ГосИБезопасность

Пока гром не грянет — мужик не перекрестится

Русская народная пословица

Все мы последнее время слышим в прессе то о Сноудене и его откровениях, то о санкциях и их влиянии на ИТ-индустрию РФ. Такое ощущение, будто все внезапно прозрели и резко задумались как о 100% нашей зависимости от западных вендоров и технологий, так и о возможных уязвимостях в их продуктах и разведывательной деятельности, прежде всего, американских спецслужб. Меня, честно говоря, несколько удивляет этот факт — можно подумать, год назад или даже 10–15 лет назад все было не столь очевидно. Но ведь русские народные пословицы возникли явно не на пустом месте, а потому удивляться здесь совершенно нечему. 

В чем причины такой зависимости и когда она возникла? Как получилось, что везде, включая критичные системы, в РФ поголовно используется продукция западных вендоров, пусть в некоторых случаях и несколько модифицированная, если говорить об опенсорс-решениях. Вполне очевидно, что корни этой истории уходят в начало 1990-х. Тогда в РФ никто всерьез не задумывался о создании своих национальных ОС, баз данных — у государства не было ни денег, ни возможностей, но была вера, что вот сейчас-то и наступит мир во всем мире и мы быстро интегрируемся в мировое западное сообщество. И помогут нам с интеграцией, конечно же, западные ИТ-вендоры. Или еще точнее — американские. Ведь не секрет, что большинство крупнейших ИТ-вендоров — американские компании. Исключения составляют китайский Huawei и немецкий SAP. Да и, честно говоря, вариантов тогда особо и не было. Единственной условной преградой стала сертификация продуктов и решений для использования их на критичных объектах плюс поголовное увлечение опенсорсом при разработке ОС и различных шифраторов для применения в госорганах. Так в свое время появилась небезызвестная ОС МСВС, множество российских VPN, потом чуть позже — российские базы данных, в частности, «Линтер» (на основе СУБД Postgres) и т. п. Беда в том, что, один раз встав на этот путь, свернуть с него крайне сложно. Это как наркотик, с которого практически невозможно «слезть». И даже когда в начале 2000-х государство стало гораздо сильнее и богаче — в нашей ИТ- и ИБ-отрасли ничего не изменилось. Не было понимания, что в этой ситуации нужно что-то срочно менять — власть просто была бесконечно далека от ИТ. Кстати, в отличие от Китая, который, прекрасно осознавая данную проблему, давно реализовал два важнейших национальных проекта — Huawei (мировой вендор телекоммуникационный оборудования) и загадочные китайские ОС (для мобильных телефонов и десктопов), слухи о них ходят уже давно. 

В итоге мы пришли к текущей ситуации, когда зависимость от США в ИТ у нас близка к 100% со всеми вытекающими отсюда последствиями. Причем я бы поостерегся говорить, что это проблема сугубо государственная и бизнес она не волнует. Большой бизнес она просто обязана волновать. Ведь не секрет, что еще на заре зарождения американских спецслужб (а ЦРУ появилась только после окончания Второй мировой войны) одна из их важнейших задач состояла в обслуживании интересов большого бизнеса. В частности, в ОСС (организация — прародитель ЦРУ, созданная в годы войны в начале 1940-х) первую скрипку играли именно ставленники крупнейших корпораций, которые напрямую  лоббировали уя бизнес-интересы американских компаний. Да и процесс вхождения американских вендоров на наш рынок щедро финансировался и лоббировался на всех уровнях — это ни для кого не секрет. Конечно, российский рынок был выгоден вендорам, но их тотальное нашествие было не менее выгодно непосредственно США — особенно в геостратегической перспективе. Если обратиться к мемуарам Аллена Даллеса, то спецслужбы США всегда решают прежде всего стратегически задачи, тактику они зачастую оставляют армейской разведке. Именно поэтому после войны была расформирована ОСС, выполнявшая сугубо тактические военные задачи, и создано ЦРУ. Но бог с ней с историей. 

