Mokslo ir technologijų pasaulis

Tragiškas nesupratimas, kaip veikia šiuolaikinės technologijos? Kaip D. Trumpas paaiškino, kas jam neaišku dėl Rusijos organizuoto įsilaužimo
Publikuota: 2018-07-20

Pirmadienio popietę per bendrą spaudos konferenciją su Rusijos prezidentu Vladimiru Putinu, JAV prezidentas Donaldas Trumpas atsisakė pripažinti, kad egzistuoja ryšys tarp Rusijos ir įsilaužimo į JAV Demokratų nacionalinio komiteto (DNC) kompiuterius prieš 2016 m. prezidento rinkimus, nors prieš kelias dienas Federalinių tyrimų biuras už šiuos veiksmus oficialiai pateikė kaltinimus 12 rusų, rašo „Motherboard“.

Paklaustas, ar tiki, kad prie įsilaužimo nagus galėjo prikišti rusai, D.Trumpas pakartojo daug kartų „Twitter“ socialiniame tinkle kartotą pasakaitę apie tai, kad FTB ir JAV demokratai kažką slepia.

„Esama grupių, kurios stebisi, kodėl FTB niekada taip ir nepaėmė serverio. Kodėl FTB buvo nurodyta palikti Demokratų nacionalinio komiteto biurą? Jau keletą mėnesių keliu šį klausimą. Kur serveris? Aš noriu žinoti, kur yra serveris ir ką jis sako“, – nukreipė kalbą JAV prezidentas.

Trumpas atsakymas į D.Trumpo tiradą – serveris yra DNC biure Vašingtone. „The New York Times“ netgi publikavo šio kompiuterio nuotrauką.

Ilgas atsakymas – kad tokio dalyko, kaip konkretus „serveris“ tiesiog nėra. Yra daug skirtingų serverių ir daug interneto infrastruktūros komponentų, susijusių su šiuo tyrimu, didžiąją šios įrangos dalį JAV žvalgybos institucijų atstovai ir nepriklausimo informacinių technologijų saugumo ekspertai jau yra patikrinę, o visų jų išvada yra vienoda: į DNC sistemas laužėsi rusai.

Ne paslaptis, kad kibernetinio saugumo įmonė „CrowdStrike“, kurią DNC pasamdė jau reaguojant į įsilaužimą, didelę dalį DNC serverių informacinio turinio tikslių kopijų pavidalu pateikė FTB – kai kurių ekspertų teigimu, tokia informacijos forma tyrėjams yra netgi vertingesnė, nei serveris fiziniu pavidalu. Apie tai 2017 metų kovą pasakojo ir buvęs FTB vadovas Jamesas Comey.

Situaciją išaiškino Johnso Hopkinso universiteto Pažangiųjų tarptautinių studijų mokyklos strateginių studijų profesorius Thomas Ridas, jau anksčiau viešai detaliai išaiškinęs, kodėl Rusija veikiausiai yra įsilaužimo į DNC serverius kaltininkė. Jo teigimu, „vertinant iš teisminės ekspertizės pusės, šiuo metu serverio buvimo vietos klausimas yra visiškai beprasmis“.

„Siekiant ištirti tokį rezonansinį įsilaužimą, kaip ataką prieš DNC serverius, reikia žvelgti ne vien į aukos tinklą. Reikia analizuoti infrastruktūrą – valdymo ir kontrolės vietas, kuriomis buvo pasinaudota įsilaužiant ir kurių nėra jokiame serveryje. Vienas konkretus serveris yra tiesiog atskira technologijų infrastruktūros detalė“, – sakė profesorius.

Taigi, tenka pripažinti, kad „CrowdStrike“ medžiaga, pateikta FTB, veikiausiai buvo naudingesnė, nei fizinė dėžė.

„Kad būtų aiškiau, tarkime, kad egzistavo tik vienas serveris. Ateina „Crowdstrike“, atlieka pilną jo duomenų kopiją – įskaitant to, kas tuo metu buvo darbinėje atmintyje, koks, vyko srautas, kokie prisijungimai. Taip gaunamas pilnas internete esantis informacijos atvaizdas iš kompiuterio, įskaitant jo atminties turinį, o ne serveris, kurį kažkas turėtų fiziškai nugabenti į FTB biurą. Toks kompiuteris būtų išjungtas, jo darbinė atmintis išnyktų. Dėl to įrodymas fizinio kompiuterio pavidalu tyrimui būtų mažiau vertingas nei duomenų kopija iš veikiančio kompiuterio. Mintis, kad fizinis serveris suteiktų kokios nors papildomos naudos tyrimui, yra visiškai klaidinga“.

