ІТ-бульдоги під килимом

А поговоримо ми з вами сьогодні про складні взаємини американських ІТ-вендорів і спецслужб: про світовий ІТ-закуліси, скандал в Yahoo, таємниці бекдора в Juniper, історії Apple vs ФБР. Також обговоримо, навіщо АНБ заплатило RSA 10 млн. доларів за криптобэкдор. Спробуємо намалювати кількома штрихами сучасний ІТ-світ як він є, і без зайвої суєти і параноїдальних висновків, і без сліпого обожнювання в «рожевих тонах». Що вийшло — дивіться під катом.

Останні гучні скандали виявили, що в «пост-сноуденовскую» епоху в США з'явився легальний спосіб впливу на будь-якого ІТ-вендора в американської юрисдикції, так званий таємний порядок, що дозволяє вбудувати бекдор (в термінах АНБ – «імплант»).

Історичні коріння
Перш, ніж говорити про взаємини американських ІТ-вендорів і спецслужб, доведеться трохи заглибитися в історію, щоб зрозуміти першопричини. Хтось здивується, але в США до 1942 року… не було єдиної секретної служби в звичному нам розумінні. До створення Управління стратегічних служб, УСС, (правонаступником якого потім в 1946 році стало Центральне розвідувальне управління (ЦРУ) США стратегічної розвідкою не займався ніхто, а окремі приватні питання знаходилися у віданні спеціальних відділів у Держдепі, армії і флоті. І лише в 1942 Вільям Донован створив і очолив єдиний розвідувальний орган для збору і аналізу стратегічної інформації.

WilliamDonovan
Малюнок 1 — Генерал Вільям Донован (1883-1959)

Цікаві принципи, на яких створювалася розвідка США. Донован був мультимільйонером з Уолл-Стріт, і на чолі ключових підрозділів УСС — найбільшими американськими фінансово-промисловими групами, ФПГ (фінанси, зброю, сталь, нафта, зв'язок) — були розставлені свої люди, які отримали від Донована максимум повноважень при мінімальних обмеженнях. Однією з головних стратегічних цілей, крім безпосередньо перемоги у війні з Японією та Німеччиною, було забезпечення світової експансії США і великого бізнесу в Європу, Азію та Латинську Америку після її закінчення. Принципово за ці 70 років нічого не змінилося, і спецслужби США також історично тісно переплетені з ФПГ і підприємствами військово-промислового комплексу, ВПК, обслуговуючи їх бізнес-інтереси. І всі ці структури володіють колосальною підтримкою в Білому Домі, на Капітолійському Пагорбі, в Пентагоні і, дуже ймовірно, в Ленглі і Меріленді (ЦРУ і Агентство національної безпеки, АНБ, відповідно).

ІТ-неофіти
І все в цій схемі було звично і спокійно, поки на початку 90-х у світ фінансово-промислових груп та підприємств ВПК стрімко не увірвалися ІТ-вендори: Microsoft, IBM, Intel, Cisco, а потім Apple, Google, Facebook. До 2016 року з капіталізації в першу п'ятірку американських компаній сьогодні входять Apple (1 місце), Google (2 місце), Microsoft (3 місце) і Facebook (5 місце).

Найбільша в світі нафтова компанія ExxonMobil (нафта – головний політичний фактор сучасного світу) займає лише 4 місце з дворазовим відривом (!) від Apple. Не так вже серйозно відстають і інші американські ІТ-гіганти – Cisco, Oracle, IBM, Intel.

Виходить, що ці ІТ-неофіти з одного боку своєї фінансової міццю швидко потіснили ведучі «традиційні» світові промислові компанії та підприємства ВПК, що визначають протягом останнього сторіччя політику США, а з іншого — абсолютно явно не встигли вилізти з-під корчі» ©, отримавши відповідне їх фінансової потужності політичний вплив і прикриття у Вашингтоні. Традиційний ВПК очевидно не сприймає ІТ-вендорів всерйоз, вважаючи їх не більш ніж обслуговуючим свої інтереси посередником, без якого вже не обійтися. А найбільші виробники ІТ справедливо вважають, що сьогодні їх фінансова потужність дозволяє їм вести свою політику. Наявності ймовірний політико-економічний конфлікт ІТ-неофітів і традиційного ВПК. Чи все набагато простіше, і вони давно є частиною великої спільної гри? Про це нижче.