Не менее хитро и вероломно в начале 1990-х нам был подсказан «альтернативный» вариант: не доверяете нашим вендорам — используйте опенсорс-решения. Код открыт, это надежно, 1000 глаз, постоянно изучающих код, возможность изменений и самостоятельной компиляции — вот же она, подлинная безопасность! И многие в это поверили. Точнее, все, кто мог. И кто не мог — тоже поверил. Тем более это было крайне выгодно. Зачем писать с нуля, когда вот он, готовый код. Поменял то, это, дописал что-то свое — и готов очередной отечественный VPN, база данных или ОС. Бизнес, нормально.

Приплыли...

«Никому нельзя верить, Штирлиц, даже себе. Мне можно.»

Что же в сухом остатке? На дворе 2014 год, а у нас тотальная зависимость от американских ИТ-технологий. И тут вдруг как снег на голову падает Сноуден с его откровениями про тотальный контроль АНБ над всеми ведущими американскими вендорами и провайдерами плюс угроза санкций. И всех озарило. 

Но что странно. Почему никто не задумывался, что после событий 11.09.2001 АНБ стало получать огромные бюджеты, а их же надо куда-то тратить. Было основано киберкомандование в рамках МО США, в штате которого работают многие тысячи, если уже не десятки тысяч высококвалифицированных специалистов. То есть как минимум последние 13 лет в огромный котел кибервойны США закачивало гигантские средства и вовсе не только на защиту, а прежде всего для интенсивной разработки атакующих средств и технологий. Кроме того, ничто не мешало АНБ выстраивать доверительные отношения со всеми ведущими американскими вендорами, и это подтверждается Сноуденом. Для американского вендора это и патриотично, и выгодно — огромные госконтракты в США ежегодно приносят вендорам немалую часть их оборота. А главное, совершенно безопасно. Никто в здравом уме и твердой памяти не будет встраивать простую закладку — сегодня все вендоры элегантно оставляют уязвимости, к которым все в мире уже давно привыкли и в случае обнаружения не обращают на них никакого внимания. Причем спецслужбам для встраивания уязвимостей можно использовать как официальный путь — напрямую договориться с вендором, нажав на него по официальным каналам, так и неофициальный путь — ничто не мешает агентурными методами договориться с программистами вендора. Главное, обойти механизмы внутреннего контроля и SDL, что сильному программисту, впрочем, не составляет особых проблем. Совершенно аналогичная история с опенсорс, только в этом случае она на порядок проще из-за хаотичной разработки, отсутствия процесса SDL и около нулевого  уровня контроля качества кода в ряде опенсорс-проектах.

То есть сегодня мы имеем ситуацию, когда спецслужбы могут не только специально встраивать в ПО «свои» уязвимости, но и проводить масштабные исследования ПО для поиска неизвестных им, а также покупать их на черном или сером рынке, чем они, как известно, активно пользуются, ежегодно выделяя на покупку боевых эксплойтов миллионы долларов. Это огромная военно-разведывательная машина, предназначенная для тотального контроля, и не стоит заблуждаться относительно ее масштабов и возможностей, особенно учитывая закачанные в нее бюджеты за эти более чем полтора десятка лет (!), если не больше. Кстати, для справки: по официальным данным, военный бюджет США больше чем военные бюджеты всех остальных стран в мире.

Что же делать в текущей ситуации? На мой взгляд, главным движущим принципом РФ на ближайшие 10–20 лет станет: «Проверяй чужое, создавая свое».

Проверяй чужое

Идея проверять чужое абсолютно не нова. Как я говорил выше, она родилась еще в начале 1990-х годов и изначально превратилась в РФ в систему сертификации (ФСБ и ФСТЭК), основной задачей которой стала проверка корректности реализации технических требований плюс поиск отсутствия НДВ (недекларированных возможностей). Причем на практике все быстро поняли: все, что касается НДВ и уязвимостей, — это нереально, и сертификация по факту не решала именно эти, наиболее животрепещущие для всех вопросы. В принципе при подобной системе невозможно наладить должный контроль и пытаться хоть как-то гарантировать, что проверяемое ПО не содержит уязвимостей или НДВ (термин  устарел и уже не отвечает современным реалиям). В итоге существующая система сертификации тихо обошла данный момент, контролируя в основном корректность реализации заявленных функций и соответствие их заданным требованиям и  поверхностно  — отсутствие недекларированных возможностей. Если первое проверить совершенно реально, то второе — нет. Особенно учитывая масштабы объекта, анализируемого при сертификации. А в случае ОС — это огромная и в принципе крайне трудно реализуемая задача даже при наличии исходного кода. Да и не только ОС, а любой масштабной системы. 

