Реклама лаборатории Касперского
АГН "Москва" / фото: Ведяшкин Сергей
Программное обеспечение, которое, по утверждению проекта WikiLeaks, было разработано ЦРУ для незаметного получения данных с чужих компьютеров и код которого имитирует продукты «Лаборатории Касперского», действительно не является продуктом «Лаборатории». Об этом сообщил в своем микроблоге в социальной сети Twitter создатель компании Евгений Касперский.
«Мы провели расследование в связи с докладом Vault-8 и подтверждаем, что сертификаты, выпущенные под нашим именем, являются подделкой. Наши пользователи, личные пароли и сервисы находятся в безопасности и не были затронуты», – говорится в этом сообщении.
Упомянутый Касперским доклад был опубликован проектом WikiLeaks 9 ноября. В докладе утверждается, что американские спецслужбы создали программу Hive, которая позволяет незаметно скачивать с компьютеров интересующие ЦРУ данные пользователей. При этом код программы, указали в WikiLeaks, имитирует код антивирусных программ «Лаборатории Касперского»: в нем содержатся три элемента, предназначенные для имитирования сертификата антивируса компании.
В результате организация, подвергающаяся атаке с использованием Hive, при просмотре трафика, исходящего из системы, с наибольшей вероятностью придет к выводу, будто похищение данных осуществляется при помощи программы «Лаборатории», передает информационное агентство ТАСС пояснения из доклада WikiLeaks.
Смартфон с блокировкой экрана / pixabay.com
Доклад стал продолжением расследований WikiLeaks Valut о компьютерных программах, которые были созданы специально для ЦРУ. WikiLeaks ранее уже рассказала о программах, которые позволяют ЦРУ взламывать различные устройства и системы американского и европейского производства. Среди других открытий WikiLeaks оказался проект Athena, с помощью которого спецслужбы могли взламывать Windows.
Что касается Hive, то он, по версии WikiLeaks, обеспечивает возможность отправлять информацию на серверы ЦРУ и получать инструкции от операторов. При этом, как утверждает WikiLeaks, каждая операция, которую пользователь совершает на зараженном компьютере, анонимно регистрируется как минимум на одном стороннем домене, который выполняет функцию прикрытия. Такой домен отправляет на сервер «безопасный» контент – на тот случай, если трафик решат проверить, передает информационное агентство РБК.
Добавим: после публикаций доклада WikiLeaks российские политики иронически напоминали о популярной в западных СМИ теме «русских хакеров» и якобы имеющему место сотрудничеству «Лаборатории Касперского» с российскими спецслужбами. «Кто нам рассказывал байки про «русских хакеров»? Они такие же «русские», как я – балерина Большого театра», – написал на своей странице в социальной сети Facebook Вице-премьер РФ Дмитрий Рогозин. А глава комитета Совета Федерации по международным делам Константин Косачев на своей странице в той же сети высказал мнение, что американские СМИ «замолчат» эту информацию.
«Должно было бы быть сенсацией вселенского масштаба. Но не будет. Авторы предыдущих сенсаций не согласятся<…> Когда вокруг враги, а друзьям никуда не деться, кроме как быть с нами, любимыми. И все и всякие средства массовой информации опять смолчат в тряпочку. Потому что тряпочку на роток им накинули вкусную, давно и надолго», – считает он.
Побеседовать с «Полит.ру» о происшедшем согласился Алексей Раевский, генеральный директор компании Zecurion, которая занимается разработкой DLP-систем для защиты от утечек информации, консалтингом и проведением исследований в области информационной безопасности. По его словам, случившееся можно считать серьезным прецедентом и с ним надо тщательно разбираться.
«Речь тут идет не столько о самом продукте, сколько о фальшивом сертификате. Продукт тут – дело десятое, говорилось не о нем, а именно о сертификате. Сертификат – это электронный ключ, который нужен для того, чтобы удостовериться, что трафик принадлежит именно тому человеку, кто его подписывал. То есть это – некое средство электронной цифровой подписи, шифрования.
В принципе, выдача сертификатов – это достаточно жестко регламентированный процесс. И вопрос, как и кому удалось сделать поддельный сертификат, думаю, требует серьезного разбирательства. Потому что иначе вообще вся структура таким образом оказывается незаверенной.
Дело в том, что сертификаты выпускают некие удостоверяющие центры, которые пользуются общим доверием в индустрии. У них существуют специальные процедуры, которые обеспечивают надежность их работы; они не делают того, что не декларируют. И если удалось каким-то образом выпустить такой сертификат, это очень серьезный прецедент», – объяснил Алексей Раевский.
Он подчеркнул, что речь идет именно о прецеденте – прежде ничего подобного не случалось. «Да, этого раньше не было», – подтвердил эксперт. По его словам, пока нельзя оценить, каким образом это было сделано – для этого еще недостаточно данных.
Фотоколлаж. Двоичный код / pixabay.com
«Надо разбираться, как это произошло – пока еще недостаточно информации. Но тут есть два варианта: либо компания, которая выпускает сертификаты, нарушила некие собственные регламенты и «выкатила» такой фальшивый сертификат, либо в ее программном обеспечении нашлась какая-то уязвимость, которая позволила кому-то сделать это. Но в обоих случаях происшедшее является очень нехорошим прецедентом», – уточнил Алексей Раевский.
Он пояснил, что подделан был не сертификат на программный продукт, а цифровой сертификат, аналог цифровой подписи. «Это не сертификат на программный продукт, а цифровой сертификат, аналог цифровой подписи. К программному обеспечению он имеет опосредованное отношение – существует как бы отдельно от программного продукта и нужен для электронной подписи и шифрования.
Некоторые СМИ пишут о вирусе, который якобы выдавал себя за продукт «Лаборатории Касперского», но это не совсем так. Вирус – это вирус, а тут все упиралось именно в сертификат, необходимый для шифрования трафика, который этот вирус создавал», – сказал Раевский.
Обсудите в соцсетях