Утечки национального значения: фактор ошибки против военной тайны

В июле стало известно, что из-за опечаток в почтовых адресах электронные письма Пентагона годами попадали в чужие руки. Это далеко не первый подобный случай: секретные данные американских военных регулярно оказываются скомпрометированы – по ошибке, недосмотру или глупости.

Подробности этой истории больше напоминают комедию абсурда, чем сюжет об угрозах национальной безопасности. Миллионы электронных писем американских военных попадали в Мали из-за опечаток: пользователи регулярно пропускали букву i в *.mil, а *.ml – это доменная зона африканского государства.

Оператор домена, голландский предприниматель Йоханнес Зуурбье (Johannes Zuurbier), в течение десяти лет пытался связаться с представителями военного ведомства США, однако устранить утечку так и не удалось. В своем комментарии Financial Times он рассказал, что оставил жене инструкции на случай, если однажды «на заднем дворе приземлятся черные вертолеты».

Цена опечатки

В скомпрометированных письмах содержались дипломатические документы, налоговые декларации, пароли и детали поездок высших офицеров. Под угрозой оказались и частные жизни военнослужащих – среди вложений можно найти рентгеновские снимки и медицинские данные, контракты и информацию о удостоверениях личности. Зуурбье также рассказывает о картах и фотографиях военных объектов, отчетах военно-морских инспекций, налоговых и финансовых отчетах.

Один агент ФБР шесть раз пытался переслать сообщения на свою военную электронную почту. Так к Зуурбье попало срочное секретное донесение об активности Рабочей партии Курдистана. Другой агент отправил в Мали предупреждение турецкого посольства в Вашингтоне о потенциальной деятельности некой террористической группы, серию брифингов «Для служебного использования» о внутренних террористов в США, данные о глобальной борьбе с терроризмом. Наконец, множество пользователей отправляли по электронной почте пароли для доступа к документам на файлообменнике министерства обороны.

Константин Мельников

Руководитель отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline)

В организациях, где культура безопасности на высоком уровне, сотрудников обучают основам киберграмотности и постоянно проводят для них тренинги. При этом нужно понимать, что эти действия только минимизируют риски потери чувствительных данных, но полностью исключить человеческий фактор невозможно.

Помимо обучения персонала компании могут применять современные инструменты для предотвращения утечек, такие как системы DLP (Data Loss Prevention). Системы DLP разработаны для обнаружения попыток передачи чувствительной информации за пределы корпоративной сети. Они могут анализировать трафик, контролировать и блокировать потенциально вредоносные действия в реальном времени. Так, например, DLP может автоматически блокировать попытки отправки конфиденциальных документов по электронной почте или через веб-сервисы.

Помимо Пентагона, проблема коснулась и армии Нидерландов, которая использует домен army.nl – буква n находится на клавиатуре рядом с m, поэтому адрес часто превращался в army.ml. По словам эксперта, в его архиве есть электронные письма с обсуждениями о поставок боеприпасов, мнениями об экипажах голландских вертолетов Apache, информацией о военных закупках и потенциальных уязвимостях кибербезопасности.

Когда проблема получила огласку, официальный представитель Пентагона Тим Горман (Tim Gorman) заявил, что министерство знает о ней и «серьезно относится ко всем несанкционированным раскрытиям контролируемой информации национальной безопасности или контролируемой незасекреченной информации». Он также заявил, что электронные письма, отправленные непосредственно из домена .mil на малийские адреса, «блокируются до того, как они покинут домен .mil, и отправитель уведомляется о том, что он должен проверить адреса электронной почты предполагаемых получателей».

Однако, как можно узнать из открытых источников, «серьезное отношение» не спасает американских военных от проблем с информационной безопасностью.

Небезопасная утилизация

В 2009 году группа канадских студентов прибыла в Гану – будущие журналисты хотели узнать, что происходит с электроникой, которую развитые страны отправляют на переработку. Команда купила семь жестких дисков на рынке в крупном порту недалеко от города Аккра, столицы африканского государства.

Как выяснилось, носители не были отформатированы и оставались в рабочем состоянии. На одном обнаружилась личная информация семьи из Великобритании, на другом – файлы некого пользователя из Новой Зеландии, а третий содержал данные о многомиллионных оборонных контрактах США. Для доступа к информации не требовались специальные навыки или ПО – достаточно было подключить жесткий диск к компьютеру.

