Мы живём во вселенной Джонни Мнемоника.

12 идей для вмешательства киберугроз для выборов в США

Wired перечисляет основные возможные сценарии, как злоумышленники могут навредить американским выборам. Статью стоит читать как краткое резюме американских дискуссий последних четырёх лет о вмешательстве и кибербезопасности электоральной инфраструктуры. Атаки разбиты на две группы: угрозы данным и инфраструктуре и информационные операции.

Итак, что может пойти не так:

Данные и инфраструктура
1. Ransomware-атака на избирательные системы;
2. Манипуляции со данными избирателей до голосования;
3. Нарушение работы технических систем, например, для регистрации избирателей в день голосования;
4. Манипуляции с голосами;
5. Взломы организаций, сообщающих о результатах голосования;
6. DDoS-атаки на избирательную инфраструктуру;
7. Атаки, нарушающие работу физической инфраструктуры (например, энергосистемы);

Информационные операции
8. Взлом и слив чувствительной информации (hack-and-dump);
9. Попытки ввести избирателей в заблуждение относительно организации голосования;
10. Таргетированная дезинформация;
11. Распространение угроз в соцсетях;
12. Возможное оспаривание легитимности выборов Трампом.

Сайт кампании Трампа частично и ненадолго подвергся дефейсу, злоумышленники троллили президента и просили перевести криптовалюту. Сейчас сайт работает в обычном режиме. Глава Агентства по кибербезопасности и безопасности инфраструктуры США Крис Кребс советует не отвлекаться на такой шум.

В защиту кибершпионажа

Помните заявления западных спецслужб, что Россия с помощью хакеров пытается получить информацию о разработках вакцины против COVID-19? Своеобразная реакция появилась с российской стороны: директор СВР Сергей Нарышкин в статье о научно-технической разведке пишет, что НТР особенно актуальна во время борьбы с пандемией, и рассказывает, как в недавнем прошлом разведка успешно выполняла задачу по получению информации об исследованиях проблемы СПИДа:

«В современных условиях борьбы международного сообщества с пандемией коронавируса не менее актуально звучит пример операции периода моей службы в НТР.

В нынешней ситуации с коронавирусом противники России, как всегда, ищут «злонамеренность Москвы». Ранее подобная «возможность» представилась США и их союзникам при неожиданном возникновении опасности пандемии «чумы XX века» – СПИД. Пользуясь необычностью и неизвестностью болезни, огородив данные о ней стеной секретности, они попытались ввести в заблуждение не только широкую общественность, но и международное медицинское сообщество относительно происхождения СПИД, намекая на якобы ведущиеся в СССР бактериологические разработки. Возникла угроза не только здоровью советских граждан, но и подрыва международного сотрудничества в медицине в целом.

Осознавая острую необходимость защитить отечественное население и сформировать единый международный фронт борьбы с тяжелейшим заболеванием, руководство нашей страны поставило перед НТР задачу в кратчайшие сроки обеспечить получение информации об основных мировых исследованиях в данной области медицины.

Эта сложнейшая задача была успешно выполнена. В результате операции НТР, охватившей все регионы мира, были получены самые достоверные сведения о проводимых исследованиях проблемы, разработке методик и препаратов для диагностики заболевания. СССР встал в передовые ряды общей борьбы со СПИД.

Важнейшим вкладом в сохранение жизни и здоровья наших граждан стало содействие разведки в отечественном производстве пенициллина и ряда других лекарственных препаратов. Здравоохранение всегда было, есть и будет приоритетным направлением деятельности НТР».

В этом контексте обращу внимание и на майскую статью Council on Foreign Relations, написанную после заявления ФБР и CISA о шпионаже аффилированных с Китаем кибер-акторов за организациями, которые исследуют COVID-19. Авторы считают нереалистичной новую норму, на которую намекают американские спецслужбы, что шпионаж за «вакцинами, средствами для лечения и тестированием» неприемлем во время пандемии.

«Глобальная пандемия COVID-19 стала одновременной экзистенциальной угрозой для всех стран. Странно утверждать, что государства не должны использовать свои разведывательные службы для снижения её опасности».

Слишком широкие трактовки американскими и европейскими чиновниками того, что является недопустимым, скорее всего игнорируются их собственными спецслужбами.

Исходя из этого предлагается на уровне международно принятых норм чётче разделить, какие действия государств с помощью кибер-средств в медицинской сфере допустимы, а какие нет. Если коротко, то авторы предлагают считать недопустимыми любые действия, нарушающие работу системы здравоохранения. А шпионаж в отношении данных о здравоохранении и разработок вакцины они предлагают считать допустимым с теми оговорками, что он не должен нарушать работу медработников и исследований, а похищенная интеллектуальная собственность не должна использоваться для получения коммерческой выгоды.

