- PVSM.RU - https://www.pvsm.ru -

Пятилетний бэкдор и вечная борьба со сквозным шифрованием — темы, которые не обсудили в СМИ

Продолжаю [1] рассказывать о том, что осталось за бортом российских технологических площадок. Сегодня все в контексте ИБ и работы с персональными данными.

Фото: William Brawley, CC BY
Фото: William Brawley, CC BY

Простор для кибершпионажа

Бэкдор BPFdoor не замечали более пяти лет. В прошлом году PwC опубликовали соответствующий отчет [2], но на проблему западные площадки [3] обратили внимание только в мае, хотя, казалось бы, новые зловреды появляются каждый день, и их активно обсуждают.

Но BPFdoor особенный — ему не нужны открытые порты, его не блокируют файрволы, он принимает команды с любого «айпишника». Бэкдор использует сниффер Berkeley Packet Filter на уровне сетевого интерфейса. Закрепляется в системе через уязвимость CVE-2019-3010 [4]. Она позволяет повышать привилегии пользователя. Далее, на устройство загружаются бинарные файлы, а весь этот процесс маскируется. Для желающих разобраться в коде — есть исходники зловреда [5] (устаревшей версии 2018 года).

По сути, BPFdoor — инструмент для атак на корп. инфраструктуру. Вычислить его все же можно, хотя и сложно. Его следы обнаружили [6] в организациях из США, Южной Кореи, Турции, Индии и многих других. В Elastic отмечают [7] два ключевых маркера зловреда. Первый — запуск бинарников и сетевых подключений из рабочей директории /dev/shm. Второй — появление пустого PID-файла в /var/run.

Битва за end-to-end шифрование

Эта тема — больная мозоль во многих странах. В Великобритании парламент несколько лет рассматривает закон, который обяжет телекомов передавать дешифрованные данные по требованию. На общественное возмущение правительство отвечает [8] пиар-кампанией на 800 тыс. долларов. А в Австралии закон, ограничивающий end-to-end, действует с 2018 года. Там дешифрованные сообщения из мессенджеров доступны правоохранителям по запросу. Инициативу до сих пор подвергают серьезной критике [9].

В Нидерландах идут по следам «коллег» и выступают за «безопасные бэкдоры» в мессенджеры. Слушание по вопросу прошло в начале июня, но министерство экономики страны заблокировало поправки на фоне общественного возмущения. Кроме того, крупные игроки в этой нише грозились [10] уйти из страны. Вообще, термин «безопасный бэкдор» — это оксюморон [11]. Ослабление криптографии рано или поздно приводит к неприятным последствиям, что подтверждают [12] десятки кейсов. Более того, есть другие способы бороться с вредоносным контентом в сети. Например, можно искать подозрительные аккаунты по метаданным.

Есть такой GDPR, помните?

Европейский центр цифровых прав (NYOB) опубликовал заметку, в которой обсудил ситуацию вокруг GDPR. За четыре года закон не гарантировал безопасность персональных данных. Многие компании продолжают собирать информацию о пользователях без их согласия. На то есть несколько причин.

Одна из ключевых — отсутствие последовательного контроля. Первое время регуляторы выписывали многомиллионные штрафы, но сейчас сбавили обороты. Судебные разбирательства идут медленно. NYOB оформили более пятидесяти исков, и все они до сих пор на рассмотрении. Усугубляет ситуацию тот факт, что судебная практика отличается от страны к стране. В этом направлении все и будет развиваться.

Так, в США все больше штатов следуют по пути Калифорнии с их CCPA [13] и реализуют аналоги GDPR. Например, Colorado Privacy Act [14], принятый в прошлом июле. Но корпорации и соц. сети ведут кампанию по ослаблению законодательства в этой сфере. Лобби удалось добиться [15] отмены соответствующего законопроекта в штате Коннектикут. В Вашингтоне Data Privacy Bill не набрал [16] нужное количество голосов уже в третий раз.

