eknow — обзор технологий

Не в последнюю очередь задержка с вводом в строй Бушерской АЭС в Иране скорее всего была связана с серией кибератак на объекты иранской инфраструктуры. По мнению экспертов британской ВВС, один из наиболее технически совершенных компьютерных вирусов был, вероятно, нацелен на срыв работы важнейших объектов инфраструктуры Ирана.

Напомним читателям, что весной этого года иранские власти заявили об обнаружении компьютерного вируса, мишенью которого должны были стать государственные учреждения этой страны. Как сообщил глава Организации пассивной обороны Ирана Голам Реза Джалили, этот вирус, получивший обозначение Stars, был в состоянии принести незначительный ущерб.

Если эта информация подтвердится, то Stars можно будет считать второй в течение года попыткой использования против Ирана компьютерных вирусов. По мнению экспертов, он специально разработан для выведения из строя центрифуг на иранских заводах по обогащению урана.

Понадобится некоторое время, чтобы установить предназначение вируса Stars, сказал Джалили. Вирус, по его словам, маскировался под видом компьютерных файлов, которые используют некоторые правительственные организации. Однако Джалили, хотя сначала и отказался ответить на вопрос, кто мог быть, по его мнению, автором этого вируса, позднее высказал уверенность в том, что вирус Stuxnet был разработан в США, и добавил, что он мог стать причиной крупномасштабных аварий и человеческих жертв.

Новый тип вируса

Впервые мир узнал о вирусе Stuxnet в июле 2010 года. Он был создан с целью выведения из строя особого класса электронных микросхем, используемых в устройствах управления промышленными установками. Подобные микропроцессоры использовались в системах управления центрифугами на крупнейшем иранском заводе по обогащению урана в Натанце. В США, однако, считают, что доказательств, что Stuxnet был направлен исключительно против Ирана, нет, как нет и достоверных сведений о том, кто запустил вирус в виртуальное пространство. Очевидно только то, что Stuxnet, который вызвал переполох во всем мире, подтвердил серьезность новых вызовов, говорит Шон Макгерк, директор Центра по кибербезопасности Министерства национальной безопасности США.

Один из немецких экспертов по компьютерным коммуникациям Ральф Лангнер полагает, что иранские системы управления установками по обогащению урана были заражены субподрядчиком из России при поставках соответствующего компьютерного оборудования. В интервью немецкому агентству Golem.de. он заявил, что заражение произошло не через Интернет и не напрямую, а скорее всего через интегрированную во внутреннюю сеть инфицированную часть поставленного оборудования. После этого червь атаковал включенные в сеть компьютеры и через них направленно искал управляющие механизмы и их коды управления. Найдя их, он начал свою разрушительную работу. Червь типа Stuxnet создан именно для вывода из строя управляющих систем.

Тактика создателей таких программ направлена на то, чтобы найти субпоставщика в окружении своей цели и затем тем или иным способом внедрить свою программу с тем, чтобы заразить все программы этого субпоставщика. А через них выйти уже и на основную цель. Кстати, отмечает Ральф Лангнер, чаще всего в таких целях используются безобидные на первый взгляд подарки на презентациях и других подобных мероприятиях типа зараженного брелка USB.

Впрочем, Джеффри Карр из журнала Forbes полагает, что обогатительные центрифуги, которые оказались под ударом червя, были поставлены иранцам финской фирмой Vacon. Но на самом деле, утверждает он, они были изготовлены в Китае. Возможно, что именно через китайскую фирму червь и попал в Иран. Но заниматься вредительством в Иране китайцам особого смысла нет. Возможно, что заражение произошло через какого-либо «крота». А это уже напоминает сюжет шпионского романа.

Кибероружие – понятие относительно новое в военном лексиконе и малоизвестное с точки зрения защиты инфраструктуры, в том числе и энергетической. ОЭСР относит к кибероружию вирусы, компьютерные черви, трояны, ботнеты (сети, зараженные программой, использующей ресурсы компьютеров в своих целях), а также программы, взламывающие системы безопасности компьютеров.

