Как сохранить свою инфраструктуру в кибервойнах

Как сохранить свою инфраструктуру в кибервойнах

Не в последнюю очередь задержка с вводом в строй Бушерской АЭС в Иране скорее всего была связана с серией кибератак на объекты иранской инфраструктуры. По мнению экспертов британской ВВС, один из наиболее технически совершенных компьютерных вирусов был, вероятно, нацелен на срыв работы важнейших объектов инфраструктуры Ирана.

Напомним читателям, что весной этого года иранские власти заявили об обнаружении компьютерного вируса, мишенью которого должны были стать государственные учреждения этой страны. Как сообщил глава Организации пассивной обороны Ирана Голам Реза Джалили, этот вирус, получивший обозначение Stars, был в состоянии принести незначительный ущерб.

Если эта информация подтвердится, то Stars можно будет считать второй в течение года попыткой использования против Ирана компьютерных вирусов. По мнению экспертов, он специально разработан для выведения из строя центрифуг на иранских заводах по обогащению урана.

Понадобится некоторое время, чтобы установить предназначение вируса Stars, сказал Джалили. Вирус, по его словам, маскировался под видом компьютерных файлов, которые используют некоторые правительственные организации. Однако Джалили, хотя сначала и отказался ответить на вопрос, кто мог быть, по его мнению, автором этого вируса, позднее высказал уверенность в том, что вирус Stuxnet был разработан в США, и добавил, что он мог стать причиной крупномасштабных аварий и человеческих жертв.

Новый тип вируса

Впервые мир узнал о вирусе Stuxnet в июле 2010 года. Он был создан с целью выведения из строя особого класса электронных микросхем, используемых в устройствах управления промышленными установками. Подобные микропроцессоры использовались в системах управления центрифугами на крупнейшем иранском заводе по обогащению урана в Натанце. В США, однако, считают, что доказательств, что Stuxnet был направлен исключительно против Ирана, нет, как нет и достоверных сведений о том, кто запустил вирус в виртуальное пространство. Очевидно только то, что Stuxnet, который вызвал переполох во всем мире, подтвердил серьезность новых вызовов, говорит Шон Макгерк, директор Центра по кибербезопасности Министерства национальной безопасности США.

Один из немецких экспертов по компьютерным коммуникациям Ральф Лангнер полагает, что иранские системы управления установками по обогащению урана были заражены субподрядчиком из России при поставках соответствующего компьютерного оборудования. В интервью немецкому агентству Golem.de. он заявил, что заражение произошло не через Интернет и не напрямую, а скорее всего через интегрированную во внутреннюю сеть инфицированную часть поставленного оборудования. После этого червь атаковал включенные в сеть компьютеры и через них направленно искал управляющие механизмы и их коды управления. Найдя их, он начал свою разрушительную работу. Червь типа Stuxnet создан именно для вывода из строя управляющих систем.

Тактика создателей таких программ направлена на то, чтобы найти субпоставщика в окружении своей цели и затем тем или иным способом внедрить свою программу с тем, чтобы заразить все программы этого субпоставщика. А через них выйти уже и на основную цель. Кстати, отмечает Ральф Лангнер, чаще всего в таких целях используются безобидные на первый взгляд подарки на презентациях и других подобных мероприятиях типа зараженного брелка USB.

Впрочем, Джеффри Карр из журнала Forbes полагает, что обогатительные центрифуги, которые оказались под ударом червя, были поставлены иранцам финской фирмой Vacon. Но на самом деле, утверждает он, они были изготовлены в Китае. Возможно, что именно через китайскую фирму червь и попал в Иран. Но заниматься вредительством в Иране китайцам особого смысла нет. Возможно, что заражение произошло через какого-либо «крота». А это уже напоминает сюжет шпионского романа.

Кибероружие – понятие относительно новое в военном лексиконе и малоизвестное с точки зрения защиты инфраструктуры, в том числе и энергетической. ОЭСР относит к кибероружию вирусы, компьютерные черви, трояны, ботнеты (сети, зараженные программой, использующей ресурсы компьютеров в своих целях), а также программы, взламывающие системы безопасности компьютеров.

Мнение Касперского

Мы обратились к известному российскому производителю антивирусных программ с вопросом относительно того, существует ли вообще защита от кибероружия. По мнению Александра Гостева, главного антивирусного эксперта лаборатории Касперского, Stuxnet – первый из обнаруженных червей, который нацелен на перепрограммирование систем управления промышленным производством. На сегодняшний день это наиболее изощренный сценарий таргетированных атак.

