Русский
Русский
English
Статистика
Реклама

Анб

Американский суд признал массовую слежку за гражданами незаконной с опозданием на 7 лет

07.09.2020 22:10:18 | Автор: admin


Спустя семь лет после того, как бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден сообщил о массовой слежке за телефонными записями американцев, Апелляционный суд девятого округа США признал эту программу незаконной, а также признал факты публичной лжи со стороны руководителей американской разведки.

В 59-страничном постановлении суд заявил, что массовый сбор и анализ метаданных о телефонных переговорах граждан нарушает Акт о негласном наблюдении за иностранными разведками (Foreign Intelligence Surveillance Act, FISA) и вполне может быть нарушать Конституцию.

Тем временем Эдвард Сноуден вынужден семь лет скрываться в России, а американские власти до сих пор не сняли с него обвинение в шпионаже.

Сноуден заявил в Twitter, что именно этот факт незаконность массовой слежки стал причиной его решения предать гласности доказательства внутренних операций АНБ. Никогда не думал, что доживу до того, как наши суды осудят деятельность АНБ как незаконную и в том же постановлении поставят мне в заслугу её разоблачение, написал Сноуден.


В 2013 году Сноуден передал в СМИ сверхсекретные документы о глобальных программах слежки, осуществляемых американскими и британскими разведывательными агентствами. За эти статьи издания The Guardian и The Washington Post получили Пулитцеровскую премию.

Среди всех разоблачений, возможно, самым сенсационным стали доказательства, что АНБ тайно создавало обширную базу с метаданными телефонных записей США кто, когда, где и с кем говорил по мобильному телефону.

До этого момента высшие чины разведки публично настаивали, что АНБ никогда сознательно не собирало информацию об американцах. После разоблачения программы американские официальные лица вернулись к аргументу, что шпионаж якобы сыграл решающую роль в борьбе с экстремизмом внутри США, ссылаясь, в частности, на дело четырёх жителей Сан-Диего, которые обвинялись в оказании помощи религиозным фанатикам в Сомали.

Американские официальные лица настаивали, что эти четверо были осуждены в 2013 году благодаря программе массовой слежки АНБ за телефонными разговорами. Но Апелляционный суд девятого округа США постановил в среду, что эти утверждения несовместимы с содержанием секретных документов. То есть они противоречат документам и по сути тоже являются ложью.



Наблюдательные группы, включая Американский союз гражданских свобод (ACLU), который помог подать апелляцию по делу экстремистов, приветствовали вердикт судей о шпионской программе АНБ: Сегодняшнее решение является победой наших прав на неприкосновенность частной жизни, говорится в заявлении ACLU, Очевидно, что массовый сбор АНБ телефонных записей американцев нарушает Конституцию.

Программа по отслеживанию звонков началась без разрешения суда при президенте Джордже Буше-младшем после терактов 11 сентября 2001 года. Аналогичная программа была одобрена секретным судом FISA в начале 2006 года и неоднократно возобновлялась, но суд 9-го округа заявил, что эти решения были юридически ошибочными.

Апелляционный суд воздержался от того, чтобы прямо заявить о нарушении Конституции, но отверг доводы министерства юстиции о том, что сбор метаданных не является обыском, поскольку клиенты добровольно делятся такой информацией с телефонными провайдерами, в соответствии с 40-летним юридическим прецедентом.

АНБ собирало телефонные метаданные миллионов американцев на постоянной, ежедневной основе в течение многих лет, написала судья Марша Берзон в своём особом мнении. У Моалина (один из подсудимых по делу об экстремизме) могли быть разумные ожидания конфиденциальности относительно метаданных своих звонков.

Суд 9-го округа по сути одобрил постановление Нью-Йоркского суда 2-го округа от 2015 года, что массовая слежка недостаточно тесно связана с каким-либо конкретным расследованием, то есть судебное постановление в рамках конкретного расследования не может легализовать массовую обработку данных.

В России тоже действуют программы массовой слежки за населением, как у АНБ.



7 июля 2016 года президент Путин подписал принятый парламентом и Советом Федерации пакет Яровой-Озерова с поправками в российское законодательство, в том числе поправками в закон О связи. Операторы связи и организаторы распространения информации в интернете обязаны хранить до шести месяцев весь трафик пользователей текстовые сообщения, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения. Операторы связи обязаны в течение трёх лет хранить метаданные информацию о фактах приёма, передачи, доставки сообщений и звонков. Интернет-провайдеры обязаны хранить такую информацию в течение одного года.

ФСБ настаивает на дешифровке TLS/SSL-трафика в режиме реального времени перед записью в хранилище. Для этого планируется развернуть российский УЦ для выдачи правильных SSL-сертификатов.

