Гонка кибервооружений способна изменить привычный нам мир

© Flickr / booleansplitЗащита компьютераЗащита компьютера
Мир готовится вступить в новую гонку вооружений. То, что раньше считалось уделом маргинальных полукриминальных групп и малобюджетным способом выражения собственной социопатии, наконец-таки встало на промышленные рельсы: созданием средств атаки на компьютерные системы всерьез заинтересовались правительства.

Константин Богданов, обозреватель РИА Новости.

Мир готовится вступить в новую гонку вооружений. То, что раньше считалось уделом маргинальных полукриминальных групп и малобюджетным способом выражения собственной социопатии, наконец-таки встало на промышленные рельсы: созданием средств атаки на компьютерные системы всерьез заинтересовались правительства.

Если раньше все эти бесчисленные "армейские киберкомандования" и прочие синекуры занимались не очень понятно чем, то в последние 2-3 года начали появляться очень неприятные следы настоящей работы, потенциально способной изменить облик привычного нам мира.

"Ни с чем подобным мы еще не сталкивались"

Именно такой была первая реакция аналитиков компании Symantec, когда те начали всерьез разбираться с непонятными заражениями компьютеров червем, получившим кличку Stuxnet. Было отмечено две крупные волны распространения: лето 2009 года (первая версия червя) и весна 2010 года (вторая и третья).

Перед разработчиками был так называемый руткит (комплекс зловредных программ, интегрирующийся в систему и скрывающий свое присутствие в ней). Но какой! Взорам экспертов открылся системный шедевр: продуманный и изощренный образец настоящего кибероружия. По оценкам специалистов, полный цикл разработки этого программного комплекса мог потребовать затрат на полмиллиона евро.

Червь был уникален во всем: использовал для своего темного дела сразу четыре (!) неизвестные ранее уязвимости Windows, оперировал двумя подлинными сертификатами безопасности. При этом основной сценарий работы (внедрение, анализ окружающей обстановки и дальнейшее распространение) осуществлялся максимально тихо и незаметно.

А в качестве своей конечной цели червь искал вполне конкретные системы управления промышленным оборудованием. Причем очень и очень конкретные. Речь шла об определенной марке промышленных контроллеров компании Siemens, а заодно руткит содержал процедуры управления преобразователями частотно-регулируемых приводов двух вполне определенных марок (финского и иранского производства).

Притом, по сообщению вирусных аналитиков, червь не кидался на приводы с шашкой наголо, а постепенно внедрялся в промышленную сеть, собирал информацию о задействованных режимах, полностью брал под контроль систему компьютерного мониторинга и только потом начинал легонько "крутить" уставки параметров, ненадолго выводя их за пределы допустимых значений, чтобы нарушить работу оборудования.

Исходя из ареала распространения червя, эксперты назвали потенциальную цель атаки: установки по обогащению урана в иранском Натанзе – программно-управляемые центрифуги.

К слову, в конце ноября 2010 года президент Ирана Махмуд Ахмадинежад публично признал, что у "ограниченного" числа центрифуг возникли "проблемы" из-за "кибератак". Естественно, это вызвало мгновенную реакцию сообщества и прессы, приписавших червю Stuxnet успешный вывод из строя иранского обогатительного производства.

Ваша работоспособность – не ваша заслуга, а их недоработка

Есть, однако, немалые сомнения в том, что атака Stuxnet вообще имела место (или по крайне мере привела хоть к каким-то заметным результатам). Спецы по компьютерной и промышленной безопасности били тревогу, но атомщики оставались спокойными.

Во всяком случае, эксперты МАГАТЭ, непосредственно отвечавшие за мониторинг Натанза, решительно отвергали версию о каких-то нарушениях в работе завода, заметив, впрочем, что теоретически проникновение червя в компьютерную сеть предприятия возможно.

Оно и понятно: никаких следов падения объема наработки урана на якобы атакованном червем заводе в Натанзе не наблюдалось. Темпы выхода из строя центрифуг несколько ускорились между ноябрем 2009 и январем 2010 годов и действительно выглядят аномальными, однако вполне могут объясняться массовой заменой изношенного или некачественного оборудования иранского производства. Следов каких-то ЧП на заводе не зафиксировано.

Более того, разработчики вируса, похоже, сами себя перехитрили. В работе с параметрами частотных преобразователей они использовали не соответствующие действительности значения, вброшенные иранцами через экспертов МАГАТЭ. Непонятно, имела ли место издевательская дезинформация Тегерана, или "компьютерные гении" просто взяли первые же сведения, показавшиеся им правдоподобными, и не стали их проверять.

