Кибератака является привлекательным вариантом действий в ходе войны. Государства могут счесть целесообразным оказывать влияние или принуждение на другие страны посредством военных кампаний в киберпространстве, пользуясь анонимностью и возможностью отрицания. В недавнем прошлом было несколько раз показано, что использование вредоносного программного кода может вызвать физическое разрушение критически важных инфраструктур путем манипуляций с промышленными системами управления. Кибератаки также свели к минимуму необходимость рисковать личным составом или дорогостоящим оборудованием.
Вредоносный код также является многоразовым, представляя собой практически бездонную обойму для будущих атак. Однако подобные преимущества «чистой» войны также имеют темную сторону. Учитывая удобство, быстроту и снижение потерь личного состава, также существует соблазн использовать кибератаки часто, и, возможно, оказывать предпочтение им вместо участия в длительных или тщетных переговорах. Кроме того, экстремистские группы могут оказаться в состоянии приобрести копии вредоносного программного кода и анонимно использовать его против невоенных целей.
Устав ООН предусматривает руководящие принципы для обоснования ответных действий на кибератаки, являющиеся применением силы. Они приведены в статье 2 (4) - разрушительные действия, подходящие под определение «применение силы», и в статье 51 - разрушительные действия, подходящие под определение «вооруженного нападения», несущие угрозу государственному суверенитету. Однако большинство кибератак последних лет не смогли нарушить способность государств осуществлять свой суверенитет. Кроме того, в некоторых странах существуют правовые полномочия, обеспечивающие руководящие принципы проведения наступательных кибератак. В Соединенных Штатах, такие полномочия содержатся в:
Разделе 10 Свода законов США, где указано, что военные операции не требуют предварительных письменных решений до осуществления действий. Однако будет сложно отрицать проведение операций, осуществляемых согласно содержащимся в этом разделе полномочиям.
Разделе 50 Свода законов США , посвященному проведению тайных операций США. Используя содержащиеся в разделе полномочия, Президент должен предоставить письменное свидетельство, что операция осуществляется для реализации определенной задачи внешней политики и национальной безопасности.
Когда неясно, является ли кибератака применением силы в соответствии с Уставом ООН, то Раздел 50 делает возможным тайное проведение и отрицаемость действий.
Сообщения СМИ свидетельствуют о том, что кибератаки становятся все более изощренными и более скрытными. В случаях повреждения физического оборудования существует тенденция сравнивать вредоносный программный код с оружием. Но что такое оружие, и в каких случаях кибератаки на законных основаниях можно назвать кибероружием?
В США каждый вид вооруженных сил имеет закрепленное определение, что представляет собой оружие. В то же время, оружие должно также отвечать международным правовым стандартам. Статья 22 Гаагской и Статья 36 Женевской конвенций говорят о том что «средство», именуемое оружием, не может быть использовано вооруженными силами до проведения правовой экспертизы. Гаагская и Женевские конвенции предназначены для защиты гражданского населения от излишних страданий во время войны.
При этом можно продемонстрировать, что многие кибератаки также оказали непредсказуемый побочный эффект на гражданское население. «Таллинское Руководство по применимости международного права к вооруженным действиям в киберпространстве» было разработано после того, как Эстония подверглась разрушительным кибератаким в 2007 году. Руководство определяет кибероружие как «киберсредства ведения войны», которые созданы или используются для причинения вреда лицам или объектам. Это определение оружия не включает в себя уничтожение данных, если нет прямой связи с нанесением ущерба или работоспособностью компьютерной системы. Таким образом, если посредством кибератаки осуществлено умышленное повреждение или намеренное нарушение работоспособности компьютеров, то мы имеем дело с кибероружием. Однако, как показал реверс-инжиниринг и анализ недавних кибератак высокого уровня, существует несколько дополнительных характеристик, которые также должны быть учтены при формулировании более точного определения кибероружия.
В недавних сообщениях СМИ несколько примеров высокотехнологичных вредоносных кодов были названы кибероружием. В этих сообщениях были приведены результаты обширных исследований вредоносного кода под именами Flame, Duqu и Stuxnet. Сообщается, что эти три вредоносные киберпрограммы были использованы как часть комбинированной многолетней киберкампании, направленной на нарушение функционирования определенных объектов ядерной промышленности в Иране.
Возможно, что эта вредоносная киберкампания тайно проводилась на главных иранских объектах по крайней мере с 2006 по 2010 год, прежде чем была обнаружена сотрудниками служб безопасности, работающими за пределами Ирана. Следовательно, в дополнение к определению, данному в Таллинском руководстве, существующее поколение кибероружия может также потребовать учета следующих характеристик:
скрытность, которая позволяет вредоносным программам тайно функционировать в течение длительных периодов времени;
использование ряда вредоносных программ, которые сочетают в себе такие различные задачи, как шпионаж, хищение данных или саботаж;
специальные технологии, которые позволяют вредоносному коду обойти или обмануть защитную технологию управления кибербезопасностью.
Специальная технология, позволяющая обойти или обмануть системы кибербезопасности, в том числе те, которые должны защищать такие сверхсекретные промышленные объекты, как АЭС в Иране, называется атака «нулевого дня». Она представляет собой определенный вредоносный код, выполняемый перед основной вредоносной программой, и предназначена для использования уязвимости, которая является новой и неизвестной в целевой системе. Атака нулевого дня способна полностью или временно вывести из строя систему управления кибербезопасностью, и таким образом открыть целевую компьютерную систему для внедрения и начала работы основной вредоносной программы. Многие высококвалифицированные хакеры усердно работают над обнаружением новых уязвимостей в системах, которые позволяют создавать новые атаки «нулевого дня». Мотивацией для этих хакеров является то, что атаки «нулевого дня» можно дорого продать государствам или экстремистам. Атаки «нулевого дня», обнаруженные и разработанные высококвалифицированными хакерами, являются важной составляющей существующего поколения кибероружия.
