Террористы все чаще используют новейшие информационные технологии для своих планов. Угроза кибертерроризма, или использования сетевых инструментов для вывода из строя критически важных компонентов национальной инфраструктуры с целью принуждения или устрашения, постоянно возрастает. Наряду с этим вокруг кибертерроризма возникло немало мифов.
Понятие кибертерроризма, покинув границы фантастических романов, уже широко обсуждается в СМИ, на правительственном и корпоративном уровне. Угроза кибератак вполне реальна, а связанные с ней риски оцениваются специалистами как высокие. С другой стороны, вокруг понятия кибертерроризма очень много мифов и спекуляций. Неадекватная оценка рисков кибертерроризма связана с тем, что для их правильной оценки необходимо определить вероятность успешного осуществления кибератаки и величину возможного ущерба. Первая величина может быть адекватно оценена только после комплексного обследования защищенности компьютерной сети. Оценить же ущерб от кибератаки может только владелец, либо управляющий системы, против которой осуществляется атака. Кроме того, поскольку практически ни одна серьезная кибератака не обходится без: «человеческого фактора», применения методов социальной инженерии и «инсайдерской информации», оценка риска существенно усложняется.
К примеру, специалисты ИТ-отдела могут считать, что защита внешнего периметра корпоративной сети у них организована «по уму» (в целом они даже могут быть правы). Однако, не являясь специалистами по кибератакам, они не учли, скажем, одной маленькой дырочки в системе защиты, которая возникала после установки во внутренней сети нового информационного терминала и его подключения к провайдеру информационных услуг. Этой дырочки вполне достаточно опытному взломщику для обхода многокомпонентной и дорогостоящей системы контроля сетевого доступа, базирующейся на коммерческом межсетевом экране. Осознавая это, ИТ-специалисты могут прибегнуть к помощи внешних организаций, специализирующихся на проведении аудита информационной безопасности и эксперты по кибератакам, скорее всего, найдут все опасные уязвимости в защите внешнего периметра корпоративной сети и смогут правильно оценить вероятность их использования для осуществления кибератак. Однако эксперты не имеют должного представления об информационной инфраструктуре внутренней сети организации, о ее связи с бизнес-процессами и, тем более, о самих бизнес-процессах. Поэтому, оценив защищенность сети, скажем, как низкую, они ничего не могут сказать о рисках, связанных с осуществлением атак на нее. Не говоря уже о том, что «человеческий фактор» чаще всего вообще не поддается учету.
Специалисты бизнес-подразделений, которые, в отличие от «технарей», четко осознают опасность, связанную с получением доступа злоумышленника к клиентской базе данных или платежной системе, могут доверять заверениям своего ИТ-отдела в неуязвимости защиты сети и недооценивать степень риска, связанного с возможностью осуществления кибератак. Либо, наоборот, запаниковать после прочтения очередной статьи об успешных взломах системы защиты или беседы с экспертами в предметной области.
Мифы
По сообщению Washington Post, в 1998 году 12-летний хакер проник в компьютерную систему, контролировавшую шлюз водной плотины Теодора Рузвельта в Аризоне. В статье говорилось, что в случае открытия шлюза, вода могла затопить города с общей численностью населения в 1 млн. человек.
Хакер действительно проник в компьютеры водонапорной станции, однако он никогда не смог бы получить контроль над плотинами. Эксперты, расследовавшие инцидент, пришли к выводу, что никакой угрозы для жизни людей или для материальных ценностей не могло быть создано. Данный инцидент, представленный средствами массовой информации в искаженном виде, может служить метафорой для сегодняшних дебатов об уязвимости Сети.
Хотя теоретически и существует возможность электронных вторжений в критичные системы управления, приводящие к повреждению элементов не только информационной инфраструктуры и создающие физические угрозы, получение контроля над такими системами извне является чрезвычайно сложной задачей, требующей узкоспециализированных знаний, и связано с необходимостью преодоления не только компьютерных механизмов безопасности.
«Если бы у нас было достаточно ресурсов на обеспечение безопасности, то мы потратили бы большинство из них на физическую безопасность», — подчеркивает Диан Ван де Хей, исполнительный директор американской Ассоциации центральных водных агентств и специальный уполномоченный Центра сбора и анализа информации (Information Sharing and Analysis Center — ISAC) водных предприятий [1].