5 тестов о безопасности в интернете

Закончился октябрь, когда во многих странах проводится месяц знаний о кибербезопасности. Но можно повышать свою осведомлённость и дальше. Собрал пять тестов для неспециалистов о разных аспектах безопасности в интернете: фишинг, дипфейки, прайваси и так далее. Проверяйте!

1. Тест о фишинге от Google — один из множества подобных тестов, проверяющих, насколько внимательно вы относитесь к электронной почте. Плюс этого в том, что после каждого вопроса подсказки покажут те признаки, которые должны были вас насторожить.

2. «Банки никогда об этом не спрашивают» — квиз о фишинге в финансовой сфере. Это часть запущенной в октябре кампании Американской ассоциации банкиров против мошенничестве, участвуют 1500 банков. Хороший пример, как доступно донести важные сведения.

3. Spot the Deepfake — тест, проверяющий способность отличить сгенерированное видео (дипфейк) от настоящего. Проект запущен в сентябре Вашингтонским университетом при поддержке Microsoft, USA Today и специализирующейся на угрозе дипфейков фирме Sensity.

4. Проверка надёжности пароля — простой тест от Лаборатории Касперского, позволяющий проверить, можно ли полагаться на ваш пароль. Например, если ввести в поле qwerty123, то вы увидите ответ: «Пароль пора срочно менять!»

5. Отношение к конфиденциальности данных — хороший тест финского инновационного фонда SITRA о приватности. В тесте 25 вопросов, несколько из них связаны с GDPR, но большинство релевантно для всех пользователей. Можно оценить своё понимание использования данных и интернете и отношение к приватности. На основе ответов в конце предлагаются рекомендации, как жить дальше.

Американская киберохота

За день до президентских выборов Киберкомандование США через New York Times рассказало, как оно готовилось предотвращать киберугрозы. Согласно статье, одно из направлений действий военных – расширение зарубежных операций. За последние два года Киберкомандование направляло в Европу, Азию и на Ближний Восток команды специалистов для проведения так называемых hunt forward operations – передовых поисковых (или охотничьих?) операций.

Впервые такой подход был опробован в 2018 году, когда команды Киберкомандования направлялись в Македонию, Черногорию и другие страны для изучения российских киберопераций. Сейчас конкретные страны не называются, но целями американских военных являются их основные противники – Россия, Иран, КНДР, Китай. Описывается это следующим образом: подобравшись близко к сетям своих противников, Киберкомандование может проникнуть в них для обнаружений и возможной нейтрализации атак против США. В принимающих странах специалисты Киберкомандования работали вместе с местными военными, что якобы позволяло не только помочь улучшить защиту последних, но также демонстрировало противникам поддержку этих стран со стороны США. Американцы же получили возможность изучить приёмы, которые противники отрабатывают в своём регионе и могут затем использовать против США.

Заместитель главы Киберкомандования генерал-лейтенант Чарльз Мур поясняет NYT: «Мы хотим найти плохих парней в красной зоне, в их собственной операционной среде […] Вместо того чтобы уклоняться от стрел, мы хотим снять лучника».

По словам чиновников Киберкомандования, операции позволили обнаружить зловредное ПО, которое используют хакеры противника. Эта информация была передана другим американским ведомствам, которые использовали её для помощи властям штатов и на местном уровне защитить избирательные системы и для уведомления общественности об угрозах.

Эта статья хорошо ложится в стратегию Киберкомандования последних лет: действовать более наступательно и более активно сигнализировать о своей деятельности через медиа. Подробнее об этом подходе глава командования Пол Накасоне рассказывал ранее в статье для Foreign Affairs. Что конкретно киберохотникам удалось сделать, возможно, станет сюжетом будущих статей.

В коллекцию

В Америке настолько накрутили себя относительно киберугроз выборам, что в день голосования были готовы чуть ли не к решающей схватке с хакерами. В итоге, не дождавшись активного вмешательства, вся кибер-тусовка в твиттере вчера ночью со смешанными чувствами скучала и призывала оставаться начеку до официального объявления результатов. Инциденты в действительности ограничились неполадками в работе сайтов, в Техасе поспешили уточнить, что это не проделки врагов демократии.

