|
Добро пожаловать в эпоху гонки кибервооружений!
На конференции по компьютерной безопасности в Таллине блок НАТО объявил о намерении создать специальную рабочую группу для выявления и реагирования на интернет-атаки.
Cyber Red Team займётся моделированием угроз и контролем готовности ответа, сбором и использованием информации из открытых источников, сканированием и зондированием Сети, а также осуществлением DDoS-атак на конкретные сайты или сети. «Потребность в таком подразделении очевидна», — подчеркнул докладчик Люк Дандеранд, эксперт управления C3.
«Кибератаки против Эстонии весной 2007 года, производившиеся в ходе операции России в Грузии в 2008 году, ясно дали понять, что у нас появился новый вид войны, который способен вызвать большой ущерб, — открыл Америку Джонатан Шоу, чиновник британского Министерства обороны. — Нам нужна система реагирования, и мы должны научиться реагировать быстро. Прежде чем атаковать в виртуальном мире, надо выполнить много домашних заданий». А министр обороны Великобритании Лайам Фокс отметил, что в прошлом году иностранные спецслужбы и преступные организации осуществили более тысячи кибератак на его ведомство. В общем, Лондон ведёт «непрерывный бой».
В целом, по данным фирмы Symantec, в 2010 году количество веб-атак выросло на 93% по сравнению с 2009-м.
Добро пожаловать в новую эпоху, друзья. Она началась около года назад, когда некий иранский компьютер безо всякой видимой причины начал непрестанно перезагружаться. Аналитики минской компании «ВирусБлокАда» первыми извлекли вредоносный код из машины и обнаружили неизвестный вирус беспрецедентных размеров и сложности. 17 июня 2010 года минчане предупредили о новой угрозе весь мир. С лёгкой руки Microsoft, работавшей в тесном сотрудничестве с «Лабораторией Касперского», червь получил название Stuxnet.
В отличие от обычных «нехороших программ», которые вредят только в виртуальном мире компьютеров и сетей, Stuxnet мог управлять насосами, клапанами, генераторами и прочим промышленным оборудованием. «Впервые аналитикам попался код, разработанный для реальных повреждений. Он действительно мог вывести из строя оборудование или привести к взрыву», — говорит Лиам О Мурчу, начальник службы кибербезопасности Symantec.
Стало очевидно, что в руках неких групп (а может, и целых государств) оказалось оружие, направленное на жизненно важные инфраструктуры. «Мы только сейчас вступаем в эпоху гонки кибервооружений», — считает Микко Хиппонен, главный научный сотрудник финской антивирусной фирмы F-Secure.
Что ещё хуже, Stuxnet показал, насколько неактуальны средства общественной киберзащиты.
Г-н О Мурчу и его сотрудники потратили бездну времени на потрошение червя. Около 15 тыс. строк кода, потребовавших не менее 10 тыс. человеко-часов работы! Два цифровых сертификата подлинности, украденных у уважаемых компаний! Эксплуатация четырёх дотоле не опознанных уязвимостей Windows!
Потом пришло осознание странного поведения вируса. Выяснилось, к примеру, что Stuxnet пытался «поговорить» с программируемыми логическими контроллерами (ПЛК) промышленного оборудования. К тому же червь был очень избирательным: хотя он мог обжить любой компьютер п/у Windows, главная часть исполняемого кода активировалась только при обнаружении Siemens Step7 — программного пакета для управления промышленными процессами.
Многие промышленные системы управления не подключаются к Интернету — как раз для защиты от вредоносных программ и «недружественного поглощения». Поэтому Stuxnet научили тайно устанавливаться на USB.
По сей день никто не знает, что именно должен был сделать Stuxnet с ПО Siemens. Установлено лишь, что вирус собирал информацию о заражённых компьютерах и отправлял её на серверы в Малайзии и Дании — по-видимому, чтобы разработчики могли обновлять его. Специалисты Symantec попросили интернет-провайдеров перенаправлять данные им — так удалось «подслушать», что по крайней мере 60% компьютеров, инфицированных червём, находится в Иране. А началось заражение ещё в 2009 году.
Очевидно, что вирус был сознательно направлен против Ирана.
Поскольку в Symantec не разбирались в ПЛК и SCADA, дальнейшим расследованием занялся Ральф Лангнер, частный консультант по вопросам кибербезопасности из Гамбурга (ФРГ). Эксперименты показали, что Stuxnet искал конкретные программные и аппаратные средства, то есть атака была целенаправленной. В сентябре 2010 года г-н Лангнер объявил в своём блоге, что наиболее вероятной целью была АЭС «Бушер». В дальнейшем эксперт и его коллеги стали склоняться к другой цели — предприятию по обогащению урана в Натанзе, где тысячи центрифуг отделяют уран-235 от урана-238. Многие западные страны считают, что там производится топливо вовсе не для атомных электростанций, а для ядерного оружия. Вредоносный код, по мнению г-на Лангнера, был призван изменить скорость центрифуг, в результате чего оборудование вышло бы из строя. Действительно, Международное агентство по атомной энергии зафиксировало резкое падение числа действующих центрифуг в 2009 году — тогда, когда Stuxnet, предположительно, заразил первые иранские компьютеры.
