28 апр. 2010 г.

В ожидании троянского дракона

Автор: Киви Берд
Опубликовано 25 апреля 2008 года в журнале Компьютерра

Весной 2004 года Томас Рид, много лет назад бывший главкомом военно−воздушных сил США и членом Совета национальной безопасности в администрации Рейгана, выпустил книгу воспоминаний "Над бездной. История холодной войны глазами инсайдера". В этих мемуарах читателям впервые было поведано о тайных операциях хайтек−саботажа ЦРУ против советской экономики. В частности, о взрыве газопровода в Сибири в 1982 году, якобы подстроенном американской разведкой с помощью умышленной продажи в СССР чипов со скрытыми внутренними дефектами в схемах.

В России эту публикацию, конечно, заметили и устами специалистов объяснили, что подобные заявления, выражаясь попроще, "полная чушь и брехня". Ибо в начале 1980−х годов работа советских нефте− и газопроводов компьютерной техникой еще не управлялась, так что никаких чипов там не было и в помине. Серьезные аварии и взрывы, спору нет, случались, однако их причиной были вовсе не происки ЦРУ, а наше собственное разгильдяйство и нарушение техники безопасности. В выпусках "КТ" #533 и #536 аргументы и взгляды сторон на эту историю изложены достаточно подробно, а фактов там вполне хватает, чтобы разглядеть, как реальные события - борьба ЦРУ с нелегальными закупками СССР передовых западных технологий и крупная авария в Сибири - искусственно подогнаны под некую успешную хайтек−диверсию спецслужб ради победы Запада в холодной войне.

Иначе говоря, из мемуаров высокопоставленного пенсионера в целом было понятно, что разведкой и военно−промышленным комплексом США затеяны очередные тайные игры, однако суть их в то время была не очень ясна. Зато сейчас уже хорошо известно, что как раз в тот период, в 2004–05 годы, Пентагон и спецслужбы энергично пытались переломить наметившуюся тенденцию в индустрии полупроводников - а именно перемещение производства чипов и компьютерного железа из США и Западной Европы в страны Азии, особенно в Китай. Экономические причины этой тенденции очевидны. Однако с военно−политической точки зрения строить новейшие электронные системы армии и разведки США на основе китайских чипов для американских силовых структур было в высшей степени неприемлемо.

В те времена в прессе появлялась лишь скупая информация о предпринимаемых в этой области усилиях. Теперь же об острой необходимости решать давно назревшую проблему американские СМИ пишут открыто и регулярно. Но что интересно, в качестве единственного реального эпизода с вражескими закладками в чипах упоминается та самая история о взрыве сибирского газопровода в 1982 году. О том, что она не подтверждена никакими официальными документами и с самого начала по всем признакам походила на фальсификацию, никто не вспоминает.

Угрозы в теории

Что же именно может оказаться опасным в чипах иностранного происхождения? Специалисты предупреждают, что цепочки поставок компьютерного железа становятся все более разветвленными и непрозрачными, отражая извилистые процессы глобализации экономики. Глава департамента безопасности США Майкл Чертоф на недавнем брифинге выразился следующим образом: "Все чаще, покупая компьютер, вы получаете компоненты... произведенные во множестве стран мира. Нам необходимо найти способы... позволяющие гарантировать, что кто−нибудь не встроил в эти очень мелкие компоненты нечто такое, что может быть включено дистанционно".

Аппаратные закладки существенно отличаются от закладок программных. Если программы можно хоть как−то менять или контролировать, по крайней мере теоретически, то при покупке компьютера (принтера, монитора, маршрутизатора...) приходится мириться с тем, что в его чипы могут быть внедрены вредоносные инструкции или бреши в безопасности, которые кто−то неизвестный знает и умеет использовать в своих интересах.

Разнообразие сценариев для таких аппаратных закладок ограничивается лишь фантазией гипотетических разработчиков. Допустим, блок памяти в офисном сетевом принтере может сохранять "снимки" распечатываемых документов, а затем тайно отсылать похищенное по известному интернет−адресу. В более изощренных сценариях чипы роутеров какой−нибудь военной сети могут в определенный момент времени или по команде извне обрушить систему или начать работатьпод управлением неприятеля.