GCHQ против антивакцинщиков

The Times сообщает, что Центр правительственной связи Великобритании (GCHQ) начал проводить наступательные кибер-операции для борьбы с антивакцинаторской пропагандой, которую распространяют враждебные государства. GCHQ получил разрешение бороться только с пропагандой, за которой стоят государства. И, конечно, речь в статье идёт о России.

Согласно источникам, GCHQ использует инструменты, разработанные для борьбы с пропагандой ИГИЛ. На практике это означает удаление контента, связанного с враждебными государствами, нарушение работы кибер-акторов, которые за этот контент отвечают, — в том числе путём шифрования их данных (ransomware?) и блокировки коммуникации между ними.

Помимо GCHQ в информационной войне участвует секретное подразделение британской армии — 77 бригада. Специалисты оттуда сотрудничают со специальной командой в аппарате правительства по противодействию слухам и дезинформации о коронавирусе.

В общем, люди работают.

Первый комитет ГА ООН принял два проекта резолюций по кибербезопасности

Вчера в Первом комитете Генассамблеи прошло голосование по российскому и американскому проектам резолюций по вопросам кибербезопасности, оба были приняты. Написал об этом подробно для блога ПИР-Центра:

«Россия в своём новом проекте резолюции предлагает вновь созвать РГОС, но наделить её мандатом на 5 лет — более продолжительный срок по сравнению со всеми предыдущими переговорными форматами по кибербезопасности в ООН. РГОС будет действовать на основе консенсуса. Она продолжит выработку «норм, правил и принципов ответственного поведения государств и путей их имплементации», при необходимости сможет изменять или формулировать дополнительные правила. РГОС будет рассматривать инициативы государств, направленные на обеспечение безопасности в сфере использования ИКТ, организовывать под эгидой ООН регулярный институциональный диалог с широким кругом государств-участников. Она также продолжит исследовать потенциальные угрозы в сфере информационной безопасности и другие связанные вопросы, в том числе о том, как международное право применяется к использованию ИКТ государствами. Мандат новой РГОС предусматривает возможность взаимодействия с негосударственными стейкхолдерами, которая стала новацией действующей группы.

Голосование по российскому проекту оказалось успешным, но прошло с боем. Результат (104 за, 50 против, 20 воздержались) показал меньшую поддержку по сравнению с 2018-м годом (119 за, 46 против, 14 воздержались). Основная группа голосовавших против — США и их союзники. Один из аргументов противников российского проекта заключался в следующем: работа нынешнего созыва РГОС завершится только в марте 2021 года, и принимать мандат для новой группы преждевременно. Однако эта претензия была учтена в той редакции российского проекта резолюции, которая выносилась на голосование (по сравнению с первым вариантом) — в ней уточнялось, что работа нового созывал РГОС начнётся после завершения работы действующей группы.

Тем не менее оппозиция российскому подходу носила не только процедурный, но и политический характер: так, США заявили, что в действительности Россия продвигает авторитарную модель для киберпространства. В итоге противники проекта резолюции предприняли попытку помешать ей, вынеся на отдельное голосование пункт 1 постановляющей части (о создании новой группы) и пункт 10 преамбулы (в котором упомянута китайская концепция «общего будущего человечества»). Как и по проекту целиком, по обеим этим пунктам большинство проголосовало за их сохранение. Первый заместитель постпреда России при ООН Дмитрий Полянский заявил, что вынесение на отдельное голосование ключевого пункта из российского проекта — «хитрый и абсолютно беспринципный шаг», поскольку противники резолюции понимали, что без этого пункта резолюция потеряет смысл.

Резолюция «Поощрение ответственного поведения государств в киберпространстве в контексте международной безопасности», спонсированная США, показала более высокий результат (153 за, 11 против, 9 воздержались) по сравнению с 2018 годом (139 за, 11 против, 16 воздержались). Этот проект не создавал новых механизмов и поддержал работу действующих переговорных форматов. При этом Россия проголосовала против американского проекта, поскольку он содержит положение (очевидно, в пункте 7 постановляющей части) которое увязывает выдвижение новых предложений по переговорам по кибервопросам до завершения РГОС и ГПЭ».

В завершение кратко рассказываю об инициативе объединить два переговорных трека (РГОС и ГПЭ) в рамках Программы действий по поощрению ответственного поведения государств в киберпространстве, о которой я писал здесь ранее.

Расследование не нашло связи между гибелью пациентки и ransomware

Важный апдейт сентябрьской истории. Тогда появилась новость, что из-за ransomware-атаки на больницу в Дюссельдорфе одну из пациенток перенаправили в другой госпиталь на значительном расстоянии, и в дороге она умерла.

