Наш ответ кибертеррору

Сегодня поговорим о будущем. Точнее, об одном из возможных сценариев его развития. Не стану утверждать, что все будет именно так. Но определенные предпосылки для этого существуют. Думаю, любителям четвертой части приключений Джона Макклейна не стоит объяснять, чем опасны массированные кибератаки на атомные электростанции, системы управления энергоснабжением и транспортом, финансовые и телекоммуникационные системы и в целом на то, что мы называем критически важными объектами. Есть ли связь между голливудским сценарием и реальной жизнью? Да, это так. Поясню. Любые современные объекты инфраструктуры управляются с помощью автоматизированных систем, то есть компьютеров. Это значит, что в них используется софт. А софт, как мы знаем, может содержать ошибки и уязвимости. В то время, когда это программное обеспечение разрабатывалось (лет …дцать назад), мало кто задумывался о том, что именно оно может стать ахиллесовой пятой всей системы безопасности. Работает без сбоев — уже хорошо.

Кроме того, у промышленных информационных систем и обычных (скажем, офисных) компьютерных сетей, несмотря на их кажущееся сходство, совершенно разные приоритеты в плане безопасности и функционирования. В обычных компаниях важнее всего конфиденциальность информации. Например, если на корпоративном файловом сервере обнаружился троян, проще отключить зараженную систему от сети, а потом уже разбираться с проблемой. Но в промышленной информационной системе так сделать не получится: здесь важнее всего сохранить работоспособность. Так, на заводе любой ценой и в первую очередь обеспечивается непрерывность производства. А уж после этого думают о защите.

К чему это приводит? К тому, что на промышленном объекте софт чаще всего обновляется только после тщательной проверки. А иногда и не обновляется вовсе, оставаясь неизменным десятки лет. Обновление ПО может быть вообще запрещено политикой безопасности на конкретном предприятии. А технологии-то на месте не стоят! Да и «умников», умеющих грамотно пользоваться этими самыми технологиями в отнюдь не благородных целях, становится все больше. Вот и получается, что важные промышленные объекты, обеспечивающие нормальную жизнедеятельность тысяч, а то и миллионов людей, работают на устаревшем софте, имеющем кучу уязвимостей.

Это было бы еще полбеды. Фатальная неприятность заключается в том, что уязвимость управляющего ПО, программируемых контроллеров и промышленных сетей связи приводит к отсутствию у оператора условной промышленной системы средств получения стопроцентно правдивой информации о ее работе! Теоретически возможна ситуация, когда, допустим, атакуется система распределения электроэнергии, в результате чего где-то на отдаленном объекте происходит авария. Контролер или оператор об этом даже не подозревают: атакующие выводят на их компьютеры заведомо ложную информацию о том, что все системы работают нормально.

Чтобы понять, чем все эти грозные сценарии могут обернуться в реальности, приведем, как говорится, пример из жизни. В 2000 году в Австралии сотрудник контрактной компании, работавший над системой контроля очистительной системы, в ходе 46 (!) атак сделал так, что насосы то не работали вообще, то работали не так, как надо. Никто не мог понять, что происходит: коммуникация внутри системы была нарушена. Только спустя месяцы компании и властям удалось разобраться, что произошло. Оказалось, парень очень хотел получить работу в очистительной компании, в результате чего затопил нечистотами огромную территорию штата Квинсленд.

Кому еще, кроме шантажиста-работника, доступны исходные коды управляющего ПО, контроллеров, операционной системы и всего прочего? Правильно, «компетентным органам». Иными словами — государственным структурам. Именно тем, которые одним своим отделом сертифицируют ПО для работы в критически важных системах, а другим — разрабатывают (с относительно недавних пор) самое настоящее кибероружие для атаки систем противника. Наделавшие в последнее время много шума черви и шпионы Stuxnet, Duqu, Flame и Gauss — проекты настолько сложные и масштабные, что возможны только при технической и финансовой поддержке очень мощных субъектов. И не важно, кто кому угрожает в настоящий момент. Важно то, что такие кибервооружения уже разрабатываются и применяются. Пусть не всеми странами и не против всех. Но если этот «ящик Пандоры» открыт, его уже не закроешь: вооружаться для атаки на ключевые объекты противника рано или поздно станут все.