Практическая оценка рисков кибертерроризма была целью учений под кодовым названием «Цифровой Перл-Харбор», проводимых Военно-морским колледжем США совместно с компанией Gartner. В этих учениях эксперты, играющие роль кибертеррористов, имитировали широкомасштабную кибератаку на национальную сетевую инфраструктуру. По результатам учений был сделан вывод, что подобная кибератака действительно может вывести из строя системы телекоммуникаций в густо населенных районах, однако она не приведет к гибели людей или другим катастрофическим последствиям.
«До тех пор, пока мы не защитим наше киберпространство, несколько нажатий клавиш и подключение к Сети — это все, что нужно для того, чтобы вывести из строя экономику и поставить под угрозу человеческие жизни». Это высказывание из речи республиканца Ламара Смита по поводу принятия Белым Домом «Акта о повышении безопасности киберпространства». Излюбленный тезис этого политика: «Компьютерная мышь может быть не менее опасна, чем снаряд или бомба» [1]. Подобная риторика ведет к тому, что многих понятие «кибертерроризм» вводит в заблуждение, оно часто используется для того, чтобы произвести впечатление на непосвященных.
Кибератаки различаются по объектам нападения: атаки на данные и атаки на системы управления. Атаки первого типа имеют целью нарушение конфиденциальности, целостности, либо доступности информации. Большинство сетевых атак относятся к этой категории, включая похищение номеров кредитных карт, взлом сайтов и DoS-атаки. Атаки на системы управления ставят задачей выведение из строя или получение контроля над операциями, используемыми для поддержания физической инфраструктуры: контролирующими водные ресурсы, электросети, железные дороги и т.п. Несмотря на реальность подобных атак, эксперты по безопасности утверждают, что пока кибератаки могут явно привести только к временной недоступности достаточно критичных данных, но не к потере человеческих жизней или разрушению физической инфраструктуры, правда, опосредованно это, наверное, возможно.
Реалии
Необходимо признать, что кибератаки могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей. Многие энергетические компании и коммунальные службы управляют своими ресурсами при помощи систем контроля и сбора данных (Supervisory Control and Data Acquisition — SCADA), которые теоретически могут быть уязвимы.
Эксперты из компании Riptech, известного провайдера услуг в области информационной безопасности, на основании своего опыта по обследованию большого количества крупнейших американских промышленных предприятий делают вывод об уязвимости критичных для американской экономики SCADA-систем [4]. По их мнению, среди администраторов подобных систем существует три типичных заблуждения, препятствующих достижению адекватного уровня защищенности.
Заблуждение №1. «SCADA-система размещается в физически изолированной сети». Да, действительно такие системы изначально создаются на базе физически изолированных компьютерных сетей, а их защита строится исходя из этого предположения. Однако на практике для повышения эффективности управления подобными системами и оперативности принятия решений создаются соединения между SCADA-системой и корпоративной сетью. В результате большинство SCADA-систем могут опосредованно оказаться подключенными к Internet.
Заблуждение №2. «Существующие соединения между SCADA системой и корпоративной сетью надежно защищены при помощи средств контроля межсетевого доступа». На практике в большинстве SCADA систем существуют точки входа из корпоративной сети незащищенные межсетевыми экранами и системами выявления атак, а некоторые из них могут быть вообще никак не защищены.
Заблуждение №3. «Для управления SCADA системой требуются узкоспециализированные знания, что делает задачу получения удаленного контроля над подобной системой для хакера чрезвычайно сложной». Данное заблуждение основано на предположении о том, что у атакующих отсутствует «инсайдерская» информация об архитектуре и средствах управления SCADA-системой. Однако если в качестве источника угроз рассматриваются организованные террористические группы, то это предположение вряд ли можно считать корректным.
Системы типа SCADA могут быть атакованы путем создания избыточной нагрузки (разновидность атаки на отказ в обслуживании), что может привести к сбою или неправильному функционированию системы. Это, в свою очередь, может повлечь сбои в работе других элементов системы управления, входящих в состав компьютерной сети предприятия. Так, в 1996 году вдоль всего Западного Побережья США на протяжении 9 часов было отключено электричество: падение дерева на линию электропередачи в комбинации с некоторыми другими факторами привело к каскадному отключению других элементов электросети. В 1990 году похожее событие произошло с коммутатором AT&T, сбой которого вызвал цепную реакцию, повлекшую выход из строя телекоммуникационной сети по всей территории США. В принципе, к аналогичным последствиям могла бы привести и успешная хакерская атака.