Поправки Яровой вступили в силу 1 июля 2018 года, но де-факто закон ещё не работает. В данный момент российские операторы завершают модернизацию технической инфраструктуры для массового хранения данных.
Подробнее..

Перевод АНБ утверждает, что российские хакеры атакуют платформы VMware

08.12.2020 16:17:05 | Автор: admin
В течение 2020 года из-за пандемии коронавируса огромное количество офисных сотрудников были вынуждены работать удаленно. Эта ситуация предсказуемо вызвала интерес со стороны хакеров. Агентство национальной безопасности США заявило, что группы российских провластных хакеров активно атакуют различные платформы для удаленной работы, используя обнаруженную уязвимость VMWare.



Сам вендор на днях выпустил бюллетень по безопасности, где описал все нужные шаги для устранения уязвимости. Тогда же Агентство кибербезопасности и защиты инфраструктуры (CISA) обратилось к администраторам сетей с призывом немедленно исправить уязвимость. Хакер мог использовать уязвимость, чтобы взять систему под контроль, говорится в сообщении. АНБ отдельно просит администраторов сетей Национальной системы безопасности (National Security System), Министерства обороны и всего оборонно-промышленного комплекса страны немедленно устранить уязвимость везде, где это возможно.

Волнуются не везде


Обеспокоенность АНБ разделяют не все. Так, старший специалист по аналитике кибершпионажа в ИБ-компании FireEye Бен Рид говорит, что в этой ситуации важно анализировать не только само сообщение, но и от кого оно исходит. Эта уязвимость удаленного выполненного кода то, чего любая компания старается не допустить. Но иногда такое случается. АНБ уделяет этому такое большое внимание, потому что уязвимость использовали люди из России и, предположительно, против важных для АНБ целей, сказал он.

Все уязвимые продукты VMware относятся к решениям для облачной инфраструктуры и управления учетными данными. Это, например, VMware Cloud Foundation, VMware Workspace One Access и его предшественник VMware Identity Manager. В заявлении самой компании говорится, что после появления проблемы она провела работу по оценке уязвимости и опубликовала обновления и патчи для ее закрытия. Также отмечается, что ситуация оценивается, как важная, то есть на один уровень ниже критической. Причина в том, что хакеры должны иметь доступ к веб-интерфейсу управления, защищенному паролем, прежде чем они смогут воспользоваться уязвимостью. Как только хакер получает доступ, он может использовать уязвимость для манипулирования запросами аутентификации SAML-утверждениями и таким образом проникнуть в сеть организации глубже, чтобы получить доступ к важной информации.

Сама АНБ в своем сообщении говорит, что надежный пароль снижает риск атаки. К счастью, пострадавшие продукты VMWare спроектированы так, чтобы администраторы не использовали пароли по умолчанию, которые было бы легко угадать. Бен Рид из FireEye отмечает, что хотя для использования этой ошибки сначала требуется узнать пароль, это не является непреодолимым препятствием, особенно для российских хакеров, у которых есть большой опыт по взлому учетных записей с помощью многих способов. Например, Password Spraying.

Также он отметил, что за последние несколько лет количество публичных заявлений о выявлении уязвимостей нулевого дня, используемых российскими хакерами, уменьшилось. Обычно, они предпочитают использовать общеизвестные баги.

Реакция компании


Когда много сотрудников работают удаленно, может быть сложно использовать традиционные инструменты сетевого мониторинга для выявления потенциально подозрительного поведения. Однако АНБ сообщает, что такие уязвимости, как ошибка VMware, представляют собой уникальную проблему, потому что вредоносная активность здесь происходит в зашифрованных соединениях с веб-интерфейсом, которые невозможно отличить от аутентификаций сотрудников. АНБ рекомендует администраторам организаций просматривать сетевые логи на предмет exit statements, которые могут указывать на подозрительную деятельность. Регулярно отслеживайте журналы аутентификации на предмет аномальных входов, особенно успешных. Стоит уделить внимание тем из них, которые используют установленные трасты, но которые приходят с необычных адресов или содержат необычные свойства, говорится в сообщении ведомства.

АНБ не конкретизировало свои наблюдения об использовании уязвимости пророссийскими хакерами. Однако, по сообщениям американских СМИ хакеры из России активно атаковали ИТ-инфраструктуру США в течение 2020 года. В частности, их интересовали цели среди правительственных, энергетических и других важных структур. Кроме того, сообщается, что хакеры проявляли активность и во время президентских выборов.



Блог ITGLOBAL.COM Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:



Подробнее..

