27.09.16

Тенденции кибербезопасности. Презентация с "Кода ИБ"

На прошлой неделе довелось мне поучаствовать в челябинском "Коде ИБ", где я выступал с тремя презентациями. Первая была посвящена некоторым тенденциям в области кибербезопасности. За основу я взял наш полугодовой отчет по кибербезопасности за первое полугодие 2016-го года, но немного подсократил, оставив время для дискуссии. Вот что получилось:



ЗЫ. Полная версия нашего отчета с сопутствующих материалов (презентация, текст на 100 страниц и видео на русском языке) доступна тут.

26.09.16

ИБ-игрища в стиле Agile

Agile... как много в этом слове... непонятного. И мало кто может четко сформулировать, что же это такое. Видимо это судьба любой новомодной темы или термина, которые сначала все используют в хвост и в гриву, даже не всегда понимая ее сути. Потом наступает прозрение и термин находит наконец-то свое место в череде других таких же. Еще год назад так было с SOC (кстати, скоро будет очередной SOC Forum), так произошло и с Agile.

У меня до сих пор висит черновик заметки про Agile в ИБ, но я все не доведу ее до ума. Поэтому и на последней конференции BIS Summit 2016, посвященной теме Agile, я старался дистанцироваться от ответов на эту тему. Фиг его знает, ляпнешь что-то, а оно совсем не так. Или, наоборот, так, а ты и не знал. Но есть тема, с которой я "играюсь" уже достаточно давно - геймификация в ИБ. Поэтому по просьбе организаторов BIS Summit я решил объединить эти два направления и родилась "бизнес-ИБ-игра для взрослых в стиле Agile". За основу я взял уже описанный мной инструмент "что если" (what if), применяемый для моделирования различных ситуаций и возможность подготовить сценарий их разруливания. Полтора года назад я уже проводил такое мероприятие в Питере в рамках очного семинара RISC.

В этот раз я немного поменял правила игры. Увеличилось число команд, сократилось число участников, изменилось время на подготовку ответа (1 минута), появилась возможность работать в команде. Все, как в Agile :-) Вопросы тоже поменял, частично оставив и несколько прежних, непотерявших актуальности. Ну а поскольку я завершал деловую часть BIS Summit, то разбавил вопросы и парочкой достаточно смешных и забавных. В итоге получилась вот такая презентация:



Было весело. Но это местами и подпортило первоначальный план. Мне хотелось, чтобы участники команд, посовещавшись, делились собственным опытом, который могли бы перенимать коллеги из других команд и сидящие в зале слушатели. Но не получилось. Agile сыграл злую шутку (да и я не предусмотрел это) - команды старались ответить первыми и поэтому у них почти не было времени на обсуждение и подготовку взвешенного ответа. Было смешно, но без обучающего эффекта. Хотя в конце последнего дня рабочей недели может серьезность и не пошла бы... Но как и положено в Agile, уроки извлечены и на следующей итерации я постараюсь такой ошибки не допускать.

Что же касается самого BIS Summit, то мероприятие традиционно мне понравилось. Достойная организация, достойный контент, множество знакомых и друзей, с которым не виделся очень давно. Особо впечатлила выставка преимущественно российских компаний по ИБ, которая насчитывала 35 (!) стендов. Это было реально круто! Особенно на фоне окончившейся днем ранее InfoSecurity Russia, которой в пору превращаться в "ИнфоБезопасность Россия" (иностранцев там осталось мало, что закономерно). Лично для меня так и осталось загадкой, что делало большинство компаний на InfoSecurity Russia. Ничего из того, что помогло бы провести 3 дня с пользой для бизнеса, на стендах многих игроков не было :-(

PS. Склоняюсь к мысли, что организовывать мероприятия по ИБ могут только те, кто в этой самой ИБ хоть что-то понимает. Или надо создавать программный комитет, который состоит из тех, кто понимает.

23.09.16

Моя личная модель нарушителя

Наткнулся я тут в Интернете на интересную картинку, которая очень удачно легла на истерию последних недель, которая разгорается в США по поводу "русских хакеров в погонах" и в России по поводу "угрозы АНБ".


Но рассмотреть я ее хотел не в контексте атрибуции, о которой я уже написал. Речь пойдет о моей личной модели нарушителя. В свое время я уже поднимал эту тему, рассуждая о ПП-1119 и возможности определения актуальности угроз персональным данным. Тогда я высказал мысль, которой придерживаюсь до сих пор, что актуальность угрозы определяет оператор (на самом деле это написано в самом Постановлении Правительства) и никто не может его заставить выбрать какие-то иные, зачастую мифические угрозы. Вот с моей личной моделью нарушителя ситуация ровно та же.

Есть ли вероятность, что АНБ может меня взломать? Да, безусловно. Такая вероятность есть. Будет ли АНБ меня ломать? А зачем? Существует куча иных способов получения доступа к моим данным, 95% которых и так публична. При моем пересечении границы США, в рамках действующего американского законодательства, у меня могут спокойно изъять мой ноутбук и потребовать от меня предоставить к нему доступ. И получить доступ к моей учетной записи в Apple, Google и других американских ИТ-сервисах АНБ, в рамках действующего американского законодательства, может беспрепятственно. И прослушивать они меня могут без особых проблем - направленные микрофоны еще никто не отменял и никакие скремблеры или шифраторы от них не спасут. У АНБ, если предположить, что они будут мной интересоваться, существует огромное количество достаточно простых способов незаметно взять меня "на контроль". Только вот зачем я им? Это ключевой вопрос при составлении моей модели нарушителя. Вчера на "Код ИБ" в Челябинске я задал ровно тот же вопрос аудитории и получил вполне ожидаемы ответ - никто не рассматривает АНБ, как угрозу для себя и своих компаний.

Криминалитет представляет для меня гораздо большую опасность, так как я активно пользую различные финансовые инструменты в Интернет и не хотел бы, чтобы мои деньги украли через непатченную уязвимость в Flash-плагине браузера или через дыру в моем Интернет-банке. И разработчик ПО для моего фитнес-трекера, который не знал про SDLC, и поэтому все данные о моем здоровье и перемещениях могут быть слиты в Интернет, - это тоже нарушитель, который мне актуален. И сосед по лестничной клетке, который может подцепиться к моей точке доступа и за мой счет ходить в Интернет или прослушивать мой трафик; он тоже включен в мою модель нарушителя (хотя и не с самым высоким приоритетом). И посторонний человек, который может заглядывать ко мне в экран ноутбука, когда я сижу в аэропорту, тоже представляет для меня угрозу. И пассажир метро, создавший "левую" точку доступа с SSID московского метро, в которому смартфон может подключиться автоматически. В конце концов взломщик этого блога или моего Твиттера для меня тоже более актуален, чем АНБ.

Это все реально и с этим я борюсь в меру моих возможностей и знаний. А вот с АНБ я бороться не могу (как и с ФСБ, Моссадом, Ми-6, НОАК и другими спецслужбами). Потому что я примерно представляю уровень их возможностей. Могут ли они использовать уязвимости в прикладном ПО? Да, могут. А в операционной системе? Тоже могут. А в процессоре Intel? Да, снова могут. И если я еще могу выстроить процесс управления (именно управления, а не устранения) уязвимостями в ПО, то на уровне процессора - увы. И на уровне используемого мной дома маршрутизатора тоже. И на уровне аппаратной начинки смартфона. Это вне моих возможностей. Покупать отечественный ПК на базе Эльбруса? Домой? Нет уж, увольте. Ставить какой-нибудь клон Линукса, смело названный российской защищенной ОС? Ну уж нет. Покупать "МойОфис"? В топку. Я прагматик и предпочитаю здоровый баланс безопасности и удобства. АНБ не вписывается в него, а посему и загонять себя в прокрустово ложе отечественных, и почему-то именно поэтому считающихся автоматически защищенными, технологий я не готов. Так зачем мне напрягаться? Я принимаю этот риск, занимаясь более приземленными и более актуальными для меня проблемами, бороться с которыми и проще, и доступнее, и дешевле.

Возможно у кого-то будет другая модель нарушителя. Вполне допускаю. Какой-нибудь фанат "Дождя" или "Медузы" может подумать, что за ним следит ФСБ и так и норовит узнать о его контактах с американским Госдепом. И специально для этого он купит BlackPhone, отключит по совету Сноудена GSM и GPS, обернет телефон в фольгу и будет думать, что он защитил себя от спецслужб. И какой-нибудь условный "Ролдугин" или "Песков" может всерьез рассматривать сотрудников Форт-Мида в Мэриленде в качестве своей основной угрозы. В этом, наверное, и состоит отличие специалиста от неспециалиста. Одни борются с актуальными угрозами, другие с мифическими. Одни находят баланс, другие перегибают палку. Одни тратят на безопасность исходя из актуальных для себя угроз, другие перестраховываются многократно. Каждый выбирает для себя.

ЗЫ. С корпоративными моделями нарушителей ситуация идентичная, но это уже не тема данной заметки. Понятно, что для государственных и военных систем, обрабатывающих определенного рода информацию, угроза со стороны АНБ будет вполне реальной.

22.09.16

А водителем у него сам Брежнев... (о ИБ-маркетинге)

Есть такой старый советский анекдот: "Как известно Л. И. Брежнев был большой любитель хороших автомобилей и сам частенько управлял ими. Как то ехал он с личным водителем и решил сам поуправлять. Водителя справа посадил, сам -за руль. Естественно, притопил, далеко за сотню. Гаишники с радаром в кустах спрятались, видят --их клиент. Один выбегает--палкой машет. Машина остановилась. Он только к водителю сунулся, сразу развернулся и назад, к своей идёт. Напарник его спрашивает: Что это там за гусь? Он ему в ответ: Не знаю, кто это, но за водителя у него сам Брежнев".