Авторы червя Stuxnet обладают глубокими знаниями SCADA – технологии, используемой в системах мониторинга и управления промышленными, инфраструктурными и сервисными объектами. Соответственно этот зловред может внести нарушения в работу крупных производственных мощностей. Его целью может являться одна мишень, будь то электростанция, аэропорт или даже военный объект в какой-либо точке мира.

Главная задача Stuxnet – не шпионаж за зараженными системами, а подрывная деятельность. Создателей червя интересуют не коммерческие секреты: Stuxnet нацелен на конкретный программируемый контроллер (PLC), работающий на определенном процессоре. Можно сказать, что это ключ, который подходит к одной двери, однако никто не знает, где находится эта дверь. Более того, никто не может предсказать, что произойдет, после того как тот самый контроллер будет перепрограммирован – это зависит от того, какие устройства к нему подключены, какая информация подается на вход и на выход.

Простым вирус Stuxnet никак не назовешь. Безусловно, он был создан командой высококлассных специалистов, разбирающихся не только в системах PLC, SCADA, софте Siemens, но и в совершенстве знающих современные операционные системы, понимающих, как использовать уязвимости Windows, как обходить антивирусные программы и т.д. Подобный червь никак не может быть творением одного хакера, написанным на коленке в свободное от учебы время.

Для своего распространения по сети Stuxnet использует уязвимости Windows ОС. Помимо MS08-067, которую использовал и широко известный червь Kido (Conficker) в начале 2009 года, это уязвимость в службе Диспетчер печати (Print Spooler) Windows, которая позволяет передать и выполнить вредоносный код на удаленном компьютере. Исходя из особенностей уязвимости, заражению подвержены компьютеры, использующие принтер и предоставляющие к нему общий доступ. Заразив компьютер внутри локальной сети, через данную лазейку Stuxnet пытался проникнуть на другие машины.

Сразу после обнаружения уязвимости эксперты лаборатории Касперского уведомили Microsoft о найденной проблеме; их выводы были подтверждены специалистами производителя ОС. Уязвимость классифицирована как Print Spooler Service Impersonation Vulnerability, и ей был присвоен статус критической. В Microsoft немедленно приступили к созданию соответствующего патча MS10-061, который был выпущен 14 сентября 2010 года.

Кроме того, специалисты лаборатории Касперского обнаружили еще одну уязвимость «нулевого дня», относящуюся к классу Elevation of Privilege, которая использовалась червем для получения полного контроля над зараженной системой. Вторая аналогичная уязвимость (EoP) была обнаружена специалистами Microsoft.

Факт наличия сразу четырех уязвимостей, впервые использованных в Stuxnet, делает данную вредоносную программу действительно уникальным явлением в истории.

Для лечения этого вируса достаточно воспользоваться антивирусным решением, которое способно его обнаружить – к слову, червь успешно детектируется и обезвреживается всеми продуктами лаборатории Касперского. В процедуре лечения нет ничего сложного. Ну и конечно, необходимо вылечить зараженные USB-накопители.

Антивирусные центры

Еще несколько лет назад США и их партнеры по НАТО обратили внимание на проблему защиты от кибератак. Уже создана специальная сеть слежения и раннего предупреждения, которая объединяет 15 государств, включая Германию, Францию, Великобританию, Испанию и Швецию. Эти страны провели совместные киберучения Cyberstorm. Кроме того, США обмениваются с европейскими странами информацией, а также разрабатывают общие программы в сфере кибербезопасности с целью снижения рисков. Ставка делается на развитие систем раннего предупреждения.

Именно с целью предотвращения подобных кибератак, отмечает Deutsche Welle, в Таллине был несколько лет назад открыт Центр НАТО по защите от кибернападений. В Германии пошли еще дальше и создали даже Национальный центр киберзащиты. Как отмечает Deutsche Welle, 1 апреля в Бонне приступил к работе Федеральный центр киберзащиты (Cyberabwehrzentrum), который должен уберечь жизненно важные IT-системы Германии от нападений промышленных шпионов и киберсолдат недружественных государств. Перед сотрудниками центра поставлена задача своевременно обнаруживать и эффективно отражать кибератаки. Однако не все эксперты считают это целесообразным. Так, немецкий эксперт Сандро Гайкен полагает, что своевременно обнаружить и устранить последствия хакерской атаки высокого уровня – задача практически невыполнимая. Поэтому создание национальных центров киберзащиты – тупиковый путь, убежден эксперт.

