Перейти к содержимому


"ЭТО не кончится никогда"

Россия США интернет

Сообщений в теме: 7

#1 nessie264

    Переводчик

  • Пользователи
  • PipPipPipPipPip
  • 10 294 сообщений
  • LocationРоссия Снежинск-Тольятти

Отправлено 01 Январь 2012 - 09:18

Изображение

«Компьтерра онлайн»

"ЭТО не кончится никогда"

О том, что напряжённость в международных и внутренних делах часто нагнетается искусственно, наслышаны, видимо, все. Но не все замечают, как именно это делается.



Киви Бёрд

19.12.2011

Исторические события, как известно, часто ходят кругами. Иногда бывает так, что начинается всё как подлинная драма, а затем повторяется как фарс. А порой бывает и так, что начинается всё как фарс, а потом снова и снова повторяется как ещё более откровенный фарс.

История, о которой пойдёт речь здесь, регулярно отсылает к одному и тому же событию, имевшему место осенью 2008 года. Событие это, однако, поначалу было очень строго засекречено, поскольку происходило в закрытых компьютерных сетях военных и спецслужб США.

Официально и с некоторыми деталями о произошедшем было рассказано лишь спустя два года, осенью 2010-го. И судя по этому рассказу, наполненному драматизмом и изложенному от лица первого заместителя министра обороны США Уильяма Дж. Линна (William J. Lynn), имела место серьёзнейшая компьютерная атака со стороны некой иностранной шпионской спецслужбы, по своим масштабам и последствиям оказавшаяся "наиболее значительным проникновением" за всю историю военных сетей США.

Изложенный без каких-либо технических подробностей, этот волнительный сюжет про кибернападение на Америку был использован Уильямом Линном в качестве преамбулы и наглядной иллюстрации к его большой программной статье под названием "Защищая новое пространство". В целом же статья представляла публике свежайший теоретический продукт Пентагона - военную стратегию США для виртуального мира компьютерных сетей.

В кругах Пентагона эта концепция получила неофициальное название "Киберстратегия 3.0", или "активная оборона". Ну а за пределами Пентагона эту однозначно агрессивную программу, откровенно нацеленную на доминирование США в мировом киберпространстве, быстро окрестили "Холодная война 2.0" (см. Кивино гнездо: Холодная война 2.0).

Хотя конкретные шаги властей США по реализации их новой "Киберстратегии" обычно окутаны завесой секретности, кое-что, конечно, в прессу просачивается. И, насколько можно судить по этим публикациям, в том, что касается принципиально необходимого здесь сотрудничества с ИТ-индустрией, дело движется медленно и тяжело.

Так, в первых числах декабря стало известно, что правительству США уже пришлось извлечь из пыльных госархивов древний закон эпохи начала холодной войны, наделяющий власть особыми полномочиями. Это понадобилось, чтобы заставить национальные телекоммуникационные компании, включая таких гигантов, как AT&T и Verizon Communications, раскрыть властям их конфиденциальную информацию про техническое оснащение своих сетей.

Согласно попавшей ныне в прессу информации, в специальном аналитическом обзоре правительства о киберугрозах, распространённом среди ИТ-компаний в апреле 2011, Департамент торговли США попутно "попросил" предоставить властям отчёты о текущем техническом оснащении фирм. В частности, этот документ потребовал от компаний связи предоставить подробный перечень сведений о том, кто из зарубежных фирм какое именно оборудование изготовлял, включая компоненты оптоволоконной передачи, приёмопередатчики и контроллеры базовых станций. Эти сведения через Департамент торговли должны были быть предоставлены министерству обороны. Данным манёвром американские власти намеревались получить подробную карту того, что за страны и как именно ныне участвуют в работе национальных сетей связи США (не секрет, что основное беспокойство вызывает сетевое оборудование из Китая).