В итоге именно в самом опасном для нас случае — при сертификации решений западных вендоров — вся процедура, особенно к некоторых случаях, превратилась в фарс, когда при сертификации группа российских аналитиков испытательной лаборатории приезжала в офис западного вендора и в стерильном помещении без своих компьютеров и специализированного ПО глазами «анализировала» представленный им код. Совсем недавно российский топ-менеджер одного из крупных западных вендоров с гордостью рассказывал в интервью о том, как именно у них проходила сертификация. Комментарии здесь излишни. Проблема в том, что и поменять что-либо в существующей системе сертификации, перестроив ее именно на поиск уязвимостей, в принципе не получится. Поэтому, когда в последнее время я слышу заявления  о том, что давайте ужесточим процедуру сертификации (правда, без уточнения, с какой именно целью) — с моей точки зрения, как практика, это почти невозможно применительно к уязвимостям. Откуда взять время, ресурсы и деньги для глубокого анализа большой системы — вендор будет платить за поиск уязвимостей миллионы долларов и ждать годы? А самое главное — при конечном времени (а сертификация по определению должна занимать относительно небольшой промежуток времени и представлять собой конечный процесс) приемлемой полноты поиска уязвимостей нельзя достигнуть в принципе. И что тогда будет гарантировать подобная сертификация? Поэтому, на мой взгляд, серьезно менять существующую процедуру сертификации в силу ее специфики нет смысла. Какая-либо сертификация по определению в данном случае никак не поможет в принципе. 

Что же делать? Выход, пожалуй, один. С учетом того, что заменить на отечественное ПО в ближайшие десятилетия мы все равно ничего не сможем, даже если захотим, государство и/или большой бизнес должны финансировать постоянные работы по глубокому исследованию ключевых наиболее популярных и важных ИТ-компонент и систем, включая телеком-оборудование, базы данных, ОС, ERP, АСУ ТП — в том числе и прежде всего при отсутствии исходного кода. И такой процесс уже начался, что чрезвычайно отрадно для отрасли в целом. Причем это будет и должна быть не разовая относительно недолгая сертификация, а именно постоянный исследовательский процесс, позволяющий с течением довольно продолжительного времени создать соответствующие исследовательские центры компетенции по ключевым информационным технологиям. Да, это займет годы, потребует вовлечения сотен специалистов и будет стоить денег, а иначе просто нет смысла. Речь в данном случае идет именно о запуске национальной программы исследований защищенности ключевых элементов информационных технологий. Тем самым это позволит постепенно повысить уровень внешнего контроля как над используемыми в РФ западными продуктами, так, что не менее важно, и над наиболее критичными разработками отечественных вендоров. Да, скажем честно, даже в таком случае мы не сможем гарантировать полное отсутствие в них уязвимостей, потому что 100%-ной безопасности не бывает по определению. Но с течением времени выйти на более чем приемлемый уровень контроля мы сможем, и что не маловажно, также сможем его постоянно повышать, увеличивая полноту поиска, приближаясь к заветным 100%. Кстати, Китай, уже более 10 лет активно реализующий и первую, и вторую часть принципа «Поверяй чужое, создавая свое», внимательно и крайне дотошно исследующий все западные технологии, буквально на днях заявил о том, что они нашли много интересного в Windows 8 с точки зрения ИБ, что их совершенно не устраивает. А самое главное — иного выхода у РФ нет и сегодня это очевидно. И нашим властям это нужно понять, отдавая себе отчет, что или мы постепенно начнем контролировать популярные решения западных вендоров, или нам уготована роль страны даже не второго, а третьего мира.