Он всплыл в голове, когда по итогам первого дня InfoSecurity Russia в Facebook шло обсуждение одной из компаний-экспонентов, у которой в рекламных материалах были упоминания очень серьезных заказчиков. А вспомнил я этот анекдот не случайно - достаточно давно, еще когда я только начинал заниматься ИБ, среди коллег ходила байка, что упоминание Центробанка в числе клиентов - это признак дурного тона. Дело в том, что при масштабах Центробанка и децентрализованной в то время политике закупок средств защиты в ЦБ и его главных управлениях можно было встретить практически все присутствующие средства защиты, которые часто покупались "поиграться" или для пилотных внедрений. Продажа какой-нибудь системы защиты на один ПК уже давала право продавцу смело заявлять, что в его клиентах числится "сам Центробанк" :-) Со временем ситуация почти не менялась - только число таких вот "Центробанков" стало расти. Газпром, Сбербанк, РЖД, Лукойл, ФТС, ФНС... Территориально-распределенных компаний-монстров у нас в России немало и каждая проповедует тот же принцип, что и ЦБ на заре зарождения отечественной отрасли ИБ.

Это я не к тому, что не надо верить, когда в рекламной листовке упоминается Сбер, ЦБ, Газпром и другие серьезные имена. Просто надо учитывать нюансы, связанные с желанием приукрасить свои возможности и преувеличить свое распространение. Кстати, у иностранных вендоров, особо маленьких, та же проблема. Только им чуть проще - они пишут не про Центробанк, а про списки Fortune. Кто-то упоминает Fortune 500, кто-то Fortune 100 или Fortune 200 (хотя таких официально и нет). Кому-то посчастливилось и он "попал" в Fortune 50. Проверить это сложно, зато выглядит солидно :-) Отдельные вендоры используют магическое "Top 10 в области...". Кто определил эти Top 10 непонятно, но зато можно завлекать этим потенциальных клиентов, которые хотят равняться на "Топ...", "Fortune..." и т.п.

У людей в нашей профессии, особенно публичных, такое тоже часто происходит. Бывает видишь, как человек пишет, что он "внедрял SOC в крупнейшем банке Восточной Европы" и думаешь: "Крутой чувак! Офигенный опыт! Буду держать его в уме, если спросят, кого можно на работу взять или на конференции выступить пригласить." А потом выясняется, что и банк-то российский. И не внедрял, а был менеджером проекта и носил бумажки на подпись. И не весь SOC, а только поставлял софтину для небольшой части одного из процессов SOC. Но ведь это не очень солидно будет (по мнению приукрашивающего себя) - вот и рождается очередной "г-н Садомский" - распространитель театральных билетов, называющий Министерство культуры своим местом работы. Этот герой из советского фильма-детектива "Визит к Минотавру" по мотивам одноименного романа братьев Вайнеров.



Да что далеко ходить; у меня и самого такое иногда бывает :-( Негативные издержки публичности. Главное, чтобы не переборщить в приукрашивании, а то неудобно может получиться...

21.09.16

Еду на #codeib в Челябинске

Традиционно, последние пару лет я активно участвую в различных мероприятиях компании "Экспо-Линк", преимущественно в региональной серии конференций "Код информационной безопасности". И вот второе полугодие я для себя начинаю "Код ИБ" с Челябинска, где конференция пройдет уже завтра. Учитывая, что мероприятие уже по недоброй традиции наложилось на проходящую в Москве InfoSecurity Russia (20-22 сентября) и предшествует проходящему в пятницу в Москве же BIS Summit (его с "Код ИБ" объединяет совершенно неудачное на мой взгляд деление секций исходя из того, откуда исходят угрозы - изнутри или извне), московские спикеры неохотно ездят в этот замечательный уральский город. Поэтому на тех счастливчиков, что прилетают из Москвы, ложится большой груз ответственности :-) Особенно после прошлогоднего мероприятия, которое запомнилось взломом сайта организаторов и передачей приветов отдельным участникам (я, к сожалению, не смог в прошлый раз выбраться) :-)


У меня в этот раз у меня будет два мастер-класса и две небольших презентации. Первая презентация будет посвящена некоторым тенденциям отечественного рынка ИБ и вместе с Максимом Степченковым и Алексеем Комаровым мы обсудим все то, что сейчас творится в нашей области. На секции по внутренним угрозам я попробую систематизировать технологии, которые позволяют бороться с инцидентами, происходящими внутри (хотя само по себе деление угроз на внешние и внутренние сегодня, при наличии Wi-Fi, 3G/4G-модемов, флешек и т.п., выглядит по-дурацки). А вот на мастер-классах я смогу оторваться и в течение 1-1,5 часов рассказать о двух разноплановых темах:
  • Мастер-класс "Как проверить способность сотрудников противостоять фишинговым письмам на практике?" Как известно, фишинговые рассылки сегодня представляют одну из серьезнейших проблем ИБ. По статистике до 95% всех атак начинается именно с электронной почты, содержащей фишинговую ссылку или вредоносное вложение, которые и открывают пользователи. Как выстроить процесс борьбы с фишингом? Как не ограничиться только выбором антиспам-решения, а проверить реальную способность сотрудников противостоять попыткам хакеров поймать их на свою удочку? Как обучить сотрудников бороться с фишингом? Можно ли это сделать с минимальными затратами? Какие решения сегодня есть на рынке? Какова пошаговая процедура снижения числа удачных фишинговых атак? Какова реальная практика борьбы с фишингом у мировых лидеров? Как выстроен процесс у компании, получивший в 2016-м году награду за лучший проект противодействия фишингу? Вот этому и будет посвящен первый, закрытый мастер-класс. Почему закрытый? Экспо-Линк активно пробует разные форматы монетизации контента. Один из них был совсем недавно - "Код ИБ. Онлайн". Другой пройдет в Челябинске. Сумма, на мой взгляд москвича, незашкаливающая, а контент я постараюсь дать качественный (как и всегда, собственно).
  • Мастер-класс "Пошаговая инструкция для определения того, что движет ИБ на вашем предприятии" продолжит уже начатую на "Код ИБ. Онлайн" тему (кстати, материалы "Код ИБ. Онлайн" доступны для просмотра). Но в этот раз у меня будет больше времени на ее раскрытие. Мы привыкли, что ИБ занимается борьбой с угрозами и выполнением требований нормативных документов и все это безусловно важно. Но в нынешних условиях перед генеральным директором предприятия стоят более серьезные угрозы экономического плана. А требования законодательства по персональным данным, нормативных актов Банка России или ФСБ пусть и обязательны, но правоприменительная практика по ним либо отсутствует, либо приводит к незначительным штрафам. Значит ли это, что ИБ не важна для руководства современного предприятия? Конечно же нет. Важна и даже очень. Просто руководство предприятия оперирует немного иными материями, которые мы и будем обсуждать в рамках мастер-класса. Мы увидим, как можно преподнести ИБ руководству, чтобы оно поняло и его проняло. Мы увидим, какой язык надо использовать при общении с руководителями и как он зависит от уровня руководителя, его зрелости и типа.
Так что коллег из Челябинска и окрестностей приглашаю на мероприятие. Постараемся сделать его интересным.

15.09.16

7 гипотез об уязвимостях в ПО

Хочу продолжить начатую вчера тему про управление уязвимостями, но посмотреть на нее теперь с точки зрения производителя. Готовя вчерашний материал, я наткнулся на интересное исследование "An Empirical Analysis of Software Vendors’ Patching Behavior: Impact of Vulnerability Disclosure", которое базируется на изучении данных и статистики CERT/CC и SecurityFocus по уязвимостям. И хотя Университет Карнеги-Меллона, а именно его сотрудники являются авторами исследования, опубликовал его в 2006-м году, мне показалось, что озвученные в нем гипотезы имеют место быть и сейчас, спустя 10 лет с момента публикации.

Целью исследования было понять, как раскрытие информации об уязвимости, влияет на время ее устранения? К каким же выводам/гипотезам пришли авторы, проанализировавшие большое количество уязвимостей в самых популярных базах дыр того времени? Их несколько:

  1. Раскрытие информации об уязвимости снижает время на ее устранение.
  2. Крупные компании патчат свои продукты быстрее мелких.
  3. Критические уязвимости патчатся быстрее менее приоритетных.
  4. Публичные компании устраняют дыры в своих продуктах быстрее частных.
  5. Уязвимости, попавшие в прицел CERT/CC, устраняются быстрее опубликованных в других источниках.
  6. Уязвимости, раскрытые через CERT/CC, патчатся быстрее, чем дыры, опубликованные CERT/CC, но раскрытые ранее через иные источники.
  7. Мнение о том, что в open source продуктах уязвимости патчатся быстрее, чем в проприетарном ПО, не нашло подтверждения.
Все указанные гипотезы подтверждены в отчете цифрами, которые можно перепроверить самостоятельно.

Не могу сказать, что приведенные гипотезы открыли неизвестные миру истины. Скорее они подтвердили с цифрами в руках известные ранее предположения. Мне показались заслуживающими внимания 2-я и 4-я гипотезы. Они говорят о том, что небольшие игроки рынка, и уж тем более компании частные, менее зависимы от мнения окружающих и поэтому работают на поле устранения уязвимостей хуже их более публичных и более крупных "коллег".  Отсюда вытекает вывод, что у них процедура SDLC обычно выстроена гораздо хуже и соответственно уязвимостей в их решениях больше и устраняются они дольше (если вообще обнаруживаются).