Как АНБ и ЦРУ используют дата-центры и облака

23.12.2020 14:04:12 | Автор: admin

Дата-центр АНБ в Юте на картах Google Maps

Агентство национальной безопасности США технологически очень продвинутая организация. Это неудивительно, учитывая масштабы данных, которые приходится обрабатывать. Петабайты перехваченного интернет-трафика и телефонных разговоров, миллиарды текстовых сообщений из мессенджеров и сотовых сетей ежедневно. Всё это нужно распознать, классифицировать, индексировать для мгновенного поиска по ключевым словам, выстроить социальный граф и так далее.

Благодаря Сноудену мы представляем, как работают программы глобальной массовой слежки типа PRISM. Теперь давайте посмотрим, какие вычислительные мощности для этого задействуются.

Дата-центры




Главный дата-центр АНБ в штате Юта под кодовым названием Bumblehive (Шмель) введён в строй в сентябре 2013 г. Ориентировочная стоимость строительства на площади почти 10 га оценивается в $1,5 млрд.

Объём дискового хранилища Шмеля в 2013 году оценивали в 5 зеттабайт (510). Для сравнения, в 2020 году мировой объём IP-трафика оценивается примерно в 250 эксабайт в месяц (Statista), то есть примерно 3 зеттабайта в год. С подводных межконтинентальных кабелей АНБ уже в 2013 году снимало 2 петабайта в час, а сейчас гораздо больше.

Поэтому АНБ наверняка пришлось сделать апгрейд дисковых накопителей в последние годы, если они по-прежнему хотят сохранять копию всего мирового интернет-трафика.





На схеме показаны:

  • четыре помещения для серверов общей площадью 9290 м;
  • офис для технического и административного персонала;


  • генераторы резервного питания и баки с топливом, которого хватает на трое суток работы дата-центра;


    Запасы воды и топлива
  • резервуары с водой и насосы, пропускная способность 6,4 млн л в сутки;


  • холодильники и теплообменники, через которые проходит вода, всего около 60 тыс. тонн охлаждающего оборудования;
  • электрическая подстанция;
  • отдел охраны, где установлены центр системы видеонаблюдения, система обнаружения проникновения и другие подсистемы общей стоимостью $10 млн.

Площадь всех административных и технических зданий 83 613 м.

Другую техническую информацию по дата-центру Шмель см. здесь.

Место в Юте выбрано не случайно. Оказывается, крупнейшие американские ЦОД располагаются у 41-й параллели северной широты.



По стечению обстоятельств такой маршрут взяли для первой трансконтинентальной железной дороги, строительство которой завершилось в 1869 г. Вдоль неё непрерывная полоса отчуждения шириной 60 м, под которой сейчас оптические каналы связи.

Другие дата-центры АНБ не такие впечатляющие. Есть суперкомпьютер в Форт-Миде, где находится штаб-квартира. Он нужен для оперативной деятельности. Также в строю ЦОД в Сан-Антонио (Техас), криптологические центры в Джорджии стоимостью $286 млн и Сант-Антонио (Техас) стоимостью $300 млн, которые используются для взлома шифров.


Внутри куполов скрыты радиоантенны для прослушки спутниковой связи по программе шпионажа FORNSAT

Из документов Сноудена выяснилось, что у АНБ есть небольшой ЦОД даже в Великобритании. Дата-центр на станции Menwith Hill (Field Station 8613) была секретно построен в период с 2009 по 2012 годы с бюджетом $40 млн.



Menwith Hill Station занимается хранением и анализом трафика, собранного в этой местности, обрабатывая более 300 млн телефонных звонков и электронных сообщений в сутки. Данные нужны в реальном времени для операций по захвату и уничтожению террористов, которые ЦРУ проводит по всему миру.

Но в целом Шмель стал центральным звеном в инфраструктуре АНБ, как показано на диаграмме. Шмель сам по себе стал облаком.



Дата-майнинг


После утечки данных от Сноудена стало понятно, что АНБ занимается массовой слежкой и собирает данные на всех граждан ДО совершения преступлений, а не на конкретных подозреваемых ПОСЛЕ преступления. Видимо, второй подход считают устаревшим и не таким эффективным.





Вот список некоторых целей по сбору данных АНБ. Каждый тип данных нуждается в классификации, индексировании и отдельном анализе:

  • поисковые запросы;

    пример базы данных с поисковыми запросами государственных служащих с указанием места работы и IP-адреса сотрудника:


  • посещённые сайты;
  • полученная и отправленная почта;
  • активность в соцсетях (Facebook, Twitter и др.)
  • активность в блогах: опубликованные и прочитанные посты, оставленные комментарии (патент АНБ на технологию определения темы текста путём анализа существительных);
  • звукозаписи телефонных переговоров с биометрической идентификацией личности по голосу (патент АНБ);
  • видеозвонки через Zoom, Google Meet и др.;
  • ДНК;
  • и многое другое.

Объём растёт в экспоненциальной прогрессии. Например, в последние годы добавились видеозаписи с камер наблюдения.

