Если когда-либо и появлялся признак того, что Соединенные Штаты теряют контроль над своим информационным оружием и над собственными бойцами информационного фронта, это было в тот момент, когда один из них, молодой американский контрактник, увидел на своем мониторе электронные письма бывшей первой леди Мишель Обамы.
В течение нескольких месяцев Дэвид Эвенден, бывший аналитик Агентства национальной безопасности (АНБ), задавался вопросом, что вообще он делает тут, в Абу-Даби. Как и два десятка других бывших аналитиков и контрактников АНБ он был соблазнен на поездку в Объединенные Арабские Эмираты эксклюзивным подрядчиком — компанией Beltway которая предложила им удвоенное, а то и учетверенное денежное содержание, и пообещала роскошную безналоговую жизнь в роскошной атмосфере курортов Персидского залива. Им сказали, что работа будет такой же, как в Агентстве, но только от имени близкого союзника США. Все это якобы было естественным развитием войны Америки с террором.
Эвенден начал отслеживать террористические ячейки в Персидском заливе. Это был 2014 год, ИГИЛ* только что осадило Мосул и Тикрит, и Эвенден отслеживал ее членов, когда они использовали свои телефоны и приложения для обмена сообщениями. Изображения, которыми они обменивались, бывали очень жестокими, но это моя работа, говорил себе мистер Эвенден. Имея степень по богословию, он собирался стать армейским капелланом. Он был далек от своего нынешнего занятия, но, думал, что нет лучшего способа доказать свою веру, чем организовать охоту на тех, кто пытается убить хороших христиан. Однако вскоре он получил новое задание: доказать, что сосед Эмиратов, Катар, финансировал «Братьев-мусульман».** «Единственный способ сделать это, — сказал Эвенден своим боссам, — это взломать информационные сети Катара».
«Вперед!» — сказали ему. Неважно, что Катар тоже был союзником Америки, или что однажды оказавшись внутри его компьютерных сетей, его боссы уже не проявляли никакого интереса к выходу из них. Вскоре его команда в другом подрядчике, CyberPoint, устраивала хакерские атаки на врагов ОАЭ, реальных и предполагаемых, по всему миру: официальных лиц в ФИФА, критиков монархии в Твиттере и особенно членов королевской семьи Катара. Заказчики хотели знать, куда они летят, с кем встречаются, что говорят. Мистеру Эвендену сказали, что это тоже часть его миссии; все это было санкционировано на самом верху. В войне с террором и на рынке кибероружия можно было объяснить и оправдать что угодно.
Все объяснения и оправдания рассыпались в прах в тот день, когда на его экран выскочили электронные письма первой леди США. В конце 2015 года команда Мишель Обамы заканчивала подготовку ее поездки на Ближний Восток. Супруга катарского шейха Моза бинт Насер пригласила госпожу Обаму выступить на ее ежегодной образовательной конференции в Дохе, где первая леди могла бы продвинуть свою инициативу «Пусть девочки учатся». Мишель Обама и ее команда находились в постоянном контакте с Мозой бинт Насер. И каждое из электронных писем между первой леди, ее королевским высочеством и их персоналом — личные встречи, бронирование гостиниц, изменение маршрутов и детали безопасности — все поступало на компьютеры бывших аналитиков АНБ в Абу-Даби. «В этот момент я сказал себе: „Мы не должны этого делать", — рассказывал мне Эвенден. — „Мы не должны делать из этих людей свои цели"».
Мистер Эвенден и его семья вскоре вылетели домой. Он и несколько коллег, присоединившихся к нему, сообщили обо всем ФБР. (В агентстве не комментируют расследования, но по некоторым беседам можно предположить, что в настоящее время осуществляется проверка компании CyberPoint). О взломе электронной переписки Мозы бинт Насер с Мишель Обамой никогда публично не сообщалось.
Вскоре после того, как Дэвид Эвенден вернулся в Штаты, он начал получать звонки и сообщения в сети LinkedIn от своих старых приятелей из АНБ, которые все еще работали в агентстве, и которые хотели получить «классное предложение» из Абу-Даби и просили его совета. К 2020 году эти обращения превратились в «барабанный бой». «Не связывайтесь с этим, — умолял он. — Это не та работа, которую вы захотите делать».
