19.06.2010
Киберугрозы реальные и выдуманные
№2 2010 Март/Апрель
Алексей Смирнов

Руководитель направления разработки и исследований компании Security Technology Research.

Павел Житнюк

Генеральный директор и соучредитель компании iTREND.

Тема безопасности и угроз в киберпространстве, ставшая популярной в последние годы, сильно мифологизирована в общественном сознании. Благодаря Голливуду создается образ «всемогущих хакеров», которые способны управлять самолетами, совершать диверсии на атомных станциях, угрожать безопасности целых государств, и все это – не сходя с дивана в «темной хакерской берлоге». Отсюда же и представление о полной беззащитности компьютерных систем. Реальность, как всегда, гораздо скучнее и прозаичнее.

Характерный пример нагнетания напряжения вокруг темы – статья генерала Уэсли Кларка и специалиста по информационной безопасности Питера Левина «Обеспечение безопасности информационной магистрали. Как усовершенствовать системы электронной защиты США». Она начинается с классической утки про взрыв советского газопровода в Сибири в 1982 г., за которым якобы стояли американские спецслужбы, внедрившие бракованные чипы в советскую цепочку. Никаких достоверных подтверждений данной версии не существует, абсолютное большинство специалистов считают, что это – не более чем часть информационной войны, которая велась против СССР (см., например, http://www.computerra.ru/magazine/355647/). Однако сама тема кибернетической угрозы превратилась в последние годы в неотъемлемую часть западной политической дискуссии в сфере безопасности.

СЕТИ ПУБЛИЧНЫЕ И НЕ ОЧЕНЬ

Конечно, серьезная угроза кибератак на веб-сайты и любые другие публичные сервисы существует. Но открытые для публичного доступа сети оказываются легкой добычей злоумышленников именно в силу наличия открытых каналов доступа. Специалисты, занимающиеся обслуживанием подобных ресурсов, прекрасно информированы о возможностях атакующих и располагают аппаратными и программными решениями, которые минимизируют потенциальные угрозы.

Наиболее распространенный тип атаки на публичные сервисы – DDoS-атаки (denial of service), отказ в доступе – когда сервер-жертва загружается огромным количеством паразитных запросов. С атаками такого типа чрезвычайно трудно бороться в силу их распределенного характера и массовости атакующих компьютеров. Однако даже в этом случае при организованных и оперативных действиях провайдеров и владельцев атакуемых ресурсов последствия нападения можно минимизировать в достаточно сжатые сроки – от нескольких часов до нескольких дней.

Совершенно иное дело – ситуация, о которой говорят американские авторы, имея в виду «осуществляемое в сети нарушение функционирования жизненно важных систем национальной инфраструктуры: наземного и воздушного транспорта, производства и распределения электроэнергии, каналов водоснабжения и сточных вод, всевозможных видов электронной связи и, конечно, высокоавтоматизированной финансовой системы США». Действительно, трудно даже просчитать последствия успешной хакерской атаки, например, на систему управления АЭС или военного комплекса. Но именно поэтому при проектировании систем управления таких жизненно важных объектов к уровню безопасности предъявляются особые требования.

Защищенность публичных сервисов напрямую зависит от профессионализма системных администраторов и специалистов по безопасности. «Взломать» и «подобрать пароли» технологически корректно построенному веб-ресурсу – нетривиальная задача, и подобные случаи довольно редки. Как правило, успешные вторжения осуществляются с помощью приемов социальной инженерии: виноваты не системы, а человеческий фактор.

В тех случаях, когда необходимо обеспечить сохранность критически важных данных, а также высокий уровень защиты и секретности (оборона, энергетика и пр.), общепринятой практикой является использование специализированных сетей, изолированных от сетей общего назначения. Поэтому хакерам чрезвычайно трудно проникнуть в защищенную сеть стратегического назначения, не связанную с Интернетом. Абсолютное большинство случаев несанкционированного доступа (НСД) к закрытым стратегическим ресурсам имели в своей основе пресловутый «человеческий фактор» – когда попытки НСД предпринимались персоналом сетей либо если сети не были в достаточной степени защищены из-за халатного отношения к вопросам безопасности.

