Как воюют киборги. Исход любой кибератаки определит человеческий фактор
Свершилось! — нервно выдохнуло мировое сообщество, узнав, что президент США Барак Обама подписал документы, регламентирующие проведение кибервойн. И впрямь: на первый взгляд все эти намерения выглядят настолько реально, что становится страшно от близости киберапокалиптических событий. Но давайте разберемся, так ли страшен этот зверь, как его малюют.
Оттенки желтого
Для начала заметим: рисуемая СМИ картинка сегодняшних кибервойн существенно отличается от действительности. Скажем, недавно СМИ дружно рассказывали, что хакеры взломали сайт NASA, а оказалось — книжный интернет-магазин этой организации. Нападки на публичные серверы бесплатной электронной почты (Эстония) или информационные «витрины» полицейского управления района Грузии вряд ли вообще можно назвать кибервойной. «По применяемым методам, бестолковому выбору целей и объему используемых ресурсов они более похожи на действия нескольких одиночек», — рассказывает Николай Федотов, главный аналитик InfoWatch.
И есть в этих инцидентах один нюанс: все — по разным причинам — делается с прицелом на широкую огласку и несет дезинформацию. Не исключение и знаменитый Stuxnet — вирус, главной целью которого была вовсе не Бушерская АЭС (ее строят, напомним, российские специалисты), о которой все время напоминает пресса, а совсем другое предприятие — завод по обогащению урана в городе Натанз. «Stuxnet весьма удачен для его создателей во всех отношениях, но в первую очередь в пропагандистском плане», — говорит Сергей Гордейчик, технический директор Positive Technologies.
Настоящие же кибервойны не терпят шума и давно ведутся в форме шпионажа. Поэтому в ряду примеров кибервойн невозможно найти подтверждений нанесенного противнику реального ущерба. Подобный опыт уже позволяет перейти к наступательным действиям, но этого не происходит.
«Кибердиверсии в мирное время не проводятся, потому что устранение их последствий не требует большого труда и времени, — поясняет Николай Федотов. — Настоящая кибервойна начнется одновременно с войной обычной». Интересно, насколько метко стреляет это ружье.
Как это делается
Теоретически вирус способен добраться до системы управления режимами работы агрегатов на любых сложных объектах. «Достаточно встроиться в процесс передачи управляющих сигналов на физическое устройство, — считает Олег Глебов, представитель компании «Информзащита». — Вторым этапом атаки будет отправка на центральный терминал информации о том, что все показатели в норме. Впоследствии достаточно блокировать команды, приходящие от оператора, и управлять устройством согласно задаче атаки».
«Если вы имеете доступ к технической документации, к самим программным продуктам, вы можете сделать любой перехватчик данных, — размышляет Артем Кириллов, заместитель коммерческого директора по техническому развитию Step Logic. — Правда, на это надо потратить огромное количество сил и времени, чтобы система мониторинга не заметила перехвата экрана, чтобы в файлах системного журнала событий все было подчищено, чтобы не сработала дублирующая система и т. д.».
Например, в современном самолете, который попроще атомной станции, предусмотрены три независимых контура управления, и для того чтобы произошла авария, нужно одновременно получить доступ ко всем трем. Эксперт уверен, что такие ситуации не могут возникнуть без участия человека
Человеческих рук дело
Во-первых, это те, кто приносит вирус на компьютер закрытой сети: за деньги или от скудости ума. Во-вторых, как утверждает Юрий Леонычев, эксперт по анализу защищенности компании «Информзащита», самым эффективным средством доставки вирусов (а также соответствующих противоядий) являются обновления от производителей ПО. Причем сами они об этом могут не знать, полагает Сергей Гордейчик: «Можно взломать менее защищенную сеть разработчика программы, заложить в нее закладку и ждать, когда она достигнет цели через механизм обновлений».
Обнаружить эту закладку в приобретаемом ПО со стопроцентной вероятностью невозможно — в этом уверены все эксперты. К тому же закладки могут прятаться на уровне компьютерных чипов.
Рассказывает Алексей Таболкин, президент группы компаний «Ангстрем»: «Современные технологии позволяют заложить возможность изменения алгоритма работы любой интегральной схемы еще на этапе ее проектирования. Если в микросхеме есть закладка, то при специальном внешнем воздействии — определенном электромагнитном импульсе или особом радиочастотном сигнале — она может начать работать по нестандартному, «диверсионному» алгоритму или просто выйдет из строя. Закладка может представлять собой всего лишь несколько транзисторов на интегральной схеме».
Образно говоря, вполне возможна ситуация, что где-то на заводах, производящих микроэлектронные компоненты, агенты ЦРУ заложили вирус, который будет внедряться в конкретное промышленное ПО, скажем, для атомных станций, и этот вредоносный код будет активироваться, например, подачей специального электромагнитного излучения откуда-то из космоса. Страшно? Очень! Особенно если задуматься, какую долю наших IT-решений занимают зарубежное оборудование и ПО.
Но ставить точку в замысле кибервоенной драматургии рано.
Третья сила
Профессионалы говорят, что примерно на одном уровне кибервооружений находится ряд стран: США, Великобритания, Россия, Китай, Индия. Это позволяет каждой из этих стран своевременно узнавать о новых угрозах и готовить защитные меры. Пошатнуть данный паритет сложно: слишком уж дорогая это затея — одновременный взлом сетей множества важных объектов противника, да и рискованная — чем шире охват объектов, тем выше шансы, что операция будет замечена.
Но возможно. По этому пути пошел Барак Обама, ведь фактически он публично заявил о целенаправленной концентрации технического интеллекта и финансовых средств в сфере изощренных кибервооружений. Сильный ход! Впору проситься в союзники и вставать в очередь за «противоядием». Но и это еще не конец истории — владельцам «яда» и «противоядия» тоже рано торжествовать.
Дело в том, что прорыв в технологиях кибервооружений сам по себе не гарантирует победы в новой войне. Гораздо важнее люди, работающие с информсетями. А с этим во всех странах тоже паритет — неумения и разгильдяйства.
Об этом говорит анализ кибервоенных операций: результат достигался благодаря ошибкам персонала! Даже на таком секретном объекте, как завод по обогащению урана, рассказывают эксперты, в ходе расследования инцидента c Stuxnet обнаружились вопиющие подробности. Например, ошибки в построении информсистемы с точки зрения безопасности.
Приходим к неожиданному выводу: в своем стремлении перепоручить максимальный объем ежедневной деятельности умным машинам человечество быстро забывает навыки жизни без компьютера. Но при этом оно неспособно контролировать те умные информационные системы, которые само же и создало. И кто поручится, что новейшее суперкибероружие не будет украдено или выкуплено какой-нибудь бандой международных террористов? И сегодняшние белые воротнички станут пушечным мясом их кибервойн.
***
Реальна ли опасность масштабных кибератак?
Рисовать апокалиптические картины не следует. Атаки по перехвату систем управления по силам только технологически развитым государствам, таким, как США, Китай, Россия, Индия. Применяться они будут только в случае полномасштабных конфликтов наравне со всеми другими средствами нанесения ущерба равному противнику. Я не верю, что в ближайшем будущем такое возможно. А против более слабого это и не нужно, его проще подавить традиционными методами. *
Александр Писемский
заместитель генерального директора Group-IB
Элементы кибервойны уже широко используются как в холодном противостоянии, так и в ходе горячих боевых действий. Остается только надеяться, что недоказуемость и безнаказанность кибератак не сподвигнет горячие государственные головы на использование их в качестве самостоятельного средства наступления. В киберпространстве сейчас нет паритета, нет стратегии сдерживания, и достаточно вероятно, что массированная кибератака может стать casus belli. *
Сергей Гордейчик, технический директор Positive Technologies
В обозримом будущем кибервойны будут следовать в фарватере традиционных конфликтов и являться их составной частью. А при отсутствии этих конфликтов компьютерные технологии будут использоваться для кражи секретов. Кибероружие отличается от обычного тем, что обычное можно создать и не использовать, но я не вижу ситуации, при которой созданное кибероружие будет отложено в дальний угол жесткого диска. Оно обязательно «выстрелит». *
Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского»
Только факты
Вести с фронта
Хрестоматийный пример кибершпионажа в военных и дипломатических целях — глобальная система перехвата спутниковых коммуникаций «Эшелон». Она разработана в США с участием Великобритании, Новой Зеландии, Канады и Австралии.