Студенты выяснили, что устройство принадлежало сотруднику компании Northrop Grumman, одного из ведущих игроков мирового ВПК с годовым доходом в десятки миллиардов долларов. Представители корпорации отказались общаться со студентами и попросили вернуть жесткий диск –  чего те не сделали. Позже в заявлении для прессы компания сообщила, что у нее есть подробная процедура утилизации такого оборудования, а конкретно этот носитель, скорее всего, был украден.

Константин Савченко

Директор управления сервисов и аппаратных систем компании Axoft

Безусловно, даже закрытая организация, с закрытыми доступами внутри – это живой организм, в котором регулярно происходят изменения и обновления. Без внешнего воздействия, при определенных обстоятельствах, оборудование и софт могут выходить из строя и приводить к потерям информации. Но зачастую в случае с закрытыми организациями самым распространённым вариантом потери информации будет человеческий фактор – сотрудники, нарочно или не нарочно допустившие утерю данных. В этой ситуации, помимо традиционных средств защиты, большой комплекс мер должен быть направлен на коллектив, специалистов, которые работают с чувствительными данными.

Опрошенные журналистами эксперты отметили, что пользователи действительно часто забывают стереть жесткие диски перед утилизацией и киберпреступники могут этим воспользоваться. Одни специалисты рекомендуют применять для очистки специальное ПО, которое записывает данные поверх старой информации, однако другие подчеркивают, что теоретически восстановить содержимое можно даже после нескольких циклов очистки. Чтобы получить гарантированную защиту, рекомендуется физически уничтожить жесткий диск, например просверлить.

Ценный груз

В 2011 году от утечки медицинской информации пострадали 4,9 миллиона американских военнослужащих и членов их семей. Виновником стал сотрудник компании-подрядчика Пентагона, перевозивший магнитные ленты с бэкапом базы данных – он оставил носитель в машине, которую вскрыли преступники.

В результате оказались скомпрометированы медицинские записи пациентов, которые проходили лечение в военных больницах и клиниках в период с 1992 по 2011 год, Данные включали адреса, номера телефонов, лабораторные анализы, рецепты и клинические записи. Содержимое бэкапа хранилось в незашифрованном виде.

Сергей Полунин

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис»

Люди есть люди. Можно бесконечно обучать людей принципам информационной безопасности, улучшать свои показатели на различных киберучениях, однако в конце концов какой-то сотрудник решит взять работу на дом и забудет ноутбук в такси. К этому просто нужно быть готовым и не рассчитывать, что вот-вот появится какая-то серебряная пуля, решающая эту проблему раз и навсегда.

Представители компании Tricare, которая занимается медицинским обслуживанием американских военных, заявили об отсутствии реальной угрозы. Для просмотра информации требовалось специализированное ПО и оборудование, а также знание структуры базы данных. Организация подчеркнула: свидетельств тому, что посторонние смогли прочитать медицинские материалы, не обнаружено.

В 2014 году суд фактически занял эту же позицию и отклонил основную часть коллективного иска против Tricare. Окружной судья США Джеймс Боасберг (James Boasberg) написал в своем постановлении, что истцы не предоставили доказательств того, что их данные были просмотрены или использованы не по назначению.

«Дело ставит непростые вопросы относительно того, когда именно потеря или кража чего-то столь абстрактного, как данные, приводит к реальному ущербу, – отметил судья. – Поскольку этот вопрос прошел через различные суды, большинство из них согласилось с тем, что простая потеря данных... не представляет собой вреда, достаточного для предоставления процессуальной правоспособности».

Сегодня можно лишь удивляться такому подходу к безопасности, однако следует помнить, что решение по делу Tricare было принято за два года до создания Общего регламента по защите данных (General Data Protection Regulation, GDPR), который впервые установил наказание за сам факт утечки.

Облака – находка для шпиона

Неправильные настройки облачных серверов – одна из самых частых причин утечек, и американские военные не раз столкнулись с этими проблемами.

Так, в 2017 году в публичный доступ попали более 100 гигабайт данных армейского разведывательного проекта под кодовым названием Red Disk. Образ виртуального диска остался на скрытом, но общедоступном сервере Amazon Web Services, где его можно было открыть без пароля.

Проект Red Disk вело Командование разведки и безопасности армии США (INSCOM). Он должен был дополнить устаревшую платформу для обработки разведывательной информации. Red Disk задумывался как облачная система с гибкими возможностями настройки, способная предоставлять подробные данные о ситуации в Афганистане, включая спутниковые изображения и видеотрансляции с дронов.