Этот вывод далёк от окончательного, а все доказательства, увы, носят косвенный характер. Инспекция МАГАТЭ в конце 2010 года показала, что мощности по обогащению урана в Иране выше, чем когда-либо.
Гипотеза о Натанзе (а также данные о том, что разработчики вируса имели опыт создания вредоносного ПО, разбирались в промышленной безопасности и конкретных типах и конфигурациях промоборудования) заставляет предположить, что Stuxnet — дело рук какого-то правительства.
Запад и прежде пытался саботировать иностранные ядерные программы, напоминает Олли Хейнонен, старший научный сотрудник Бельферского центра науки и международных отношений при Гарвардском университете (США) и экс-заместитель генерального директора МАГАТЭ. В 1980-х и 1990-х, например, спецслужбы проводили кампанию по подсовыванию неисправных частей в сеть поставок ядерных технологий из Пакистана в Иран и КНДР.
Всё время, пока кипела работа по дешифровке кода Stuxnet, Министерство национальной безопасности США хранило странное молчание, хотя в его недрах существует отдел Computer Emergency Readiness Team (CERT), созданный специально для реагирования на подобные угрозы. Правда, он выдал серию предупреждений, но уже после минчан, и в его сообщениях не было ничего нового. «Не может быть, чтобы они пропустили эту проблему», — считает г-н Лангнер.
В коде было также обнаружено слово Myrtus — Мирт. Согласно Библии, это имя (по-еврейски — Хадасса) еврейской жены персидского царя Ахашвероша (вероятно, Ксеркса I) Есфири, данное ей при рождении (имя Есфирь как вариант персидского Сатара — то есть Звезда — она получила, войдя в гарем). Есфирь спасла евреев, живших в Персии, от истребления, и в честь этого появился праздник Пурим. Неужели израильский след?
Увы, всё это не более чем догадки. Фактов по-прежнему нет. Ответа на вопрос «Кто?», скорее всего, никогда не будет. Исследование червя потихоньку сошло на нет к февралю с. г. Symantec опубликовала последний отчёт о его исполнении, линии атаки и способах распространения. Microsoft давно заделала «дыры» в Windows. Антивирусы обновлены.
Экспертов беспокоит другое: по сути, Stuxnet изложил план будущих нападений, и специалисты, дешифровавшие его, невольно сыграли на руку преступникам. «В некотором смысле вы открыли ящик Пандоры, начав эту атаку, — говорит г-н Лангнер, обращаясь к создателям червя. — И в конечном итоге, ребята, это может обернуться против вас».
Кроме того, Stuxnet показал, что эксперты в области кибербезопасности плохо подготовлены к подобным угрозам, ибо не имеют связи с людьми, знающими толк в промышленных системах управления. «Это два совершенно разных мира», — признаётся Эрик Байрс из канадской фирмы Tofino Industrial Security, занимающейся промышленной безопасностью. Пропасть между ними начинается уже в вузах: промышленная безопасность рассматривается как чисто технический вопрос, не достойный внимания академической прикладной математики. К тому же в университетах не учат разбираться с вирусами: для этого необходимы сложные системы безопасности (чтобы самим не заразиться), да и обыватель против: мол, вы там что, хакеров готовите?
Рой Максион из Университета Карнеги — Меллона (США) идёт дальше, утверждая, что кибербезопасность страдает от отсутствия научной строгости. Медицинские работники за 200 лет превратились из поставщиков пиявок в современных учёных с появлением доказательной медицины, отмечает он. «Компьютерная наука и компьютерная безопасность пока не сели на тот же поезд», — сетует эксперт, называя успехи информатики «салонными трюками». Например, на одной конференции было показано, как можно читать экраны мониторов по отражениям в стекле. «С практической точки зрения это полная туфта! — горячится г-н Максион. — В комнатах, где проводятся секретные совещания, нет окон. Но сколько было шума!»
Если предположить, что США не принимали участия в создании Stuxnet, молчание американцев становится ещё одним поводом для беспокойства. Не было замечено никакой реакции на появление нового поколения кибероружия — никаких планов скоординированных ответных мер, никаких консультаций с академическими кругами и бизнесом.
Другие страны отнеслись к угрозе более серьезно. Говорят, китайские и израильские вузы тесно сотрудничают с военными по вопросам кибербезопасности. За несколько месяцев до появления Stuxnet Юваль Эловичи, директор лаборатории Deutsche Telekom Университета Бен-Гуриона (Израиль), предупреждал, что следующая волна кибератак будет направлена на физическую инфраструктуру: «Думаю, это будет гораздо серьёзнее, чем падение нескольких атомных бомб». Он был далеко не первым, но киберобщественность, похоже, не верила в реалистичность таких прогнозов...
Вход на сайт Uvaga
