Оригинал материала находится по адресу http://ibusiness.ru/blogs/3942
13.10.2011

Вирус на государственной службе: как немцы Бундестрояна ловили

Несмотря на то, что XXI век давно объявлен веком компьютерных войн, достоверно подтверждённые кибератаки государств друг против друга или своих граждан можно перечесть по пальцам. Чаще приходится иметь дело со слухами. Червь Stuxnet (якобы) разработанный американцами или израильтянами для (якобы) уничтожения иранской атомной программы. (Якобы) периодические атаки (якобы) существующей киберармии Северной Кореи. (Якобы) полномасштабная агрессия через киберпространство Китая против США. И так далее, и так далее.

На этом фоне бомбой — и отнюдь не кибернетической! — выглядит разгорающийся почти неделю скандал вокруг вскрывшейся «национальной программы кибершпионажа ФРГ». Если коротко, энтузиастам удалось найти и проанализировать компьютерный вирус, с помощью которого немецкие спецслужбы, якобы, следили за подозреваемыми в совершении тяжких преступлений и, возможно, не только за ними. Ну, удалось и удалось, официальные власти не обязаны реагировать на подобные выпады. Но последствия оказались неожиданными: представители нескольких штатов подтвердили факт существования и использования вируса, а история в целом докатилась до самых верхов немецкой госмашины и расплескалась по просторам Евросоюза.

Началась она с некоего гражданина ФРГ, в настоящее время проходящего подозреваемым по уголовному делу о нелегальном ввозе в страну медикаментов. Нанятые этим человеком юристы, изучая имеющиеся цифровые улики, обнаружили, что ноутбук инфицирован каким-то вирусом — и передали его для анализа в известную в Европе хакерскую организацию Chaos Computer Club (CCC). Тут стоит пояснить, что хакеры, почти как маги в сказках, делятся на «белых» и «чёрных», занятых, соответственно, чем-то скорее полезным для общества, либо чем-то определённо вредным.

В отличие от сказочных персонажей, существующих только на бумаге, хакеры действительно существуют и время от времени вписывают страничку-другую в историю: так, CCC — одна из старейших «белых» хакерских организаций — славится неравнодушием к продвигаемым государством технологиям, периодически извлекая на свет божий «грязное бельё» в виде нелицеприятных фактов о слабостях криптосистем, биометрии, сотовой связи и пр.

Комментируя обнаружение вируса, используемого правоохранительными органами против граждан с прямым нарушением основного закона страны (см. далее), Ангела Меркель заявила: «если бы там было что-то уголовно наказуемое, то я вас уверяю — там уже давно за решеткой сидели бы люди». О, простите, перепутал… Меркель только дала понять, что контролирует развитие ситуации лично, а расследованием, как и полагается, занялось министерство юстиции (фото: Arne.list).

Участники CCC выполнили анализ таинственного вируса и установили, во-первых, что на ноутбук зараза попала около двух лет назад. Во-вторых, что это не вирус, а скорее троян для MS Windows: программа, маскируемая под что-нибудь легитимное (вроде скринсейвера), не умеющая распространяться самостоятельно, но наделённая функциями удалённого управления. С помощью конкретно этого экземпляра можно было вести полную слежку за компьютером и квартирой пользователя: знать, кому и что он пишет, слушать его Skype-звонки, мониторить веб-трафик, по желанию включать микрофон и камеру, загружать и исполнять произвольные программы — и всё это без ведома пользователя.

Обычно подобные программы пишутся и используются организованной преступностью (см., к примеру, «Как Касперский и Microsoft свалили ботсеть Kelihos»), но в данном случае, основываясь на совокупности косвенных улик, исследователи пришли к выводу, что хозяином является правительство ФРГ. А на ноутбук, по всей видимости, вирус попал в момент прохождения нашим героем таможни Международного аэропорта Мюнхена.

Тут следует пояснить, что в Германии ограниченная слежка за подозреваемыми в совершении преступлений узаконена. Это необходимо, чтобы успешно противостоять новым технологиям и, главным образом, стойкой криптографии, которую асоциальные элементы всё чаще используют, чтобы избежать контроля со стороны правоохранительных органов. Однако полиция не вправе просто так установить «жучок» на компьютер подозрительного субъекта: необходимо разрешение суда, а чтобы получить разрешение, нужны доказательства опасности данного субъекта для общества. Кроме того, даже в случае положительного решения, остаётся несколько запретных зон. К примеру, в Германии абсолютной тайной считается разговор супругов в спальне. Или личный дневник.

