Чому законопроект 6688 неефективний

з точки зору кібербезпеки

tl;dr: Законопроект #6688 неприйнятний та контрпродуктивний з точки зору кібербезпеки, адже створює значно більше загроз приватності та свободі, ніж вирішує загроз кібербезпеки. Все, для чого він ефективний, – це введення державної цензури в інтернеті та обмеження прав та свобод громадян. Дієвою альтернативою законопроекту є підсилення кібербезпеки держави традиційними методами та підвищення обізнаності громадян, а особливо військовослужбовців, службовців та членів їхніх сімей, щодо загроз кібербезпеки та способів протистояння ним.

Fuck #6688

В якості одного з аргументів за введення державної цензури в інтернеті автори законопроекту наводять захист кібербезпеки держави. Очевидно, серед авторів законопроекту (власне, як і взагалі в Верховній Раді України) немає жодного компетентного спеціаліста з кібербезпеки. Адже, як влучно зазначає Sean Brian Townsend, блокування інтернет-ресурсів, навіть з найвищою можливою швидкістю української бюрократії, не допоможе спинити сучасну кібер-атаку. А що ж допоможе?

Невеличкий ліричний відступ. Як і в будь-якій професії або області знань в період її стрімкого розвитку, в кібербезпеці дуже багато шарлатанів та відвертих непрофесіоналів, які називають себе експертами або просто голосно і авторитетно висловлюються з цих питань, і навіть ведуть успішний бізнес, пишуть книжки та готують законопроекти. У вівторок я мав нагоду читати лекцію студентам Літня Філософська Школа УКУ і наприкінці першої пари сказав їм, що тепер вони більш освічені, аніж більшість людей, які називаються експертами з кібербезпеки. Я не жартував.

В чому ж секрет успіху шарлатанів та невігласів? Він базується на тому, що широкий загал не має жодних релевантних знань. Тому суспільною думкою так просто маніпулювати, знаючи пару спеціальних термінів та засобів впливу, та роблячи впевнений вигляд. А, і ще, звичайно, дуже допомагає використання аргументів що це типу все заради національної безпеки. Ліричний відступ завершено.

Повертаємось до теми кібербезпеки як дисципліни, а не полігону для шарлатанства та політичного популізму. Не перемикайтесь: тут насправді все дуже просто.

Коли ми говоримо про національну безпеку в кіберпросторі, то ми говоримо про APT (Advanced Persistent Threats), хакерські групи, які підтримуються певними державами. В нашому випадку це можуть бути APT28, APT29 та ще пачка команд з цього бестіарію (кому раптом цікаво, можете почати дослідження тут: https://www.fireeye.com/current-threats/apt-groups.html), але зараз давайте їх всіх умовно назвемо “пацаки”.

Так ось, в пацаків, як і у всіх APT, є певні тактики, інструменти та процедури – TTP (Tasctics, Tools, and Procedures). Іншими словами, як і в будь-якій команді, в кожній APT є певна культура співпраці, яка складається з прийнятих тактик, напрацьованих процедур, розроблених або видозмінених засобів автоматизації, захоплених серверів та мереж тощо. І коли вони здійснюють певну операцію – кібер-атаку, диверсію, або операцію інформаційно впливу (пропаганди) – вони діють в рамках цієї культури. Вони можуть з легкістю модифікувати свої інструменти: видозмінювати шкідливі програми (віруси), чи міняти сервери віддаленого управління цими програмами ( С&C, Command and Control servers) як рукавички. Але тактики та процедури змінити не так легко, адже ці традиції та, як ми кажемо, “культурні особливості”, напрацьовуються довго та змінюються поволі.

Саме тому, навіть за відсутності прямих доказів втручання тих чи інших APT в системи та мережі, режим операції (MO, Modus Operandi або Mode of Operation) зазвичай видає певні ознаки, за якими можливо провести атрибуцію до тієї чи іншої групи. Не забувайте, це дуже кваліфіковані та дуже добре фінансовані групи, тому прямих доказів зазвичай годі й чекати (хоча трапляються факапи). Але ви зрозуміли: якщо довго і тихо спостерігати, то можна зробити певні висновки, які з дуже великою ймовірністю будуть вірними.

Тепер дивіться, аналіз та розслідування діяльності APT то не є мистецтво. Це сумлінна, кропітка та методична праця, яка не дозволяє вільної інтерпретації вхідних даних, а тим більше висновків. Основним завданням аналітиків загроз є спостереження за тим, що відбувається у кібер-просторі, своєчасне виявлення ознак кібер-атак, діагностика того, як ці атаки відбуваються, та поширення ознак цих діагнозів світом: серед своїх клієнтів чи то публічно. Кожна атака складається з певних етапів, об’єднаних в послідовність дій, яку аналітики загроз називають Kill Chain. Назва трохи пере-розпіарена, але влучна, адже досконало проаналізувавши кожну ланку атаки можна впровадити відповідні засоби безпеки й не дати хакерам піти далі по цьому ланцюгу. Звісно ж, просунуті хакери будуть використовувати декілька резервних ланок, щоб вихід однієї з них із ладу не відбивався на загальному результаті, тому все трохи складніше, ніж здається. Але загальну тактику протидії кібер-атакам ви вловили.