Интервью эксперта

Данное интервью Deutsche Welle представляет интерес и для российских специалистов. Поэтому мы решили привести его полностью.

– Сможет ли центр киберзащиты справляться с поставленными перед ним задачами?

– Это зависит от того, с кем там будут бороться. Если речь идет о хакерах-самоучках и мелких мошенниках, то да, сможет. Правда, тогда необходимость в новой структуре отпадает: этим уже занимается Федеральное ведомство по безопасности в информационной технике (BSI). Если же мы говорим о кибератаках, исходящих от организованных преступных группировок и от военных структур враждебных государств, то тут специалисты центра совершенно беспомощны.

Боюсь, что здесь, в Германии, до сих пор не осознали, что кибератаки перешли на качественно новый уровень. Сегодня мы имеем дело не с подростками и мелкими бандами, а с военными. А военные используют другие методы. Они не кидаются камнями и не стреляют из пистолетов, у них в распоряжении – профессиональная разведка и тяжелая артиллерия. Поэтому своевременно обнаружить кибератаку такого уровня практически невозможно. Опыт показывает, что на это уходит в среднем 2,5 года. За это время атакующая сторона не только успеет нанести огромный ущерб, но и полностью замести следы.

– Вы напрямую связываете уязвимость операционных систем со степенью сложности их программирования. Почему?

– Взломать комплексную информационную систему легче. Исходный код операционной системы Windows 7 содержит 86 миллионов строк. Попробуйте обнаружить в таком море данных ошибку, занесенную злоумышленником. Недавно такая неприятность произошла с Linux: в одном-единственном месте исходника хакер добавил знак равенства. Это привело к изменению величины одного параметра. Обнаружить такую ошибку практически невозможно, это все равно что искать иголку в стоге сена.

– Предположим, что IT-специалистам все же удалось выявить кибератаку. Насколько реально отследить и привлечь к ответственности исполнителя и заказчика?

– Как правило, источник кибератаки пытаются определить по «почерку». Например, по характерным для того или иного государства методам программирования, IP-адресу, происхождению флэшки, если таковая была обнаружена. Однако всеми этими данными довольно легко манипулировать. К примеру, в промышленном шпионаже широко применяется практика симулирования «китайского следа». То есть даже если кибератака осуществляется из Западной Европы, хакер пишет троянскую программу так, чтобы у жертвы сложилось впечатление, что напали на него китайцы.

Таким образом, хакеры могут использовать существующие конфликты для того, чтобы искусно замести следы. Это очень опасно, особенно тогда, когда мы имеем дело с военной операцией. Например, если какое-нибудь государство нападает на Иран, делая вид, что оно США.

– Получается какая-то безвыходная ситуация: защитить IT-системы сложно, своевременно выявить и залатать «раны» нереально, обнаружить вредителя невозможно…

– Выход есть, но выстроить такую систему защиты очень дорого. Нужно отказаться от централизации усилий по отражению кибератак. Вместо того чтобы создавать центр, следует усилить средства самозащиты, так сказать, на местах – в IT-системах, которые являются объектами кибернападений. Для этого, во-первых, нужно принципиально отказаться от стремления объединять все в единую глобальную сеть. Наоборот, чем на более мелкие кусочки мы раздробим существующие сети, тем дороже и сложнее будет на них нападать. Ведь тогда для каждого элемента системы нужно будет нанимать отдельного хакера, который должен программировать отдельный троян, искать отдельную брешь.

Кроме того, это бы позволило оптимизировать отдельные IT-системы, подобрать для них индивидуальные решения, которые, в свою очередь, сделали бы их менее уязвимыми. Сейчас ведь идет подгонка под коммерческое ПО, которое рассчитано на массы. Эта стандартизация осуществляется в ущерб безопасности. Если же отказаться от использования коммерческого софта и перейти на индивидуальные решения, то уязвимых мест в IT-системах станет меньше.

– Насколько перспективен такой подход в Германии? Рассматривает ли такую альтернативу немецкое правительство?

– Дискуссии на эту тему ведутся только в кулуарах, поскольку задача эта сложная и дорогостоящая. Кроме того, на политиков серьезно давит лобби производителей коммерческого ПО. Ведь им нужно продолжать сбывать свои сетевые решения. А решения эти никакой угрозы для профессиональных хакеров не представляют.

