Книга: IT как оружие: Какие опасности таит в себе развитие высоких технологий
Назад: Глава 4. Кибербезопасность: тревожный звонок для всего мира
Дальше: Глава 6. Социальные сети: свобода, которая нас разобщает
Глава 5

ЗАЩИТА ДЕМОКРАТИИ:
«Республика — если вы сможете сохранить ее»

В 1787 г. после того, как Конституционный конвент в Филадельфии завершил свою работу, Бенджамина Франклина спросили, когда он выходил из зала Independence Hall, на какой форме правления остановились делегаты. Его ответ всем хорошо известен: «Республика — если вы сможете сохранить ее». Эта фраза оказывает влияние на всю страну вплоть до наших дней. Она подчеркивает, что демократическая республика — не просто новая форма правления, что она требует бдительности, а временами и действия для ее защиты и поддержки.

На протяжении большей части американской истории под действием понималось участие граждан в голосовании, исполнение гражданского долга, а иногда и принесение в жертву своей жизни. В отдельные поворотные моменты оно подразумевало мобилизацию производства, подобную той, которая помогла Америке победить во Второй мировой войне. История показывает, что бдительность терять нельзя никогда, поскольку потребность в действии возникает неожиданно.

Потребность в бдительности проявилась неожиданно поздно вечером в одно из воскресений в июле 2016 г. Львиную долю предшествующих двух недель я потратил на посещение национальных съездов Республиканской и Демократической партий в Кливленде и Филадельфии. Мои выходные были заняты наверстыванием упущенного на работе, и я уже собирался закруглиться, когда получил электронное письмо с пометкой «срочное». Открывая его, я даже представить не мог, что оно станет началом масштабной кампании по защите демократии, которая превратится в испытание для технологического сектора и вызов для всей отрасли.

Письмо прислал Том Берт, заместитель главного юрисконсульта Microsoft. В строке «тема» значилось «Срочный вопрос по DCU». Аббревиатурой DCU в Microsoft обозначали Центр по борьбе с киберпреступностью, одну из команд, находящихся в подчинении Тома. Мы создали его 15 лет назад, и, как ни странно, до сих пор остаемся единственными в технологическом секторе, у кого есть такое подразделение. В его состав входят более сотни человек в разных концах мира, в том числе бывшие сотрудники прокуратуры и следователи, высококлассные судебные эксперты, специалисты по анализу данных и бизнес-аналитики. DCU родился в процессе нашей борьбы с контрафактом в 1990-х гг. и превратился в спецгруппу, работающую с правоохранительными органами, когда новые формы преступной деятельности стали распространяться в интернете.

В пятницу, за 10 дней до национального съезда Демократической партии в 2016 г., WikiLeaks опубликовала электронные письма, похищенные русскими хакерами в Национальном комитете Демократической партии. Эта новость не сходила с заголовков на протяжении всей недели, пока продолжался съезд. За это время наш Центр по обнаружению киберугроз (MSTIC) выявил новую попытку взлома, осуществленную группой Strontium. Под этим именем у нас значится русская хакерская группа, которая известна так же, как Fancy Bear и APT28. Команда Тома хотела развернуть юридическую атаку в ближайший вторник, чтобы остановить Strontium.

ФБР и разведывательное сообщество связывало Strontium с ГРУ — главным управлением российской военной разведки. Том сообщал, что Strontium использует сервисы Microsoft для получения несанкционированного доступа к переписке политических деятелей и кандидатов, в том числе к учетным записям, принадлежащим Национальному комитету Демократической партии и штабу президентской кампании Хиллари Клинтон. Иначе говоря, мы оказывались в самой гуще событий.

MSTIC следил за действиями Strontium с 2014 г., с тех пор, когда эта группа стала заниматься фишингом, т.е. рассылкой искусно составленных электронных писем с предложением перейти по ссылке на вроде бы заслуживающие доверия веб-сайты, в именах некоторых из которых фигурировало название Microsoft. Затем Strontium с помощью специальных инструментов занималась перехватом вводимых с клавиатуры паролей, сбором электронных адресов, файлов и другой информации на чужих компьютерах. Группа даже заражала связанные USB-накопители, чтобы через них получать данные с других, физически отделенных компьютеров, не находящихся в сети.

