По следам прошедших недавно IT-конференций, на которых выступили сразу несколько бывших сотрудников спецслужб, своим опытом работы в АНБ, в подразделение TAO (Tailored Access Operations) решил поделиться и автор ресурса BlindSeeker. Представляем перевод его подробного рассказа, выполненный парнями из Digital Security.
Недавняя конференция USENIX Enigma заставила меня задуматься о паре вещей. Особенно вот этот парень, который поднялся и пословоблудил о работе TAO. Этот и еще один, которому, напротив, абсолютно наплевать на то, знают ли люди, что он работал в TAO. Я работал в TAO. Был оперативником Центра Удаленных Операций на протяжении полутора лет. Но прежде, чем Вы подумаете: «О черт, он будет новым Сноуденом», — к черту. Мне не очень нравится идея внезапно уехать на черном правительственном джипе в неизвестном направлении, так что не ждите тут раскрытия всяких сверхсекретных материалов. Сразу извиняюсь за возможные обманутые ожидания. Я начну с пары слов о докладе на USENIX и пройдусь по собственному опыту работы в АНБ.
На самом деле, не хочу сказать ничего сильно плохого про доклад Роба Джойса. Если бы больше людей следовало его советам, жизнь была бы несколько проще. Единственное, что мне хочется отметить — весь доклад звучит довольно-таки знакомо. Где же я мог слышать все это раньше? Роб не сообщает нам ничего такого, чего мы бы уже не знали или не делали. У меня вообще сложилось впечатление, что если бы это был не представитель АНБ, который завел подобную шарманку, доклад бы сняли быстрее, чем Вы бы успели произнести слово «обновить». И если у Вас недостаточно терпения на просмотр самого выступления, вот пара моих выводов на основании доклада:
- топ 20 критичных мер по безопасности — это то, о чем он вынужден говорить на протяжении всего выступления (понижение привилегий, сегментация, белые списки, патч менеджмент и тому подобное);
- необходимо устанавливать набор средств EMET настолько срочно, насколько это возможно;
- NSM невероятно мощный. То, что я предсказывал задолго до работы в АНБ и актуальное по сию пору;
- IAD (Information Assurance Directorate) — парни, которые не привязаны жестко к взламыванию Вашей персональной информации, выпускают неплохие заметки по усилению защиты систем. К ним стоит прислушиваться.
Мне также показалось, что импровизированный комментарий по зеродеям на 12 минуте прозвучал достаточно забавно. Мне вспоминается шум в социальных сетях о некоей статистике, говорящей о том, что АНБ репортят порядка 90% находимых ими уязвимостей. Больше похоже на ложь во спасение, как мне кажется.
Давайте я нарисую Вам абсолютно гипотетический сценарий. Допустим, у Вас есть fuzz farm (набор станций, которые гоняют программы направленные на создание крашей софта). Ваша задача — на основании этих крашей собрать несколько зеродеев. Особенно Вам, конечно, интересны уязвимости с RCE, но среди прочего сойдут и уязвимости повышения привилегий.
Итак, ваша ферма находит несколько уязвимостей, среди которых нет ни возможности RCE ни повышения привилегий, но дает сбой системы и/или отказ от обслуживания (DOS). Зеродеи с DOS не представляют особого интереса для APT государственного уровня (скорее даже наоборот). Потому Вы и сообщаете об этих уязвимостях. Почему? Все очень просто — если о них не расскажете Вы, всегда остается возможность, что они будут использованы против вас (хактивисты, спецслужбы других государств). В данном случае у них не получится успеть первыми и до кучи Ваши собственные операции значительно обезопасятся за счет того, что проблема запатчится. В любом случае — это ситуация прямой выгоды для Вас и Ваших отчетов. Не говоря уже про саму возможность показать положительную статистику того, как вы репортите большинство найденных уязвимостей. Аккуратненько получается, не так ли?