При всех известных взломах и атаках закрытых сетей так или иначе использовались элементы социальной инженерии: многие пользователи даже в закрытых сетях с высоким классом защищенности могут выбирать простые пароли типа password, secret, work и т. д. Классические приемы социальной инженерии описаны в книге известного хакера Кевина Митника «Искусство взлома». Так, например, можно позвонить в секретариат компании и, представившись сотрудником технического отдела, который проводит смену паролей пользователей, попросить сообщить вам имя аккаунта и текущий пароль. Очевидно, что в небольших компаниях и подразделениях, где сотрудники знают друг друга, такой номер не пройдет, но в крупных корпорациях либо государственных структурах с тысячами работников социальная инженерия работает вполне успешно.

То есть потенциальную вербовку оператора ЭВМ банка, корпорации или военного объекта нельзя рассматривать как угрозу именно информационной безопасности. Собственно, нашумевшие кражи номеров кредитных карт и вирусы, внедряющиеся в компьютеры частных пользователей, – это, по сути, тоже часть работы «социальных инженеров», пользующихся низким уровнем компьютерной грамотности пользователей. Пароль, прилепленный стикером к монитору секретарши, – признак слабой защищенности информационной системы либо «человеческий фактор»? Как представляется, второе.

MALWARE И НЕКНИЖНЫЕ ЗАКЛАДКИ

Если говорить о хакерах, то следует различать модели угроз. Как уже отмечалось выше, все, что на слуху, – это «самодеятельность» (впрочем, иногда финансируемая правительственными органами), DDoS-атаки, дефейсы и прочие «шалости». Однако существует и менее известная часть проблемы, которая связана с хищением действительно ценной информации. Возвращаясь к статье Кларка и Левина, надо отметить, что головная боль государственных структур Соединенных Штатов, связанных с обеспечением кибербезопасности, – это не таинственные «северокорейские хакеры», а сторонние организации, работающие по правительственным контрактам США, контролировать деятельность которых довольно сложно.

Не менее актуальна проблема malware – вредоносных программ, внедряемых в защищенные вычислительные сети. В этом случае возникает сразу несколько аспектов. Если в сеть SCADA (Supervisory Control And Data Acquisition – диспетчерский контроль и сбор данных; по-русски этому термину соответствует АСУТП – автоматизированная система управления технологическим процессом. – Ред.) может попасть вирус, то это в первую очередь говорит о том, что существует вектор проникновения, то есть ошибка архитектуры или нарушение условий эксплуатации. В реальности подобное случается постоянно, и крайне трудно установить сотрудников, виноватых в НСД.

Вторая проблема – экономия средств на создании защищенных систем. Рассмотрим простой пример создания АСУТП на абстрактном предприятии. Руководство решает строить свою систему на платформе операционной системы Microsoft Windows, потому что сегодня Windows предоставляет самый большой выбор инструментария и дешевых разработчиков. Раз в качестве платформы выбрана Windows, взаимодействие компонентов реализовывается через систему Windows RPC (Remote Procedure Call – класс технологий, позволяющих компьютерным программам вызывать функции либо процедуры в другом адресном пространстве – как правило, на удаленных компьютерах), так как логично использовать вызовы платформы. Затем выясняется, что поддерживать достаточный уровень безопасности программного обеспечения (ПО) в такой системе невозможно, потому что обновления системы могут конфликтовать со специальным софтом, написанным под конкретные задачи этой АСУТП. Возникает эффект карточного домика, который рушится от малейшего ветерка. Создана среда, которая не позволяет функционально изолировать компоненты, она компрометируется полностью при компрометации любого компонента.

Поскольку такая ситуация довольно типична, эти угрозы одинаково актуальны как для предприятий, так и для правительственных структур любой страны.

Особое место в статье Кларка и Левина отведено угрозе так называемых закладок в аппаратном и программном обеспечении: «Хотя, когда речь идет о кибернетической безопасности, внимание средств массовой информации в основном приковано к сетям и программам, компьютеры на уровне кристаллов (chip-level hardware) столь же уязвимы: в процесс производства микрочипа, состоящий из 400 операций, можно с легкостью ввести намеренные дефекты схем или умышленную порчу».