То есть вдумчивых антиядерных хакеров попросту подвело незнание того "железа", которым они собирались управлять. Кроме того, не факт, что на центрифугах Натанза стояло именно то оборудование, под которое якобы был "заточен" червь.

Однако иранцам, можно сказать, повезло. Вирус в сетях вскрыли очень быстро, что позволило избежать ненужных последствий. Возможно, именно поэтому не удается обнаружить значимых физических следов атаки: слишком уж медленным, "подпороговым" было выбрано воздействие на установки, его явно рассчитывали на длительный период, чтобы вызвать повышенный износ центрифуг.

Улыбнитесь, вас записывают

Тем временем, "неизвестный доброжелатель" иранской ядерной программы продолжал работать. После Stuxnet мир почтили с официальным визитом еще два интереснейших руткита – Duqu, обнаруженный в сентябре 2011 года, и Flame, попавшийся аналитикам на исходе мая 2012 года.

Эти системы, в отличие от шаловливого Stuxnet, тянувшего ручонки к регуляторам промышленных установок, вели себя более "конвенционально". Однако от этого не становились менее опасными.

Оба руткита можно охарактеризовать как комплексные системы слежения. Он собирали данные с зараженных компьютеров: перехватывали пароли, отслеживали нажатия клавиш, записывали звук со встроенного микрофона, делали скриншоты, собирали информацию о файлах, обрабатываемых на машинах, анализировали сетевой трафик. Собранная информация в зашифрованном виде сбрасывалась на внешний командный сервер.

По мнению аналитиков, подходы к разработке Duqu и Stuxnet настолько сходны, что можно говорить фактически о единой "платформе". Во всяком случае, высоковероятным считается тот факт, что оба эти руткита создавались одной и той же группой.

Flame считается самостоятельным произведением, однако следы решений, характерные для него, обнаруживаются в Stuxnet первой версии (образца 2009 года). Как считается, это может свидетельствовать о том, что на проекте задействовано минимум две группы разработчиков, частично использовавших наработки друг друга.

"Олимпийские игры" для Ирана

"Интуитивно очевидная" догадка о том, чья перед нами работа, получила подтверждение не так давно. В июне 2012 года The New York Times прямо сообщила, что Stuxnet и Flame были совместно разработаны двумя "электронными" спецслужбами – Агентством национальной безопасности США и "Подразделением 8200" военной разведки Израиля.

По информации источников газеты, работы в этом направлении начались еще по приказу Джорджа Буша, не позднее 2007 года. Заметим, что это совпадает с оценкой времени разработки Stuxnet и Flame. Барак Обама, сменив Буша в Белом доме, не только не остановил работы, а наоборот, потребовал их ускорить. Целью называлось замедление ядерной программы Ирана. Все работы по направлению носили шифр "Олимпийские игры".

Буквально на пятый день поступила официальная реакция на публикацию: по данным The Wall Street Journal, ФБР начало расследование обстоятельств "раскрытия секретной информации". Комментировать здесь что-либо уже излишне.

Не играйте спичками на бензоколонке

Удалась ли Stuxnet "физическая" атака на иранские центрифуги, или дело ограничилось внедрением в заводские сети с последующим провалом из-за неподготовленности, – вопрос не в этом.

Перед нами – модельный образец оружия, направленного уже не столько против чисто "виртуальных" объектов (частной информации или работоспособности информационных систем), сколько против совершенно реальной инфраструктуры, которую можно пощупать руками.

Первый блин, безусловно, комом, но, как говорил герой известного советского фильма, "что один человек собрал, другой завсегда разобрать сможет".

Промышленные контроллеры применяются очень широко: на них опирается вся автоматизация современного производства, в том числе опасного. Компьютерные системы используются для управления объектами энергетики, газокомпрессорными станциями и транспортными потоками.

Создание по-настоящему эффективного образца кибероружия, способного вывести из строя такие системы, может привести к самым катастрофическим последствиям.

В этом смысле мы находимся примерно на той же стадии, в которой мир пребывал между 16 июля и 6 августа 1945 года, когда американцы испытали первую ядерную бомбу близ Аламогордо, но еще не сбрасывали "изделия" на японские города.

За новыми, еще неуклюжими образцами кибероружия, чье создание спонсируется ведущими державами, придут другие, более эффективные и изощренные. Проблема в том, что такое оружие потенциально способно принести больше вреда развитым "критическим инфраструктурам", которых куда как больше в тех же США и в Западной Европе, чем в Азии.

В этом смысле люди, де-факто запустившие гонку кибервооружений, по-настоящему швыряются камнями, живя в стеклянном доме.

