Фантазии голливудских сценаристов становятся реальностью: первые образцы кибероружия уже существуют и успешно опробованы на практике.
Остановить жизнь в крупном мегаполисе очень просто: достаточно аварии на ключевой подстанции. Отсутствие электричества не просто погружает мегаполис во мрак — оно превращает его в место, малопригодное для жизни. В магазинах и домашних холодильниках портятся продукты, при этом подвоза продовольствия в надлежащих количествах ждать не приходится: транспортная система парализована. Запасы топлива быстро иссякают — нефтеперерабатывающие предприятия стоят. Врачи в обесточенных больницах способны оказать лишь элементарную помощь. Пожарные команды в отсутствие связи не поспевают на место. Полиция быстро утрачивает контроль над ситуацией, а люди теряют человеческий облик, не готовые к выживанию в условиях внезапно наступившего средневековья… Москвичи в 2005 году, жители Нью-Йорка в 2003-м, обитатели Северной Индии в 2012-м почувствовали на себе, что такое блэкаут. Но во всех этих случаях отключение энергии было сравнительно непродолжительным, счет шел на часы.
А что если все это произойдет не случайно, а станет результатом продуманной диверсии? Вдруг удар будет нанесен по нескольким объектам сразу и быстро справиться с последствиями окажется невозможно? Апокалипсис наступит еще быстрее, если авариям в электросетях будет сопутствовать ряд других организованных катаклизмов, будь то авария на водопроводе или газопроводе, взрыв на крупном производстве, отключение правительственной связи… И всего этого можно добиться, не засылая в страну специально обученные диверсионные группы. Достаточно наличия у агрессора нескольких десятков высококлассных программистов. Кибероружие — вредоносные программы, способные не только похищать или уничтожать данные в киберпространстве, но и разрушать объекты в реальном мире, — перестали быть фантастикой.
Червь с взрывным характером
Сомнительная честь стать первым объектом, испытавшим на себе действие кибероружия, выпала на долю иранского ядерного центра в Натанзе. В ноябре 2010 года около тысячи центрифуг, в которых производится обогащение урановой руды, были выведены из строя в результате действий компьютерной программы Stuxnet.
Предприятие это, разумеется, секретное. Но некоторые представления о производственном процессе у организаторов диверсии были. В 2007-2008 годах завод посещали инспекторы МАГАТЭ — тогда иранские власти еще не закрыли перед ними двери. Специалисты немало узнали и из официальной иранской теле- и фотосъемки, посвященной визиту на завод президента страны Махмуда Ахмадинежада в 2008 году. Службы безопасности сработали тогда на удивление халтурно: на фото можно было разглядеть мониторы компьютеров, работающих под операционной системой Windows. Наконец, было известно, какие именно центрифуги использовались в Натанзе: в обход эмбарго на поставки потенциально опасного оборудования Иран закупал установки в Пакистане. Компьютерное управление моторами этих центрифуг производится с помощью контроллеров от компании Siemens. Оставалось понять, каким образом занести вредоносную программу в компьютерную сеть предприятия, ведь из соображений безопасности она не подсоединена к интернету. Но авторы Stuxnet нашли хитроумное решение.
Под нужды конкретного производства для сименсовских контроллеров всегда создается специальное программное обеспечение — собственно система управления. А раз программы пишутся под заказ, то разработчики впоследствии занимаются их поддержкой, то есть регулярно доставляют на производство файлы обновлений. Единственный возможный способ доставки информации в закрытую сеть секретного предприятия — внешние носители. Хакеры «закинули» Stuxnet в шесть иранских компаний-разработчиков программного обеспечения, которые, по их мнению, могли иметь контакты с заводом в Натанзе. Заразить компьютеры этих компаний было несложно: они подключены к интернету, их сотрудники пользуются электронной почтой. Расчет на то, что рано или поздно вирус на зараженной флешке попадет по назначению, полностью оправдался. Зараженные Stuxnet компьютеры, которые управляют производством в Натанзе, в какой-то момент подали команду на раскручивание центрифуг на предельных скоростях, затем резко остановили вращение и снова разогнали установки. Так продолжалось до тех пор, пока часть центрифуг не вышла из строя. Только тогда обслуживающий персонал завода заметил неладное и выключил энергию.
Помимо уникального функционала, Stuxnet интересен тем, что это пока единственная в истории вредоносная программа, создатели которой использовали сразу три ранее неизвестные «дыры» (ошибки) в операционной системе. «Эти методы разрабатывали очень серьезные профессионалы, это не традиционная киберпреступность», — заявляет Александр Гостев, руководитель центра глобальных исследований и анализа угроз в «Лаборатории Касперского».
Любопытно, что антивирусным компаниям стало известно о существовании Stuxnet за несколько месяцев до диверсии — по вине разработчиков «ареал распространения» вредоносной программы не ограничился Ираном, она начала расползаться по интернету. Но разобраться с механизмом его действия и разработать методы борьбы с ним никто не успел. «Обама решил провести атаки [на ядерные объекты Ирана], — подготовка которых началась еще при администрации Буша под кодовым названием «Олимпийские игры», — даже после того, как элемент программы случайно стал достоянием общественности летом 2010 года», — писал американский журналист Дэвид Сэнгер. Несколько его публикаций в New York Times, а затем выход книги «Конфронтация и сокрытие: Тайные войны Обамы и удивительное использование американской мощи» подтвердили то, о чем эксперты по компьютерной безопасности догадывались и ранее: диверсия в Натанзе стала результатом совместной операции американских и израильских спецслужб. Источники Сэнгера в правительственных службах утверждают, что действие вируса тестировалось в Израиле, в ядерном центре Димона в пустыне Негев. «За колючей проволокой Димоны у Израиля имеются центрифуги, практически не отличающиеся от тех, что установлены в Натанзе... заявляют эксперты. Они говорят, что именно в Димоне проверялась эффективность компьютерного червя Stuxnet».