Акціонери – перший рівень опору
А тепер давайте подивимося на історію з «імплантами» АНБ, секретними порядками, судами і т. п. з точки зору ІТ-вендорів. Спробуємо поміркувати над тим, навіщо їм допомагати АНБ або ЦРУ, які відверто використовують їх для ведення своєї великої геополітичної гри в інтересах ФПГ і підприємств ВПК. Тут можливо два сценарії.

У першому, найбільш ймовірний, вони вже є частиною фінансово-промислових груп і просто роблять вигляд, зображуючи публічно свою незгоду. На користь цього сценарію свідчить ряд факторів. Зокрема, провідними акціонерами Apple, Microsoft, Oracle та інших є дві найбільших в світі інвестиційні компанії Vanguard і BlackRock з сумарними активами близько 8 трлн дол. США (що в сумі близько до сумарних активів всіх інших світових інвестиційних фондів). Ці ж дві компанії також є основними акціонерами багатьох провідних компаній ВПК США, зокрема, Lockheed Martin. Цей факт безпосередньо не свідчить про прямому контролі, але говорить про багато що. Також існує ще безліч менш значних фактів, зокрема, наприклад, особу акціонера Google Еріка Шмідта. Він недавно покинув свій пост, повернувшись на роботу в Міністерство Оборони США, хоча, як раз це і можна розцінювати як ймовірний показник розпочатої боротьби топових ІТ-неофітів зі спецслужбами.

Другий сценарій – конфлікт за межі сфер впливу з ФПГ або боротьба різних ФПГ, в які входять різні ІТ-вендори. На його користь свідчать і історії з Yahoo і Juniper (про що нижче). Все це більше схоже на «підкилимну боротьбу» з виразом своєї незгоди із політикою держави в особі його спецслужб.

Отже, припустимо, що вендори не входять у ці фінансово-промислові групи (або фінансовий клан, куди входить вендор, в певних випадках не зацікавлений у виконанні цього секретного наказу, який нав'язаний іншої фінансово-промислової групи), а значить, вендорів не об'єднують спільні інтереси у сфері участі у міждержавній розвідувальної діяльності. Самим по собі ІТ-вендорам, на відміну від класичних ФПГ, не треба «підглядати, підслуховувати». Безглуздо. Вони і так абсолютні лідери. Вся ця історія з «імплантами» і глобальної стеженням серйозно псує бізнес ІТ-вендорів, тим самим, тільки посилюючи їх можливий конфлікт з ФПГ та відстоюють їх інтереси спецслужбами.

Подібна «підкилимна метушня» завжди мала місце в американській великій політиці, але зараз, глянувши на всю ситуацію з закладками під новим кутом, ми можемо побачити підтвердження конфлікту у вигляді сплесків: різні публічні заяви в пресі від Apple, Microsoft, Google, Cisco.

Звичайно, було б наївно вважати, що вендори відстоюють інтереси демократичного суспільства. Їх, по суті, хвилює тільки одне – щорічне зростання капіталізації компаній і збільшення прибутку. І їм не цікаві проблеми ФПГ, спецслужб і держави, якщо не відбулася їх смичка за першим сценарієм. Тому, у випадку другого сценарію, очевидно, що акціонери і керівництво вендорів будуть всіма силами боротися з практикою секретних приписів, що ми, ймовірно, і бачимо зараз на прикладі останніх скандалів у пресі. Або, все ще гірше, і ми просто спостерігаємо відгомін боротьби різних ФПГ.

Відмінною демонстрацією відвертого цинізму, підкилимних ігор і спроб зобразити " хорошу міну при поганій грі в сучасному ІТ-бізнесі є розкрилася днями історія з компанією Apple. У грудні 2015 року їх віце-президент пише шефові виборчої компанії Клінтон приватне підлесливого листа, в якому запевняє у повній лояльності компанії і задоволенні «тисяч запитів в місяць» щодо розкриття інформації для американських спецслужб.


