Опасности на три буковкы


Все знают, что выбор правильного наименования для нового корабля, нового продукта либо новейшей инициативы — дело очень принципиальное. Особо же увлекательны такие случаи, когда кропотливо подобранное заглавие оказывается кое-чем вроде «оговорки по Фрейду»

Яркий пример схожих казусов имел место весной 2003 года, когда госадминистрация США устроила международное военное вторжение в Ирак. Для общего именования этого мероприятия по свержению режима Саддама Хуссейна вашингтонские политтехнологи выдумали особое великодушное заглавие — Operation Iraqi Liberty, другими словами «Операция «Иракская свобода».

Но потом прекрасное имя пришлось поспешно поменять. Только после того, как начальное заглавие операции уже было озвучено и растиражировано в средствах массовой инфы, до фаворитов величавой державы дошло, в конце концов, что его 1-ые буковкы складываются в слово OIL, либо «НЕФТЬ». Другими словами в прямое указание на настоящую цель новейшей войны, развязанной США полностью без всяких легитимных оснований и даже без сколь-нибудь убедительного повода.

История, о которой будет поведано тут, завернута вокруг совсем других, казалось бы, вещей — типа цифровых мобильных устройств, компьютерной безопасности и тому подобного. Но если поглядеть на тему под определенным углом, то нетрудно увидеть, что и тут идет речь, в сути, все о том же...

* * *

Для начала — два новых известия из ленты ИТ-новостей за апрель 2014 года.

Новость 1-ая пришла из канадского городка Ванкувера, от базирующейся там компании Absolute Software, которая выпускает более обширно распространенное в мире «противоугонное» средство для компов под бренд-названием Computrace (также известное под брендом LoJack).

С технической же точки зрения компания предпочитает называть свою сегодняшнюю продукцию термином Absolute Persistence Technology, что на российский можно перевести как «Неискоренимая и повсевременно возобновляемая разработка компании Absolute». Ибо на самом деле это значит особенное ПО и комплекс микрокодов, которые по соглашению с производителями оборудования на шаге фабричного производства прошиваются в микросхемы компов, ноутбуков, планшетов и телефонов.

Начиная с середины 2000-х годов, сразу после главного соглашения Absolute Software с производителями чипов BIOS, количество различных устройств, оснащаемых программкой Computrace, непреклонно вырастает год от года. Последняя же новость этого ряда посвящена продукции гиганта Самсунг. А именно, объявлено, что компания Самсунг встроила противоугонную технологию Absolute в прошивки еще целого ряда собственных планшетов и телефонов, включая Galaxy S5, Note PRO и Tab PRO. По другому говоря, во всех этих аппаратах программные агенты Computrace будут неустранимо находиться в системе в протяжении всей ее жизни, даже если память устройства «прочищается» до фабричных установок.

Так что с этого момента и тут «клиенты компании Absolute всегда будут иметь возможность выслеживать устройство, управлять его содержимым и защищать свои активы»...

Новость 2-ая поступила от финской антивирусной компании F-Secure — она посвящена угрозам для устройств на базе ОС Android. Не тайна, что эта платформа, разработанная компанией Гугл на базе открытых начальных кодов, на данный момент уверенно занимает позиции самой пользующейся популярностью в мире ОС для мобильных систем. Оборотной же стороной таковой популярности, как досадно бы это не звучало, будет то, что Android-устройства стали естественной и более нередкой мишенью для атак злоумышленников. Итак вот, согласно результатам аналитических исследовательских работ F-Secure, размещенным в «Отчете о мобильных угрозах» (Mobile Threat Report), выше 99 процентов новых «мобильных» программ-вредоносов, выявленных за 1-ый квартал 2014 года, нацелены на юзеров ОС Android...

Понятно, что даже на самом поверхностном уровне меж 2-мя этими новостями имеются довольно прозрачные связи — коль скоро успехи Android все последние годы в большой степени прирастали благодаря туче популярнейших мобильных устройств от Самсунг. Но имеется здесь и еще одна, куда более глубочайшая, далековато не настолько тривиальная и даже очень настораживающая, можно сказать, связь. Сводящаяся к тому, что и программку Absolute Computrace, неустранимо и везде внедряемую в компы, все есть основания считать не только лишь обширно всераспространенным, да и очень небезопасным вредным ПО.

