14 июня, 2012
Flame, который изменил мир.
Октоберфест образца 2010г. мне запомнится на всю жизнь. Да, пиво я люблю, особенно немецкое и особенно на Октоберфесте. Но в этот раз я пива вообще не помню и не потому, что его было много :) Тогда пришла первая весточка одной очень неприятной тенденции, которой я опасался уже много лет до этого. Дагадались? Ага, именно тогда случился тот самый Stuxnet – первый образец малвары, созданный при государственной поддержке и нацеленный на выполнение конкретной военной миссии. На пресс-конференции во время Октоберфеста мы так и сказали: «Добро пожаловать в эпоху кибер-войн». И уже тогда было очевидно, что Stuxnet — это только начало.
На самом деле, с тех пор вплоть до самого недавнего времени мало что поменялось. Несмотря на то, что всем было интуитивно понятно «откуда ноги» растут и кто может стоять за Stuxnet, ни одно государство не то, чтобы не взяло на себя ответственность, но и всячески открещивались от авторства. «Прорыв» состоялся в конце мая, когда мы обнаружили новую марвару, которая так же не оставляла сомнений в её кибер-военном происхождении и военной миссии.
Разумеется, речь о Flame.
Абстрагируясь от технических деталей: в чём историческое значение Flame? Из-за чего поднялся шум вокруг этого вредоноса? Насколько он опасен и в какой плоскости эта опасность лежит? Способно ли кибер-оружие стать частью государственной военной доктрины и вызвать новую гонку вооружений? Вопросы могут показаться странными и даже алармистскими – подумаешь вирус! Как он может помешать мне съесть утром свежую французскую булочку (или китайский дим-сум :)? Если ситуация с военной малварой будет развиваться и дальше самотёком, то невозможность утром съесть французскую булочку (китайский дим-сум) окажется, увы, самым незначительным лишением.
Неделя после обнаружения Flame внезапно принесла нам сразу несколько новостей. По сути, эти новости «проапгрейдили» текущие представления о военной стратегии и показали, что государства в течение нескольких лет уже успешно применяли новые методы, с вязанные с наступательным кибер-оружием.
1 июня в The New York Times вышла эпическая статья, где авторство Stuxnet аргументировано приписывалось США, при этом от самих США не поступило никаких опровержений. Наоборот, Белый Дом возмутился утечками информации и потребовал от компетентных органов расследовать случай. Как-то так синхронно получилось, что Израиль тоже перестал стесняться и, хоть прямо и не признался в участии в проекте(ах), но больше не стал скрывать своих интересов в области разработки и применения кибер-оружия.
А теперь давайте представим какие эти новости могут иметь последствия.
Во-первых, Stuxnet, Duqu и Flame на практике доказали, что кибер-оружие а) эффективно, б) значительно дешевле обычного оружия, в) с трудом поддаётся обнаружению, г) с трудом приписывается конкретному нападающему (соответственно превентивно-проактивные методы тут малоприменимы), д) от него трудно защититься, ибо неисповедимы «дыры Виндовые» и иже с ними, е) реплицируемо с нулевыми затратами. Более того, его кажущаяся безобидность мотивирует владельцев к его применению, особо не задумываясь о последствиях. А последствия «могут и будут», да такие, что Крепкий Орешек 4 станет былью. Об этом ниже.
Во-вторых, недавний пример оправдал кибер-оружие в этическом и легализовал в правовом плане. Я уверен, что такими технологиями втихаря не брезговали баловаться и другие страны, но раньше это было что-то вроде неприличной темы для беседы и потому дела делались тихо, понемногу и скрытно. Теперь же никто стесняться не будет и все кто может позволить не будут себе ни в чём отказывать. Даже наоборот: страны, не имеющие кибер-оружия в «приличном военном обществе» будут считаться отсталыми. Как следствие – уже в краткосрочной перспективе кибер-военные бюджеты многократно распухнут и мы станем свидетелями гонки вооружений, в новом, кибер-измерении. А ружьё, как мы знаем, просто так на стене висеть не будет.
В-третьих, отсутствие хоть какой международной конвенции (читай соглашения о «правилах игры») по разработке, применению и распространению кибер-оружия и третейского судьи приводит к появлению нескольких нешуточных и весьма вероятных угроз:
- Появление особо опасной малвары, намеренно, случайно или «бумерангом» «гасящей» объекты критической инфраструктуры, что провоцирует региональную/глобальную социально-экономическую/экологическую катастрофу.
- Использование кибер-оружия провоцирует классический кинетический конфликт. В прошлом году США прямо заявили, что оставляют за собой право ответа на кибер-атаку традиционными военными средствами.
- Инсценировка, провокация или мисинтерпретация кибер-атаки для оправдания военного нападения на другое государство. Кибернетический Пёрл Харбор.
Сейчас мало кто понимает реальной опасности кибер-оружия. Вообще не укладывается, как какой-то вирус, несколько кило/мегабайт непонятных закорючек может вдруг спровоцировать, например, аварию на атомной станции, пожар на нефтепроводе, авиакатастрофу. Ага? Человечество незаметно и давно попало в сильнейшую зависимость от информационных технологий.