Нанесенный вирусом урон был вполне заметный — как если бы в цеху рванула бомба. И все же иранскую ядерную программу диверсия, которую готовили от трех до пяти лет, не остановила. Разве что чуть-чуть притормозила: червь успел разрушить только часть центрифуг. Сейчас сам Stuxnet уже не опасен. Вообще, большой недостаток кибероружия — его одноразовость: оно эффективно ровно до того момента, пока разработчики операционных систем, антивирусов или отдельных программ не «заткнут» использованные вирусом «дыры». Но его разработчики продолжают свою деятельность: по мнению экспертов, именно они приложили руку к созданию шпионской программы Flame, выявленной в прошлом году. Она использует схожие со Stuxnet методы проникновения в закрытые компьютерные системы. При этом Flame гораздо лучше маскируется: запускаясь с зараженной флешки, вирус не устанавливается в систему, а просто собирает с компьютера интересующую его информацию. Когда флешка вернется на зараженный компьютер, украденные данные отправляются разработчикам шпионской программы. Впрочем, при всем своем совершенстве, Flame едва ли можно считать кибероружием. По крайне мере известные его модификации не подразумевают возможность диверсий. Новых случаев применения кибероружия, уничтожающего материальные объекты, со времен Stuxnet пока не было замечено.
Впрочем, вирусы могут быть далеко не единственным способом ведения кибервойн.
Диверсия, которой не было
Томас Рид, бывший советник американского президента Рональда Рейгана, в вышедшей в 2004 году книге «Над бездной. История холодной войны, рассказанная ее участником» утверждал, что первой успешной кибератакой в истории был «взрыв на газопроводе в Сибири в 1982 году». Якобы благодаря предательству офицера КГБ Владимира Ветрова американцы смогли подсунуть советской разведке «подправленные» данные о современных технологических разработках для газопроводов. И содержавшая «логическую бомбу» технология (или программное обеспечение) была внедрена на газопроводе Уренгой — Сургут — Челябинск. Но история эта, скорее всего, фальшивка. Данных о крупных авариях на советских газопроводах в 1982 году попросту нет. Даже если предположить, что информацию о катастрофе в СССР, как обычно, засекретили, есть и другие нестыковки. Так, Ветров начал сотрудничать с французской разведкой только в 1981 году. Это значит, на подготовку диверсии попросту не хватило бы времени. К тому же система управления газопроводами в нашей стране тогда не была компьютеризирована.
«Логическая бомба», ужасная и неуловимая
6 сентября 2007 года израильская авиация нанесла удар по территории Сирии, на северо-востоке страны был полностью уничтожен некий объект. Как заявили позже представители Израиля, это был ядерный реактор. (Информацию подтвердили и американские власти, она содержится и в секретном докладе МАГАТЭ, о котором стало известно только в 2011 году.) Но оставим в стороне вопрос о существовании сирийской ядерной программы, куда интереснее обстоятельства самой операции «Орхидея», как был поименован тот авианалет. Эскадрилья израильских бомбардировщиков пролетела практически над всей территорией соседнего государства, сравняла объект с землей и невредимой вернулась на базу. Притом что у Сирии довольно серьезная система ПВО. Но в тот раз системы радарного обнаружения не сработали. Выяснилось, рассказывает Александр Гостев, что перед началом операции сирийские радары были выведены из строя с помощью мощного радиосигнала извне. Что это было — точно неизвестно: может, просто сигнал на определенной частоте, а может, специальная команда, некая последовательность данных. Эксперты полагают, что в электронной начинке радарных станций была заложена некая «логическая бомба», которая каким-то образом была активирована и привела к отключению системы. Вот только доказательств справедливости этой версии нет.
Тема «логических бомб», которые могут быть преднамеренно заложены в программном обеспечении или даже в отдельных блоках электронных устройств, сейчас в моде. Она постоянно муссируется экспертами по кибербезопасности и политиками. И хотя никому и нигде вроде бы не удалось пока такую «закладку» обнаружить, политики и военные исходят из того, что возможность использовать «логические бомбы» для шпионажа или диверсий — реальная угроза. Так, американские власти сейчас ведут настоящую войну против одного из мировых лидеров в производстве телекоммуникационного оборудования — китайской компании Huawei, которая чисто экономическими методами добилась того, что сильно потеснила на территории США американскую корпорацию Cisco. Не только большинство американских интернет-провайдеров использует оборудование Huawei, оно обеспечивает работу компьютерных сетей и на объектах так называемой критической инфраструктуры — в энергетике, на транспорте. В 2009 году президент США Барак Обама объявил цифровую инфраструктуру «стратегическим национальным достоянием». И вот теперь продукция Huawei считается в Штатах угрозой национальной безопасности. Правительство заставляет все госструктуры и сотрудничающие с ними компании полностью отказаться от использования китайского оборудования. Конечно, война с Huawei может быть и чисто экономической. Однако для публики действия правительства, явно противоречащие идее свободного рынка, объясняются именно фактором киберугрозы.
