В программе ФБР по проверке отпечатков пальцев содержится российский код


В программе ФБР по проверке отпечатков пальцев содержится российский код

© AP Photo, Louis LanzanoВ программе ФБР по проверке отпечатков пальцев содержится российский кодМировые кибервойны

28.12.2017121323TweetКрис Хэмби (Chris Hamby)

В рамках секретной сделки одна французская компания купила код у связанной с Кремлем фирмы, включила его в собственное программное обеспечение и скрыла этот факт от ФБР, о чем свидетельствуют документы и два разоблачителя. Данные утверждения усиливают обеспокоенность по поводу того, что российские хакеры могут взломать компьютерные системы правоохранительных органов.

В программах по проверке отпечатков пальцев, которой пользуется ФБР и другие правоохранительные органы США, содержится код, созданный российской фирмой, тесно связанной с Кремлем, о чем свидетельствуют документы и показания двоих разоблачителей. Данные утверждения усиливают обеспокоенность по поводу того, что российские хакеры могут окольными путями получить доступ к секретной биометрической информации о миллионах американцев и даже взломать компьютерные системы служб национальной безопасности и правоохранительных органов.

Российский код в программу анализа отпечатков пальцев внедрила одна французская компания, о чем сообщили два разоблачителя, прежде работавшие в ней. Эта фирма, в прошлом являвшаяся дочерней организацией крупного конгломерата «Сафран» (Safran) со штаб-квартирой в Париже, специально скрыла от ФБР тот факт, что она приобрела российский код в рамках секретной сделки.

В последние годы российские хакеры взламывают буквально все, начиная с почтовых серверов Национального комитета Демократической партии и систем атомных электростанций и кончая несекретными компьютерами Объединенного комитета начальников штабов, о чем регулярно сообщают американские власти.

В сентябре этого года Министерство внутренней безопасности отдало распоряжение всем федеральным ведомством прекратить пользоваться продукцией московской компании «Лаборатория Касперского». Под запрет попали ее популярные антивирусные программы. А средства массовой информации сообщили о том, что российские хакеры использовали эту компанию для кражи секретной информации о программах американских спецслужб. Позднее министерство пояснило, что его распоряжение не распространяется на код Касперского, включенный в продукцию других компаний. Учредитель этой фирмы Евгений Касперский отрицает любую причастность своей компании к этим неблаговидным действиям и заявляет, что ничего не знал о хакерских взломах.

«Лаборатория Касперского», чей код оказался в программе ФБР по проверке отпечатков пальцев, связана с Кремлем, и это должно вызвать обеспокоенность у органов национальной безопасности, заявили разоблачители. Оба они французы, некоторое время работавшие в России. Российская компания АО «Папилон» в открытых публикациях хвасталась своим тесным сотрудничеством с различными российскими министерствами, а также с Федеральной службой безопасности, известной по сокращению ФСБ, которая стала преемницей советского КГБ и причастна ко многим хакерским взломам американских объектов.

Эксперты по кибербезопасности отмечают, что угрозу от применения российского кода невозможно оценить без изучения самого кода. Однако «сам факт наличия связей с ФСБ заставил бы меня серьезно понервничать при использовании этого программного обеспечения», сказал Тим Эванс (Tim Evans), работавший директором по оперативной деятельности в элитном подразделении Агентства национальной безопасности, которое занимается киберразведкой и известно под названием Операции специального доступа (Tailored Access Operations). Ныне Эванс руководит фирмой кибербезопасности Adlumin.

В 2011 году ФБР объявило о серьезной перестройке своей работы по проверке и опознаванию отпечатков пальцев. Эта перестройка осуществлялась в рамках общей инициативы под названием Идентификация нового поколения (Next Generation Identification). Данная инициатива позволила бюро шире использовать биометрическую информацию, получаемую, среди прочего, с помощью технологий распознавания лица и радужной оболочки глаза. Подразделение Операции специального доступа также пользуется базой данных ФБР.

Контекст

В программе ФБР по проверке отпечатков пальцев содержится российский код

Небезопасная российская компанияThe New York Times05.09.2017Россия никогда не прекращала свои кибератаки на СШАThe Washington Post26.12.2017Россия — грозный противникFinancial Times21.12.2017
Надеясь получить контракт от ФБР, дочернее подразделение «Сафран» фирма «Саджем Секьюрити» (Sagem Sécurité), позже переименованная в «Морфо» (Morpho), лицензировала технологию «Папилон», чтобы повысить производительность своего собственного программного обеспечения по распознаванию отпечатков пальцев, о чем рассказали разоблачители. Оба они работали в компании «Морфо»: Филипп Дебуа (Philippe Desbois) руководил деятельностью фирмы в России, а Жорж Хала (Georges Hala) работал в этой стране в подразделении по развитию бизнеса.