Мнение Касперского

Мы обратились к известному российскому производителю антивирусных программ с вопросом относительно того, существует ли вообще защита от кибероружия. По мнению Александра Гостева, главного антивирусного эксперта лаборатории Касперского, Stuxnet – первый из обнаруженных червей, который нацелен на перепрограммирование систем управления промышленным производством. На сегодняшний день это наиболее изощренный сценарий таргетированных атак.

Авторы червя Stuxnet обладают глубокими знаниями SCADA – технологии, используемой в системах мониторинга и управления промышленными, инфраструктурными и сервисными объектами. Соответственно этот зловред может внести нарушения в работу крупных производственных мощностей. Его целью может являться одна мишень, будь то электростанция, аэропорт или даже военный объект в какой-либо точке мира.

Главная задача Stuxnet – не шпионаж за зараженными системами, а подрывная деятельность. Создателей червя интересуют не коммерческие секреты: Stuxnet нацелен на конкретный программируемый контроллер (PLC), работающий на определенном процессоре. Можно сказать, что это ключ, который подходит к одной двери, однако никто не знает, где находится эта дверь. Более того, никто не может предсказать, что произойдет, после того как тот самый контроллер будет перепрограммирован – это зависит от того, какие устройства к нему подключены, какая информация подается на вход и на выход.

Простым вирус Stuxnet никак не назовешь. Безусловно, он был создан командой высококлассных специалистов, разбирающихся не только в системах PLC, SCADA, софте Siemens, но и в совершенстве знающих современные операционные системы, понимающих, как использовать уязвимости Windows, как обходить антивирусные программы и т.д. Подобный червь никак не может быть творением одного хакера, написанным на коленке в свободное от учебы время.

Для своего распространения по сети Stuxnet использует уязвимости Windows ОС. Помимо MS08-067, которую использовал и широко известный червь Kido (Conficker) в начале 2009 года, это уязвимость в службе Диспетчер печати (Print Spooler) Windows, которая позволяет передать и выполнить вредоносный код на удаленном компьютере. Исходя из особенностей уязвимости, заражению подвержены компьютеры, использующие принтер и предоставляющие к нему общий доступ. Заразив компьютер внутри локальной сети, через данную лазейку Stuxnet пытался проникнуть на другие машины.

Сразу после обнаружения уязвимости эксперты лаборатории Касперского уведомили Microsoft о найденной проблеме; их выводы были подтверждены специалистами производителя ОС. Уязвимость классифицирована как Print Spooler Service Impersonation Vulnerability, и ей был присвоен статус критической. В Microsoft немедленно приступили к созданию соответствующего патча MS10-061, который был выпущен 14 сентября 2010 года.

Кроме того, специалисты лаборатории Касперского обнаружили еще одну уязвимость «нулевого дня», относящуюся к классу Elevation of Privilege, которая использовалась червем для получения полного контроля над зараженной системой. Вторая аналогичная уязвимость (EoP) была обнаружена специалистами Microsoft.

Факт наличия сразу четырех уязвимостей, впервые использованных в Stuxnet, делает данную вредоносную программу действительно уникальным явлением в истории.

Для лечения этого вируса достаточно воспользоваться антивирусным решением, которое способно его обнаружить – к слову, червь успешно детектируется и обезвреживается всеми продуктами лаборатории Касперского. В процедуре лечения нет ничего сложного. Ну и конечно, необходимо вылечить зараженные USB-накопители.

Антивирусные центры

Еще несколько лет назад США и их партнеры по НАТО обратили внимание на проблему защиты от кибератак. Уже создана специальная сеть слежения и раннего предупреждения, которая объединяет 15 государств, включая Германию, Францию, Великобританию, Испанию и Швецию. Эти страны провели совместные киберучения Cyberstorm. Кроме того, США обмениваются с европейскими странами информацией, а также разрабатывают общие программы в сфере кибербезопасности с целью снижения рисков. Ставка делается на развитие систем раннего предупреждения.