Мои личные причины для ухода из АНБ лежат в недостаточной оплате, по сравнению с частным сектором, абсолютно свинском отношении между людьми (за некоторыми исключениями) и приостановке работы правительства в 2013 году. Вот, собственно основные вещи, о которых я с удовольствием порассуждаю дальше. Но чтобы как-то заинтересовать Вас, пока Вы еще это читаете, я также расскажу о других не очень чистоплотных вещах внутри TAO, пусть и не имеющих никакого отношения к секретной информации. Если это поможет хотя бы одному неопытному пытливому уму пересмотреть свое решение поработать в TAO, я буду считать свою работу выполненной.
Давайте поговорим о получении допуска — процедуре SF86. Итак, SF86 — это много невероятного ада. Необходимо вписать всю свою предыдущую жизнь за последние пять лет в многостраничный документ. Места, в которых Вам довелось жить, люди, которых Вы знали, пока там жили, куда вы ездили отдыхать и тому подобное. Потом приходит черед частных следователей, навещающих Вас, Вашего текущего работодателя, Ваших друзей, Вашу семью и так далее. Затем, набор психологических тестов. Дальше больше — на сцене появляются детекторы лжи. Да, да. Мы отдаем финальное решение во власть псевдонаучной ерунды, результаты работы которой легко оспариваются и не выстоят и секунды в ситуации судебного разбирательства, на котором придется доказывать Вашу благонадежность. В итоге вся эта процедура заняла у меня более шести месяцев, после чего мне, наконец, сделали предложение о работе. И это не говоря о том, что вся эта информация в итоге оказалась скомпрометирована.
Наконец — получение предложения о работе (что забавно — на Defcon 20, мероприятии, от которого Джек Мосс, сам федерал, советовал остальным федералам держаться подальше). Лично для меня ирония состоит еще и в том, что это было мое первое участие в Defcon. Мне было сказано, что я буду направлен на тренинг. Как долго он продлится? Около шести месяцев. Я снова вынужден опускать детали, опять-таки из-за риска покататься на черном джипе. Достаточно сказать, что все было очень строго. Однако, чтобы дать хоть какое-то представление и настроить Вас на нужный лад, я расскажу об одной примечательной встрече за время обучения.
Как-то раз мы были представлены оперативникам, уже работающим на TAO, в виде небольшой сессии вопросов и ответов. Эдакой АНБшной версии «Я оперативник, спроси меня что хочешь». Было несколько вопросов на самые разные темы, большую часть из которых я благополучно забыл. Но был и один сильно запомнившийся: «Какова текучка кадров среди оперативников?». На это один из них ответил с каменным лицом: «Около полутора лет. Некоторые переводятся. Некоторые уходят из агентства. Бывают госпитализации по причине стресса. На нашем счету несколько суицидов». Единственное, что возникло в моей голове в этот момент — большая горящая красными буквами надпись: «ЭЭЭ... Серьезно? Вы уверены, что это именно то, чего от вас хотят, чтобы вы нам рассказали??». Вообще для меня это был первый звоночек относительно того, что надо бы сматывать удочки.
Невероятное количество раз мне советовали, что пока я здесь и хочу участвовать в конференциях или чем-то подобном, мне необходимо писать ворох запросов, подтверждений необходимости и запросов на возмещение средств, вплоть до последнего цента. И я писал. Мне казалось, черт возьми, несомненным, что все конференции по безопасности имеют прямое отношение к нашей, кхм, прямой деятельности. На все мои запросы я получил отказ. Официальная резолюция всегда гласила: «В связи с недостатком финансирования». То о чем не сообщалось: «урезание финансирование из-за того, что спецслужбы и GSA делают идиотские вещи». Несмотря на это, кончено, у нас были средства послать генерала Александра Кита на Defcon и Black Hat, но не простых смертных. Хотя, казалось бы, это имело прямое отношение к нашей работе. Кончилось все тем, что я сам оплатил дорогу до Вегаса в тот год, что, в свою очередь, не уберегло меня от участия в ужасно занудном и дико обязательном тренинге об OPSEC и DEFCON (типа, не вестись на табличку «бесплатные объятия для федералов» и не участвовать в игре «засеки федерала по походке», то есть супербанальной фигне, которая сводится к простой мысли — не привлекай к себе внимания).