Для примера вернёмся к французской булочке.
Это милое создание производится на хлебокомбинате, пронизанном компьютерами от бухгалтерии и склада до систем управления тестомешалками и печами. Хлебокомбинат получает ингредиенты из других похожим образом автоматизированных производств. Вся логистика между ними работает на компьютерах и сетях. Электричество, вода, канализация и прочие коммунальные услуги, без которых хлебокомбинат быстро закроет Санэпидемнадзор тоже предоставляются компьютеризированными предприятиями. Даже лифт, который доставляет французскую булочку в модное кафе и тот управляется специальной IT-системой. Наконец, кредитная карточка, которой мы расплачиваемся за булочку … ну, с ней и так всё ясно. Так вот – все эти объекты являются потенциальными жертвами кибер-атаки. Вон, Stuxnet уничтожал центрифуги на иранских атомных объектах. Вряд ли хлебокомбинат или водоканал более защищены. На деле всё ещё гораздо хуже – промышленные и важные инфраструктурные объекты работают на дырявых SCADA-системах, да ещё и подключённых к Интернету. А медлительность разработчиков этих систем в плане исправления уязвимостей (которые могут использоваться для кибер-атаки) вообще породила новый термин «forever days» (вечные «зеродеи»).
По своему разрушительному потенциалу кибер-оружие никак не уступает ядерному, биологическому или химическому. Но, в отличие от этих видов ОМП оно никак не контролируется и имеет «романтический» ореол невидимого, вездесущего и «аккуратного» (некоторые клоуны даже умудрились высказать мысль, что кибер-оружие на самом деле способствует миру во всём мире), что стимулирует его применение.
Разрабатывая кибер-оружие, мы пилим сук, на котором сами сидим. И развитые страны, как одни из наиболее компьютеризированных государств в конечном итоге пострадают от этого больше всего.
Честно говоря, я пессимистичен. И буду рад ошибиться. Не думаю, что государства сейчас смогут договориться о правилах кибер-войны. Мы сейчас помогаем технической экспертизой Международному союзу электросвязи ООН (ITU). Те, в свою очередь, пытаются создать хоть какую-то систему наподобие МАГАТЭ для кибер-пространства. Но даже по статьям в СМИ видно сильное противодействие некоторых стран этой активности. Действительно, кому сдался этот регулятор, когда есть такое перспективное и, типа, безобидное оружие? Мне кажется, правительства придут к осознанию реальной опасности кибер-угрозы только когда хорошенько так долбанёт. Вроде как в 2003 на северо-восточном побережье США, но только чтобы ни у кого не осталось сомнения о реальных причинах инцидента. Пока гром не грянет мужик не перекрестится. Ага, на дворе стоял 21 век.
Выводы:
- Мировое сообщество должно попытаться прийти к соглашению по вопросам разработки, применения и распространения кибер-оружия. Это не решит многих проблем, но установит правила игры, которые интегрируют новые военные технологии в структуру международных отношений, тем самым предотвратив их бесконтрольное развитие и легкомысленное использование.
- Инфраструктурные и промышленные объекты, финансовая, транспортная, коммунальная и другие критически важные системы должны в корне пересмотреть свой подход к обеспечению информационной безопасности, прежде всего в плане полной их изоляции от Интернета, поиска альтернативных решений устаревшим и несоответствующим новым вызовам индустриальным системам управления.
- Хотя секюрити-индустрия многие годы фокусировалась на борьбе с массовыми эпидемиями, в её арсенале есть защитные технологии способные с высокой долей вероятности предотвратить атаки таргетированного кибер-оружия. Однако это потребует от пользователей переосмысление парадигмы безопасности и внедрения эшелонированной, многоуровневой системы защиты.
- Stuxnet, Duqu и Flame – это лишь верхушка айсберга. Какое другое кибер-оружие шляется по миру мы можем только догадываться. Уверен, мало не покажется, будет очень интересно. Надеюсь только интересно – не страшно.
- Как международная компания мы официально заявляем, что будем детектить любое кибер-оружие вне зависимости от страны его происхождения и мер «принуждения к сотрудничеству». Любой компромисс здесь считаем несовместимым с нашими этическими и профессиональными принципами.
В общем, кибер-оружие – это проблема. Как «полевые» эксперты, которые непосредственно работают с вредоносами мы видим как развиваются дела и куда это всё может привести в плане последствий. С другой стороны, разработка кибер-оружия становится модной темой и не за горами его массовое применение. Чем раньше правительства поймут масштабы этой проблемы, тем лучше для всего мира.
Недавно Брюс Шнейер опубликовал хорошую статью, цитата:
«Каким бы несовершенными не казались международные соглашения по контролю над кибер-пространством – это единственный способ минимизировать угрозу кибер-войны».
Трудно не согласиться. Можете себе представить современный миропорядок без соглашений по контролю над ядерным/химическим/биологическим оружием? Да, МАГАТЭ не смогло остановить Израиль, Индию, Пакистан и Северную Корею от создания своего ядерного потенциала. Но подобные международные соглашения устанавливают этические и легальные нормы, т.е. что хорошо и что плохо. В конечном итоге это положительно влияет на мир и безопасность.