Как сохранить свою инфраструктуру в кибервойнах

Как сохранить свою инфраструктуру в кибервойнах

Не в последнюю очередь задержка с вводом в строй Бушерской АЭС в Иране скорее всего была связана с серией кибератак на объекты иранской инфраструктуры. По мнению экспертов британской ВВС, один из наиболее технически совершенных компьютерных вирусов был, вероятно, нацелен на срыв работы важнейших объектов инфраструктуры Ирана.

Напомним читателям, что весной этого года иранские власти заявили об обнаружении компьютерного вируса, мишенью которого должны были стать государственные учреждения этой страны. Как сообщил глава Организации пассивной обороны Ирана Голам Реза Джалили, этот вирус, получивший обозначение Stars, был в состоянии принести незначительный ущерб.

Если эта информация подтвердится, то Stars можно будет считать второй в течение года попыткой использования против Ирана компьютерных вирусов. По мнению экспертов, он специально разработан для выведения из строя центрифуг на иранских заводах по обогащению урана.

Понадобится некоторое время, чтобы установить предназначение вируса Stars, сказал Джалили. Вирус, по его словам, маскировался под видом компьютерных файлов, которые используют некоторые правительственные организации. Однако Джалили, хотя сначала и отказался ответить на вопрос, кто мог быть, по его мнению, автором этого вируса, позднее высказал уверенность в том, что вирус Stuxnet был разработан в США, и добавил, что он мог стать причиной крупномасштабных аварий и человеческих жертв.

Новый тип вируса

Впервые мир узнал о вирусе Stuxnet в июле 2010 года. Он был создан с целью выведения из строя особого класса электронных микросхем, используемых в устройствах управления промышленными установками. Подобные микропроцессоры использовались в системах управления центрифугами на крупнейшем иранском заводе по обогащению урана в Натанце. В США, однако, считают, что доказательств, что Stuxnet был направлен исключительно против Ирана, нет, как нет и достоверных сведений о том, кто запустил вирус в виртуальное пространство. Очевидно только то, что Stuxnet, который вызвал переполох во всем мире, подтвердил серьезность новых вызовов, говорит Шон Макгерк, директор Центра по кибербезопасности Министерства национальной безопасности США.

Один из немецких экспертов по компьютерным коммуникациям Ральф Лангнер полагает, что иранские системы управления установками по обогащению урана были заражены субподрядчиком из России при поставках соответствующего компьютерного оборудования. В интервью немецкому агентству Golem.de. он заявил, что заражение произошло не через Интернет и не напрямую, а скорее всего через интегрированную во внутреннюю сеть инфицированную часть поставленного оборудования. После этого червь атаковал включенные в сеть компьютеры и через них направленно искал управляющие механизмы и их коды управления. Найдя их, он начал свою разрушительную работу. Червь типа Stuxnet создан именно для вывода из строя управляющих систем.

Тактика создателей таких программ направлена на то, чтобы найти субпоставщика в окружении своей цели и затем тем или иным способом внедрить свою программу с тем, чтобы заразить все программы этого субпоставщика. А через них выйти уже и на основную цель. Кстати, отмечает Ральф Лангнер, чаще всего в таких целях используются безобидные на первый взгляд подарки на презентациях и других подобных мероприятиях типа зараженного брелка USB.

Впрочем, Джеффри Карр из журнала Forbes полагает, что обогатительные центрифуги, которые оказались под ударом червя, были поставлены иранцам финской фирмой Vacon. Но на самом деле, утверждает он, они были изготовлены в Китае. Возможно, что именно через китайскую фирму червь и попал в Иран. Но заниматься вредительством в Иране китайцам особого смысла нет. Возможно, что заражение произошло через какого-либо «крота». А это уже напоминает сюжет шпионского романа.

Кибероружие – понятие относительно новое в военном лексиконе и малоизвестное с точки зрения защиты инфраструктуры, в том числе и энергетической. ОЭСР относит к кибероружию вирусы, компьютерные черви, трояны, ботнеты (сети, зараженные программой, использующей ресурсы компьютеров в своих целях), а также программы, взламывающие системы безопасности компьютеров.

Мнение Касперского

Мы обратились к известному российскому производителю антивирусных программ с вопросом относительно того, существует ли вообще защита от кибероружия. По мнению Александра Гостева, главного антивирусного эксперта лаборатории Касперского, Stuxnet – первый из обнаруженных червей, который нацелен на перепрограммирование систем управления промышленным производством. На сегодняшний день это наиболее изощренный сценарий таргетированных атак.