Группа Strontium была не только более продвинутой, но и более упорной, чем прочие преступные хакерские группировки, — ее фишинговые послания бомбардировали целевых получателей продолжительное время. Успешный обман держателей ценной информации, по всей видимости, окупал затраченные на него средства.

Хотя о подобных приемах знают многие пользователи компьютеров, им очень трудно противостоять. Как написал в своем твите один из представителей компании по сетевой безопасности RSA на ежегодной конференции в Сан-Франциско, «в любой организации найдется хотя бы один сотрудник, который будет кликать все подряд». Расчет делается на естественное любопытство, а также на беспечность людей. Проанализировав действия хакеров, мы обнаружили, что после успешного получения доступа к учетной записи электронной почты они в первую очередь ищут ключевое слово пароль. Поскольку у людей накапливаются пароли для доступа ко многим сервисам, они, чтобы не забыть их, нередко отправляют себе письма со словом «пароль», которые становятся легкой добычей хакеров.

В июле 2016 г. MSTIC зафиксировал попытки Strontium зарегистрировать новые интернет-домены, предназначенные для кражи пользовательских данных. Эта группа использовала в их составе имя Microsoft (например, Microsoftdccenter.com), чтобы придать им сходство с реальным сервисом компании Microsoft. DCU потратил целый уик-энд на выработку юридической стратегии решения этой проблемы, и, как сообщал в воскресенье Том, они были готовы реализовать свой план по блокированию таких сайтов.

План строился, исходя из нового юридического и технического подхода, который DCU предложил ранее. Мы должны были отправиться в суд, заявить, что Strontium нарушает право на использование торговой марки Microsoft, и на этом основании потребовать передачи DCU контроля над новым интернет-доменом. В некотором смысле это было необычно, однако довольно очевидно. Закон о торговых марках существует уже не одно десятилетие, и в настоящее время он предусматривает запрет на включение кем-либо без разрешения зарегистрированных наименований вроде Microsoft в имена веб-сайтов.

С технической точки зрения мы должны были затем создать в аналитической лаборатории DCU безопасную «ловушку», изолированную от нашей сети. Ловушка предназначалась для перехвата сообщений, отправляемых с зараженных компьютеров на командный сервер Strontium. Цель заключалась в установлении контроля над сетью Strontium, идентификации зараженных клиентов и последующем индивидуальном лечении зараженных устройств пользователей.

Идея мне понравилась. Это был классический пример, показывающий, зачем мы создали DCU — чтобы открыть возможность нашим юристам и инженерам для сотрудничества и поиска новых подходов, приносящих реальную пользу клиентам. Хотя обращение в суд не гарантировало успеха, Том смотрел на наши шансы оптимистично и рекомендовал подать жалобу в федеральный суд в штате Вирджиния во вторник утром. Я дал на это добро.

Одним из аспектов этого нового подхода был расчет на легкую победу — мы практически не сомневались в том, что хакеры не посмеют появиться в суде. Разве они могли решиться на такое? Это означало бы признание подсудности и даже возможности судебного преследования. Команде DCU удалось сделать нечто такое, к чему мы всегда стремились, но чего, как правило, было трудно добиться. Наша юридическая стратегия превратила силу хакеров — способность оставаться в тени — в их слабость.

Мы выиграли судебное дело, взяли под контроль интернет-домены и начали контактировать и работать с пострадавшими. Хотя судебные материалы были открытыми и в одном специализированном издании сообщалось о наших действиях, остальная пресса не обратила на дело никакого внимания. Мы почувствовали уверенность и расширили эту практику. Мы обращались в суд 14 раз, взяли под свой контроль 90 доменов Strontium и убедили суд назначить отошедшего от дел судью в качестве специального представителя, который мог быстро отвечать на наши запросы.

В начале 2017 г. мы обнаружили хакерскую активность, направленную против предвыборных штабов кандидатов на пост президента Франции. Информация об этом была направлена в штабы, а также в агентство национальной безопасности Франции с тем, чтобы они могли принять меры по защите. Мы использовали свои возможности по анализу данных для идентификации существующих и новых тенденций, а также разработали алгоритм искусственного интеллекта (ИИ), позволяющий предсказывать доменные имена, на которые хакеры могут претендовать в будущем. Вместе с тем ничего из этого нельзя было считать панацеей. Мы участвовали в очередном раунде игры в кошки-мышки. Только у кошки на этот раз были более острые когти.

