Читаем Кибервойн@ полностью

Однако изъяны алгоритмов не были секретом. К 2007 г. об уязвимости генератора случайных чисел писали популярные сайты и ведущие эксперты по безопасности. Использовать эту уязвимость, то есть подобрать ключ, который открывал бы «черный ход», оставленный АНБ, было довольно сложно, но возможно. Иностранные власти могли найти способ взломать алгоритм шифрования, и тогда им открывалась возможность шпионить за своими гражданами или за американскими компаниями и агентствами, которые использовали этот алгоритм. Криминальные структуры могли использовать недостатки алгоритма для похищения персональных и финансовых данных. Алгоритм был уязвим везде, где он применялся, в том числе в продуктах одной из ведущих на мировом рынке компаний в сфере безопасности.

В АНБ могли успокаивать себя, рассуждая о том, что криптографические службы других стран, несомненно, пытались нейтрализовать использование шифрования, в том числе и тех алгоритмов, которыми манипулировало АНБ. И конечно, они этим занимались. Однако это не ответ на вопрос, зачем сознательно дискредитировать не просто один алгоритм, а весь процесс создания стандартов шифрования? Тайные действия АНБ подорвали доверие к NIST и разрушили давнюю репутацию агентства как надежного и ценного партнера, внесшего свой вклад в создание некоторых основополагающих технологий в Интернете – тех самых устройств, благодаря которым люди могли не опасаться за безопасность своих личных данных, а значит, и за неприкосновенность своей личной жизни. Представьте, если бы АНБ занималось производством дверных замков и навязчиво предлагало бы каждой строительной компании в Америке отдавать предпочтение их моделям, в которых есть тайный изъян. Никто не стал бы этого терпеть. В крайнем случае сами потребители завалили бы компанию судебными исками и требовали бы отставки руководителей организации.

Однако реакция общества на работу АНБ, направленную против шифрования информации, была относительно слабой. Отчасти это связано с тем, что многие эксперты, среди которых были и криптографы, уже давно подозревали агентство в подобного рода теневой деятельности. Новое разоблачение было содержательным и полезным, но не вызвало удивления. Кроме того, у американских законодателей и чиновников было сильное ощущение, что именно этим АНБ и должно заниматься. Оно взламывает шифры, чтобы похищать информацию. NIST утверждает новые стандарты посредством открытой и прозрачной процедуры. А это проклятие для скрытного характера АНБ. С точки зрения агентства Комитет по стандартизации создает угрозу распространения устойчивых ко взлому алгоритмов и криптографических технологий, которые позволяют надежно защитить информацию, то есть ведет деятельность, прямо противоположную задачам АНБ. Многие годы законотворцы, которые утверждали бюджет АНБ, и чиновники Администрации, которые курировали его работу, были на стороне агентства. Рассеять возникающие опасения им помогал тот факт, что, пока проделки АНБ оставались в секрете, ущерб безопасности Интернета и репутации Соединенных Штатов был минимальным. Разоблачения, опубликованные в 2013 г., положили конец подобным предположениям.

Из всех темных дел АНБ, наверное, ни одно другое не подвергало безопасность Интернета и людей, его использующих, большему риску, чем секретный поиск методов создания кибероружия.

В течение последних 20 лет аналитики АНБ подробно изучали мировое программное, аппаратное обеспечение и сетевое оборудование, пытаясь найти ошибки и уязвимости, с помощью которых можно создать программы для атаки на компьютерные системы. Такие программы получили название эксплоитов[10] нулевого дня, поскольку в них используются ранее неизвестные уязвимости, защиты от которых еще не существует.

Уязвимость нулевого дня – самое эффективное кибероружие. Применение этого оружия создает эффект неожиданности, дающий огромное преимущество в битве. Эксплоит нулевого дня создается специально под конкретную уязвимость. А поскольку недостаток системы, делающий ее беззащитной, скорее всего будет устранен, как только объект поймет, что был атакован, использовать такой эксплоит можно лишь один раз.

Атаки нулевого дня особенно сложны для реализации, поскольку неизвестные уязвимости трудно найти. Однако АНБ много лет занималось накоплением информации о таких уязвимостях. В 1997 г., согласно недавно рассекреченному информационному бюллетеню АНБ, по крайней мере 18 подразделений агентства тайно собирали данные об уязвимостях технологий, используемых частными лицами, компаниями и государственными учреждениями по всему миру. В настоящее время и эксперты в области безопасности, и государственные чиновники признают, что АНБ – единственный крупнейший владелец эксплоитов нулевого дня, многие из которых агентство покупает на теневом рынке в Сети у независимых хакеров и корпоративных посредников.