Кроме того, Департамент запросил информацию об инцидентах, связанных с нарушением безопасности, - таких, как обнаружение в сетях "неавторизованной электронной аппаратуры" или подозрительного оборудования, способного дублировать или перенаправлять данные.

Вообще-то по американским законам частные компании не обязаны делиться с правительством сведениями, которые считают конфиденциальными и разглашение которых полагают крайне нежелательным. А подробные перечни применяемого оборудования относятся именно к такой категории данных. Однако конкретно в данном случае тем компаниям, которые отказываются откликнуться на призыв властей по-хорошему, сделано предупреждение, что они могут быть подвергнуты уголовному преследованию в соответствии с Законом об оборонном производстве (Defense Production Act) от 1950 года, позволяющим правительству управлять экономикой в военное время...

Ну а чтобы никто не подумал, будто сейчас время мирное, в американскую прессу там и тут вновь стали вбрасываться (очищенные от фактов) истории-страшилки о напряжённых и практически военных сражениях, то и дело происходящих ныне в киберпространстве. Также широко цитируются всякие высокого ранга чиновники, сведущие в госсекретах и авторитетно заверяющие публику, что дела обстоят очень серьёзно. Вот как формулирует проблему, в частности, некто Ричард Фолкенрат (Richard Falkenrath), высокопоставленный член американского Совета по международным отношениям: "Это далеко не смутные подозрения. Конгресс ныне также занимается проработкой данной темы [об иностранном шпионаже в национальных сетях связи], а работают они с этим на основе очень специфического материала, предоставленного им Агентством национальной безопасности на секретном заседании".

Когда-нибудь, вероятно, всплывёт информация и об этом крайне секретном и "очень специфическом материале" АНБ. Ну а пока - в первых числах декабря - очень информированная в области государственных дел столичная газета Washington Post опубликовала большущий материал об уже рассекреченной тайне. Со множеством неизвестных прежде подробностей рассказана та самая история с Уильямом Дж. Линном, которая стала "великим катализатором" для радикального пересмотра военной киберстратегии США.

Самые примечательные фрагменты данной статьи явно заслуживают того, чтобы привести их тут практически дословно - как восхитительный образец промывки мозгов обывателям.


Изображение
Руководство Пентагона рассматривает инцидент, имевший место в октябре 2008, как наиболее серьёзный случай проникновения в секретные компьютерные сети вооружённых сил США. Ответ на эту угрозу - в течение последних трёх лет - преобразовал правительственный подход к кибербезопасности и простимулировал создание нового военного командования, заточенного под укрепление компьютерной обороны вооружённых сил и для подготовки последующих наступательных операций.

Кроме того, усилия по нейтрализации вредоносного ПО - действия, предпринятые в ходе операции под кодовым названием Buckshot Yankee, - также продемонстрировали важность компьютерного шпионажа в организации эффективного реагирования на киберугрозы.

Этот материал, содержащий нераскрывавшуюся прежде информацию о масштабах инфекции, поразившей правительственные сети, построен на основе интервью с двумя дюжинами нынешних и бывших членов руководства США и других людей с непосредственным знанием о подробностях данной операции.

Вредоносная программа, породившая ответную операцию Buckshot Yankee, до этого циркулировала в интернете на протяжении многих месяцев, не вызывая никаких особых сигналов тревоги - просто как ещё одна компьютерная зараза среди множества ей подобных. Затем, в июне 2008 года, она всплыла в военных компьютерах руководства NATO. А ещё четыре месяца спустя, в октябре 2008, аналитик АНБ обнаружил эту инфекцию в закрытой сети SIPRNet (Secret Internet Protocol Router Network), которую министерство обороны и госдепартамент США используют для передачи секретных материалов. То есть обычных служебных материалов, а не самых серьёзных гостайн.

Вскоре, впрочем, тот же самый червь-троянец был обнаружен и в компьютерах более серьёзной системы JWICS (Joint Worldwide Intelligence Communication System), которая оперативно доставляет разведывательную информацию с грифом Top Secret до представителей американского руководства повсюду, в какой бы точке земного шара они ни находились.