Однако система оказалась медленной, сложной в использовании и подверженной частым сбоям. Потратив около 100 миллионов долларов, Пентагон свернул проект. Тем не менее, виртуальный диск остался в облаке, и по его содержимому можно было получить представление об архитектуре Red Disk. Более того, исследователи обнаружили на сервере конфиденциальные файлы, включая закрытые ключи для доступа к инфраструктуре INSCOM. Как выяснилось, они принадлежали компании Invertix, подрядчику Командования и ключевому разработчику Red Disk. После инцидента организация сменила название на Altamira Technologies.

Представители INSCOM отказались от комментариев журналистов, однако публичный сервер был оперативно заблокирован.

Сергей Полунин

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис»

В закрытых инфраструктурах постоянно идет битва за баланс между безопасностью и удобством. Противостояние, кстати говоря, вполне равное. Потому что если ограничения останутся формальными, то будут происходить утечки, но если гайки будут закручены сильно, то пользователи и администраторы будут искать лазейки и однажды обязательно их найдут.

В 2019 году 179 гигабайт данных правительственных и военных сотрудников США утекли с незащищенного облачного сервера, который принадлежал компании по организации туристических поездок. Проблему обнаружили независимые исследователи, которые занимались проектом по интернет-картографии. Информация включала полные имена, даты рождения, адреса, номера телефонов и детали маршрутов: сведения о рейсах, время прибытия в отели, а в некоторых случаях и номера комнат.

В феврале 2023 стало известно о почтовом сервере, который в течение двух недель передавал в открытый интернет электронную почту вооруженных сил США. Хранилище располагалось в облаке Microsoft Azure, которое использовал Пентагон, и входило во внутреннюю систему почтовых ящиков ведомства. По данным журналистов, сервер обрабатывал, в том числе, корреспонденцию Командования специальных операций США (USSOCOM).

Из-за неправильной конфигурации сервер остался без пароля, что позволило любому пользователю получить доступ к конфиденциальным данным почтового ящика, просто зная его IP-адрес. В результате можно было выгрузить архив электронной почты за много лет. В этих письмах были персональные данные американских военных, включая анкеты SF-86, которые заполняют американские служащие для допуска к секретной информации.

Об утечке стало известно во время праздничных выходных в США, однако Пентагон отреагировал на запрос СМИ лишь в начале первого рабочего дня, а заблокирован открытый сервер был лишь к полудню. Журналисты также спросили у представителей ведомства, есть ли у них возможность подтвердить или опровергнуть факт несанкционированного доступа или кражи из базы данных, однако ответа не последовало.

Иван Король

Разработчик ПО Anwork

Создание полностью изолированной экосистемы ПО для закрытых ведомств является амбициозной задачей. Теоретически это возможно, но на практике такое решение потребует значительных инвестиций, как финансовых, так и временных. Более того, даже самой закрытой информационной системе необходима постоянная поддержка и обновление, чтобы противостоять новым угрозам безопасности. Однако, если закрытые ведомства будут использовать инструменты, которые изначально созданы с акцентом на безопасность и конфиденциальность, то это позволит существенно снизить риски.

Один из последних на данный момент инцидентов пришелся на июль 2023 года – на VirusTotal появились имена 5600 сотрудников разведывательных и военных ведомств. В списке организаций – Пентагон, Агентство национальной безопасности (NSA), ФБР, Министерство обороны Великобритании.

Утечка также включила электронные письма сотрудников CERT-UK (Национальный центр кибербезопасности Великобритании), министерств Германии, Японии, Объединенных Арабских Эмиратов, Катара, Литвы, Израиля, Турции, Франции, Эстонии, Польши, Саудовской Аравии, Колумбии, Чехии, Египта, Словакии и Украины.

Электронные письма были сгруппированы по учетным записям корпоративных клиентов, к которым они подключены. Это позволило выяснить, что некоторые военнослужащие в нарушение политик безопасности используют Gmail, Hotmail и Yahoo.

Продолжение следует

Как выяснилось при подготовке этого материала, уместить все утечки секретных данных в один обзор не получится. Поэтому в этой статье мы ограничились случаями, когда информация оказалась скомпрометирована по ошибке.

Однако в некоторых случаях лица с доступом к военным секретам публиковали их специально, будь то в качестве аргумента в онлайн-споре или для банальной бравады. Об этих кейсах расскажем в следующей статье цикла.