Как пишет Wired, после двухмесячного расследования власти пришли к выводу, что в данном случае связи между заражением вымогателем и смертью не было. По словам прокурора Маркуса Хартманна: «Состояние здоровья было единственной причиной смерти, и это совершенно не зависело от кибератаки».

Но речь только о конкретном случае, а в целом Хартманн считает, что появление человеческих жертв из-за ransomware — только вопрос времени. Советую прочитать всю статью, в ней много подробностей об атаке и расследовании. Например, прокурор утверждает, что его команда была готова рассматривать вопрос об ответственности ИТ-персонала больницы, могли ли они лучше обеспечить безопасность компьютеров.

Хорошая история о том, насколько сложной и непрозрачной сейчас является экосистема мобильных приложений. Там много текста с ненужными вам подробностями, перескажу вкратце. Есть такие компании — дата-брокеры, которые платят разработчикам приложений за данные о геолокации пользователей. Это неплохая сделка для разработчиков — на приложении с 50 000 активных ежедневных пользователей в США можно зарабатывать $1500, только продавая данные о локации пользователей дата-брокерам. Для дата-брокеров это тоже выгодный бизнес — они потом эти данные перепродают своим клиентам уже дороже, предоставляя возможности разной аналитики. Например, купив услуги такой компании, вы можете очертить территорию на карте, найти всех пользователей, которые находились там в определенный момент, и отследить, откуда они пришли туда или куда будут перемещаться дальше. Ранее я публиковал впечатляющее видео с визуализацией подобного сервиса, посмотрите. Данные пользователей анонимизированы. Но даже сами сотрудники компании признают, что пользователей несложно деанонимизировать.

Так вот, оказалось, что среди клиентов таких сервисов — американская армия, в частности U.S. Special Operations Command. А среди приложений, данные которых покупают — популярные у мусульман дейтинги и приложения для молитв (у самого популярного — сто миллионов установок). Подобной аналитикой также пользуются американские пограничники и налоговая служба. При этом в пользовательских соглашениях об этом, конечно же, нет ни слова — только обтекаемые формулировки вроде "ваши данные могут быть использованы для исследований и аналитики", и то не во всех приложениях. То есть американские военные тайно от всех покупают данные о точных перемещениях миллионов мусульман. И кто знает, для чего потом эти данные используются.

Год назад вступил в силу закон об автономном рунете. Власти приняли его на случай, если Россию отключат от глобальной сети или появятся другие «угрозы извне». Инициативу называли слишком дорогой и непрозрачной, тем не менее, её поддержали и Госдума, и Путин. И первые шаги к «суверенизации» уже есть.

Роскомнадзор получает всё больше контроля в интернет-среде, но срывает установленные дедлайны. Небольшие интернет-провайдеры сталкиваются с финансовыми трудностями из-за установки оборудования «против внешних угроз», а учения по устойчивости рунета так и не смогли провести из-за пандемии.

Вместе с экспертами TJ подвёл итоги первого года на пути к автономному рунету.

https://tjournal.ru/analysis/226288

В США очень ждали, что Россия будет вмешиваться в выборы, но ничего значительного не нашли. Почему так вышло, рассуждают эксперты в статье от Эллен Накашимы из Washington Post. Но гораздо показательней, что вчера вечером Трамп отправил в отставку директора Агентства кибербезопасности и безопасности инфраструктуры Криса Кребса на том основании, что его заявление о прошедших выборах было в высшей степени неточным (Трамп хотел бы услышать подтверждение о массовых нарушениях). Здесь хочется лишь напомнить про список возможных киберугроз выборам, который составил в конце октября Wired: последним в нём как раз идёт «возможное оспаривание легитимности выборов Трампом».

В Великобритании официально объявлено о создании Национальных киберсил — во время слушаний о расходах на оборону в парламенте об этом заявил Борис Джонсон.

Этот процесс тянется уже несколько месяцев, я писал об этом ещё в январе. Киберсилы, по словам премьера, уже функционируют: «Я могу объявить, что мы создали Национальные киберсилы, объединяющие наши спецслужбы и военнослужащих, которые уже действуют в киберпространстве против терроризма, организованной преступности и враждебной деятельности государств».

National Cyber Force (NCF) создано Минобороны в партнёрстве с GCHQ в развитие опыта их сотрудничества в рамках National Offensive Cyber Programme, существующей с 2014 года. NCF объединяют под единым командованием специалистов из этих ведомств, а также из МИ-6 и Лаборатории по оборонной науке и технологиям (DSTL). NCF действуют в связке с подведомственным GCHQ Национальным центром кибербезопасности (NCSC), ответственным за защиту организаций внутри страны от компьютерных угроз.