Думаю, что я мог бы добавить сюда еще одну гипотезу - в продуктах крупных или широко известных компаний уязвимости ищутся чаще, чем в непопулярных или навязанных (например, законодательством) решениях. Именно ищутся, а не находятся. Почувствуйте разницу между этими двумя понятиями. Понятно, что на более популярные продукты усилия исследователей бросаются чаще и больше, чем на мало кому известное ПО и оборудование. Помогает этому и запускаемые некоторыми крупными игроками программы Bug Bounty.

Вывод, который делают авторы исследования, достаточно просто - раскрытие информации помогает рынку кибербезопасности. Я бы добавил сюда только одно - раскрытие с соблюдением определенного кодекса поведения или кодекса этики, если хотите. Но вспоминая, что упоминание этики у отдельных чудаков вызывает рвотный рефлекс и стойкую идиосинкразию, я не буду касаться этого вопроса. История рассудит, кто был прав. Я только напомню про список риторических вопросов, на которые каждый исследователь, решившийся раскрывать уязвимости, должен ответить сам себе.

14.09.16

Среднее время неустранения уязвимостей пользователями - 5 лет!

Как вы думаете, сколько времени проходит с момента появления информации об уязвимости и ее закрытием со стороны производителя? А сколько времени уязвимость не закрывается потребителем уязвимого ПО или инфраструктурного оборудования, даже несмотря на наличие выпущенного и бесплатно доступного обновления? В последнее время тема управления уязвимостями находит все большее отражение и в нормативных документах (ФСТЭК на эту тему не только разделы в своих приказах поместил, но и целые ГОСТы разработал, а ЦБ выпустил отдельную РС и добавил требования в свое обязательное 382-П и ряд других документов) и в средствах массовой информации.

Вопреки расхожему мнению о дырявости многих продуктов - корпоративных и обывательских, прикладных и инфраструктурных, статистика говорит обратное. Против 84% уязвимостей производители выпускают патчи в первые 24 часа с момента опубликования сведений о дыре. такова статистика за 2015-й год по данным компании Flexera (в упоминаемом ниже исследованиях Cisco схожие цифры). В прошлом году этот показатель был равен 83%, а в 2010 - всего 49%.


Иными словами, всего за 5 лет в среде разработчиков произошел качественный скачок в деле устранения обнаруживаемых уязвимостей. Я не раз утверждал и продолжаю утверждать, что защищенность ПО и железа определяется не числом дыр в нем (этот показатель говорит в первую очередь о популярности продукта), а выстроенным процессом их устранения. Наличие формализованного SDLC у многих производителей позволили существенно улучшить показатель выпуска патчей за прошедшие 5 лет. Но заказчиков по-прежнему ломают. Почему?

И вот тут мне бы хотелось сослаться на полугодовой отчет Cisco по кибербезопасности, который мы выпустили (в том числе и на русском языке) в конце этого лета, в котором приводится очень интересная статистика. Среднее время присутствия уязвимости на стороне заказчика составляет... 5 (!) лет. Пять лет!

Это проблема и системного ПО, и инфраструктурного. У последнего показатель выше, так как его обновляет гораздо реже, живя по принципу "работает - не трогай". Понятно, что обновить тот же браузер, офисное ПО или даже Web-сервер проще, чем маршрутизатор или межсетевой экран, на который завязано слишком много. Отсюда и вытекает парадокс - производитель выпустил патч для обнаруженной уязвимости, а потребитель не спешит его устанавливать.


И проблема эта общемировая. У кого-то ситуация чуть лучше, у кого-то чуть хуже, но все регионы мира сталкиваются с тем, что потребители используют устаревшее оборудование:


 и ПО:
увеличивая окно возможностей для злоумышленников, которые могут годами "резвиться" в сетях своих жертв, не опасаясь, что им "перекроют кислород". В 2015-м году мы проверили 115 тысяч устройств Cisco по всему миру и 92% из них содержали известные уязвимости для которых были выпущены исправления. В среднем на каждом устройстве присутствовало 28 (!) уязвимостей. В процессе анализа на десятой части всех устройств были найдены уязвимости известные более 10 (!) лет. Более десяти лет!!! Только вдумайтесь в эту цифру. 


При этом ситуация усугубляется еще и тем, что число уязвимостей в устаревшем ПО и железе не ограничивается одной дырой. Обычно их гораздо больше. По уже приведенным выше данным Cisco в сетевом оборудовании таких дыр обычно около трех десятков. В среднем же на один ИТ-актив приходится около 7 уязвимостей. Об этом говорит отчет Nopsec за этот год. Облачные провайдеры обычно более уязвимы - каждый их актив содержит в среднем 18 уязвимостей. Активы финансового сектора, при средней длительности устранения уязвимости в 176 дней (очень хороший показатель по сравнению с 5-тью годами), обладают 6-тью уязвимостями; ВУЗы - двумя...

Понятно, что указанные цифры - это средняя температура по больнице - у каждого потребителя ситуация может меняться. Более того, она меняется в зависимости от того, о каких уязвимостях мы говорим. Например, по данным Nopsec, среднее время устранения уязвимостей во внутренних сетях вдвое ниже, чем на периметре (а мы в своем исследовании преимущественно оценивали внешние устройства), и в 5 раз выше, чем у Web-приложений. У "пользовательского" ПО ситуация тоже сильно меняется. Например, у Google Chrome, с его обязательным автоматическим обновлением и необходимостью иметь права администратора для отключения автообновления, обновления "накатываются" оперативно и за небольшой промежуток времени, пользователей переводят на новую версию ПО, с устраненными уязвимостями. Более того, Google не разрешает скачивать устаревшие версии браузера ни со своего, ни с посторонних сайтов. Это дает свой эффект.


Чем жестче политика производителя, тем эффективнее результат. Например, у Microsoft Office функция автообновления хоть и присутствует, но большинство пользователей игнорирует ее, эксплуатируя одну и ту же версию годами. Выход новой версии "Офиса" никак не сказывается на динамике обновлений, что само по себе парадоксально.


Получается, что производители добросовестно выполняют свою функцию своевременного выпуска обновлений, но сами пользователи не горят желанием их ставить, устраняя тем самым уязвимости и делая свое ПО или оборудование более защищенным. В чем причины такой бездеятельности потребителей?

В нашем отчете приводится несколько причин такого безалаберного поведения:

  • Нет денег на обновление (если речь идет об обновлении основных версий)
  • Боязнь изменений в функциональности ПО
  • Обновление может привести к простоям в работе организации
  • Объединение обновлений безопасности с функциональными обновлениями.
В отчете Nopsec к этому списку добавляются:
  • Перегрузка специалистов по ИТ/ИБ, ответственных за обновления
  • Нехватка ресурсов, в том числе человеческих
  • Слишком много ручной работы для обновления
  • Непонимание рисков, связанных с использованием устаревшей инфраструктуры и ПО
  • Отсутствие процесса управления патчами и коммуникаций между его участниками.

От себя могу добавить еще одну причину, которую никто и никогда не называл в зарубежных отчетах, но которая заслужила второе место в моем опросе, который я запустил в августе в Twitter. Боязнь потери сертификата для российских пользователей - это серьезнейшая причина, почему не нужно обновлять уязвимое ПО. Дилема "уязвимое, но с бумажкой, или защищенное, но без сертификата", к сожалению, имеет место быть и как ФСТЭК не старается исправить эту ситуацию, пока до положительных сдвигов далеко.


Завершить заметку мне бы хотелось простой рекомендацией - выстраивайте процесс управления уязвимостями и патчами, не оставляйте его на потом. Тем самым вы увеличиваете злоумышленникам время на совершение их противоправных дел. Производитель в меру своих сил и возможностей выпускает обновления, но устанавливать их - это уже ответственность потребителя. И чем критичнее ПО и инфраструктура, тем меньше возможностей этот процесс полностью автоматизировать, исключив из него человека. Поэтому и должен это быть целый процесс, а не просто купленный сканер, который может указывать на наличие уязвимого ПО в сети.

13.09.16

Heartbleed, атрибуция кибератак и бритва Хенлона

Давно хотел написать эту заметку, но все как-то руки не доходили. Но после почти месяца пребывания в США тема всплыла вновь и теперь я уже не могу про нее не написать. Но сначала я задам риторический вопрос: "Кто стоит за уязвимостью Heartbleed?" Отдельные чудаки, как это часто бывает, безапелляционно скажут, что это АНБ внедрило уязвимость, которой были подвержены сотни тысяч узлов в Интернет. Я же, известный агент вашингтоновского обкома, расширю этот список (несанкционный) следующими кандидатурами:
  • ФСБ. А почему бы и нет? Если уж наша спецслужба манипулирует мочой спорстменов и выборами американского президента (и непонятно, что еще сложнее), то что ей мешает внести правки в код OpenSSL?
  • Криминал. Тоже вариант. OpenSSL крутится на многих финансовых ресурсах, которые могут представлять интерес для злоумышленников, которые могли подкупить разработчиков OpenSSL или самостоятельно внести уязвимость в код.
  • Обиженный фанат open source community, которого отшила подружка на день Рунета (а именно в этот день была опубликована информация о Heartbleed).
  • Инопланетяне. Ну а почему бы и нет? При отсутствии доказательств их несуществования тоже вполне себе версия; не хуже и не лучше других.
Аналогичный вопрос об авторстве может возникнуть и в отношении кибератак. Сами по себе они врядли возникают (а уязвимости могут, но об этом ниже). Поэтому вопрос об атрибуции киберугроз встает достаточно остро. У нас часто обвиняют американцев, а те в свою очередь, а за ним и европейцы, любят обвинять во всех своих кибер-бедах китайцев и русских. Но на чем каждая сторона основывает свои доводы? На принципе геополитической целесообразности. Ничего другого пока за этими обвинениями нет.