Этот вопрос действительно затрагивает интересы всех стран, включенных в мировое киберпространство, но нам представляется, что основной «жертвой» закладок все-таки могут стать не Соединенные Штаты. Ведь бoльшую часть микропроцессорных технологий экспортируют в страны-производители как раз оттуда. Абсолютное большинство микрочипов производится «большой тройкой» американских компаний – Intel, AMD и Motorola, которые имеют тесные деловые связи с американскими правительственными и оборонными структурами. Проблема заключается в изготовлении компонентов: на сегодняшний день в США нет своего полного контролируемого технологического цикла производства электроники, поэтому даже сертифицированные информационные системы для Пентагона делаются на базе обычных китайских и тайваньских комплектующих.

В свое время в структурах госбезопасности России задались вопросом: не содержатся ли потенциально вредоносные закладки в широко используемой у нас операционной системе MS Windows? Были даже достигнуты договоренности с Microsoft об ознакомлении российских специалистов с исходными кодами системы, однако вряд ли у какой-то из сторон была уверенность в возможности подробного анализа сотен миллионов строк программного кода. Поэтому вопрос остается открытым.

Какие-то риски придется учесть и принять как Соединенным Штатам, так и России. Например, нам следует быть готовыми к тому, что в случае гипотетического конфликта с НАТО вся сотовая связь внезапно перестанет работать, так же как и некоторая часть гражданской инфраструктуры. Это не обязательный, но возможный сценарий, и государство должно осознавать потенциальную возможность такой ситуации.

Следует разработать внятные планы относительно того, чем мы готовы пожертвовать и как защитить то, чем мы жертвовать не можем. Необходимо оценить целесообразные затраты и вероятность рисков. Это не совсем тривиальные задачи, но методология управления рисками довольно хорошо разработана. И это более разумно, чем вкладывать миллиарды в «псевдоотечественное» производство, а точнее, в бездонную яму коррупции и «распилов бюджетов».

СЕРТИФИКАЦИЯ — БЕССМЫСЛЕННАЯ И БЕСПОЩАДНАЯ

Глобальная проблема отечественной информационной безопасности заключается в том, что она несет на себе груз тяжелого наследия еще советской нормативной базы, весьма далекой от жизни. Будь то защита персональных данных либо критической инфраструктуры, все упирается в одно – практически полную монополию Федеральной службы безопасности (ФСБ) в области кибербезопасности. Государство обязывает все структуры, так или иначе связанные с секретной информацией и персональными данными, пользоваться средствами защиты, имеющими сертификаты ФСБ, и нормативной базой, разработанной в духе указаний этого ведомства (огромное количество отраслевых документов, Федеральная служба по техническому и экспортному контролю и т. д.). В основе таких подходов – максимальная ориентация на сертификационную, а не уведомительную систему соответствия и отсутствие адекватного анализа рисков (даже в тех нормативных документах, где есть хотя бы упоминания о возможных моделях угроз, никакой основы для реальных действий по защите информации не содержится). Почему именно сертификация считается в России панацеей от киберугроз?

Российское законодательство принуждает коммерческие компании и государственные структуры использовать чрезвычайно затратный, запутанный и противоречивый механизм защиты персональных данных. В тонкостях закона разбираются только специализированные структуры, близкие, как правило, к силовым ведомствам. Коммерческие, а зачастую и государственные учреждения не в состоянии обеспечить его выполнение самостоятельно.

Фактически в России работает огромный по своей денежной емкости рынок информационной безопасности, ежегодный рост которого обеспечивается соответствующими законами и постановлениями. При этом собственно безопасность весьма далека от совершенства, так как «защита» зачастую сводится к подготовке требуемых документов и знакомству с «правильными» людьми, которые за известное вознаграждение выдадут все требуемые лицензии и сертификаты.

Следует отметить, что известны лишь единичные случаи утечки ценной корпоративной информации при помощи недружественных проникновений в российские информационные системы. При этом базы данных МВД, ГИБДД, ФНС и прочих государственных структур вполне открыто может приобрести любой желающий. Одно время лоток с такими базами стоял прямо напротив здания ФСБ на Лубянской площади в Москве…

Вопрос управления рисками информационной безопасности действительно очень сложен, раскрыть его полностью в формате небольшой статьи трудно. Но стоит подумать, можно ли в масштабах страны доверять это управление специалистам, два десятилетия посвятившим попыткам превращения иностранных операционных систем общего назначения с закрытым кодом в нечто «очень защищенное» с помощью «сертифицированных средств», а наиболее вероятными векторами атаки считающим побочные электромагнитные излучения и уязвимость в алгоритмах шифрования? Это вопрос риторический, даже если оставить в стороне их личную заинтересованность.

Чем же, собственно, плоха сертификационная система «по-русски» (и не только «по-русски», просто у нас проблемы приобретают наиболее гротескные формы)? Казалось бы, идея правильная – закрыть дорогу некачественным продуктам и решениям. Увы, в отечественных реалиях все работает наоборот. Процесс сертификации программных продуктов очень сложен, часто сертификация затягивается на месяцы, если не на годы. Поэтому преимущество в использовании государственными органами – у тех продуктов, которые уже сертифицированы. Новым качественным продуктам дорога в госсектор закрыта, пока нет сертификации.

Затем возникает другая проблема. Гораздо сложнее и дороже аттестовать систему, построенную на основе более защищенной, но менее распространенной архитектуры, чем на основе стандартных «кирпичиков»: вот тут у нас Windows, вот сертификат, вот тут у нас сертифицированный антивирус – вот сертификат, а вот – очередное сертифицированное «средство защиты информации», магическим образом делающее всю систему очень безопасной. Таким образом, каждый компонент системы «закрыт» всеми необходимыми документами, но не в комплексе. Кроме того, сертификаты дают ложное чувство безопасности и вполне реальное чувство безнаказанности: с кого спросить, если что? Все сертифицировано соответствующими государственными учреждениями – значит, спросить не с кого.

Разве отозвали сертификат на отсутствие недокументированных возможностей у системы Windows XP, когда на ней «нерукотворно» включился отключенный администратором Windows Update? Нет, отзыв сертификатов вообще не предусмотрен. А сколько было недоуменных возгласов специалистов, когда выяснилось, что сертифицированная по американскому стандарту FIPS 140-2 «флэшка» отдает защищенные паролем данные по зашитому в ПО коду, одинаковому для всех экземпляров устройств? Впрочем, если бы недоумевающие внимательно читали, что именно подлежало сертификации, недоумения бы не было – ведь сертифицирована криптографическая часть, в этом режиме просто не используемая. Но сработал рефлекс: есть сертификат, значит, безопасно.

Авторам представляется, что для адекватного развития отечественного «инфобеза» необходимо, как минимум, создать отраслевые и межотраслевые технические группы, к участию в работе которых можно и нужно приглашать специалистов из силовых структур, но на общих основаниях. Регламенты информационной безопасности следует разрабатывать с учетом широкого спектра различных интересов и задач. А главное – требования к информационной безопасности, основанные на произвольно трактуемых угрозах, не должны осложнять деятельность предприятий и организаций и создавать возможности для коррупционных злоупотреблений.

ДИВЕРСИФИКАЦИЯ И ИММУНИЗАЦИЯ

В статье Кларка и Левина описан правильный подход к диверсификации цифровой инфраструктуры.

Во-первых, действительно лучшие практики по информационной безопасности рекомендуют использовать средства ее обеспечения разных производителей и – желательно – различной архитектуры.

Во-вторых, диверсифицированный подход функционально оправдан, как минимум, в части межсетевых экранов. «Универсальный firewall» – это маркетинговая химера и технологически бессмысленный продукт.