Создавай свое

«Самый грамотно созданный миф это тот, в который через некоторое время начинают верить настолько, что он не требует повторения и ... становится правдой, постепенно откладываясь в подсознании широких масс, включая как его создателей, так и относительно далеких от предмета мифологии людей.» 

Так уж повелось последние 20 лет, что как только речь идет об импортозамещении западного ПО, то немедленно возникает, как я говорил ранее, ловко подброшенный нам в свое время вариант использования опенсорса. И все эти 20 лет в умах ИТ-сообщества, далекого от безопасности, живут, а скорее специально насаждаются крайне опасные мифы, связанные с якобы изначально очень высоким уровнем безопасности опенсорса из-за открытости кода. На первый взгляд все выглядит логично: код открыт, опенсорс-сообщество огромно, а значит, проблем точно нет. Однако это крайне опасный миф. Гораздо лучше жить с постоянным ощущением опасности, связанным с использованием проприетарного софта классических вендоров, не доверяя им и постоянно их проверяя, чем пребывать в мнимой уверенности, что применяешь якобы безопасный опенсорс. Иллюзорный контроль гораздо хуже, чем его полная невозможность. Проблема в том, и последние истории с уязвимостями в опенсорсе это наглядно показали, что хаотичная разработка, участие в процессе студентов и волонтеров, тотальное отсутствие процессов контроля над разработкой во многих опенсорс-проектах ведут к тому, что качество кода, мягко говоря, оставляет желать лучшего. Волонтеры опенсорс-комьюнити давно утонули в сотнях миллионах строк кода, и о каком отсутствии там уязвимостей может идти речь, если зачастую код банально никто не проверяет. Вся эта эйфория с открытостью кода и противостояние классических вендоров и опенсорс очень напоминает притчу из фильма «Приключения Шурика»: «Имею желание купить козу, но не имею такой возможности. Имею возможность купить козу, но не имею такого желания». Толку-то от возможности, если при таком объеме кода ее крайне трудно реализовать на практике. Это сложнейший процесс, который даже вливанием многих миллионов долларов тяжело реализуем в виде SDL у классических вендоров-гигантов, вынужденных серьезно относится к безопасности своих продуктов. Кто за это будет платить в опенсорсе? И кто это будет реализовывать в виде постоянного нудного процесса контроля — волонтеры?

Если же говорить об отечественных опенсорс-разработчиках, о какой безопасности здесь можно вести речь? Особенно если иметь в виду «большие» продукты — базы данных или, не дай бог, ОС. Наши разработчики достаточно многочисленных за последние 20 лет проектов по созданию «национальных ОС» вносят в общий объем кода не более 0,1%, по факту не имея ни желания, ни бизнес-возможностей контролировать на предмет ИБ оставшиеся 99,9%. Я уже не напоминаю о необходимости постоянного контроля над обновлениями. А потому с точки зрения безопасности говорить об использовании опенсорса для создания национальной ОС — это крайне опасная и чрезвычайно вредная идея, потому что в наших реалиях никто не будет выстраивать сложнейший процесс контроля над чужим кодом. Даже применение отдельных, относительно небольших опенсорс-компонентов таит огромную опасность, и история с HeartBleed это наглядно показала, когда оказались уязвимы опенсорс-компоненты OpenSSL и OpenVPN. Кстати, часть сертифицированных ФСБ продуктов также оказалась уязвимой, и это ни для кого не секрет. Что же говорить об использовании огромного и сложного кода ОС или баз данных, если в относительно небольших опенсорс-компонентах уязвимости живут годами и даже десятилетиями? Кстати, вспомню в очередной раз Китай: после десяти лет экспериментов с Linux китайцы в итоге завершили работу и закрыли компанию Red Flag, которая разрабатывала прототип национальной ОС на базе опенсорс-решений. Полагаю, китайцы, пусть и не сразу, но в итоге поняли, что это тупиковый путь, а поняв это, экспериментировали и до определенного времени просто отлаживали нужные им технологии. 