Мнение автора может не совпадать с позицией редакции

Мнение
 
DirectAdvert



Наверх
Авторизация
He правильное имя пользователя или пароль
Войти через социальные сети
Регистрация
E-mail
Пароль
Подтверждение пароля
Введите код с картинки
He правильное имя пользователя или пароль
* Все поля обязательны к заполнению
Восстановление пароля
E-mail
Инструкции для восстановления пароля высланы на
Смена региона
Идет загрузка...
Произошла ошибка... Повторить
правила комментирования материалов

Регистрация пользователя в сервисе РИА Клуб на сайте Ria.Ru и авторизация на других сайтах медиагруппы МИА «Россия сегодня» при помощи аккаунта или аккаунтов пользователя в социальных сетях обозначает согласие с данными правилами.

Пользователь обязуется своими действиями не нарушать действующее законодательство Российской Федерации.

Пользователь обязуется высказываться уважительно по отношению к другим участникам дискуссии, читателям и лицам, фигурирующим в материалах.

Публикуются комментарии только на тех языках, на которых представлено основное содержание материала, под которым пользователь размещает комментарий.

На сайтах медиагруппы МИА «Россия сегодня» может осуществляться редактирование комментариев, в том числе и предварительное. Это означает, что модератор проверяет соответствие комментариев данным правилам после того, как комментарий был опубликован автором и стал доступен другим пользователям, а также до того, как комментарий стал доступен другим пользователям.

Комментарий пользователя будет удален, если он:

  • не соответствует тематике страницы;
  • пропагандирует ненависть, дискриминацию по расовому, этническому, половому, религиозному, социальному признакам, ущемляет права меньшинств;
  • нарушает права несовершеннолетних, причиняет им вред в любой форме;
  • содержит идеи экстремистского и террористического характера, призывает к насильственному изменению конституционного строя Российской Федерации;
  • содержит оскорбления, угрозы в адрес других пользователей, конкретных лиц или организаций, порочит честь и достоинство или подрывает их деловую репутацию;
  • содержит оскорбления или сообщения, выражающие неуважение в адрес МИА «Россия сегодня» или сотрудников агентства;
  • нарушает неприкосновенность частной жизни, распространяет персональные данные третьих лиц без их согласия, раскрывает тайну переписки;
  • содержит ссылки на сцены насилия, жестокого обращения с животными;
  • содержит информацию о способах суицида, подстрекает к самоубийству;
  • преследует коммерческие цели, содержит ненадлежащую рекламу, незаконную политическую рекламу или ссылки на другие сетевые ресурсы, содержащие такую информацию;
  • имеет непристойное содержание, содержит нецензурную лексику и её производные, а также намёки на употребление лексических единиц, подпадающих под это определение;
  • содержит спам, рекламирует распространение спама, сервисы массовой рассылки сообщений и ресурсы для заработка в интернете;
  • рекламирует употребление наркотических/психотропных препаратов, содержит информацию об их изготовлении и употреблении;
  • содержит ссылки на вирусы и вредоносное программное обеспечение;
  • является частью акции, при которой поступает большое количество комментариев с идентичным или схожим содержанием («флешмоб»);
  • автор злоупотребляет написанием большого количества малосодержательных сообщений, или смысл текста трудно либо невозможно уловить («флуд»);
  • автор нарушает сетевой этикет, проявляя формы агрессивного, издевательского и оскорбительного поведения («троллинг»);
  • автор проявляет неуважение к русскому языку, текст написан по-русски с использованием латиницы, целиком или преимущественно набран заглавными буквами или не разбит на предложения.

Пожалуйста, пишите грамотно — комментарии, в которых проявляется пренебрежение правилами и нормами русского языка, могут блокироваться вне зависимости от содержания.

Администрация имеет право без предупреждения заблокировать пользователю доступ к странице в случае систематического нарушения или однократного грубого нарушения участником правил комментирования.

Пользователь может инициировать восстановление своего доступа, написав письмо на адрес электронной почты moderator@rian.ru

В письме должны быть указаны:

  • Тема – восстановление доступа
  • Логин пользователя
  • Объяснения причин действий, которые были нарушением вышеперечисленных правил и повлекли за собой блокировку.

Если модераторы сочтут возможным восстановление доступа, то это будет сделано.

В случае повторного нарушения правил и повторной блокировки доступ пользователю не может быть восстановлен, блокировка в таком случае является полной.

Чтобы связаться с командой модераторов, используйте адрес электронной почты moderator@rian.ru или воспользуйтесь формой обратной связи.

Заявка на размещение пресс-релиза
Компания
Контактное лицо
Контактный телефон или E-mail
Комментарий
Введите код с картинки
Все поля обязательны к заполнению. Услуга предоставляется на коммерческой основе.
Заявка успешно отправлена