Издание «БаззФид Ньюс» (BuzzFeed News) проанализировало не подписанную копию лицензионного соглашения между французской и российской компаниями. По словам разоблачителей, они получили этот документ, когда работали в «Морфо». Соглашение датировано 2 июля 2008 года. Это было за год до того, как «Морфо» в соперничестве с крупнейшими биометрическими фирмами мира, в том числе, в борьбе с американским конкурентом, одержала победу и получила контракт ФБР. Соглашение предоставляет «Саджем Секьюрити» право на включение кодов «Папилон» в программное обеспечение французской компании и на продажу конечного продукта в качестве ее собственной технологии. В соглашении также говорится, что «Папилон» будет обновлять и вносить изменения в программу в течение пятилетнего срока, который закончился в 2013 году. «Саджем Секьюрити» согласилась выплатить первоначальное вознаграждение в размере примерно 3,8 миллиона евро и в дополнение к этому осуществлять ежегодные выплаты.

Контракт, который также фигурирует в судебных документах, свидетельствует о том, что по мнению «Папилон», ее программное обеспечение не содержало никаких нераскрытых «секретных входов», «бомб замедленного действия», «ловушек» и прочих инструментов, позволяющих со временем автоматически отключать программы или делать это по команде того или иного человека. Согласно заявлению компании, в этом программном обеспечении не было никаких вирусов, троянов, червей и прочих программных и аппаратных компонентов, позволяющих осуществлять несанкционированный доступ, а также выводить из строя, удалять или иным образом наносить ущерб программному обеспечению, аппаратуре и данным.

В проанализированном «БаззФид Ньюс» контракте имеется раздел под заголовком «Неразглашение». В нем говорится: «Стороны договариваются о том, что сохранят в строгой тайне и не будут никакими способами сообщать третьим сторонам о существовании данного соглашения и о его содержании».

Дебуа подал в американский федеральный суд иск, обвинив компанию «Сафран» в мошенническом получении средств в размере одного миллиарда долларов у федеральных органов, властей штатов и местных органов власти. По его словам, не менее трех высокопоставленных руководителей этой компании неоднократно и подчеркнуто говорили ему о том, что факт существования данного соглашения необходимо держать в строгой тайне. Раскрытие этой информации, заявляли они, может поставить под угрозу контракты на американском рынке, которых добивалась компания.

«Они говорили мне: „У нас будут большие проблемы, если ФБР узнает о происхождении алгоритма»», — заявил этот разоблачитель.

Дебуа и Хала лично не участвовали в работе по интеграции кода «Папилон» в продукцию французской компании. Они также не принимали участия в продаже этого программного обеспечения ФБР. Однако эти люди заявили, что беседовали с инженерами, проводившими работу по интеграции. По словам Дебуа, многие сотрудники компании рассказывали ему о том, что в проданных ФБР технологиях содержится алгоритм компании «Папилон».

«Вы знаете слово „омерта»?— спросил Дебуа, имея в виду кодекс молчания мафии, о котором стало известно благодаря фильму „Крестный отец». — По интонации руководителей всегда можно было понять, что мы должны соблюдать такой обет молчания и держать все в секрете, не рассказывая об этом никому».

Статьи по теме

В программе ФБР по проверке отпечатков пальцев содержится российский код

«Касперский» вторгался в сети АНБ?The Washington Post11.10.2017Россия и Китай воруют ноу-хауFocus19.12.2017Мне кажется дикостью то, что Трамп защищает ПутинаEl Pais16.11.2017
«Тесное сотрудничество»

Компания «Папилон» в своих рекламных материалах и на вебсайте хвастается тем, что сотрудничает с российским Министерством внутренних дел, которое руководит полицией и миграционными ведомствами, а также другими органами. Во главе этого министерства стоит ветеран полицейской службы, назначенный на этот пост в 2012 году президентом Владимиром Путиным. Продукция, которую продает «Папилон», создается при активном содействии министерства, а компания тесно сотрудничает с Министерством внутренних дел, Министерством обороны и Министерством юстиции России, о чем свидетельствуют ее публикации. На одном российском государственном вебсайте говорится, что Министерство внутренних дел оказывает методическое содействие компании «Папилон».

