Мало того, что все эти материалы были анонимусами выкачаны, а многие из них, включая архив почты и досье на Anonymous, тут же выложены в пиринговые сети для всеобщего свободного скачивания и ознакомления (со словами типа «Барр хотел продать это досье ФБР, мы же дарим его им абсолютно бесплатно, потому что собрана там сплошная чепуха»). Попутно анонимусы хакнули и опустили веб-сайты, связанные с бизнесом HBGary, захватили аккаунты их руководства и сотрудников Twitter, где стали публиковать всякие нелицеприятные слова о компании, уничтожили резервные архивы данных фирмы, а ради уязвления лично Аарона Барра дистанционно стёрли информацию в его планшете iPad.
Короче говоря, масштаб катастрофы, постигшей компанию HBGary, без всякого преувеличения можно называть фатальным. Чтобы хоть как-то сохранить лицо, сооснователь и исполнительный директор HBGary Грег Хоглунд даёт прессе интервью примерно в таких сдержанно-угрожающих выражениях: «И прежде то, что делали эти ребята, было технически незаконным, однако всё это совершалось ради прямой поддержки сливов компромата на власти [что нелегальным в общем-то не является]. Но теперь мы имеем ситуацию, когда они совершают федеральное преступление, похищая частные данные и засылая их в торрент-сети... Они атаковали не просто какую-то там компанию — ведь мы пытаемся защищать правительство США от хакеров. Они не могли выбрать себе худшую цель для атаки»...
Судя по происходящему, крайне маловероятно, что хоть кого-то из анонимусов способны испугать подобные угрозы со стороны тотально раздавленной HBGary. Особенно если принимать во внимание характер и содержание той информации о деятельности данной фирмы, что ныне стали общеизвестными. Реальную основу бизнеса HBGary, судя по конфиденциальной переписке компании, составляла не столько защита от вредоносного ПО, сколько написание новых, всё более опасных и неистребимых руткитов, троянов, бэкдоров и прочих шпионских программ. Изготовляемых, естественно, по заказам видных корпораций военно-промышленного комплекса США под всякими нейтральными названиями типа «Проект С», «Задание Z», «Задание M», «Задание B» и так далее.
Как правило, заказчиком всех этих «изделий» обычно выступала известная фирма американского ВПК General Dynamics, а стоимость отдельных заказов могла исчисляться сотнями тысяч долларов. Особый же интерес представляет совсем свежий контракт HBGary, обсуждаемый в январе 2011 года в личной переписке Грега Хоглунда с некой фирмой Farallon. Не самая знаменитая, мягко говоря, в ИТ-безопасности корпорация, Farallon формулирует свою официальную миссию следующими словами: «объединять продвинутые коммерческие технологии и компании, которые их разрабатывают, с запросами и потребностями правительства США». В развернутом письме-презентации Хоглунда для этого интегратора описывается одно из конкретных предложений на запросы американского правительства — совершенно новая разработка HBGary под названием "супер-руткит Magenta".
Цитируя содержательную часть данного документа:
"Magenta — это новый тип руткита под все нынешние разновидности ОС Windows, который в HBGary получил название мульти-контекстного руткита. Тело этого руткита, на 100 процентов реализованного на языке ассемблер и имеющего размер порядка 4 кбайт или менее того, вводится в память ядра ОС с помощью техники частичной загрузки DriverEntry. Однажды внедрённый в память ядра, руткит Magenta автоматически выявляет там контекст активных процессов и тредов, чтобы встраивать себя в них через механизм APC (асинхронный вызов процедуры). Как только APC срабатывает в контексте нового процесса, тут же выполняется и код руткита. При завершении каждой активации APC Magenta перемещает себя на новое место в памяти и автоматически выявляет новые комбинации процессов/тредов для запуска одного или нескольких дополнительных APC.
Среди ключевых особенностей руткита можно отметить, что это совершенно новый тип, не имеющий аналогов в открытых публикациях. Его практически невозможно удалить из живой работающей системы. Любые инструменты, основанные на физическом анализе памяти, которые позволяют увидеть текущее местоположение тела Magenta, будут почти бесполезны, поскольку к тому времени, когда аналитик попытается проверить свой результат, Magenta уже переместится в новое место и в новый контекст. Руткит невидим для оборонительных компонентов режима ядра и оснащён элегантной и мощной системой инструкций командования и управления (C&C message system), для которых имеется практически бесконечное количество способов их внедрения в физическую память сетевого компьютера даже при нулевых полномочиях…"
Переходя к не менее любопытной и до последнего времени столь же незримой деятельности дочерней фирмы, HBGary Federal, несложно увидеть, что с заказами федерального правительства у неё как-то с самого начала не задалось. Однако задачи, которые эта компания с энтузиазмом бралась решать для столкнувшихся с проблемами богатых клиентов, вроде Bank of America или Торговой палаты США, в каком-то смысле ничуть не уступают коммерческому изготовлению шпионских руткитов. А с точки зрения сомнительной легальности творимого, быть может, даже и превосходят.