Раньше людям хватало аудиозвонков и текстовых сообщений. А теперь всё больше трафика генерируют видеозвонки и видеоконференции.

В дата-центре Шмель установлен суперкомпьютер Cray XC30. В каждую стойку Cray XC30 входит до 384 процессоров Intel Xeon E5-2600 либо Intel Xeon E5-2600 V2.


Cray XC30


Распаковка суперкомпьютера Cray XC30 (источник)

Конструктивно стойка содержит три блейд-шасси, по 16 лезвий в каждом. В свою очередь, в каждом блейде четыре двухпроцессорных вычислительных узла.





На узел устанавливается 32-128 ГБ памяти с пропускной способностью до 117 ГБ/с. Для связи между узлами применяется фирменная шина интерконнекта Aries.

Суперкомпьютеры XC30 работают под управлением операционной среды Cray Linux Environment, в состав которой входит SUSE Linux Enterprise Server.

Облачные сервисы


Дата-центр в Юте стал последним крупным проектом по строительству инфраструктуры для американских спецслужб. Как и многие другие заказчики, они посчитали более выгодным арендовать мощности облачных провайдеров, а не заниматься техническим обслуживанием собственных дата-центров.

Сейчас ЦРУ и АНБ постепенно отказываются от собственных ЦОД и переходят в облако, причём частично используют инфраструктуру обычных провайдеров, начиная с AWS.

Агентства вроде ЦРУ и АНБ самые жирные заказчики для облачных провайдеров. Бюджеты не ограничены, объёмы данных колоссальные.

Commercial Cloud Enterprise


В ноябре 2020 года стало известно, что ЦРУ заключило мультиоблачный контракт Commercial Cloud Enterprise (C2E) сразу с пятью облачными провайдерами: Amazon Web Services, Microsoft, Google, Oracle и IBM, в то время как с 2013 года она эксклюзивно пользовалась только AWS по десятилетнему контракту на $600 млн на 2013-2023 годы. Теперь ЦРУ переходит в гибридное облако и будет выбирать наиболее подходящего поставщика облачных услуг для конкретных рабочих нагрузок.

Финансовые условия нового контракта не разглашаются, но документация для тендера от 2019 говорит, что бюджет может составлять десятки миллиардов долларов на следующие пятнадцать лет.

ЦРУ специализируется на деятельности исключительно иностранных организаций и граждан. Другое дело АНБ. Вот уже эта структура осуществляет прослушку электронных коммуникаций и за границей, и внутри страны, охватывая всё местное население. Объёмы данных у них на порядок больше, чем у ЦРУ.

Intelligence Community GovCloud


По примеру других разведывательных агентств, к 2018 году АНБ тоже перенесло бльшую часть своих данных в облако. Но совсем другое облако это Intelligence Community GovCloud, которое работает на инфраструктуре АНБ (on-premise), на стандартном железе, но с использованием множества уникальных наработок АНБ по аппаратной и программной части.

Commercial Cloud Enterprise и Intelligence Community GovCloud от ЦРУ и АНБ в каком-то смысле два конкурента. Каждое из 16-ти агентств, которые входят в Разведывательное сообщество, может выбрать C2E или GovCloud.

Кроме того, есть ещё инфраструктура Джедай (Joint Enterprise Defense Infrastructure, JEDI) Минобороны США, которое заключило эксклюзивный контракт с Azure в октябре 2019 года, но до сих пор правомерность сделки оспаривается в суде компанией Amazon.

С точки зрения логической архитектуры Intelligence Community GovCloud это общий центр, единая среда для удобной работы с множеством разрозненных источников данных. Оно описывается как озеро данных (data lake), которое запрашивает данные из внешних хранилищ АНБ и других ведомств.

Информационный директор АНБ Грег Смитбергер рассказывал, что благодаря GovCloud стало проще применять алгоритмы машинного обучения. Вся информация, поступающие в озеро, помечается тегами с указанием источника и уровня доступа у кого есть право работать с этими данными. Это должно защитить в том числе от таких масштабных утечек, как в случае с Эдвардом Сноуденом. Ведь он работал в консалтинговой компании Booz Allen Hamilton (подрядчик АНБ) и формально не должен был получить доступ к секретным файлам, которые вынес из здания операционного центра АНБ на Гавайях.


Кадр из фильма Сноуден

АНБ сейчас тоже смотрит в сторону гибридного облака на публичной инфраструктуре. О проекте Hybrid Compute Initiative (HCI) рассказал информационный директор Разведывательного сообщества США Джон Шерман на конференции AFCEA NOVA. Он говорит, что это будет своего рода эволюционное развитие GovCloud.