«„Папилон» нельзя назвать независимой компанией, — заявляет разоблачитель Хала. — „Папилон» является детищем Министерства внутренних дел, и поэтому компания всегда находилась под контролем этого министерства».

Заместитель директора компании «Папилон» по маркетингу Иван Шапшал с этим не согласен. «Мы — целиком и полностью частная компания, — сказал он. — Выполняем ли мы специальные задачи в интересах спецслужб России? Нет, у нас нет в этом необходимости. Это просто риск, и это не помогает нам зарабатывать деньги».

Среди российских ведомств, которые используют технологию компании по распознаванию отпечатков пальцев, — Федеральная служба безопасности. «Из года в год, — говорится в публикации „Папилон», — компания расширяет свое сотрудничество с ФСБ, а также с российскими ведомствами, которые занимаются вопросами иммиграции, таможни и наркоконтроля. Среди наших клиентов есть правительства Турции, Казахстана, Сербии и Албании».

Шапшал сказал, что технология распознавания отпечатков пальцев позволяет российской полиции раскрывать примерно 100 тысяч преступлений в год. «Если наше программное обеспечение помогает полиции раскрывать все больше преступлений, мы рады такой „тесной связи» с ней, как вы говорите, — сказал он. — Мы будем рады тесным связям с любым ведомством безопасности из любой страны, если нам за это будут платить».

Учредителем и директором «Папилона» является Павел Зайцев, который с 1985 по 1991 год работал инженером и программистом на российских военных объектах. Об этом сообщается в его биографии, опубликованной вместе со статьей, которую Зайцев написал для одного торгового издания. Многие сотрудники этой компании, говорится на одном государственном вебсайте, «обрели опыт, работая на предприятиях военно-промышленного комплекса в Миассе». Это город в Уральских горах, где позднее компания «Папилон» зарегистрировалась и создала свою штаб-квартиру.

Хала заявил, что между «Папилоном» и ФСБ существует «тесное сотрудничество». «Это не секрет», — сказал он. По его словам, он неоднократно присутствовал на встречах с участием российских государственных чиновников и руководителей «Папилона». На них представители руководства ФСБ выражали поддержку компании и «полностью контролировали ход дискуссии». Министерство внутренних дел, ФСБ, а также российское посольство в Вашингтоне не откликнулись на просьбу дать комментарии.

Ни ФБР, ни причастные к этому делу компании не стали напрямую отрицать, что программа распознавания отпечатков пальцев, используемая бюро, содержит российский код.

ФБР отказалось отвечать на вопросы об этих программах, однако прислало заявление, в котором отметило: «Как всегда бывает с коммерческим программным обеспечением, которое мы закупаем и используем, перед его применением неизменно проводятся проверки на безопасность».

Контекст

В программе ФБР по проверке отпечатков пальцев содержится российский код

Небезопасная российская компанияThe New York Times05.09.2017Россия никогда не прекращала свои кибератаки на СШАThe Washington Post26.12.2017Россия — грозный противникFinancial Times21.12.2017
«Сафран» отказалась ответить на вопросы о своей деятельности в качестве владельца того дочернего подразделения, которое поставляло программное обеспечение ФБР. Компания отметила, что продала эту свою дочернюю организацию, но в судебных документах она не стала отрицать существование контракта о лицензировании российского кода. «Сафран» заявила, что обвинения в мошенничестве при продаже недостаточно конкретны, и что компания не несет ответственности за действия своего дочернего подразделения.

«Сафран» продала это дочернее подразделение американской фирме, которая дала ей новое название «Айдемиа» (Idemia). Официальный представитель «Айдемиа» заявила, что технология распознавания отпечатков пальцев почти полностью была разработана и изготовлена во Франции либо в Соединенных Штатах. Вместе с тем, она отметила, что два компонента программного обеспечения содержат исходный код, разработанный «другими компаниями». Назвать эти компании официальный представитель Селин Стирле (Céline Stierlé) отказалась.

По ее словам, в утверждениях разоблачителей «нет ничего нового, и они не подтверждаются фактами. Кроме того, их отвергли федеральные власти, власти штатов и суды». Она имела в виду иск, поданный бывшим сотрудником фирмы Дебуа, который дал интервью «БаззФид Ньюс».