Он хотел их предупредить: «Вы, наверное, считаете себя патриотами, но однажды тоже можете проснуться и обнаружить, что вы просто еще один наемник в гонке кибероружия, которая вдруг пошла ужасно неправильно».
Три десятилетия назад Соединенные Штаты сначала сами создали, а потом сами же монополизировали рынок хакеров, их ремесло и их оружие. Но за последнее десятилетие американское лидерство ускользнуло из рук США, и то же хакерство бумерангом повернулось против них.
Тем не менее, никто в администрации не потрудился сделать паузу для того, чтобы изменить стратегию. Даже тогда, когда в 2015 году электронные письма Мишель Обамы оказались в руках американского подрядчика. И даже сегодня, когда российские хакеры находятся внутри наших правительственных сетей. Дело перешло от случайных тревожных звонков к одному непрерывному гудящему сигналу тревоги — но мы стали просто все лучше и лучше игнорировать все ситуацию.
Спустя несколько месяцев после возвращения Эвендена домой, в 2016 году, были взломаны хакерские инструменты самого АНБ. Судя по всему, сначала это было сделано Северной Кореей, а затем и Россией в ходе самой разрушительной кибератаки на США в истории.
За следующие три года Иран из цифрового захолустья превратился в одну из самых передовых киберармий в мире. Китай после короткой паузы вернулся к грабежу интеллектуальной собственности Америки. А сейчас мы разбираемся с российскую атакой на нашу цепочку поставок программного обеспечения, в которую были включены Госдепартамент, Министерство юстиции, Казначейство, Центры по контролю и профилактике заболеваний, Министерство энергетики и его ядерные лаборатории, а также Министерство внутренней безопасности. То есть то самое ведомство, которому поручено обеспечивать безопасность американцев.
Мы знаем это не благодаря каким-то героическим хакерским победам АНБ или супер-достижениям нашей разведки, а только потому, что американская администрация была проинформирована частной охранной компанией FireEye после того, как та обнаружила следы тех же русских хакеров в своих собственных системах.
Гордыня американской исключительности — миф о глобальном превосходстве, обнуленный числом погибших в результате пандемии, — вот что довело нас до этого. Мы думали, что сможем перехитрить наших врагов. Больше собственных хакерских атак, больше нападений на врагов, а не более совершенная защита — вот и весь наш ответ на становящийся все более виртуальным мировой порядок. Ведь это мы сами делали себя все более уязвимыми, подключив к интернету водоочистные сооружения, железные дороги, термостаты и инсулиновые помпы в больницах. Причем с гордостью делаем это со скоростью 127 новых устройств в секунду.
В АНБ, двойной задачей которого является сбор разведданных по всему миру и защита американских секретов, наступление давно затмило оборону. На каждую сотню кибервоинов, совершающих нападение — поиск и накопление сведений о «дырах» в технологиях для использования в целях шпионажа или подготовки поля боя, — часто приходился всего один-единственный одинокий аналитик, играющий в защиту, чтобы оборонять наше киберпространство.
Америка остается самой передовой кибердержавой в мире, но суровая правда, которую не хотят замечать руководители нашей разведки и контрразведки, заключается в том, что она также является и самой уязвимой целью. Мало что в индустрии кибербезопасности имеет худшую репутацию, чем алармизм. У этого явления есть даже аббревиатура «FUD» аббревиатура по первым буквам английских слов «страх, неуверенность и сомнения».
Когда Леон Панетта, тогдашний министр обороны, предупредил о приближающемся «кибер-Перл-Харборе» в 2012 году, он был уволен как разжигающий эту самую «FUD». Аналогия с Перл-Харбором здесь, действительно, неудачна: правительство США не ожидало появления японских бомбардировщиков, в то время как их цифровой эквивалент накапливался в киберпространстве десятилетиями.
А возможность губительной атаки — например, смертоносного взрыва на химическом заводе, приведенного в исполнение несовершенным программным обеспечением, — отвлекает от оценки того затруднительного положения, в котором мы уже оказались. Все, что заслуживает похищения, уже похищено: наши личные данные, интеллектуальная собственность, списки избирателей, медицинские картотеки и даже наше собственное кибероружие.
В данный момент нас взламывают с такого количества направлений, что их стало практически невозможно отследить, не говоря уже о том, чтобы рассказать об опасности среднему американскому читателю, пытающемуся осознать практически невидимую угрозу, которая живет в коде или языке программирования, которые большинство нас так никогда полностью и не поймут.