Последней характеристикой, которая позволяет успешно использовать вредоносный код в качестве кибероружия, является то, что можно описать как «доскональное знание» целевых промышленных систем управления гражданской и/или военной техники. Хакеры, создавшие атаки «нулевого дня», которые были использованы в кибероружии, примененном в ходе кампании против Ирана, по-видимому, имели очень хорошее понимание о целевом промышленном оборудовании. Эти узкоспециализированные знания разработчика, используемые в создании различных вредоносных кодов для шпионажа и саботажа, являются тем, что делает существующее поколение кампаний кибероружия таким эффективным.
Однако у существующего поколения кампаний кибероружия также могут быть проблемы. Есть вероятность, что кибероружие выйдет из-под контроля. Например, Stuxnet, как сообщается, несколько раз обновлялся для расширения функциональности, и, в конце концов, вредоносный код вышел за пределы иранского предприятия по обогащению урана. Образцы Stuxnet были обнаружены во многих странах за пределами Ирана. Тем не менее, другие объекты не были повреждены, поскольку вредоносный код в Stuxnet был разработан для нападения только на специализированное оборудование на ядерном объекте в Иране. В будущем кибероружие, разработанное менее тщательно чем Stuxnet, также может неожиданно распространиться и, возможно, стать причиной побочного ущерба на других объектах.
В будущем среда и возможности для осуществления кибератак будут расширяться. В прошлом целями были промышленные системы управления критически важных инфраструктур, таких, как нефте- и газопроводы, а также гражданские электростанции.
По мере того, как в Интернете будет появляться больше подробной «доскональной» информации, вероятно, что в перспективе целями станут сложные военные объекты и системы вооружения, в том числе больше примеров нападений на ядерные объекты или системы командования, управления и связи (С3) плюс компьютерные системы (C4), и системы противоракетной обороны (как ракеты земля-воздух). Например, советский зенитно-ракетный комплекс БУК с помощью которого, как сообщается, в июле 2014 года был сбит рейс Malaysia Airlines 17, и погибло 298 человек, является тщательно разработанной системой, но может иметь уязвимости, и не обладает способностью самостоятельно отличить гражданские цели от военных. К сожалению, детальная информация о зенитно-ракетной системе БУК доступна в Интернете.
Техническая документация для этой системы, а также для нескольких российских ракетных пусковых установок может быть загружена из Интернета в виде достоверного программного тренажера, что позволяет любому изучать и практиковаться в базовом режиме работы нескольких советских зенитно-ракетных пусковых установок.
Другим примером роста уязвимости сложной военной техники является то, что Научный совет Министерства обороны США передал Пентагону секретный список систем боевого оружия, документация по которым была украдена в результате кибершпионажа. Список включает в себя проекты продвинутой ракетной системы Patriot, известной как PAC-3 (см. Washington Post, Эллен Накашима, от 27 мая 2013 года). В отдельном докладе, который также можно найти в Интернете, приведены результаты анализа уязвимостей в программном обеспечении системы национальной противоракетной обороны, в том числе ракетной системы Patriot PAC-3 («Using Genetic Algorithms to Aid in a Vulnerability Analysis of National Missile Defense Simulation Software» - JDMS, Volume 1, Issue 4, October 2004 Page 215–223, http://www.scs.org/pubs/jdms/vol1num4/imsand.pdf).
Подводя итоги, кибератаки становятся все более изощренными, и в случае, если имеются следующие характеристики - а) использование атак нулевого дня для обхода технологий кибер- безопасности, б) проведение кампаний с координированным использованием различных вредоносных программ, и в) использование скрытности при долговременном проведении вредоносных операций для шпионажа или саботажа - мы можем иметь дело с кибероружием. Правильное проведение атрибуции является затруднительным, а технологии, используемые для обеспечения кибербезопасности, становятся все менее адекватными при расширении задач защиты от кибероружия. Таким образом, классическая теория сдерживания, разработанная для ядерного оружия, не работает для кибероружия. Кроме того, есть вероятность, что кибероружие выйдет из-под контроля. В будущем кибероружие, разработанное менее тщательно, чем Stuxnet, также может неожиданно распространиться и, возможно, вызвать побочный ущерб.
В довершение ко всему, исследование примеров существующего поколения кибероружия также показало, что подробные и доскональные знания о целевой системе способствуют успеху диверсионной киберкампании. По мере того, как в Интернете (возможно, посредством кибершпионажа) появляется больше информации, описывающей детальные подробности и возможные уязвимости современного оборудования и сооружений, в том числе военной техники, они также могут стать целями для
будущих поколений кибероружия.
Есть много политических вопросов, связанных с кибербезопасностью и кибервойнами, которые заслуживают дальнейшего исследования:
Какие стратегии могут помочь в уменьшении/регулировании глобального распространения вредоносных атак нулевого дня/вредоносного программного обеспечения, предназначенных для ведения кибервойны?
Будущие наступательные кампании, скорее всего, уже развернуты и в настоящее время работают. Как можно обнаружить и изолировать их?
Существует ли и что собой представляет правомерность в рамках международного (и гуманитарного) права в вопросе использования/угрозы применения ядерного оружия в качестве возмездия против использования кибероружия?
Возможно ли создание механизма контроля над кибервооружениями? Если да, то сколько времени это займет, принимая во внимание что система контроля над ядерным оружием создавалась десятилетиями?
Является ли СБ ООН по-прежнему предпочтительным учреждением для осуществления глобального контроля над кибервооружениями?
Если да, должны ли постоянные члены СБ ООН открыто раскрыть все кибероружие, чтобы избежать Армагеддона в киберпространстве?
Маурицио Мартеллини
Центр международной безопасности Университета Инсубрия (Италия)
Клэй Уилсон
Система Американских государственных университетов
Материал подготовлен на основе доклада, представленного на Одиннадцатой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 20-23 апреля 2015 года г.Гармиш-Партенкирхен, Германия.
Общие характеристики
Существуют различные классификации и определения понятия «кибероружие»; Однако в целом под термином «кибероружие» понимается различные программные и технические средства, направленные на эксплуатацию уязвимостей в системах передачи и обработки информации или программотехнических системах .