Взгляд из России

Нельзя сказать, что в России вопросу защиты от кибератак не уделяется внимание. Но пока в Москве предпочитают рассматривать все проблемы под углом зрения чисто физической защиты объектов. Это находит отражение и в предлагаемых законопроектах, и в тематике проводимых совещаний. Понятно, что теракты на Баксанской ГЭС и Ирганайской ГЭС в Кабардино-Балкарии летом 2010 года или катастрофа на Саяно-Шушенской ГЭС летом 2009 года заслуживают самого пристального внимания. Но причины случившихся экстраординарных ситуаций на этих объектах ТЭКа связаны прежде всего с халатностью. К сожалению, под этим же углом зрения даже компании ТЭКа предпочитают проводить соответствующие совещания, как, например, одно из последних крупных совещаний-семинаров руководителей блока безопасности МРСК/РСК ОАО «Холдинг МРСК» под руководством заместителя генерального директора по безопасности ОАО «Холдинг МРСК» Владимира Платонова, которое было посвящено задачам повышения антитеррористической защищенности объектов распределительного электросетевого комплекса Российской Федерации. На эти цели тратятся миллиарды рублей. Однако под углом зрения обеспечения безопасности от возможных кибератак в России пока не проводится ни крупномасштабных учений, ни совещаний.

Правда, по сообщению агентства Интерфакс, Совбез и МИД РФ подготовили проект конвенции ООН «Об обеспечении международной информации», в котором Россия предлагает способы предотвращения мировых кибервойн на основе введения общих для всех стран, согласных с проектом, правил. Однако среди угроз, с которыми предлагается бороться посредством данной конвенции, обозначены такие, как «использование информационных технологий для враждебных действий и актов агрессии», «подрыв политической, экономической и социальной систем» одного государства другим, «манипулирование потоками в информационном пространстве других государств с целью искажения психологической и духовной среды общества», а также «массированная психологическая обработка населения для дестабилизации общества и государства». Другими словами, речь идет скорее о политике или информационных войнах, чем о конкретных угрозах тем или иным техническим системам. Это понятно, поскольку арабские революции, в ходе которых активно использовались средства массовой коммуникации, видимо, серьезно напугали властей предержащих (и не только в России). Но рассмотрение кибервойн только в качестве составной части информационной борьбы лишь одна из граней проблемы, причем не самая актуальная, если учесть ущерб, нанесенный с помощью кибератаки на иранские системы.

Но, как говорится, пока гром не грянет, мужик не перекрестится.