Томас Рид: «Кибервойны не будет»
Преподаватель Королевского колледжа Лондона Томас Рид считается одним из ведущих экспертов по вопросам кибербезопасности и современных военных технологий. Автор книг «Война 2.0» и «Кибервойны не будет» постоянный эксперт BBC, CNN и SkyNews по военным вопросам и проблемам кибербезопасности, он один из тех немногих, кто скептически относится к перспективам кибероружия. «В киберпространстве традиционное соотношение усилий, необходимых для нападения и обороны, перевернуто с ног на голову: атака оказывается проще и дешевле, а защита — сложнее и затратнее. Казалось бы, стоит ожидать увеличения числа компьютерных диверсий. Но все может быть с точностью до наоборот. Игроков, способных осуществить операцию уровня Stuxnet, скорее всего, меньше, чем принято считать. Кибердиверсия может оказаться делом куда более сложным, чем военная операция, даже если необходимые для кибератаки финансовые ресурсы незначительны в сравнении с ценой современного вооружения. Нужно сначала обнаружить уязвимости, которые можно использовать; нужно разобраться в устройстве сложных промышленных систем, а механизм атаки должен быть подстроен настолько точно под конкретную цель, что использование его где-либо еще практически невозможно. Наибольшую пользу кибероружие может принести, только если использовать его в сочетании с обычными или тайными военными операциями, как поступил Израиль, «ослепив» сирийские ПВО в 2007 году».
Дивный новый мир
«Современная концепция войны — это не уничтожение живой силы или техники противника, а парализация инфраструктуры. Если выключить по всей стране электричество, эффект будет гораздо больше, чем от перехвата управления танком или самолетом. Управлять тысячами «зараженных» танков — это значит надо тысячи операторов держать, что нереально, — утверждает Александр Гостев. — Задачи при помощи вируса перехватывать управление вооружением противника не ставится». Ричард Кларк, один из ведущих экспертов в области кибербезопасности, бывший специальный советник президента Буша, изложил свое представление о современной угрозе в вышедшей в 2010 году книге с лаконичным названием «Кибервойны». По его мнению, инфраструктура страны может быть уничтожена за 15 минут. Этого достаточно, чтобы разрушить системы военной связи, уничтожить финансовые данные, устроить взрывы на нефтеперерабатывающих предприятиях и трубопроводах, остановить транспорт, отключить электричество. И жизнь остановится.
Правительства всех развитых стран вкладывают все больше денег в защиту своих компьютерных систем от потенциальных атак и, разумеется, разработку собственного наступательного кибервооружения. Например, ведущее научно-исследовательское агентство Пентагона DARPA получило на пять лет 500 миллионов долларов именно на эти цели. В самом Пентагоне было создано специальное управление Cybercom, задача которого — проведение любых операций по защите американских военных сетей и атаки на компьютерные системы других стран.
Но можно ли от этого защититься? Любой эксперт по компьютерной безопасности ответит, что 100-процентной защиты не существует. В 1990-е среди программистов была популярна шутка: если бы строители возводили здания так же, как программисты пишут программы, первый же залетевший дятел разрушил бы цивилизацию. Ошибки и просчеты в программном обеспечении будут всегда, неуязвимых операционных систем не придумано. Даже представление о том, что не существует вирусов для продукции компании Apple, не более чем миф. Но если мы не хотим отказаться от современной техники, придется смириться с мыслью, что мы живем под постоянной угрозой прилета дятла.
Общие характеристики
Существуют различные классификации и определения понятия «кибероружие»; Однако в целом под термином «кибероружие» понимается различные программные и технические средства, направленные на эксплуатацию уязвимостей в системах передачи и обработки информации или программотехнических системах .
Характерные черты
- Глобальный охват
- Практически мгновенная реакция
- Применяется для конкретных целей
Классификация
Российские эксперты выделяют 4 типа кибероружия:
- Элемент маркированного списка
Избирательная система -
1. Отсутствует физическое вмешательство; Воздействие на систему проходит информационным путем. 2. Воздействие происходит на строго определенную систему или на тип систем с эксплуатацией их уязвимостей. 3. Результатом воздействия является предсказанный и повторяемый результат. 4. Цель применения: нарушение нормального функционирования.
Западные эксперты Томас Рид и Питер МакБерни выделяют 3 типа кибероружия :
Возможные типы кибероружия
- Россия
Общедоступные утилиты работы с сетевой инфраструктурой и нагрузочного тестирования сетей на основании того, что их используют хакеры. Кибероружие может быть использовано только для полномасштабных глобальных боевых действий между одинаково мощными державами в первые несколько часов конфликта, до того, как коммуникационные сети будут нарушены или уничтожены
Отличия от вирусов и других вредоносных программ
Необходимо понимать, что не все вирусы и вредоносные программы являются кибероружием и наоборот. Существует очень тонкая грань в понимании того, что является реальным кибероружием, а что не является. Но поиск и нахождение точного понимания очень важно, так как:
- это имеет последствия для безопасности: если инструмент использован в качестве оружия, то может причинить вред одному или многим.
- Во-вторых, использование этой линии имеет политические последствия: безоружное вторжение политически менее взрывоопасное, чем вооруженное.
- В-третьих, линия имеет юридические последствия: выявление чего-то как оружия означает, по крайней мере, в принципе, что оно может быть объявлено вне закона, а его развитие, владение или использование могут наказываться.
Из этого следует, что линия между оружием и не оружием концептуально значима: определение чего-то как не оружия является важным первым шагом к правильному пониманию проблемы и разработке соответствующих ответов. Наиболее распространенной и, вероятно, самой дорогостоящей формой кибер-атаки является шпион.