HCI и C2E будут работать параллельно. АНБ допускает, что при наличии специфических задач со всплесками нагрузки они тоже могут воспользоваться услугами црушного проекта. Хотя ведомства конкурируют между собой, но готовы сотрудничать по некоторым взаимовыгодным направлениям.

Гибридная платформа HCI будет работать в дата-центрах сторонних облачных провайдеров, но АНБ считает важным, чтобы географически они размещались как можно ближе к её собственной инфраструктуре для скорости. В некоторых приложениях АНБ сетевая задержка является критичным фактором.



На правах рекламы


Виртуальные серверы с новейшим железом, защитой от DDoS-атак и огромным выбором операционных систем. Максимальная конфигурация 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe.

Подробнее..

Пришло время рассказать всю правду о взломе компании RSA

21.05.2021 12:08:14 | Автор: admin


У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году. Эти события навсегда изменили ландшафт мировой индустрии информационной безопасности. А именно, это было первая в истории атака на цепочку поставок (supply chain attack), которая вызвала серьёзную обеспокоенность у американских спецслужб, мягко говоря.

Что такое атака на цепочку поставок? Если вы не можете напрямую атаковать сильного противника типа АНБ или ЦРУ, то вы находите их партнёра и внедряетесь в его продукт. Один такой взлом даёт доступ сразу в сотни серьёзно защищённых организаций. Так произошло недавно с SolarWinds. Но бывшие сотрудники компании RSA смотрят на SolarWinds и испытывают чувство дежавю. Ведь в 2011 году неизвестные хакеры получили доступ к самому ценному, что было в компании RSA хранилищу сидов (векторов генерации). Они используются для генерации кодов двухфакторной аутентификации в аппаратных токенах SecurID, а это десятки миллионов пользователей в правительственных и военных агентствах, оборонных подрядчиках, банках и бесчисленных корпорациях по всему миру.

Впрочем, обо всё по порядку.

Энди Гринсберг из журнала Wired поговорил с несколькими бывшими сотрудниками RSA. Один из них Тодд Литхэм (Todd Leetham), лысый и бородатый аналитик из отдела реагирования на инциденты, которого называли углеродной машиной для поиска хакеров. Именно он первым заподозрил неладное, обратив внимание, что один из пользователей вышел в сеть не со своего компьютера и с нестандартными правами. Он посмотрел логи этого юзера за несколько дней и стало понятно, что тут взлом. Хакеры окопались во внутренней сети.

Хуже всего, что они добрались до хранилища сидов. Технически, этот сервер должен быть в офлайне, отключён от интернета и от остальной сети защита air gap. Но на практике он был защищён файрволом и подключался каждые 15 минут, чтобы выдать новую порцию зашифрованных сидов, которые записывались на компакт-диски и отдавались клиентам. Затем они оставались в хранилище в виде резервной копии.

Исходя из этих векторов генерации происходила генерация кодов двухфакторной аутентификации на токенах SecurID, которые раздавались сотрудникам клиента. То есть и токен, и сервер RSA независимо друг от друга генерировали одинаковые коды.

Алгоритм получения токен-кода


Согласно стандарту SecurID, каждому токену соответствует 128-битное случайное число начальный вектор генерации (сид). Также в каждый токен встроены часы. Токен-код результат работы запатентованного компанией RSA алгоритма, который в качестве параметров берёт текущее время и начальный вектор генерации. По токен-коду невозможно восстановить начальный вектор генерации, так как алгоритм работает в одну сторону.

Токен-код действителен в течение одной минуты (меняется раз в минуту и только один раз). Так как на сервере хранится соответствующие токенам начальные вектора генерации, то он в любой момент может по тому же самому алгоритму восстановить текущий токен-код. Для случая, если часы у сервера и токена расходятся, предусмотрена автоматическая синхронизация. Это достигается благодаря тому, что сервер вычисляет пароль не только для текущей минуты, но также прошлой и будущей минут. Таким образом, если PIN, введённый пользователем верен, а токен-код соответствует соседним минутам, то рассинхронизация учитывается для дальнейших операций.

Если кто-то добрался до хранилища сидов, то это компрометировало токены SecurID у всех клиентов. Поскольку это основной бизнес RSA, то в худшем раскладе компанию вообще можно закрывать

Изучив сетевые логи, Литхэм пришёл к выводу, что эти ключи к королевству RSA действительно украдены.

Он с ужасом читал в логах, как хакеры девять часов методично выкачивали сиды из хранилища и отправляли их по FTP на взломанный сервер у облачного провайдера Rackspace. Но затем он заметил кое-что, что дало лучик надежды: в логах проскочили украденные креденшиалы, имя пользователя и пароль для этого взломанного сервера. Литхэм быстро подключился к удалённой машине Rackspace и ввёл украденные учётные данные. И вот оно: в директории на сервере всё ещё лежала вся украденная коллекция сидов в виде сжатого файла .rar.

