КОНТИНЕНТ - Новости и аналитика актуальных событий в мире, мнения и комментарии экспертов и обозревателей
Компьютерная безопасность в «облаках»: Signal и многолетний бардак Белого Дома
Оставайтесь в курсе последних событий! Подписывайтесь на наш канал в Telegram.
Photo copyright: Gage Skidmore
К вопросу о скандале в благородном семействе слуг нашего народа – нынешних и бывших. Последние, естественно, не могут успокоиться: Камала и компания с треском провалились. Обидно же! Вот и приходится перья в бандану вставлять, вымазаться красной глиной с ног до головы и с томагавком наперевес кидаться на условного Трампа. Подвернулся случай с Signal – и «демократы» снова на тропе войны.
О чем это я? Чтобы не тратить ваше время, если мой «нарратив» вам не по душе. Словесной трескотни вокруг полно, а вот голоса профессионалов о Signal почти не слышны. За 25 лет карьеры я 15 лет отработал специалистом по информационной безопасности – или, проще говоря, по компьютерной безопасности (разница есть, но для простоты сойдет). Четыре года в DoD/Navy, еще четыре, с перерывами, в DoT. Так что предмет этих хаотичных дискуссий мне знаком и с технической, и с юридической стороны. Постараюсь объяснить, что произошло на самом деле и почему, опираясь на факты из собственного опыта, исследований и публикаций. Чтобы не было скучно. Но наберитесь терпения – предыстория тут важна.
Кстати, «демократы» – это те, что за «демократию», то есть за «народовластие». Мол, народ у руля. А вспомните, когда в истории нашей цивилизации народ действительно управлял? Я – нет. Помню разве что мнение товарища Ленина: кухарка может управлять государством. Но даже в большевистской хунте таких не водилось. Так что «демократия» – это оксюморон и симулякр: вещь, отрицающая сама себя, и плод больного воображения, выдаваемый за реальность. В Конституции США, кстати, ее нет. Там есть свобода.
Получается, партия оксюморона и симулякра – это по сути своей противоположность: партия тоталитаризма, отстаивающая выдуманную, несуществующую систему управления. Неудивительно, что она напоминает толпу, выпавшую из сумасшедшего дома вместе с кучкой слегка свихнувшихся психиатров, которые ею рулят.Вернемся к нашему плетню. Смешно и грустно одновременно. Оксюмороно-симулякры кинулись якобы защищать компьютерную безопасность, которой в правительстве США как упорядоченного процесса, соответствующего законам и стандартам, попросту нет. Уточню: в армии и на флоте она есть, часто на высоком уровне, хоть и не без проблем. Но мы говорим о «гражданской» администрации – Белом Доме и его обитателях.
Законы и стандарты на бумаге существуют, но не выполняются – их просто игнорируют. Первая причина – сложность и обилие документов. Чтобы с ними работать, нужен технический и юридический интеллект, работоспособность, здравый смысл и серьезный опыт. Прочесть, например, стандарт NIST SP 800-53 («Security and Privacy Controls for Information Systems and Organizations») на несколько сотен страниц можно, но без технического образования и практики это бесполезно. А в инклюзивной атмосфере гражданских агентств таких кадров почти нет. Вот вам и вторая причина – персонал с ограниченным интеллектом.
Компьютерная безопасность сложна: надо знать законы и стандарты, методы и технологии безопасности, а также сами информационные системы, которые защищаешь. Коротко: технологии быстро эволюционируют, особенно с 2000 года, и учиться приходится много. Проще устроиться в правительство на перекладывание бумажек за 100 тысяч в год – работы вдесятеро меньше, а зарплата и бенефиты те же, если не лучше.
До 2000 года все было тихо и слегка застойно: у каждой организации или компании была своя локальная сеть. IT-ребята занимались и сетью, и безопасностью – хакеры тогда были задумчивыми и не особо агрессивными, до больших перспектив еще не доросли.
Сдвиг начался после краха интернет-пузыря в конце 20-го века. Помните? Хайп, стартапы, IPO, веб-сайты на каждом углу – и лопнуло, потому что деньги эти сайты не приносили. Зато по стране расплодились дата-центры. Особенно преуспел Amazon: построили на миллиарды, а они стоят без дела. Каждая компания и так имела свою сеть. Время шло, деньги утекали, и Amazon начал сдавать простаивающие мощности в аренду – сначала для веб-хостинга, потом вообще для всего. Со временем дошли до идеи программных сервисов. Кто-то предложил назвать это «облаком» – по аналогии с телекоммуникациями. И пообещали: все заботы по IT с ваших слабых плеч на наши сильные, проблем никаких, безопасность на высоте. Сладкая лапша повисла на благодарных ушах.
Тут появился новый слой – IT-менеджеры с MBA, но без технических знаний. Руководить компетентными спецами им не хватало ни ума, ни опыта – ни в IT, ни, тем более, в безопасности. Некомпетентные менеджеры ухватились за «облака», чтобы избавиться от того, чего не понимают. Но если IT можно делать как хочешь, то безопасность – только как надо, по стандартам и законам. Вот и подвох: для локальных сетей стандарты были (тот же NIST SP 800-53), а для «облаков» – нет. Их просто не написали! Для частной конторы это еще ладно – сделали что-то, а там видно будет. Для правительства такой подход незаконен. А другого и не было.Амазону, кстати, все равно: попал в «облако» – плати и бери, что дадим. Не пикнешь.