Проблемы
Путем использования нескольких прокси-серверов или заражения компьютеров, трудно отследить конкретного вредоносного хакера или организации при любой форме атак. И даже если виновник найден, его трудно обвинить в преднамеренном военном действии, особенно из-за отсутствия правовых рамок. Сегодня проблема заключается в том, что мы живем в высокотехнологичном мире неопределенности, когда люди плохо подготовлены и не оснащены для этих новых угроз, которые могут нарушить связь, а также сетевой трафик на веб-сайты и могут потенциально парализовать поставщиков интернет-услуг (ISP) на международном уровне через национальные границы.
Случаи развертывания кибероружия
Инцидент, случившийся в 2009 году является первым случаем использования кибер-оружия: Stuxnet. Была использована часть вредоносного ПО, которая, как считается, является примером правительственного кибероружия, направленного на серьезное разрушение иранской ядерной программы. Вопрос ответственности за нападение было источником споров, но, в конце концов, считается, что это была совместная операция США -Израиля. Stuxnet был нацелен на завод в Натанзе, в Иране: отвернув клапаны и ухудшив центрифуги, оборудование было повреждено, и иранская программа обогащения урана эффективно замедлилась .
МОСКВА, 17 фев — РИА Новости/Прайм. Хакерские атаки на военную инфраструктуру государств стали реальной угрозой, способной вывести из строя критически важные объекты инфраструктуры противника, включая ядерную, военную и аэрокосмическую отрасли, утверждают опрошенные РИА Новости эксперты.
Ранее во вторник "Лаборатория Касперского" сообщила, что обнаружила международную кибергруппу Equation Group превосходящую по своим масштабам, инструментам и эффективности все известные на сегодня команды хакеров.
"В России среди пострадавших — правительственные учреждения, исследовательские институты, объекты энергетики и инфраструктуры, университеты, военные ведомства, предприятия аэрокосмической отрасли, телекомы и медицинские учреждения, — сообщили в компании. Название конкретных организаций, пострадавших от действий хакеров, в антивирусной компании не называют.
Касперский: более 500 структур пострадало от действий Equation Group "Лаборатория Касперского" сообщила, что обнаружила кибергруппу Equation Group, превосходящую по своим масштабам, инструментам и эффективности все известные на сегодня команды хакеров. Конкретные организации, пострадавшие от действий хакеров, не называются.Оружие кибервозмездия
Атаки хакеров в последнее время не ставят целью похищение нескольких тысяч долларов со счетов неосторожных вкладчиков. Объектами атаки хакеров являются крупнейшие госструктуры, а целью — конфиденциальные данные государственного значения и доступ к инфраструктуре, позволяющий, к примеру, спровоцировать ядерную катастрофу, намного масштабнее Чернобыльской.
"Пока вредоносное ПО может выступать в качестве кибероружия, над ним необходим особый контроль. Однако пока данная инициатива только сформулирована, и не совсем понятно, как она будет реализована", — говорит ведущий вирусный аналитик ESET Russia Артем Баранов.
Трансформацию претерпели не сами угрозы, а вектор их использования. Сегодня наступательное ПО и так называемые технологии двойного назначения могут использоваться для организации государственных атак на правительственные учреждения и частные компании других стран, говорит эксперт.
Значение угрозы со стороны киберпространства оценили лидеры крупнейших мировых держав. На прошлой неделе президент США Барак Обама подписал директиву о создании системы обмена информации между частными компаниями и государственными службами по вопросам кибернетических угроз.
Цифровые армии
Хакерские группировки объединяют сотни людей в десятках странах мира. По данным "Лаборатории Касперского", Equation Group ведет свою деятельность на протяжении почти двадцати лет, и ее действия затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира. Наибольшее количество жертв Equation Group было зафиксировано в России и Иране.
Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии.
В арсенале Equation Group имеется множество зловредных, и некоторые из них крайне новаторские, считают эксперты российской антивирусной компании. К примеру, "Лаборатория Касперского" впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных мировых производителей, в том числе Seagate, Samsung, Western Digital, Toshiba, Maxtor и IBM.
В поисках виноватого
В "Лаборатории Касперского" отрицают озвученную в ряде СМИ версию, согласно которой сами производители дисков по требованию американских спецслужб могли содействовать внедрению шпионского ПО в свою продукцию.
"Мы обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков, ориентированную на 12 основных мировых производителей из разных стран. Эти модули являются вредоносными программным обеспечением, никак не имеющим отношения к разным производителям дисков", — уверены в российской антивирусной компании.
Большинство компьютерной техники иностранного производства оборудовано "бэкдорами" — предустановленными программными средствами для проникновения в защищенные сети, в том числе и государственных ведомств, уверен сооснователь ИТ-компании "Ашманов и Партнеры" Игорь Ашманов.
"Подавляющая часть компьютерного оборудования, производимого в мире, изначально была разработана в США. Сейчас большинство устройств несколько раз за день подключаются к Сети, чтобы скачать разного рода обновления. Проследить, не появились ли в итоге в устройстве шпионские программы практически нереально. В том числе я не вижу особой проблемы в том, чтобы внедрить некий шпионский код в ПО, управляющее работой жесткого диска, или всего компьютера (в том числе в UEFI — универсальную систему ввода-вывода, контролирующую все основные функции ПК)", — говорит он.
Ограничение кибервооружений
Заключенные в 1996 году Вассенаарские соглашения, согласно недавним дополнениям, запрещают к экспорту в недружественные страны шпионского, наступательного и прочего ПО, которое приравнивается к вооружениям и технологиям двойного назначения, говорит Артем Баранов из ESET. "Соглашения распространяются в основном на страны НАТО и ЕС. Фактически, они разграничивают сферы влияния военных и экономических блоков в кибермире, разделив его на союзников и остальные страны", — уточняет Баранов.
