Шейн Харрис - Кибервойн@. Пятый театр военных действий

Борьба за сферы влияния разгоралась. Белый дом все-таки отменил план Александера Tranche 2, и не потому, что Обама решил, будто АНБ не справится с защитой киберпространства, а потому, что план слишком сильно напоминал масштабную государственную программу наблюдения за гражданами. Администрация не отказывалась от основной идеи Александера. Просто было принято решение использовать существующую программу DIB, которая тоже была государственной программой по наблюдению, и проверить, смогут ли интернет-провайдеры отслеживать трафик с помощью секретной государственной информации – того самого «секретного ингредиента» АНБ. Это было компромиссное решение. АНБ не получит доступ к сетям компаний, но оно будет сливать им информацию через интернет-провайдеров.

Весной 2011 г. 17 оборонных предприятий добровольно согласились участвовать в пилотной программе. АНБ передавало информацию о цифровых угрозах трем крупным интернет-провайдерам – компаниям CenturyLink, AT&T и Verizon. Последние две из этого списка были близко знакомы с системой наблюдения АНБ, поскольку участвовали в массовой прослушке телефонов американцев вскоре после терактов 11 сентября. И во всех трех компаниях обычным делом было передавать ФБР и АНБ электронные письма и онлайн-данные своих клиентов.

В пилотной программе акцент был сделан на две контрмеры: изоляции входящих электронных писем, зараженных вредоносными программами, и предотвращении взаимодействия исходящего трафика с интернет-адресами злоумышленников. Большинство организаций отслеживали только входящий трафик и игнорировали данные, которые отправлялись из их систем. Хакеры использовали эту недоработку и часто маскировали похищаемые документы компаний под обычный исходящий трафик, прежде чем отправить эти документы на сервер, находящийся под управлением хакеров.

Пилотная программа прошла успешно. Независимый анализ, выполненный Университетом Карнеги-Меллона, одним из ведущих научно-исследовательских институтов в стране, показал, что интернет-провайдеры справились с получением и надежным сохранением секретной информации о цифровых угрозах. Но для хваленых кибервоинов из Форт-Мида были и плохие новости: из полученной от АНБ информации компании не узнали практически ничего нового. Этот факт подтверждал выводы Льют и других экспертов, которые сомневались в эффективности «секретного ингредиента» Александера.

Большая часть информации АНБ устаревала к тому моменту, когда она поступала получателям. Из 52 случаев вредоносной активности, обнаруженной во время работы пилотной программы, только два были результатом использования информации от АНБ. В остальных случаях компании справились сами, поскольку потратили несколько лет, чтобы построить свою систему сетевого наблюдения и укрепить собственную кибероборону.

АНБ могло несколько утешить то, что эти компании улучшили свою защиту, благодаря своевременному подключению к программе DIB в 2007 г., когда от них потребовали передавать информацию об угрозах и принимать государственную помощь, если они хотели продолжить работать в оборонной отрасли. Однако пилотная программа отсекла аргументы Александера о том, что только его агентство имеет необходимую квалификацию для защиты нации.

Не требовалось университетского образования, чтобы это понять. Еще в 2010 г. руководители корпораций начали задавать вопросы, действительно ли АНБ настолько продвинутое, как об этом говорит Александер. Во время совещания с гендиректорами в штаб-квартире Министерства внутренней безопасности Александер выступил с презентацией каталога сигнатур цифровых угроз, составленного АНБ. Как говорит один из участников совещания, гендиректор Google Эрик Шмидт наклонился к сидящему рядом с ним и прошептал: «Иными словами, он хочет сказать, что они потратили все эти деньги и в итоге получили только это? Мы все ушли уже намного дальше». Компания Google, как и многие другие крупные компании, часто подвергавшиеся атакам хакеров, имела собственные источники информации и уже начала операции по сбору сведений о хакерах из Китая. Источниками информации могли выступать частные компании, работающие в сфере компьютерной безопасности, такие как Endgame, продающие информацию об уязвимостях нулевого дня. Вместе с тем Google применяла и иные подходы: например, использовала более сильные алгоритмы шифрования данных своих пользователей и делала шаги в сторону внедрения протокола SSL, обеспечивающего сквозное шифрование для всех, кто пользуется сервисами Google. Шмидт сказал, что сами по себе сигнатуры цифровых угроз «больше не работают. Угрозы появляются не там, где АНБ устанавливает свое оборудование». Хакеры постоянно меняют методы своей работы и ищут новые точки входа. Они знают, что власти следят за ними, – именно поэтому они и меняют свою тактику.

Для Google, как и для других крупных компаний, имел значение не какой-то один «секретный ингредиент», но целое рагу из методов и технологий, рецепт которого постоянно менялся. Вообще говоря, компании относились к безопасности очень серьезно, вкладывая деньги в защиту своей информации и нанимая внешних экспертов для решения сложных задач.

Тем не менее Александер продолжал упорствовать. В 2011 г. он отправился в Нью-Йорк, где встретился с руководителями некоторых крупнейших финансовых организаций страны. Там, в конференц-зале на Манхэттене, он возомнил, что снова оказался в тайном кабинете Пентагона, как в 2007 г., и рассказывал титанам индустрии, какая огромная проблема стоит перед ними. Правда, ему простили это заблуждение.

АНБ уже делилось некоторой информацией о цифровых угрозах с банками через некоммерческую организацию, которая получила название Центра анализа и обмена информацией и была создана по инициативе самих банков. Эта система не работала в реальном времени, но она помогала банкам не отставать от современных тенденций в сфере безопасности и иногда получать ранние предупреждения о типах вредоносного ПО и методах взлома. Другие компании тоже создавали подобные центры для объединения своих коллективных знаний, однако считалось, что банки достигли лучших результатов в этой деятельности, поскольку могли потерять очень много (миллиарды долларов ежегодно вследствие киберкраж), а кроме того, их работа сильно зависела от сетей передачи данных.

Александер рассказал банкирам, что хочет расширить программу обмена информацией DIB и на банковский сектор, но на этот раз использовать одну хитрость. Александер объяснял, что будет намного легче обеспечить защиту компаний, если они позволят АНБ установить в своих сетях оборудование для наблюдения. Выкинут посредника. Дадут аналитикам из Форт-Мида прямую линию на Уолл-стрит.