Читаем Кибервойн@ полностью

В компании Vupen говорят, что они всего лишь продают информацию «заслуживающим доверия организациям». К таким организациям компания относит «разработчиков в сфере безопасности, поставляющих оборонные решения», государственные организации в «одобренных странах» и «всемирные корпорации», среди которых компании из первой тысячи рейтинга журнала Fortune. Это длинный список потенциальных клиентов, и в Vupen согласны, что не имеют возможности убедиться в надежности каждого из них. Компания не может гарантировать, что клиенты, купившие подписку или кибероружие из ее каталога, не передадут эти сведения людям, которым компания никогда не продает информацию непосредственно. Руководители дают туманные заверения, что существует внутренняя процедура проверки, не попадут ли в руки независимым хакерам и посредникам опасные продукты и знания, проданные компанией государственным ведомствам. Особое беспокойство вызывали страны Северной Африки и Ближнего Востока с репрессивным режимом правления, где власти, пытаясь сломить сопротивление демократических активистов, привлекают хакеров для внедрения зловредного ПО, чтобы вести слежку за протестующими. Вредоносные же программы приобретаются у таких компаний, как Vupen, представители которых заявляют, что никогда не продают свои продукты для таких неблаговидных целей. Тем не менее подобные продукты можно обнаружить на компьютерах и мобильных телефонах активистов, некоторые из которых подвергались преследованию и жестокому обращению со стороны властей и экстремистских группировок.

На всяком рынке, будь он серый или любой другой, крупнейшие покупатели имеют привилегии устанавливать свои условия и правила. АНБ как общепризнанный единственный крупнейший покупатель уязвимостей и эксплоитов нулевого дня может перевернуть рынок с ног на голову, если начнет приобретать информацию с ясной целью раскрыть ее обществу. Агентство располагает миллиардами долларов для расходов на кибербезопасность. Почему бы не потратить часть этих денег на то, чтобы предупредить мир о существовании устранимых уязвимостей? Какую ответственность понесет агентство, если предупредит собственников и операторов небезопасной технологии о существовании потенциальной угрозы атак на них? Эту этическую дилемму агентство не обязано решать. Однако, если когда-нибудь случится кибератака на США, которая приведет к значительному физическому ущербу или вызовет массовую панику, а может, и смерти, агентство будет призвано к ответу за то, что не сумело предотвратить катастрофу. Вполне вероятно, что когда-нибудь в будущем директору АНБ придется сесть на место свидетеля и перед телевизионными камерами объяснить членам конгресса и гражданам США, как так вышло, что он знал об уязвимости, которой воспользовались враги Америки, но только из-за желания АНБ однажды воспользоваться этой информацией решил сохранить ее в тайне.

К наиболее уязвимым для разрушительных кибератак нулевого дня относятся те же самые объекты, которые АНБ так старается защитить: электростанции, предприятия атомной промышленности, газовые трубопроводы и другие жизненно важные объекты инфраструктуры, банки и компании финансового сектора. Не во всех этих компаниях есть система для легкого обмена информацией об уже известных уязвимостях и эксплоитах, информацию о которых зачастую раскрывают хакеры, больше ориентированные на защиту. Эти хакеры видят свое предназначение в поиске недостатков в высокотехнологичных продуктах и предупреждении о них компаний-производителей, а не в извлечении личной выгоды. Когда выясняется, что информационная система компании подвергается риску, установка исправлений и обновлений системы ложится на саму компанию, а технологическая гибкость у разных компаний разная. Одни готовы к оперативному внесению исправлений, другие могут даже не осознавать, что они используют уязвимое программное обеспечение. Иногда компании буквально не получают от производителей извещений, предупреждающих о необходимости установки обновления или изменения параметров безопасности продукта для повышения его надежности. Даже если компания использует ПО, для которого регулярно выпускаются обновления, системные администраторы компании должны согласовано скачать эти обновления, убедиться, что они были установлены повсеместно в компании, и продолжать отслеживать все будущие обновления. Когда на одном предприятии нужно обслуживать сотни или тысячи компьютеров, установка обновлений может оказаться весьма трудной задачей.