Эта угроза зачастую пока кажется слишком далекой, чтобы бороться с ней, и все приняли здесь существующие десятилетиями решения: граждане просто сдались на милость комфорту и доступности информации, а правительствам легче не бороться с «брешами» для шпионажа. В итоге мы во многих случаях оставили окна открытыми там, где их следовало бы крепко-накрепко за-крыть.
«Роковой недостаток АНБ состоит в том, что оно пришло к выводу, что умнее всех остальных, — сказал мне Питер Нойманн, ученый-компьютерщик и знаток кибербезопасности. — В гонке за то, чтобы использовать в своих интересах все и вся, мы загнали себя в тупик, из которого нет выхода».
Ящик Пандоры
Есть причина, по которой мы верили в это ложное умозаключение о том, что такое нападение может защитить нас: само по себе это нападение было чертовским шедевром.
Начиная с 2007 года Соединенные Штаты вместе с Израилем осуществили нападение на иранский ядерный объект в Натанзе, в результате чего была уничтожена примерно пятая часть всех иранских центрифуг. Эта атака, известная как Stuxnet, осуществлялась через семь брешей, так называемые «нулевые дни» в промышленном программном обеспечении Microsoft и Siemens. (Только одна такая брешь был заблаговременно идентифицирована иранцами, но так и устранена). В краткосрочной перспективе операция Stuxnet имела оглушительный успех. Она отбросила ядерные амбиции Ирана на годы назад и удержала израильтян от бомбардировки Натанза и развязывания Третьей мировой войны. В долгосрочной перспективе он показала союзникам и противникам, чего им не хватает, и изменила мировой цифровой порядок.
В последующее десятилетие родилась гонка кибервооружений.
Аналитики АНБ покинули агентство, чтобы открыть заводы по производству кибероружия, такие как Vulnerability Research Labs в Вирджинии, которые продавали американским агентствам и нашим ближайшим англоязычным союзникам типа военно-разведывательной группировки «Пять глаз» (Five Eyes) инструменты для осуществления «компьютерных убийств» одним щелчком мыши. Один подрядчик, компания Immunity Inc., основанная бывшим сотрудником АНБ, довольно быстро встала на этот скользкий путь… Сначала, по словам ее сотрудников, Immunity обучала консультантов, таких как Booz Allen, затем крупную фирму американского ВПК Raytheon, а затем уж и правительства Нидерландов и Норвегии.
Такие компании, как CyberPoint, пошли еще дальше, разместив свои филиалы за границей и делясь, например, с ОАЭ такими инструментами и «ноу-хау», которые в конце концов правительство Эмиратов обратило против своего народа. В Европе поставщики шпионского оборудования для Пентагона, такие как Hacking Team, начали продавать те же инструменты в Россию, а затем и в Судан, где это оборудование и безжалостно использовалось против населения.
По мере того, как рынок выходил за пределы прямого контроля со стороны АНБ, агентство продолжало концентрировать свое внимание исключительно на нападении. АНБ знало, что те же самые уязвимые места и бреши, которые оно находило и использовало в отношении других стран, однажды бумерангом будут найдены и в самой Америке. Его ответ на эту дилемму заключался в том, чтобы просто свести американскую исключительность к аббревиатуре NOBUS, что означает «никто, кроме нас». Если АНБ обнаружило у кого-то уязвимость, которую, по его мнению, могло использовать только оно, то оно скрывало ее.
Эта стратегия была частью того, что генерал Пол Накасоне, нынешний директор АНБ — а до него Джордж Вашингтон и китайский стратег Сунь Цзы — называют «активной обороной».
В современной кибервойне «активная оборона» практически сводится к простому взлому вражеских сетей. Это взаимно гарантированное разрушение в цифровую эпоху: мы взламываем сети российских троллей в качестве демонстрации силы для проникновения в подлинные российские сети, в ядерные объекты Ирана, чтобы вывести из строя их центрифуги, и в исходный код Huawei, чтобы проникнуть в сети его клиентов в Иране, Сирии и Северной Корее. Цель такой «активной обороны» — разведка и создание в АНБ системы раннего предупреждения, которая, теоретически, должна предотвращать атаки на нас еще до их развертывания.