В любом случае, согласны эксперты, современные киберугрозы недостаточно хорошо изучены, чтобы делать однозначные выводы о размере нанесенного ими вреда. Так, опрошенные РИА Новости предприятия российского оборонно-промышленного комплекса, в том числе объединенных приборостроительной и судостроительной корпораций, заявили, что, не подвергались атакам Equation Group, ФСБ, Минобороны и Служба внешней разведки РФ также не подтверждают, что стали жертвами хакеров.
Одно из наиболее известных кибероружий — вирус Stuxnet, обнаруженный в 2010 году на промышленных объектах Ирана. Эта программа, попав в блоки управления газовых центрифуг, предназначенных для получения обогащенного урана, выводила центрифуги из строя. Таким образом, впервые в истории кибератак вирус разрушал физическую инфраструктуру. Как сообщала газета The New York Times, программа была разработана совместно разведывательными службами США и Израиля и была предназначена для приостановки иранской ядерной программы.
Оружие — к бою!
Попытки ограничить разработку и распространение кибероружия на международном уровне уже предпринимались, напоминает консультант ПИР-центра Олег Демидов. «Наиболее представительной по составу участников инициативой» были предложения Группы правительственных экспертов по достижениям в области информатизации и телекоммуникаций в контексте международной безопасности ООН (ГПЭ; состоит из представителей 20 государств, включая Россию, США и КНР), говорит Демидов. В 2015 году она приняла доклад со сводом добровольных норм, по которым государствам рекомендуется предупреждать распространение «злонамеренных программных и технических средств в сфере информационно-коммуникационных технологий и использование пагубных скрытых функций».
В 2009 году похожие определения и меры были сформулированы в тексте межправительственного соглашения Шанхайской организации сотрудничества. «Соглашение считается единственным существующим многосторонним юридически обязывающим механизмом, ограничивающим деятельность государств по использованию информационно-коммуникационных технологий. Хотя де-факто большинство его норм и положений не получили практического развития и потому вряд ли могут считаться действующими», — говорит Демидов. В 2011 году Россия также выступала с концепцией конвенции об обеспечении международной информационной безопасности: документ предполагал введение понятия «информационного оружия» и описывал меры по ограничению его распространения в рамках «предотвращения военных конфликтов в информационном пространстве». Однако ни одна из этих инициатив ни к чему не привела.
На практике запретить разработку кибероружия практически невозможно, считает Алексей Лукацкий. «Это не ядерное оружие, для создания которого требуются уникальные компетенции и инфраструктура. Кибероружие сегодня может создать даже одиночка, и запретить ему это делать невозможно, даже несмотря на наличие соответствующих статей в уголовных кодексах многих стран. А уж внедрить запрет на международном уровне и вовсе представляется нереальным в среднесрочной перспективе. У нас на международном уровне не могут даже ядерное распространение в Северной Корее предотвратить», — говорит эксперт.
Фото: Jochen Tack / Global Look Press
Запретить кибероружие на международном уровне можно, но для этого в первую очередь надо дать этому термину корректное и полное определение, которого до сих пор не существует, отмечает Валентин Крохин, директор по маркетингу компании в сфере информационной безопасности Solar Security. «Необходимо, чтобы к запрету на кибероружие присоединились все государства. На данном этапе эффективность инициативы кажется сомнительной», — полагает он.
«Русские хакеры»
В ходе атрибуции кибератак правоохранительные органы и компании, занимающиеся компьютерной криминалистикой, анализируют множество различных факторов, по которым пытаются найти злоумышленников — место регистрации IP-адресов и доменов, участвующих в атаке, программный код, время проведения атаки и др. Но каких-либо единых принципов выявления источника кибератаки на международном уровне сейчас не существует, говорит Демидов. Однако это не мешает государствам обвинять друг друга в инициировании кибератак. Например, с начала 2017 года русских хакеров, якобы работающих на Кремль, обвиняли в атаках спецслужбы США, немецкая контрразведка, румынская служба информации, Минобороны Дании, норвежская служба безопасности, ряд французских политиков и источники The Guardian в правительстве Италии.
«Именно отсутствие правил атрибуции позволило сначала США, а затем и ряду европейских стран обвинить Россию в атаке на выборы, WADA, государственные органы и частные компании. При этом никаких доказательств не представлено, а санкции против нашей страны были введены. Это как обвинить и затем осудить человека за преступление без каких-либо доказательств и проведения суда. Сложно же такое себе представить? Поэтому, прежде чем обвинять какое-либо государство в киберагрессии, необходимо получить доказательства, которые бы принимались международным сообществом», — рассуждает Лукацкий.
Согласно опубликованным отчетам американских спецслужб, для атрибуции хакерских атак на сервера Демократической партии США в 2016 году использовались четыре основных параметра — принадлежность IP-адресов российскому адресному пространству, время, в которое осуществлялись атаки, применение веб-сайтов с русскоязычным интерфейсом и использование вредоносных программ, продаваемых на русскоязычных форумах. «Однако даже беглый взгляд на эти атрибуты позволяет сделать вывод, что атака могла осуществляться не только из России, но и из сопредельных государств — Белоруссии, Украины, иных стран СНГ. Это если не рассматривать вариант, что Россию хотели просто подставить и хакеры маскировались под российских», — говорит Лукацкий.
В обозримой перспективе вряд ли возможно создать некий единый универсальный алгоритм атрибуции на уровне международного права, считает Демидов. «Нет единого решения, слишком сложно технически, сценарии атак и сами инциденты слишком разнятся. Пока государства и компании могут лишь собирать лучшие практики и укреплять обмен ими в рамках расследования компьютерных инцидентов», — резюмирует он.