Такого рода государственные сети, по которым передаётся информация, утечка которой может иметь драматичные последствия, всегда работают в так называемом режиме Air Gap, или - "с воздушным зазором". То есть на уровне проводов и кабелей они физически отделены от каналов свободно доступного для всех интернета. Или, если угодно, той среды, где кишмя кишат вредоносные коды, всякие вирусы и черви, специально созданные для хищений информации и нанесения вреда компьютерным системам.

Государственное руководство всегда было озабочено проблемами неавторизованного изъятия секретных материалов из закрытых правительственных сетей. Однако теперь, несмотря на Air Gap, в секретных сетях обнаружилось вредоносное ПО, которое ещё и пыталось установить связь с внешним интернетом.

Один из наиболее вероятных сценариев попадания вируса выглядел так: какой-то американский военный, чиновник или подрядчик в Афганистане - где было зафиксировано самое большое число заражённых систем - сидел в интернет-кафе, воспользовался там своей флешкой в уже заражённом кем-то компьютере, а затем на службе вставил этот же флеш-модуль в машину секретной сети. Конечно, делать такие вещи категорически запрещено, однако человек чаще всего оказывается самым слабым звеном в системах защиты информации.

Как только первый компьютер оказался заражён, теперь уже любая другая флешка, подсоединённая к этой машине, подцепляла себе в память копию червя, перенося его на все прочие компьютеры как классический разносчик инфекции. Проблема данного вируса состояла в том, что для похищения контента вредитель должен связаться с компьютером-хозяином - для получения инструкций и подгрузки дополнительных шпионских модулей.

Именно эти сигналы червя, или "лучи", как их называют в АНБ, и были впервые отслежены молодым аналитиком из спецкоманды АНБ под названием ANO (Advanced Networks Operations - "продвинутые сетевые операции") - группы из двадцати- и тридцати-с-небольшим-летних специалистов-компьютерщиков, собранной в 2006 году для охоты за подозрительной сетевой активностью в закрытых сетях правительства. Их офис расположен в непримечательном зале без окон здания Ops1 - приземистого прямоугольного сооружения на большой территории штаб-квартиры АНБ в Форт-Миде, штат Мэриленд.

После нескольких дней расследования сотрудники ANO установили, что имеет место крупномасштабное проникновение.

В полдень пятницы 24 октября 2008 Ричард Шэффер (Richard C. Schaeffer), в ту пору главный в АНБ специалист по защите компьютерных систем, находился на встрече с президентом Дж. Бушем, который наносил свой последний визит в АНБ перед завершением президентского срока. Помощник Шэффера принес и протянул ему лист бумаги с предупреждением о выявленном проникновении. В 4:30 Шэффер вошел в кабинет генерала Кита Александера (Keith Alexander), директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. "У нас проблема", – сказал он.

В тот же вечер руководство АНБ провело брифинг для высших чиновников правительства США - председателя объединённого комитета начальников штабов, заместителя министра обороны, лидеров Конгресса, чтобы рассказать им о произошедшем инциденте.

Проработав всю ночь, операторы ANO нашли потенциальный способ лечения. Поскольку код-лазутчик отсылал сигналы в поисках инструкций для дальнейших действий, было предположено, что, возможно, они смогли бы придумать способ отдать приказ этому вирусу просто себя выключить. К утру, в комнате с разбросанными повсюду коробками из-под пустой пиццы и банками с содовой, на доске был составлен план действий. Но прежде чем запустить этот план в работу, команда АНБ должна была убедиться, что их действия не отразятся на работе прочего программного обеспечения, включая те программы, что командиры на поле боя используют для коммуникаций и работы с разведданными. Им требовалось провести тестовое испытание.

"Самым главным было не нанести вреда", - вспоминает Шэффер.