В последний месяц-другой было очень много обвинений России в кибератаках. То на Демпартию США, то на WADA, то на спортивный арбитраж, то на NY Times, то даже на само АНБ... Тут впору вспомнить известный старый фильм "Красная жара" с Шварцнегером:



Юный инноватор (таким званием он был награжден) из американской CrowdStrike, ее основатель и технический директор, Дмитрий Альперович, изучавший взлом демократов, дословно написал в своем исследовании: "Extensive targeting of defense ministries and other military victims has been observed, the profile of which closely mirrors the strategic interests of the Russian government, and may indicate affiliation with Главное Разведывательное Управление (Main Intelligence Department) or GRU, Russia’s premier military intelligence service". То есть вывод о русском следе сделан на основании того, что среди жертв были преимущественно военные организации, и атаки происходили с IP-адресов, зарегистрированных за Россией.

В отчете ThreatConnect, названном "Все дороги ведут в Россию", чуть больше деталей деятельности хакера(ов), скрывающихся под именем Guccifer. Опираясь на информацию о владельцах ряда адресов, участвующих в атаке на демократов, и используемый русскоязычный интерфейс, был вновь сделан вывод о русском следе. Тут не могу опять не вспомнить очередное творение советского периода - книгу "Тайна Фенимора" и снятый по ее мотивам фильм "Три веселые смены". Там был такой фрагмент:

"Но неожиданно Ира Привалова спросила Женю Рыжика:
– А кто такой Фенимор?
– Не знаю… – неуверенно сказал мальчик и тут же поправился: – Писатель такой… Фенимор… Купер.
– Странно, – сказала вожатая, – сегодня во сне ты произносил это имя. Может быть, тебе приснился Фенимор Купер?…
Писатель? – Не знаю. Может быть, и приснился. Какое это имеет значение.
Ира Привалова сурово посмотрела на Женю Рыжика.
– Штабс-капитан Рыбников во сне заговорил на родном японском языке, и это выдало его как японского шпиона. Во сне человек может открыть свою тайну.
С этими словами она встала и пошла прочь.
– Нет у меня никаких тайн! – вслед ей крикнул Рыжик."


Если бы я был русским хакером, работающим на ФСБ, то я специально бы выбрал для своей деятельности сайт, у которого только один интерфейс, на русском; чтобы он уж точно вел все следы в Россию (это была шутка). Хотя в ThreatConnect на полном серьезе считают, что использование русского VPN-сервиса через французскую инфраструктуру - это фирменный знак российских спецслужб :-) Помимо ThreatConnect, а они написали целых 9 статей на тему взлома "русскими хакерами" американских демократов, этот кейс разбирали в Mandiant, известной своей любовью к России, и Fidelis. Уровень их доказательств примерно такой же и в качестве основа атрибута в своих выводах они опираются на "русские" IP-адреса.

Пресса тоже сходится в мнении, что за последними атаками стоят русские хакеры, ассоциированные с государством. Мотивация журналистов проста - а кто еще, кроме России, которая имеет большой опыт влияния на внутреннюю политику по всей Европе? Например, в Independent это обосновывается так: "And who was responsible for the leak? Almost certainly, experts say, the Russians, directly or indirectly. For one thing, the Kremlin has a long record in doing this sort of thing, meddling in internal politics across Europe. Back when the DNC hack became public, in mid-June, Russian agents were identified as prime suspects".

Однако, если отбросить всю эту околополитическую шумиху, то на самом деле провести реальную атрибуцию киберугроз сегодня очень затруднительно. Я в прошлом году писал большую статью на эту тему, в которой постарался показать, что существует множество причин организационного, правового, коммерческого, геополитического, психологического плана, которые мешают адекватной атрибуции. И это еще мы не рассматриваем ситуацию, когда злоумышленники осознанно фальсифицируют якобы "доказательства" своей деятельности, призванные направить исследователей по лживому следу. Например, Лаборатория Касперского обнаружила такие факты в отношении кампании CloudAtlas и хакерских групп Lazarus и Sofacy. Понимая всю сложность атрибуции ЛК отказалась от того, чтобы указывать авторство вредоносных программ и кампаний, которые они расследуют. И многие специалисты (а не балаболы, гонящиеся за дешевой популярностью) сегодня стараются следовать этой практике.

Например, известный эксперт по кибербезопасности промышленных систем Роберт Ли, известный своей русофобией, часто называл Россию в качестве основного источника современных киберугроз. Я с ним даже спорил на эту тему и в Интернете и на курсах SANS, на которых он был моим инструктором. После неоднократных дискуссий на эту тему он перестал огульно обвинять Россию, сменив риторику на более спокойную. В частности в своей мартовской статье, он подробно описывает все сложности атрибуции киберугроз и просит не считать его прежние высказывания о том, что за атаками на энергосистему Украины стоит Россия, верными. Более того, он пишет, что доказательств этого нет и скорее всего не будет найдено, с чем я тоже соглашусь (если не будет какого-либо перебежчика, который раскроет, кто же все-таки стоял за этой атакой).

Завершить свою длинную заметку мне хотелось бы возвратом к тому, с чего я начал. Помимо названных пяти вариантов появления Heartbleed есть и шестой, который лично мне представляется наиболее вероятным. Называется он "бритвой Хенлона", за которой скрывается известная фраза "Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью". По данным компании Black Duck 67% компаний в мире не анализируют уязвимости в open source. И с OpenSSL ситуация была именно такой - этот проект поддерживался в инициативном порядке всего двумя разработчиками, занимающимися этим неполный рабочий день. Стоило ли в таких условиях ждать, что они будут заниматься безопасностью модуля по безопасности?


При таких исходных условиях я с большей охотой поставлю именно на раздолбайство, а не на спецслужбы, якобы стоящие за всеми громкими уязвимостями. Как сказал Пелевин: "Миром правит не тайная ложа, а явная лажа" и я склонен с ним согласиться. Значит ли это, что это всегда так? С уязвимостями вполне допускаю, но с атаками дело обстоит иначе и за ними всегда стоит кто-то. Только вот чтобы утверждать об этом "ком-то" необходимо гораздо более веские доводы, чем "только русские спецслужбы говорят на русском языке", "только китайцам интересны американские секреты" или "только Израиль может стоять за атаками на Сирию и Иран".

12.09.16

Intel и HPE продают свой ИБ-бизнес

На рынке ИБ, который раньше преимущественно был отмечен большим количеством сделок по поглощению, произошло два знаменательных события - Intel и HPE продают свой ИБ-бизнес. Компания Intel, которая в последнее время продавала и прикрывала отдельные линейки продуктов ранее приобретенной компании McAfee, решила все-таки продать свой подразделение по информационной безопасности частной инвестиционной компании TPG Capital за 3,1 миллиарда долларов (еще 1,1 миллиарда инвестирует сама TPG). Произошло это событие 7 сентября. После завершения сделки Intel будет владеть менее чем половиной вновь образованной компанией (49%), которая вернется к своему прежнему наименованию - McAfee.

Хочу напомнить, что в 2010-м году Intel купила McAfee за 7,7 миллиарда долларов, но желаемого эффекта эта покупка не принесла. Внедрить безопасность "в кремний", как это преподносили руководители McAfee и Intel, не удалось. Интересно, что в это же время, компания HPE анонсировала продажу за 8,8 миллиардов своего бизнеса ПО британской компании Micro Focus. Среди прочего продается и бизнес по ИБ - ArcSight, Fortify, Atalla и Voltage. Причина та же - "неповоротливый бегемот" (так в одном из материалов IDC назвала HPE и Intel) не смог выжать максимум из приобретенных ранее активов и не смог сфокусироваться на теме кибербезопасности, что и привело к закономерному результату. Теперь HPE будет фокусироваться на других темам, среди которых ИБ уже в явном виде не присутствует.

Последствия данных сделок для России и других стран постсоветского пространства пока предположить сложно.

ДТП как зеркало отрасли информационной безопасности

Все как-то не было повода, а тут он сам собой и с неожиданной стороны проявился. Попал я ДТП с участием Камаза, двух автобусов и 5 легковых автомобилей. Авария была серьезная - лобовое столкновение Камаза с одним из автобусов, водителю которого пришлось ампутировать обе ноги. И пока я находился на месте ДТП, а было это в течение 6 часов, и наблюдал за всем происходящим мне в голову пришли две мысли, имеющие отношение к ИБ.



Сам не раз ловил себя на том, что любая авария, мимо которой проезжаешь, вызывает любопытство. А что, а как, а почему?.. Но со стороны все это обычно выглядит не так, как в ситуации, в которой ты сам один из главных героев. За 6 часов вокруг места аварии скопилось немало зевак, многие из которых тупо щелкали все происходящее на камеры своих смартфонов. Потом появилось несколько видеоблогеров, которые решили не просто поснимать аварию с тротуара, а пробраться к самим машинам, залезть в наполовину снесенную кабину Камаза и полностью смятую кабину автобуса. Потом подтянулась пресса - ТВ и радио. Особенно настырным был корреспондент РЕН-ТВ, который все пытался взять интервью у водителей пострадавших машин, которые были явно не расположены что-то комментировать.