Характерные черты
- Глобальный охват
- Практически мгновенная реакция
- Применяется для конкретных целей
Классификация
Российские эксперты выделяют 4 типа кибероружия:
- Элемент маркированного списка
Избирательная система -
1. Отсутствует физическое вмешательство; Воздействие на систему проходит информационным путем. 2. Воздействие происходит на строго определенную систему или на тип систем с эксплуатацией их уязвимостей. 3. Результатом воздействия является предсказанный и повторяемый результат. 4. Цель применения: нарушение нормального функционирования.
Западные эксперты Томас Рид и Питер МакБерни выделяют 3 типа кибероружия :
Возможные типы кибероружия
- Россия
Общедоступные утилиты работы с сетевой инфраструктурой и нагрузочного тестирования сетей на основании того, что их используют хакеры. Кибероружие может быть использовано только для полномасштабных глобальных боевых действий между одинаково мощными державами в первые несколько часов конфликта, до того, как коммуникационные сети будут нарушены или уничтожены
Отличия от вирусов и других вредоносных программ
Необходимо понимать, что не все вирусы и вредоносные программы являются кибероружием и наоборот. Существует очень тонкая грань в понимании того, что является реальным кибероружием, а что не является. Но поиск и нахождение точного понимания очень важно, так как:
- это имеет последствия для безопасности: если инструмент использован в качестве оружия, то может причинить вред одному или многим.
- Во-вторых, использование этой линии имеет политические последствия: безоружное вторжение политически менее взрывоопасное, чем вооруженное.
- В-третьих, линия имеет юридические последствия: выявление чего-то как оружия означает, по крайней мере, в принципе, что оно может быть объявлено вне закона, а его развитие, владение или использование могут наказываться.
Из этого следует, что линия между оружием и не оружием концептуально значима: определение чего-то как не оружия является важным первым шагом к правильному пониманию проблемы и разработке соответствующих ответов. Наиболее распространенной и, вероятно, самой дорогостоящей формой кибер-атаки является шпион.
Проблемы
Путем использования нескольких прокси-серверов или заражения компьютеров, трудно отследить конкретного вредоносного хакера или организации при любой форме атак. И даже если виновник найден, его трудно обвинить в преднамеренном военном действии, особенно из-за отсутствия правовых рамок. Сегодня проблема заключается в том, что мы живем в высокотехнологичном мире неопределенности, когда люди плохо подготовлены и не оснащены для этих новых угроз, которые могут нарушить связь, а также сетевой трафик на веб-сайты и могут потенциально парализовать поставщиков интернет-услуг (ISP) на международном уровне через национальные границы.
Случаи развертывания кибероружия
Инцидент, случившийся в 2009 году является первым случаем использования кибер-оружия: Stuxnet. Была использована часть вредоносного ПО, которая, как считается, является примером правительственного кибероружия, направленного на серьезное разрушение иранской ядерной программы. Вопрос ответственности за нападение было источником споров, но, в конце концов, считается, что это была совместная операция США -Израиля. Stuxnet был нацелен на завод в Натанзе, в Иране: отвернув клапаны и ухудшив центрифуги, оборудование было повреждено, и иранская программа обогащения урана эффективно замедлилась .
При разговорах о войне большинство людей сразу же представляет выстрелы, бомбы, атакующие танки, самолёты и венчает эту картину взрыв атомной бомбы. Особо впечатлительные граждане могут вспомнить бактериологическое и химическое оружие, и страшные последствия, к которым может привести его использование. При слове «кибератака» мы представляем лишь обычный взлом сайта, если дело происходит в США, то это ассоциируется с атакой русских хакеров, которые таким образом развлекаются.
Главные проблемы при проведении кибератаки на Россию видятся лишь в отключении интернета, из-за чего миллионы пользователей по всей России будут испытывать следующие неудобства:
- Не смогут общаться в социальных сетях;
- Не смогут отправить друг другу электронные письма;
- Не зайдут на любимые сайты и не прочитают свежие новости.
На самом деле, кибервойна может натворить гораздо больше бед, чем война традиционная, особенно в современных развитых странах. Одна единственная кибератака на компьютерную систему аэропорта может спровоцировать воздушные катастрофы. Кибератака на электростанции спровоцирует отключение света в городе или даже стране, что сразу же спровоцирует не только множество аварий в ночное время, но и всплеск преступности. Достаточно вспомнить, к каким последствиям привело отключение электричества в Нью-Йорке в 1977 году, чтобы представить себе масштабы современных катастроф.
В 21 веке, когда все коммуникации представляют собой компьютеризированные системы, кибервойна приведёт к полной остановке жизни городов, ведь вся инфраструктура городов находится в прямой зависимости от компьютеров.
Как бы ни пугали американские средства массовой информации своих обывателей угрозой кибератаки, на самой деле русские хакеры в США предпринимают любые хакерские атаки лишь для того, чтобы их заметили и взяли на работу в престижные фирмы. К сожалению, современная Россия зависима от производителей деталей для компьютеров и программного обеспечения, поэтому для США российские кибератаки не представляют большой опасности.
Кибервойна в 21 веке, реальные факты
Теория заговора, компьютерный шпионаж, кибервойна – это давно уже не тема дискуссий для политиков разных стран. В августе 2013 года, благодаря Эдварду Сноудену, журналисты и аналитики получили в своё распоряжение интересные документы, которые доказали, что компьютерный шпионаж – это не единственная проблема современного мира. Данные документы показали, что кибершпионаж касается не только прослушки мобильных операторов, мониторинга социальных сетей, поисковиков и даже таких систем как Visa и MasterCard.
Самым интересным в этих документах оказались файлы, в которых был приведён бюджет «американского разведывательного сообщества», для которого кибершпионаж оказался не единственным видом деятельности. Большинство российских СМИ только озвучили громкую цифру в 500 миллиардов долларов, которая была потрачена разведкой США на кибершпионаж, прослушку и мониторинг компьютерных сетей в период с 2001 по 2012 годы. В документах упоминалось о 231 наступательной операции, которые были оценены как кибершпионаж, что показывает явную недальновидность российских СМИ.
Анализ данных документов, а также огромный бюджет показывает, что по всему миру давно ведётся крупномасштабная кибервойна, в которой США отводится роль главного действующего лица. Остаётся только догадываться, когда США воспользуется плодами своей огромной секретной сети и в кибервойне нового типа появятся первые жертвы.
В мае 2017 года в РФ появился вирус, который не просто заражает или повреждает файлы, а меняет их расширение, после чего требует купить специальный расшифровщик, иначе файлы будут удалены. Хотя данный вирус появился в РФ только в мае, он уже успел «засветиться» в Англии и Испании. Примечательно то, что данный вирус, который появился в феврале 2017 года, атакует и государственные учреждения, и крупные фирмы. В России атака была направлена на компьютерные системы МВД. Хотя по официальным данным утечки информации не произошло, можно с уверенностью сказать, что это не кибершпионаж, а нечто большее. После подобной атаки, можно сказать, что кибервойна в России идёт уже сегодня.
Феномен кибервойны сегодня
Сегодня термин «кибервойна» упоминается не только в «жёлтой» прессе, но и прочно вошёл в лексикон военных, политиков и специалистов по безопасности. Можно сказать, что термин «кибервойна» стал настоящим мемом, который эксплуатируют на различных форумах в интернете и социальных сетях. Между тем, существует чёткое определение термина, «кибервойна», которое называет данный вид войны противоборством в киберпространстве, в том числе и интернете. Кибервойна бывает ориентирована на следующие действия:
- Пропаганду;
- Разжигание классовой или религиозной вражды;
- Хакерские атаки на сервера и компьютерные системы.
Некоторые эксперты к кибервойнам относят и различного типа репутационные войны, которые постоянно ведутся между различными компаниями и корпорациями. В более широком смысле, кибервойны относятся к информационным войнам, которые могут вестись не только с использованием компьютерных систем.
Среди военных и специалистов по информационной безопасности термин «кибервойна» стал использоваться примерно с 2007 года. С этого времени появилось чёткое разделение на информационные войны и кибервойны. В первую очередь, это произошло в тех странах, которые являются мировыми лидерами в области производства компьютеров и различного программного обеспечения к ним.
Сейчас информационные войны отличаются от кибервойн различными средствами воздействия:
- Информационные войны имеют цель полностью или частично изменить массовое или индивидуальное сознание объекта или объектов, на которые они направлены. В отличие от кибервойн, возраст которых насчитывает не более 30 лет, информационные войны велись ещё в глубокой древности. Появление интернета смогло вывести уровень информационных войн на новую высоту, придав им небывалую масштабность и эффективность;
- Кибервойны представляют собой целенаправленное воздействие (в виде различных программных кодов) на различные материальные объекты. Данное воздействие своей конечной целью может иметь вывод объекта из строя, нарушение работы объекта или полный переход объекта под управление противника.
В любом случае, в отличие от информационной войны, которая может длиться годами, кибервойна может мгновенно привести к непоправимым разрушениям. Достаточно вспомнить Чернобыль, чтобы понять, к чему может привести сбой на атомной или гидростанции.
История появления кибервойн
Знание истории появления и развития кибервойн поможет понять их смысл и разработать более продуктивные методы борьбы с ними. Хотя кибершпионаж существует уже достаточно давно, первое упоминание о кибервойне относится к 2007 году. Именно в этом году произошла крупная хакерская атака на государственные сайты Эстонии, которую совершила группа неизвестных иностранных хакеров (их так и не нашли). Вторым подобным случаем стал взлом и вывод из строя грузинских интернет-сетей в 2008 году. Кстати, многие западные СМИ предписывают данную хакерскую атаку российским спецслужбам.
В любом случае, ни одна из вышеперечисленных атак не привела к остановке деятельности инфраструктур, поэтому рассматривать их как целенаправленную атаку крупного государства было бы преждевременно. Исходя из этого, данные кибератаки можно рассматривать следующим образом:
- Возможно, это просто хакеры испытывали свои силы;
- Может быть, это спецслужбы проводили пробную кибератаку с испытательной целью.
В любом случае, использование кибероружия – это деятельность спецслужб США и Израиля, которые очень продвинулись в этой области. Что касается Китая, который очень динамично начал развиваться в последние 2 десятка лет, то тут на лицо явный кибершпионаж, хотя это больше касается экономической или технической сферы.
В 2008 году было проведено документально подтверждённое использование кибероружия Израильскими войсками. Во время операции «Олива» кибероружие было использовано для блокировки ПВО принадлежащих Сирии и блокировки сирийской радиоэлектронной разведки.
Следующее масштабное применение кибероружия было зафиксировано в 2010 году. Хотя данные об этом не предавались широкой гласности, «Лаборатория Касперского» сумела определить этот факт. Специальный вирус, который был разработан для внедрения в системы иранской атомной промышленности, блестяще справился со своими задачами. Хотя долгое время никто не брал на себя ответственность за создание данного вируса, не так давно США официально заявили, что данный вирус был разработан в США с участием израильских компаний. В дальнейшем, действуя по подомному сценарию, американцы применили подобный (хотя и несколько модернизированный) вирус против нефтеперерабатывающей сферы Ирана.
В последние годы часто фиксируются случаи использования специальных компьютерных программ не только для сбора данных, но и для полного вывода из строя различных нефтяных и газовых предприятий Катара и Саудовской Аравии.
Большим преимуществом кибероружия является тот факт, что с его помощью можно эффективно бороться с высокотехнологичным оружием, на разработку и создание которого у многих стран просто не хватает средств и ресурсов. Последней иллюстрацией этого факта явилась нейтрализация суперсовременного американского «беспилотника» в Иране. С помощью кибероружия иранцам удалось перехватить управление и посадить его на своей территории.
Ведущие компании в области компьютерной безопасности заявляют, что за последние годы кибероружие достигло небывалых высот в своём развитии. Если сравнивать систему, которую применили американцы в 2010 годы в Иране с современными системами, то разница будет как у боевого катера с новейшим авианосцем.
Ещё одним не слишком обнадёживающим фактом в сфере развития кибероружия является то, что около 70% исследований и разработок в этой сфере выполняется частными фирмами и даже группами хакеров, которые сумели громко заявить о себе. Сопоставив этот факт с тем, что иранцы имеют кибероружие, способное перехватить управление у новейшего «беспилотника», становится ясно, что кибероружие может легко попасть в руки террористов.
Что такое киберугрозы и кибероружие?
До сих пор различные СМИ, хотя и постоянно оперируют понятиями «кибервойна», «киберугрозы», «кибероружие», так и не научились правильно применять эти понятия. Чаще всего, это происходит из-за того, что журналисты просто вырывают данные понятия из контекста, и вставляют их в различные статьи. Вследствие этого, под кибервойной многие обыватели понимают следующее:
- Пропаганда в интернете и других источниках различных радикальных идей;
- Попытки взлома банковских счетов;
- Любые операции, целью которых становится взлом или повреждение компьютеров или программ.
То есть, грубо говоря, если какой-то хакер с группой товарищей взломает несколько сайтов, что приведёт к прекращению их работы, то получается, что эти хакеры ведут полномасштабную кибервойну.
Так же размыто и неопределённо понятие «киберугроза». Чаще всего СМИ подводят под это понятие любую информацию в сети, которая имеет экстремистский характер. Различные антивирусы в их изложении являются средствами борьбы с киберугрозой, а сами компьютерные вирусы и являются этой самой киберугрозой.
Кибероружием чаще всего называют различные утилиты, призванные обеспечивать безопасность компьютеров и сетей.
Для того, чтобы иметь представление, что же такое кибероружие (которое бывает нескольких типов), нужно детально рассмотреть принцип действия кибероружия хотя бы одного типа.
Кибероружие первого типа, действующее на основе избирательной системы
Для того, чтобы понять, как действует кибероружие первого типа, нужно рассмотреть, как оно воздействует на систему с обратной связью. Для примера возьмём самонаводящуюся ракету с инфракрасным наведением на цель. Данная ракета является автоматом, который настроен на наведение к источнику инфракрасного излучения, после чего происходит его (источника) поражение. Кибероружие, которое должно вывести из строя ракету, создаёт ложные сигналы, вмешиваясь в систему обратной связи автомата. Нарушение системы обратной связи приводит к сбою наведения ракеты, в результате чего она промахивается мимо цели. Уже на этом примере можно выделить характерные особенности применения кибероружия первого типа:
- При воздействии на систему исключается физический контакт;
- Воздействие происходит именно на определённую систему или ряд систем, которые связаны между собой;
- Результатом воздействия будет постоянный и одинаковый эффект;
- Целью воздействия чаще всего является не уничтожение, а нарушение функционирования системы;
- Кибероружие определённого типа может воздействовать только на определённые виды систем.
Развитие кибероружия в современном мире может сделать новейшее вооружение не только бесполезным, но и направить его против своих создателей. Именно поэтому разработчики уделяют огромное внимание созданию средств защиты от воздействия кибероружия.
АНБ полным ходом готовится к будущим цифровым войнам за полный контроль над миром посредством интернета, (говорится в документах, обнародованных Эдвардом Сноуденом). Я не смог не привести, заинтересовавшую меня, пусть не новую, но не менее актуальную статью, тем более нам есть чего опасаться от наших "западных партнёров" , а значит быть готовыми.
Российский след вируса Stuxnet
Я профессиональный программист и по образованию физик, так что все что изложено в этой статье не домыслы, я все это могу сделать сам, своими собственными ручонками. Да и информации по теме располагаю гораздо большей, чем могу изложить на этой, не профильной для меня информационной площадке.
Так что если будете возражать на форуме, подумайте кому вы возражаете. В этой теме я профессионал, так что внимайте с уважением.
Авария на Саяно-Шушенской ГЭС.
В современной России произошла катастрофа. В результате аварии энергоагрегата №2 Саяно-шушенской ГЭС 17 августа 2009года произошло разрушение машинного зала и полная остановка работы ГЭС, авария унесла 75 человеческих жизней.
Официально причина аварии в акте комиссии по расследованию обстоятельств аварии сформулирована так:
"Вследствие многократного возникновения дополнительных нагрузок переменного характера на гидроагрегат, связанных с переходами через не рекомендованную зону, образовались и развились усталостные повреждения узлов крепления гидроагрегата, в том числе крышки турбины. Вызванные динамическими нагрузками разрушения шпилек привели к срыву крышки турбины и разгерметизации водоподводящего тракта гидроагрегата."
Если переводить на понятный язык, то энергоагрегат (гидравлическая турбина соединенная с электрогенератором), разрушился из-за длительной работы в областях нагрузки на которых присутствуют резонансы электромеханической системы.
Сто лет тому назад, специалисты разобрались с ситуацией и сделали выводы, которым все следуют до сих пор, команду «расстроить шаг» никто и никогда уже не отменит.
А вот в нынешнее время с причинами не разобрались, и выводов не сделали.
Область резонансов в документе обтекаемо называется «не рекомендованной зоной». Чиновникам не хватило смелости даже назвать все своими именами, не то что сделать выводы. События между тем развивались далее.
Вирус Stuxnet
Stuxnet стал первым компьютерным вирусом, нанесшим вред физическим объектам. Из-за него в 2010 году вышли из строя многие центрифуги на ядерных объектах Ирана. Кибернападение на иранский завод по обогащению урана в Нетензе задержало развитие ядерной программы Ирана на несколько лет.
Военные аналитики признают, что Stuxnet стал новой вехой в развитии кибероружия. Из виртуального пространства оно перешло в реальность, так как атака подобного вируса поражает не информационные а физические, реально существующие объекты.
Разрушение центрифуг вирусом Stuxnet производилось методом резонанса электромеханической конструкции центрифуги. Объясню на пальцах, газовая центрифуга имеет быстровращающийся вал (20-50 тысяч оборотов в минуту), который крутит электромотор. Электромотором управляет контроллер, если этот контроллер перепрограммировать так, чтобы он периодически изменял частоту вращения вала центрифуги (у профессионалов называется «биения частоты»), то при определенных частотах «биения» система войдет в резонанс и подшипники оси вала и сам корпус центрифуги разрушится. Причем это будет выглядеть как обычная поломка не связанная с работой электроники и программ контроллера управления электромотором. Сначала будет повышаться вибрация, затем начинают откручиваться гайки крепления корпусных деталей, затем разбиваются подшипники и система в конце концов клинит и теряет герметичность.
Вирус Stuxnet, попадая на объект именно это и делал, перепрограммировал контроллер управления электромотором Simatic S7 таким образом, чтобы он выдавал напряжение с частотой биений, кратной резонансным частотам вращающегося вала центрифуги. Процесс нарастания амплитуды резонанса может длиться часами, если не днями, поэтому для обслуживающего персонала это выглядело как дефект конструкции самой центрифуги.
Иранцы так и не поняли, что их центрифуги разрушал вирус до тех пор, пока программисты из Белоруссии не обнаружили сам вирус и не разобрались с его функциональной нагрузкой. Только после этого вирус Stuxnet обрел мировую известность и Иран признал, что его ядерный объект целенаправленно атаковался на протяжении как минимум года именно этим кибероружием.
Что случилось на Саяно-шушенской ГЭС
Авария на втором гидроагрегате Саяно-шушенской ГЭС произошла из-за резонанса, как это было годом позже в Иране. И более того, можно утверждать что в резонанс оборудование было введено преднамеренно, используя методы реализованные в вирусе Stuxnet. Дело в том, что в момент аварии агрегатом управляла автоматика. Ручное управление для выдачи постоянной мощности было отключено и агрегат работал в режиме компенсаций пульсаций нагрузки в энергосистемы западной Сибири. При вводе в эксплуатацию оборудования проверяются резонансные частоты и в актах приемки указываются режимы в которых запрещается эксплуатация оборудования. Украинские специалисты в марте 2009 года сняли эти важнейшие параметры с второго агрегата (во время планового ремонта) куда и в какие руки эти данные попали неизвестно, но предположить можно.
Имея эти данные совсем не тяжело раскачать систему агрегата через микроконтроллер управления ГРАРМ так, чтобы она постепенно, за несколько часов, вогнала в зону резонанса турбоагрегат с электрогенератором на одном валу. После чего на корпусе начали от вибраций отворачиваться шпильки удерживающие крышку турбины, что и послужило непосредственной причиной катастрофы. Работой турбины и генератора в автоматическом режиме управляет специальная система, называется системой группового регулирования активной и реактивной мощности (ГРАРМ) .
Рис. Электронная часть шкафа управления ГРАРМ выполнена на основе PC-совместимой микроЭВМ фирмы Fastwell
Эта система была активирована в момент аварии на втором агрегате. Система была смонтирована и запущена в эксплуатацию в начале 2009 года, незадолго до аварии. Разработана и смонтирована данная система фирмой «ПромАвтоматика» на базе импортного оборудования. Естественно ни о какой Информационной безопасности тогда не думали, эта система имела прямой выход в Интернет, резонансные частоты агрегата были известны. Дальнейшее я думаю объяснять не надо, случилось то, что случилось…
Коллеги из Израиля и США успешно опробовали кибероружие для разрушения инфраструктурных объектов на практике, после этого конечно нужно создавать специальный род войск для его использования, что США и сделали в том же 2009 году организовав Киберкомандование со штатом сотрудников (бойцов) в 10 000 человек.
Кибероружие
Компьютерные вирусы в третьем тысячелетии стали тоже оружием и получили название «Кибероружие», более того во многих странах это оружие выделяется в отдельный род войск, обобщенным названием которого с легкой руки американцев стало название «Киберкомандование».
Командующий этими вооруженными силами получил совсем фантастическое название, не поверите, в США его называют - «КиберЦарь», да именно русское слово используется для официального названия американского командующего. Это оружие уже применялось в необъявленной войне США и Израиля против Ирана, Скорее всего оно применялось и в России, на Саяно-Шушенской ГЭС, есть его след и в аварии на Индийском проекте передачи в лизинг атомных подводных лодок. Там снова засветилась та же питерская фирма, она была разработчиком оборудования пожаротушения, которое в результате самопроизвольного срабатывания привело к гибели людей на ходовых испытаниях…. но это отдельная тема.
Фантазии голливудских сценаристов становятся реальностью: первые образцы кибероружия уже существуют и успешно опробованы на практике.
Остановить жизнь в крупном мегаполисе очень просто: достаточно аварии на ключевой подстанции. Отсутствие электричества не просто погружает мегаполис во мрак — оно превращает его в место, малопригодное для жизни. В магазинах и домашних холодильниках портятся продукты, при этом подвоза продовольствия в надлежащих количествах ждать не приходится: транспортная система парализована. Запасы топлива быстро иссякают — нефтеперерабатывающие предприятия стоят. Врачи в обесточенных больницах способны оказать лишь элементарную помощь. Пожарные команды в отсутствие связи не поспевают на место. Полиция быстро утрачивает контроль над ситуацией, а люди теряют человеческий облик, не готовые к выживанию в условиях внезапно наступившего средневековья… Москвичи в 2005 году, жители Нью-Йорка в 2003-м, обитатели Северной Индии в 2012-м почувствовали на себе, что такое блэкаут. Но во всех этих случаях отключение энергии было сравнительно непродолжительным, счет шел на часы.
А что если все это произойдет не случайно, а станет результатом продуманной диверсии? Вдруг удар будет нанесен по нескольким объектам сразу и быстро справиться с последствиями окажется невозможно? Апокалипсис наступит еще быстрее, если авариям в электросетях будет сопутствовать ряд других организованных катаклизмов, будь то авария на водопроводе или газопроводе, взрыв на крупном производстве, отключение правительственной связи… И всего этого можно добиться, не засылая в страну специально обученные диверсионные группы. Достаточно наличия у агрессора нескольких десятков высококлассных программистов. Кибероружие — вредоносные программы, способные не только похищать или уничтожать данные в киберпространстве, но и разрушать объекты в реальном мире, — перестали быть фантастикой.
Червь с взрывным характером
Сомнительная честь стать первым объектом, испытавшим на себе действие кибероружия, выпала на долю иранского ядерного центра в Натанзе. В ноябре 2010 года около тысячи центрифуг, в которых производится обогащение урановой руды, были выведены из строя в результате действий компьютерной программы Stuxnet.
