Кивино гнездо: Государственный троянец Берд Киви

We use cookies. Read the Privacy and Cookie Policy

Кивино гнездо: Государственный троянец

Берд Киви

Опубликовано 21 октября 2011 года

Германским хакерским сообществом Chaos Computer Club (CCC) — крупнейшей и наиболее авторитетной в Европе организацией подобного рода — опубликованы заявление и подробное аналитическое исследование относительно троянца-бэкдора, который, согласно заключению экспертов, применяется немецкими властями в нарушение законов Германии.

Сразу надо подчеркнуть, что германские законы в области защиты прав граждан на тайну личной жизни являются чуть ли не самыми строгими в Европе и во всём мире. Особую чувствительность немцев к вопросам защиты приватности и строгому контролю за сбором их персональных данных принято объяснять нацистским прошлым страны, когда даже сугубо личные документы, вроде дневниковых записей, в условиях тоталитарного контроля легко превращались в угрозу не только для свободы, но и для жизни людей. (Почему аналогично мрачное прошлое России эпохи сталинизма не вызвало похожей чувствительности к защите приватности у россиян, тема для отдельного разговора.)

В Германии реакция на выступление CCC была действительно сильной и заметной — от горячих дискуссий в средствах массовой информации до публичных разъяснений со стороны регионального руководства правоохранительных органов и выступления федерального министра внутренних дел, пообещавшей провести специальное расследование вокруг «троянских злоупотреблений».

Но политический скандал — это всё, так сказать, дела сугубо национальные и остро волнующие лишь конкретно немецкую публику. В то же время в данной истории содержится несколько очень сильных «интернационально важных» моментов — концептуального и технического характера, на которые имеет смысл обратить особое внимание.

Первый момент такого рода — это самозарождение в демократической стране влиятельного и совершенно независимого от государства сообщества профессионалов. Где люди ощущают себя не только специалистами в своём деле, но и полноправными гражданами, которые открыто и доказательно указывают властям, что те нарушают законы государства и должны нести за это ответственность. Или же их просто пора менять. Подобная модель, если вдуматься, несёт в себе огромный потенциал для развития демократии, если её распространить на сообщества юристов, финансистов, экологов и так далее (принципиальные отличия ССС от профсоюзов здесь разъясняться не буду по причине самоочевидности)...

Другой важный момент, технический, полезно разобрать более подробно, коль скоро он целиком сосредоточен на компьютерных делах и любопытных нюансах шпионских программ, применяемых государством против своих граждан.

Но для начала понадобится пояснить техническую суть скандала, разыгравшегося в совершенно конкретном историческом контексте. Ещё в начале 2008 года в Германии разгорелись жаркие дебаты, когда из-за утечки официальных документов через WikiLeaks стало известно, что правоохранительные органы закупают и устанавливают в компьютеры подозреваемых специальную шпионскую программу для прослушивания телефонных разговоров через Skype и перехвата шифрованных SSL-соединений.

Согласно слитым документам, разработчиком программы под названием Skype Capture Unit («Модуль захвата Скайпа») была баварская компания DigiTask из города Хайген. Цена изделия и его обслуживания была весьма и весьма немалой: всего три месяца (минимальный срок) работы шпиона на одном компьютере обходились правоохранительным органам в двадцать с половиной тысяч евро. А в целом, согласно другому утекшему документу, лишь одно германское Бюро таможенных расследований, к примеру, закупило у компании DigiTask шпионских услуг на сумму 2 075 256 евро.

Однако публику и хакерское сообщество особо взбудоражили не столько непомерные затраты, которые покрываются из бюджета за счёт налогоплательщиков, сколько неясная общая функциональность шпионских программ, применяемых государством для слежки. В итоге этот горячий вопрос дошёл до конституционного суда страны, который особым решением постановил, что компьютерная закладка органов должна обеспечивать им возможности «законного перехвата» — аналогично санкционированному судебными инстанциями прослушиванию обычных телефонов. Но никак не более того.

Теперь же, когда в руки хакеров CCC попали несколько анонимно предоставленных образцов шпионской программы, реально установленной властями в компьютеры подозреваемых, стало очевидно, что законы государства нарушаются грубейшим образом.