Использовать взломанную учётку для входа на сервер, принадлежащий другой компании, и возиться с данными там, по признанию Литхэма, в лучшем случае является неортодоксальным шагом, а в худшем серьёзное нарушение законов США о несанкционированном доступе к информации. Но, глядя на украденную святая святых RSA на этом сервере Rackspace, он не колебался: Я был готов к последствиям, говорит он. В любом случае я не мог отдать наши файлы, и он ввёл команду на удаление файла и нажал Enter.

Через несколько мгновений в консоль пришёл ответ: Файл не найден. Он снова изучил содержимое сервера. Папка была пуста. Хакеры забрали базу с сервера за несколько секунд до того, как он попытался её удалить!

Он охотился за хакерами несколько суток днём и ночью, и вот теперь почти схватил за рукав убегавшего вора. Но тот буквально ускользнул сквозь пальцы, скрывшись в тумане с самой ценной информацией (как показало дальнейшее расследование, это могли быть хакеры из подразделения киберразведки APT1 Народно-освободительной армии Китая на базе войсковой части 61398 в пригороде Шанхая. Или кто-то искусно выдавал себя за них).


Расположение войсковой части 61398, источник

Через несколько дней RSA была вынуждена объявить о взломе. И это поистине изменило ландшафт кибербезопасности. Первая успешная атака на цепочку поставок, жертвами которой стали тысячи организаций, самые защищённые агентства и военные подрядчики. Только спустя десять лет случилось нечто подобное с червём NotPetya, а затем с системой компании SolarWinds (18000 клиентов по всему миру), но для того времени история RSA была беспрецедентной. Практически никто даже не предполагал, что можно проводить атаки таким образом через прокси в цепочке поставок.

Это открыло мне глаза на атаки типа supply chain, говорит Микко Хиппонен, главный научный сотрудник F-Secure, которая опубликовала независимый анализ инцидента RSA. И изменило мой взгляд на мир: если вы не можете проникнуть в цель, то находите технологию, которую использует жертва, и вместо этого проникаете туда.

Его коллега Тимо Хирвонен говорит, что инцидент стал тревожной демонстрацией растущей угрозы от нового класса хакеров. От высококлассных специалистов, которые выполняют заказы внешней разведки. Компания RSA работает в сфере информационной безопасности и её бизнес защищать других. Если она не в силах защитить даже себя, то как она может защитить остальной мир?

Вопрос был вполне буквальным. Кража векторов генерации означала, что у тысяч клиентов RSA скомпрометирована критическая защита 2FA. После кражи векторов генерации злоумышленники могли вводить коды с токенов SecureID практически в любой системе.

Спустя десять лет закончился срок NDA у многих ключевых руководителей компании RSA и мы можем узнать подробности этого инцидента. Сегодня взлом RSA видится как предвестник нашей теперешней эры цифровой незащищённости и невероятной активности государственных хакеров во многих сферах общественной жизни, включая социальные сети, СМИ и политику. Взлом RSA это урок, как решительный противник может подорвать то, чему мы больше всего доверяем. А потому что не надо ничему доверять.

Анализ инцидента показал, с чего началась атака с невинного письма по электронной почте, которое получил один сотрудник австралийского подразделения, с темой План набора персонала на 2011 год и приложенной электронной таблицей Excel. Внутри был скрипт, который использовал 0day-уязвимость в Adobe Flash, устанавливая на компьютер жертвы хорошо известный троян Poison Ivy.

Точка входа в сеть RSA совершенно банальное внедрение, которое бы не сработало, если бы жертва работала под управлением более новой версии Windows или Microsoft Office или был ограничен доступ к установке программ на свой компьютер, как рекомендуют сисадмины во многих корпоративных и правительственных сетях.

Но после этого проникновения злоумышленники начали демонстрировать свои реальные способности. На самом деле аналитики пришли к выводу, что в сети одновременно орудовали по крайней мере две группы. Одна группа получила доступ в сеть, а вторая группа высококвалифицированных специалистов использовала этот доступ, возможно, без ведома первой группы. Вторая атака была гораздо более продвинутой.

На компьютере австралийского сотрудника кто-то использовал инструмент, который извлекает учётные данные из памяти. Затем он использует эти учётки для входа в другие машины. Потом сканируется память этих новых компьютеров в поисках новых учёток и так далее, пока не найдены логины привилегированных администраторов. В конце концов хакеры добрались до сервера, содержащего учётные данные сотен пользователей. Сегодня эта техника кражи учётных данных является распространённой. Но в 2011 году аналитики были удивлены, увидев, как хакеры продвигаются по всей сети: Это был действительно самый жестокий способ эксплойтить наши системы, который я когда-либо видел, говорит Билл Дуэйн (Bill Duane), опытный инженер-программист и разработчик алгоритмов RSA.

