Пятилетний бэкдор и вечная борьба со сквозным шифрованием — темы, которые не обсудили в СМИ

Продолжаю рассказывать о том, что осталось за бортом российских технологических площадок. Сегодня новости в контексте информационной безопасности и работы с персональными данными.

Простор для кибершпионажа?

Бэкдор BPFdoor не замечали более пяти лет. В прошлом году PwC опубликовали соответствующий отчет, но на проблему западные площадки обратили внимание только в мае, хотя, казалось бы, новые зловреды появляются каждый день, и их активно обсуждают.

Но BPFdoor особенный — ему не нужны открытые порты, его не блокируют файрволы, он принимает команды с любого «айпишника».

Бэкдор использует сниффер Berkeley Packet Filter на уровне сетевого интерфейса. Закрепляется в системе через уязвимость CVE-2019-3010. Она позволяет злоумышленнику повышать привилегии пользователя. Далее, на устройство загружаются бинарные файлы, а весь этот процесс маскируется. Для желающих разобраться в коде — есть исходники зловреда (правда, значительно устаревшей версии 2018 года).

По сути, BPFdoor — инструмент для атак на корп. инфраструктуру. Вычислить его все же можно, хотя и сложно. Его следы обнаружили в организациях из США, Южной Кореи, Турции, Индии и многих других. В Elastic отмечают два ключевых маркера зловреда. Первый — запуск бинарников и сетевых подключений из рабочей директории /dev/shm. Второй — появление пустого PID-файла в /var/run.

Битва за end-to-end шифрование

Эта тема — больная мозоль во многих странах. В Великобритании парламент несколько лет рассматривает закон, который обяжет телекомов передавать дешифрованные данные по требованию. На общественное возмущение правительство отвечает пиар-кампанией на 800 тыс. долларов. А в Австралии закон, ограничивающий end-to-end, действует с 2018 года. Там дешифрованные сообщения из мессенджеров доступны правоохранителям по запросу. Инициативу до сих пор подвергают серьезной критике.

В Нидерландах идут по следам «коллег» и выступают за «безопасные бэкдоры» в мессенджеры. Слушание по вопросу прошло в начале июня, но министерство экономики страны заблокировало поправки на фоне общественного возмущения. Кроме того, крупные игроки в этой нише грозились уйти из страны. Вообще, термин «безопасный бэкдор» — это оксюморон. Ослабление криптографии рано или поздно приводит к неприятным последствиям, что подтверждают десятки кейсов. Более того, есть другие способы бороться с вредоносным контентом в сети. Например, можно искать подозрительные аккаунты по метаданным.

Есть такой GDPR, помните?

Европейский центр цифровых прав (NYOB) опубликовал заметку, в которой обсудил ситуацию вокруг GDPR. За четыре года закон не гарантировал безопасность персональных данных. Многие компании продолжают собирать информацию о пользователях без их согласия.

На то есть несколько причин. Одна из ключевых — отсутствие последовательного контроля. Первое время регуляторы выписывали многомиллионные штрафы, но сейчас сбавили обороты. Судебные разбирательства идут медленно. NYOB оформили более пятидесяти исков, и все они до сих пор на рассмотрении. Усугубляет ситуацию тот факт, что судебная практика отличается от страны к стране. В этом направлении все и будет развиваться.

Так, в США все больше штатов следуют по пути Калифорнии с их CCPA и реализуют свои аналоги GDPR. Один из примеров — Colorado Privacy Act, принятый в прошлом июле. В то же время корпорации и соц. сети ведут кампанию по ослаблению законодательства в этой сфере. Год назад лобби удалось добиться отмены соответствующего законопроекта в штате Коннектикут. В Вашингтоне Data Privacy Bill не набрал нужное количество голосов уже в третий раз.

Что еще за муниципальный интернет

Появляются потребительские интернет-кооперативы. Они предлагают доступ в сеть, закупая трафик у федеральных операторов. Рост интереса к ним понятен — регулятор пока не закрутил здесь гайки, и кооперативы экономят на выполнении требований закона к интернет-провайдерам. Насколько долго они продержатся — неизвестно. Регуляторы могут ужесточить законы в этой нише в любой момент.

Похожая схема работает в Америке, где отдаленные городки и поселки испытывают сложности с доступом к интернету. Все упираются в стоимость инфраструктуры. Операторам попросту невыгодно тянуть оптоволоконные кабели в слабозаселенные районы. Чтобы решить проблему, муниципальные образования сами прокладывают линии связи. Затем провайдеры просто арендуют пропускные возможности по модели открытого доступа. Количество таких сетей отражено на специальной карте и почти достигло тысячи.

Здесь стоит заметить, что инициативам по формированию такого рода сетей противостоит серьезное лобби. Семнадцать штатов на законодательном уровне запрещают местным комьюнити инвестировать в подобного рода инфраструктуру (или серьезно ограничивают возможности). Посмотрим, как будет у нас.

Это пробная версия подборки тем, о которых не писали в русскоязычных медиа. Если захотите поддержать, подписывайтесь в профиле и жмите на колокол. Что еще у меня есть на vc.ru и в телеге:

2929
2 комментария

Проблема соотношения безопасности и приватности - столь же вечная, как единство и борьба противоположностей, хаоса и порядка. Здесь, кажется, нет ни идеального, ни единого для всех, ни долговременного решений.
Обычно наиболее эффективны в таких сферах вырабатываемые законодателями и практиками цели, принципы и методы.
В GDPR их много, и европейское правосудие, в целом, достаточно успешно и эффективно в применении и использовании таких абстрактных и оценочных категорий.
Не думаю, что кто- то спорит с тем, что ограничения приватности пользователей в целях безопасности должны быть строго необходимыми и достаточными. Иначе - вмешательство в частную жизнь.
Другое дело, что добывание пользовательских данных и их использование в коммерческих целях - лоббируют, конечно, все виды операторов. Здесь GPPR тоже ставит заслоны и противовесы. Если этого недостаточно - должны и могут работать антимонопольные механизмы, защита от недобросовестной конкуренции. Насколько этично и законно вообще извлекать сверхприбыль из данных о людях, манипулировать пользователями - предмет общемировых дискуссий и разбирательств, которые, собственно, только в самом начале своего развития.
Ну, а конкретные инструменты шпионажа и противодействия ему - никогда не переведутся, наверное, уже все адекватные пользователи сети это учитывают.

1