Рисунок 2 — фрагмент листа віце-президента Apple

А всього через два місяці компанія Apple влаштовує в пресі награний відкритий скандал під егідою: «Нічого не дамо ФБР: демократія в небезпеці!» Виникає питання, якщо це роблять з таким «китом» індустрії як Apple, то що говорити про більш дрібних рыбешках.

Розробники – другий рівень опору
Америка – величезна країна з великими традиціями. Не варто недооцінювати принципи свободи і демократії, якими керуються багато американців. На людей, які щиро вірять у все це, тримається ІТ-індустрія США. Згадаймо відоме відео з щирими захопленими крики Стіва Балмера на щорічній зустрічі Microsoft зі своїми співробітниками: «Розробники, програмісти, розробники!!!» І у них є свої принципи. Більшість з них щиро вірять в свободу і демократію, і їм не цікаво навмисно вбудовувати в свої продукти бекдори, навіть отримавши секретний наказ, розголошення якої прирівнюється до розголошення державної таємниці з усіма витікаючими наслідками. І навіть якщо акціонери і боси ІТ-гігантів вже давно «зріднилися» з ФПГ і спецслужбами, це зовсім не означає, що розробники будуть їх підтримувати. Як мінімум, поки з Росії з Китаєм шляхом багаторічної пропаганди не зроблять в черговий раз лякав «імперії Зла». Тому розробники — другий і, мабуть, сьогодні головний рівень опору. Недарма RSA отримало від АНБ премію в 10 млн дол., але про це нижче.

ФПГ vs вендори, Або нічого особистого – тільки бізнес
Останнім часом світ тяжіє до крайнощів. Ясно, що немає однозначно чорного або 100% білого, існує безліч відтінків і півтонів. Це стосується і відносин між ІТ-вендорами і державою. Сьогодні це великий бізнес, і у нього свої закони. Існує маса легальних можливостей вплинути на будь-яку компанію і очевидно, що цими способами будуть користуватися в умовах ринкової економіки.

Специфіка корпоративного права в США така, що для впливу зовсім необов'язково володіти всією компанією, достатньо її контролювати. Враховуючи 8+ трильйонів активів на двох у Vanguard і Black Rock, багаторазове перехресне володіння, а також наявність часток практично по всіх великих корпораціях, акції яких обертаються на біржі, нескладно помітити, що, будучи найбільшими акціонерами ІТ-вендорів і одночасно підприємств ВПК, це дозволяє їм централізовано проводити будь-яку власну політику, коригуючи її і враховуючи інтереси як ФПГ, так і США в цілому. При цьому, очевидно, що за таким гігантським капіталом стоять не ІТ-неофіти, а ті ж самі представники різних глобальних ФПГ, які ще 100 років тому визначали політику США – їх капітали за ці 100 років нікуди не поділися, а тільки посилилися і багаторазово зросли.

До речі, пару років тому у Флоренції провели цікаве дослідження, порівнявши список 1000 найбагатших сімей міста 500 років тому і зараз — кореляція виявилася близька до 100%: переважна більшість сімей, які були багаті тоді, також багаті і зараз. Тому не варто думати, що клан Рокфеллерів з їх мільярдами початку 20 століття кудись раптово зник і тепер їх місце зайняли сучасні ІТ-неофіти, які володіють «жалюгідними» десятками мільярдів доларів. Справжні «ляльководи», контролюючі трильйони доларів і впливають на світову політику, судячи з усього, тепер воліють залишатися далеко за кадром, не мелькаючи в списках Forbes.

Розуміючи це, можна іншими очима подивитися на багато сьогоднішні процеси у великому ІТ-бізнесі. Йде велика гра, відгомін якої ми іноді бачимо в американській пресі, в тому числі, серйозна боротьба між різними ФПГ, а ІТ-вендори, як публічні компанії, ймовірно, давно не володіють можливістю грати свою роль самостійно. Від біржових щупалець контролю тепер нікуди не дітися.