В пресс-релизе приводятся примеры операций, который смогут проводить Национальные киберсилы:

• нарушение работы мобильного телефона для того, чтобы террорист не смог связаться со своими контактами;
• помощь в предотвращении использования интернета в качестве глобальной платформы для совершения серьезных преступлений, включая сексуальное насилие над детьми и мошенничество;
• защита британской военной авиации от нацеливания на нее враждебных систем вооружения.

В пресс-релизе также уточняется, что Великобритания обязуется использовать свои кибер-возможности ответственно и в соответствии с британским и международным правом, в частности в соответствии с Intelligence Services Act и Investigatory Powers Act. «Это служит гарантией того, что британские кибероперации являются ответственными, таргетированными и соразмерными, в отличие от операций некоторых наших противников». Если вкратце, то наши кибероперации правильные, а ваши — нет.

В завершение уточняется, что Великобритания — мировой лидер в области наступательных киберопераций (заявление, которое охотно будут цитировать российские и китайские дипломаты), а GCHQ была первопроходцем в использовании и создании таких средств. В качестве примера приводятся операции против ИГИЛ, о которых сообщалось ранее. Великобритания также была первой страной, которая предложила свои наступательные возможности НАТО, а с созданием NFC этот вклад будет играть всё более важную роль.

ZDNet пишет, что придание огласке обладания кибервозможностями рассматривается некоторыми как шаг, способствующий сдерживанию угроз. Но далеко не все так считают, например, бывший глава NCSC Сайран Мартин говорит: «На всём своём практическом опыте я не видел абсолютно ничего, что могло бы свидетельствовать о том, что существование западных кибер-возможностей или наша готовность их использовать сдерживают противников». Он считает, что эта гипотеза не проверена, в том числе из-за того, что сообщество специалистов по нацбезопасности и технологическое сообщество не разговаривают друг с другом.

Не хотите ли вы поговорить о кибере?

4-10 декабря можно принять участие в дискуссии по вопросам кибербезопасности в международному контексте. Мероприятие называется Informal Multi-stakeholder Cyber Dialogue и организовано силами разных стейкхолдеров: спонсорами стали Австралия, ЕС и Microsoft, а в качестве партнёров участвуют Франция, Египет, Канада, Индонезия, Япония, Чили, ЮАР, «Лаборатория Касперского», ЮНИДИР и ряд неправительственных организаций.

Цель диалога — поддержать текущие дискуссии в рамках Рабочей группы открытого состава (РГОС) по проблемам кибербезопасности ООН. Напомню в двух словах: РГОС была создала по инициативе России и при поддержке более 100 стран, одна из её отличительных особенностей — это мультистейкхолдерные консультации с бизнесом, НКО, исследователями. Непосредственно встреча в таком мультистейкхолдерном составе прошла лишь один раз в декабре прошлого года (от России там были только дипломаты), но все заинтересованные стейкхолдеры могут направлять председателю РГОС свои предложения по готовящемуся докладу группы (все такие документы собраны на сайте группы).

Политический смысл этого кибердиалога, очевидно, следующий. В октябре Франция и Египет при поддержке около 40 государств (ЕС, Япония, Сингапур, Норвегия, Аргентина и др.) предложили создать в ООН вместо двух процессов (РГОС и ГПЭ) программу действий по кибербезопасности — CyberPoA (подробности по ссылке). Пока судьба CyberPoA неясна, но в начале ноября в первом комитете ГА ООН приняли две резолюции без её упоминания.

Как вы можете заметить, список государств — организаторов декабрьского кибердиалога во многом пересекается с инициаторами программы действий. Также ни там, ни там не участвуют крупные игроки: Россия, США, Китай.

Так или иначе, организаторы нового диалога посчитали, что существующих каналов взаимодействия разных стейкхолдеров в РГОС недостаточно, кроме того, они заинтересованы в продвижении CyberPoA, поэтому они зовут виртуально поговорить о кибербезопасности в широком составе.

Для всех заинтересованных это хорошая возможность погрузиться в обсуждение, которое ведётся на международном уровне по следующим темам (на основе мандата РГОС):

• международное право (как оно применяется к ИКТ государствами);
• правила, нормы и принципы;
• существующие и потенциальные угрозы;
• наращивание потенциала в сфере киберполитики;
• гендерные подходы к кибербезопасности (это уже повестка ЕС, а не РГОС);
• регулярный институциональный диалог;
• меры укрепления доверия.