Нарешті, ми підібралися до питання, як кібер-атаки зупиняються та як їх можна попередити. Є ціла купа джерел, з яких можна отримати стандарти, настанови та рекомендації, що становлять так звані “найкращі практики” кібер-захисту. Більшість з них морально застаріли, та майже всі вони сповідують суто детерміністичний підхід до розв’язання поставлених задач. Що це таке, і чому це погано, я поясню іншим разом, та якщо коротко, то якщо ви зробите все, що написано в розумних книжках розумними людьми, але не проаналізуєте, як ваше оточення та модель загроз відрізняється від загального випадку, вас все одно дуже легко зламають. Адже кібер-простір це стохастичне середовище, в якому ви не маєте впливу на мотивацію та вплив більшості агентів загроз.

Зважаючи на недоліки “найкращих практик”, спеціалісти з кібер-безпеки вирішили створити нову модель аналізу загроз, яка допоможе бізнесу та державі протистояти діям APT. Ця модель називається Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) Matrix (https://attack.mitre.org/wiki/Main_Page). Вона знаходиться у відкритому доступі та наповнюється експертами з кібербезпеки в режимі Open Source. Модель класифікує тактики APT за їхнім місцем у Kill Chain, а це дуже зручно, адже можна вибудовувати ланцюжки з наявних “квадратиків”, і ці ланцюжки будуть характеризувати певні атаки і навіть хакерські групи. Для цього вже є спеціальні інструменти, які ви можете завантажити на сайті проекту ATT&CK і почати використовувати в вашій компанії просто зараз, адже все це – безкоштовно.

Давайте поглянемо на ATT&CK уважніше та поставимо собі питання: які ланки атаки з першої категорії Initial Access (первинний доступ) можна зруйнувати за допомогою блокування ресурсів в інтернеті? З усіх реалістичних варіантів, я бачу, що лише Spearphishing via Service, тобто фішинг через використання ціллю легітимної служби, може ну хоч якось постраждати від блокування цього сервісу операторами зв’язку. Прикладом такої тактики атаки може бути нещодавнє поширення троянських програм на смартфонах ізраїльських військових. Чи є блокування Google Play Store або Apple AppStore ефективним способом протидії такій атаці? В масштабах організації, міністерства або армії – цілком можливо. В масштабах країни? Очевидно, негативні економічні наслідки від такого блокування є асиметричними та диспропорційними. І я навіть не згадую про те, що на момент вступу в дію такого блокування, відповідна операція буде вже однозначно успішно завершена. Пам’ятаєте неПєтю? Він поширився менше ніж за півтори години. І не забувайте, що в разі успішного і своєчасного блокування джерела атаки чи поширення шкідливої програми, змінити відповідні інструменти або перенести їх на інші системи буде дуже і дуже просто.

Отже, первинне проникнення від блокувань не постраждає, але ж є ще C&C. Дивимось в останню колонку ATT&CK Matrix і бачимо, що лише ідіот стане здійснювати віддалене керування імплантатами в чужих мережах виключно через канали зв’язку, на які може вплинути державне блокування. Але ж яка цьому розумная альтернатива? (с)

Якщо уважно почитати статті Remediation відповідних розділів ATT&CK, стане зрозуміло, що універсальним способом протистояння кібер-атакам є зниження рівня вразливості цілей цих кібер-атак. А саме, застосування сучасних технологій та процесів кібербезпеки, яким в нашій країні приділяється вкрай замало уваги. Треба робити прості та зрозумілі речі: оновлювати системи, шукати та виправляти вразливості, впроваджувати засоби захисту, та навчати людей бути складнішими цілями для кібер-атак. Ці традиційні засоби дієвіші за будь-яке блокування, адже змушують APT-групи не просто змінювати свої інструменти та місця їх розташування, а ускладнювати тактики та процедури, що є на порядок складніше. А більшість із цих заходів ще й практично безкоштовні. На відміну від систем DPI (Deep Packet Inspection), які неодмінно будуть лобіюватися для застосування в ході впровадження блокування.

Сподіваюся, якщо ви сумлінно та уважно дочитали аж до цього абзацу, для вас очевидно, що жодних суттєвих перешкод державне блокування для APT-груп не створить. Можливо, змусить зробити певні інструменти більш надійними, але за це вони ще й подякують. На що ж зможе вплинути блокування?

На свободу висловлення думок та доступу до інформації власних громадян, звісно. За винятком тих з них, хто навчиться обходити блокування та захистить власну приватність від тоталітарної держави. Ця категорія громадян постійно збільшуватиметься, тому що кібер-грамотність ставатиме все більш важливою в умовах підсилення тоталітарного режиму.

На тих з нас, хто критикує законопроект #6688, він аж ніяк не вплине: ми й без нього живемо і працюємо в режимі non-stop on-demand VPN. Але ж інші… Іншим доведеться навчитися цінувати власну свободу та приватність у складний спосіб.