Обычно такие инциденты обнаруживают спустя месяцы после ухода хакеров. Но взлом 2011 года был особенным: в течение нескольких дней следователи, по сути, догнали хакеров и наблюдали за их действиями. Они пытались проникнуть в систему, мы обнаруживали их через минуту или две, и тогда отключали систему полностью или доступ к ней, говорит Дуэйн. Мы сражались неистово как звери, в реальном времени.

Именно в разгар этой лихорадочной схватки Литхэм поймал хакеров на краже сидов с центрального хранилища, что предположительно было их приоритетной целью. Вместо обычных подключений каждые 15 минут, Литхэм видел в логах тысячи непрерывных запросов каждую секунду. Хакеры собирали векторы генерации не на одном, а на трёх скомпрометированных серверах, передавая запросы через ещё одну подключённую машину. Они распределили коллекцию сидов на три части, перенесли их на удалённый сервер Rackspace, а затем объединили в полную базу хранилища RSA. Я подумал: это офигенно круто, говорит Литхэм. Я вроде как восхищался этим. Но в то же время понимал, что мы в полном дерьме.

Когда до Литхэма дошло, что коллекция сидов скопирована, и после того, как он сделал запоздалую попытку удалить файл с сервера, чудовищность события поразила его: он реально подумал, что компании RSA настал конец.

Паника


Поздно ночью служба безопасности узнала, что хранилище ограблено. Билл Дуэйн сделал звонок с предупреждением, что они физически отключат столько сетевых соединений, сколько необходимо, чтобы ограничить ущерб и остановить дальнейшую кражу данных. Они надеялись защитить информацию о клиентах, которая сопоставляется с конкретными векторами генерации. Кроме того, они хотели предотвратить кражу приватного ключа шифрования, необходимого для расшифровки сидов. Дуэйн с менеджером вошли в дата-центр и начали один за другим отсоединять кабели Ethernet, отключая все серверы и даже веб-сайт компании: Я фактически закрыл бизнес RSA, говорит он. Я искалечил компанию, чтобы остановить любую потенциальную дальнейшую публикацию данных.

На следующий день генеральный директор RSA Арт Ковиелло (Art Coviello) сделал публичное заявление о том, что взлом продолжается. Масштабы вторжения всё увеличивались по мере раскрытия новых деталей. О взломе хранилища сидов SecurID поначалу не было известно, но когда вскрылся этот факт, руководству нужно было принять решение. Некоторые советовали скрыть этот факт от клиентов (среди них спецслужбы, разведка, армия США). Но всё-таки решили раскрыть информацию персонально обзвонить каждого клиента и заменить все 40 с лишним миллионов токенов. Но у RSA и близко не было в наличии такого количества токенов Только через несколько недель компания сможет возобновить производство, и то в меньшем количестве.

Группа из почти 90 сотрудников RSA заняла конференц-зал и начала многонедельный обзвон всех клиентов. Они работали по сценарию, проводя клиентов через защитные меры, такие как добавление или удлинение PIN-кода как части логина SecurID, чтобы усложнить репликацию хакерами. Во многих случаях клиенты начинали орать, вспоминает Дэвид Кастиньола (David Castignola), бывший директор по продажам RSA в Северной Америке. Каждый сделал по сотне таких звонков, даже топ-менеджерам и руководству пришлось этим заниматься (клиенты встречались слишком важные).

В то же время в компании начала распространяться паранойя. Кастиньола вспоминает, как в первую ночь проходил мимо маленькой комнатушки с сетевым оборудованием а из неё вдруг начало выходить абсурдное количество людей, гораздо больше, чем он мог себе представить, что туда поместится. Кто эти люди? спросил он у другого руководителя, стоявшего неподалёку. Это правительство, неопределённо ответил тот.

На самом деле, к тому времени АНБ и ФБР уже прислали своих людей, чтобы расследованию компании, также как и оборонный подрядчик Northrop Grumman и компания по реагированию на инциденты Mandiant (по случайности, сотрудники Mandiant уже были на месте во время взлома, устанавливая сенсоры для системы безопасности в сети RSA).

Сотрудники RSA начали принимать решительные меры. Обеспокоенные тем, что телефонная система может быть скомпрометирована, компания сменила операторов связи, перейдя с AT&T на Verizon. Руководители не доверяли даже новым телефонам, они проводили личные встречи и передавали бумажные копии документов. ФБР, опасаясь крота в RSA из-за очевидного уровня знаний злоумышленников о системах компании, начало проверять биографические данные всех сотрудников.