К сожалению, и мышки действовали все изощреннее, причем так, что никто до конца не понимал этого во время президентской гонки в США. В 2016 г. русские превратили украденную электронную переписку в оружие и публично скомпрометировали руководителей избирательной кампании Хиллари Клинтон и Национального комитета Демократической партии.

В 2017 г. они расширили эту схему во Франции, где слили в сеть подлинные и фальсифицированные электронные письма, связанные с президентской кампанией Эмманюэля Макрона. Хотя Microsoft DCU и другие команды из технологической отрасли нашли новые пути борьбы с этой проблемой, очень скоро стало очевидно, что русские тоже не стоят на месте.

Мы следили за деятельностью группы Strontium по всему миру. Ее щупальца протянулись к целям более чем в 90 странах, причем наибольшая активность наблюдалась в Центральной и Восточной Европе, Ираке, Израиле и Южной Корее.

В обычной ситуации Соединенные Штаты и их союзники по НАТО решительно выступили бы против этого единым фронтом. Однако в этот раз все было не так. Поскольку инциденты в Соединенных Штатах были тесно связаны с вопросом законности президентских выборов 2016 г., от потенциальных двухпартийных дискуссий отказались. На встрече с двухпартийной группой наших политических консультантов в Вашингтоне я настаивал на том, что обе партии подставляют нас. Многие республиканцы не хотели выступать против русских из-за того, что это, на их взгляд, бросало тень на республиканского президента. А некоторым демократам, похоже, больше нравилось критиковать Дональда Трампа, а не предпринимать эффективные действия против России. Как результат, на наших глазах рушился тот столп, на котором держалась защита демократии после Второй мировой войны, — единство двухпартийного общества, основа лидерства США, обеспечивающего сплоченность наших союзников по НАТО. Когда я поделился своим разочарованием, один из консультантов сказал: «Добро пожаловать в Вашингтон». Остальные закивали в знак согласия.

Казалось, что технологический сектор не сможет переломить ситуацию самостоятельно. В конце 2017 г. призыв что-то сделать прозвучал из уст представителей правительства во время визита в Испанию и Португалию, очень обеспокоенных действиями русских хакеров. Несмотря на нарастающее давление и ясное признание необходимости дополнительных мер, было трудно получить поддержку общественности без открытого и более целенаправленного обсуждения того, что происходило.

Одна из самых больших проблем заключалась в том, как вести публичный разговор об угрозах. Лидеры хайтека не очень-то хотели выступать от своего имени, в их числе и мы сами. Мы были компаниями, а не правительствами, и, хотя критика со стороны властей раздавалась в наш адрес не единожды, мы не привыкли к обвинениям в том, что какое-то иностранное государство злоупотребляет нашими платформами и сервисами. Вместе с тем становилось все более очевидно, что своим молчанием мы продлевали существование тех самых угроз, которым хотели положить конец.

Мы боролись с «русской проблемой» своими силами. Публичное обсуждение связи российского правительства с хакерскими атаками могло негативно отразиться на наших деловых интересах и работниках в этой стране. Мы старались убедить клиентов в частном и государственном секторах России в том, что наши сложности во взаимоотношениях с их правительством не приведут к отказу от сотрудничества с ними и страной в целом. В конце концов, мы уже пять раз подавали иски против собственного правительства при Обаме и Трампе. Мы не деликатничали с администрацией Трампа, когда дело дошло до вопросов иммиграции. Это вовсе не означало прекращения нашей работы в Соединенных Штатах. Однако как мы будем выглядеть в мире, если станем критиковать США за слежку и политику в отношении иммигрантов и помалкивать о действиях России против демократических стран?

В конце 2017 г. мы зарегистрировали всплеск хакерской активности с использованием наших почтовых сервисов, которая, по всей видимости, была нацелена на действующих сенаторов и связана с подготовкой к промежуточным выборам в 2018 г. Мы предупредили об этом офисы сенаторов до того, как хакерам удалось взломать какую-нибудь учетную запись. Желающих публично комментировать сорванную атаку не нашлось, поэтому мы тоже промолчали.