Более 80% критичной сетевой инфраструктуры США находится в собственности частных компаний, которые во многих случаях не являются достаточно осведомленными в вопросах информационной безопасности и на которые сложно повлиять при помощи целевых государственных программ. Консультанты по информационной безопасности выяснили, что многие предприятия имеют подключения к Internet с управляющих терминалов систем SCADA, что потенциально может привести к серьезным инцидентам. Так, в ноябре 2001 года некто Вайтек Боуден был осужден на два года лишения свободы за использование Сети, беспроводного радио и похищение управляющего программного обеспечения для осуществления слива загрязненной воды в реку у побережья Маручидора (Квинсленд, Австралия). Ранее Боуден работал консультантом в водном проекте и пошел на это преступление после того, как ему было отказано в работе на полную ставку. Он 45 раз пытался получить доступ к системе водоочистки, прежде чем ему удалось осуществить спуск загрязненной воды в водопроводы. «Весь подводный мир у побережья был уничтожен, вода окрасилась в черный цвет, и вонь порой становилась невыносимой для местных жителей», — рассказывает Джанель Брайент, руководитель исследовательской группы Австралийского агентства защиты окружающей среды.
Тот факт, что злоумышленник оставался незамеченным на протяжении всех попыток получения доступа к системе, свидетельствует о неудовлетворительном состоянии информационной безопасности на этом общественном предприятии. Проверка 50 предприятий, проведенная в 1997 году, установила, что на 40% водных предприятий операторам систем управления был разрешен прямой доступ к Internet, а к 60% систем SCADA можно получить доступ при помощи модема. Факты, прямо скажем, настораживающие; однако одних этих фактов еще недостаточно для того, чтобы судить об уязвимости предприятий в отношении кибератак.
Уязвимость SCADA-систем признается многими экспертами. Так, президент и технический директор компании Foundstone, известного игрока на рынке информационной безопасности, Стюарт Макклу однозначно положительно отвечает на вопрос об их уязвимости. Более того, он оценивает сложность осуществления подобной атаки весьма невысоко: на 4-5 бала по 10-бальной шкале [3]. Происходит это потому, что, при отсутствии соответствующего регулирования со стороны государства, частные компании предпочитают экономить на безопасности. Кроме того, многие SCADA-системы функционируют в реальном времени и требования безопасности идут вразрез с требованиями производительности [2].
После 11 сентября 2001 года многие концепции обеспечения безопасности, как на государственном, так и на корпоративном уровне подверглись пересмотру. Безопасность SCADA-систем была провозглашена в качестве одной из основных целей Национальной стратегии обеспечения безопасности киберпространства США.
Однако пока даже самые серьезные кибератаки по своим последствиям далеки от сценариев массовых разрушений. Инцидент с заражением воды в Квинсленде, к примеру, не создал угрозы человеческим жизням и стоил примерно 13 тыс. долл., затраченных на очистку воды, которую оперативно произвели штатные сотрудники.
Очень сложно атаковать что-то, о чем ты не обладаешь специфичными знаниями, признает Дэвид Фрэйли, который эмитировал атаки на системы связи. Даже во время успешной атаки на столичную электростанцию, многие критичные системы (например, госпитали), продолжали функционировать, перейдя на автономные генераторы.
Даже если хакеру, к примеру, удастся увеличить уровень хлора в водных резервуарах на станции водоочистки, отравленная вода не попадет в водопроводы — она проходит пятикратное тестирование. Агентство по защите окружающей среды требует от предприятий исследовать воду на наличие в ней более 90 видов отравляющих веществ. Более простой и опасной атакой является непосредственное физическое добавление террористами отравляющих веществ в водные резервуары.
Компьютерная сеть железнодорожной отрасли является одной из крупнейших в США и контролирует 500 железных дорог, поэтому федеральные власти всегда уделяли повышенное внимание вопросам защиты информации в ней. Периодически там действительно возникают инциденты с сетевыми атаками, однако, по словам Нэнси Вильсона, вице-президента Ассоциации американских железных дорог, они никогда всерьез не воспринимались, поскольку компании других отраслей предпринимают серьезные меры по резервированию данных и оборудования, которые в большинстве случаев обеспечивают адекватный уровень защищенности.