Более содержательную информацию на данный счет в феврале сегодняшнего года предоставила русская антивирусная компания Kaspersky Lab (см. их технический отчет «Угроза из BIOS»). В короткой и поболее доступной форме сущность той же работы популярно изложена в блоге компании: «Когда 'антивор' против вас».

Все исследования аналитиков Касперского, правда, были сконцентрированы на работе Computrace в критериях платформы Windows, но на сущность трудности это не оказывает влияние фактически никак. Так как изначальный, самый глубочайший программный код Computrace — обеспечивающий «туннель» либо потаенный ход в систему — работает на более низком аппаратном уровне BIOS-UEFI и по самой природе собственной является кросс-платформенным агентом. По другому говоря, не находится в зависимости от определенной ОС, управляющей работой компьютерного устройства на уровне юзеров либо админов.

Ну и чтобы вся сущность «тревожных открытий» относительно программки Absolute Computrace дошла до читателей в ее концентрированном и незамутненном виде, поведать об исследовании Kaspersky Lab полезно не так, как это обычно делают ИТ-издания, а при помощи известного в литературе приема под заглавием «остранение». Другими словами вроде бы посмотреть на происходящее очами малого малыша, неискушенного во всех этих замудренных тонкостях и условностях современного мира. А поэтому способного узреть вещи такими, какими они являются по сути, — очень «странными», на взор пусть и доверчивого, но куда более обычного в собственных восприятиях человека, ежели все эти «взрослые люди».

Одна из самых умопомрачительных, пожалуй, особенностей данной истории состоит в том, что «противоугонная» компания Absolute Software работает на компьютерном рынке вот уже два 10-ка лет, все эти годы занимаясь приблизительно одним и этим же — встраивая в компы «черный ход» (также узнаваемый как backdoor), который «не ловят» антивирусы и который обеспечивает отыскание-возврат компьютера в случае его кражи либо утраты.

Другими словами удивительно не то, естественно, что на рынке есть такая компания (хватает там и других подобных компаний, просто Absolute — самая из их удачная и пробивная так, что обеспечила фабричное зашивание кода собственного агента Computrace в BIOS компов фактически всех ведущих в мире производителей).

Умопомрачительно здесь другое. Хотя спецам по инфозащите давным-давно (лет 5 как минимум) понятно, что «законный бэкдор» Computrace имеет суровые потенциальные уязвимости, которыми полностью могут пользоваться злоумышленники, никто и ничего реально не делает, чтоб поправить ситуацию. Соответственно, на присутствие бэкдора Computrace в системе не реагирует — не говоря уже о «лечении» — ни одна из всераспространенных на рынке антивирусных программ. Включая и антивирус Касперского. Так что и сегодняшний конфликт меж Absolute Software и Kaspersky Lab появился никак не по той причине, что антивирус Касперского вдруг прибавил в внимательности и начал реагировать на шпионскую активность Computrace. Ничего такового не было.

А было все куда более прозаично, по-семейному можно сказать. Просто в компьютере супруги 1-го из служащих Kaspersky Lab откровенно забарахлила операционная система. А когда спецы «Лаборатории» стали разбираться с предпосылкой постоянных сбоев, то ею оказалась программка Computrace, потаенно работающая на компьютере полностью без ведома его хозяев.

Особенного выделения заслуживает таковой факт. Когда аналитики Касперского в первый раз узрели и проанализировали Computrace, то сначала они приняли его за обычный вредный код — так как агент применяет огромное количество приемов, соответствующих для зловредного ПО. В нем были отмечены антиотладочные и затрудняющие оборотное восстановление кода техники. При работе агента совершаются инъекции в память других процессов. Агент устраивает сокрытые сетевые соединения, видоизменит системные модули на диске, шифрует и прячет конфигурационные файлы. Ну и всякое прочее, что положено бэкдору-вредоносу.