В этом году федеральный судья закрыл данное дело, и не стал оценивать достоинства обвинений. Вместо этого он сосредоточился на технических деталях, обнаружив, что в иске недостает конкретных подробностей, скажем, о том, когда и как правительству подавались заявки на оплату. Кроме того, судья написал, что все мошеннические заявки на оплату подавала дочерняя фирма, которая не фигурирует в этом деле в качестве ответчика. Он подчеркнул, что указанные в иске материнские компании не могут быть привлечены к ответственности по этому делу. Истец подал апелляцию.

Что касается российской компании «Папилон», то директор Шапшал, отвечая на вопрос о контракте, дающем французской фирме право на ее код, заявил: «Мы не комментируем такие вещи, поскольку не можем их подтвердить или опровергнуть».

Вместе с тем, Шапшал заявил, что в коде его компании не было никаких уязвимостей. По его словам, если кто-то захочет проверить, то «обязательно убедится, что там нет никаких секретных входов».

«Тщательно взвешивать риски»

Когда ФБР в 2009 году начало проводить оценку компаний, желавших поставить программы распознавания отпечатков пальцев, некоторые члены конгресса встревожились, полагая, что контракт может получить фирма, находящаяся под влиянием иностранного государства, пусть даже союзного. Из-за того, что компания «Сафран» частично принадлежит правительству Франции, бывший член палаты представителей Джон Клайн (John Kline), входивший в состав комитета по разведке, написал письмо Роберту Мюллеру, занимавшему в то время пост директора ФБР.

«Разрешив иностранному государству предоставлять нашим правоохранительным органам и спецслужбам услуги, касающиеся секретной информации, мы можем создать серьезную контрразведывательную угрозу американскому правительству, — написал Клайн. — Я призываю ФБР проанализировать вопрос о том, способны ли какие-то американские компании выполнить эту работу. Я также призываю тщательно взвесить риски и выгоды от предоставления иностранному государству доступа к секретной информации».

В то время пресс-секретарь ФБР заявил, что бюро «анализирует все риски и уязвимости, связанные с иностранным влиянием и с проблемами безопасности, которые могут исходить от потенциальных продавцов и исполнителей контрактов с ФБР, включая субподряды».

В том же году ФБР и «Локхид Мартин» (Lockheed Martin), являющаяся главным подрядчиком бюро и отвечающая за включение продукции различных продавцов в его систему, объявили о том, что контракт получает дочерняя фирма «Морфо» под названием «Морфо Трэк» (MorphoTrak). Среди конкурентов, оставшихся за бортом, была американская компания «Коджент системс» (Cogent Systems).

Представитель «Локхид Мартин» отказался от обсуждения тендерного процесса и заявил, что его компания продала подразделение, отвечающее за программу ФБР. Представитель компании «Лейдос» (Leidos), которая в настоящее время является главным подрядчиком по этому проекту, от комментариев отказался.

В иске разоблачителя Дебуа говорится, что американский инженер из «Морфо Трэк» по имени Фрэнк Баррет (Frank Barret) знал о сделке с «Папилоном» и возглавлял команду, которая готовила это программное обеспечение к использованию в ФБР. Стоя на пороге своего дома в Калифорнии, Баррет отказался прочитать и ответить на утверждения истца в исковом заявлении. Он заявил: «Все, что я сказал следователям, все, что я сказал в суде, является правдой». Когда его попросили дать разъяснения, он просто закрыл дверь. Когда корреспондент «БаззФид Ньюс» пришел к нему на следующий день, Баррет пригрозил вызвать полицию.

Статьи по теме

В программе ФБР по проверке отпечатков пальцев содержится российский код

«Касперский» вторгался в сети АНБ?The Washington Post11.10.2017Россия и Китай воруют ноу-хауFocus19.12.2017Мне кажется дикостью то, что Трамп защищает ПутинаEl Pais16.11.2017
Разоблачители Дебуа и Хала заявили, что узнали о существовании соглашения о лицензировании кода российской компании после того, как усомнились в указаниях своего начальства не вступать в конкуренцию с «Папилоном» по некоторым контрактам. По их словам, в то время руководство компании объяснило им, что между двумя фирмами существует устная договоренность не посягать на бизнес друг с друга в ряде стран. Разоблачители утверждают, что это является нарушением антимонопольного законодательства. Дебуа и Хала заявили, что получили копию лицензионного соглашения, так как хотели лично убедиться в наличии там положений об отказе от конкуренции. Таких положений в соглашении не было.