Авторы червя Stuxnet обладают глубокими знаниями SCADA – технологии, используемой в системах мониторинга и управления промышленными, инфраструктурными и сервисными объектами. Соответственно этот зловред может внести нарушения в работу крупных производственных мощностей. Его целью может являться одна мишень, будь то электростанция, аэропорт или даже военный объект в какой-либо точке мира.

Главная задача Stuxnet – не шпионаж за зараженными системами, а подрывная деятельность. Создателей червя интересуют не коммерческие секреты: Stuxnet нацелен на конкретный программируемый контроллер (PLC), работающий на определенном процессоре. Можно сказать, что это ключ, который подходит к одной двери, однако никто не знает, где находится эта дверь. Более того, никто не может предсказать, что произойдет, после того как тот самый контроллер будет перепрограммирован – это зависит от того, какие устройства к нему подключены, какая информация подается на вход и на выход.

Простым вирус Stuxnet никак не назовешь. Безусловно, он был создан командой высококлассных специалистов, разбирающихся не только в системах PLC, SCADA, софте Siemens, но и в совершенстве знающих современные операционные системы, понимающих, как использовать уязвимости Windows, как обходить антивирусные программы и т.д. Подобный червь никак не может быть творением одного хакера, написанным на коленке в свободное от учебы время.

Для своего распространения по сети Stuxnet использует уязвимости Windows ОС. Помимо MS08-067, которую использовал и широко известный червь Kido (Conficker) в начале 2009 года, это уязвимость в службе Диспетчер печати (Print Spooler) Windows, которая позволяет передать и выполнить вредоносный код на удаленном компьютере. Исходя из особенностей уязвимости, заражению подвержены компьютеры, использующие принтер и предоставляющие к нему общий доступ. Заразив компьютер внутри локальной сети, через данную лазейку Stuxnet пытался проникнуть на другие машины.

Сразу после обнаружения уязвимости эксперты лаборатории Касперского уведомили Microsoft о найденной проблеме; их выводы были подтверждены специалистами производителя ОС. Уязвимость классифицирована как Print Spooler Service Impersonation Vulnerability, и ей был присвоен статус критической. В Microsoft немедленно приступили к созданию соответствующего патча MS10-061, который был выпущен 14 сентября 2010 года.

Кроме того, специалисты лаборатории Касперского обнаружили еще одну уязвимость «нулевого дня», относящуюся к классу Elevation of Privilege, которая использовалась червем для получения полного контроля над зараженной системой. Вторая аналогичная уязвимость (EoP) была обнаружена специалистами Microsoft.

Факт наличия сразу четырех уязвимостей, впервые использованных в Stuxnet, делает данную вредоносную программу действительно уникальным явлением в истории.

Для лечения этого вируса достаточно воспользоваться антивирусным решением, которое способно его обнаружить – к слову, червь успешно детектируется и обезвреживается всеми продуктами лаборатории Касперского. В процедуре лечения нет ничего сложного. Ну и конечно, необходимо вылечить зараженные USB-накопители.

Антивирусные центры

Еще несколько лет назад США и их партнеры по НАТО обратили внимание на проблему защиты от кибератак. Уже создана специальная сеть слежения и раннего предупреждения, которая объединяет 15 государств, включая Германию, Францию, Великобританию, Испанию и Швецию. Эти страны провели совместные киберучения Cyberstorm. Кроме того, США обмениваются с европейскими странами информацией, а также разрабатывают общие программы в сфере кибербезопасности с целью снижения рисков. Ставка делается на развитие систем раннего предупреждения.

Именно с целью предотвращения подобных кибератак, отмечает Deutsche Welle, в Таллине был несколько лет назад открыт Центр НАТО по защите от кибернападений. В Германии пошли еще дальше и создали даже Национальный центр киберзащиты. Как отмечает Deutsche Welle, 1 апреля в Бонне приступил к работе Федеральный центр киберзащиты (Cyberabwehrzentrum), который должен уберечь жизненно важные IT-системы Германии от нападений промышленных шпионов и киберсолдат недружественных государств. Перед сотрудниками центра поставлена задача своевременно обнаруживать и эффективно отражать кибератаки. Однако не все эксперты считают это целесообразным. Так, немецкий эксперт Сандро Гайкен полагает, что своевременно обнаружить и устранить последствия хакерской атаки высокого уровня – задача практически невыполнимая. Поэтому создание национальных центров киберзащиты – тупиковый путь, убежден эксперт.