Именно поэтому самая большая угроза сегодня исходит не от обычной кибершпаны и даже не от организованного киберкриминала, а от создателей кибероружия. В плохих руках любое оружие обретает разрушительную силу.

Гонка вооружений, разумеется, предполагает не только разработку новых видов оружия, но и формирование каких-то тактик защиты. Сегодня государства и компании используют в основном два метода. Первый — изоляция критически важных объектов: отключение их от Интернета или физическая изоляция от внешнего мира каким-то другим способом. Однако, как показывает практика, если оператор на объекте захочет в ночную смену посмотреть на управляющем ПК фильмы с зараженной флешки, его ничто не остановит.

НЕ ВАЖНО, КТО КОМУ УГРОЖАЕТ В НАСТОЯЩИЙ МОМЕНТ. ВАЖНО ТО, ЧТО КИБЕРВООРУЖЕНИЯ УЖЕ РАЗРАБАТЫВАЮТСЯ И ПРИМЕНЯЮТСЯ. ПУСТЬ НЕ ВСЕМИ СТРАНАМИ И НЕ ПРОТИВ ВСЕХ. НО ЕСЛИ ЭТОТ «ЯЩИК ПАНДОРЫ» ОТКРЫТ, ЕГО УЖЕ НЕ ЗАКРОЕШЬ…

Второй метод — секретность. Коллективные и масштабные попытки закрыть всё и вся. Раз­ра­ботчики промышленных систем держат в тайне исходные коды, владельцы заводов и объектов инфраструктуры ставят гриф «секретно» на характеристики информационных систем, типы используемого ПО и прочее. И все забывают при этом, что информация об уязвимостях в большинстве популярных систем имеется в открытом доступе, в Сети! Более того, уже несколько лет существует открытый поисковик SHODAN, заточенный в том числе и на поиск уязвимых промышленных систем, хозяева которых додумались подключить их к Интернету.

Таким образом, мир оказался в ситуации, когда, с одной стороны, некоторые страны уже имеют кибероружие, а с другой — ключевые информационные системы государств открыты для нападения. В зависимости от уровня развития информационных технологий в стране и степени автоматизации конкретного промышленного объекта атаковать его может быть проще или сложнее, но кибератака в любом случае возможна.

Что делать? В идеале — взять и переписать весь промышленный софт. С учетом наработанных техник безопасной разработки и новых реалий кибератак. Увы, это долгий, титанический труд, сопряженный с огромными вложениями в тестирование и отладку, которые все равно не гарантируют достаточно устойчивой работы системы.

Есть и другой путь — использовать для защиты от кибератак встроенные средства самой операционной системы. Но только той, которая обладает мощной и надежной системой защиты и предоставляет гарантии безопасности.

Именно над такой новой защищенной операционной системой для промышленного использования мы сейчас и работаем. Сначала отвечу на самый очевидный вопрос: как у нас получится создать защищенную ОС, если это не получилось ни у Microsoft, ни у Apple, ни у сообщества open source? Все просто. Во-первых, наша система — узкоспециализированная, она разрабатывается для решения конкретной задачи и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе не будет способно выполнять не заявленную в нем функциональность. Этот момент самый важный: невозможность выполнения стороннего кода, взлома системы или программ — вещь в нашем проекте доказываемая и проверяемая.

Каким будет итог нашей работы? Безопасная операционная система, архитектурно построенная таким образом, что даже взлом любых ее компонентов или приложений не позволит злоумышленнику получить контроль над ней или запустить вредоносный код.

Уверен, кибертеррористы нам за такое спасибо не скажут.

Евгений Касперский — генеральный директор «Лаборатории Касперского».

http://i-business.ru/