Когда мы обнаруживаем дыры в системах, управляющих цифровой вселенной, мы не передаем автоматически данные о них производителям для исправления. Мы делаем так, чтобы эти уязвимости продолжали существовать на тот случай, если ФБР необходимо будет получить доступ к iPhone террориста, или у киберкомандования однажды возникнет необходимость применить кибероружие против сетей Ирана.
Конечно, какое-то время это приносило хорошие плоды, о которых многие никогда не узнают. Но любому человеку достаточно просто взглянуть на наши атаки последних пяти лет, чтобы увидеть, что «активная оборона» и НОБУС работают не слишком хорошо.
В памятной записке 2012 года, ставшей достоянием общественности, один аналитик АНБ предупредил: «Взлом маршрутизаторов был хорош для нас и наших партнеров по Five Eyes лишь в течение некоторого времени, но становится очевидным, что другие государства тоже оттачивают свои „ноу-хау" и выходят на ту же арену».
Только когда в 2017 году были взломаны, а затем использованы против нас инструменты самого АНБ, мы смогли увидеть, насколько нарушенным оказался баланс между нападением и обороной. Агентство присутствовало в сетях Microsoft в течение более пяти лет, передав сведения об этом корпорации Microsoft только после того, как само АНБ подверглось хакерской атаке.
Но к тому времени было уже слишком поздно. Бизнесу, школам и больницам еще предстояло залатать вскрытые бреши, а Северная Корея уже использовала их для атаки всего лишь месяц или два спустя. И та же Россия использовала их, организовав хакерскую атаку на Merck (старейшая в мире немецкая фармацевтическая, химическая и биологическая компания — прим. ред.), уничтожившую запасы вакцины, что стоило крупнейшей американской транснациональной логистической компании FedEx 400 миллионов долларов и лишило врачей доступа к больничным картам пациентов. В целом, этот инцидент нанес его жертвам ущерб примерно в 10 миллиардов долларов.
После этих ударов в 2017 году генерал Майкл Хайден, бывший директор АНБ и один из самых активных ее защитников, потерял дар речи. «Я не могу защитить агентство, располагающее та-кими мощными инструментами, если оно само не может защитить эти инструменты и держать их в своих руках», — сказал он.
Пишущие машинки слушали
Чтобы понять, как мы оказались в такой ситуации, столкнувшись с чередой атак против нас, и как мы могли бы выбраться из нее, полезно оглянуться на российское нападение, которое и поставило нас на этот наступательный курс.
В том же 1983 году работники американского посольства в Москве пришли к выводу, что все, что они говорили и делали, перехватывалось Советским Союзом. Они заподозрили наличие в посольстве «крота», и, если бы не наводка от французов, обнаруживших «жучок» в своих телетайпах, они, возможно, никогда бы не обнаружили, что «крот» сидел в их оборудовании.
В 1984 году президент Рональд Рейган лично утвердил секретный проект под кодовым названием «Стрелок» по поиску и устранению любых советских «жучков» в оборудовании американских посольств. 100 дней понадобилось только на то, чтобы доставить все до последней единицы посольского оборудования в Форт Мид, и еще почти 100 дней на то, чтобы раскрыть самый изощренный случай шпионажа, с которым вообще когда-либо сталкивалось АНБ.
В задней части пишущей машинки нашего посольства в Москве находился крошечный магнитометр — прибор, который измерял малейшие возмущения в магнитном поле Земли. Он записывал показатели механической энергию от каждого удара, сделанного по клавиатуре машинки, и передавал результаты по радио на находившееся поблизости советское подслушивающее устройство, спрятанное в дымовой трубе посольства. К тому времени, когда операция «Стрелок» была завершена и были обнаружены другие советские закладки, стало ясно, что Советы таким образом скачивали американские секреты из наших пишущих машинок в течение восьми лет.
«Это был тревожный звонок для нас, — сказал мне Джеймс Гослер, крестный отец американской кибервойны. — Представьте себе, если бы мы все еще использовали эти чертовы пишущие машинки!».
Если хоть какому-то техническому эксперту и можно приписать заслугу в том, что Соединенные Штаты вовремя опомнились, наверстали упущенное и стали самой продвинутой цифровой сверхдержавой мира, то это именно Гослер. Когда я попросила почти всех людей, которые руководили АНБ и ЦРУ рубеже последних веков, назвать отца американского стратегии американского кибернаступления, никто из них не колебался: «Это Джим Гослер».