Очень сильно мне это напомнило ситуацию с взломами или утечками в той или иной компании. Да и, пожалуй, с любым инцидентом ИБ, который становится достоянием гласности. Кто-то просто копируют новость с какого-либо новостного ресурса, кто-то ее сухо комментирует (мол так-то и так-то), а кто-то ярко смакует все детали, сразу найдя "виновного" и сходу, но новостным лентам, определив причину происходящего. Когда ты находишься в роли комментатора, то вроде бы ничего и нет в этом предосудительного (если этическую грань не переходить). А вот когда ты в роли комментируемого... Картина меняется. Уже не так весело и не так интересно. Хочется, чтобы это поскорее закончилось и жизнь продолжала бы течь как раньше. В общем ничего нового. Старая, очень старая поговорка. "Не делай другим того, что ты не хочешь, чтобы делали тебе". Не говори о других так, как не хочешь, чтобы говорили о тебе. Комментатор уверен, что его или его компанию не взломают и ему не придется оказаться в роли комментируемого? А если утечка произойдет? А если в его продуктах (если он их выпускает) найдут целый букет дыр? Вот такой была моя первая мысль, когда я сидел в машине, вокруг лил дождь, копошились спасатели, гаишники, следователи, муниципалы и еще масса всякого народа.

Вторая мысль пришла уже позже, когда спустя 6 часов после аварии нас отпустили по домам. Кто бывал в ДТП, тот знает, что обычно оформление проходит быстрее. Если дело происходит в Москве, то каждая машина ГИБДД обычно оснащена принтером и подключением к Интернету. Это сильно ускоряет процедуру оформления - в последний мой раз на оформление паровозика из 4-х машин ушло всего 2 часа с момента ДТП и моим отъездом домой. И это при том, что ДТП произошло в 18 часов с небольшим, то есть в час пик, на загруженной Ленинградке. Но вернемся к последней аварии.

Дело было на Новокуркинском шоссе, которое разделяет Москву и Московскую область. Это привело к тому, что на место ДТП приехали и столичные наряды, и областные. Было 8 машин скорой помощи, машина ЦЭМПа (Центра экстренной медицинской помощи), 5 машин МЧС и пожарных, 6 машин ГИБДД и парочку личных БМВ, видимо, руководителей близлежащих подразделений МВД. 20+ машин!!! Неорганизованность полнейшая.

12 (!) пожарных фотографировали место происшествия - каждую столкнувшуюся машину с двух сторон. Двенадцать! Я потом спросил одного из них, зачем они это делали? Оказалось все просто - у них порядок такой. Каждый наряд должен сделать фотофиксацию места, на которое они выехали, для отчетности. Для гарантии, что фотографии получатся, в каждом наряде фотографируют 2-3 человека. Отсюда такое количество "фоторепортеров".

Пожарные прибыли на место спустя несколько минут после ДТП; благо областная пожарка была в 600 метрах, а московская - в километре. Однако они еще 4 часа ждали следователя, который должен был им разрешить растаскивать поврежденные машины. Приехавший же следователь оказался молодым и явно неопытным (как же его кляли гаишники) - он все кому-то звонил и уточнял, как надо заполнять документы по происшествию (оторванные ноги водителя автобуса - это уголовное преступление). Сами же спасатели и гаишники не хотели ничего решать, боясь брать на себя ответственность. Позже, пообщавшись с ними, я понял, что им могут еще и по шапке надавать, если они "внесут изменения на месте аварии". Поэтому и приехавший для растаскивания Камаз, и машина для эвакуации автобуса, стояли на аварийке в течение нескольких часов, пока им дадут делать свое дело. И стояли они, конечно же, на проезжей части, перекрыв одну из полос, усугубляя и так непростую дорожную ситуацию.
В итоге, заполнив все протоколы, объяснения, расписки, спустя 6 часов, мы уехали с места ДТП по домам.

Вся эта бюрократия мне напомнила фрагмент из старого советского фильма "Огарева, 6":


И несмотря на 36 лет, прошедшие с момента выхода фильма о доблестной милиции, ситуация совсем не сдвинулась с мертвой точки. И надо признать, что в информационной безопасности, а точнее в расследовании инцидентов ИБ все точно также. Куча бумаг, неорганизованность, конкурирующие "смежники", нежелание брать на себя ответственность и... куча потерянного драгоценного времени. И это не пессимизм, а реалии, которые все глубже и глубже засасывают тех, кто сталкивается с государственными органами, которые требует уведомлять их об инцидентах ИБ. Пока это сделано для объектов ТЭК (постановлению №861 в октябре будет уже 3 года) и банков. Не за горами требование оповещать СОПКУ. А там может всплыть и тема уведомления об инцидентах с персданными граждан (она уже давно муссируется в кулуарах).

Вот такие вот мысли...

26.08.16

Как Telegram на самом деле хранит ваши данные в облаке или еще раз про моделирование угроз

Во все еще неопубликованной методике моделирования угроз ФСТЭК есть такой пункт, как необходимость включить в модель угроз описание информационной системы, что позволит правильно очертить границы защищаемого объекта и учесть все угрозы, связанные с ним, в том числе и неявные (вот тут я про это более подробно рассказывал). И вот, находясь в командировке с последующим отпуском в США, я столкнулся с интересным кейсом, который иллюстрирует классическую ошибку (о ней же говорит и ФСТЭК) при очерчивании границ информационной системы в модели угроз.

Итак, возьмем популярный мессенджер Telegram, который считается одним из самых защищенных в своей нише. Во время поездки iPhone вдруг в какой-то момент перестал загружаться и все танцы с бубном не привели к его восстановлению. Оставалось только зайти в ближайший Apple Store и решать проблемы с поддержкой Apple, которая отработала на ура и после нескольких попыток вернуть смартфон к жизни предложила просто поменять его на новое устройство ввиду отсутствия у старого железа желания возвращаться к жизни. По приходу в гостиницу я решил залить на новый смартфон резервную копию, но, торопясь, ткнул мышкой не в последнюю версию, а в январскую (то есть более чем полугодовой давности). Первоначально я этого не заметил и после ее установки стал "добавить" устройство отсутствующими приложениями. Одним из них оказался и Telegram, которого в январе у меня еще не было (я его установил только в апреле). Каким же было мое лицо, когда после установки Telegram с нуля я увидел в нем всю переписку, которая велась в нем еще на старом устройстве!

WTF, подумал я, по привычке перейдя на американский. Как на абсолютно новом устройстве могли появиться данные, которых там никогда не было и которых не было в резервной копии, которая была залита на устройство? Где хваленая безопасность Telegram?.. Стал разбираться и выяснилась занятная для меня вещь. Оказывается, Telegram автоматически (я не помню, чтобы он меня об это спрашивал при установке) включает функцию хранения данных в своем облаке. Очень интересная "фича", которая сразу приводит нас к сценарию атаки на людей, с чьей перепиской мы бы хотели ознакомиться:
  • клонируется SIM-карта жертвы (технически или путем получения клона у мобильного оператора)
  • в новом iPhone восстанавливается вся история переписки Telegram.
В день публикации меня зачморили за эту публикацию, указав на ряд технических ошибок. Мол и хранит Telegram данные в своем облаке (а я писал про iCloud), и эта функция явно указана на сайте. Да, тут я сплоховал, не проверив все до конца, каюсь. Однако меня смутила данная функция с точки зрения именно безопасности и не так уж и важно, где хранятся данные Telegram. Заметка писалась изначально с совершенно иной целью, которая и была озвучена в первых абзацах.

При установке Telegram (а он у меня появился позже Viber и WhatsApp), я был уверен, что данный "защищенный" мессенджер будет поступать ровно также, как и другие мессенджеры, а именно хранить данные на моем устройстве и при его потере или краже я не смогу получить данные к переписке. Оказалось не так. Облако смешало мои карты, существенно расширив модель угроз для моего устройства.

И Telegram - не единственное приложение на смартфоне, которое пользуется облаками. Например, бесплатные 5 Гб в iCloud Drive, которые бесплатно доступны любому пользователю продукции Apple. По умолчанию к ним имеют доступ все приложения на телефоне, которые замечательно этой возможностью пользуются.


Отключить эту функцию в настройках приложениях зачастую нельзя (там нет соответствующего пункта меню) и мы можем просто не знать о такой "фиче". Найти ее можно только если идти в "Настройки - iCloud - iCloud Drive", где нас может поджидать множество сюрпризов.


К чему эта заметка? У нее есть две цели. Во-первых, если вас интересует конфиденциальность вашей переписки в Telegram стоит ответить для себя на простой вопрос, хранить ли переписку в облаке или нет? Кстати, ни Viber, ни WhatsApp, которые, судя по скриншоту выше, тоже что-то хранят в iCloud, переписку оттуда мне не подтянули, из чего можно сделать вывод, что они ее там и не держат (по крайней мере явно).

А во-вторых, хотел бы вернуться к тому, с чего я начал. При моделировании угроз очень важно четко описать границы системы, для которой моделируются угрозы. Особенно это важно в современных условиях, когда "теневые" облака активно используются сотрудниками практически любой компании. А помимо облаков еще есть 3G/4G-модемы, Wi-Fi и другие технологии, позволяющие существенно расширить как границы системы, так и список потенциальных угроз. Конечно же часть этих угроз может быть признана неактуальной, но сделать это можно только после того, как будет составлен их полный перечень, о чем и говорит пока еще не вышедшая методика ФСТЭК.

Пример неудачной модели угроз

25.08.16

Уязвимость или закладка? В чем разница?

