Кусочки головоломки начали приобретать свои очертания, а затем сложились воедино 17 июня прошлого года, когда к Сергею Уласену обратился по электронной почте дилер из Тегерана, написавший ему о весьма неприятной компьютерной проблеме, с которой столкнулись его клиенты.
Уласен работает в отделе исследований и разработок небольшой компании VirusBlokAda в столице Белоруссии Минске. Эта фирма дает консультации по вопросам компьютерной безопасности с 1997 года.
«Эти компьютеры постоянно отключались и перезагружались, - рассказал Уласен Guardian. – Это выглядело очень странно. Сначала мы думали, что проблема в аппаратном обеспечении. Но потом они сказали, что такое происходит не с одним, а с несколькими компьютерами, и мы поняли, что проблема в программном обеспечении, установленном на компьютерах».
Уласен получил удаленный доступ к одной из неисправных машин, но вскоре понял, что ему нужна помощь. Он подключил к работе своего коллегу, старшего аналитика VirusBlokAda Олега Купреева, и они целую неделю разбирались с образцами зафиксированного ими компьютерного вируса, который поразил иранские машины.
Чем дольше они его изучали, тем лучше понимали, что наткнулись на экстраординарное воплощение инженерной мысли, какого они никогда раньше не видели. Уласен опубликовал результаты своей работы в нескольких онлайновых форумах и дал вирусу название TmpHider.
Спустя несколько месяцев картина немного прояснилась.
28-летнему Уласену было невдомек, что «глючившие» компьютеры принадлежат иранским ученым, занимающимся обогащением урана в рамках ядерной программы этой страны. Вредоносная программа, нарушившая их работу, оказалась столь дьявольски умной, что Иран обвинил в ее создании Соединенные Штаты Америки и Израиль. А сам вирус получил новое имя Stuxnet. Он может войти в историю как кибернетическое оружие, изменившее облик современной войны.
История Stuxnet сложна и запутанна. Не в последнюю очередь это вызвано тем, что пройти до источника по ложным следам, оставленным теми, кто пытался скрыть факты обычного шпионажа, почти невозможно, потому что они существуют в виртуальном мире компьютерных кодов и программных средств.
Но специалисты из центра правительственной связи Министерства обороны и независимые аналитики соглашаются в одном: Stuxnet это удивительно сложный вирус, на разработку которого у нескольких людей могло уйти много лет. Он раскрыл глаза многим странам, продемонстрировав разрушительные возможности тайных операций нового типа.
Хотя убедительных доказательств нет, и они вряд ли когда-нибудь появятся, косвенные улики о происхождении вируса позволяют сделать предположение, что Иран был прав. Мало таких стран, у которых есть достаточно мотивации, денег и возможностей, чтобы создать Stuxnet.
Этот вирус не какой-нибудь там тупой инструмент. Он создавался для вывода из строя вполне конкретных компьютерных систем, управляющих 9000 иранских центрифуг, которые используются для обогащения урана. Вирус делает так, что часть из них становится неуправляемой. Он также скрывает свои следы, вводя в заблуждение операторов, которые считают, что оборудование работает как обычно.
Заразить эти компьютеры было исключительно трудно. Как отмечает одна из ведущих в мире фирм по вопросам безопасности Symantec, для внедрения вируса в иранскую сеть надо было прибегнуть к методам кражи старой школы, использовать ничего не подозревающего специалиста с иранского предприятия, а также проявить бесстрашие и незаурядные умения.
Для начала создателям Stuxnet надо было узнать точную конфигурацию компьютеров, используемых иранцами для управления центрифугами на подземном предприятии по обогащению урана в Натанзе. Они выяснили это, украв необходимые чертежи. Конечно, для этого они применили вирус. Были обнаружены следы более ранней версии Stuxnet, которые показывают, что вирус этот отправили в разведку еще в середине 2009 года, чтобы он проник в сеть, просканировал системы и зарегистрировал то, что удалось выяснить.
Это могло дать разработчикам нужные им схемы и чертежи. Вирус показал, что Иран использует для управления центрифугами определенные типы программных логических контроллеров ПЛК. ПЛК применяются в самых разных отраслях промышленности, обеспечивая автоматическое управление станками и машинами.