С точки зрения криптографии

Осенью 2007 г. получила заметный резонанс в Сети любопытная работа израильского профессора-криптографа Ади Шамира (Adi Shamir, наиболее известный как "S" в криптосхеме RSA), посвященная опасностям "крипто-багов" в современных программах и чипах. Вместе с ростом объема кода в программах, усложняющейся оптимизацией операций и увеличением длины слова в процессорах, напомнил Шамир, становится все более вероятным появление ошибок в конечных продуктах, запускаемых в массовое производство. Примеров тому хватает - вроде случайно обнаруженного в середине 1990-х "бага деления" в процессорах Pentium или недавно найденной ошибки умножения в программе Microsoft Excel.

Однако, как показал Шамир, если какая-нибудь спецслужба обнаружит или сама тайно встроит хотя бы одну пару таких целых чисел, произведение которых в каком-нибудь популярном микропроцессоре вычисляется некорректно (даже в единственном бите низкого разряда), то последствия этой ошибки будут сокрушительными с точки зрения криптографии и защиты информации. Потому что тогда буквально любой ключ в любой криптопрограмме на основе RSA, работающей на любом из миллионов компьютеров с этим процессором, может быть взломан с помощью единственного сообщения специально подобранного вида. Кроме того, по заключению профессора, аналогичная атака может быть осуществлена против любых криптосхем на основе дискретных логарифмов и эллиптических кривых (где, кроме того, можно эксплуатировать еще и баги деления). Иначе говоря, невыявленный вовремя мелкий баг способен радикально подрывать стойкость современных криптосхем с открытым ключом.


Очевидно, что даже если подобную закладку удастся выявить, бороться с ней все равно чрезвычайно сложно. В отличие от вредоносного ПО, от угроз которого можно избавиться программными заплатками и сравнительно быстрым обновлением софта на всех машинах системы, от аппаратных закладок в чипах спасет, как правило, лишь замена каждой "больной" микросхемы на другую, "здоровую". В сетях крупных организаций подобная процедура может длиться многие месяцы.

Практически в любом современном чипе может быть множество скрытых внутренних функций, к которым у пользователей нет не то что прямого доступа - они даже не знают об их существовании. Вот что говорит по этому поводу Стивен Кент (Stephen Kent), член Разведывательного научного совета, консультирующего разведслужбы США, и один из руководителей военно−промышленной корпорации BBN Technologies: "Давным−давно пройден тот этап, когда можно было комбинаторными методами протестировать все возможные входные сигналы для чипов. Если ныне кто−то вздумает спрятать там некую функцию, которая по особой входной команде заставит чип сделать нечто необычное, то не очень ясно, каким образом можно проверить чип на способность к таким действиям".

Более того, чип со скрытой аппаратной закладкой вовсе не обязательно должен быть встроен на фабрике при изготовлении устройства. Куда большую угрозу могут представлять ремонтные организации и субподрядчики, часто выступающие в качестве посредника при закупках оборудования. Опытный враг, внедрившийся в такую организацию, знает назначение закупаемой техники и в то же время имеет возможность незаметно подменить здоровые чипы зараженными. Или, к примеру, перепрошить микрокод программируемых микросхем.

Проблемы на практике

Повторимся: неопровержимые факты о работе вражеских закладок, зашитых в чипы, пока не предъявил никто. Зато сплошь и рядом случаются истории несколько иного рода, тесно связанные с описанными выше гипотетическими угрозами.

В январе текущего года начался судебный процесс над двумя братьями−предпринимателями из Техаса, Майклом и Робертом Эдманами (Michael, Robert Edman), продававшими крупные партии компьютерного оборудования правительственным и военным ведомствам США. В списке покупателей упомянуты Военно−воздушные силы, Корпус морской пехоты, Федеральное управление авиации, Министерство энергетики, а также несколько видных корпораций военно−промышленного комплекса вроде Lockheed Martin. Столь внушительный список клиентов объяснялся в первую очередь заманчивыми ценами, которые предлагали братья Эдманы на совершенно новое оборудование от известных производителей. Однако, как выяснило следствие, в действительности Эдманы через своего партнера в Китае массово закупали чрезвычайно дешевое, так называемое noname−оборудование, а также лейблы и упаковочные коробки знаменитых брэндов вроде Cisco Systems. Изготовленные клоны выглядели столь достоверно, что разницу никто не замечал. Прикрыли же этот весьма прибыльный для всех сторон бизнес лишь после того, как о происхождении оборудования узнало ФБР через свою агентуру в Китае.