Источник: narodsobor.ru

Похожие новости:
"ВКонтакте" с Instagram: как настроить синхронизацию любимых соцсетей
На улице активных пользователей "Вконтакте" и Instagram настоящий праздник. В российской соцсети наконец-то реализовали возможность импорта снимков, которые пользователь выкладывает в Instagram. Раньше сохранить снимки из Instagram было не так-то просто. Для этого приходилось либо пользоваться специальными ..
2013-07-19 4979 0 Интернет, IT
0
У каждого человека может появиться цифровая копия
Всю информацию о человеке можно сохранить на компьютере и передать потомкам. Еще в 2000 году исследовательское подразделение компании Microsoft выпустило статью, описывающую возможность создания цифровой копии человека. В ней к задаче подошли так: вместо того, чтобы эксперементировать с оцифровкой человеческого ..
2012-04-4 925 0 Интернет, IT
0
Найден способ взломать Tor-браузер
Администрация Tor Project предупредила пользователей о возможном взломе анонимной сети из-за критической ошибки Mozilla Firefox, на основе которого разработан защищенный браузер. Об этом в четверг, 1 декабря, сообщает 9to5mac.«Каждому, кто пользуется Tor и хочет сохранить свою анонимность, рекомендуется обновить ..
2016-12-02 2720 0 Интернет, IT
0
Сбербанк отдал за "Яндекс.Деньги" 65 миллионов
Сбербанк и "Яндекс" объявили о стратегическом партнерстве и создании совместного предприятия на базе "Яндекс.Деньги". Три четверти сервиса отошли Сбербанку за 65 миллионов долларов, за "Яндексом" остается блокирующий пакет акций. Завершение сделки планируется на первый квартал будущего года. Ожидается, что возглавит проект ..
2012-12-19 1164 0 Интернет, IT
-1
В Лондоне будет самая большая зона бесплатного wi-fi
В честь Олимпиады-2012 в Лондоне, в столице Англии решили создать самую крупную в Европе "зону" бесплатного подключения к Интернету. Этим займется оператор мобильной связи "О2", которые к марту должны завершить установку wi-fi в трех районов Лондона: Вестминстера, ..
2012-01-8 865 0 Интернет, IT
0
Google сдаст в аренду свои дата-центры
Google решила открыть свою "облачную" инфраструктуру сторонним компаниям и разработчикам. Как сообщается в корпоративном блоге, поисковая система начала сдавать виртуальные машины (VM) на базе Linux в своих дата-центрах. Новый сервис — Compute Engine - предоставляется в формате ..
2012-06-29 1000 0 Интернет, IT
0
Касперский намерен охранять правительство США
Глава «Лаборатории Касперского» Евгений Касперский объявил о намерении открыть офис в столице США Вашингтоне, где американские специалисты будут разрабатывать защитный софт для защиты местных объектов инфраструктуры. Об этом сообщают «CNews.RU». Российская компания «Лаборатория Касперского», один из крупнейших в мире ..
2013-05-17 989 0 Интернет, IT
0
Twitter даст скачать архив твитов
Сервис микроблогов Twitter запустил новую функцию, позволяющую скачать полный архив сообщений, начиная с самого первого. Чтобы сделать это, нужно зайти в настройки аккаунта и нажать на кнопку "Запросить архив" (Request your archive). Ссылка на файл ..
2012-12-18 1062 0 Интернет, IT
0
Владельцу Yota и "МегаФону" разрешили слияние
Федеральная антимонопольная служба (ФАС) одобрила сделку по объединению активов компании "Скартел", оказывающей услуги беспроводного интернет-доступа в стандарте LTE под брендом Yota, и сотового оператора "МегаФон". Об этом говорится на сайте ведомства. Результатом сделки может стать создание единого телекоммуникационного ..
2012-06-19 1508 0 Интернет, IT
0
Щеголев: угроза отключения Рунета извне существует
Учения, проведенные Минкомсвязью РФ совместно с силовыми ведомствами, подтвердили недостаточную устойчивость работы интернета на территории России в случае недружественных целенаправленных действий, признал помощник президента РФ, экс-глава Минкомсвязи Игорь Щеголев в интервью, опубликованном сегодня на портале Экспертного центра ..
2014-10-17 872 0 Интернет, IT
0
Dropbox открыла разработчикам новые возможности
Создатели Dropbox провели в Сан-Франциско свою первую конференцию для независимых разработчиков. На DBX 2013 компания объявила, что аудитория сервиса превысила 175 миллионов человек, поддержка Dropbox встроена в 100 тысяч приложений, а ежедневно в "волшебной папке" сохраняется более миллиарда файлов. Также на DBX были ..
2013-07-10 1016 0 Интернет, IT
0
Amazon GameCircle теперь доступен на всех устройствах Android
Kindle Fire владельцы, вероятно, уже знакомы с GameCircle службы Amazon, который оказывает помощь геймерам в поиске партнеров для игры, демонстрации своих игровых достижений, а также помощь в синхронизации игр между различными устройствами.С сегодняшнего дня все пользователи устройств на Android смогут ..
2013-07-2 832 0 Интернет, IT
0
В 2014 году может исчезнуть глобальный интернет
Эксперты Лаборатории утверждают, что в 2014 году, интернет который мы знаем в глобальном, привычном для нас виде может исчезнуть. А его заменят отдельные национальные сети, с ограниченными доступами к иностранным ресурсам. А. Гостев, главный эксперт компании, утверждает, у пользователей пропадает доверие к безопасности ..
2014-01-19 947 0 Интернет, IT
0
Вести.net: энергоэффективный чип может сделать проект "Интернет вещей" реальностью
Компания ARM, один из крупнейших поставщиков экономичных процессоров для мобильного рынка, анонсировал самый энергоэффективный в мире чип, который, как считают в компании, станет основой будущего "Интернета вещей" (Internet of Things). Речь о новом поколении архитектуры Cortex. Как сообщили ..
2012-03-14 1094 0 Интернет, IT
0
Одноклассники открывают страницы для поисковиков
Социальная сеть "Одноклассники" в среду открывает страницы пользователей для индексации поисковыми системами, сообщил на пресс-конференции руководитель проекта Илья Широков. По его словам, первым поисковиком, который сможет проиндексировать и включить в результаты поиска ссылки на страницы участников "Одноклассников", стал ..
2011-11-23 1545 0 Интернет, IT
0