Хакер #305. Многошаговые SQL-инъекции
«Лаборатория Касперского» сообщила, что обжалует решение Министерства внутренней безопасности США (Department of Homeland Security, DHS) о запрете использования продуктов компании в американских органах власти. В официальном заявлении компании соответствующий приказ 17-01 назван «основанным на неподтвержденных и анонимных сообщениях в СМИ, слухах и ложных обвинениях в адрес компании». Также подчеркивается, что приказ нанес значительный ущерб как репутации «Лаборатории Касперского», так и ее бизнесу на американском рынке.
Напомню, что в конце октября 2017 года издания The Wall Street Journal, The Washington Post, The New York Times и другие обвинили «Лабораторию Касперского» в умышленной модификации своего ПО с целью хищения секретной информации американских спецслужб. Ссылаясь на собственные источники, журналисты сообщали, что в 2015 году неназванный сотрудник спецслужб загрузил секретную информацию на свой домашний компьютер, где было установлено антивирусное решение «Лаборатории Касперского», с помощью которого эти данные в итоге были похищены. В своих статьях издания высказывали предположения, что ПО компании было намеренно модифицировано российскими спецслужбами.
При этом сообщалось, что информация о причастности антивирусного производителя к хищению секретных данных АНБ поступила от израильских спецслужб. Якобы в 2015 году израильские хакеры взломали «Лабораторию Касперского» и обнаружили принадлежащую АНБ информацию (в том числе и некие «хакерские инструменты») во внутренней сети компании.
16 ноября 2017 года «Лаборатория Касперского» завершила внутреннее расследование инцидента и опубликовала его полные результаты.
В итоге «Лаборатория Касперского» решила отстаивать свои интересы в суде в рамках федерального закона о процедуре принятия административных решений (Administrative Procedure Act). Данный закон регламентирует порядок предложения и утверждения различных административных норм и стандартов со стороны федеральных ведомств США. В компании уверены, что в случае с принятием приказа 17-01 предусмотренные законом процедуры не были соблюдены.
«В частности, Министерство внутренней безопасности в своем неконституционном решении опиралось на непроверенные, субъективные и нетехнические источники (публикации в СМИ, слухи и голословные утверждения). Более того, ведомство так и не дало компании возможность выразить свою позицию в рамках предусмотренных законом процедур и опровергнуть все высказывавшиеся в ее адрес ложные обвинения. При этом министерство не представило никаких доказательств каких-либо нарушений со стороны “Лаборатории Касперского”», — гласит официальный пресс-релиз.
Сообщается, что еще в середине июля «Лаборатория Касперского» направила письмо в министерство, предлагая предоставить любую информацию о компании, о своей деятельности и продуктах. В середине августа министерство внутренней безопасности подтвердило получение письма и в ответном письме сообщило, что ценит готовность «Лаборатории Касперского» открыто взаимодействовать, и выразило интерес в дальнейшем диалоге. Но следующим шагом DHS стало уведомление компании о издании приказа 13 сентября 2017 года.
С помощью этого обращения в суд «Лаборатория Касперского» надеется защитить свое право на соблюдение должных административных процедур в соответствии с действующим федеральным законодательством и Конституцией США и тем самым возместить ущерб, причиненный коммерческой деятельности компании, ее сотрудникам в США, а также ее американским бизнес-партнерам.
«Решение Министерства внутренней безопасности США – опасный прецедент, который может быть использован для незаконного ограничения любого честного бизнеса. Это лицемерие, входящее в диссонанс с декларируемыми правами, свободами и другими демократическими принципами. Это действие, которое нельзя оставить без реакции. Поэтому мы идем в суд.
<...>
Мы без проблем выживем в этом геополитическом шторме. Понятно желание авторов целевых кибератак сократить наше присутствие на рынке. Понятно желание некоторых политиков любыми способами«накрутить» избирателей на внешнюю угрозу. Однако нельзя недооценивать процент пользователей, которым нужна лучшая защита и бескомпромиссный детект любых киберугроз (в том числе любых целевых кибератак). Нельзя недооценивать способность людей независимо мыслить и понимать что к чему. Агитпроповские методы прошлого века в стиле маккартизма уже не работают», — пишет в своем блоге Евгений Касперский.