Ну, а теперь о главном, так сказать, слоне в комнате. О зарплате. Вот ссылка на сетку расчетов этого года, которая, по моим воспоминаниям, не сильно поменялась. Я был нанят на ступень GS 11, означающую оплату примерно в 70 000 долларов. Это при наличии опыта работы сисадмином и нескольких лет личного опыта работы с NSM. Плюс надбавка за сертификаты от индустрии, плюс небольшая надбавка за принадлежность к определенному штату и так далее. Взгляните на это. Вы увидите, что среднее значение по зарплатам составляет 73 000. Но представленные данные статистически некорректны, так как в общий список вошли наименования, не имеющие прямого отношения к кибербезопасности. Немного статистического анализа с моей стороны. Но держите в уме, что я не математик и не исследователь массива данных. И то, что данный ранжир зарплат от indeed.com по аналитикам безопасности округа Мэриленд также не претендует на абсолютную истинность. Для начала посмотрим на несколько наименований, не имеющих отношения к кибербезопасности:
- бизнесаналитик SAP – $135 000;
- студентам из балтимора (не имею ни малейшего представления, о чем это) – $51 000;
- Аналитик социальной службы Балтимора – $64 000;
- государственный аналитик – $51 000;
- программный аналитик – $78 000.
Давайте уберем данные позиции. За исключением «аналитик безопасности Балтимора $22 000» все остальные наименования предполагают 80 000 долларов или более дохода. Итак, правительство уже не доплачивает мне порядка 10 000, судя по этим данным для позиции не-старших аналитиков.
Теперь посмотрим на данные с новыми средними (ради смеха даже не убирая позицию на 22 000). Среднее для аналитика безопасности/ старшего аналитика безопасности уже достигает отметки в 99 000. Разница почти в 29 000. Небольшое развенчание мифа о том, что шкала государственных доходов в купе с поправкой на местные условия базируется на средней цифре для данного региона, не так ли? И это только если сравнивать заработную плату оперативника по отношению к аналитику безопасности. Можно также посмотреть на зарплату пентестеров и инженеров-безопасников… Вы увидите гораздо больший разрыв. Мораль истории: правительство продолжает удивляться, почему оно не может привлечь и удержать таланты в области кибербезопасности. А все достаточно просто — оно серьезно недоплачивают тем талантам, которые пытается удержать. Ни для кого не секрет, что некоторые фирмы от ИБ активно хантят сотрудников TAO.
Как показано выше, оплата труда в агентстве достаточно скудная. От этого люди ожидаемо становятся жадными и подлыми, когда дело доходит до написания отчетов и сдачи показателей (а вы обязаны писать отчеты о проделанной работе и собственных показателях два раза в год. Вот по этому я точно скучать не буду). Просто потому что вы можете стоять между ними и следующей ступенью по служебной лестнице. Проще говоря, государственные служащие были абсолютно неэтичны по отношению друг к другу. Бесцеремонны и аморальны. У них всегда было что-то более важное, чем помощь Вам в достижении Ваших целей. Я обнаружил, что получить поддержку хотя бы в одной из задач было абсолютным делом случая. Несколько раз то, что я высовывался и протягивая людям руку помощи сам, приводило к тому, что меня достаточно бесцеремонно осаждали. Вдобавок ко всему этому, внутри TAO достаточно распространено кумовство. Высокий процент кандидатов набирается из колледжей. Эти ребята всегда стремились работать внутри собственного круга и, несомненно, могли проявлять тенденцию к заведению любимчиков из числа друзей и сверстников. Начальству на это плевать с высокой колокольни до тех пор, пока выполняются поставленные задачи.
В то же время, когда работники не занимались грызней между собой, они сосредоточивали все свои усилия на «зеленозначечников». «Зеленозначечники» — это работники по контракту для агентства. Как вы уже догадались, определить контрактника можно было по зеленому значку. Подразумевалось, что во всех случаях контрактники получали больше федеральных служащих. От этого федералы из штанов лезли, чтобы смешать их с грязью, вне зависимости от сути проблемы и/или имел ли контрактник к ней прямое отношение. Я слыхал истории о том, что водителя автобуса могли буквально сожрать заживо за опоздание на 2-3 минуты.