На волне последних новостей о Shadow Broker и частично выложенным в открытый доступ, а частично выставленном на продажу наборе вредоносного ПО, мне хотелось бы вспомнить о терминологии. А то что-то внезапно и много развелось специалистов по закладкам. Особенно в среде специалистов по поиску уязвимостей. Причем некоторые подменяют понятия "уязвимость" и "закладка" непреднамеренно, а некоторые делают это осознанно, манипулируя терминами в своих интересах, зачастую коммерческих.

Итак, я приведу три определения (в разницу терминов defect, fault, failure, error и сленгового bug вдаваться не буду - они сейчас они имеют никакого значения):
  1. Уязвимость - свойство информационной системы, обусловливающее возможность реализации угрозы безопасности обрабатываемой в ней информации (ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"). В ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей" определение немного другое. Там уязвимость - это недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации. В ГОСТ Р 56545 есть еще и определение zero day, но дела это не меняет. Иными словами речь идет об ошибке в ПО или ИС, которая может привести к угрозе ИБ. Возможность реализации угрозы и разделяет ошибки и уязвимости, которые в большинстве случаев являются подмножеством ошибок.
  2. Программная закладка - это преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения. Это определение из ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения". Аналогичное определение и в более старом ГОСТ Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации". В РД ФСТЭК по недекларированным возможностям определение схожее - "программные закладки – преднамеренно внесенные в ПО функциональные объекты (то есть элементы программы, осуществляющие выполнение действий по реализации законченного фрагмента алгоритма программы), которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации".
  3. В свою очередь "недекларированные возможности" это, согласно ФСТЭК, функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки.
На мой взгляд деление очень четкое - грань проходит по понятию "умысел". Есть намерение навредить - значит речь идет о закладке. Нет такого намерения - это уязвимость. Нет возможности реализовать угрозу - речь идет об ошибке. При этом, по моему мнению, уязвимость не может считаться недекларированной возможностью, так не является функциональной возможностью ПО согласно приведенным определениям.

Поскольку в последнее время речь идет о известных и ранее неизвестных слабостях в ПО различных производителей, которые могли эксплуатироваться упоминаемыми в опубликованных материалах Shadow Broker программами, то речь идет об уязвимостях (и уязвимостях нулевого дня), но никак не о закладках. В противном случае почти все 15 тысяч уязвимостей в базе данных ФСТЭК можно тоже отнести к разряду закладок. В том числе и бреши в ПО отечественных производителей, которые, имея лицензии ФСТЭК или ФСБ, могут быть обвинены в тесных связях со спецслужбами, которые в свою очередь внедрили эти закладки для несанкционированного доступа к защищаемым системам. А почему бы и нет? Логика по крайней мере та же, что используют отдельные "эксперты", так прям и пышущие желанием найти в каждой становящейся достоянием гласности уязвимости злой умысел производителя или американских спецслужб. Желание попиариться или присосаться к государственным деньгам понятно, но стоит и просчитывать последствия своих высказываний, которые могут быть повернуты и против "экспертов", в продуктах которых могут быть тоже найдены уязвимости, которые тоже могут быть названы происками американского АНБ, российской ФСБ, белорусского КГБ, казахского КНБ и множества других структур, оканчивающихся на вторую букву русского алфавита.

ЗЫ. Кстати, Шнайер считает, что вторая часть архива Shadow Broker - это фейк, и цель была опубликовать именно первую с целью демонстрации своей мощи неизвестными хакерами, за которыми, по версии того же Шнайера, стоит... Кто бы вы думали? Да, опять Россия или, с меньшей вероятностью, Китай.

12.08.16

Шифрование как граната в руках сапера, пехотинца или обезьяны

Любая безопасность имеет цену, а шифрование особо. Когда оно защищает информацию от троянцев и киберпреступников, оно также защищает преступников от полиции, а террористов от спецслужб. Зашифрованы могут быть не только финансовые транзакции, но и переписка торговцев наркотиками или экстремистов. Любая спецслужба в любом государстве боится, что будет не в состоянии вскрыть переписку интересующих их людей в нужный момент времени. И возникает диллема - или ослабить криптографию или ограничить ее распространение с целью недопущения ее использования преступными элементами или дать возможность гражданам беспрепятственно защищать свои тайны от посторонних глаз? Этой теме я посвятил 4 заметки на этой неделе и хотел бы подвести некоторый итог.

Я уже не раз постулировал мысль, что интересы государства по мнению спецслужб всегда важнее интересов граждан, чтобы там не говорила Конституция. И правоохранительные органы будут стремиться ограничивать криптографию различными путями:
  • ввоз СКЗИ на территорию государства
  • вывоз СКЗИ с территории государства
  • разработку СКЗИ
  • использование СКЗИ.
Но даже если использование и разрешено, то спецслужбы требуют предоставить доступ к зашифрованной переписке со стороны оператора связи или разработчиков, которые должны оставить лазейки в своих продуктах, но только в благих целях (а каких же еще?). По мнению спецслужб это представляет собой баланс между правом граждан и бизнеса защищать свои данные, и правом спецслужб вторгаться в чужие тайны. И вот тут возникает несколько вопросов, на которые пока так никто и не ответил; хотя дискуссия о регулировании криптографии ведется давно, чуть ли не с конца Второй мировой войны.

Первый вопрос звучит очень просто: “Почему террористы и экстремисты должны предоставлять лазейки в свои шифровальные средства? И почему они будут покупать продукцию на коммерческом рынке? Разве они не могут разработать такое решение самостоятельно, имея исходные коды, скачанные из Интернет?” Этот вопрос все время ставит в тупик правоохранительные органы, которые уходят в глухую оборону и не дают ответа в столь очевидной ситуации. То есть несмотря на все препоны преступный мир может купить и применять криптографию любой стойкости, а добропорядочные граждане и бизнес (которым по мнению отдельных людей, называющих себя экспертами, нечего скрывать) используют слабую или уязвимую (ведь наличие лазейки даже для спецслужб - это дыра) криптографию, делая свои данные менее защищенными. Приведенные в среду три истории лишний раз показывают это. А ведь это было в 90-х, когда экспортный контроль был жестче, чем сейчас.

Аналогичная ситуация и в России. Откуда берется уверенность, что криминалитет, террористы и иные преступные элементы будут использовать только ту криптографию, которая официально продается уполномоченными разработчиками? Если в <подставить любую страну> боятся, что их продукция с усиленным шифрованием будет продана не тем, то исходить надо из худшего сценария - она будет продана. Это можно сделать через подставных лиц или через Интернет. Средства шифрования можно купить в других странах, выпускающих свою продукцию. Криминальный мир может заказать разработку своих средств шифрования или даже создать их самостоятельно (немало хороших программистов перешло на темную сторону).

Второй вопрос - если спецслужбы имеют лазейку в средства шифрования, то почему эту лазейку не может найти кто-то другой? А если используется не уязвимость, а передача всех ключей в центральную базу данных, то кто к ней имеет доступ и где гарантии, что эта база не будет продаваться на черном рынке? В России у меня нет уверенности, что центральная база депонированных ключей не утечет наружу. Справедливости ради надо отметить, что пока я не слышал о базах ФСБ, которые можно купить на свободном или черном рынке. Базы МВД, ГИБДД, МГТС (пусть и устаревшие) бывают, а ФСБ нет. Но появляется новое звено, которое ослабевает защищенность всей системы.

Наконец, последний вопрос. А почему преступники, экстремисты и террористы должны использовать для скрытия своей активности шифрование? Почему они не могут воспользоваться другими способами защиты своей переписки и своих файлов? Ведь есть кодирование. А еще есть стеганография. И оба этих метода не регулируются сегодня никак. А они уже не первый год используются преступным миром для того, чтобы остаться незамеченным правоохранительными органами и спецслужбами. Вот несколько примеров:

  • Вредоносное ПО ZBOT использует стеганографию для рассылки своих конфигурационных файлов.
  • Вредоносное ПО Zeus, Duqu, Lurk также использовало стеганографические техники в своей работе.
  • Члены Аль-Кайеды в Германии использовали стеганографию для скрытия своих сообщений в видео файлах.
Одна из классификация методов стеганографии
У меня нет ответов на заданные вопросы. В феврале я уже писал, что шифрование - это палка о двух концах, которая и развивает ИТ/Интернет-индустрию, и помогает преступникам. И как это часто бывает, ни запрет, ни ограничения не решат тех задач, которые стоят перед спецслужбами. Тут нужно искать иные способы...

11.08.16

От депонирования криптографических ключей к свидетельствованию против себя

Если с депонированием ключей и включением обязательных закладок средств доступа спецслужб к средствам шифрования мы разобрались, то есть еще одна тема, к которой мне хотелось бы обратиться и которая пока не нашла своего отражения в российском законодательстве - о собственноручной передаче ключей шифрования спецслужбам со стороны граждан.

Эта идея не такая уж и безнадежная, как кажется с начала. Она не вызывает отторжения у производителей - им не надо ничего плохого делать со своими продуктами. Она менее масштабируема, но несмотря на это некоторые государства вместо депонирования ключей пытались внедрить способ законного получения ключей шифрования от самих пользователей по запросу правоохранительных органов. В случае отказа им грозила уголовная ответственность за неоказание помощи в расследовании преступлений. В России такой нормы нет (будем надеяться, что статья 205.6 УК РФ за недоносительство не будет трактоваться с этой точки зрения).