К полудню того же дня члены команды ANO загрузили в автомобиль компьютерный сервер и отвезли его в находившийся неподалеку офис DISA, то есть Агентства информационных систем министерства обороны, которое занимается непосредственным управлением телекоммуникационных и спутниковых сетей военного ведомства страны.

В 2:30 пополудни они запустили свою программу, специально созданную для ответа на лучи шпиона-лазутчика и подачи для него управляющих команд. Вскоре после этого вредоносный код на тестовом сервере впал в перманентный ступор.

Однако разработка технического противоядия была только первым шагом. Чтобы реально победить угрозу, требовалось нейтрализовать вражеский вирус повсюду, куда он сумел проникнуть в правительственные сети. А это был крайне изнурительный процесс, включавший в себя изоляцию каждого отдельного компьютера, отключение его от общей сети, зачистку машины и переформатирование жёстких дисков.

Другим ключевым игроком в операции Buckshot Yankee была команда АНБ под названием TAO, или Tailored Access Operations (Операции специального доступа) - засекреченное подразделение, созданное в начале 1990-х годов, специализирующееся на зарубежных разведывательных операциях и сфокусированное на сборе чувствительной технической информации. Эти специалисты отправились за пределы военных сетей США, чтобы отыскать информацию о проникнувшем к ним шпионе с помощью спецметодов под названием "exploitation", или электронный шпионаж.

Специалисты TAO выявили новые разновидности этой вредоносной программы и помогли защитникам сетей подготовиться к их нейтрализации ещё до того, как они заразят военные компьютеры. "Это называется способностью видеть за пределами наших проводов", - пояснил один из военных начальников.

Затем в военном руководстве стали обсуждать, следует ли использовать имеющиеся у США наступательные инструменты кибервойны для того, чтобы нейтрализовать данный вредоносный код также и в невоенных сетях, включая и те, что находятся в других странах. Специальное наступательное киберподразделение, именуемое "Joint Functional Component Command - Network Warfare", предложило несколько вариантов для проведения подобной операции.

Однако высшее руководство отвергло эти предложения на том основании, что выявленный код-вредитель выглядит как акт шпионажа, а не непосредственной атаки на системы. Поэтому агрессивные ответные действия он не оправдывает.
В то время как АНБ работало над нейтрализацией вредоносного кода в правительственных компьютерах, Стратегическое командование, отвечающее за обеспечение стратегии сдерживания в отношении угроз со стороны ядерных вооружений, космического и киберпространства, подняло уровень угроз в области военной инфобезопасности. Несколько недель спустя, в ноябре 2008, был издан приказ, тотально запрещающий использование внешних медиа-устройств - USB-модулей флэш-памяти, флэш-карт, цифровых камер, КПК и так далее - в компьютерах министерства обороны по всему миру.

В принципе, этот червь-шпион распространился широко среди военных компьютеров, особенно в Ираке и Афганистане, создавая потенциал для больших потерь разведывательной информации. Однако тотальный запрет на флэшки породил мощное недовольство среди офицеров на боевых заданиях, потому что многие из них опирались на USB-флэшки для скачивания оперативной информации, снимков разведки и обмена отчётами об итогах операций.

АНБ и военные специалисты на протяжении многих месяцев занимались расследованием того, как именно инфекция попала в их закрытые сети. Они собрали у пользователей тысячи флэшек, многие из которых действительно оказались заражёнными. Масса энергии была затрачена на то, чтобы выявить среди них "нулевого пациента". Однако задача такая оказалась чрезвычайно сложной. Как сказал один из начальников, "мы так никогда и не смогли довести дело до того, чтобы определённо указать - всё пошло вот от этой флэшки"...

Скорость распространения новых инфекций удалось снизить в начале 2009 года. По свидетельству руководства, не было выявлено никаких признаков связи шпионского кода с компьютером-хозяином или пересылки документов в руки врагов. Запрет на флэшки частично был снят в 2010 году, потому что удалось внедрить другие меры безопасности.