Предприятие это, разумеется, секретное. Но некоторые представления о производственном процессе у организаторов диверсии были. В 2007-2008 годах завод посещали инспекторы МАГАТЭ — тогда иранские власти еще не закрыли перед ними двери. Специалисты немало узнали и из официальной иранской теле- и фотосъемки, посвященной визиту на завод президента страны Махмуда Ахмадинежада в 2008 году. Службы безопасности сработали тогда на удивление халтурно: на фото можно было разглядеть мониторы компьютеров, работающих под операционной системой Windows. Наконец, было известно, какие именно центрифуги использовались в Натанзе: в обход эмбарго на поставки потенциально опасного оборудования Иран закупал установки в Пакистане. Компьютерное управление моторами этих центрифуг производится с помощью контроллеров от компании Siemens. Оставалось понять, каким образом занести вредоносную программу в компьютерную сеть предприятия, ведь из соображений безопасности она не подсоединена к интернету. Но авторы Stuxnet нашли хитроумное решение.
Под нужды конкретного производства для сименсовских контроллеров всегда создается специальное программное обеспечение — собственно система управления. А раз программы пишутся под заказ, то разработчики впоследствии занимаются их поддержкой, то есть регулярно доставляют на производство файлы обновлений. Единственный возможный способ доставки информации в закрытую сеть секретного предприятия — внешние носители. Хакеры «закинули» Stuxnet в шесть иранских компаний-разработчиков программного обеспечения, которые, по их мнению, могли иметь контакты с заводом в Натанзе. Заразить компьютеры этих компаний было несложно: они подключены к интернету, их сотрудники пользуются электронной почтой. Расчет на то, что рано или поздно вирус на зараженной флешке попадет по назначению, полностью оправдался. Зараженные Stuxnet компьютеры, которые управляют производством в Натанзе, в какой-то момент подали команду на раскручивание центрифуг на предельных скоростях, затем резко остановили вращение и снова разогнали установки. Так продолжалось до тех пор, пока часть центрифуг не вышла из строя. Только тогда обслуживающий персонал завода заметил неладное и выключил энергию.
Помимо уникального функционала, Stuxnet интересен тем, что это пока единственная в истории вредоносная программа, создатели которой использовали сразу три ранее неизвестные «дыры» (ошибки) в операционной системе. «Эти методы разрабатывали очень серьезные профессионалы, это не традиционная киберпреступность», — заявляет Александр Гостев, руководитель центра глобальных исследований и анализа угроз в «Лаборатории Касперского».
Любопытно, что антивирусным компаниям стало известно о существовании Stuxnet за несколько месяцев до диверсии — по вине разработчиков «ареал распространения» вредоносной программы не ограничился Ираном, она начала расползаться по интернету. Но разобраться с механизмом его действия и разработать методы борьбы с ним никто не успел. «Обама решил провести атаки [на ядерные объекты Ирана], — подготовка которых началась еще при администрации Буша под кодовым названием «Олимпийские игры», — даже после того, как элемент программы случайно стал достоянием общественности летом 2010 года», — писал американский журналист Дэвид Сэнгер. Несколько его публикаций в New York Times, а затем выход книги «Конфронтация и сокрытие: Тайные войны Обамы и удивительное использование американской мощи» подтвердили то, о чем эксперты по компьютерной безопасности догадывались и ранее: диверсия в Натанзе стала результатом совместной операции американских и израильских спецслужб. Источники Сэнгера в правительственных службах утверждают, что действие вируса тестировалось в Израиле, в ядерном центре Димона в пустыне Негев. «За колючей проволокой Димоны у Израиля имеются центрифуги, практически не отличающиеся от тех, что установлены в Натанзе... заявляют эксперты. Они говорят, что именно в Димоне проверялась эффективность компьютерного червя Stuxnet».
Нанесенный вирусом урон был вполне заметный — как если бы в цеху рванула бомба. И все же иранскую ядерную программу диверсия, которую готовили от трех до пяти лет, не остановила. Разве что чуть-чуть притормозила: червь успел разрушить только часть центрифуг. Сейчас сам Stuxnet уже не опасен. Вообще, большой недостаток кибероружия — его одноразовость: оно эффективно ровно до того момента, пока разработчики операционных систем, антивирусов или отдельных программ не «заткнут» использованные вирусом «дыры». Но его разработчики продолжают свою деятельность: по мнению экспертов, именно они приложили руку к созданию шпионской программы Flame, выявленной в прошлом году. Она использует схожие со Stuxnet методы проникновения в закрытые компьютерные системы. При этом Flame гораздо лучше маскируется: запускаясь с зараженной флешки, вирус не устанавливается в систему, а просто собирает с компьютера интересующую его информацию. Когда флешка вернется на зараженный компьютер, украденные данные отправляются разработчикам шпионской программы. Впрочем, при всем своем совершенстве, Flame едва ли можно считать кибероружием. По крайне мере известные его модификации не подразумевают возможность диверсий. Новых случаев применения кибероружия, уничтожающего материальные объекты, со времен Stuxnet пока не было замечено.
Впрочем, вирусы могут быть далеко не единственным способом ведения кибервойн.
Диверсия, которой не было
Томас Рид, бывший советник американского президента Рональда Рейгана, в вышедшей в 2004 году книге «Над бездной. История холодной войны, рассказанная ее участником» утверждал, что первой успешной кибератакой в истории был «взрыв на газопроводе в Сибири в 1982 году». Якобы благодаря предательству офицера КГБ Владимира Ветрова американцы смогли подсунуть советской разведке «подправленные» данные о современных технологических разработках для газопроводов. И содержавшая «логическую бомбу» технология (или программное обеспечение) была внедрена на газопроводе Уренгой — Сургут — Челябинск. Но история эта, скорее всего, фальшивка. Данных о крупных авариях на советских газопроводах в 1982 году попросту нет. Даже если предположить, что информацию о катастрофе в СССР, как обычно, засекретили, есть и другие нестыковки. Так, Ветров начал сотрудничать с французской разведкой только в 1981 году. Это значит, на подготовку диверсии попросту не хватило бы времени. К тому же система управления газопроводами в нашей стране тогда не была компьютеризирована.