В-третьих, уход от Windows-монокультуры, на сегодняшний день максимально уязвимой, – это тоже диверсификация. И с этой точки зрения необходимо обратить внимание на все более расширяющийся рынок программных продуктов с открытым исходным кодом. В частности, если говорить об операционных платформах, то во многих отраслях операционная система Linux с успехом может заменить традиционные Windows-решения.

Остается только применить принцип эшелонированной защиты при планировании архитектуры (defense in depth), чтобы суммировались уровни защиты, а не уязвимости.

Производители, естественно, стремятся убеждать потребителей, что монокультура – это удобно и просто в обслуживании («мы строим сети на основе оборудования Cisco», «в нашей компании ИТ-инфраструктура основана на решениях Microsoft» и т. д.). Такая простота может дорого обойтись в будущем. Для успешной реализации защищенной архитектуры нужно, чтобы технологии, используемые в рамках одной системы, отличались (специализация часто гарантирует более высокое качество), а производители компонентов должны быть разными (чтобы у них не было общих уязвимых сторон). Необходимо строить архитектуру так, чтобы уязвимости вычитались, а не суммировались.

«Иммунизация» в рамках одного компьютера, как она описана в статье Кларка и Левина, выглядит несколько сумбурно и непонятно. Если мы, например, защищаем средствами SELinux хост-систему, управляющую виртуальными серверами или даже рабочими станциями на основе Xen (система виртуализации. – Ред.), то это хорошая практика эшелонированной защиты. Но при чем тут иммунизация? Задача обеспечения безопасности – не допустить компрометацию системы либо ее отдельных элементов, а не придумывать реактивных средств.

Попытки решить «проблему malware» с помощью так называемых «антивирусов» – это в идеологическом плане уже пораженчество, навязанное в качестве нормы сторонниками концепции MS Windows. Совсем другое дело, когда мы рассматриваем поведение сети в целом. Речь идет вовсе не о «black ice» из киберпанк-романов (активная система противодействия вторжениям, которая инициирует встречную атаку. – Ред.), а о вполне разумных технологиях адаптивной фильтрации и изолирования скомпрометированных узлов максимально близко к источнику заражения.

В корпоративной среде это прежде всего технологии управления жизненным циклом и изменениями, а также network admission control, позволяющие ограничить использование небезопасно сконфигурированных устройств. В «большом» Интернете существует унаследовавший результаты разработок DARPA CITRA (Cooperative Intrusion Traceback and Response Architecture) проект IDR, предполагающий обнаружение аномалий и распространение правил фильтрации средствами протоколов динамической маршрутизации. Его поддерживают Juniper и некоторые другие крупные производители.

ВОЙНА ЗА УМЫ

Принципиально иной вид войн в киберпространстве, не имеющий отношения к техническим атакам и не нашедший отражение в статье Кларка и Левина, – это ведение пропаганды и дезинформации в «человеческом» сегменте сети Интернет. Запуск слухов, полемика с идеологическими противниками, «травля» неугодных мнений на интернет-форумах давно и с успехом используются противоборствующими группировками. Можно с уверенностью говорить о том, что зачастую за их деятельностью стоят спецслужбы или, как минимум, некие централизованные организации.

Например, на каком-то абстрактном информационном российском ресурсе появляется новостной текст, посвященный Грузии, Прибалтике или Украине. Предположим, что текст представляет интерес для общественности и он начинает обсуждаться на форуме этого ресурса либо на других форумах. Практически мгновенно к обсуждению подключается виртуальная группа «грузин», «прибалтов» или «украинцев», которые начинают опровергать текст новости, давать различные извращенные толкования, запускать дезинформацию либо контринформацию, оскорблять («троллить», «травить») других участников форума. Им начинает противодействовать такая же организованная толпа «профессиональных русских». В результате тема полностью забалтывается, закрывается «белым шумом». 

Регулярность, массовость и организованный характер таких активных действий не оставляют сомнения в причастности к ним заинтересованных государственных структур конфликтующих стран. Трудно четко определить, правомерно ли относить эти холодные войны в Интернете к разряду кибервойн, – ведь в них не задействуются никакие технологические средства и разработки. Но по масштабу воздействия на общественное мнение «войны за умы» можно сравнить с наиболее крупными кибератаками. А учитывая то, что, по общепринятому сейчас мнению, информационные операции играют в современных войнах отнюдь не меньшую роль, чем собственно боевые действия, значение такого рода деятельности в Интернете не стоит преуменьшать.