Публикации последнего времени пестрят использованием терминов «кибервойна», «боевые действия в киберпространстве», «киберугрозы» и им подобными. Это происходит в основном из-за того, что журналисты быстро подхватили не самый удачный термин, используя его в отрыве от контекста. В результате «кибервойной» с равной вероятностью могут называться пропагандистские операции в информационном пространстве интернета, попытки взлома банковских систем, операции по выведению из строя критической информационной инфраструктуры, а также любые действия, которые прямо или косвенно связываются с интернетом, компьютерами и т.п. Точно так же размыто и понятие «киберугрозы»: под него зачастую бездумно подводятся опасности, связанные с распространением определенных видов информации в сети, вопросы обеспечения безопасности информационных систем, противостояния вредоносному программному обеспечению (далее в тексте ПО) и многое другое.
Настоящая статья ставит своей целью определение различных сфер «киберугроз», или, точнее угроз, представляющих опасность для современных информационно-технических систем. На основании полученных определений попробуем представить небесспорную, но рабочую классификацию «кибероружия», «кибервойн» и других информационных воздействий, которые нередко ошибочно обозначают различными терминами с модной приставкой «кибер».
Разберемся в возникновении терминологии. Термин «кибернетика» появился еще в 1830-м году в философских трудах Андре-Мари Ампера, который более известен как один из пионеров электродинамики. Кибернетика определялась Ампером как наука о рациональном управлении государством. В 1948-м году понятие «кибернетика» было использовано Норбертом Винером как наименование науки о закономерностях процессов управления и передачи информации в машинах, живых организмах и в обществе. Объектом исследования кибернетики являются все без исключения управляемые системы , которым присуща обратная связь. Иными словами, кибернетика вовсе не ограничена исследованиями современных информационных систем, алгоритмов и протоколов. Будучи междисциплинарной наукой, она охватывает системы электрических цепей, технологические процессы, логистику, эволюционную биологию, психологию личности, социологию, синергетику и т.п. Особо отметим то, что кибернетика, как наука об управлении, уделяет самое пристальное внимание методам управления государством и обществом.
Именно эта область внимания кибернетики и стала причиной ее критики в СССР с последующим объявлением «реакционной лженаукой» в 1950-х гг. Кибернетика, как тогда казалось, претендовала на разработку научно обоснованного аппарата управления государством, стремилась «отбросить современную научную мысль, основанную на материалистической диалектике». Между тем, наиболее интересные исследования кибернетиков относились именно к исследованиям политики, общества и способов административного управления. В области исследований информационных систем на смену «общей» кибернетике был создан специализированный высокоэффективный математический аппарат, опирающийся на хорошо разработанные теории систем, управления, автоматов, алгоритмов и т.п. В практическом решении прикладных задач, связанных с информационными технологиями, как правило используется именно этот аппарат, а не «общая» кибернетика.
К определению кибероружия
Под «кибероружием» в настоящее время понимаются самые разнообразные технические и программные средства, чаще всего направленные на эксплуатацию уязвимостей в системах передачи и обработки информации или программотехнических системах. Так под определения «кибероружия» подводят общедоступные утилиты работы с сетевой инфраструктурой и нагрузочного тестирования сетей на основании того, что их используют хакеры. Опираясь на масштабность воздействия, к кибероружию причисляют вирусы типа Flame, или зомби-сети, используемые для рассылки спама и организации распределенных атак, направленных на перегрузку информационных систем и следующий из нее отказ в обслуживании (DOS и dDOS-атаки). Эта ошибка стала столь расхожей, что назрела необходимость хотя бы минимально формализовать набор признаков, который делает отрывок программного кода оружием. И почему, собственно, именно программного кода?
Ошибка, которая ведет к путанице в определениях, заключается в том, что авторы публикаций на тему кибервойн и других агрессий в киберпространстве постоянно смешивают понятия оружия и орудия . Орудием является, например, мотыга. Можно ли ее использовать в качестве оружия? Несомненно – целый спектр видов холодного оружия древности ведет свое происхождение именно от сельскохозяйственных инструментов. Так «милитаризованная» мотыга превращается в клевец или чекан. Это уже оружие: устройство, которое изначально конструктивно предназначено для убийства, либо поражения объектов инфраструктуры противника.
Использование не предназначенных для нанесения ущерба орудий с разрушительными целями, в агрессивных действиях (войнах) настолько же древнее, насколько и само человечество. Крестьянские армии и ополчение с успехом использовали привычные им серпы, мотыги, лопаты и вилы. Современные «кибервоины», не обладающие высокой квалификацией и доступом к специализированным разработкам, точно так же используют доступное им несложное программное обеспечение, созданное вовсе не с какими-то разрушительными целями – начиная с имеющейся в каждой современной операционной системе утилиты ping . Принцип остается тем же самым: слабо подготовленное воинство, вооруженное подручными средствами, вполне способно одержать победу за счет своей массовости. Является ли утилита ping кибероружием? Сама по себе, безусловно, нет. Что не мешает ей оставаться примитивным средством (орудием) ведения кибервойны.
В этой части статьи мы попробуем формализовать признаки кибероружия, в то время как в дальнейшем рассмотрении вернемся также и к методам ведения кибервойны, включая использование неспециализированных средств с этой целью. Начнем со второй типичной ошибки при использовании термина: прочной ассоциации кибероружия с программным кодом. Это в корне неверно: кибероружие воздействует на систему, которая совершенно не обязательно является компьютером. Распространение цифровых устройств, микропроцессоров и программных комплексов, к сожалению, сузило спектр рассмотрения свойств кибероружия до программируемых систем. Однако объектом воздействия кибероружия может являться любая система с обратной связью, любой автомат. Необходимым условием при этом является управляемость объекта воздействия, предсказуемость его реакций. Компьютеры отвечают этому требованию. Но не только они.
