Лучший из провалов заднего хода в новейшей истории.

Бэкдоры: Помогут ли они поймать преступников или помогут преступникам?

Бэкдоры к шифрованию - встроенные самими компаниями или обнаруженные как уязвимости - могут иметь серьезные последствия. Чтобы продемонстрировать, что бэкдоры для шифрования, распространяемые политиками, представляют угрозу для безопасности каждого человека в Интернете, мы собрали лучшие провалы бэкдоров в новейшей истории.


Лучшие провалы бэкдоров

Взлом базы данных Microsoft

Взлом базы данных Microsoft в августе 2021 года был описан как одна из “худших облачных уязвимостей, которые только можно себе представить”. Эксперты по безопасности обнаружили уязвимость (не встроенный бэкдор) в инфраструктуре Microsoft Azure, которая позволила им получить бэкдор-доступ к изменению и удалению данных тысяч клиентов Azure. С помощью этой уязвимости охранная компания смогла получить доступ к любой базе данных клиентов, которую они хотели.

Взлом Microsoft Exchange

В начале этого года компания Microsoft также была вынуждена сообщить своим клиентам плохие новости: В январе 2021 года в Microsoft сообщили о нескольких уязвимостях нулевого дня, которые позволяли злоумышленникам удаленно получать доступ к серверам Microsoft Exchange. Однако непропатченные серверы Exchange по-прежнему уязвимы к атакам. Через эту уязвимость системы электронной почты компаний были нацелены на утечку “информации из ряда отраслей промышленности, включая исследователей инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонные подрядчики, аналитические центры и НПО”.

Намеренно встроенные бэкдоры

Помимо таких уязвимостей, которые служат “черным ходом” для злоумышленников в Интернете, существуют также намеренно встроенные “черные ходы”. Они являются самыми страшными, поскольку их можно было бы легко предотвратить, если бы соответствующие компании не создали бэкдор.

Однако секретные службы охотно используют такие бэкдоры в целях шпионажа и, как покажут следующие случаи, активно давят на компании, заставляя их включать бэкдоры в свои продукты.

Наверное, все еще помнят громкое дело швейцарской компании Crypto AG, которая принадлежала ЦРУ (а ранее также БНД) для шпионажа за секретными коммуникациями других стран. Эта компания успешно продавала средства защищенной связи, в частности, правительствам по всему миру, обещая, что все коммуникации будут надежно зашифрованы. На самом деле ЦРУ имело возможность прослушивать секретные коммуникации правительств, использующих продукты Crypto AG.

КомпаниюHuawei также неоднократно обвиняли в том, что в ней установлен черный ход, чтобы китайское правительство могло шпионить за всеми клиентами Huawei. Это вызывает серьезные споры, поскольку Huawei является важным игроком в текущем проекте 5G по всему миру.

Однако наиболее популярным, когда речь заходит о намеренно встроенных бэкдорах, является АНБ. Они ответственны за несколько громких провалов бэкдоров - и продолжают оказывать давление на американские технологические компании с целью заставить их сотрудничать с ними.

Бэкдоры АНБ

Провал бэкдора Juniper

Один из самых известных провалов бэкдора - это провал компании Juniper Networks. В 2017 году криптологи и исследователи безопасности задокументировали громкое криптопреступление, которое стало возможным только благодаря встроенному бэкдору самой компании Juniper. В 2008 году Juniper hab встроила бэкдор в собственную операционную систему ScreenOS, с помощью которого можно было прочитать весь зашифрованный VPN-трафик устройств, если был известен внутренний параметр под названием Q. Это был так называемый бэкдор “Никто, кроме нас” (NOBUS).

Затем в 2012 году неизвестные хакеры проникли в сеть Juniper. По всей видимости, им удалось изменить исходный код ScreenOS и параметр Q в нем. Они лишь изменили блокировку существующего бэкдора. Это означало, что кто-то другой смог прочитать зашифрованные данные VPN открытым текстом.

До сих пор неизвестно, кто завладел этим встроенным бэкдором. Сама компания Juniper заметила неловкую экспроприацию бэкдора NOBUS только три года спустя и отреагировала поспешными аварийными обновлениями в декабре 2015 года.

RSA и генератор случайных чисел

Компания по безопасности RSA получила от АНБ 10 миллионов долларов США за включение генератора случайных чисел Dual Elliptic Curve (Dual_EC_DRBG) в криптобиблиотеку BSafe. Эти 10 миллионов были хорошо вложены. В течение многих лет RSA (сознательно) продавала свою криптобиблиотеку с этим бэкдором, который их клиенты, в свою очередь, встраивали в свои продукты.

Кроме того, RSA позаботилась о том, чтобы Dual_EC_DRBG, который, как известно, был взломан, был включен в открытые стандарты NIST, ANSI и ISO. Все это было раскрыто внутренними документами АНБ, опубликованными Эдвардом Сноуденом в 2013 году.

Китайские хакеры в Google

В 2010 году компании Google пришлось признать, что хакеры взломали ее почтовый сервис Gmail. Совершенно точно известно, что это были китайские хакеры, выполнявшие политическую миссию. Менее известно, что для получения доступа к учетным записям Gmail эти хакеры использовали особый метод, который не всегда доступен даже в сети Google: Для этого они использовали бэкдор, который Google встроил только для узаконенного правительством доступа к электронной почте - так называемого законного перехвата - правоохранительными органами.

Шифровальные бэкдоры - это уязвимости

Эта краткая подборка лучших неудач бэкдоров - я уверен, что есть и другие бэкдоры, которые эксплуатируются - показывает, что нам нужны надежные средства защиты, чтобы защитить себя и свои конфиденциальные данные в Интернете.

Эта подборка лучших неудач бэкдоров подтверждает тот факт, что бэкдоры только для “хороших парней” просто невозможны.

Бэкдоры, даже если они предназначены только для использования правоохранительными органами для поимки преступников, широко открывают двери для любого преступника в Интернете и делают нас уязвимыми для многочисленных угроз. Следовательно, к бэкдорам нужно относиться так же, как и к любым другим уязвимостям. Мы должны понять, что любой шифровальный бэкдор представляет собой серьезный риск для безопасности и ни в коем случае не должен быть разрешен.

Вместо того чтобы призывать к усилению слежки, как это часто делается в продолжающихся крипто-войнах, политики должны выступать за безопасность каждого человека в Интернете - и при этом они должны быть честными: невозможно добиться большей безопасности, ослабив ее.