Изображение

Ну вот, а теперь самое время рассказать то, о чём специалистам по инфобезопасности давным-давно известно, но о чём в статье информированной Washington Post почему-то почти ничего не рассказывается. Итак, что же это был за коварнейший троянец, так сильно напрягший военно-разведывательные госструктуры США?

Червя этого в антивирусной среде хорошо знают и называют обычно или просто "червь Autorun", или Agent.btz – по классификации много им занимавшейся финской антивирусной фирмы F-Secure. Заражает машины этот вредитель с помощью одной из самых дурацких сервисных штучек Windows под названием AutoRun, то есть автозапуска приложений с носителя, воткнутого во внешний порт.

Вредительский файл, сидящий в заражённой флэшке, даже не маскируется и имеет расширение DLL. Его нельзя запустить случайно, типа неосторожным двойным кликом мышки. Чтобы вручную запустить этот файл, надо через командную строку дать машине специальную команду примерно такого вида: "rundll32.exe E:\rntl.dll,InstallM".

Будучи запущенным, червь копирует себя в папку C:\Windows\System32 и создаёт записи-ключи в реестре (HKCR\CLSID) для полного завершения инфицирования системы. Для совершения таких операций ему требуются права администратора, ну а в целом по этим своим параметрам данный вредоносный код соответствует категории "обычный троянец под XP".

На основании всех этих данных специалисты по инфозащите делают вывод, что самый первый компьютер, заражённый в составе закрытой военной сети США, имел включённой функцию AutoRun, а у вставившего в него флэшку пользователя были права администратора (нельзя также исключать, что вставивший заражённую флешку человек САМ и был администратором этой системы). При любом из возможных раскладов следует, что военным для начала следовало бы уволить допускающих подобные вещи сетевых администраторов и нанять вместо них кого-то настоящего и знающего.

Знающего, в частности, то, что подобного рода зараза хорошо известна в гражданском компьютерном мире, где с ней давно умеют вполне эффективно бороться. И для этого совершенно не нужны асы электронного шпионажа из секретного подразделения АНБ...

Тем не менее, по свидетельству высокопоставленных источников Washington Post, руководство США практически с самого начала всей этой истории подозревало, что Agent.btz создали российские шпионы – специально для похищения американских военных секретов.

А когда некий четырёхзвёздный американский генерал, раздражённый тотальным запретом на флэшки, в разгар операции Buckshot Yankee спросил у руководства АНБ, когда же опасность от вражеского червя пройдёт и повышение мер безопасности можно будет закончить, то в ответ услышал вот что. Вспоминает Ричард Джордж (Richard "Dickie" George), в ту пору технический директор АНБ по защите информации: "У нас для него была крайне неприятная новость. ЭТО не закончится никогда"...

http://www.computerra.ru/651912/


#2 vikru

    Участник

  • Пользователи
  • PipPip
  • 818 сообщений
  • LocationРоссия

Отправлено 02 Январь 2012 - 05:14

Так что, живые шпионы не нужны больше? А я все еще надеялась... :wacko:
Русский, помоги русскому!

#3 ДерВиш

    Участник

  • Пользователи
  • PipPip
  • 324 сообщений
  • LocationКраснодар

Отправлено 02 Январь 2012 - 10:34

Просмотр сообщенияvikru (02 Январь 2012 - 05:14 ) писал:

Так что, живые шпионы не нужны больше? А я все еще надеялась... :wacko:
...И мы таки потеряли новую Мату Хари?..
Никогда ICQ не заменит настоящего, живого общения с помощью SMS...

#4 Rostam

    Участник

  • Пользователи
  • PipPip
  • 1 482 сообщений

Отправлено 02 Январь 2012 - 02:25

Цитата

Знающего, в частности, то, что подобного рода зараза хорошо известна в гражданском компьютерном мире, где с ней давно умеют вполне эффективно бороться. И для этого совершенно не нужны асы электронного шпионажа из секретного подразделения АНБ...