Поскольку в России эта тема пока неактуальна (ключи у нас требуют не от граждан, а от операторов распространения информации), я решил просто привести примеры нескольких государств, которые ввели у себя соответствующие нормы:

  • Австралия требует предоставления такой информации с 2001-го года. Наказание за отказ - 2 года тюремного заключения.
  • Бельгия требует этого с 2000-го года. Штраф за отказ - 100 тысяч евро.
  • Великобритания наказывает (и уже наказывала) за отказ в передаче ключей по требованию суда сроком до 2-х лет.
  • Индия требует предоставления этой информации с 2008-го, а Финляндия с 2011-го года.
  • Канада внедрила данное требование в широкой трактовке в 1998 году.
  • Демократичные США не имеют соответствующего законодательства, так как оно нарушило бы Пятую поправку к Американской Конституции (право не свидетельствовать против себя). Однако регулярно суды выдают соответствующие решения и в каждом конкретном случае результат разный - кто-то предоставляет ключи, кто-то нет.
  • Франция с 2001 года требует предоставления паролей и ключей в случае расследования преступлений и наказывает 5-тилетним сроком и 75 тысячами евро штрафа за отказ в предоставлении этой информации.
  • Одно из самых жестких наказаний за непредоставление ключей - в ЮАР - до 10-ти лет лишения свободы и штраф в 2 миллиона южноафриканских рендов.

Мы видим, что многие страны, не имея возможности обязать депонировать ключи и не имея собственных разработчиков средств шифрования, которые могли бы встраивать системы восстановления ключей или иные лазейки, требуют от граждан и бизнеса предоставлять ключи шифрования по мотивированным запросам со стороны государства. Россия в этом плане наступает на пятки другим государствам, начав с требования выдавать ключи только от распространителей информации, зарегистрированных в специальном реестре ФСБ.

Для защиты прав пользователей от законных запросов со стороны судебных и правоохранительных органов существует даже специальное ПО (функция ПО), реализующее так называемое отрицаемое шифрование (deniable encryption), то есть возможность пользователю убедительно отрицать факт зашифрования информации или доказать отсутствие возможности расшифровать информацию. Из наиболее популярных программ, реализующих эту функцию, можно назвать TrueCrypt или OpenPuff.

10.08.16

Что ЦРУ думает о законе Яровой или 7 случаев, когда шифрование не стало препятствием для приговора

Продолжу тему с Поручениями Президента. На этот раз я бы хотел привести несколько цитат представителей американского ЦРУ о законе Яровой. Точнее, бывшего директора ЦРУ и АНБ Майкла Хайдена. И не о законе Яровой, а о попытках США внедрить лазейки в разрабатываемые у них средства шифрования. Хайден 26-го июля этого года дал расширенное интервью радиостанции "Эхо Москвы". Приведу фрагмент, который касается именно шифрования.

К. ОрловаА кстати какая ваша позиция по шифрованию (речь идет о кейса "ФСБ против Apple" - А.Л.)?
М. ХайденЯ в принципе за и я здесь не один. Макконнелл, Майкл Чертофф, Кит Александр, который после меня работал в АНБ…, мы все поддерживаем «Эппл» и нам кажется, что это оправдано с точки зрения безопасности. Нам не кажется, что это вопрос Конституции. Я не юрист, но если вы спросите меня, имеет ли правительство право требовать от «Эппл» открывать свои коды, я скажу, что да, но мне кажется это плохая идея. Я объясню – почему. Нужно защищать Штаты от всех видов угроз. Глава национальной разведки уже последние пару лет твердит: как вы думаете, какая основная угроза для Штатов. Угроза из киберпространства. Киберпреступления. А правительству очень сложно будет защитить нас от киберпреступников. По сути «Эппл» защищает мой телефон, его разработчики или Самсунг, Майкрософт, в зависимости от того, какой у вас аппарат. Иначе говоря, в киберпространстве мы будем полагаться на гражданские компании, которые должны защищать нашу информацию. Наши данные. Поэтому если я, к примеру, борюсь с террористической угрозой, всегда возникает проблема, есть единственный способ ее решить – сказать человеку, который занимается кибербезопасностью: слушай, нужно тут снять защиту, мне нужно вскрыть телефон. Нужно подумать очень хорошо, потому что любой человек, который разбирается в вопросе, скажет, что если снизить уровень защищенности, уровень шифрования, даже если это обоснованное решение, то это серьезная уступка и возникает вопрос, мы реально готовы пожертвовать уровнем безопасности всех американских телефонов, чтобы раскрыть это преступление. Я на это отвечу «нет».
К. ОрловаНо возникает вопрос, здесь действительно ограниченный уровень угрозы…
М. ХайденВ Сан-Бернардино. Да, они вскрыли телефон и что. Ничего особенного не нашли.
К. ОрловаНо угроза-то существует. Террористическая угроза существует. Может быть она меньшая, чем угроза, если мы будем вскрывать телефоны.
М. ХайденСмотрите. Если мы примем закон, технологическое развитие закончится. Вот этого вы хотите?
К. ОрловаНу вот у нас в России так.
М. ХайденНет, мы так не хотим. Технологии должны развиваться. Я всю жизнь занимаюсь безопасностью. Я руководил Агентством по национальной безопасности, могу сказать, что неважно, что говорит конгресс или говорят суды, шифрование будет все сложнее взломать. И я советую правительству с этим просто смириться. Можно продолжать пытаться, но шифрование будет все более совершенным. Я вот смотрю на ваш телефон, можно собрать огромное количество информации. Я очень много могу узнать о вас, даже не взламывая ваш телефон. А поэтому мне кажется, что шифрование будет и должно шифроваться. Но если мы не будем знать содержание сообщений, это не значит, что мы не будем собирать разведданные. Нужно просто адаптироваться к новой реальности. Бесполезно пытаться бороться с качественным шифрованием.

Мне в этом интервью понравился последний абзац. Даже если представить что Хайден лукавит и скрывает свою истинную позицию, вольно или невольно он говорит правду. Нельзя ограничить распространение шифрования. Уже нельзя. Это как ограничивать распространение кибероружия, ссылаясь на опыт нераспространения оружия ядерного. Не работает.

Ну и чтобы не ограничивать заметку просто перепечаткой чужого интервью, хочу вновь вернуться к истории, а точнее четырем историям.

В 1991-м году 4 американских моряка были убити боливийскими террористами. В процессе расследования в руки правительственных агентов попали некоторые файлы, зашифрованные самописным, некоммерческим алгоритмом. Файлы были дешифрованы за 12 часов, а найденная в них информация позволила найти и задержать террористов.

В 1993-м году Рамзи Юзеф провел теракт против Всемирного торгового центра в Нью-Йорке, взорвав в гараже под ним грузовик с взрывчаткой. К счастью взрывчатки оказалось мало и взрыв только сотряс здание, но башни не сложились, как предполагалось. В процессе расследования некоторые файлы на компьютере Юзефа были расшифрованы правительственными агентами. Интересный факт: в файлах были найдены планы использования самолетов коммерческих авиакомпаний как тараны (Юзеф первый догадался до такого варианта теракта).

В 1995-м году известная секта "Аун Син Рикё" распылила в токийском метро газ зарин. Свою переписку секта вела в защищенном виде и использовала для этого алгоритм RSA, который был успешно взломан... за счет найденного в процессе арестов на дискете ключа.

В 2001-м году был арестован за измену и шпионаж в пользу России сотрудник ФБР Роберт Ханссен. Часть доказательств его вины хранилась на его карманном компьютере Palm III, который был скопирован и расшифрован агентами ФБР, осуществляющими расследование. Позже Ханссен сам признался в измене, чтобы избежать смертной казни.

В 2011-м году были арестованы члены германского отделения Аль-Кайеды на компьютерах которых были обнаружены доказательства террористической деятельности, скрытые с помощью стеганографии в порно-видео. Следователи успешно дешифровали эти данные.

В 2013-м году в Великобритании был задержан айтишник Пол Тейлор, который хранил детскую порнографию на его лептопе, зашифрованным с помощью бесплатного и свободно скачиваемого из Интернет ПО TrueCrypt. Попытки расшифровать зашифрованный виртуальный диск не увенчались успехом, что не помешало найти доказательства против Тейлора. Часть фотографий была найдена во временных файлах. Кроме того, в истории браузера были найдены и другие доказательства вины Тейлора.

В 2016-м году сотрудники ФБР сумели взломать заблокированный мобильный телефон iPhone, принадлежавший участнику нападения на мирных граждан в калифорнийском Сан-Бернадино Саиду Фаруку. И помощи компании Apple, а также решения суда, не понадобилось.

Адвокаты систем депонирования и экспортного контроля приводили эти случаи как доказательства того как криминальный и террористический мир активно использует шифрование в своей деятельности и этому надо противостоять с помощью предлагаемых в 1993-96 годах инициатив американского правительства. Но... как ни странно, они играют на руку и противникам этих инициатив. Во-первых, правительственные агенты смогли получить доступ к зашифрованным файлам и без системы депонирования или лазеек в алгоритмах. Во-вторых, только один из упомянутых преступников был американцем, а на остальных не распространялись американские законы. Наконец, три преступления из шести происходили за рубежом и никакие экспортные ограничения, существовавшие на тот момент не предотвратили приобретение стойкой криптографии преступниками; в одном случае преступники использовали даже собственноручно разработанный алгоритм, а в одном - скачанный из Интернет TrueCrypt.