«Логическая бомба», ужасная и неуловимая
6 сентября 2007 года израильская авиация нанесла удар по территории Сирии, на северо-востоке страны был полностью уничтожен некий объект. Как заявили позже представители Израиля, это был ядерный реактор. (Информацию подтвердили и американские власти, она содержится и в секретном докладе МАГАТЭ, о котором стало известно только в 2011 году.) Но оставим в стороне вопрос о существовании сирийской ядерной программы, куда интереснее обстоятельства самой операции «Орхидея», как был поименован тот авианалет. Эскадрилья израильских бомбардировщиков пролетела практически над всей территорией соседнего государства, сравняла объект с землей и невредимой вернулась на базу. Притом что у Сирии довольно серьезная система ПВО. Но в тот раз системы радарного обнаружения не сработали. Выяснилось, рассказывает Александр Гостев, что перед началом операции сирийские радары были выведены из строя с помощью мощного радиосигнала извне. Что это было — точно неизвестно: может, просто сигнал на определенной частоте, а может, специальная команда, некая последовательность данных. Эксперты полагают, что в электронной начинке радарных станций была заложена некая «логическая бомба», которая каким-то образом была активирована и привела к отключению системы. Вот только доказательств справедливости этой версии нет.
Тема «логических бомб», которые могут быть преднамеренно заложены в программном обеспечении или даже в отдельных блоках электронных устройств, сейчас в моде. Она постоянно муссируется экспертами по кибербезопасности и политиками. И хотя никому и нигде вроде бы не удалось пока такую «закладку» обнаружить, политики и военные исходят из того, что возможность использовать «логические бомбы» для шпионажа или диверсий — реальная угроза. Так, американские власти сейчас ведут настоящую войну против одного из мировых лидеров в производстве телекоммуникационного оборудования — китайской компании Huawei, которая чисто экономическими методами добилась того, что сильно потеснила на территории США американскую корпорацию Cisco. Не только большинство американских интернет-провайдеров использует оборудование Huawei, оно обеспечивает работу компьютерных сетей и на объектах так называемой критической инфраструктуры — в энергетике, на транспорте. В 2009 году президент США Барак Обама объявил цифровую инфраструктуру «стратегическим национальным достоянием». И вот теперь продукция Huawei считается в Штатах угрозой национальной безопасности. Правительство заставляет все госструктуры и сотрудничающие с ними компании полностью отказаться от использования китайского оборудования. Конечно, война с Huawei может быть и чисто экономической. Однако для публики действия правительства, явно противоречащие идее свободного рынка, объясняются именно фактором киберугрозы.
Томас Рид: «Кибервойны не будет»
Преподаватель Королевского колледжа Лондона Томас Рид считается одним из ведущих экспертов по вопросам кибербезопасности и современных военных технологий. Автор книг «Война 2.0» и «Кибервойны не будет» постоянный эксперт BBC, CNN и SkyNews по военным вопросам и проблемам кибербезопасности, он один из тех немногих, кто скептически относится к перспективам кибероружия. «В киберпространстве традиционное соотношение усилий, необходимых для нападения и обороны, перевернуто с ног на голову: атака оказывается проще и дешевле, а защита — сложнее и затратнее. Казалось бы, стоит ожидать увеличения числа компьютерных диверсий. Но все может быть с точностью до наоборот. Игроков, способных осуществить операцию уровня Stuxnet, скорее всего, меньше, чем принято считать. Кибердиверсия может оказаться делом куда более сложным, чем военная операция, даже если необходимые для кибератаки финансовые ресурсы незначительны в сравнении с ценой современного вооружения. Нужно сначала обнаружить уязвимости, которые можно использовать; нужно разобраться в устройстве сложных промышленных систем, а механизм атаки должен быть подстроен настолько точно под конкретную цель, что использование его где-либо еще практически невозможно. Наибольшую пользу кибероружие может принести, только если использовать его в сочетании с обычными или тайными военными операциями, как поступил Израиль, «ослепив» сирийские ПВО в 2007 году».
Дивный новый мир
«Современная концепция войны — это не уничтожение живой силы или техники противника, а парализация инфраструктуры. Если выключить по всей стране электричество, эффект будет гораздо больше, чем от перехвата управления танком или самолетом. Управлять тысячами «зараженных» танков — это значит надо тысячи операторов держать, что нереально, — утверждает Александр Гостев. — Задачи при помощи вируса перехватывать управление вооружением противника не ставится». Ричард Кларк, один из ведущих экспертов в области кибербезопасности, бывший специальный советник президента Буша, изложил свое представление о современной угрозе в вышедшей в 2010 году книге с лаконичным названием «Кибервойны». По его мнению, инфраструктура страны может быть уничтожена за 15 минут. Этого достаточно, чтобы разрушить системы военной связи, уничтожить финансовые данные, устроить взрывы на нефтеперерабатывающих предприятиях и трубопроводах, остановить транспорт, отключить электричество. И жизнь остановится.
Правительства всех развитых стран вкладывают все больше денег в защиту своих компьютерных систем от потенциальных атак и, разумеется, разработку собственного наступательного кибервооружения. Например, ведущее научно-исследовательское агентство Пентагона DARPA получило на пять лет 500 миллионов долларов именно на эти цели. В самом Пентагоне было создано специальное управление Cybercom, задача которого — проведение любых операций по защите американских военных сетей и атаки на компьютерные системы других стран.
Но можно ли от этого защититься? Любой эксперт по компьютерной безопасности ответит, что 100-процентной защиты не существует. В 1990-е среди программистов была популярна шутка: если бы строители возводили здания так же, как программисты пишут программы, первый же залетевший дятел разрушил бы цивилизацию. Ошибки и просчеты в программном обеспечении будут всегда, неуязвимых операционных систем не придумано. Даже представление о том, что не существует вирусов для продукции компании Apple, не более чем миф. Но если мы не хотим отказаться от современной техники, придется смириться с мыслью, что мы живем под постоянной угрозой прилета дятла.