У меня вообще последнее время складывается четкое ощущение, что если кому и выгоден опенсорс, то это прежде всего АНБ. Они должны были его придумать или, как минимум, финансировать развитие и популярность, плодить и приумножать столь выгодные им мифы про якобы врожденную безопасность как следствие открытости – настолько западным спецслужбам выгоден опенсорс. Никто ничего не контролирует; код чужой на 99.9%, но при этом у всех полная иллюзия контроля и масса преданных фанатиков по всему миру – чем не  великолепная и специально подготовленная среда для прекрасной ловушки для госорганов по всему миру, в которую все поголовно с легкостью и попадаются, когда на базе опенсорса стремятся в очередной раз делать национальные ОС, базы данных, VPNы и т.п. - и все это, что особо важно отметить, используется … именно для критичных государственных систем – ровно то, что и требовалось спецслужбам! Это же рай для АНБ, форменный рай, который ими просто обязан финансироваться. Кроме того, не стоит забывать, что один и тот же опенсорс код используется везде – в привычных нам глобальных веб-сервисах, в магистральных и домашних роутерах, в интернете вещей! Вспомните HeartBleed, который был буквально везде. Вы представляете о каком уровне глобального, я бы сказал, тотального контроля в этом случае идет речь ... 

А если еще вспомнить, что наличие исходных текстов - это обоюдоострое оружие как для нападающей, так и для атакующей стороны – об этом тоже как-то не принято вспоминать …

Какой же выход? Выход один. Нам, как и в Китае, нужна национальная программа разработки ключевых ИТ-компонентов для поддержки отечественных вендоров, крайне желательно не связанная с опенсорс-разработками. Да, придется все делать с нуля. Но определенный опыт уже есть, и есть вендоры, которые за свой счет ведут подобную деятельность, в частности связанную с создание ОС («песочницы») для компонентов АСУ ТП. Да, это сложно, но с точки зрения ИБ — другого выхода нет. И надо понимать, что в любом случае даже свою разработку нужно очень строго проверять и контролировать с точки зрения  уязвимостей.

“He who controls the spice controls the Universe”. Френк Герберт, «Дюна» 

На мой взгляд, для всех нас и для РФ в целом — это весьма позитивно, что «тайное», наконец, стало явным. С одной стороны, после последних событий многие из нас могут сказать: «А ведь мы предупреждали, но нас никто не слышал или не хотел слышать». С другой стороны, наконец-то у нас во властных органах стало меняться поколение — начали приходить относительно молодые практики, понимающие, что ситуацию нужно срочно менять. Все это должно стать катализатором чрезвычайно необходимых и назревших в стране изменений в государственной политике в области ИТ и ИБ. Что делать — в целом понятно. А мы поможем. Все вместе. Нерешаемых задач здесь нет. Главное, здесь воля, желание и ресурсы. Пока у нас в стране есть нефть — у нас, как у страны, есть шанс. В противном же случае мы будем менять нефть на софт и мириться с внешним тотальным контролем. Как недавно на встрече с Интернет сообществом сказал В.Путин: «Монополия - это хорошо. Когда она своя». Поэтому пока же еще ситуацию можно исправить, даже несмотря на серьезное вендорское лобби во властных структурах, правда, к счастью, сильно пошатнувшееся в последнее время. Пока. Но завтра это уже может быть поздно. Конечно, есть опасность, что сегодняшняя волна скоро спадет, все забудется, и мы продолжим качать нефть и строить газопроводы, что само по себе безусловно хорошо. Но в исторической перспективе сегодня у нас существует уникальный шанс переломить ситуацию и в будущем стать великой независимой ИТ-державой, самостоятельно разрабатывающей и контролирующей ключевые элементы информационных технологий. Хотя, может быть, это и выглядит прожектерством в данный момент. Но историю, как известно, двигают только масштабные идеи, да и с геостратегической точки зрения в исторической перспективе у России сейчас просто нет другого выхода, если мы хотим остаться великой державой на уровне США и Китая. Наша власть должна четко понять: тот, кто сегодня контролирует ИТ, контролирует будущее. Американцы и китайцы это поняли уже очень давно. Ведь, как известно, из классики: «Тот, кто контролирует пряность, контролирует Вселенную».