Здесь же нужно выделить, что, согласно официальной и очень жесткой позиции фирмы-изготовителя, ее программку Computrace может активировать только оператор Absolute Software — по требованию обладателя компьютера либо админа корпоративной сети, в какой компьютер работает. При этом делается сия процедура и следующее сервис клиента далековато не безвозмездно. Но это в теории.

А на практике, когда заинтересовавшиеся аналитики Kaspersky Lab решили поглядеть, а не работает ли втихаря еще на каких-либо из их компов бэкдор Computrace, было изготовлено очень противное открытие. На огромном количестве не только лишь личных, да и корпоративных компов в сети Kaspersky Lab вправду было выявлено присутствие неизвестно как «самозапустившейся» законной шпионской программки. Ну а так как компетентные представители Absolute Software полностью трепетно заверили, что ни один из этих компов не зарегистрирован в их базе данных по клиентам, выходила совершенно плохая вещь. Кто-то еще, кроме техников Absolute, способен инициализировать работу «невидимого» шпионского бэкдора, встроенного сейчас чуть не во все современные компы.

Более того, настолько могущественный неизвестный «кто-то» не только лишь потенциально способен на подобные вещи, да и реально этим занимается в массовых масштабах. Так как свой пасмурный сервис «Лаборатории Касперского» под заглавием KSN позволяет собирать анонимную статистику о программках, работающих на компьютерах юзеров их антивируса, были собраны примерные числа о числе машин с активным агентом Absolute Computrace. И числа эти впечатляют.

Даже при сдержанной экстраполяции собранных результатов на общую картину (обслуживанием KSN пользуются далековато не все клиенты Kaspersky Lab) оценки проявили, что количество компов с активированным бэкдором Computrace исчисляется, похоже, миллионами... И есть сильные основания считать, что большая часть хозяев схожих машин, как и сами сотрудники Касперского до недавнешнего времени, не имеют ни мельчайшего понятия о работающем в их системе «агенте непонятно кого».

В первых числах февраля 2014 года ведущий эксперт Kaspersky Lab Виталий Камлюк, возглавлявший исследование Computrace, выслал в Absolute Software на ознакомление аналитический отчет — о слабостях и необычной работе «агента» и о тех возможных опасностях, которые законная шпионская программка от Absolute может представлять в руках злоумышленников, захватывающих управление бэкдором.

На это письмо, для надежности доставки отправленное сходу в три адреса компании, противоугонная компания ответила гордым молчанием. Другими словами полностью никакой содержательной реакции на свое послание в Kaspersky Lab не получили. Скоро после чего, посреди февраля, на интернациональной конференции по инфобезопасности Security Analyst Summit 2014, тот же Виталий Камлюк и его сотрудник Сергей Белов устроили на сцене общественный перформанс с приятной демонстрацией того, сколь вредная и неблагопристойно страшная природа прячется под личиной Computrace.

Исследователи извлекли из коробки только-только приобретенный ноутбук ASUS, запустили Windows, а потом — с другого компьютера — для начала при помощи Computrace дистанционно активировали на новеньком ноутбуке веб-камеру, после этого сделали и кое-что посерьезнее, инициировав функцию полного ликвидирования файлов с общей зачисткой диска на машине. Все это вредительство, подчеркнем, было изготовлено благодаря беспомощностям «законного шпиона» — перехватом незашифрованных сетевых пакетов и отправкой назад подходящих инструкций, имитирующих команды законного сервера Computrace.

В течение последующих нескольких дней — когда Kaspersky Lab провела приятную демонстрацию возмутительной уязвимости, опубликовала подробный отчет и соответственный пресс-релиз о том, что найдено, — происходила еще одна очень странноватая вещь. На самом деле, полностью никто в ИТ-индустрии и в компьютерной прессе не стал лупить в набат и призывать к конструктивному исправлению очень неблагополучной ситуации с защитой основной массы компов на рынке. Либо, на худенький конец, хотя бы к кропотливому исследованию аналитических результатов далековато не рядовой компании Kaspersky Lab.