Для проверки усовершенствованного вируса, предназначенного для осуществления диверсии, его создатели должны были создать точный аналог иранского предприятия – с компьютерами и всем прочим, чтобы попрактиковаться, а также доработать и оптимизировать планы нанесения удара по цели. Поскольку ПЛК применяются повсюду, они запрограммировали Stuxnet так, чтобы он игнорировал те контроллеры, которые управляют низкоскоростным оборудованием. Им надо было выследить те ПЛК, которые управляют двигателями на высоких оборотах, поскольку именно такие контроллеры, скорее всего, управляют центрифугами. Как писала в этом году газета New York Times, испытания могли проходить в израильском комплексе в Димоне, который расположен в пустыне Негев.
Где бы ни проходили испытания, для выполнения этой задачи 10 разработчиков должны были трудиться над ее решением как минимум полгода. Такова оценка Symantec. Но даже в таком случае это было лишь полдела.
Новый Stuxnet надо было внедрить обратно в иранскую сеть, не вызвав при этом никакой тревоги. Поэтому они спрятали вирус в файле драйвера, встроенного в стандартную программу Microsoft Windows, которой пользовались иранцы. В обычных обстоятельствах ПО Windows автоматически подняло бы тревогу сразу после включения компьютера, проинформировав о возможной установке несанкционированного файла. Но авторы Stuxnet обошли эту проблему стороной. Они украли два подлинных цифровых сертификата у компаний с Тайваня и использовали их данные, чтобы ввести программу Windows в заблуждение, заставив ее поверить, будто новые файлы должным образом санкционированы.
Но даже после этого вирус Stuxnet надо было загрузить в Натанзе. А это мощный и тщательно охраняемый ядерный объект, находящийся посреди пустыни возле города Кушан в центральной части Ирана. По всей вероятности, один из работавших на объекте сотрудников, используя ноутбук с установленной на нем программой Windows, подключился к системе при проведении обычных работ. Никто не знает, кто этот человек, и когда это случилось.
Неизвестные недостатки
После проникновения Stuxnet должен был активно распространиться. Он оставался незамеченным долгое время, потому что сумел использовать четыре ранее неизвестных недостатка в программе Windows.
Найти в программе даже один недостаток – так называемую уязвимость нулевого дня - удается крайне редко. А для обнаружения целых четырех необходимы колоссальные усилия исследователей. В течение нескольких месяцев Stuxnet незаметно отслеживал нужные ПЛК и начал менять обороты моторов, приводящих во вращение центрифуги, из-за чего часть из них стала неуправляемой.
Обнаружившие Stuxnet аналитики заметили, что вирус помечал то, что он делает, используя цифру 19790509. Возможно, это совершенно случайная цифра, взятая наугад. Либо же это может быть намек на 9 мая 1979 года, когда в Иране казнили бизнесмена-иранца еврейского происхождения Хабиба Элганяна (Habib Elghanian). Его обвинили в шпионаже на Израиль.
В докладе Symantec на 67 страниц делается следующий вывод: «Реальные последствия Stuxnet для нашего мира превосходят все те угрозы, которые мы наблюдали в прошлом. Stuxnet это такая угроза, с которой нам лучше никогда не сталкиваться».
Сообщения о количестве вышедших из строя центрифуг и о размерах нанесенного ущерба поступают противоречивые, и иранцы по вполне понятным причинам постарались принизить последствия. Не позволяйте себя обманывать, предупреждает один из директоров Symantec Ильяс Чанцос (Ilias Chantzos). Он считает, что из-за вируса Stuxnet государства начинают по-новому оценивать то, «как мы понимаем угрозы важнейшим объектам инфраструктуры и национальной безопасности».
«Это первый вирус, созданный для достижения кинетического результата. Он предназначен не для кражи данных и не для отказа в доступе. Его предназначение – манипулировать системой управления производственным оборудованием с нарушением составленных для него инструкций. Кто-то намеревался превратить вирус в оружие. До Stuxnet возможность атаки [на систему управления] с использованием киберсредств рассматривалась теоретически, но в большей степени это считалось чем-то из области кино, научной фантастики и боевиков о будущем. А сейчас это уже сценарий из реальной жизни».
Эксперт по кибербезопасности из аналитического центра Chatham House Клэр Йорк (Claire Yorke) говорит следующее: «Хотя происхождение вируса до сих пор неизвестно, его изощренность и уровень сложности говорят о том, что для создания Stuxnet понадобилось много времени и огромное количество ресурсов, которые недоступны негосударственным актерам. Вирус использовал несколько потайных черных ходов для проникновения в иранские компьютерные сети. Для его разработки, испытания и доведения до нужного уровня с целью достижения необходимых результатов могли понадобиться многие месяцы».