Окна некоторых офисов руководителей и конференц-залов были покрыты слоями обёрточной бумаги, чтобы предотвратить прослушку с помощью лазерных микрофонов воображаемыми шпионами в окрестных лесах, прямо как во время нынешней истерии с гаванским синдромом. Здание проверили на наличие жучков. Несколько руководителей действительно нашли пару жучков, хотя некоторые из них были такими старыми, что у них сели батареи. Но не было понятно, имеют ли эти они какое-то отношение к инциденту.

Тем временем команда безопасности RSA и сторонние специалисты, привлечённые на помощь, начали разрушать здание до фундамента, как они выражались. На каждой машине, к которой прикасались хакеры, форматировались диски, и даже на соседних машинах. Мы физически обошли всё вокруг, и если на компьютере были хакеры, мы всё стирали, говорит Сэм Карри (Sam Curry), бывший директор по безопасности RSA. Если вы потеряли данные, очень жаль.

Вторая волна


В конце мая 2011 года, примерно через два месяца после объявления об инциденте, RSA всё ещё восстанавливалась и извинялась перед клиентами. Но здесь пошла вторая волна.

Влиятельный техноблогер Роберт Крингли опубликовал слухи о взломе крупного оборонного подрядчика из-за скомпрометированных токенов SecureID. Всем сотрудникам компании пришлось менять токены.

Спустя два дня агентство Reuters раскрыло имя взломанного подрядчика: это был Lockheed Martin, настоящая золотая жила для промышленного шпионажа.


Многофункциональный истребитель-бомбардировщик пятого поколения F-35 Lightning II производства Lockheed Martin

В последующие дни в новостях упоминались оборонные подрядчики Northrop Grumman и L-3 Communications, говорилось о хакерах с векторами генерации для токенов SecurID, хотя конкретных доказательств никто не предоставил, по понятным причинам, ведь речь идёт о военных подрядчиках (см. топ-100 подрядчиков правительства США).

Однако в июне 2011 года исполнительный директор RSA признал, что украденные сиды действительно использовались в атаке на Lockheed Martin. Спустя десять лет он уже отказывается от своих слов. Теперь бывшие руководители компании говорят, что использование сидов RSA никогда не было доказано.

Хотя в 2013 году представители Lockheed Martin на форуме Kaspersky Security Analyst Summit в Пуэрто-Рико подробно рассказали, как хакеры использовали векторы генерации кодов для токенов SecurID в качестве ступеньки для проникновения в сеть.

Сейчас источник в компании Lockheed Martin подтверждает выводы того расследования. По его словам, компания видела, как хакеры вводили коды SecurID в режиме реального времени, при этом пользователи не теряли свои токены. После замены этих токенов хакеры продолжали безуспешно вводить коды со старых токенов.

АНБ, со своей стороны, никогда особо не сомневалось в роли RSA в последующих взломах. На брифинге в Сенатском комитете по вооружённым силам через год после взлома директор АНБ генерал Кит Александер (Keith Alexander) заявил, что взлом RSA привёл к тому, что по крайней мере один американский оборонный подрядчик стал жертвой лиц, владеющих поддельными удостоверениями, а Министерство обороны было вынуждено заменить все токены RSA.

Когда стало известно о причастности группировки APT1, Билл Дуэйн распечатал фотографию их штаб-квартиры в Шанхае и приклеил к доске для игры в дартс в своём кабинете.

Дуэйн ушёл из RSA в 2015 году после более чем 20 лет работы в компании. Автор статьи в Wired Энди Гринберг задал ему такой вопрос: Как ты думаешь, в какой момент история со взломом RSA действительно закончилась: после отключения серверов в дата-центре? Или когда АНБ, ФБР, Mandiant и Northrop закончили расследование и ушли?. Инженер ответил: Мы считали, что атака никогда не закончилась. Мы знали, что они оставили бэкдоры и смогут проникнуть в сеть когда захотят.

Печальный опыт Дуэйна и компании RSA должен научить всех нас, что каждая сеть грязна, как он выразился. Теперь он советует компаниям сегментировать системы и изолировать самые ценные данные так, чтобы они были недоступны даже для противника, который уже проник внутрь периметра.

Что касается Тодда Литхэма, то он наблюдал фиаско SolarWinds в течение последних шести месяцев с мрачным чувством дежавю. Выводы из истории RSA он формулирует в более резких выражениях, чем его коллега. По его мнению, это было редкое свидетельство того, как хрупка сегодня мировая система информационной безопасности: Это карточный домик перед началом торнадо, говорит он.

Он утверждает, что SolarWinds продемонстрировал, насколько ненадёжной остаётся эта структура. По мнению Литхэма, мир безопасности слепо доверял чему-то за пределами своей модели угроз. Никто не предполагал, что противник может это скомпрометировать. И вот опять противник вытащил карту, которая стояла в самом основании карточного домика, а все думали, что это твёрдая почва.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru