Михаэль ДОРФМАН
В прошлом (2011) году сгорела водонапорная станция в Спрингфилде, штат Иллинойс. Следователи установили, что в компьютерную систему станции заходили через интернет откуда-то из российской глубинки. Два дня спустя кто-то слил прессе меморандум из Центра синтеза информации штата Иллинойс (куда входят полиция штата, ФБР и Департамент национальной безопасности). Авторы меморандума обвиняли в аварии русских хакеров. Казалось, что осуществляется худший сценарий кибервойны, когда хакерам удаётся посеять хаос в реальном мире. Если насосная станция была взломана – значит, это могло произойти и на других ключевых объектах — электрических сетях, в нефтяной и газовой промышленности? И есть ли способ защитить себя от этого?
Комедия ошибок
В конце августа 2012 года в Американском сенате тихо скончался массивный (казалось бы, двухпартийный) законопроект о борьбе с киберпиратством. Законопроекту дали умереть, в первую очередь, вовсе не из-за стараний гражданского общества, обеспокоенного усилением полицейских функций государства. Закон умер, прежде всего, потому, что крупнейшая лоббистская организация Большого Бизнеса – Торгово-промышленная палата США и её союзники – сопротивлялись введению даже добровольных стандартов для защиты инфраструктуры от такого рода атак. Они утверждали, что интернет-бизнесы итак способны себя защитить.
Этот законопроект – Cyber Security Act – был последним в череде попыток дать государственный ответ угрозе так называемых «кибернетических атак», или кибератак, способных нанести ущерб в реальном, а не только виртуальном, мире. Суровые предупреждения о возможных нападениях и намёки на состоявшиеся атаки в течение многих лет исходят от таких политических тяжеловесов, как нынешний министр обороны (и бывший директор ЦРУ) Леон Панетта. Не кто иной, как Панетта, заявил не так давно, что «имеется большая вероятность того, что следующий Пёрл-Харбор, который на нас обрушится, будет кибератакой».
Главе Пентагона вторил конгрессмен-республиканец из Мичигана Майк Роджерс: «Кибератаки могли бы обвалить критические инфраструктуры и потенциально нанести огромный урон Соединённым Штатам». Лидер сенатского меньшинства Гарри Рид заявлял, что ведущие эксперты страны по безопасности уверены, «что кибернетическое 11 сентября неизбежно».
Не отстаёт от политиков и «фабрика грёз» Голливуд. Правда, грёзы там теперь всё больше – из блокбастеров о кошмарах и катастрофах. Следующий фильм неумирающего «Крепкого орешка» (“Die Hard”) посвящён массивной кибератаке на США. Судя по тому, что покажут в фильме 2013 года, хакеры обвалят весь интернет в США. Рухнет транспортная система и финансовый сектор.
Впрочем, отключить Интернет грозилась и известная громкими хакерскими атаками организация “Anonymous”, но они пока не осуществили своих угроз. Я уже пять лет участвую в их деятельности и обсуждениях. Это вовсе не организация, а, скорее, социальная сеть, обсуждающая различные темы. В результате обсуждения (или без него) отдельные группы или индивидуумы могут принять решение действовать. Порой там сперва громогласно объявляют акции и инициативы, а лишь потом решают, что и как они будут делать.
От кибернетических атак не только трудно защититься. Их даже трудно засечь, когда они произошли. Как решили, что русские хакеры имели отношение к пожару насосной станции? Wired.com назвал это «комедией ошибок». Журнал сообщил, что русских заподозрили потому, что подрядчик, который работал на насосной станции, ездил в отпуск в Россию и оттуда входил в свои системы управления. Так что Ruskies (как не особо лестно называют в Америке всех жителей стран бывшего СССР) – как бы ни при чём.
Сегодня реально есть всего один-единственный проверенный инцидент уничтожения важных объектов инфраструктуры с помощью компьютерной атаки. Это комплексный компьютерный червь “Stuxnet”, который был использован против иранских ядерных объектов. Принято считать, что он был создан совместными усилиями Израиля и Соединённых Штатов. Как сообщалось, червю “Stuxnet” удавалось создавать впечатление, будто установки функционируют нормально, в то время как отказали центрифуги. Диверсию выявили лишь когда центрифуги оторвались друг от друга.
Михаил Юданин, специалист в области контроля качества компьютерных программ из Атланты (штат Джорджия) напомнил и более древний инцидент:
— В начале 80-х ЦРУ, зная, что СССР ворует программное обеспечение для контроля газопроводов, ввёл в одну из программ примитивный, но верный “баг”, или неполадку. В результате этой неполадки произошёл взрыв на газопроводе в Сибири, нанёсший немалый урон. Случай этот показателен. Даже сегодня лучший способ кибератаки – использование знаний о компьютерном коде системы, “задней двери”, которая почти всегда имеется.
Всё гораздо проще
Однако “Stuxnet” был не классической кибератакой, которая подразумевает, что из удалённого терминала кто-то отправляет по интернету приказы взорвать или повредить что-то. По словам Джерри Брито, директора программы технологической политики в Центре “Mercatus” Университета Джорджа Мейсона, для создания “Stuxnet” нужна была разветвлённая шпионская сеть. Нужно было иметь агентуру на месте, среди инсайдеров, работающих на реакторе в Натанзе в Иране. Как только “Stuxnet” был создан, его надо было физически запустить там в компьютеры. По мнению Брито, очень мало стран имеет необходимые ресурсы для создания и запуска чего-то подобного “Stuxnet”.
— Увы, всё гораздо проще, — говорит Михаил Юданин. — Кибератаки часто используют так называемую социальную инженерию (social engineering): полдела делает компьютерный код, а вторую половину – глупость и доверчивость. Следующий вариант, например: хакер узнаёт, кто является системным администратором банка А или электростанции Б. Сделать это легко: с помощью LinkedIn. Потом узнаёт всё про этого человека в“Фэйсбуке”. После этого изучает, какая система используется компанией-жертвой. Сделать это тоже обычно нетрудно: фирмы, разрабатывающие подобные системы, гордятся заказчиками, а их работники с удовольствием указывают детали в резюме, которые развешивают на всех сайтах по поиску работы – на всякий случай. Потом хакер звонит в Support, представляется системным администратором, которому позарез нужно зайти в систему – директор на втором телефоне… А логин почему-то не работает. Бывает.
Техническая поддержка в замешательстве. Вроде не положено, но директор… А спросим мы его что-нибудь эдакое про нашего администратора, что-то, что только работники фирмы знают, что-нибудь личное! Скажем, с кем он сидел за одним столом на прошлой вечеринке. Ого, знает? (Знает он, знает. Только час назад разглядывад в “Фейсбуке” триста двадцать три фотографии той вечеринки) Ну, тогда порядок. И вот вам вход в систему. Хоть в Иране, хоть в Вашингтоне. Ну, а потом можно и вирус запустить – причём желательно такой, что его антивирусы не увидят. А именно – простой, как топор. И теперь мы можем тихо ждать, пока что-то сломается и взорвётся. Дня через три, наверное.
Юданин руководит компанией “Confail”,занимающейся тестированием компьютерного оборудования и знает всю кухню не понаслышке:
— Похожий трюк можно повторить и с компанией, разрабатывающей систему контроля (Command-and-control system – C4I) для армии или флота. И в программу эту посадить то, что нам надо, пока её только пишут. И ни один тест ничего не выявит, если умно сделать. Вычитку кода, предписанную всеми разумными правилами, всё равно почти никто никогда не делает – очень долго и неимоверно скучно. Сроки всегда поджимают, потому что мы хотим побыстрее сделать, и наших умных программистов на другом проекте использовать. И дали заведомо заниженные сроки клиенту, чтобы тендер выиграть.
Когда материал уже был готов, пришло сообщение о массированной атаке на Саудовскую национальную нефтяную компанию ARAMCO. Туда удалось внедрить компьютерный червь “Shamoon”, который вывел из строя более 30.000 компьютеров. Подозревают, что червя внедрил инсайдер, обладавший высокой степенью доступа. Это куда серьёзней, чем постоянные атаки хакеров на иранские нефтяные учреждения, когда компьютеры просто забрасывают большими пакетами информации, что препятствует доступу. В реальном мире – это как пикет протеста возле дверей.
Панические заявления в американском Конгрессе пока не подтверждены реальными данными. Доказательства нападения на американские инфраструктуры весьма скудны. Правозащитные организации опасаются, что кибервойна стала всего лишь удобным пугалом, помогающим законодателям наложить непопулярные ограничения на интернет. Вместе с тем, чем больше я узнаю об уязвимости инфраструктуры США, тем более серьёзной выявляется угроза.
— Ещё бы, — говорит Юданин. — Пока атаки нет, все гордятся своим киберщитом. Как только она случается, никто добровольно не пойдёт бить себя в грудь и кричать “mea culpa”. Тем более, что способы защиты требуют не столько бюджета, сколько дисциплины и надзора над разработчиками.
Защиты нет
Кибервоины будут выбирать своей целью так называемые SCADA-системы, которые контролируют производственные процессы – доильные аппараты на молочных фермах, шлюзы на каналах, водоочистные сооружения, электрические сети и многое другое. Самый простой из способов защитить инфраструктуру – это просто не подключать SCADA к глобальной сети Интернет. Профессионалы называют это air gapping (воздушный зазор).
— Любая сеть генерирует магнитные колебания, – объясняет Юданин, — так как проводки — металлические. Если рядом есть ещё один провод, он «ловит» магнитный сигнал. И может его генерировать, меняя сигнал первого. Используя электросеть, можно влиять на инфраструктуру компьютерной сети, провода которой пролегают рядом. На эту тему тоже есть стандарты, да кто б их выполнял…
Компьютерные черви, вроде “Stuxnet”, не могли быть установлены на компьютеры на иранской АЭС дистанционно, потому что там имеются системы гэппинга (зазора). Гэппинг является обязательным стандартом систем SCADA, однако это не значит, что этот стандарт всегда соблюдается.
Эйран Леверетт занимается компьютерной безопасностью в IOActive. Он проработал пять лет в области обеспечения качества в «Дженерал Электрик Энерджи». Леверетт рассказал, что много раз получал от начальства указания не делать много тестирования безопасности, так как их устройства не были подключены к Интернету. И это ложная установка по двум причинам. Во-первых, все их системы связаны с интернетом в некоторой степени. Во-вторых, даже если системы отключены от Интернета, то всё равно существуют проблемы безопасности систем. Леверетт пытался отстаивать своё профессиональное мнение, но это требовало расходов, а, значит, снижало барыши.
— Любой компьютер, у которого есть USB, в принципе может считаться подключенным к интернету: через работника, который свою “грязную” флэшку обязательно туда засунет рано или поздно. Чтобы посмотреть этот удивительный ролик, данный ему лучшим другом, встреченным вчера в пабе в первый раз, — поясняет Юданин.
Леверетт определил, что более 12.000 считающихся изолированными систем SCADA, на самом деле, так или иначе подключены к Интернету. Среди них – очистные сооружения, геотермальные ТЭЦ, электростанции, плотины, мосты, железнодорожные станции. Тем не менее, Леверетт не особо впечатлён заявлением главы Агентства национальной безопасности генерала Кейта Александра, объявившего о 17-кратном увеличении компьютерных атак на американские инфраструктуры между 2009 и 2011 годами. «Ни одно из этих нападений не имело никаких последствий, — говорит Леверетт. — Есть огромная разница между доступом к плохо обеспеченным частям инфраструктуры и, например, возможностью взорвать трубопроводы. Куда более вероятно, если противники применят кибератаки в комбинации с методами традиционной войны».
Двадцать лет назад профессор анализа обороны в Высшей школе ВМС США Джон Аркуилла ввёл в оборот понятие кибервойны. В статье под названием «Кибервойна идёт» он предполагал, что кибератаки могут быть использованы военными, чтобы нанести урон инфраструктуре противника в начале военных действий. Аркуилла проводил аналогию с использованием воздушного нападения в начале блицкрига в 1939-1941 годах, разрушавшего коммуникации. Правоту Аркуилла доказали кибератаки на Грузию летом 2008 года. Накануне российского наступления удалось парализовать компьютерные коммуникации и, тем самым, значительно повысить эффективность наступления российских войск, существенно снизив их потери. Использование кибероружия в российско-грузинской войне показывает, что можно сделать в более крупных масштабах в будущем.
Израильско-грузинский бизнесмен, связанный с торговлей оружием, рассказывал мне, что маленькая грузинская армия оказалась без «воздуха», в большой мере, в результате российских компьютерных атак. Это странно, поскольку подобная технология использовалась израильтянами в воздушном противостоянии с сирийцами в небе Ливана. Тогда израильтянам удалось глушить коммуникации между пилотами сирийских ВВС и наземной противовоздушной обороны. За 20 лет могли бы подработать дефекты.
— Кто сказал, что использовали те же уязвимые места? – спрашивает Юданин. — Чтобы “проработать дефекты”, необходимо нестандартное мышление на метасистемном уровне. Большинство знакомых мне экспертов по безопасности компьютерных систем набор стандартных трюков хакеров и несколько стандартов. То есть то, что было релевантно вчера. Более того: зовут их обычно гораздо позднее, чем надо бы.
Правда, грузинская авиация даже без компьютерных атак не смогла бы противостоять российской, да и согласно «ВикиЛикс», израильтяне выдали русским коды грузинских дронов израильского производства в обмен на коды ПВО «Тор-1», поставленных Россией Ирану. Аркуилла и через 20 лет искренне считает, что мы уже в разгаре эскалации кибервойны. Более того, он уверен, что кибервойна может оказаться предпочтительнее конвенциональных методов ведения боевых действий.
— На протяжении всей истории, — говорит Аркуилла, — войны заключались в попытках подавления массы и энергии противников. Кибервойны можно вести с гораздо меньшими жертвами. Есть возможность использования кибератак на подавления военного управления двух стран, готовящихся пойти друг с другом. Возможно сделать это под какой-то формой международного контроля. Было бы здорово, если бы голубые каски ООН получили возможность остановить конфликт, нажав на нужные кнопки.
Не так всё «здорово». Возможности кибервойны облегчают атаки и способны сделать конфликты куда более частыми. Легендарный командир южан в Американской войне генерал Роберт Ли как-то заметил, что очень даже здорово, что войны такие ужасные. Иначе нам пришлось бы отучать людей их любить. Возможно, кибервойна слишком лёгкая, и надо опасаться этой необыкновенной лёгкости.
В книге «Конфронтация и скрытность. Секретные войны Обамы и необычное использование американской мощи» Дэйвид Санджер показывает, что, возможно, США уже применяют концепции Арквиллы на деле.
— Подход администрации Обамы к вопросам национальной безопасности заключается в поисках стратегии минимального вмешательства, так называемой стратегия light footprints (лёгких следов), — говорит Санджер. — Администрация ищет способы, как бы обеспечить возможность США решать проблемы со своими противникам без отправки сотен тысяч солдат; без оккупации стран в течение десятилетия; не тратя сотен миллиардов или триллионов долларов. Стратегия «лёгких следов» предполагает привлечение высокотехнологичного оружия, которое намного дешевле, и не предполагает риска людских потерь.
Такая стратегия чревата опасностью. Государства не способны долго удерживать монополию на кибероружие. Оно обязательно окажется в руках частных корпораций, политических и криминальных группировок, а то и в руках отдельных граждан. Большинство экспертов разделяют опасания Санджера, что демократизация технологий позволяет вести войну не только государствам, но и обычным преступникам, любопытные хакерам и группам активистов, вроде “Anonymous”.
Решения
Вышедшая прошедшим летом книга Джеймса Ховарда Канцлера «Слишком много колдовства: Желаемое за действительное и судьба нации» указывает и на другую опасность подобных концепций — магическое мышление и ожидание чудес от технологии, в попытках продолжать жить и мыслить по-старому в новых изменяющихся условиях современного мира. Джон Аркуилла предупреждает ещё об эффекте бумеранга. Для разработки ”Stuxnet”, возможно, требовались большие инвестиции. Однако, когда червь появился в сети, то найдутся и хакеры, которые займутся обратной инженерией. Расшифровать структуру вируса куда проще и, самое главное, дешевле, чем создать такой вирус.
— Эффективность вируса не всегда прямо пропорциональна его сложности. Часто всё наоборот, — объясняет Юданин. – Возьмём принцип «Катюши»: ракета намного слабее «Фау», машина тоже – простой грузовик, рама сварена фэзфушниками. А скомпоновано всё так, что даёт то, о чем «Фау» только может мечтать: непрерывность огня, мобильность и пр. Так и с вирусами.
Каждый раз, когда используется новое кибероружие, всегда найдутся умельцы, способные разобраться, как оно устроено. Гонка вооружений не ограничится только несколькими крупными военными державами. Это будет гонка всех против всех. Катастрофы здесь, конечно, нет. Необходимы законодательно разработанные стандарты безопасности инфраструктуры. Задача заключается в точной оценке угрозы и предотвращении гибели людей. Решения здесь, как правило, — сугубо технические.
И вновь предоставим слово Юданину:
— Не может быть, чтобы обошлось без поднятия дисциплины разработки компьютерных программ хотя бы до того уровня, на котором находится производство сандалий. Ни для одного программиста не секрет, что стандарты производственного процесса в ИТ до сих пор находятся в зачаточном состоянии. Например, в большинстве организаций отсутствуют качественные требования к программному обеспечению. Представьте себе производство, где отсутствуют чертежи… Код вычитывается, то есть построчно проверяется, чрезвычайно редко. Правила установки нового кода тоже не всегда существуют и, если существуют, почти никогда не соблюдаются. Стандарты чаще всего есть только на бумаге. Тестирование на безопасность (security testing) обычно вообще не производится. Вместо этого приглашается эксперт-консультант, которому даётся часов эдак двадцать. И всё, что он может проверить – это несколько часто встречающихся «дырок». Большинство кода разрабатывается частными компаниями, для государственного заказчика проконтролировать наличие даже самого базисного уровня процесса очень сложно.
Пока же судят да рядят про мир виртуальный, в мире материальном события идут своим чередом. В начале августа 2012 года трое известных пацифистов в возрасте 57, 63 лет во главе с 82-летней монахиней, сестрой Меган Райс проникли на территорию ядерной базы в Ок-Ридже и расписали антивоенными лозунгам здание склада топлива для атомных бомб. Так что непонятно, кого тут надо больше опасаться, кибервойны или возмущённых пенсионеров, которые в следующий раз могут принести с собой что-то посерьёзней аэрозольных баллончиков.
В статье использовались материалы, представленные на профессиональных семинарах, которые автор посетил по своей основной работе, а также беседы со специалистом в области контроля качества компьютерных программ Михаилом Юданиным, руководителем «Conflair», Атланта, шт. Джорджия.