Мы не знаем механизма принятия правительством решений о том, какие уязвимости раскрывать, а какие нет. Мы знаем только, что право голоса в этом вопросе имеют лишь организации, посвященные в проблему конкретной уязвимости. По-видимому, никто в VEP не берет на себя такую ответственность, а частные лица, которые могут пострадать от данной уязвимости, вообще не фигурируют в этом процессе.
Очевидно, что VEP предпочтет сохранять в тайне уязвимости с мощным наступательным потенциалом, независимо от степени их опасности для всех нас. Например, ETERNALBLUE{333} – критическая уязвимость Windows, которую хакерская группировка Shadow Brokers выкрала в 2016 г., – считалась вполне подходящей именно для сохранения в тайне, а не для раскрытия. Такой подход{334}, позволяющий столь серьезной уязвимости в широко распространенной ОС оставаться неисправленной в течение более пяти лет, граничит с безумием и не очень вяжется с принципами национальной безопасности.
Подобные примеры вызывают обеспокоенность тем, что процедура VEP приводит к чрезмерному накоплению уязвимостей. Одни и те же проблемы в области компьютерной безопасности обнаруживаются независимыми экспертами{335} гораздо чаще, чем можно было бы предположить. Происходит это потому, что сразу несколько исследовательских групп занимаются изысканиями в одних и тех же областях информатики в течение довольно ограниченного промежутка времени. Это означает, что, если правительство США{336} выявило некую уязвимость, вполне вероятно, что кто-то другой вскоре обнаружит ее в ходе независимого исследования. Кроме того, принцип NOBUS не учитывает{337} возможность похищения уязвимостей, как это было с ETERNALBLUE. Следует признать, что и у АНБ, и у ЦРУ уже похищались (и были публикованы) правительствами других стран инструменты для кибератак, а также уязвимости, атаки на которые невозможно отразить. Среди них были довольно серьезные уязвимости{338} Windows, которые АНБ использовало в течение многих лет. Убежденность{339} в защищенности своих систем потерпела крах.
Кроме того, мы не знаем, сколько уязвимостей проходит через VEP. В 2015 г. было объявлено, что правительство США раскрывает 91 % обнаруженных им уязвимостей, однако остается неясным, относится ли эта цифра к уязвимостям, которые можно использовать в качестве оружия, или к общему числу уязвимостей. Без знания «общего знаменателя» такая статистика совершенно бессмысленна.
Мое предположение о деятельности VEP схоже с мнением, высказанным Джейсоном Хили:
Каждый год правительство накладывает запрет на разглашение очень небольшого числа по-настоящему серьезных уязвимостей – не больше десяти. Кроме того, по нашим оценкам, у правительства, вероятно, есть небольшой «арсенал» средств для полноценной кибератаки, насчитывающий несколько десятков способов – не сотни и не тысячи, как предполагают другие эксперты. Похоже, что правительство США пополняет этот арсенал буквально по каплям.
Наконец, мы не знаем, какие классы уязвимостей рассматриваются VEP-экспертами, а какие нет. Судя по всему, этой процедуре подвергаются все уязвимости, обнаруженные правительством, точнее АНБ, которое, похоже, можно считать чуть ли не единственным держателем этой информации. Но едва ли VEP занимается уязвимостями, приобретенными у третьих лиц или основанными на неудачных проектных решениях, таких как наличие пароля по умолчанию. А вот насчет уязвимостей, которые АНБ находит после проникновения в иностранные сети и кражи их кибероружия, мы, по сути, ничего не знаем.
Но мы все же знаем, что уязвимости ежегодно рассматриваются и переоцениваются, и это очень хорошо. Ни в одной другой стране нет ничего подобного – по крайней мере, публично об этом не заявлялось. Практически ни одна страна не стала бы говорить о своих слабых местах в цифровой безопасности просто для того, чтобы улучшить отношения с остальным миром. Европейские страны закрыты в этом отношении, но мне известно, что Германия разрабатывает политику раскрытия информации.
Есть и другие факторы, влияющие на деятельность VEP. Кибероружие в чем-то схоже с бомбардировщиком. У него есть «заряд» (вирус или иное действие, которое наносит урон противнику) и механизм доставки (уязвимость, используемая для доставки «бомбы» во вражескую сеть). Представьте теперь, что Китай знает о некоторой уязвимости [США] и встроил ее в кибероружие, которое пока еще не применялось, а АНБ узнает об этом посредством шпионажа. Должно ли АНБ раскрыть уязвимость и помочь ее исправить, или же найденное оружие стоит приберечь для собственных атак? Если идти путем раскрытия, то мы выведем из строя китайское оружие, однако Китай может найти замену этой уязвимости, о существовании которой АНБ не узнает. Если же мы прибережем этот секрет для себя, то намеренно сделаем США уязвимыми для кибератак. Возможно, когда-нибудь мы будем исправлять уязвимости быстрее, чем противник сможет использовать их для атаки, но пока до этого далеко.