Пример из жизни. Приходит Обама в Белый Дом на волне энтузиазма – у нас черный президент, круто! В правительстве есть должность федерального шефа IT (FCIO), ответственного за все федеральные системы, кроме DoD, NSA и CIA. Обаме посоветовали Вивека Кундру – местного Остапа Бендера, который пудрил мозги в Вирджинии и Вашингтоне. Образование у него подходящее: четыре года политологии и два года IT-менеджмента. Обама его взял, но на следующий день в Белый Дом явилась ФБР: двух замов Кундры поймали на взятках, пришли и за бывшим боссом. Тех посадили на пять лет, а Кундру Обама прикрыл – отстранил временно, но не сдал.
Вивек вернулся из «отпуска» с идеей: загнать все федеральные системы в «облако». Всем будет дешево, безопасно и красиво – как в сказке. Настрочил документ на 20 страниц, где слово «безопасность» не упоминалось ни разу. Почему? Первое – он понятия не имел о безопасности. Второе – стандартов для «облаков» не существовало. Но разве это остановит энтузиаста? Тем более, речь о больших деньгах – трансфер не бесплатный, а бенефиты соучастникам какие!
Кундра взялся за NASA – одно из крупнейших агентств, 80+ систем. Поехал туда с лекцией о прекрасном будущем. Реакцию слушателей могу описать только русским матом. Тем не менее процесс пошел – Вивек же начальник. Прослужил он два с половиной года: начал перетаскивать NASA в «облако», заключил контракт с Salesforce на 50 миллионов, уволился в июне 2011-го, отсидел полгода в Гарварде (спасибо Обаме) и ушел в Salesforce – куда 50 миллионов и ушли. Просто бизнес.
А что NASA? Через год аудита нашли сотню дыр в безопасности – системы стали практически беззащитны. Хакеры, видимо, пожалели, иначе это был бы конец. С тех пор все агентства потащили в «облака». Даже CIA пару лет назад радостно отчиталась в Facebook о переходе. Ну-ну.
Устали читать? А представьте, как мучились госслужащие. Главный по стандартам NIST выпустил SP 800-144 и SP 800-145 для «облаков», но это невыполнимые требования. Конкретных мер безопасности (security controls) из SP 800-53 для «облаков» нет – они написаны для локальных систем. Ваша система теперь «там», а как ее защищать – неясно.
Когда DoT переползал в «облако», вспомнили обо мне. Я уже спас их однажды, придумав архитектуру Federal Driver Registry System за неделю. И тут за два месяца написал версию мер для «облака» на основе SP 800-53. Хотели за полгода, но я честный – понимал, что они там на ушах стоят.
Думаю, читателю ясен масштаб бардака в федеральных IT-системах. Последний факт: Байденовское правительство дважды сообщило, что мою информацию (и всех остальных за 20 лет) украли с «облачного» ресурса Офиса по управлению и бюджету. Поздравляю китайцев – пусть просвещаются.
Вопли «демократов» – это и есть тень на плетень. Обама начал ненужную (кроме IT-гигантов) перестройку федеральных систем. Мы заплатили из своего кармана миллиарды Амазону, Майкрософту и Гуглу. Как думаете, отблагодарили они Обаму? И чем?Случай с Signal – показатель бардака. Это публичное приложение, а в Белом Доме не рецепты барбекю обсуждают. Аналог – почта Клинтон на публичном сервисе для секретной переписки. Ее хотели посадить, но не вышло. Суть та же: сотрудникам Белого Дома нужны каналы связи без регистрации контента. По закону вся переписка хранится пять лет, как и записи разговоров президента.
Кто притащил Signal? Не команда Трампа – он уже при Байдене работал. Байденовцы ставили его на служебные смартфоны, чтобы обойти закон и регистрацию. Трамповцы унаследовали. Нарушение? Да – установка и использование на служебных устройствах. Это подтверждает: безопасность в Белом Доме в хаосе, ответственного пора уволить.
А что Трамповы энтузиасты? Не слышали о классификации информации? О сетях SIPRNet (секретно) или JWICS (совершенно секретно)? FBI тоже имеет свою сеть. Смартфоны вообще нельзя использовать для конфиденциального – они подключены к интернету и сотовой связи, любой ввод перехватывается. Signal на секретных сетях не работает, но какая разница, если есть групповые имейлы в спецпомещениях?
Шумиха вокруг Signal – пустышка, политическая кампания. Безопасность федеральных систем отвратительна – вот что надо чинить. Использование самодельного приложения для секретных чатов говорит о пещерном уровне понимания чиновников. Решение простое: учиться или нанять профи. Я в 50 лет выучил CISSP за год и сдал экзамен с первого раза. Альтернатива – курс «Безопасность для идиотов».
Кто притащил Signal в Белый Дом? Игрушка одного разработчика и его друга – находка для хакеров, премия Дарвина в кармане. Как фермер, подпиливший столб сарая и уверявший, что крыша упадет мимо. Не упала. Здесь то же самое – очевидная глупость.Эта рассылка с самыми интересными материалами с нашего сайта. Она приходит к вам на e-mail каждый день по утрам.