Она добавляет: «Хотя такие вирусы как Stuxnet встречаются редко и находятся сегодня на переднем крае технических достижений, их можно считать образцами будущих типов атак».
Ответ Британии на такие угрозы, а также на более общие и прозаические вопросы онлайновой безопасности был изложен в прошлогоднем Обзоре по стратегической обороне и безопасности (Strategic Defence and Security Review). Тогда же было выделено 650 миллионов фунтов стерлингов на укрепление системы кибернетической обороны страны. Правительство сделало кибернетическую безопасность приоритетом высшего порядка. По всей стране создается новая инфраструктура для решения проблемы, которая назревала и мутировала на протяжении 20 с лишним лет.
Секретариат кабинета министров традиционно возглавляет эту деятельность. А один из ведущих специалистов страны по разведке Нил Томпсон (Neil Thompson) сегодня руководит Управлением кибернетической безопасности и защиты информации (Office of Cyber Security and Information Assurance). В него входит базирующийся в штабе правительственной связи оперативный центр кибернетической безопасности, где уже работают около 30 собранных из разных государственных ведомств специалистов.
Свидетельством того огромного значения, которое придается этой работе, являются заявления коллег Томпсона о том, что он почти ежедневно связывается с координатором по вопросам кибербезопасности США Говардом Шмидтом (Howard Schmidt). Шмидт был назначен на эту должность Бараком Обамой, когда президент объявил, что кибернетическая безопасность это стратегический приоритет для Белого дома.
Трудность для центра правительственной связи и других занятых этими вопросами ведомств заключается в том, что спектр потенциальных угроз очень широк, а атаки одного государства против другого хоть и могут оказаться крайне разрушительными, но составляют лишь малую часть таких опасностей. Кибербезопасность включает в себя работу по защите от мошенников, прочих преступников, и в гораздо меньшей степени от террористов, которые действуют в сети и пытаются использовать инструменты кибервойн для кражи информации и нарушения повседневной деятельности.
Главное, чем занимается центр правительственной связи, это противодействие систематической работе по взлому и проникновению сквозь сетевые устройства защиты, устанавливаемые на компьютерных системах правительственных учреждений, банков и крупных компаний.
Директор центра правительственной связи Иэйн Лоббан (Iain Lobban) говорит, что каждый месяц в государственных сетях обнаруживается более 20000 вредоносных почтовых сообщений, и 1000 из них посылается целенаправленно. Выступая прошлой осенью с редкой для себя публичной речью, Лоббан признал, что некоторые компьютерные черви вполне успешно прогрызают себе дорогу и вызывают «значительные сбои».
«Спор за киберпространство идет ежедневно, ежечасно, ежеминутно и ежесекундно, - говорит он. – Я ручаюсь, что на дисплеях в нашем оперативном центре видны ежеминутные попытки киберпреступников проникнуть в сети во всем мире».
По оценкам центра правительственной связи, 80% такого рода атак можно отразить за счет усиления мер «компьютерной гигиены». Надо, например, внимательнее относиться к паролям. Пятьсот человек в штаб-квартире центра в Челтенхеме занимаются тем, что дают рекомендации Уайтхоллу и промышленности о том, как лучше противостоять возникающим угрозам.
Наваждение
Беспокойство по поводу того, что ценные данные крадут, а никто этого не замечает, распространяется повсюду. Это стало настоящим наваждением для банков и гигантских корпораций в Сити. Они утверждают, что кража интеллектуальной собственности это гораздо более актуальная проблема для британской экономики, чем атака вируса типа Stuxnet на атомные электростанции страны. Секретариат кабинета министров с этим согласен, и поэтому Лоббан старается создать более целостный подход к проблемам кибербезопасности, советуя компаниям делиться информацией об обнаруженных ими угрозах.
Когда-то фирмы компьютерной безопасности занимали очень небольшую нишу, и в 1990-е годы едва сводили концы с концами. Теперь же их высоко ценят, и они дают рекомендации ведущим корпорациям Британии. В этих фирмах работает гораздо больше аналитиков, чем в правительстве, а их базы данных так же богаты, как и государственные. Symantec, например, может ежеминутно отслеживать треть общемирового почтового трафика благодаря своим центрам, разбросанным по всему миру.
Отрасль кибербезопасности в Британии процветает, но реальная ценность центра правительственной связи заключается в том, что он отслеживает и устраняет 20% угроз, с которыми невозможно справиться обычными средствами. Например, он выискивает угрозы национальной инфраструктуре, которые могут нанести ущерб энергетическим компаниям или системам связи аварийных служб.