По результатам анализа кода сделано заключение, что разработчики троянца даже не пытались встроить технические меры защиты, которые обеспечивали бы работу программы исключительно для перехвата интернет-телефонии, как было постановлено конституционным судом. Хуже того, в конструкцию троянца изначально встроены средства для тайного наращивания функциональности путём дополнительного подкачивания компонентов через сеть. Например, таким образом можно добавлять компоненты для дистанционного подключения через интернет микрофона и видеокамеры, встроенных в компьютер, что превращает его в устройство для непосредственной слежки за людьми, а не за их телефонными разговорами.

Как сказал представитель ССС, их анализ ещё раз показал, что правоохранительные органы всё время будут превышать свои полномочия, если за ними тщательно не следить. Конкретно в данном случае в шпионской программе выявлены функции, явно предназначенные для нарушения закона.

При этом правительственный троянец, способный подкачивать и запускать произвольный код на заражённой машине, — это не только полномасштабное проникновение в компьютер без ведома судебных инстанций. Полный контроль за работой заражённого компьютера, вследствие неграмотной и некачественной реализации троянца , открыт не только для тех органов, которые его подсадили, но и фактически для всех желающих. Как подчеркивают хакеры ССС, эту же программу можно без проблем использовать для подброса в компьютер фальшивых «улик» ради компрометации владельца или же, наоборот, уничтожать с её помощью важные для владельца файлы. А такие факты вообще ставят под большой вопрос обоснованность данного метода расследований.

Для демонстрации реальности обозначенных опасностей в ССС написали собственную программу для собственного дистанционного управления через интернет тем компьютером, что уже заражён правительственным троянцем. С помощью этой программы, например, стало возможным дистанционно просматривать скриншоты веб-браузера владельца, включая личные заметки, электронную почту или работу с другими текстами.

Особо было подчёркнуто, что проведённый анализ выявил серьёзнейшие дыры в безопасности, которые троянец вносит в заражаемые им системы.

Буквально во всём, что касается защиты информации, троянец реализован крайне некомпетентно. Мало того, что шифрование данных о его работе происходит лишь в одну сторону — в зашифрованном виде отсылаются снимки экрана и аудиофайлы перехвата, так ещё и криптоключ во всех проанализированных программах применяется один и тот же, будучи жёстко встроенным непосредственно в код.

Что же касается коммуникаций в обратную сторону, то команды от управляющей программы поступают к троянцу вообще никак не зашифрованными. Хуже того, ни управляющие команды для троянца, ни его ответные сигналы совершенно никак не аутентифицированы и не несут никакой защиты целостности коммуникаций.

Иначе говоря, посторонняя, но грамотная третья сторона может легко поставить под свой контроль уже заражённую государством систему. Более того, указывает ССС, злоумышленники даже с весьма посредственным уровнем опыта могут сами подсоединяться к системам слежки властей, объявлять себя одним из конкретных случаев троянца и поставлять им фальшивые данные. Наконец, при такой постановке дела вполне реалистично выглядит даже такой сценарий, при котором ИТ-инфраструктура правоохранительных органов может быть атакована через тот же самый слабо защищённый канал. (Тут в заявлении ССС на всякий случай отмечено, что они пока ещё не проводили подобного теста на проникновение в отношении серверной стороны, работающей с троянцами.)

Подводя итог своему безрадостному исследованию, хакеры ССС выразились примерно так: «Мы были крайне удивлены, просто-таки шокированы отсутствием даже элементарных мер безопасности в коде шпионской программы. Любой грамотный злоумышленник способен взять под свой контроль компьютеры, заражённые германскими правоохранительными органами. Уровень безопасности, до которого этот троянец опускает систему, сопоставим с установкой всех паролей доступа в одно и то же значение типа 1234...»

После столь примечательного выступления известной и авторитетной хакерской организации можно себе представить, насколько бурное обсуждение новости разразилось в германских СМИ. И хотя представители федеральных властей попытались сделать вид, что не имеют к данному троянцу никакого отношения, у глав правоохранительных органов по меньшей мере пяти германских земель хватило духу признать, что они применяют именно эту программу, «но исключительно в рамках закона».