Причому сама відмінно раніше «продана» ідея повсюдного виходу на біржу, при наявності капіталу, а його більш ніж достатньо у світовий бізнес закуліси, дає можливість абсолютно безболісно і безкровно поступово отримувати контроль над усіма потрібними публічними компаніями і технологіями. Розуміючи це, тепер також можна дещо іншими очима подивитися і на процес у деяких випадках, здавалося б, безглуздого поглинання великими публічними компаніями малих і середніх, але при цьому непублічних. А найголовніше, багато незрозумілі раніше історії стають цілком банальними і простими.

Наприклад, історія з RSA, про яку розповів Сноуден, коли компанія спеціально вбудувала криптобэкдор АНБ за 10 млн. дол. Ясно, що для RSA, як компанії, яка потім була продана за 2.1 млрд. дол., це явно не та сума, за яку вона стала б ризикувати своєю репутацією. Найімовірніше, це була… премія топ-менеджерам і розробникам, які змогли забезпечити реалізацію даного розпорядження. А сама компанія RSA була просто змушена «взяти під козирок» і виконати наказ.

Без відповіді залишається питання, скільки ще таких секретних наказів віддано і надійде ще різним американським вендорам від уряду США. Сьогодні ми бачимо лише зовсім невелику верхівку цього гігантського ІТ-айсберга.

Факти. Історія 1. Yahoo
Коротко нагадаємо, що в жовтні 2016 року в американській пресі вибухнув грандіозний скандал з-за витоку, який, за інформацією з компетентних джерел, виявив:
  • масовий аналіз пошти всіх 500 мільйонів користувачів поштового сервісу через установку в нього силами самого вендора «імпланта» АНБ для негласного збору інформації;
  • систему секретних приписів, згідно з якими держава може зобов'язати будь-якого вендора виконати секретний наказ по вбудовуванню «імпланта».
Цікаво подивитися на історію з Yahoo під новим кутом. Отже, керівництво Yahoo отримує секретний наказ про вбудовуванні «імпланта», який вони втілюють в життя вузькою групою фахівців. Однак, судячи з наявної уривчастою інформацією з преси, дані про це почали поступово розповсюджуватися всередині Yahoo. У підсумку, CISO покинув компанію, мабуть, не погодившись брати участь в цій грі і потім перейшовши в Facebook. За словами інформованих джерел, при черговій перевірці служба ІБ Yahoo виявила «імплант». Через якийсь час стався витік у пресу і вибухнув грандіозний скандал.

З досвіду, малоймовірно, що безпечники Yahoo без додаткової наведення самі виявили даний «імплант» – швидше за все, їм допомогли розробники (або топ-менеджери, хоча в даному випадку це сумнівно).

Факти. Історія 2. Juniper
Найбільш загадкова історія на стику світу ІБ/ІТ трапилася менше року тому — в кінці грудня 2015 року — з головним конкурентом компанії Cisco — компанією Juniper. Великого шуму вона не викликала. По-перше, вендор не так популярний, по-друге, справа була в переддень різдва. Насправді, це була незрозуміла на той момент таємнича історія, до можливої розгадки якої призвели недавні події від моменту оприлюднення архіву кіберзброї АНБ і до історії з Yahoo.

Як було діло. 21 грудня 2015 року Juniper оголосила про виявлення у своєму VPN-пристрої двох закладок, які давали зловмиснику такі грандіозні можливості:
  • віддалений доступ до пристрою через «вшитий» дефолтний пароль був дуже хитро закамуфльований в коді);
  • віддалена розшифровка VPN-з'єднання шляхом ослаблення реалізації криптоалгоритма.
Іншими словами, мова йшла про повної компрометації VPN майже всіх версій пристроїв Juniper. При цьому, представники компанії заявили… що не знають, звідки в її коді з'явилися дві дані закладки. ФБР потім заявила про розслідування, але вся історія тоді дуже підозріло швидко заглохла в американській пресі – про неї ніхто не згадує і досі, хоча даремно.