Нередко спецслужбы аппелируют к различным преступлениям, которые могли бы быть предотвращены, если бы у спецслужб был доступ к зашифрованным компьютерам или смартфоном. В октябре 2014-го года глава ФБР привел три таких случая:

  • Смерть двухлетней Эбигейл Лара-Моралес в 2011-м году. Анализ телефонных звонков и SMS показал, что родители погибшей девочки даже не пытались связаться со скорой помощью и не предприняли никаких усилий для помощи своему ребенку.
  • Смерть 12-тилетнего мальчика от рук насильника в Шревепорте (Луизиана) в 2010-м году. Анализ мобильного телефона показал, что насильник выманил ребенка из дома под видом встречи с девочкой, которая нравилась подростку.
  • В 2010-м году в Сакраментов пьяный водитель проехал на красный свет и сбил молодую пару, гулявшую с 4-мя собаками. Собаки погибли сразу, молодой человек скончался через сутки. Преступника нашли по GPS-координатам в его мобильном устройстве.
Однако на самом деле, во всех трех случаях все было не совсем так, как об этом говорил директор ФБР. Журналисты, проведшие собственные расследования, выяснили, что:
  • В случае с Эбигейл ее родители и так были лишены родительских прав после рождения и дочь им вернули незадолго до ее гибели.  При этом родителей неоднократно наказывали за насильственные действия над ребенком и отсутствие должного ухода. Отсутствие звонков в скорую помощь, что можно было определить и без доступа к мобильному устройству, никак не повлияло на решение суда.
  • В случае со смертью мальчика от рук насильника ситуация была тоже отличной от той, которую обрисовал директор ФБР, продвигающий свои идеи. Преступник уже не раз сталкивался с правосудием в качестве насильника и был внесен в соответствующую базу. После убийства он уезжал с места преступления, но у него закончился бензин. Проезжающий мимо шериф остановился проверить машину и обнаружил внесенного в базу насильника. А спустя несколько часов недалеко от места проверки заглохшего автомобиля был найден труп мальчика и... оброненные ключи насильника, которые и послужили основной уликой в деле против него.
  • Наконец, в последнем случае все было еще проще. Никакой GPS не анализировался для отслеживания местоположения преступника, сбившего пару с 4-мя собаками. Когда он уезжал с места преступления его остановил дорожный патруль, желающий проверить, почему на проезжающей мимо машине вмятина на капоте и крыле. Остановленный преступник был не только пьян, но и находился под действием наркотиков. Кроме того... он сам признался в преступлении. Никакой анализ GPS тут просто был не нужен.

Поэтому к словам бывшего главы АНБ и ЦРУ стоит прислушаться. И ориентироваться не только на ограничение средств шифрования, но и на развитие иных механизмов, которые бы позволили спецслужбам и правоохранительным органам идентифицировать преступников и собирать доказательства их деятельности.

ЗЫ. Интересная подборка кейсов, когда правоохранительные и спецслужбы смогли/не смогли взломать зашифрованные файлы подозреваемых лиц и преступников.

09.08.16

Как российским разработчикам СКЗИ могут закрыть выход на Запад

Продолжу тему с депонированием ключей и включением лазеек в отечественные средства шифрования, которые могут быть узаконены согласно двум поручениям Президента, о которых я написал вчера. Какой бы вариант не был выбран, он будет иметь катастрофические последствия для отечественной индустрии СКЗИ, исключая отдельные направления, в которых будет установлена обязанность применять средства шифрования и отказаться от этого будет нельзя.

Про эти последствия говорили до и во время принятия "закона Яровой", хотя и с упором на рынок телекоммуникаций. На рынок шифрования просто никто не обращал внимания. Во-первых, он пока не такой уж и большой, а во-вторых, сами производители средств шифрования, являющиеся лицензиатами ФСБ, не будут противоречить органу, который эти лицензии и выдает. Да и рано пока говорить о последствиях - подзаконные акты еще не приняты и мы не знаем, к чему это все приведет. Однако можно вновь обратиться к истории и посмотреть, о чем говорили в США, во времена принятия инициативы Clipper, во время законопроекта SAFE, во времена нашумевших законов Patriot Act и USA Freedom Act.

Кто будет покупать продукты, о которых известно, что они содержат закладки для спецслужб? Никто. Для американской экономики это было бы серьезным потрясением - продукция Microsoft, Cisco, Apple, Oracle и других ИТ-компаний распространена по всему миру и отказ от нее стал бы сильным ударом по доминирующей позиции Америки в ИТ-мире (это если не брать потери для каждой из компании в отдельности). Для России, которая иногда меняет риторику и вместо импортозамещения говорит о экспортопригодности, такие закладки стали сразу бы могильной плитой, не позволившей выбраться продукции за пределы локального рынка. Да и на локальном рынке объемы продаж бы сильно просели - кто захочет покупать решение о котором известно, что оно уязвимо и вся информация может на законных основаниях утечь в ФСБ; даже если скрывать и особо нечего? Хотя где вы видели компанию или человека, которым нечего скрывать?

Когда в Конгрессе обсуждался так и не принятый законопроект SAFE, с высокой трибуны прозвучало следующее: "Некоторые облачают дебаты вокруг криптографии в доспехи сражения приватности и безопасности. Наши активные консультации со стейкхолдерами, однако, привели нас к выводу, что проблему можно свести к борьбе безопасности с безопасностью. Криптография защищает критическую инфраструктуру, торговые секреты, финансовые транзакции, частную жизнь и информацию. В тоже самое время, криптография мешает силовым ведомствам отслеживать преступников, собирать доказательства, предотвращать террористические атаки и защищать общественный порядок. Изначально, законодатели и некоторые представители силовых ведомств верили, что решение на поверхности: законодательно предоставить силовикам доступ к зашифрованной информации по решению суда. К сожалению, затея повлекла за собой нежелательные последствия. В частности, встал вопрос о необходимости редизайна средств криптографии для встраивания так называемых “back doors” – уязвимостей, снижающих общий уровень защищенности криптосредств. В действительности, такие закладки обязательно будут использованы плохими парнями, но не обязательно дадут выигрыш хорошим парням. Глобальная индустрия стремительно меняется. Клиенты настаивают, чтобы компании встраивали средства криптографии в свои продукты на повседневном, бытовом уровне. Мы только сейчас начинаем понимать всю степень влияния этой глобальной трансформации. Если США наложат ограничения на использование криптографии, американские технологические компании могут потерять свой конкурентное преимущество на глобальном рынке. Более того, исследования показывают, что 2/3 предложений криптографических продуктов находятся за пределами США. Таким образом, плохие парни все равно смогут получить эту технологию от зарубежных поставщиков не находящихся под юрисдикцией США".

В 1998 году The Software Alliance (BSA) опубликовало отчет, в котором оценило потери от внедрения систем депонирования ключей. Согласно этим оценкам было выделено 4 категории затрат/потерь:
  • операционные затраты (поддержка и контроль ключей, реагирование на запросы),
  • пользовательские затраты (выбор, использование и поддержка соответствующих систем, а также потери, связанные со случайным раскрытием информации),
  • затраты на редизайн средств шифрования,
  • государственные затраты (тестирование средств депонирования, их сертификация, аттестация специальных служащих, работа с запросами).
В итоге получились следующие консервативные цифры:
  • общие прямые затраты - 7,7 миллиардов долларов США в год,
  • пользовательские затраты - 1,7 миллиарда долларов в год,
  • затраты бизнес- и домашних пользователей на то, чтобы соответствовать требованиям по депонированию - 6 миллиардов долларов в год,
  • средняя ежегодная стоимость реализации одного решения суда на доступ к зашифрованным коммуникациям - 12 миллионов долларов США.
К счастью, так и не удалось проверить на практике, насколько эти оценки были верны. Зато ущерб можно прикинуть после того, как Сноуден разоблачил американские спецслужбы, которые следили за людьми по всему миру и могли по своему желанию вмешиваться в процесс поставки любой ИТ-продукции из США и внедрять в нее закладные устройства. Фактов последнего так и не было представлено, но несмотря на это шумиха в прессе привела к падению продаж многих американских ИТ-компаний как внутри США, так и за ее пределами. Вот несколько примеров:
  • сокращение продаж Cisco на 7% в странах с растущей экономикой, а например, в Китае - на 18%
  • германское правительство отказало Verizon в продлении контракта на оказание Интернет-услуг
  • американские облачные провайдера могут потерять в следующие три года от 22 до 35 миллиардов долларов США. Forrester Research предсказывает и того больше - 180 миллиардов за 3 года.
  • Qualcomm видит недоверие со стороны зарубежных партнеров и прогнозирует снижение продаж в ряде регионов. Об этом же говорят в Microsoft, IBM и HP.
  • 25% канадских и британских компаний (а они должны быть лояльны США) перенесли свои данные из американских облачных хранилищ.
  • Бразильцы отказали компании Boeing в контракте на сумму в 4,5 миллиарда долларов (он ушел в Saab).
  • 47% пользователей по опросу Harris'а изменили свое поведение в Интернет после того, как стало известно о слежке со стороны АНБ, а 26% стало меньше покупать в онлайн и пользоваться Интернет-банкингом.
  • Многие американские компании стали строить центры обработки данных за пределами США, чтобы обезопасить данные своих зарубежных клиентов (а это миллиардные затраты).
  • Еще больше примеров можно найти тут и тут
Конечно речь идет не о системах депонирования ключей, но указанные примеры все равно легитимны - они также говорят о вмешательстве спецслужб в деятельность ИТ/ИБ-компаний и последовавших за этим потерях. Да, в случае с российскими компаниями, потери будут ниже - и объемы не те, и международной экспансии пока не произошло. Но потери будут. Вплоть до полного краха выхода на зарубежные рынки - в случае наличия легальных закладок со стороны ФСБ российские продукты ничем не будут отличаться от того, что АНБ пыталась сделать в 1993-м году с системой депонирования ключей и от того, что оно сделало с системой глобальной прослушки PRISM спустя двадцать лет.