Главная опасность кибертерроризма
Наиболее уязвимой к кибератакам, по мнению экспертов, является инфраструктура самой Сети.
Некоторые уязвимости могут приводить к серьезным последствиям и при отсутствии кибератак. Показателен пример, когда в 1997 году инженер одного из Internet-провайдеров изменил две строки кода в конфигурации маршрутизатора, что привело к остановке почты всей Глобальной сети на три часа. Тем не менее, несмотря на всю серьезность происшедшего, катастрофичным данный инцидент назвать нельзя. Совокупный ущерб оказался таким большим за счет того, что незначительный урон был нанесен большому количеству компаний одновременно.
В октябре 2002 года была предпринята самая беспрецедентная в истории Internet атака против всей ее инфраструктуры — тринадцать корневых DNS-серверов подверглись распределенной DoS-атаке. По словам председателя консорциума Internet Software Consortium Пола Викси только четверым из них удалось устоять. Большой уровень избыточности, присущий структуре Сети, позволил избежать задержек при прохождении трафика, несмотря на выход из строя двух третей корневых элементов инфраструктуры.
Выводы
Понятие кибертерроризма часто используется для политических спекуляций и влияния на общественное мнение. Реальное же положение дел, оставаясь не столь устрашающим, однако не внушает и поводов для оптимизма.
Кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей, массовыми разрушениями и другими катастрофами. В наихудшем сценарии хорошо спланированная массированная кибератака может временно вывести из строя системы телекоммуникаций в густонаселенных районах.
С точки зрения правоохранительных органов наибольшая угроза заключается не в уязвимости Сети, а в предоставляемых ей для преступного мира возможностях глобальных телекоммуникаций, отслеживать которые чрезвычайно сложно.
Литература
- Robert Lemos, What are the real risks of cyberterrorism? Special to ZDNet, 2002, August 26, zdnet.com.com.
- National Strategy to Secure Cyberspace, Draft, 2002 September.
- Cyberterrorists don't care about your PC By Robert Vamosi, ZDNet Reviews, 2002, July 10.
- Understanding SCADA system security vulnerabilities, Riptech, Inc. 2001 January.
Александр Астахов (alexastahov@hotmail.ru) — сертифицированный аудитор информационных систем (CISA — Certified Information Systems Auditor), участник рабочей группы ISACA.RU (Москва).
Антология кибератак
Наиболее значимые кибератаки на информационную инфраструктуру США. Не все эти атаки носили предумышленный характер, и ни одна из них не привела и не могла привести к массовым разрушениям, катастрофам или гибели людей.
1988 | Роберт Моррис запустил в Сеть первого сетевого червя, поразившего примерно 3-4 тыс. из 60 млн. Internet-серверов. |
1989 | Хакерская группа The Legion of Doom получила контроль над телефонной сетью BellSouth, включая возможность прослушивания каналов связи, маршрутизацию вызовов и маскировку под технический персонал станции. |
1990 | Отказ маршрутизатора AT&T вызвал глобальный сбой сети на большой территории, длившийся 9 часов. Многие думали, что это дело рук хакера. |
1994 | Хакер Merc, по модему получил доступ к серверу проекта Sault River и взломал компьютеры, при помощи которых осуществлялся мониторинг водных каналов. |
1997 | Технический работник небольшого Internet-провайдера Virginia внес в конфигурацию одного из маршрутизаторов неправильные данные. Это привело к отказу большого количества критичных маршрутизаторов Cети. |
Подросток вывел из строя основной компьютер телефонной компании, обслуживающей маленький аэропорт в городе Ворсестер, из-за чего диспетчерская вышка не смогла выполнять свои функции в течение 6 часов. Однако самолеты получали информацию по радио и из других аэропортов, находившихся поблизости. | |
2000 | Крупнейшая атака с целью вызвать отказ в обслуживании поразила серверы Yahoo, eBay, CNN, ZDNet, которые оставались недоступными от 2 до 3 часов. |
2001 | Вирус Nimda поразил Сеть, нанеся ощутимый ущерб финансовым компаниям. |
2002 | Тринадцать корневых DNS-серверов подверглись распределенной DoS-атаке. Только четверым из них удалось устоять. Большой уровень избыточности, присущий структуре Internet, позволил избежать задержек при прохождении трафика, несмотря на выход из строя 2/3 корневых элементов инфраструктуры сети. |