В лексиконе Гослера есть аббревиатуры «BG» — «до операции Стрелок» и «AG» — «после операции Стрелок». «BG —мы ни о чем таком не подозревали — сказал он мне. — Мы жили в каком-то розовом мире. AG — теперь мы взламывали все, что испускало хоть какой-то цифровой импульс».
За свою долгую карьеру в лабораториях АНБ, а затем в ЦРУ, Гослер ставил перед собой сверхзадачу — привлечь внимание правительства к уязвимостям микрочипов, кодов и программного обеспечения, которые ставят под угрозу нашу жизнь.
Он ничего не рассказывает о секретных программах, в которых он участвовал, но за время своего пребывания на госслужбе он помог создать огромные списки противников, которые могут использовать эти уязвимости, и руководил группами американских аналитиков и разведчиков, чтобы обеспечить приоритет США в киберпространстве.
Но каждая калория, потраченная Соединенными Штатами на нападение, была затрачена за счет отбора ее у обороны. И на протяжении десятилетий этот дисбаланс мучил Гослера. Найти «Стрелка» в пишущих машинках было настоящим подвигом. Найти его аналог в наших истребителях или даже в среднестатистической машине высокого класса, которая теперь содержит более 100 миллионов строк кода? Ну-ну. Желаю успеха…
По сути, то затруднительное положение, в котором сейчас оказались Соединенные Штаты, выискивая самую малую брешь, использованную в недавней атаке SolarWinds, получившей такое название, потому что русские использовали в ней продукцию техасской компании SolarWinds, которая продает сетевое программное обеспечение правительственным учреждениям, сетевым операторам и более, чем 400 компаниям из списка Fortune 500.
Иногда мы отвечаем на атаки уголовными преследованиями, санкциями или собственными кибератаками. Президент Байден добавил 10 миллиардов долларов в фонды кибербезопасности к своему предложению по восстановлению американской экономики после сovid-19 и заявил, что Соединенные Штаты «запускают срочную инициативу» по кибербезопасности, чтобы повысить «готовность и устойчивость Америки в киберпространстве».
Но на поиск каждой русской операции «с черного хода» могут уходить месяцы, а то и годы. И выход из нынешнего кризиса у нас один — перестать оставаться уязвимыми.
Для простых людей это означает необходимость привыкать к менее удобной жизни. При этом никто не говорит об отказе от паролей и регулярного обновления ПО, двухфакторной аутоидентификации и устранении вредоносных ссылок. Для бизнеса это требует тестирования кодов в процессе их написания программистами, а не после того, как он уже попал в руки потребителя. Это требует создания защитных рвов вокруг наших «хранилищ драгоценностей»: использования заполняемых вручную бумажных бюллетеней для голосования, освобождение от постороннего доступа всех элементов управления нашими атомными станциями, медицинским оборудованием и воздушным движением.
Правительству, возможно, проще всего начать с установления четких правил, которые не позволят бывшим сотрудникам АНБ, как Дэвиду Эвендену, выполнять грязную работу для других правительств, где не действуют правила, регулирующие нашу собственную разведывательную деятельность. И давно пора закрывать все двери и окна, которые вообще никогда не следовало держать открытыми.
Джим Гослер десятилетиями работал над тем, чтобы обезопасить американцев и наши секреты и над тем, чтобы мы никогда не знали, насколько близко к катастрофической кибератаке противника мы можем оказаться. Теперь, когда страна уже просчитывает сценарии, о которых он долго опасался даже говорить, Гослер понимает, что путь вперед — это понимание того, в насколько небезопасном мире мы живем.
«„Стрелок" не повлиял на среднего американца так, что он мог бы реально это почувствовать на себе, но SolarWinds была чертовски близка к этому, — сказал мне недавно Джеймс Гослер. — Это же так заманчиво! От SolarWinds всего один шаг до национальной электросети. А если средний американец этого не чувствует? Что может произойти дальше?».
___________________________________________________________________________________
Николь Перлрот, обозреватель по вопросам кибербезопасности в The Times, является авто-ром готовящейся к выходу книги «Вот как мне говорят мне, что мир скоро закончится».
* Запрещена в РФ
** Запрещена в РФ