Неисправленная уязвимость угрожает всем, но в разной степени. В частности, США и другие западные страны подвержены более высокому риску из-за наличия у нас большого объема критически важной электронной инфраструктуры, интеллектуальной собственности и финансового богатства. А такие страны, как Северная Корея, подвержены гораздо меньшему риску, поэтому у них и намного меньше стимулов устранять уязвимости. Решение проблем компьютерной безопасности не является разоружением, поскольку позволяет странам намного лучше защититься. Благодаря этому процессу мы также приобретаем или закрепляем за собой моральное право вести переговоры о сокращении кибероружия во всем мире; более того, мы можем принять решение не использовать его, даже если другие страны не согласятся поступить так же.
Большинству наблюдателей{340} понятно, что VEP очень далек от демократичности. Несмотря на попытку Джойса добиться прозрачности, у общественности нет возможности судить об эффективности мер в рамках процесса киберразоружения. Но из того, что нам известно о результатах деятельности VEP, его секретность не создает необходимого баланса между «бонусами» и в действительности пока еще мы плохо{341} защищены.
Рик Леджетт прав, говоря, что наши враги будут продолжать накапливать засекреченные уязвимости независимо от того, как решит поступить Америка. Но если мы предпочтем раскрывать слабые места в киберпространстве, произойдут четыре вещи. Во-первых, уязвимости, которые мы раскрываем, в конечном счете будут исправлены, так что их не останется ни у кого. Во-вторых, общая компьютерная безопасность будет возрастать по мере обнаружения и исправления нами ошибок. В-третьих, мы подадим пример другим странам и сможем дать толчок глобальным переменам в данной области. И в-четвертых, только тогда, когда такие организации, как АНБ и ЦРУ, добровольно откажутся от инструментов кибернетической агрессии, мы сможем убедить их впредь твердо стоять на стороне защиты, а не нападения. Если эти четыре пункта будут реализованы, мы сможем добиться прогресса в обеспечении безопасности интернета+ для всех.
Недостаточно только искать уязвимости в существующих программных системах. Слишком часто правительства вмешиваются в стандарты безопасности не для того, чтобы обеспечить их надежность, а, наоборот, чтобы ослабить их. То есть и здесь власти отдают предпочтение агрессии, а не защите.
Возьмем, например, IPsec – стандарт шифрования и аутентификации для пакетов данных интернета. В 1990-е гг. Целевая группа по проектированию интернета (Internet Engineering Task Force) – общественная многосторонняя группа, занимающаяся разработкой стандартов для интернета, – начала обсуждать стандарты, предназначенные для защиты от самых разных атак. Участвовало в этом процессе и АНБ, причем оно сознательно работало над тем, чтобы сделать протокол менее безопасным. В частности, агентство настойчиво предлагало внедрить небольшие на первый взгляд изменения, которые тем не менее заметно ослабляли безопасность протокола. Упирая на слабый на тот момент стандарт шифрования, АНБ продвигало вариант без шифрования, тормозило процесс принятия решений и в целом настолько усложнило стандарт, что его реализация была бы и слишком трудоемкой, и небезопасной. Я оценивал этот стандарт в 1999 г. и пришел к выводу, что его излишняя сложность «разрушительно»{342} сказывается на безопасности. Даже сегодня сквозное шифрование пока еще не повсеместно распространено в интернете, хотя применяется все чаще и все более совершенствуется.
Вот еще пример. Многие считают, что вмешательство АНБ в засекреченный процесс правительственной стандартизации цифрового сотового шифрования обеспечило как легкость взлома алгоритмов, используемых для шифрования голосового трафика между телефоном и вышкой, так и отсутствие сквозного шифрования между двумя взаимодействующими сторонами. В результате ваши разговоры по мобильному телефону можно легко прослушивать.
Оба случая вмешательства, вероятно, были частью программы{343} АНБ под названием BULLRUN, цель которой – ослабление стандартов общественной безопасности. (Аналогичная программа в Великобритании называлась Edgehill.) И в обоих этих случаях получившиеся небезопасные протоколы связи использовались как иностранными правительствами, так и преступниками для слежения за частными лицами.
Иногда правительство вмешивается в стандарты безопасности на законодательном уровне. Например, в 1994 г. в США был принят акт, известный как CALEA