Читати книгу - "ВІЙН@: битви в кіберпросторі, Шейн Харріс"
Шрифт:
Інтервал:
Додати в закладку:
Компанії, які обіцяють розкривати відомості про «діри» в безпеці власних продуктів лише шпигунським агентствам, отримують гроші за своє мовчання, як кажуть експерти й офіційні особи, яким ці угоди знайомі. Ба більше, оці шпарини, через які влада може стежити, – вимога законодавства. Скажімо, телекомунікаційні компанії зобов’язані проектувати своє обладнання так, щоб правоохоронні органи, які отримали дозвіл суду на стеження, могли прослуховувати розмови так само легко, як через лінії стаціонарного зв’язку. Але якщо АНБ збирає інформацію за кордоном, ці закони вже не поширюються на агентство. Натомість спостереження за допомогою бекдорів і секретних уразливостей в обладнанні та програмному забезпеченні, до якого вдається АНБ, у багатьох країнах незаконне.
Звісно, бекдорами і вразливостями можуть скористатись і хакери. У 2010 році аналітик компанії IBM виявив недолік у системі безпеки операційної системи Cisco, завдяки якій будь-який хакер міг скористатися бекдором для правоохоронних органів. Хакер міг зламати обладнання Cisco і скористатись їм для відстежування всіх комунікацій, зокрема й вмісту електронних листів. Залишаючи вразливості у продуктах, у тому числі таких популярних, як програми Microsoft, компанії піддають небезпеці мільйони користувачів, а також електростанції, комунальні служби й транспортні системи.
Згідно з американським законодавством, влада зобов’язана щоразу попереджати компанії, якщо використовує їхні продукти, сервіси або обладнання для стеження та збору інформації. Деякі з цих угод щодо обміну інформацією відомі лише керівникам і кільком юристам. Вигода від такої співпраці може бути значною. Джон Чемберс, керівник Cisco, потоваришував із Джорджем Бушем за часів його президентських повноважень. У квітні 2006 року Чемберс і президент обідали в Білому домі разом із Генеральним секретарем Центрального комітету Комуністичної партії Китаю Ху Цзіньтао, а наступного дня Буш «підвіз» Чемберса президентським літаком до Сан-Хосе, де президент долучився до Чемберса у штаб-квартирі Cisco і взяв участь у панельній дискусії, присвяченій конкурентоспроможності американського бізнесу. До розмови також приєднався тодішній губернатор Каліфорнії Арнольд Шварценеґґер. Близькість до політичної влади – це вже нагорода. Але привілейовані компанії інколи також отримують від уряду завчасні попередження щодо небезпек, які їм загрожують.
Міністерство внутрішньої безпеки також проводить зустрічі з представниками компаній у рамцях власної ініціативи зі створення «міжгалузевих робочих груп». Ці зустрічі дозволяють керівникам із корпоративного світу, з якими влада ділиться інформацією, поспілкуватися один з одним і почути державних діячів. Учасники таких зустрічей часто мають допуск до секретної інформації й успішно пройшли перевірки на благонадійність. Міністерство оприлюднює розклад і програму деяких зустрічей, однак не розкриває назви компаній-учасниць і зберігає в таємниці чимало подробиць обговорюваних питань. Від січня 2010 року до жовтня 2013-го, як стало відомо із відкритих джерел, влада організувала щонайменше 168 зустрічей із компаніями лише в рамцях ініціативи зі створення міжгалузевих робочих груп. А були ще сотні інших зустрічей за галузевим принципом: наприклад, енергетика, телекомунікації і транспорт.
Ці зустрічі виглядали так: «брифінґ про кіберзагрози» за участі влади, зазвичай представників АНБ, ФБР або Міністерства внутрішньої безпеки; останні новини щодо конкретних ініціатив, як-от підвищення безпеки банківських сайтів, спрощення процедури обміну інформацією між комунальними підприємствами або перелік шкідливого ПЗ; обговорення «інструментів» безпеки, розроблених державою та приватними компаніями, наприклад програм для виявлення в мережі хакерів. Одна з нарад у квітні 2012 року була присвячена «сценаріям обміну інформацією для активного кіберзахисту» – розробленому АНБ методу нейтралізації кіберзагроз іще до того, як вони призвели до збитків. І йшлося тут про інформаційний обмін не між державними службами, а між корпораціями.
На більшості зустрічей ішлося про захист промислових систем управління – під’єднаних до інтернету пристроїв контролю обладнання електростанцій, ядерних реакторів, банків та інших критично важливих інфраструктурних об’єктів. Ось чия вразливість у кіберпросторі найбільше непокоїла керівників розвідки. Ця саме та тема, яка так збадьорила Джорджа Буша у 2007 році, і саме її висвітлив у промові Барак Обама два роки потому. Розсекречені програми цих зустрічей дозволяють поглянути, як саме збираються захищати внутрішній кіберпростір компанії та держава.
23 вересня 2013 року Міжгалузева робоча група з питань безпеки обговорювала зміни, запропоновані в законопроекті «Зв’язок між оператором і оперативним центром уряду Сполучених Штатів» (Connect Tier 1 and USG Operation Center). Під Tier 1 мають на увазі провідних інтернет-провайдерів чи мережевих операторів. Деякі найвідоміші компанії США, ознаковані як Tier 1, – це AT&T, Verizon і CenturyLink. Абревіатура USG розшифровується як United States Government (уряд Сполучених Штатів). Вірогідно, ініціатива передбачала організацію каналу передачі даних між АНБ і цими компаніями й розширення пілотної програми DIB, санкціоноване в лютому 2013 року президентським наказом, покликаним підвищити рівень безпеки критично важливих об’єктів інфраструктури у країні. Влада передавала інформацію про загрози, здебільшого через АНБ, двом інтернет-провайдерам – AT&T і CenturyLink. А ті продавали «розширені послуги кіберзахисту» компаніям, визначеним як життєво важливі для національної та економічної безпеки держави. Цією програмою номінально керує Міністерство внутрішньої безпеки, але саме АНБ надає інформаційну підтримку й забезпечує технічну експертизу.
Завдяки обмінові інформацією держава створила бізнес на кіберзахисті. Компанії AT&T і CenturyLink фактично стали приватними охоронцями, які продають захист обраним корпораціям і промисловим підприємствам. AT&T має одну з найдовших історій співпраці з державою у сфері нагляду. Після терактів 11 вересня компанія однією з найперших зголосилася передавати АНБ записи про дзвінки клієнтів, щоб агентство могло проаналізувати їх задля пошуку потенційних зв’язків із терористами, – ця програма співпраці триває донині. Більшість телефонних дзвінків у Сполучених Штатах здійснюється за допомогою устаткування AT&T, хоч би з якої мережі виходив виклик. Інфраструктура компанії є одним із найважливіших сховищ електронної інформації, яку часто відстежує АНБ і американські правоохоронні органи.
Про компанію CenturyLink зі штаб-квартирою у місті Монро у розвідувальному співтоваристві тривалий час було відомо не надто багато. Проте 2011 року вона придбала телекомунікаційну фірму Qwest Communications, з якою АНБ було знайомо навіть дуже добре. Ще до терористичної атаки 11 вересня представники АНБ виходили на керівників Qwest і просили їх надати
Увага!
Сайт зберігає кукі вашого браузера. Ви зможете в будь-який момент зробити закладку та продовжити читання книги «ВІЙН@: битви в кіберпросторі, Шейн Харріс», після закриття браузера.