Шапшал из компании «Папилон» отказался комментировать утверждения о нарушении антимонопольного законодательства. Представитель «Айдемиа» Стирле заявила: «Данные утверждения, как и другие, являются частью судебного процесса, в ходе которого выяснилось, что в них отсутствуют даже основные детали, в связи с чем суд их отверг». Судья постановил, что в иске разоблачителя нет конкретных деталей, указывающих на то, кто именно ложно сообщил американскому правительству о полном соблюдении компанией антимонопольного законодательства, а также когда и как это произошло.

В своем исковом заявлении Дебуа обвиняет компанию «Сафран» в том, что она обманным путем получила от американского правительства около одного миллиарда долларов. Если Дебуа одержит победу в этом процессе, он может получить миллионы. Хала в этом деле не участвует. Оба разоблачителя заявили, что они ушли из компании «Морфо» добровольно и на хороших условиях.

Пока федеральное правительство отказывается вмешиваться в эту тяжбу, хотя и имеет такое право, если заявит о получении мошеннических заявок на оплату. Однако юристы из Министерства юстиции отмечают, что это отнюдь не свидетельствует о недостатках поданного иска, и что они сохранили за собой право вмешаться в это дело позднее. Истец также обвиняет ответчиков в сообщении ложной информации о технологии распознавания отпечатков пальцев при ее продаже властям Калифорнии. Юристы из этого штата пока также отказываются от вмешательства.

Контракт ФБР оказался в центре рекламных и маркетинговых материалов «Морфо Трэк». В 2011 году бюро заявило, что новые программы по распознаванию отпечатков пальцев позволили существенно ускорить скорость и точность сопоставления. В частности, точность сопоставления выросла с 92 до 99,6%.

«В плане престижа, когда ты можешь сказать, что твоими технологиями пользуется ФБР, это очень помогает процессу продаж», — сказал бывший сотрудник фирмы Стефан Гишар (Stephane Guichard), который руководил американской группой, внедрявшей и обслуживавшей программы сопоставления отпечатков пальцев, приобретенные некоторыми штатами и округами. Эта группа не участвовала в разработке программного обеспечения и в контракте с ФБР.

Гишар и еще два сотрудника, ранее работавшие в «Морфо Трэк» и занимавшиеся государственными контрактами в США, сказали, что им ничего не известно о лицензионном соглашении с компанией «Папилон». Для них стало неожиданностью то, что их бывший работодатель использовал российские технологии. «Лично я немного встревожился бы из-за этого», — заявил Филип Мур (Phillip Moore), работавший менеджером по продажам и по обслуживанию заказчиков. По его словам, у него возникли бы серьезные сомнения в том, «что они нам поставят».

К концу 2013 года, когда внедрение указанных технологий в ФБР подходило к концу, «Морфо» сообщила о том, что треть ее доходов, составляющих два миллиарда долларов, приходится на американский рынок. Компания «Сафран» недавно объявила, что намерена переключиться на авиакосмическую отрасль и оборонную промышленность. В этом году она продала «Морфо», которая незадолго до этого получила новое название «Сафран Айдентити энд Секьюрити» (Safran Identity & Security). Ее новым владельцем стала американская инвестиционная фирма «Эдвент Интернэшнл» (Аdvent International). Часть акций компании приобрел французский государственный инвестиционный банк «Бипайфранс» (Bpifrance). Объявленная цена продажи составила около 2,5 миллиарда долларов.

Сегодня эта компания называется «Айдемиа», и она поставила программное обеспечение по распознаванию отпечатков пальцев Министерству обороны и различным ведомствам в 28 штатах и 36 городах и округах на всей территории США. К числу покупателей ее продукции относятся управление шерифа округа Ориндж в Южной Калифорнии и управление полиции Нью-Йорка. Благодаря своим дочерним компаниям «Айдемиа» стала мощной лоббистской силой в Вашингтоне. В настоящее время она ведет борьбу против законопроекта, который может лишить ее статуса эксклюзивного поставщика услуг по распознаванию отпечатков пальцев для программы «ПреЧек» (PreCheck), осуществляемой подразделением Операции специального доступа.

Крис Хэмби — автор журналистских расследований, работающий в «БаззФид Ньюс» и живущий в Вашингтоне. В 2014 году он стал лауреатом Пулитцеровской премии в области следственной журналистики, а в 2017 году стал финалистом в борьбе за получение Пулитцеровской премии в области международной журналистики.

Подробности на: inosmi.ru

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*