Кибероружие первого типа: избирательная система
Рассмотрим пример воздействия на систему с обратной связью. На протяжении многих лет существуют самонаводящиеся ракеты с инфракрасным наведением. Не вдаваясь в тонкости конструкции собственно системы наведения, такую ракету можно считать автоматом, функцией которого является наведение на источник ИК-излучения и его последующее поражение. Одним из способов противодействия ракетам с определенным типом системы самонаведения является использование устройства, генерирующего периодические или стохастические сигналы в ИК-спектре. В предельном упрощении это устройство является мигающей лампочкой. Создавая ложные сигналы для системы сопровождения цели, устройство вмешивается в систему обратной связи автомата. Нарушение нормального функционирования петли обратной связи (вызванное сбоем ожидаемой периодичности повторения импульсов) приводит к срыву наведения.
Обратим внимание на то, что и рассмотренная (ныне устаревшая) схема самонаведения, и устройство для создания помех являются аналоговыми. В них не использовалось цифровых систем, компьютеров, или программного обеспечения; они являются электронно-механическими приборами. В то же время воздействие помехи является однозначно информационным , происходит внутри некоторой замкнутой управляемой системы, функционирующей по предопределенным законам . Таким образом, задача срыва наведения автомата-ракеты является задачей кибернетики (с натяжкой ее можно считать нештатным способом программирования этого автомата). Можно ли считать ситуацию, описанную в данном примере, применением кибероружия (мигающей лампочки)?
Как ни парадоксально это звучит, да. Несмотря на простоту помехопостановщика, мы имеем дело с устройством, специально предназначенным для нейтрализации технического средства противника . Это оборонительная система, действующая в пространстве решения кибернетической задачи нарушения функционирования некоторого конкретного автомата. И уже на этом примере мы можем выделить некоторые характерные черты первого типа кибероружия:
1. Воздействие на систему является информационным , отсутствует физическое вмешательство;
2. Воздействие происходит на строго определенную систему, или тип систем с эксплуатацией их уязвимостей;
3. Результатом воздействия является предсказанный и повторяемый результат;
4. Воздействие не обязательно разрушительно , целью является прежде всего нарушение нормального функционирования.
Рассмотрим другой пример: использование широкополосной помехи для нарушения функционирования радиосвязи в некотором пространстве. Такое воздействие тоже является информационным, и не нацелено на производство каких-либо разрушений. Возможно, нарушение радиосвязи приведет к нарушению управления войсками противника – тогда такое воздействие можно считать воздействием на кибернетическую систему в ее высокоуровневом рассмотрении. Но и в этом случае оно будет (а) – нецелевым; (б) – опосредованным и (в) – непредсказуемым по конкретно достигаемым результатам. Не выполняется признак №3: точное предсказание результата воздействия невозможно. При детальном рассмотрении можно констатировать, что нарушается также и признак №2: воздействие не имеет конкретной цели. Предпринимается попытка нарушить функционирование всех радиосистем (включая собственные) вне зависимости от их конкретного типа. В зависимости от используемых способов передачи информации, некоторые конкретные образцы могут оказаться слабо уязвимы для такого ненаправленного воздействия.
В этом примере мы имеем дело с оружием информационным, но не кибернетическим . Оно применяется как бы наобум, в расчете на какое-то заранее неизвестное негативное воздействие с заранее неизвестными последствиями. Именно к информационному оружию следует относить вредоносное программное обеспечение (в том числе известные вирусы). Хотя и в этом случае причисление их к классу оружия является чаще всего спорным.
Предлагаемый комплекс признаков является на первый взгляд достаточным для определения кибероружия, но в то же время противоречит уже (к несчастью) сложившейся терминологии. Действительно, отделение информационного воздействия в пространстве решений кибернетической задачи от абстрактного информационного воздействия для неспециалиста является очень сложным. Кроме того, в зависимости от уровня рассмотрения системы, может меняться и классификация воздействия. Например, точно рассчитанное информационное воздействие, может перейти в сферу кибернетики при рассмотрении последствий его влияния на более высокоуровневые схемы управления. Это относится к упомянутому выше срыву управления войсковыми структурами, нарушениям принятия стратегических решений, вопросам реакции масс и т.п. На достаточно высоком уровне рассмотрения любое информационное воздействие можно считать задачей общей кибернетики, но такое рассмотрение не имеет практической ценности. В примере со срывом наведения автомата-ракеты уже обозначено поле взаимодействия: замкнутая управляемая система, функционирующая по предопределенным законам . Ограниченность этого поля порождает следующие уточняющие признаки кибероружия первого типа:
5. Воздействие кибероружия происходит внутри ограниченных систем ;
6. Целью кибероружия являются системы и комплексы, действующие по однозначно установленным законам и алгоритмам .
С этими уточнениями комплекс признаков кибероружия приобретает необходимую сфокусированность. Обратим внимание на то, что под описанные признаки попадают не только программотехнические системы (которые принято выделять в современной практике), но и любые автоматы, функционирующие по известным законам. Казалось бы, этим мы избыточно расширяем спектр рассматриваемых систем. Тем не менее, такое расширение является преднамеренным и обоснованным.
Сравним два примера. В одном целью воздействия абстрактного кибероружия является программный комплекс управления атомным реактором, не подключенный к исполнительным устройствам, тестовый стенд. В другом целью воздействия является такой же комплекс, управляющий действующим реактором. Результатом нарушения функционирования этого комплекса в первом случае будут сравнительно безобидные программные сбои. Во втором же случае результаты будут сильно варьировать в зависимости от спектра, схемы управления и способов функционирования подключенных к системе исполнительных устройств .
