Антивіруси та інший софт

російський та взагалі

Піднімається чергова хвиля публічного обговорення участі Касперського в розвідувальних операціях РФ, зокрема задля викрадення документів та програмних інструментів АНБ, які згодом потрапили до “Shadow Brokers” та спричинили WannaCry та NotPetya. Цього разу рупор у анонімних джерел в американській розвідці та визнаних експертів з кібер-безпеки, серед яких Дейв Айтел (Immunity Inc., виробник славетного Canvas) та Дейв Кенеді (АКА ReL1K, засновник TrustedSec та DerbyCon, автор SET). Обидва ці джентльмени не вирізняються симпатією до РФ, але в експертних висновках не втрачають об’єктивності. Закрема, наприклад, Дейв неодноразово пояснював ситуацію на національному телебаченні та навіть давав свідчення в комісіях Конгресу.

Моя думка з цього приводу незмінна: добровільно чи ні, Лабораторія Касперського була і є активом російських спецслужб, в тому числі й розвідувальних. Але сьогодні я хочу підкреслити інше.

Незалежно від того, брав Касперський участь в спецопераціях свого уряду, чи ні, використання антивірусу є просто геніальним способом здійснення кібер-атак та міжнародного шпіонажу.

По-перше, технічна складова цього каналу просто надпотужна. Як я багато разів вже казав, розташування на комп’ютері процесу, який має необмежені права, тобто може отримати доступ до будь-якого файлу та вмісту оперативної пам’яті, саме по собі – дуже сумнівна ідея з точки зору архітектури безпеки. Додамо до цього факт, що цей процес повинен обробляти неймовірну кількість різних форматів файлів: для людей, які не знають, що таке фазинг та чому .pdf = Penetration Document Format, я просто скажу, що саме через помилки в обробниках складних типів даних і зламуються комп’ютерні системи. Що отримаємо? Що залишається лише мріяти про те, що після встановлення антивірусу безпека системи підвищиться, а не навпаки. (Для кого це не очевидно, підписуйтесь на @taviso в Твітері та блог Google Project Zero.) А якщо ми взнаємо, що люди, які мають доступ до оновлень та вразливостей цього антивірусу, є нашими ворогами?

По-друге, робота антивірусів складна, а їхня взаємодія з операційною системою ще складніша, і ми не знаємо до кінця, які дані вони передають своїм розробникам. Тому, використання антивірусів для шпіонажу відкриває безпрецедентні можливості відхреститися від будь-яких звинувачень. Це просто апогей Plausible Deniability. КАВ “спалив” на лептопі інструменти АНБ та передав їх у Москву? Але ж вони виглядали як шкідливі програми! (якими вони фактично і є). КАВ здійснював пошук по ключових словах по жорсткому диску? Але ж ці ключові слова містилися в зразках “шкідливого” ПЗ! І так далі, і так далі, аж до моменту, коли можна підняти руки вгору і заявити, що їх зламали ГРУ чи ФСБ та вони теж –справжнісінькі жертви кібер-шпіонажу. Не кажучи вже про давні традиції пацакських спецслужб розставляти “повноважних представників” на ключових посадах приватних компаній. У такий спосіб можна відхреститися взагалі від усього та списати все на персональну вербовку окремих працівників, про що вище керівництво та рада директорів, звичайно ж, не мала жодного уявлення.

Це все цікаво та драматично, але які висновки?

Прості та радикальні. Не можна користуватися програмними та інформаційними продуктами ворога, так само як продуктами, які створені на території, що контролюється ворогом, або в компаніях, частина працівників яких живе на цій території, або має родичів, які на ній проживають. Саме тому ребрендинг Лаборатории Касперского в Kaspersky Lab навіть з фактичною еміграцією штаб-квартири – нічого не змінює. Міграція з продуктів ЛК на продукти інших компаній (білоруських, казахських, словацьких тощо) з “тісними культурними зв’язками” з РФ – майже нічого не змінює. Лише повна відмова від інформаційних продуктів, зв’язок яких з ворогом можна прослідкувати бодай інтуїтивно – може знизити ризик.

Але навіть якщо ви позбавитеся 1С, знесете ЛК, знищите аккаунт у ВКонтакте та не дивитиметеся відео в озвучці Кураж-бамбей – залишковий ризик неминучій. Тому що, останній раз, коли я перевіряв, всі ваші друзі та бізнес-партнери користувалися 1С, відвідували ВК, та інші російські веб-сайти.

https://finance.yahoo.com/news/experts-link-nsa-leaks-shadow-brokers-russia-kaspersky-144840962.html

https://www.wsj.com/articles/how-kasperskys-software-fell-under-suspicion-of-spying-on-america-1515168888