В июле 2018 г. Том Берт выступал на Аспенском форуме по безопасности и на заседании специализированной секции сообщил о том, что мы выявили и помогли пресечь две фишинговые атаки против членов конгресса, которые готовились к перевыборам. Он не назвал имен, и пресса уделила его сообщению сравнительно мало внимания. Однако новостной веб-сайт The Daily Beast не поленился покопаться в этом деле и определил, что одним из двух объектов атаки была сенатор Клэр Маккэскилл от штата Миссури. В прессе после этого неожиданно поднялась волна интереса, и очень скоро до нас дошли слухи, что в ситуационной комнате Белого дома состоялось совещание по теме. Как результат, Маккэскилл сделала то, что надо было сделать еще тогда, когда мы впервые обратились к ее персоналу, — она выступила с жестким заявлением, в котором говорилось: «Хотя атака закончилась неудачей, с рук им это не сойдет. Они меня не запугают».

Эта история высветила один важный момент. Обсуждение подобных атак было для аппарата конгресса таким же непривычным делом, как и для нас. Если мы начинали разговор на уровне его IT-службы, процесс принятия решения зацикливался и растягивался на месяцы, что фактически означало замалчивание проблемы. Но если вопрос попадал в верхние эшелоны организации, то получить ответную реакцию было не так уж трудно.

Хотя более открытое обсуждение имело большое значение, мы, как провайдер онлайновых сервисов, понимали, что должны идти дальше. Было решено разработать конкретную программу усиления защиты кандидатов политических партий, кампаний и имеющих к ним отношение групп от вмешательства с использованием интернет-технологий. Программа получила название AccountGuard. Защита должна была предоставляться бесплатно политическим группам и отдельным людям, которые пользовались почтовой службой и другими сервисами в составе нашего продукта Office 365. MSTIC должен был активно следить за активностью других государств и уведомлять штабы избирательных кампаний в случае обнаружения признаков атаки.

Мне понравилась такая инициатива, однако мы понимали, что AccountGuard — это лишь часть ответа. Если лидеры свободного мира решили более активно противодействовать расширению вмешательства в выборы, то для технологического сектора наступил момент более ясно изложить свое видение ситуации.

Объявление о развертывании программы AccountGuard стало хорошим поводом для этого. В последнее время мы были свидетелями того, как Strontium создала шесть веб-сайтов, явно ориентированных на американских политиков. Три из них были сфокусированы на сенате США, а два заслуживали особого внимания. Целью одного из этой пары, похоже, был Международный республиканский институт, ведущая организация, которая провозгласила своей целью поддержку демократических принципов по всему миру. Другой, по всей видимости, предназначался для атаки Гудзоновского института, центра консервативной мысли, который резко выступал против политики и тактики России. Все вместе это явно говорило о том, что группа Strontium замахивалась не на одних демократов, а на оба крыла американской политической системы.

DCU обеспечивал исполнение судебного предписания о передаче нам контроля над всеми шестью сайтами. Мы для себя решили, что обязаны принимать меры до того, как взломают чью-нибудь учетную запись. Вопрос теперь заключался в том, насколько открытыми нам следовало быть в этой сфере. Понятно, что необходимы активные дебаты разных групп внутри Microsoft. Но, помимо этого, пришла пора развертывать более широкую публичную дискуссию, особенно с учетом того, что хакерские атаки затрагивают обе политические партии.

Целую неделю у нас шел живой внутренний спор, который завершился звонком в мой офис в пятницу утром. Мы решили связаться с главами двух частных организаций и представителями сената и поставить их в известность о наших планах выступить с заявлением во вторник на следующей неделе.

Руководители обеих организаций практически сразу поддержали наши действия. Как выразился один из них, атаки в каком-то смысле были «знаком почета», признанием важности того, чем они занимаются. К объявлению о начале реализации программы AccountGuard мы добавили информацию об этих новых атаках и недвусмысленное указание на то, что шесть веб-сайтов были созданы «группой, которую многие связывают с правительством России и называют Strontium, Fancy Bear или APT28». Таким образом, мы впервые прямо назвали Россию источником этих атак. Через несколько дней это же сделали Facebook и Google, которые занимались удалением дезинформации и фиктивных учетных записей со своих сайтов.

Хотя речь о достижении нашей конечной цели не шла, такое событие показывало, как далеко вперед ушел технологический сектор после 2016 г. Теперь, когда отрасль предприняла эти шаги, в прессе появились призывы к правительству США не отставать от нас. Это создавало то, что, как мы надеялись, станет новым фундаментом для совместных и более широких действий. Как я заметил во время выступления в телевизионной программе PBS NewsHour, нам необходимо «отбросить разногласия и вместе встать на защиту нашей демократии от подобных угроз».