T.Ridas aiškino, kad po įsilaužimo dalis informacijos apie tai, kas galėjo būti kaltininkas ir kaip tai galėjo būti padaryta, buvo laikina. Ji galėjo būti serverio darbinėje atmintyje – RAM – ir nesaugoma diskiniuose kaupikliuose. Būtent dėl šios priežasties programišiai linkę naudoti ne rinkmenos pavidalu saugomus piktybinės veiklos įrankius. Tokiais atvejais norint išsaugoti įkalčius į incidentus reaguojanti komanda privalo sukurti pilną tos akimirkos kompiuterio duomenų kopiją, kad vėliau galėtų ją analizuoti. Galima būtų palyginti tai su nusikaltimo vietos fotografavimu.

Kibernetinio saugumo įmonės „Dragos“ skaitmeninių grėsmių ieškotojas Lesley Carhart leidinio „Motherboard“ žurnalistams taip pat sakė, kad atliekant teisminius kompiuterių tyrimus, fizinis jų pavidalas retai kada paimamas.

„Jau ne vieną dešimtmetį visoje pramonėje taikoma teisminės ir skaitmeninės analizės praktika, kuomet tiriami ne tiesioginiai įrodymai, o tikslios tų įrodymų kopijos. Taip sumažinama įdorymų sugadinimo ar atsitiktinio modifikavimo tikimybė“, – teigė ekspertė.

T.Ridas taip pat neįžvelgė nieko įtartino tame, kad fizinis DNC serveris dabar nėra FTB rankose.

„Nieko įtartino DNC elgesyje nėra. Iš DNC pusės būta politinių priežasčių ir skeptiško požiūrio nenorėti suteikti FTB pilno savo vaizdo į tai, ką jie daro dar vykstančios rinkimų kampanijos metu“, – sakė profesorius.

Be to, Roberto Muellerio tyrimų komisijos pateikti kaltinimai 12 Rusijos piliečių buvo grindžiami informacija ne iš vieno serverio. Pavyzdžiui, kaltinimuose nurodyta, kad Rusijos kariuomenės agentų interneto istorijoje esama duomenų, kad DNC tinklais jie domėjosi kelias savaites iki įsilaužimo fakto, taip pat turima specifinės informacijos apie įsilaužimui, DNC atstovų stebėjimui ir informacijos atsisiuntimui panaudotą programinę įrangą (ji vadinama „X-Agent“ arba „X-Tunnel“). Kaltinime taip pat pateikiama informacija apie Arizonos valstijoje rusų išsinuomotą serverį, naudotą informacijos persiuntimui.

Dalis šios informacijos turėjo būti surinkta analizuojant DNC kompiuterius (ar jų kopijas), o kita dalis su DNC kompiuteriuose esančia informacija neturėjo nieko bendro.

R.Muellerio komisijos kartu su kaltinimais išplatinta medžiaga neabejotinai aiškiai parodo, kas buvo išpuolio vykdytojai – nors jau ir iki tol įrodymų netrūko.

Anot T.Rido, rusai pridarė nemažai klaidų. Pavyzdžiui, kartais pamiršdavo įjungti VPN paslaugą, dėl ko pavyko programišiaus „Guccifer 2.0“ pseudonimą susieti su konkrečiu IP adresu. Be to, amerikiečiai sugebėjo atsekti kriptovaliutą, už kurią buvo nupirkta įsilaužimui panaudota infrastruktūra. Nepriklausomi tyrėjai taip pat atsekė bit.ly nuorodas, panaudotas tikslinėse atakose prieš DNC darbuotojus – manoma, kad jos yra netiesiogiai susiję su kaltinamais rusais.

„Prezidentas užsikabino už labai jau supaprastintos idėjos apie tai, kaip veikia kompiuterių teisminė analizė. O kadangi jis tą idėją skleidžia, panašu, kad juo tiki daugybė žmonių“, – sakė T.Ridas.