Это объясняет, почему реакция на сообщение CCC оказалась столь резкой. Функциональность «федерального трояна» далеко выходит за пределы разрешённой законом. Возможность прослушки помещения с помощью камеры и микрофона, дистанционное управление компьютером и прочее подобное привычно для вирусов, используемых криминальными структурами, но недопустимо для программы, используемой государством. Кроме того, качество кода оставляет желать лучшего, что также представляет определённую угрозу.

Случившееся после публикации членами CCC первых результатов своего труда можно сравнить только с неуправляемой цепной реакцией. Известие немедленно подхватила местная пресса — и сразу же связала его со скандалом четырёхлетней давности. Тогда в руки активистов WikiLeaks попали документы, свидетельствующие о предпринимаемых властями страны усилиях по перехвату шифрованных интернет-переговоров (в частности, через Skype). Вероятным разработчиком программного обеспечения для решения этой задачи была немецкая компания DigiTask.

Что ж, DigiTask, проведя собственное расследование, признала как факт авторства, так и факт продажи вируса, пойманного CCC, нескольким штатам ФРГ и даже ряду других европейских государств (сумма контрактов, согласно утечкам, составляла от 600 тысяч до 2 миллионов евро). Одновременно к делу подключились разработчики антивирусов (F-Secure, Sophos), в общем подтвердившие выводы CCC о качестве кода, его назначении и происхождении.

Обнаружение федерального трояна (буквально: немецкая пресса окрестила находку Bundestrojan) произвела в Германии фурор. Дошло до того, что некоторые газеты разместили исходники вируса на своих страницах. Публика, конечно, Ассемблер не знает, но всё какое-то развлечение: например, там можно отыскать упоминание персонажей Звёздных войн, за которое вирус и получил своё второе название: R2D2 (фото: Spiegel.de).

Скандал докатился до самых верхов. Представители власти первые несколько суток отрицали даже возможность пользования подобной программой. Но позже, под давлением прессы и оппозиционных партий, полиция четырёх штатов (на сегодняшнее утро, уже пяти) признала, что пользовалась R2D2 — впрочем, как и полагается, только с разрешения суда.

Самое время торжествовать: авторство установлено, вопрос эксплуатации трояна проясняет министерство юстиции, дело взято на заметку лично канцлером Германии. Но немецкая пресса не стала дожидаться официальных выводов: журналисты сами задают вопросы, сами на них отвечают и сами же раздают «награды» особо отличившимся чиновникам и ведомствам.

Как уже отмечалось, качество кода R2D2 оценено экспертами невысоко (шифры слабые, в программе полно ошибок). В сочетании с избыточным набором функций это рождает гремучую смесь. Например, собранные в ходе наблюдения за подозреваемым материалы, могут быть обнаружены посторонними лицами. Либо, после того, как вирус установлен на компьютер полицией, управление может быть перехвачено злоумышленниками. Да и сама полиция, при желании, с помощью R2D2 может оставить на компьютере подозреваемого подложные улики (попросту, внедрить файл, содержащий нужные сведения). Это, конечно, предполагает наличие в правоохранительных органах нечистых на руку сотрудников, но разве сам по себе Бундестроян не является примером злоупотребления властью в отсутствие надлежащего контроля?

Как могло государство оплатить разработку программы, противоречащей действующему законодательству? И почему продукт, за который выложили огромные деньги из госбюджета, спецы по безопасности презрительно называют «примитивным»? Вслед за Германией, аналогичные вопросы слышны и в соседних странах: Австрии, Швейцарии, Нидерландах (все они приобрели R2D2).

Было бы интересно узнать и об аналогах, которые пользуют российские полиция и спецслужбы. Но про Россию пока ничего не слышно. Зато много говорят про США. В смысле использования компьютерных программ для слежки за потенциально опасными гражданами, Соединённые Штаты могут дать фору всем европейским коллегам. Там ещё десять лет назад, под давлением общественности, раскрыли материалы о «вирусном шпионаже» ФБР. Вывод: вирусы эффективны, но — почти как алкоголь — вызывают у агентов зависимость, требуют меры и ответственности.

Что касается меры, в Германии, по всей видимости, её знают. По сообщениям антивирусных компаний, ранее этот троян в природе замечен не был. Следовательно, как минимум мошенники его поставить на службу не успели, а отныне — теперь R2D2 включен в антивирусные базы данных — уже не смогут.

С ответственностью хуже. Функционал Бундестрояна свидетельствует, что государство поставило себя выше закона. Теперь немецкие правозащитники требуют ужесточить контроль за деятельностью правоохранительных органов в киберпространстве. Полиция должна уважать разграничительную линию между тем, что дозволено, а что нет — в противном случае с мечтой о правовом государстве лучше распрощаться прямо сейчас.


Большой_брат,вирус,киберкриминал,CCC,WikiLeaks




Евгений Золотов, 1999-2018. Личный архив. Некоторые права защищены