Дракон по имени Huawei

В отчетах американских аналитиков, занимающихся исследованием военно-стратегических проблем в контексте ИТ-индустрии, одной из главных потенциальных угроз часто называется китайская компания-гигант Huawei Technologies. Базирующаяся в г. Шеньчжень, она является крупнейшим в Китае и одним из крупнейших в мире изготовителем сетевого и телекоммуникационного оборудования, которое используют 35 из 50 главных на планете операторов связи. Huawei имеет многочисленные центры разработки не только в Китае, но и в Швеции, Ирландии, США (два), Индии и России.

Американцы крайне обеспокоены связями корпорации с военными - в частности, тем, что основатель и бессменный глава Huawei Жень Чженфей в молодые годы служил в Народно-освободительной армии (НОАК) Китая. В Википедии, правда, об этом написано предельно нейтрально: "После окончания университета он стал работать в исследовательском институте армии в качестве военного технолога. Из-за непролетарского происхождения на протяжении почти всей военной карьеры не мог вступить в компартию, но за достижения получил признание на самых разных уровнях. В 1982 был уволен из армии в связи с большими сокращениями вооруженных сил. Став гражданским, в 1988 начал собственный бизнес в области электроники".

А вот что пишут американские аналитики: "Huawei была основана в 1988 году Жень Чженфеем, бывшим директором Академии инфоинжиниринга при Генштабе НОАК, отвечающей за телекоммуникационные исследования для китайских военных. Согласно исследованию корпорации RAND, Huawei поддерживает тесные связи с армией, которая выступает не только как важный клиент, но и как политический патрон Huawei, и как партнер в исследованиях-разработках".

Из подобных оценок естественным образом рождаются выводы о том, где в первую очередь надо искать коварные аппаратные закладки в поставляемом для США оборудовании.


Другой громкий скандал, разразившийся в США буквально на днях, выпукло отражает характерную особенность людей, находящихся на ответственной государственной службе. С одной стороны, они призваны заботиться о вопросах безопасности, а с другой - как и прочие нормальные люди - заинтересованы в личной прибыли, да еще получаемой сравнительно честным путем. Суть скандала - в истории вокруг новых электронных паспортов с "биометрическим" RFID−чипом. Такие паспорта, по действующим правилам, монопольно изготовляет правительственная типография GPO (Government Printing Office). Но американская промышленность сейчас не способна выпускать RFID, соответствующие международным стандартам для паспортов, поэтому обложки документов с запрессованными чипами поставляютнадежные партнеры−корпорации из дружественных стран, голландская Gemalto и германская Infineon. Но только формально, на бумаге.

На деле же, как раскопали журналисты, все новые американские паспорта "с самой современной защитой" изготавливаются в Азии. Производство RFID−чипов перенесено фирмами Gemalto и Infineon в Сингапур и Тайбэй, откуда изделия пересылаются в Таиланд. Тайцы из номинально голландской компания SmartTrac добавляют к чипам антенну и запрессовывают все хозяйство в единый модуль обложки. Здесь же уместно заметить, что в 2007 году компания SmartTrac Technology судилась в гаагском Международном суде с Китаем, обвиняя эту страну в краже своей запатентованной технологии для чипов электронных паспортов. Все эти обстоятельства, конечно же, прекрасно известны GPO, тем не менее они никак не отразились на процессе производства новых е−паспортов США, который приносит типографии весьма ощутимые прибыли. Перенос производства в Азию снизил закупочную стоимость бланков до 8 долларов, а Госдепартамент по−прежнему платит GPO по 15 долларов за штуку. Лишь за один прошлый год эта разница принесла около 100 млн. долларов "навара", хотя по федеральному статусу никакая коммерция и прибыль этой конторе вообще не положены.

"Ужасная природа этого бизнеса"

Приведенные примеры, характерные для функционирования бюрократических организаций в любом государстве, наглядно демонстрируют, почему для критичных с точки зрения безопасности приложений желательно иметь чипы и компьютерное железо, которым можно было бы доверять. Но одно дело - хотеть в теории и совсем другое - иметь на практике.

На практике же корпорация Intel в прошлом году объявила о начале строительства своего нового большого завода, Fab 68, в Даляне, Китай. Несколько других американских компаний полупроводниковой индустрии, в частности Applied Materials и National Semiconductor, уже имеют производства в Китае. В целом на территорию США ныне приходится уже меньше четверти мирового производства чипов, причем цифра эта неуклонно снижается, а доля Китая, напротив, стремительно растет.

Существенно, что в Азию - ради общей конкурентоспособности на мировом рынке - переносятся производства по самым передовым технологиям. В результате Пентагон оказался в ситуации, когда для новейших электронных схем, управляющих ракетными системами наведения и перехвата, так называемые доверяемые чипы становится возможным производить в Америке лишь на основе очевидно устаревших технологий.