Стоит ли удивляться тому, что российское правительство без энтузиазма восприняло жесткую позицию технологического сектора. В ноябре 2018 г. один из сотрудников Microsoft в Редмонде обратился за визой для участия в работе конференции по искусственному интеллекту в Москве. Его пригласили на «собеседование» в российское посольство в Вашингтоне, до которого от Редмонда было более чем 3000 км. Когда он вошел в комнату для собеседований, чиновник консульской службы протянул ему конверт и предложил ознакомиться с двумя находящимися внутри документами. Затем чиновник попросил нашего сотрудника отвезти их в Редмонд и передать руководству Microsoft. На собеседование и получение визы ушло меньше пяти минут.

Вскоре я получил электронное письмо, в которое были вложены те два документа. Это была англоязычная версия официальных российских газетных сообщений. В обеих детально разбирались мои заявления, сделанные в августе того года, и указывалось, что российское правительство не согласно с моими оценками. Как говорилось в одном из сообщений, «российское руководство неоднократно опровергало обвинения во вмешательстве в выборы за рубежом, в том числе обвинения в хакерских атаках».

Российское послание в адрес Microsoft было отражением той ситуации, в которой сейчас оказались многие американские технологические компании. С одной стороны, американские политики по понятным причинам вынуждали нас занять твердую позицию в отношении хакерских атак со стороны иностранных государств. С другой стороны, это вело к давлению иностранных государств на технологические компании.

По мере того, как полная картина действий России обретала очертания, становилось очевидно, что электронная почта является не единственной цифровой технологией, которую можно превратить в оружие. Один из важных аспектов управления риском заключается в том, что нужно принимать в расчет не только наиболее вероятный риск, но и тот риск, пусть даже очень маловероятный, который связан с наибольшим ущербом. Если рассматривать цифровые риски для демократии, трудно представить что-либо более ужасное, чем потенциальный взлом комплекса обработки избирательных бюллетеней или искажение результатов голосования. Только представьте, что после завершения голосования появляется новость о взломе нашей системы голосования иностранным государством и невозможности исправить его последствия. Перефразируя Франклина, сможем ли мы «сохранить республику», если общество потеряет уверенность в том, что объявленные результаты голосования соответствуют действительным?

Мир уже стал свидетелем того, как одно из государств прощупывало возможность искажения результатов голосования. Эксперты обнаружили уязвимости во многих автоматических системах голосования, аппаратное и программное обеспечение которых создавалось в начале 2000-х гг. Хотя на решение этой проблемы из бюджета выделяется все больше средств, для устранения очевидной уязвимости устаревающих компьютерных систем необходимы более широкие действия.

Это проблема, в решении которой должен участвовать технологический сектор. Инновационные инициативы уже появляются, в том числе и у Microsoft, где в мае 2019 г. была представлена ElectionGuard, безопасная система голосования, защищающая индивидуальные бюллетени и результаты их подсчета. В этой системе на основе открытого программного обеспечения используются недорогие стандартные аппаратные средства и лучшие достижения старой и новой технологии. Избиратель выбирает кандидатов на электронном экране, результаты переносятся в бюллетень, который распечатывается и опускается в урну с тем, чтобы впоследствии в случае необходимости можно было провести проверку. Избиратель также получает распечатку с индивидуальным номером, под которым в зашифрованном виде хранятся записи о его выборе. Правильность этих записей можно проверить через интернет. В целом такое решение обеспечивает правильный и надежный учет каждого поданного голоса. Именно такой подход необходим, если мы хотим защитить демократию и создать условия для ее нормального функционирования.

Угроза кибератак против избирательных кампаний и процесса голосования вряд ли кого серьезно волновала еще десятилетие назад. Сегодня она стала реальностью, о которой говорят ежедневно в новостях. Демократические правительства и промышленность работали вместе на победу во время мировой войны в 1940-х гг., точно так же они должны выступать единым фронтом в защиту мира и в наши дни.

Учитывая, что авторитарные режимы продолжают свои эксперименты с кампаниями по дезинформации, впереди нас ждут еще более сложные проблемы.

Назад: Глава 4. Кибербезопасность: тревожный звонок для всего мира
Дальше: Глава 6. Социальные сети: свобода, которая нас разобщает