Большой резонанс получило обнаружение в 2009 году крупной шпионской сети GhostNet, охватывавшей посольства, министерства, госучреждения в 103 странах.
В этом году произошла атака на компанию RSA, производителя систем криптографии, с целью похищения алгоритмов шифрования. Затем украденные данные были использованы для нападения на производителя военной авиации Lockheed Martin.
В беспилотные самолеты США встроено ПО Suter, которое способно взять под контроль систему ПВО противника. Используется в Иране и Афганистане.
Во время фолклендского конфликта 1982 года Франция передала Британии коды для отключения системы наведения противокорабельных ракет «Экзосет» французского производства, стоявших на вооружении Аргентины. Правда, применить коды не успели.
В апреле 2009 года компьютеры управления электросетями США подверглись заражению вирусом. Он не успел нанести конкретного вреда, но поставил вопрос обеспечения безопасности довольно остро. Отчет о проведенном в августе 2010 года аудите электросетей США содержал 92 предписания по закрытию проблемных мест.
По оценкам компании ИВК, точно установлено порядка ста инцидентов с нарушениями информационной безопасности критически важных инфраструктур зарубежных стран. Например, червь Slammer вы звал сбои в работе атомной станции Davis-Besse в Огайо (США). Компьютерные черви добрались до сети управления железнодорожной компании CSX Transportation в США и системы сигнализации и управления австралийской железнодорожной компании RailCorp. Атака на систему управления воздушным движением привела к нарушениям в полетах на юге Великобритании. Хакеры смогли пробраться в сеть индийского ядерного исследовательского центра BARC и отключить защитные системы. В Австралии поймали вирус, нацеленный на нарушение работ систем водоочистки.
Диагностика
Горе от микроума
Необходимо понять очевидную вещь — все дело не в уязвимостях «железа» и софта и последующих атаках на них неких брутальных сообществ, а в недекларированных возможностях оборудования и программного обеспечения, с умыслом или без оного встроенных в них. Это даже доказывать не нужно. Это факт. А дальше — еще проще: это такая игра. Лидер отрасли предупреждает, что любое отклонение от правил чревато крайне серьезными последствиями. Проблема выявления таких возможностей — задача решаемая, но не до конца. Поэтому опасность несанкционированного вторжения имеет место всегда!
В такой ситуации нет ничего лучше, чем свое собственное и проверенное. Необходимо двигаться в сторону развития собственного производства ПО и «железа» или по крайней мере уметь в нужное время поставить потенциального нарушителя в неустойчивое положение и заставить искать решение хотя бы несколько десятков минут. А что на деле?
Системы технологического уровня создает небольшое число компаний, квалификация которых почти исключительно относится к сфере АСУ ТП, специализированных датчиков и контроллеров, а информационная безопасность в этот ряд не входит. Но даже крупные универсальные интеграторы частенько применяют средства, просто рекомендуемые им их зарубежными вендорами. Смешно, когда ведущие менеджеры, как заурядные продавцы «Гербалайфа», повторяют банальные истины по защите и цитируют документы зарубежных производителей. Этому есть объяснение: даже в компаниях с высокой квалификацией в центре внимания находятся денежные темы: решения для банков, защита от утечек информации, защита персональных данных, аудит информационной безопасности. Глубоких знаний по защите систем технологического уровня, пожалуй, нет и у них. Здесь даже правильная и масштабная постановка задач информационной безопасности — это дело будущего.
А ситуация с реальными кибернападениями может измениться в любой момент: до тех пор, пока это невыгодно, будут происходить хаотичные разрозненные атаки. Но как только появятся интересы и тем более деньги, вероятность успешного воздействия неизмеримо возрастет.
Автор: Елена Покатаева, ИТОГИ
Tweet