Никому не известно кто написал код одного из многочисленных червей Agent.btz. Но известно что написал его какой-то ламер из начинающих в 2008 году. Гордится автору тут нечем (слегка модифицировал чужой код всего лишь) поэтому авторство и неизвестно и особенного интереса не вызывало.
А пострадавший Пентагон очень недооценивает российские спецслужбы и сильно болеет паранойей если приписывает этого червя действиям ужастного и вечного КГБ против него, несчастного Пентагона. Вместо того чтобы смотреть за своими баранами, сующими свои флешки куда попало и подхватывающих всякую заразу из сети Пентагон жалуется на проски врагов, которые только ждут момента чтобы по нему ударить. Червями.

Цитата

И судя по этому рассказу, наполненному драматизмом и изложенному от лица первого заместителя министра обороны США Уильяма Дж. Линна (William J. Lynn), имела место серьёзнейшая компьютерная атака со стороны некой иностранной шпионской спецслужбы, по своим масштабам и последствиям оказавшаяся "наиболее значительным проникновением" за всю историю военных сетей США.
Этому компетентному лицу следовало бы сперва осведомиться о том что такое компьютерные черви, как они живут и для чего они предназначены. Вникнуть в тему, так сказать.

#5 Triff11

    Активный участник

  • Пользователи
  • PipPipPipPipPip
  • 8 206 сообщений
  • LocationЛатвия. Рига

Отправлено 02 Январь 2012 - 02:32

Просмотр сообщенияIce (02 Январь 2012 - 02:25 ) писал:

Никому не известно кто написал код одного из многочисленных червей Agent.btz.


А зря... было бы приятно если бы наши убили бы пентагон :P
Изображение

#6 Rostam

    Участник

  • Пользователи
  • PipPip
  • 1 482 сообщений

Отправлено 02 Январь 2012 - 02:54

Судя по всему, любой нищий, голодающий программер из Бангалора(Индия) может завалить систему безопасности военной сети американцев.
Блин, даже межсетевой экран не могут правильно настроить, вояки. Там любой в очках, похоже - гуру.
Да в армию лучшие и не идут там.
Пентагон убивает глупость больших чинов больше всех врагов.
Для американских военных умение не рассуждать - самое ценное из солдатских качеств. Там идёт естественный отбор именно по этому принципу. Начинает военный думать - неблагонадёжен, снять его с должности, в отставку его. Отвечает на всё YESSIR! - хороший солдат, What a spirit!, молодец.
И всё это при традиционном американском общем армейском разгильдяйстве и пренебреганием техникой безопасности. Зачем им враги?
Они очень уязвимы на самом деле. Для тех кто знает как они устроены.

Сообщение отредактировал Ice: 02 Январь 2012 - 03:12


#7 Skaramush

    Активный участник

  • Модераторы
  • 5 080 сообщений
  • LocationСамара

Отправлено 02 Январь 2012 - 03:09

Если не ошибаюсь, был сценарий глобального обвала систем управления. Если пойдут валиться обычные узлы управления инфраструктурой. Армагедец был нарисован ещё тот.
Кстати, к примеру. Город с вставшей и переставшей работать системой канализации - тот ещё ужастик.
Cujusvis hominis est errare; nullius, nisi insipientis in errore perseverare

#8 vikru

    Участник

  • Пользователи
  • PipPip
  • 818 сообщений
  • LocationРоссия

Отправлено 02 Январь 2012 - 07:59

Просмотр сообщенияДерВиш (02 Январь 2012 - 10:34 ) писал:

...И мы таки потеряли новую Мату Хари?..
Мату Хари давно уже потеряли :D , а вот с современными я бы потягалась.
Когда я прочитала, что Анна Чапмен по телефону советовалась с отцом встречаться ли ей с каким то подсадным агентом, я поняла что просто не могу быть хуже. :ph34r:
Русский, помоги русскому!





Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных