ДЫРА
Во вторник, 7 марта, сайт WikiLeaks запустил серию публикаций данных о деятельности Центрального разведывательного управления США. Проект, получивший название Vault 7, по словам его основателей, включает в себя множество конфиденциальных данных разведки.
В нынешнюю первую часть публикаций под названием Year Zero, входит свыше 8,7 тыс. документов и файлов, которые, как заявляется, были получены из центра киберразведки ЦРУ в Лэнгли, штат Виргиния.
В частности, в этой серии публикаций рассказывается о существовании глобальной программы для взлома различных устройств. Например, смартфоны от Apple, операционные систем Android от Google, Windows от Microsoft и даже телевизоры Samsung способны превращаться в записывающие и передающие устройства. WikiLeaks отмечает, что технологии ЦРУ помогают получить доступ к смартфонам по всему миру, позволяют считывать аудиотрафик и сообщения, в том числе в мессенджерах WhatsApp и Telegram. С помощью технологий ЦРУ можно извлекать текстовый и мультимедийный контент до того, как программа зашифрует данные. Кроме того, есть возможность определения местоположения и активирование камеры и микрофона устройства.
Также в пресс-релизе WikiLeaks сообщается, что консульство США во Франкфурте-на-Майне в Германии является скрытым штабом ЦРУ для организации кибератак на Европу, Ближний Восток и Африку.
Кроме того, по данным WikiLeaks, у ЦРУ есть глобальная программа для взлома устройств, с помощью которой можно устраивать кибератаки «под ложным флагом». В частности, программа Umbrage дает возможность «ЦРУ собирать и сохранять обширную библиотеку наступательных технологий, "украденных" из зловредных программ, производимых в других странах, включая Российскую Федерацию». С помощью Umbrage ЦРУ может организовывать атаки разных типов и «позволять приписывать их другим, оставляя "отпечатки пальцев" тех группировок, у которых были украдены эти наступательные технологии», - отмечается в публикации.
ЦРУ назвало утечку и публикацию документов попыткой подорвать работу по защите США от врагов, однако не стало подтверждать или опровергать их подлинность и начало проведения расследования.
О том, что смартфоны, как и другая техника с выходом в интернет, способны передавать нашу речь и изображения компетентным товарищам из ЦРУ, было известно ещё до нынешней утечки WikiLeaks и даже до Сноудена. Те, кто занимается такими вещами, как информационная безопасность, например, разработка файрволов и прочих средств защиты для смартфонов, как наша компания Тайга, или средств борьбы с утечками, как компания моей жены Натальи Касперской «InfoWatch» – они всё это знали и раньше. Давно известно, что, скажем, , iOS для iPhone содержит в себе изначально поставляемые производителем смартфона библиотеки, которые собирают все данные и посылают неизвестно куда. Это подробно описано в Википедии, вна форумах и в блогах специалистов. Ещё пять лет назад было понятно, что смартфон может снимать и отсылать «в центр» фотографии, будучи как бы выключенным, неактивным, с тёмным экраном. То же самое – относительно СМС и всего остального. Сегодня же произошёл тот случай, когда жареный петух наконец клюнул, причём не первый раз. Первый раз он клюнул, когда выступил Сноуден, но тогда разговоров хватило на полгода или даже поменьше, а потом все привыкли: да, слушают – ну и что? Я думаю, что сейчас будет примерно то же самое,.
Все ли основные фирмы производителей электронной продукции входит в систему тотальной слежки? Конечно, ЦРУ наработало несколько сотен миллионов строк кода, как сообщает Викиликс, всяких вирусов, троянов, систем взлома, эксплойтов нулевого дня и так далее. Управление создало кучу отделов, серверов, которые это всё собирают. Понятно, что они могут влезть в любой смартфон на планете, в любой телевизор (или почти любой) и так далее. Но это же всё-таки разведка, которая делает это нелегально и скрытно. А есть в США ещё Агентство национальной безопасности (NSA), которое совершенно легально работает по закону Patriot Act (Патриотическому акту) от 2001 года, который предписывает всем, кто хоть что-то делает в Интернете, рутинным регулярным образом сдавать данные в АНБ. Причём обычно распоряжение сдавать данные приходит вместе с тем, что у них называется gag order, то есть подпиской о неразглашении. То есть тебе предписывают наладить поток данных в сторону АНБ, но ты не имеешь права об этом рассказывать под угрозой обвинения в госизмене. Поэтому цэрэушники собирают данные как бы несанкционированным образом, а АНБ – как бы санкционированным. Со всех серверов Facebook, со всех серверов Google и всех остальных американских компаний они получают эти данные ежечасно и ежесекундно.
Что качается производителей гаджетов. Я не уверен, что все они заранее встраивают шпионские компоненты в свою продукцию. Большая часть производителей, кроме Apple, всё-таки работает не на территории и не в юрисдикции США, а в Юго-Восточной Азии. Но у всех стоит операционная система Android (если говорить о смартфонах и планшетах). ОС Android, хотя формально разрабатывается неким открытым консорциумом, в реальности контролируется Google, а Google работает в юрисдикции США, в условиях «Патриотического акта». Поэтому Android, конечно, с этих телефонов передаёт данные в центр. А уж сотрудничают ли LG, Samsung и прочие в смысле передачи данных для ЦРУ или для ANB сверх этого – я не знаю. Может быть по-разному. Мы знаем, например, что для того, чтобы производители не ставили приложения Яндекса на свои телефоны, Гугл им легко выкручивает руки. То есть угрожает, что перестанет поставлять непокорным Google Mobile Services (GMS), и они все подписывают тайные соглашения о том, что не пустят Яндекс на первую страницу своих телефонов. Могут ли им так выкручивать руки, чтобы они отдавали данные в АНБ, не будучи американскими компаниями? Всё возможно. США, англосаксонский мир – это больше половины рынка для того же Samsung. Поэтому им можно даже чисто коммерческими средствами выкручивать руки. Ну и есть следующий слой: ЦРУ, уже не спрашивая про коммерческие интересы, просто поверх технических решений производителей ставят какие-то хакерские прилады, которые позволяют забирать данные, ни с кем не договариваясь, как нам рассказали на Викиликсе.
Общество пока не слишком напугано тотальным контролем. Многие рассуждают так: «Какая разница, читает, слушает, смотрит меня АНБ или ЦРУ или нет? Вот ФСБ пугает, а иностранцы за мной, скорее всего, не шпионят, потому что я им не интересен. А даже если шпионят – подумаешь! Чем они мне могут повредить, я простой человек, скрывать мне нечего, секретов нет». Но здесь есть очень простое рассуждение, заключающееся в том, что современная разведка работает так же, как современные рекламные технологии. Они выкачивают всё – это называется «большие пользовательские данные». И для них важен процент конверсии того, что они собирают, во что-то полезное с точки зрения влияния. То есть они собирают данные на всех, а находят компромат или какие-то слабые стороны только у одного процента населения, условно говоря. А от этого процента через 15 лет 1% станет влиятельным, когда подрастут студенты и школьники, например, а бизнесмены разбогатеют, а мелкие чиновники продвинутся до уровня крупных. Даже если это 1% от 1% – это неважно, потому что это всё равно позволит накопить несколько сотен или тысяч точек влияния на страну уже на очень высоких уровнях со всем этим компроматом, который собран за 15 лет.
Так что для России налицо угроза, риск для суверенитета. Или дыра в нём – я бы даже так сказал. Что же нужно делать для того, чтобы минимизировать риск? То, что называется импортозамещением. Здесь за последние годы сделано довольно много. Я в рабочей группе при администрации президента это наблюдаю. Создан реестр отечественного программного обеспечения, принят закон, что при госзакупках оно должно иметь приоритет, если нет серьёзных обоснований того, что оно не годится и надо купить западное. Начались первые иски и процессы по пересмотру сделок, в результате которых куплено западное без достаточных оснований. Один из очень хороших итогов – даже не эта активность (потому что она в зародыше), а то, что сейчас имеется три тысячи программных средств в этом реестре, введённом Минсвязи. Видно, что у нас практически закрыта вся продуктовая линейка. Даже есть несколько операционных систем. По всему прикладному программному обеспечению есть отечественные аналоги – и часто очень сильные. Те, кто этим реестром непосредственно занимается, говорят, что сами были изумлены – сколько у нас, оказывается, всего есть. Просто для этих решений не было ни денег от институтов развития, ни рынка, который для них закон о приоритете отечественной продукции и должен создать. То есть импортозамещение – это, в принципе, очень перспективная история, которая у нас заработает по-хорошему через два-три года.