Интервью эксперта

Данное интервью Deutsche Welle представляет интерес и для российских специалистов. Поэтому мы решили привести его полностью.

– Сможет ли центр киберзащиты справляться с поставленными перед ним задачами?

– Это зависит от того, с кем там будут бороться. Если речь идет о хакерах-самоучках и мелких мошенниках, то да, сможет. Правда, тогда необходимость в новой структуре отпадает: этим уже занимается Федеральное ведомство по безопасности в информационной технике (BSI). Если же мы говорим о кибератаках, исходящих от организованных преступных группировок и от военных структур враждебных государств, то тут специалисты центра совершенно беспомощны.

Боюсь, что здесь, в Германии, до сих пор не осознали, что кибератаки перешли на качественно новый уровень. Сегодня мы имеем дело не с подростками и мелкими бандами, а с военными. А военные используют другие методы. Они не кидаются камнями и не стреляют из пистолетов, у них в распоряжении – профессиональная разведка и тяжелая артиллерия. Поэтому своевременно обнаружить кибератаку такого уровня практически невозможно. Опыт показывает, что на это уходит в среднем 2,5 года. За это время атакующая сторона не только успеет нанести огромный ущерб, но и полностью замести следы.

– Вы напрямую связываете уязвимость операционных систем со степенью сложности их программирования. Почему?

– Взломать комплексную информационную систему легче. Исходный код операционной системы Windows 7 содержит 86 миллионов строк. Попробуйте обнаружить в таком море данных ошибку, занесенную злоумышленником. Недавно такая неприятность произошла с Linux: в одном-единственном месте исходника хакер добавил знак равенства. Это привело к изменению величины одного параметра. Обнаружить такую ошибку практически невозможно, это все равно что искать иголку в стоге сена.

– Предположим, что IT-специалистам все же удалось выявить кибератаку. Насколько реально отследить и привлечь к ответственности исполнителя и заказчика?

– Как правило, источник кибератаки пытаются определить по «почерку». Например, по характерным для того или иного государства методам программирования, IP-адресу, происхождению флэшки, если таковая была обнаружена. Однако всеми этими данными довольно легко манипулировать. К примеру, в промышленном шпионаже широко применяется практика симулирования «китайского следа». То есть даже если кибератака осуществляется из Западной Европы, хакер пишет троянскую программу так, чтобы у жертвы сложилось впечатление, что напали на него китайцы.

Таким образом, хакеры могут использовать существующие конфликты для того, чтобы искусно замести следы. Это очень опасно, особенно тогда, когда мы имеем дело с военной операцией. Например, если какое-нибудь государство нападает на Иран, делая вид, что оно США.

– Получается какая-то безвыходная ситуация: защитить IT-системы сложно, своевременно выявить и залатать «раны» нереально, обнаружить вредителя невозможно…

– Выход есть, но выстроить такую систему защиты очень дорого. Нужно отказаться от централизации усилий по отражению кибератак. Вместо того чтобы создавать центр, следует усилить средства самозащиты, так сказать, на местах – в IT-системах, которые являются объектами кибернападений. Для этого, во-первых, нужно принципиально отказаться от стремления объединять все в единую глобальную сеть. Наоборот, чем на более мелкие кусочки мы раздробим существующие сети, тем дороже и сложнее будет на них нападать. Ведь тогда для каждого элемента системы нужно будет нанимать отдельного хакера, который должен программировать отдельный троян, искать отдельную брешь.

Кроме того, это бы позволило оптимизировать отдельные IT-системы, подобрать для них индивидуальные решения, которые, в свою очередь, сделали бы их менее уязвимыми. Сейчас ведь идет подгонка под коммерческое ПО, которое рассчитано на массы. Эта стандартизация осуществляется в ущерб безопасности. Если же отказаться от использования коммерческого софта и перейти на индивидуальные решения, то уязвимых мест в IT-системах станет меньше.

– Насколько перспективен такой подход в Германии? Рассматривает ли такую альтернативу немецкое правительство?

– Дискуссии на эту тему ведутся только в кулуарах, поскольку задача эта сложная и дорогостоящая. Кроме того, на политиков серьезно давит лобби производителей коммерческого ПО. Ведь им нужно продолжать сбывать свои сетевые решения. А решения эти никакой угрозы для профессиональных хакеров не представляют.