Когда осенью прошлого года Торговая палата США пожелала собрать информацию о некоторых из своих наиболее рьяных оппонентов в рядах профсоюзов, Аарон Барр почуял большие деньги и объединился с двумя другими компаниям по инфобезопасности, чтобы предложить Палате радикальное решение. Суть предложения — создать крутую и абсурдно дорогостоящую «ячейку синтеза» для быстрого и эффективного сбора компрометирующих материалов на оппонентов, по типу тех ячеек, что «создают и применяют в JSOC» (крайне засекреченном американском Командовании совместных спецопераций) для оперативной борьбы с национальными угрозами. Аналогичная инициатива для бизнес-структур, по подсчётам Барра и его подельников, обошлась бы Палате в круглую сумму — два миллиона долларов ежемесячно.
Ещё даже не получив предварительное «добро» или тем более контракт на операцию, три фирмы уже начали собирать твиты и прочие сетевые публикации либеральных активистов, а также составлять диаграммы социальных связей между людьми. Для этого они использовали продвинутые программы анализа контактов, чаще всего применяемые в спецслужбах и разведывательном сообществе.
Примерно тогда же, в ноябре 2010 года, когда руководители одного из крупнейших банков США, Bank of America, начали с беспокойством искать способы, с помощью которых можно было бы как-то прищучить WikiLeaks (где в ближайшем будущем обещано опубликовать большой массив компромата на BoA), Аарон Барр и тут предложил свои услуги. Он оперативно сгенерировал презентацию-план [PDF], в котором HBGary Federal вызывалась организовать «кибератаки против инфраструктуры WikiLeaks, чтобы добыть данные об источниках-поставщиках документов». Когда же дело дойдёт до прессования этих поставщиков, то в итоге, по мысли Барра, это убьёт и весь проект. Другой сильной идеей была фабрикация компрометирующих документов с подсовыванием их для слива через WikiLeaks. После этого планировалось предоставить факты и доказательства, указывающих на подделку и продемонстрировать всем, что WikiLeaks — это крайне сомнительный источник всякого мусорного хлама.
Наконец, в плане Барра предлагалось пойти и ещё дальше, занявшись персональными информационными атаками против таких людей, как репортёр британской Guardian Джеймс Болл и американский колумнист издания Salon.com Глен Гринволд, регулярно и с симпатией пишущие об инициативах WikiLeaks. Цель атак — угрозами и шантажом заставить журналистов заткнуться: «Это авторитетные профессионалы с либеральным уклоном, но, в конечном счёте, большинство таких людей выбирает карьеру и профессиональное благополучие, а не последствия (приверженности своей позиции). Такова уж ментальность большинства профессионалов бизнеса... Без поддержки таких людей, как Гринволд и Болл, проект WikiLeaks уже загнулся бы»...
Комментируя всех этих планов громадьё, журналист Глен Гринволд (т.е. один из потенциальных объектов барровых атак, имеющий, кстати, юридическое образование), выразился следующим аккуратным образом: «То, что закладывается во всех этих предложениях, вполне возможно, содержит в себе серьёзные преступления. Изготовление и передача фальшивых документов с намерением их публикации напоминают действия с составом таких преступлений, как подделка и мошенничество. Угрозы карьере журналистов и общественных активистов с целью заставить их замолчать, можно трактовать как шантаж, а в зависимости от специфических методов, используемых для этого, составляют также и другие преступления. Атаки в отношении компьютерной инфраструктуры WikiLeaks в попытках скомпрометировать их источники, вне всяких сомнений, нарушают многие законы о поведении в киберпространстве»...
Если же формулировать общую суть происходящего попроще, то анонимусы с их жёсткими ударами возмездия, спору нет, занимаются весьма предосудительными с точки зрения закона вещами. Однако если учитывать то, что за информация благодаря им раскрывается о закулисных действиях влиятельных и очень близких к властям корпораций, то общественной пользы от активности анонимусов, похоже, гораздо больше, чем вреда.
В каком-то смысле их можно уподобить ассенизаторам, избавляющим социум от нечистот. Занятие это тоже никак не назовёшь красивым и респектабельным, однако именно благодаря ассенизаторам обществу удаётся сохранять хотя бы элементарные чистоту и здоровье.
К оглавлению