Теперешние «инновационные» проекты не способны решить задачу в полном объёме. «Сколково» к импортозамещению имеет слабое отношение. Его официально создавали как институт инноваций, институт развития для раздачи денег. Но денег там не очень много. Обратное представление – это медийная иллюзия. Нам нужно тридцать таких сколковых. Кроме того, из истории со «Сколково» очевидна совершенно вредная штука: это попытка скопировать «Кремниевую долину». Долину копировать теоретически неправильно и практически вредно, как говорят инженеры, потому что она не поддаётся копированию. Нигде в мире она не повторена – по той причине, что на самом деле это абсолютно уникальное образование, представляющее собой венчурное казино, которое может эффективно существовать только в условиях, когда рядом буквально под боком стоит станок, печатающий мировую валюту. А идея воспроизвести на госденьги венчурную систему, при которой 9 из 10-ти проектов проваливаются, а один выстреливает в какого-то единорога, как говорят у них, то есть миллиардную компанию – невозможно. Это нигде не получилось. Чуть-чуть получилось в Израиле, но в Израиле, надо понимать, не собственная «Кремниевая долина», а цех по подготовке стартапов для долины. У всех остальных игроков модель инновации другая – своя. Например, в Samsung – какие инновации! Но там точно нет кремниевой долины. А Samsung, между тем, потеснил iPhone. А уж про какую-нибудь долину вы слышали в Японии? Нет. А там очень много всяких инноваций. То есть у всех свои модели инноваций, и надо не копировать долину, а своё изобретать. Идея взять государственные деньги и потом раздать каким-то мелким стартапщикам (которых большинство – это кальки западных стартапов, каких-то гибридов Групона с Инстаграммом) – она глупая, вообще неверная. Должно быть что-то другое. И, скорее, это должна быть модель индустриализации СССР. Сначала решается, какие технологии нужны государству; потом выбираются три КБ, и каждому говорят: делайте! Всем даются деньги, а потом выбирают победителя в честной борьбе. Причём основанием для выбора является не монетизация этого стартапщика, а то, полетела ли произведённвя им штука, демонстрирует ли она нужные технические характеристики и так далее.
Уже сейчас информационный суверенитет возникает кусками, точечно, очагами. Например, понятно, что в оборонке и спецслужбах этого суверенитета сильно больше. Если сейчас заработает реестр Минсвязи в сопровождении соответствующего закона, то и в других госорганизациях суверенитета станет больше – будут покупать отечественное. Параллельно нужно ещё защиту строить, то есть спецслужбы должны на это работать. Должны быть приняты законы, защищающие собственно интернет-пространство. Это всё постепенно развивается, но быстрым, мгновенным не может быть. Я думаю, что на горизонте в три года мы довольно сильно защитимся, но быстрее – вряд ли.
На самом верху об этом думают. Более того, это заметно даже на бытовом уровне. Большинства чиновников из тех, кто этим занимается, перешли на маленькие кнопочные телефоны, смартфонами в рабочее время не пользуются. Это только некоторые публичные политики у нас сверкают айфонами или фитнес-браслетами... А солидные, разумные люди давно уже понимают, что к чему. Телефоны при серьёзных разговорах при входе в кабинеты сдаются в специальный ящик и так далее. За последние 2-3 года произошла такая метаморфоза, что суды, следователи, спецслужбы, чиновники – все начали понимать, что такое интернет, что такое информационные технологии. Произошло проникновение этого знания глубоко в государственный аппарат. Про Доктрину информационной безопасности РФ можно сказать: её главное свойство, что вот мы, «айтишники», теперь явно говорим на одном языке с людьми, которые эту доктрину писали,. Там не было ни одной очевидной глупости, не было никаких технически неверных высказываний – писали грамотные люди.