В хорошо спроектированной отказоустойчивой системе программные сбои могут эффективно парироваться на уровне оконечных управляемых автоматов , которые имеют дополнительные (например, чисто механические) подсистемы обеспечения безопасности. Поэтому для целенаправленного воздействия при его планировании необходимо также учитывать особенности работы этих конечных автоматов, возможные способы отключения предохранительных систем, изъяны конструкции, проектирования и т.п.
Из приведенного выше сравнения следует вывод о том, что для создания кибероружия первого типа необходимо глубокое знание и понимание способов функционирования объекта воздействия (системы). Исследование уязвимостей только программного кода может оказаться недостаточным: нарушение функционирования управляющей программы не обязательно приведет к фатальным сбоям. Восстановление системы при отсутствии фатальных повреждений в этом случае может быть достигнуто простой переустановкой программного обеспечения. Еще более устойчивы распределенные системы, где необходимый уровень нарушения функционирования может быть достигнут только согласованным воздействием на несколько подсистем одновременно.
Немного забегая вперед (известные способы противодействия кибероружию рассматриваются в другом разделе), отметим еще одну особенность. Кибероружие первого типа эксплуатирует известные уязвимости системы, которые могут быть устранены ее разработчиками при наличии информации о самом факте существования такого оружия. Не представляет сомнений, что эти уязвимости будут устранены в обязательном порядке при зарегистрированном факте применения оружия. Таким образом, кибероружие первого типа имеет практическую ценность только в том случае, если: (а) обеспечена секретность его разработки, (б) сокрытие факта его наличия, и (б) обеспечена внезапность его применения. Иными словами, кибероружие первого типа является едва ли не одноразовым. Если факт его использования, или сам факт наличия известен противнику, он приложит все усилия для ликвидации уязвимостей систем, которые являются целью этого оружия. Такая характеристика позволяет говорить о том, что кибероружие первого типа чаще всего является наступательным , ориентированным на нанесение эффективного первого удара.
Примером кибероружия первого типа является ныне широко известный компьютерный червь Stuxnet. Обратим внимание на то, что его целью являлась совершенно конкретная система с известными уязвимостями, в том числе и на уровне конечных исполнительных устройств. Воздействие крайне избирательно: червь практически безвреден для других систем, используя их только как медиатор для распространения, а точнее, как способ доставки к заданной цели.
Но попробуем рассмотреть и некоторые следствия прецедента Stuxnet. Исследование уязвимостей цели воздействия не могло не требовать глубокого знания принципов ее функционирования. Из этого следует, что создание данного конкретного образца вредоносного ПО стало возможным только благодаря масштабной (и дорогостоящей) разведывательной операции. Сам же образец Stuxnet является в этом контексте лишь вершиной айсберга: специальным средством, разработанным в единичном экземпляре и использованным однократно для осуществления конкретной диверсии. Иными словами, Stuxnet следует сравнивать с заказными разработками разведывательного сообщества; это оружие никогда не предназначалось для массового использования.
Такие черты не могут быть признаны характерными для всех возможных образцов кибероружия первого типа, но их следует признать довольно типичными. Высокая стоимость разработки и предварительных НИОКР, однократность применения, беспрецедентная избирательность поражения и необходимость обеспечения секретности разработки и доставки, делают подобные образцы кибероружия непрактичными для реального войскового применения. Они переходят в разряд специальных средств, арсенала спецслужб.
Кроме того, отдельные образцы (существование которых с высокой долей вероятности можно предположить, хотя оно никак не разглашается в открытых источниках) кибероружия первого типа могут быть использованы для нейтрализации критической инфраструктуры противника в целях повышения эффективности первого удара либо ослабления способностей противника противостоять ему. Фактически, это те же диверсионные операции, предшествующие началу полномасштабных боевых действий. Интересно отметить, что способы массированного применения таких образцов сходны со структурой первого обезоруживающего ядерного удара, что в некоторых вариантах рассмотрения позволяет причислить такие (описанные абстрактно) разработки к стратегическим наступательным вооружениям. Однако, в отличие от СНВ, кибероружие первого типа не имеет никакого потенциала сдерживания . Практически мгновенное воздействие, отсутствие предупреждения при применении и необходимость обеспечения секретности разработки (и самого факта наличия) выводит такое оружие за рамки действующих соглашений.
Завершая рассмотрение первого типа кибероружия, следует признать, что оно едва ли окажет влияние на способы ведения боевых действий. Ниша такого оружия – диверсии, включая диверсии стратегического уровня. Для армейских формирований использование такого кибероружия непрактично: оно требует высокой квалификации персонала, излишне избирательно, не может применяться на тактическом уровне, крайне дорого во владении и в разработке. Кибероружие первого типа, вероятно, войдет в арсенал спецподразделений, причем нередко это будут единичные образцы, создаваемые специально для выполнения конкретных задач. Для задач, решаемых классическими вооруженными силами, более приспособлены другие виды кибероружия. Их рассмотрение будет представлено в следующей части статьи.
В задачах практического радиоэлектронного подавления применяются, конечно, и более продвинутые системы. Без пристального рассмотрения принципов действия каждой из них, нельзя однозначно причислить их к кибероружию. Некоторые из них могут считаться кибероружием (их будет характеризовать в первую очередь как раз высокая избирательность), в то время как многие другие средства радиоэлектронной борьбы под эту классификацию не подпадут.