Суррогатное решение для этой проблемы придумало Агентство национальной безопасности. В 2004 году АНБ договорилось с корпорацией IBM о запуске совместного (поначалу секретного) проекта под названием Trusted Foundry Access ("Доступ к доверяемому цеху"). Согласно опубликованным ныне данным, эта программа "эксклюзивно американских" чипов для нужд обороны обошлась в 600 млн. долларов, а за прошедшие годы к ней присоединилось еще около десятка компаний военно−промышленного комплекса (в том числе BAE, Intersil, Northrop Grumman, Raytheon, Sarnoff, Teledyne).

То, что Trusted Foundry не решение проблемы, а вынужденная полумера, все прекрасно понимают. Во−первых, так удается проконтролировать лишь один аспект, собственно производство. Во−вторых, что куда важнее, контроль за уже существующими цехами не решает проблему переноса современных технологий за рубеж. Та же IBM, связавшая себя правительственным контрактом лишь до 2011 года, активно переносит производство в Азию. И вполне может статься, что уже в следующем десятилетии и IBM, и другие флагманы американской полупроводниковой индустрии станут так называемыми fabless−корпорациями, то есть сосредоточенными на разработках и не имеющими собственных производственных мощностей.

По этим причинам в DARPA, оборонном агентстве передовых исследовательских проектов, запущена альтернативная программа под названием Trust in ICs ("Доверие к интегральным схемам"). В процессе совместных исследований с корпорацией Raytheon, Университетом Джонса Хопкинса и рядом других организаций DARPA пытается отыскать превентивные решения для защиты чипов от закладок и заблаговременного выявления уязвимостейв случае их появления. Однако сложность задачи ясна всем. Как говорит один из участников проекта, "даже если вы обнаруживаете что−то существенное, вы никогда не можете быть уверены, что нашли всё. Такова ужасная природа этого бизнеса".

Две стороны медали

Проблема возможных аппаратных закладок в чипах обсуждается в спецслужбах уже давно. Возможно - с момента появления интегральных микросхем. Тем не менее далеко не все эксперты по инфобезопасности согласны, что реальные риски здесь действительно велики. Да, конечно, есть сведения, что разведывательные структуры давно экспериментируют с подобными технологиями хищения информации и саботажа. Однако по сию пору нет ни одного достоверного свидетельства, чтобы этой технологией хоть кто−нибудь воспользовался.

Знаменитый своими рациональными доводами и потому очень часто цитируемый в прессе гуру по безопасности Брюс Шнайер (Bruce Schneier) по этому поводу говорит следующее: "Разумеется, спецслужбы способны тайно встраивать уязвимости в микропроцессоры, однако угроза эта явно преувеличивается. Ну зачем кому−то так напрягаться и рисковать, когда в нынешних компьютерах, сетях и операционных системах и без того имеются тысячи уязвимостей, только и ждущих, чтобы их кто−нибудь обнаружил всего за несколько часов кропотливой работы?"

В спецслужбах вроде АНБ США, где гарантированно знают об угрозах аппаратных закладок куда больше Брюса Шнайера, с такой точкой зрения совершенно не согласны. Однако и склонить к сотрудничеству ведущих изготовителей процессоров тоже не могут. Не секрет, что корпорация Intel довольно давно и в самой категоричной форме отказалась от каких−либо совместных оборонных проектов с американским правительством - не видя, упрощенно говоря, как это сотрудничество может способствовать бизнесу компании.

Если развить ту же мысль в чуть иных выражениях, то любая ловля шпионов и вообще контрразведывательная деятельность подразумевает опору на агентуру. Для превентивного отлова функций аппаратных закладок неизбежно потребуются другие тайные функции, известные лишь спецслужбам. То есть - все те же шпионы...

Автор: Киви Берд
Опубликовано 25 апреля 2008 года в журнале Компьютерра

25 апр. 2010 г.