ПОДВОДЯ ИТОГИ

Современный глобализированный мир настолько связан технологически и информационно, телекоммуникации являются настолько критически важной для функционирования общемировой инфраструктуры компонентой, что удар, нанесенный по одной части глобальной информационно-коммуникационной сети, может совершенно неожиданным образом аукнуться в другой. А значит, ударить и по самим злоумышленникам. Не существует «абсолютной власти» над мировым телекоммуникационным пространством. Можно отключить какую-либо его часть, уничтожить ряд сервисов, на какое-то время приостановить связность элементов. Но благодаря сетевой архитектуре и распределенности в пространстве современные «информационные поля» практически неуязвимы.

Самое опасное, что может случиться в данном разрезе, – это отключение от каких-либо сервисов в масштабе страны. Как правило, такое является следствием политического решения, которое принимается политическим же руководством. Характерный пример «отключенной державы» – Северная Корея. «Неугодный» интернет-трафик блокируют Иран, Китай, Туркмения. Ужесточен контроль присутствия в Интернете для граждан Белоруссии.

Недавний конфликт Google и китайского руководства показывает новую тенденцию постиндустриального развития: акторами международной дипломатии становятся не только государства, но и крупные корпорации. Ранее честь участия в глобальной политике оказывалась только концернам энергетического сектора. Теперь свои условия странам диктуют ИТ-компании.

Напомним, что в начале января 2010 г. интернет-гигант Google заявил о намерении уйти с крупнейшего в мире рынка, если не сможет предоставлять пользователям неограниченный поиск в Интернете. Китайский Google – в отличие от оригинальной версии – подчиняется местному законодательству, блокируя доступ к некоторым ресурсам, в основном оппозиционным компартии Китая. Google долго мирился с этим положением, учитывая гигантский рыночный потенциал Китая, но последней каплей стал взлом электронных почтовых ящиков ряда китайских правозащитников и нескольких коммерческих фирм. В американской корпорации атаку назвали продуманной, целенаправленной и имеющей политический подтекст. Хотя она не увенчалась успехом (удалось получить доступ лишь к некоторым аккаунтам Gmail, точнее, к заголовкам писем), Google заявил о намерении убрать цензуру результатов поиска для китайских пользователей. В противном случае ИТ-компания грозила закрыть сайт Google.cn и все офисы в Китае. Ситуация потребовала вмешательства на высшем политическом уровне, и тогда за корпорацию публично вступились американский Госдепартамент и лично госсекретарь США Хиллари Клинтон.

Этот факт показателен: правительство мировой державы проводит переговоры с частной ИТ-компанией, в поддержку которой выступает правительство другой мировой державы. Киберпространство стало частью глобальной политики.

Содержание номера
Достояние прошлого
Фёдор Лукьянов
Альянс на распутье
Ценности ради объединения
Константин Косачёв
НАТО и «русский вопрос»
Тома Гомар
Возвращение к истокам
Карл-Хайнц Камп
Неужели демография – это судьба?
Джефри Саймон
Судьба нераспространения
ДНЯО завтрашнего дня
Владимир Орлов, Иван Трушкин
Когда Иран получит атомную бомбу
Джеймс Линдсей, Рей Такей
Азиатский вектор
«Китайская мечта» и будущее России
Александр Лукин
Вынужденная дружба
Марлен Ларуэль, Себастьен Пейрус
Отложенный нейтралитет?
Алексей Богатуров
Европейский путь
Проспект Независимости
Аркадий Мошес
Aфинский краш-тест
Ольга Буторина
Энергобезопасность без паники
Татьяна Романова
Другой газ
Евгения Геллер, Светлана Мельникова
Война в Сети
Обеспечение безопасности информационной магистрали
Уэсли Кларк, Питер Левин
Киберугрозы реальные и выдуманные
Алексей Смирнов, Павел Житнюк