Ничего подобного не было. А было только то, что на очень короткое время несколько ИТ-изданий уделили внимание единственному нюансу конфликта — каким образом на произошедшее отреагировала скомпрометированная «противоугонная» компания Absolute Software. Которая — по издавна заведенной традиции — здесь же все претензии отвергла, при этом в самых решительных выражениях. Хотя ежу понятно, что это незапятнанное вранье, в Absolute Software сперва заявили, что никогда не получали никаких отчетов от Kaspersky Lab (непринципиально, что «у Касперских» на данный счет есть документальное доказательство, главное, что у их такового письма нет).

А если б даже и получали, то недоумевают, для чего снова подымать старенькый вопрос, когда еще 5 годов назад всю эту делему с недопониманием работы Computrace удачно утрясли (по сути, в анализах Kaspersky Lab особо отмечается, что уязвимости Computrace, в первый раз озвученные аргентинскими исследователями Альфредо Ортегой и Анибалом Сакко еще в 2009 году, как и раньше отмечаются и в совсем новых компьютерах).

А если даже и не утрясли, то все равно в Kaspersky Lab некорректно интерпретируют особенности их фирменной фишки Absolute Persistence Technology, и вообщем Computrace — это легитимная программка защиты от почетаемого всеми изготовителя, а запустить всеполноценную работу агента на компьютере могут только сотрудники Absolute Software (и никак по другому быть не может, так как не может быть никогда).

В общем, такая вот приблизительно отповедь с таким вот уровнем аргументации. Но даже в схожем смехотворном виде реакция Absolute всех удовлетворила и вроде бы даже успокоила. Ну а далее жизнь пошла так, как шла и до этого. Программку Absolute Computrace — согласно текущим пресс-релизам ИТ-индустрии — все обширнее и обширнее продолжают зашивать в микросхемы новых линеек продукции. Соответственно, ни один из мало-мальски узнаваемых антивирусов на нее как и раньше не реагирует (для такового рода «законных шпионов» у всех имеются особые белоснежные списки). Ну а то, что кто-то там (не ясно как, не ясно для чего) неавторизованно запускает неустранимый бэкдор Computrace на миллионах компов по всему миру — это вроде бы никого в мире полностью не тревожит. Другими словами нескольких аналитиков Kaspersky Lab все еще тревожит, наверняка. Но только вот кто их слушает?

* * *

Для конца этой совершенно унылой истории осталось разве что поведать чего-нибудть забавное либо смешное — для подъема у читателей настроения, так сказать. И снова вспомнить историю, упомянутую в самом начале, — о трехбуквенной операции OIL, затеянной вождями США ради обеспечения Америке свободного доступа к иракской нефти.

В приложении к саге о Computrace, рассказанной тут, пора, в конце концов, отметить, что фирменная хитрость под заглавием Absolute Persistence Technology, лежащая в базе законного шпионского бэкдора, при складывании имени преобразуется в короткую трехбуквенную аббревиатуру A.P.T. Но конкретно под этим коротким наименованием — APT — в обществе компьютерной безопасности уже издавна закрепился другой термин, «Advanced Persistent Threat», другими словами «Сложная неизменная угроза»...

Если поподробнее, этим словосочетанием принято обозначать сразу две вещи: во-1-х, APT — это очень продвинутая и очень тяжело отражаемая кибератака; и во-2-х, под APT понимают также группу, которую спонсирует правительство или другой могущественный покровитель, оплачивающий данную мотивированную атаку.

Вдумавшись в это определение термина APT, не так трудно понять, что под него фактически совершенно подходит и «операция Computrace» со всеми ее «странными и загадочными» особенностями. Такими особенностями, которые очень богатому и могущественному государству (все знают какому, на три буковкы) дают фактически неистощимые способности для потаенного и беспрепятственного проникания в миллионы компов по всему миру...

Ну как, настроение взошло?


Copyright © 2018 Коипьютерный блог.