Некоторые руководители Уайтхолла находят некое утешение в Stuxnet. По их словам анализ вируса показывает, «насколько трудно сделать нечто подобное». Вместе с тем, они признают, что киберпространство крайне привлекательно для некоторых государств, поскольку проникнуть в него весьма просто. Финансируемая государством кибердеятельность активизируется, и так будет и впредь, заявляет один из руководителей. Дело в том, что это до сих пор относительно дешевый способ ведения войны по сравнению с закупкой боевых кораблей и истребителей. «На это не нужны большие деньги, не нужно много людей, - говорит он. – Можно посадить в комнате пару студентов, дать им компьютеры – и пусть пробуют».
Такое высокоточное оружие как Stuxnet находится на высшей ступеньке арсенала кибервойн. Но есть и другие, более грубые методы, вызывающие массовые сбои и повреждения.
Так называемые DoS-атаки (от англ. Denial of Service, отказ в обслуживании) сегодня получили широкое распространение, хотя и не достигли масштабов атаки 2007 года на Эстонию, которая нанесла этой стране огромный ущерб на пике дипломатического спора с Россией. Тогда главные компьютерные системы Эстонии подверглись массовой бомбардировке запросами на получение информации, направляемыми с других компьютеров, которые получали команды и выполняли их после заражения вредоносными программами – «вредоносками». Сети «плохих» компьютеров, (ботнеты), инициировавшие эту атаку, находились по всему миру, в том числе, в США, Бразилии и Канаде.
Эта атака парализовала эстонский парламент, банки и основные предприятия почти на две недели. Предполагается, что за этим стояла Россия.
Национальная безопасность
Эксперты давно уже считают, что Британии следует заняться разработкой собственного арсенала кибернетического оружия, и что она будет это делать. В прошлом году правительство намекнуло, что сейчас это для него приоритетная задача. В Обзоре по стратегической обороне и безопасности говорится: «За последнее десятилетие угроза национальной безопасности и благополучию со стороны кибератак выросла многократно … Мы также будем работать над созданием, испытанием и легализацией кибернетических возможностей, поскольку считаем их более эффективным и доступным средством для достижения наших целей в сфере национальной безопасности».
Сейчас министры открыто признают необходимость разработки нового наступательного оружия, в связи с чем надо найти ответы на новые вопросы – причем не только о протоколах и правовой базе для их использования.
Один высокопоставленный руководитель из военного ведомства отметил, что традиционные производители вооружений «учуяли запах денег» и проводят теперь диверсификацию своего производства, занимаясь кибернетическим оружием. Это ведет к перестройке всего военно-промышленного комплекса. Три года назад крупнейший в Британии производитель вооружений BAE Systems приобрел широко известную и авторитетную технологическую фирму Detica. В текущем году эта фирма совместно с секретариатом кабинета министров подготовила доклад о тех издержках, к которым ведет киберпреступность. Однако некоторые независимые эксперты, такие как профессор Питер Соммер (Peter Sommer), читающий лекции на Лондонской фондовой бирже, считают ошибкой участие Detica в работе над этим докладом.
По его словам, секретариату кабинета министров для поддержания собственного авторитета надо было показать, что он «обладает независимостью, дабы отпугнуть лоббистов». Была и еще одна важная проблема. «Крупные компании по производству программного обеспечения не хотят, чтобы мы обсуждали те многочисленные недостатки, которые имеются в их ПО. Эти недостатки дают неисчислимые возможности преступникам и прочим хакерам. А существуют они, потому что данные компании больше заинтересованы в получении прибыли от продажи нам новых прибамбасов в своих продуктах, чем в их проверке на безопасность и защищенность».
Гораздо полезнее тратить побольше денег на «элементарные вещи, такие как уход за компьютером – как вы им пользуетесь, как разумно оценивать кибернетические риски», отмечает Соммер.
«Вот почему я хочу, чтобы правительство выделяло значительные финансовые средства таким организациям как GetSafeOnline, а не на экзотические экспериментальные инструменты крупных транснациональных компаний по производству вооружений».
По правде говоря, руководство понимает и признает, что Британии надо тратить деньги как на высокие, так и на «низкие» технологии, чтобы идти впереди в вопросах кибербезопасности.
«Кибербезопасность это уже не что-то для компьютерных гениев, - говорит один из руководителей. – Она теперь для всех, потому что угрозы вполне реальны, и они налицо».