Что еще за муниципальный интернет

Появляются [17] потребительские интернет-кооперативы. Они предлагают доступ в сеть, закупая трафик у федеральных операторов. Рост интереса к ним понятен — регулятор пока не закрутил здесь гайки, и кооперативы экономят на выполнении требований закона к интернет-провайдерам. Насколько долго они продержатся — неизвестно. Регуляторы могут ужесточить законы в этой нише в любой момент.

Похожая схема работает в Америке, где отдаленные городки и поселки испытывают сложности с доступом к интернету. Все упираются в стоимость инфраструктуры. Операторам попросту невыгодно тянуть оптоволоконные кабели в слабозаселенные районы. Чтобы решить проблему, муниципальные образования сами прокладывают линии связи. Затем провайдеры просто арендуют пропускные возможности по модели открытого доступа [18]. Количество таких сетей отражено на специальной карте [19] и почти достигло тысячи.

Здесь стоит заметить, что инициативам по формированию такого рода сетей противостоит серьезное лобби. Семнадцать штатов на законодательном уровне запрещают [20] местным комьюнити инвестировать в подобного рода инфраструктуру (или серьезно ограничивают возможности). Посмотрим, как будет у нас.

Это — пробный обзор ситуации. Если захотите поддержать, подписывайтесь в профиле [21]. Что еще у меня есть на хабре и в телеге:

Автор: Dmitry Kabanov

Источник [25]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/375964

Ссылки в тексте:

[1] Продолжаю: https://habr.com/ru/post/667064/

[2] опубликовали соответствующий отчет: https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/cyber-year-in-retrospect/yir-cyber-threats-report-download.pdf

[3] площадки: https://www.bleepingcomputer.com/news/security/bpfdoor-stealthy-linux-malware-bypasses-firewalls-for-remote-access/

[4] CVE-2019-3010: https://nvd.nist.gov/vuln/detail/CVE-2019-3010

[5] исходники зловреда: https://pastebin.com/kmmJuuQP

[6] обнаружили: https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896

[7] отмечают: https://www.elastic.co/security-labs/a-peek-behind-the-bpfdoor

[8] отвечает: https://www.eff.org/ru/deeplinks/2022/01/uk-paid-724000-creepy-campaign-convince-people-encryption-bad-it-wont-work

[9] подвергают серьезной критике: https://www.theguardian.com/australia-news/2020/jul/09/australias-world-first-anti-encryption-law-should-be-overhauled-independent-monitor-says

[10] грозились: https://www-nrc-nl.translate.goog/nieuws/2022/06/03/whatsapp-dreigde-te-vertrekken-om-aftapplicht-a4132175?_x_tr_sl=nl&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

[11] это оксюморон: https://news.ycombinator.com/item?id=31618918

[12] подтверждают: https://www.theregister.com/2020/10/28/nsa_backdoor_wyden/

[13] CCPA: https://oag.ca.gov/privacy/ccpa

[14] Colorado Privacy Act: https://coag.gov/resources/colorado-privacy-act/

[15] удалось добиться: https://www.ctpost.com/news/article/Data-privacy-bill-killed-as-legislature-adjourned-16257271.php

[16] не набрал: https://www.seattletimes.com/opinion/restore-washingtons-leadership-on-privacy-legislation/

[17] Появляются: https://www.vedomosti.ru/media/articles/2022/06/10/926003-internet-provaideri-nashli-obhod-zakona

[18] модели открытого доступа: https://en.wikipedia.org/wiki/Open-access_network

[19] специальной карте: https://muninetworks.org/communitymap

[20] запрещают: https://muninetworks.org/content/preemption-detente-municipal-broadband-networks-face-barriers-19-states

[21] в профиле: https://habr.com/ru/users/dmitrykabanov/

[22] Как идет ипортозамещение, переосмысление зарубежного опыта: https://t.me/dalshedalshe

[23] Что можно сказать о российском «чипгейте»: https://habr.com/ru/post/668244/

[24] Технологические темы, которые забыли обсудить (май): https://t.me/vscextv/22

[25] Источник: https://habr.com/ru/post/670872/?utm_source=habrahabr&utm_medium=rss&utm_campaign=670872