В конце прошлого года была опубликована очередная порция разоблачений Сноудена - каталог различных программных и аппаратных закладок, разработанных подразделением АНБ - ANT. Лишь только малая часть представленных закладок широко обсуждалась в Интернете, в то время как пристального внимания заслуживает каждая позиция из каталога.
Вся информация об устройствах носит гриф "Секретно" (Secret, S) либо "Совершенно секретно" (Top Secret, TS) и должна оставаться секретной до 2032 года. Каталог актуален на май 2008 года с отдельными позициями, которые должны были стать доступными в конце 2008 года. Думаю, сегодня этот каталог раза в 2 толще, ибо бюджет АНБ, по всей видимости, постоянно рос с 2008 года.
Сетевое оборудование
Перехват сетевого трафика и проникновение в защищенные сети является одним из приоритетных направлений подразделения АНБ - TAO. Поэтому значительная часть каталога уделена закладкам для маршрутизаторов Cisco, Juniper, Huawei.
Juniper
Закладка Внутренности гурмана (GOURMETTROUGH)
Позволяет полностью управлять маршрутизатором, используя скрытые каналы передачи информации. Сохраняется при перезагрузке и апгрейде операционной системы маршрутизатора.
Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, ISG 1000, SSG-5, SSG-20, SSG-140
Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.
Цена: 0$
Закладка Внутренности Суфле (SOUFFLETROUGH)
Полный контроль над маршрутизатором. Сохраняется при перезагрузке и апгрейде ОС. Может быть установлена удаленно если на межсетевом экране установлена другая закладка АНБ - BANANAGLEE. Используется в настоящий момент.
Продукты: линейки Juniper SSG-300 и Juniper SSG-500.
Стоимость 0$
Закладка Школьная Монтата, Горная Монтана и Оштукатуренная Монтана(SCHOOLMONTANA, SIERRAMONTANA, STUCCOMONTANA)
Дает полный доступ к маршрутизатору Juniper. Прописывается в BIOS. Сохраняется при перезагрузке, обновлении ОС маршрутизатора и даже при физической замене карты памяти с прошивкой (!).
Продукты: Серии маршрутизаторов Juniper J, M и T. В реестре ФСТЭК почти не встречаются, так как в продаже заменены более новыми аналогами от Juniper.
Закладка Перемычка (FEEDTROUGH)
Позволяет подгружать другие закладки АНБ, тем самым сохраняя возможность заражения маршрутизатора при замене ОС/сбросе настроек. "Неоднократно использовалась на множестве целевых систем."
Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, NetScreen 200, NetScreen 500, ISG 1000.
Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.
Huawei
Закладка Вода из большого пальца
Дает полный доступ к маршрутизатору и проходящему трафику. Остается при перезагрузке и апгрейде операционной системы (в том числе загрузочной области!). Проверена в деле.
Продукты: Eudemon 200, Eudemon 500, Eudemon 1000. Не сертифицированы во ФСТЭК.
Закладка Вода в голове
Может быть установлена удаленно через Интернет персоналом АНБ. Прошивается в ROM память маршрутизатора. Позволяет удаленно перехватывать и анализировать все проходящие через роутер пакеты.
Продукты: не указаны (все роутеры Huawei?).
Cisco
Закладка Реактивный Плуг (JETPLOW)
Дает полный удаленный доступ к межсетевому экрану и трафику. Сохраняется при перезагрузке. Возможен удаленный апгрейд закладки и удаленная инсталляция если на фаирволе стоит другая закладка АНБ BANANAGLEE. "Широко используется в настоящее время." Подходит не для всех версий ОС.
Продукты: Вся 500 линейка Cisco PIX и 5500 линейка Cisco ASA.
Нужно сказать, что МЭ Cisco - это самый сертифицированный продукт в реестре ФСТЭК. К тому же сертифицированы не отдельные экземпляры (как, например, у Juniper) - а вся серия. Это значит, что железки попадают к конечному пользователю, фактически, прямо с завода, без какого-либо дополнительного контроля. Кроме того сертификат ФСТЭК на линейку ASA 55хх позволяет использовать эти межсетевые экраны для защиты секретных сведений (гостайны).
Цена - 0$.
Резюме
Как указано в каталоге, все перечисленные выше закладки для маршрутизаторов и межсетевых экранов бесплатны для структур АНБ и партнеров. Это значит, что АНБ могло установить их в неограниченном количестве, используя свои ресурсы на таможне/в транспортной компании или на заводах-изготовителях. Кроме того многие закладки модульные: загрузчик хранится в ROM/BIOS маршрутизатора и подгружает полнофункциональную часть с серверов АНБ по команде. При сертификации устройства (в том числе на наличие недекларированных возможностей) скорее всего исследуется только высокоуровневая часть программного обеспечения маршрутизатора (операционная система). Поэтому закладка от АНБ весьма вероятно сможет пройти все уровни сертификации ФСТЭК/ФСБ, оставшись необнаруженной.
Если эта тема получит достаточную огласку в СМИ, то нас может ждать такое закручивание гаек, которого мы еще не видели. Весь прогресс в сертификации удобных, недорогих и быстрых межсетевых экранов Cisco, Juniper, StoneGate будет остановлен, и процесс повернется вспять. В итоге мы будем вынуждены пользоваться Кольчугами, Швейцарами, ЗАСТАВАми и прочим неоправданно дорогим говном отечественным продуктом.
Тенденция на использование низкоуровневых загрузчиков, прописанных в ROM/BIOS устройства, так же означает то, что все "отечественные" "аппаратные" межсетевые экраны типа ViPNet HW и Континент могут быть так же заражены, так как используют готовые (китайские?) аппаратные платформы.
Вообщем, ситуация во многом патовая. Будем игнорировать возможности АНБ и пользоваться Cisco/Forinet/Huawei/StoneGate? Или будем ставить отечественный МЭ, у которого весь функционал заключается в наличии нужного сертификата?
Источник Блог Артема Агеева. http://www.itsec.pro/2014/01/counter-terrorist-shop-1.html