Тоді було неможливо зрозуміти, по-перше, навіщо сама компанія оприлюднила скандальний факт, а, по-друге, як фахівці одночасно виявили дві такі зовсім різні закладки. Ніхто не заважав Juniper тихо випустити патч, додавши їх до інших вразливостей або оновленням, який потім поступово розійшовся б по клієнтам. Ймовірність, що хтось із дослідників зайнявся б реверсом патча, виявивши ці закладки, вкрай мала, хоча її не варто виключати. Juniper також ніщо не заважало традиційно назвати виявлені закладки уразливими, не привертаючи до них увагу, замість публічного визнання виявлення чужорідних до закладок коді.

Друга уразливість, пов'язана з можливістю віддаленого розкриття VPN-сесій, виявилася особливо важлива. Криптографи зрозуміли тільки через кілька місяців (!) після розкриття, що це було віртуозно виконане ослаблення в реалізації криптоалгоритма. Чий це почерк? Очевидно, спецслужб. Хто володіє таким найвищим рівнем майстерності в криптоаналізу: фахівці з США, РФ, ймовірно, Китаю, Великобританії, Франції і, можливо, Ізраїлю. Останніх трьох можна сміливо викреслити. Китай і Росія – вкрай малоймовірно: складно впровадити своїх агентів всередину Juniper, так і Cisco їм було б зламати набагато цікавіше. Коло підозрюваних звужується, і найбільш ймовірними з них виявляються співробітники АНБ. Тим більше, вони це вже робили подібне раніше за 10 млн доларів з RSA.

Після розкриття архіву кіберзброї АНБ сплив ще один факт, який побічно вказує в цій історії АНБ. Як виявилося, у агентства довгі роки через уразливість (вразливість або закладка?) була можливість віддаленого розкриття VPN-сесій… Cisco. Для забезпечення гідного покриття їм не вистачало… наявності аналогічної можливості в продуктах головного світового конкурента Cisco – Juniper.

Згадаймо, що говорилося в пресі про цю історію самої компанією Juniper. Нібито в процесі аудиту і аналізу коду свої безпечники знайшли дані уразливості. Згадуємо історію з Yahoo – легенда один в один. Особливо цікаво, як вони так раптово випадково виявили таку складну уразливість в VPN, так і дефолтний пароль просто так знайти було неможливо – треба було точно знати, що і де шукати.

Ймовірно, представники Juniper раніше або отримали секретний наказ від АНБ вбудувати дані закладки в своє обладнання, або в свій час АНБ вдалося провести вдалу спецоперацію. Потім розробники, які знають про цю історію, допустили витік всередині компанії, і баг був в даному випадку демонстративно відданий розголосу, що, до речі, говорить про те, що Juniper ймовірно не інкорпорований ні в один з кланів ФПГ, або це свідчення боротьби кланів. Чи це вже зовсім недоступне тонка гра.

Замість висновку
З відкритої інформації достовірно оцінити, що саме відбувається у взаєминах між американськими ІТ-вендорами і спецслужбами, досить складно. Ясно, що йде потужна підкилимна гра, відгомін якої ми регулярно бачимо в пресі. Також ясно, що такі монстри, як Apple, Microsoft і Google, якщо вони вже не всередині традиційних ФПГ (хоча судячи по основним власникам перших двох в особі Vanguard і BlackRock дуже схоже на це) мають величезні фінансові можливості впливати на ситуацію і, судячи з усього, шукають політичного прикриття на капітолійському пагорбі для противаги дії спецслужб. А навіть якщо вони це і роблять тільки для відводу очей або це наслідки боротьби різних фінансових кланів, останні історії чітко показали, що не варто скидати з рахунків американських розробників – вони цілком мають змогу впливати на цю ситуацію, не даючи АНБ жити спокійно. Ось і виходить, що розробники сьогодні… останній реальний оплот свободи і демократії в сучасному ІТ-світі.

А сучасний корпоративний ІТ-світ остаточно перетворився на традиційний великий бізнес зі своїми суворими законами і став зовсім не той, до якого ми звикли ще зовсім недавно. На місце наївним рожевим тонам прийшли відтінки чорно-сірої гами, і сьогодні потрібно бути вкрай оптимістичним дальтоником, щоб всього цього не бачити. Шматочки розкиданого по столу ІТ-пазла сьогодні поступово склалися в одну велику і вкрай непривабливу картину. До нашого загального та превеликий жаль.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.