Программная среда для аналитика

Что делает аналитик? Он собирает информацию, каким-то образом ее сохраняет, затем обрабатывает и создает готовый продукт – опять же информацию. Это если совсем упрощенно, а на самом деле все значительно сложнее. Больше этапов и преобразований, но для понимания сути достаточно этой, простой схемы. А как происходит манипулирование этой самой информации в ходе работы с ней? Возьмем самый первый этап «Сбор-сохранение». Необходимо все исходники сохранить в первозданном виде, чтобы в последствии можно было всегда уточнить «как это было в оригинале». Кроме того задача может слегка измениться или появиться новая, но касающаяся и настоящей проблемы. Чтобы вновь не тратить время на получение данных их нужно сохранить в том виде, в каком они к вам попали. Постепенно у вас будет накапливаться много таких файлов, ориентироваться в которых будет всё труднее и труднее. В принципе эта проблема решается существующими полнотекстовыми поисковыми системами. Но у них есть один недостаток – они не позволяют структурировать собранную информацию, а лишь ищут заданный вами набор символов. По этой причине необходимо каждый файл снабжать некими справочными данными. Например вносить название проблемы, в связи с которой данная информация была получена, и вносить названия сущностей прямо не указанных в тексте, но к которым данный файл имеет отношение. Хорошо если вы единственный пользователь и «наполнитель» данного хранилища. А если нет? Тогда, для исключения хаоса, необходимо выработать и четко обозначить правила, по которым будет производиться комментирование материала. Но и при наличии таких правил есть вероятность, что-то упустить из-за субъективного взгляда на проблему ваших коллег. В этой ситуации помог бы некий виртуальный файловый менеджер, в котором можно создавать объединения файлов по проектам с условием возможности отнесения одного файла к неограниченному числу проектов, при наличии в нем поисковой функции. Причем «отнесение» файла к тому или иному проекту должно быть автоматическое (при наличии неких признаков) и ручное. Есть отдельно простые каталогизаторы и отдельно не плохие поисковые системы. Причем если поисковые системы по большей части вполне удовлетворяют потребности аналитика, то с каталогизаторами дело обстоит значительно хуже.

Но это лишь начало пути. Далее аналитик начинает обрабатывать собранную информацию. Чаще всего на начальном этапе стоит задача понять «что это?» или «как это было?». Для этого используется технология описания, аналогия, ретроспективная технология и технология структурирования информации. Фактически аналитик выделяет в собранных материалах элементы, характеризующие его область интереса, и складывает из этих элементов мозаику. Как это происходит? – правильно – в «ручном» режиме. Копируем в одном документе - переносим в другой. Так и формируется некий дайджест, на основании которого будет создаваться итоговый документ. Но ведь и этот процесс можно несколько автоматизировать. Коль скоро все «кусочки» собираем в один файл, то почему нельзя его формировать автоматически просто отмечая заинтересовавшие фрагменты в «исходниках»? Такие программы есть – например подобный механизм заложен в программу Сайт-Спутник Алексея Мыльникова. Но ведь это не все. Часто заинтересовавшие элементы нужно вставлять не в итоговый файл вообще, а в его конкретные места. Для этого нужен некий шаблон, в элементы которого и можно было бы вносить выбранные цитаты указывая место внесения простым кликом. Представляете сколько времени сэкономит такая в принципе не сложная программа если в ней есть возможность создать несколько шаблонов «под себя». К стати и конечный документ составляется примерно по той же технологии.

А теперь собственно анализ. Возьмем несколько простых технологий – диаграмма связей, последовательность событий, движение денежных средств, альтернативные сценарии, декомпозиция, которые используются наиболее часто. По своей сути они не сложны и вполне поддаются автоматизации. И есть программы, которые в той или иной степени автоматизируют указанные технологии. Например i2 для диаграммы связей, последовательности событий и движения денежных средств. Или Кронос для диаграммы связей. Или «Семантический архив». У каждой из них есть свои серьезные ограничения, но как говориться – сейчас не об этом. Проблема в том, что для переноса данных из «исходников» в соответствующие программы нужно произвести ряд не сложных действий, тем ни менее отнимающих значительное количество времени. Когда речь идет о продолжительных проектах , то затраты времени на внесение информации становятся не существенными по сравнению с длительностью самого проекта. Но вот в среднесрочных и тем более в краткосрочных эти затраты могут доходить до половины времени. А ведь средне- и краткосрочные проекты это то, с чем мы работаем каждый день. Вопрос в том, как сделать, чтобы снизить затраты времени на «сервисные» функции. Можно например обратиться к тем же шаблонам. Формируя предварительный документ, описывающий объект интереса, можно вносить информацию в заранее подготовленный шаблон понятный, помимо прочего, и той же i2 или «Семантическому архиву». Таким образом можно значительно снизить затраты времени. Но это полумера – разумнее создать некую специализированную среду со своими аналогами текстовых редакторов.