Взгляд из России

Нельзя сказать, что в России вопросу защиты от кибератак не уделяется внимание. Но пока в Москве предпочитают рассматривать все проблемы под углом зрения чисто физической защиты объектов. Это находит отражение и в предлагаемых законопроектах, и в тематике проводимых совещаний. Понятно, что теракты на Баксанской ГЭС и Ирганайской ГЭС в Кабардино-Балкарии летом 2010 года или катастрофа на Саяно-Шушенской ГЭС летом 2009 года заслуживают самого пристального внимания. Но причины случившихся экстраординарных ситуаций на этих объектах ТЭКа связаны прежде всего с халатностью. К сожалению, под этим же углом зрения даже компании ТЭКа предпочитают проводить соответствующие совещания, как, например, одно из последних крупных совещаний-семинаров руководителей блока безопасности МРСК/РСК ОАО «Холдинг МРСК» под руководством заместителя генерального директора по безопасности ОАО «Холдинг МРСК» Владимира Платонова, которое было посвящено задачам повышения антитеррористической защищенности объектов распределительного электросетевого комплекса Российской Федерации. На эти цели тратятся миллиарды рублей. Однако под углом зрения обеспечения безопасности от возможных кибератак в России пока не проводится ни крупномасштабных учений, ни совещаний.

Правда, по сообщению агентства Интерфакс, Совбез и МИД РФ подготовили проект конвенции ООН «Об обеспечении международной информации», в котором Россия предлагает способы предотвращения мировых кибервойн на основе введения общих для всех стран, согласных с проектом, правил. Однако среди угроз, с которыми предлагается бороться посредством данной конвенции, обозначены такие, как «использование информационных технологий для враждебных действий и актов агрессии», «подрыв политической, экономической и социальной систем» одного государства другим, «манипулирование потоками в информационном пространстве других государств с целью искажения психологической и духовной среды общества», а также «массированная психологическая обработка населения для дестабилизации общества и государства». Другими словами, речь идет скорее о политике или информационных войнах, чем о конкретных угрозах тем или иным техническим системам. Это понятно, поскольку арабские революции, в ходе которых активно использовались средства массовой коммуникации, видимо, серьезно напугали властей предержащих (и не только в России). Но рассмотрение кибервойн только в качестве составной части информационной борьбы лишь одна из граней проблемы, причем не самая актуальная, если учесть ущерб, нанесенный с помощью кибератаки на иранские системы.

Но, как говорится, пока гром не грянет, мужик не перекрестится.