Именно с целью предотвращения подобных кибератак, отмечает Deutsche Welle, в Таллине был несколько лет назад открыт Центр НАТО по защите от кибернападений. В Германии пошли еще дальше и создали даже Национальный центр киберзащиты. Как отмечает Deutsche Welle, 1 апреля в Бонне приступил к работе Федеральный центр киберзащиты (Cyberabwehrzentrum), который должен уберечь жизненно важные IT-системы Германии от нападений промышленных шпионов и киберсолдат недружественных государств. Перед сотрудниками центра поставлена задача своевременно обнаруживать и эффективно отражать кибератаки. Однако не все эксперты считают это целесообразным. Так, немецкий эксперт Сандро Гайкен полагает, что своевременно обнаружить и устранить последствия хакерской атаки высокого уровня – задача практически невыполнимая. Поэтому создание национальных центров киберзащиты – тупиковый путь, убежден эксперт.

Интервью эксперта

Данное интервью Deutsche Welle представляет интерес и для российских специалистов. Поэтому мы решили привести его полностью.

– Сможет ли центр киберзащиты справляться с поставленными перед ним задачами?

– Это зависит от того, с кем там будут бороться. Если речь идет о хакерах-самоучках и мелких мошенниках, то да, сможет. Правда, тогда необходимость в новой структуре отпадает: этим уже занимается Федеральное ведомство по безопасности в информационной технике (BSI). Если же мы говорим о кибератаках, исходящих от организованных преступных группировок и от военных структур враждебных государств, то тут специалисты центра совершенно беспомощны.

Боюсь, что здесь, в Германии, до сих пор не осознали, что кибератаки перешли на качественно новый уровень. Сегодня мы имеем дело не с подростками и мелкими бандами, а с военными. А военные используют другие методы. Они не кидаются камнями и не стреляют из пистолетов, у них в распоряжении – профессиональная разведка и тяжелая артиллерия. Поэтому своевременно обнаружить кибератаку такого уровня практически невозможно. Опыт показывает, что на это уходит в среднем 2,5 года. За это время атакующая сторона не только успеет нанести огромный ущерб, но и полностью замести следы.

– Вы напрямую связываете уязвимость операционных систем со степенью сложности их программирования. Почему?

– Взломать комплексную информационную систему легче. Исходный код операционной системы Windows 7 содержит 86 миллионов строк. Попробуйте обнаружить в таком море данных ошибку, занесенную злоумышленником. Недавно такая неприятность произошла с Linux: в одном-единственном месте исходника хакер добавил знак равенства. Это привело к изменению величины одного параметра. Обнаружить такую ошибку практически невозможно, это все равно что искать иголку в стоге сена.

– Предположим, что IT-специалистам все же удалось выявить кибератаку. Насколько реально отследить и привлечь к ответственности исполнителя и заказчика?

– Как правило, источник кибератаки пытаются определить по «почерку». Например, по характерным для того или иного государства методам программирования, IP-адресу, происхождению флэшки, если таковая была обнаружена. Однако всеми этими данными довольно легко манипулировать. К примеру, в промышленном шпионаже широко применяется практика симулирования «китайского следа». То есть даже если кибератака осуществляется из Западной Европы, хакер пишет троянскую программу так, чтобы у жертвы сложилось впечатление, что напали на него китайцы.

Таким образом, хакеры могут использовать существующие конфликты для того, чтобы искусно замести следы. Это очень опасно, особенно тогда, когда мы имеем дело с военной операцией. Например, если какое-нибудь государство нападает на Иран, делая вид, что оно США.

– Получается какая-то безвыходная ситуация: защитить IT-системы сложно, своевременно выявить и залатать «раны» нереально, обнаружить вредителя невозможно…

– Выход есть, но выстроить такую систему защиты очень дорого. Нужно отказаться от централизации усилий по отражению кибератак. Вместо того чтобы создавать центр, следует усилить средства самозащиты, так сказать, на местах – в IT-системах, которые являются объектами кибернападений. Для этого, во-первых, нужно принципиально отказаться от стремления объединять все в единую глобальную сеть. Наоборот, чем на более мелкие кусочки мы раздробим существующие сети, тем дороже и сложнее будет на них нападать. Ведь тогда для каждого элемента системы нужно будет нанимать отдельного хакера, который должен программировать отдельный троян, искать отдельную брешь.

Кроме того, это бы позволило оптимизировать отдельные IT-системы, подобрать для них индивидуальные решения, которые, в свою очередь, сделали бы их менее уязвимыми. Сейчас ведь идет подгонка под коммерческое ПО, которое рассчитано на массы. Эта стандартизация осуществляется в ущерб безопасности. Если же отказаться от использования коммерческого софта и перейти на индивидуальные решения, то уязвимых мест в IT-системах станет меньше.

– Насколько перспективен такой подход в Германии? Рассматривает ли такую альтернативу немецкое правительство?

– Дискуссии на эту тему ведутся только в кулуарах, поскольку задача эта сложная и дорогостоящая. Кроме того, на политиков серьезно давит лобби производителей коммерческого ПО. Ведь им нужно продолжать сбывать свои сетевые решения. А решения эти никакой угрозы для профессиональных хакеров не представляют.

Взгляд из России

Нельзя сказать, что в России вопросу защиты от кибератак не уделяется внимание. Но пока в Москве предпочитают рассматривать все проблемы под углом зрения чисто физической защиты объектов. Это находит отражение и в предлагаемых законопроектах, и в тематике проводимых совещаний. Понятно, что теракты на Баксанской ГЭС и Ирганайской ГЭС в Кабардино-Балкарии летом 2010 года или катастрофа на Саяно-Шушенской ГЭС летом 2009 года заслуживают самого пристального внимания. Но причины случившихся экстраординарных ситуаций на этих объектах ТЭКа связаны прежде всего с халатностью. К сожалению, под этим же углом зрения даже компании ТЭКа предпочитают проводить соответствующие совещания, как, например, одно из последних крупных совещаний-семинаров руководителей блока безопасности МРСК/РСК ОАО «Холдинг МРСК» под руководством заместителя генерального директора по безопасности ОАО «Холдинг МРСК» Владимира Платонова, которое было посвящено задачам повышения антитеррористической защищенности объектов распределительного электросетевого комплекса Российской Федерации. На эти цели тратятся миллиарды рублей. Однако под углом зрения обеспечения безопасности от возможных кибератак в России пока не проводится ни крупномасштабных учений, ни совещаний.

Правда, по сообщению агентства Интерфакс, Совбез и МИД РФ подготовили проект конвенции ООН «Об обеспечении международной информации», в котором Россия предлагает способы предотвращения мировых кибервойн на основе введения общих для всех стран, согласных с проектом, правил. Однако среди угроз, с которыми предлагается бороться посредством данной конвенции, обозначены такие, как «использование информационных технологий для враждебных действий и актов агрессии», «подрыв политической, экономической и социальной систем» одного государства другим, «манипулирование потоками в информационном пространстве других государств с целью искажения психологической и духовной среды общества», а также «массированная психологическая обработка населения для дестабилизации общества и государства». Другими словами, речь идет скорее о политике или информационных войнах, чем о конкретных угрозах тем или иным техническим системам. Это понятно, поскольку арабские революции, в ходе которых активно использовались средства массовой коммуникации, видимо, серьезно напугали властей предержащих (и не только в России). Но рассмотрение кибервойн только в качестве составной части информационной борьбы лишь одна из граней проблемы, причем не самая актуальная, если учесть ущерб, нанесенный с помощью кибератаки на иранские системы.

Но, как говорится, пока гром не грянет, мужик не перекрестится.