И если вам недостаточно того, что вас пытаются тащить вниз собственные коллеги, с другой стороны всегда была абсолютно бестолковая команда менеджеров. С начала моей работы в программе разработки, у меня было несколько начальников. Ни один из них не мог внятно объяснить мне, чем конкретно я занимаюсь каждый день, или хотя бы как этот день проходит. Было столько офисного пространства, что это практически причиняло физическую боль.
Вообще, я обычно не испытываю проблем с тем, чтобы найти общий язык с окружающими и не отступаюсь от своих принципов, чтобы побыть сволочью в реальном мире (выпускаю пар я обычно в твиттере). Поэтому мне все-таки удалось найти несколько друзей в агентстве, отчего я не чувствовал себя совсем уж сидящем по уши в выгребной яме (большая часть из этих людей сейчас работает в других местах). К тому же стоит добавить, что опыт работы с людьми, которые были представителями не федералов, а военных подразделений, был потрясающей. Отличная командная игра, помноженная на подход «просто сделай это» и на порцию пятибалльного черного юмора примиряла с работой в должной мере.
Теперь перейдем к последней моей жалобе — приостановке работы правительства (вероятнее всего в виду имеется шестнадцатидневная приостановкам работы правительства в октябре 2013 года — прим. перев.). Конгресс в своем бесконечном идиотизме отказался согласовывать предложенный правительством бюджет. Когда случаются подобные истории все государственные услуги оказываются в подвешенном состоянии вплоть до момента, когда бюджет будет утвержден. Да, это затронуло и нас. Нам было приказано уходить без выходного пособия, на неопределенное время, без компенсации. Короче, «развлекайтесь дальше сами, как умеете». Приблизительно в то же время мы с женой стали гордыми обладателями недвижимости. Помимо ипотеки мне необходимо было оплачивать и другие счета. Ну, в самом деле, конгресс, неужто вопрос жизни нескольких тысяч людей не останавливает от того, чтобы затеять идиотскую склоку? К счастью, приостановка работы правительства оказалось не такой долгой, как могла бы быть и как многие ожидали. К тому же нам заплатили за период, когда нас фактически вынудили сидеть без работы. Забавно то, что фактически конгресс должен был проголосовать за то, чтобы вернуть нам эти деньги. А могли бы легко и непринужденно сказать: «Ни черта, ничего мы вам не заплатим», оставив нас в дураках. В конце концов, они конгресс и их волнуют только собственные счета и деньги. Им наплевать на вас лично или на то, что вы делаете для своей страны. Для меня это было последней каплей. Я принял решение, что с меня хватит и перевернул эту страницу своей жизни.
Я написал свое мнение и советы для тех, кто является новичком в информационной безопасности и для тех, кто может нуждаться в этих советах. Это своего рода передача опыта из рук в руки, опыта, который я приобрел сам, набивая собственные шишки. А также мое мнение на тему того, что возможно стоит делать для своего будущего. У меня достаточно примеров людей, которые приходили ко мне и говорили, что с момента, когда они услышали о TAO, они хотели там работать. И я делал все от меня зависящее для того, чтобы их переубедить. В любом случае, частный сектор платит больше. В большинстве мест вас никогда не попросят оформлять секретный допуск. В любом другом месте вам удастся завести больше друзей. Не говоря уже о социальном аспекте — невозможности обсуждать проблемы работы из-за того, что они являются предметом национальной безопасности. Я всякого навидался, многое из этого я унесу с собой в могилу и никогда не буду ни с кем обсуждать. Эти вещи пожирали меня изнутри. Особенно с учетом того, что в случае чрезвычайно плохого дня ты не мог поделиться ничем из этого с близкими.
Задолго до моего участия в Defcon было широко распространено мнение о том, что хакерам и специалистам-безопасникам лучше не работать «на дядю». Достаточно забавно смотреть, как все изменилось и теперь основатель Defcon и Black Hat не только работает Советником Министерства внутренней безопасности США, но и поменял свое мнение по этому поводу на полностью противоположное. Я же почти умоляю Вас поступать по-другому. Это в Ваших силах. Хотя бы не связывайтесь с Разведывательным сообществом США.
Фото: EFF