Источник: narodsobor.ru

Похожие новости:
Хакерская группа Anonymous объявила о самороспуске
После того, как LulzSec опубликовали исходные коды Windows 8, Anonymous заявили о прекращении своей деятельности. Участники хакерской группы Anonymous заявили о намерении прекратить свою деятельность. О своем решении хакеры заявили, опубликовав видеообращение в YouTube. Причиной такого развития ..
2012-04-2 3264 0 Интернет, IT
0
Twitter объединится с японской соцсетью Mixi
Функции микроблогов Twitter возможно будут использоваться в популярнейшем в Японии социальном сервисе Mixi. Портал TheNextWeb, ссылаясь на японский техноблог Asiajin, пишет о том, что Twitter планирует заключить партнерское соглашение с крупнейшим японским социальным сервисом Mixi. Сообщается, ..
2011-11-29 2249 0 Интернет, IT
0
Блог-сервис «Яндекса» прекратит свою работу до конца лета
Блог-сервис «Я.ру», принадлежащий компании «Яндекс», прекратит свою работу до конца лета. Его пользователи смогут перенести свои дневники в LiveJournal («Живой журнал», ЖЖ). Об этом «Ленте.ру» сообщили в Rambler&Co;, развивающем кириллический сегмент LiveJournal. Возможность переноса блогов из «Я.ру» ..
2014-06-27 2133 0 Интернет, IT
0
Яндекс переходит на островной метод поиска
16 мая компания «Яндекс» представила свою новую разработку под названием «Остров». С июля 2013 года пользователи популярного поисковика будут получать более полную информацию по своему запросу. Лента.ру сообщает, что технический персонал компании разработал блочную систему выдачи ответов. ..
2013-05-17 1565 0 Интернет, IT
0
Apple обвинили в краже Siri
Компания Zhizhen Network Technology подала на Apple в суд, заявив о нарушении авторских прав на голосовую технологию Siri. Китайцы посчитали виртуального ассистента для iPhone/iPad копией их собственной технологии Xiao i Robot. ZNT утверждает, что она подала патент на свою систему в 2004 ..
2013-07-3 1698 0 Интернет, IT
0
В Бразилии подали в суд на Twitter
Не так давно компания Twitter объявила о вводе цензуры в блогах, как сразу же появился повод для того, что опробовать новую систему. Генеральная прокуратура Бразилии подала в суд на социальную сеть, в иске требуется закрыть доступ к блогами, которые публикуют информацию о месторасположении полицейских ..
2012-02-8 1498 0 Интернет, IT
0
Google больше не обвиняют в удушении конкуренции
Компания Google не нарушает американского антимонопольного законодательства. Такое постановление вынесла в четверг по итогам почти двухлетнего разбирательства Федеральная комиссия США по торговле (ФКТ). По ее заключению, интернет-гигант не использует нечестные методы конкурентной борьбы для продвижения своей продукции в ущерб соперникам ..
2013-01-4 1393 0 Интернет, IT
0
Twitter подвел итоги года
К концу 2012 года многие компании подводят итоги. Не стал исключением и Twitter, открывший сайт со статистикой уходящего года. Информация на ресурсе разбита на несколько категорий: "Золотые твиты" (самые популярные записи), "Новые голоса" (аккаунты знаменитостей, присоединившихся ..
2012-12-12 1728 0 Интернет, IT
0
Amazon запустил собственную платежную систему
Крупнейший мировой интернет-ритейлер Amazon запустил в понедельник платформу, позволяющую зарегистрированным пользователям отправлять и получать денежные переводы, а также делать покупки в сторонних интернет-магазинах. Тем самым компания вступила в прямую конкуренцию с лидером рынка компанией PayPal. В понедельник Amazon ..
2014-06-11 2658 0 Интернет, IT
0
Объем данных интернета перевалил 10 петабайт
В Интернете находятся огромное количество файлов и информации, которые потеряют свою значимость уже завтра, но в Интернете так же существуют все виды культур, история, искусства и много других ценностей человечества, информация, которая никогда и нигде не будет терять свою важность. Для ..
2012-11-21 4911 0 Интернет, IT
0
"Лаборатория Касперского" защитила ВГТРК от вирусов
Всероссийская государственная телевизионная и радиовещательная компания (ВГТРК) продлила срок действия 2 тысяч лицензий антивируса Kaspersky Business Space Security. Поставку решения для защиты рабочих станций, смартфонов и файловых серверов осуществил партнер "Лаборатории Касперского", компания "Информзащита". ВГТРК, ..
2012-06-26 1906 0 Интернет, IT
0
Северная Корея осталась без интернета
Северная Корея, которую США обвинили в хакерской атаке на компанию Sony Pictures, осталась в понедельник, 22 декабря, по неизвестным причинам без интернета. Об этом сообщает Associated Press со ссылкой на данные аналитической компании Dyn Research. «Я никогда не видел, чтобы отключения и нарушения маршрутизации ..
2014-12-23 3710 0 Интернет, IT
0
Facebook купил социальный сервис вопросов и ответов
Социальная сеть Facebook объявила о том, что приобрела Friend.ly, социальный сервис вопросов и ответов. Финансовые условия сделки не раскрываются, сообщает TechCrunch. «Мы рады объявить о приобретении friend.ly, стартапа из Кремниевой долины, создавшего для пользователей возможность выражать себя ..
2011-10-12 2217 1 Интернет, IT
0
Юристы Facebook подадут в суд на Марка Цукерберга
Они готовят иск на израильского предпринимателя Ротема Гюза, который официально сменил имя и стал «Марком Цукербергом». Новый тезка основателя крупнейшей мировой соцсети теперь продает владельцам брендов нажатия на кнопку like через свою фирму. Как сообщают «Вести.ру», первую ..
2011-12-21 2066 0 Интернет, IT
0
Китай осенью представит свою операционную систему
В октябре китайские программисты представят общественности новую операционную систему. Как сообщает РИА Новости со ссылкой на СМИ КНР, это позволит упразднить монопольное положение Microsoft на китайском рынке программного обеспечения. «Новая система сначала будет доступна только для настольных компьютеров, а позже её можно ..
2014-08-25 1878 0 Интернет, IT
1