А из этого факта совершенно естественным образом вытекает неудобный вопрос: каким же таким хитрым образом должны быть устроены все общераспространённые антивирусные программы и экраны-файерволы сетевой защиты, что они столь дружно не замечают подобных правительственных троянцев-шпионов? Которые не только занимаются регистрацией информации, обрабатываемой компьютером, но и на регулярной основе выходят в интернет для её отправки следящей стороне...

Дополнительное исследование проблемы германским ИТ-изданием Heise Security показало, что антивирусные программы начали дружно реагировать на «троянца R2D2» (условно названного таким образом по фрагменту из строчки кода программы), лишь только после того, как о нём рассказали миру представители ССС. Хотя вполне очевидно, что программа эта отнюдь не новая и применяется властями давно.

Практически все ведущие производители антивирусов и файерволов предпочли на данный счёт отмолчаться (хотя и не секрет, что в их программах применяются некие «белые списки», которые никто толком не видел, однако именно они обеспечивают невидимость в работе, скажем, общераспространённых «противоугонных» средств типа CompuTrace — тоже в общем-то шпионов-бэкдоров по своей сути).

Самую содержательную реакцию на новость среди разработчиков антивирусов продемонстрировала, пожалуй, финская компания F-Secure. Именно из блога этой фирмы стали известны не только дополнительные факты про троянец-бэкдор под названием W32/R2D2.A, но и некоторые закулисные подробности о деятельности антивирусной индустрии.

На сайте F-Secure отмечено, что в отчёте ССС содержался анализ бинарных файлов DLL и драйвера ядра. Отсюда следует, что у аналитиков ССС, очевидно, не было доступа к программе-установщику бэкдора (который должен быть инсталлирован локально на компьютере жертвы). У компании F-Secure именно такой инсталлятор имеется, причём давно и не в одном экземпляре.

Файл установщика носит название «scuinst.exe», и впервые файл с таким названием в базах данных антивирусных компаний был отмечен 9 декабря 2010 года.

Имя файла-установщика является важным уже само по себе. Сочетание букв «scuinst» — это аббревиатура полного названия Skype Capture Unit Installer, то есть «установщик модуля захвата Skype». Именно под этим названием известна официально продаваемая на коммерческом спецрынке шпионская программа-троянец компании DigiTask.

В компанию F-Secure копия этой программы-установщика попала от известного веб-сервиса компьютерной безопасности virustotal.com. Оттуда же получили файл и многие другие поставщики антивирусов.

VirusTotal — это сервис, в своё время организованный испанской фирмой инфозащиты Hispasec из Малаги. Этот ресурс анализирует присылаемые ему подозрительные файлы с помощью множества антивирусных движков и предоставляет список имён опознания. Ныне VirusTotal является как бы совместным предприятием антивирусного сообщества и делится получаемыми образцами со всеми, кто принимает участие в работе сервиса.

В период с декабря 2010 по июнь 2011 файл-установщик scuinst.exe был анонимно предоставлен в распоряжение VirusTotal по меньшей мере четыре раза — как по электронной почте, так и через веб-интерфейс сайта. Иначе говоря, фактически все поставщики антивирусов давным-давно располагают этим инсталлятором. Однако по некоторой неназываемой причине сигнатура программы-шпиона в базах программ-антивирусов так и не появилась.

Элегантно обходя прямой и неудобный вопрос «почему?», компания F-Secure вместо этого задаёт сама себе вопрос в такой форме: «Если нет детектирования, означает ли это, что нет и защиты?» И сама же на него отвечает так: «Нет. Многие антивирусные средства (такие, как F-Secure Internet Security) имеют дополнительные уровни защиты помимо традиционного выявления известных сигнатур. Лишь то, что угроза не помечена «выявлено», ещё не означает, что она не будет «блокирована» другим уровнем защиты. Конкретно в данном случае инсталлятор R2D2, как показал эксперимент, был бы блокирован в программе F-Secure эвристическими методами анализа»...

Иначе говоря, антивирусной индустрии приходится очень и очень непросто: необходимо защищать своих клиентов от вредоносных программ злоумышленников и одновременно «не замечать» точно таких же программ государственных властей. А уж если злоумышленники способны ставить под свой контроль бэкдоры властей, то что тут делать, совсем непонятно.

К оглавлению