Flame, который изменил мир.

Previous Entry Поделиться Next Entry
14 июня, 2012
e_kaspersky
Октоберфест образца 2010г. мне запомнится на всю жизнь. Да, пиво я люблю, особенно немецкое и особенно на Октоберфесте. Но в этот раз я пива вообще не помню и не потому, что его было много :) Тогда пришла первая весточка одной очень неприятной тенденции, которой я опасался уже много лет до этого. Дагадались? Ага, именно тогда случился тот самый Stuxnet – первый образец малвары, созданный при государственной поддержке и нацеленный на выполнение конкретной военной миссии. На пресс-конференции во время Октоберфеста мы так и сказали: «Добро пожаловать в эпоху кибер-войн». И уже тогда было очевидно, что Stuxnet - это только начало.



На самом деле, с тех пор вплоть до самого недавнего времени мало что поменялось. Несмотря на то, что всем было интуитивно понятно «откуда ноги» растут и кто может стоять за Stuxnet, ни одно государство не то, чтобы не взяло на себя ответственность, но и всячески открещивались от авторства. «Прорыв» состоялся в конце мая, когда мы обнаружили новую марвару, которая так же не оставляла сомнений в её кибер-военном происхождении и военной миссии.

Разумеется, речь о Flame.

Абстрагируясь от технических деталей: в чём историческое значение Flame? Из-за чего поднялся шум вокруг этого вредоноса? Насколько он опасен и в какой плоскости эта опасность лежит?  Способно ли кибер-оружие стать частью государственной военной доктрины и вызвать новую гонку вооружений? Вопросы могут показаться странными и даже алармистскими – подумаешь вирус! Как он может помешать мне съесть утром свежую французскую булочку (или китайский дим-сум :)? Если ситуация с военной малварой будет развиваться и дальше самотёком, то невозможность утром съесть французскую булочку (китайский дим-сум) окажется, увы, самым незначительным лишением.

Неделя после обнаружения Flame внезапно принесла нам сразу несколько новостей. По сути, эти новости «проапгрейдили» текущие представления о военной стратегии и показали, что государства в течение нескольких лет уже успешно применяли новые методы, с вязанные с наступательным кибер-оружием.

1 июня в The New York Times вышла эпическая статья, где авторство Stuxnet аргументировано приписывалось США, при этом от самих США не поступило никаких опровержений. Наоборот, Белый Дом возмутился утечками информации и потребовал от компетентных органов расследовать случай. Как-то так синхронно получилось, что Израиль тоже перестал стесняться и, хоть прямо и не признался в участии в проекте(ах), но больше не стал скрывать своих интересов в области разработки и применения кибер-оружия.

А теперь давайте представим какие эти новости могут иметь последствия.

Во-первых, Stuxnet, Duqu и Flame на практике доказали, что кибер-оружие а) эффективно, б) значительно дешевле обычного оружия, в) с трудом поддаётся обнаружению, г) с трудом приписывается конкретному нападающему (соответственно превентивно-проактивные методы тут малоприменимы), д) от него трудно защититься, ибо неисповедимы «дыры Виндовые» и иже с ними, е) реплицируемо с нулевыми затратами. Более того, его кажущаяся безобидность мотивирует владельцев к его применению, особо не задумываясь о последствиях. А последствия «могут и будут», да такие, что Крепкий Орешек 4 станет былью. Об этом ниже.

Во-вторых, недавний пример оправдал кибер-оружие в этическом и легализовал в правовом плане. Я уверен, что такими технологиями втихаря не брезговали баловаться и другие страны, но раньше это было что-то вроде неприличной темы для беседы и потому дела делались тихо, понемногу и скрытно. Теперь же никто стесняться не будет и все кто может позволить не будут себе ни в чём отказывать. Даже наоборот: страны, не имеющие кибер-оружия в «приличном военном обществе» будут считаться отсталыми. Как следствие – уже в краткосрочной перспективе кибер-военные бюджеты многократно распухнут и мы станем свидетелями гонки вооружений, в новом, кибер-измерении. А ружьё, как мы знаем, просто так на стене висеть не будет.

В-третьих, отсутствие хоть какой международной конвенции (читай соглашения о «правилах игры») по разработке, применению и распространению кибер-оружия и третейского судьи приводит к появлению нескольких нешуточных и весьма вероятных угроз:

  • Появление особо опасной малвары, намеренно, случайно или «бумерангом» «гасящей» объекты критической инфраструктуры, что провоцирует региональную/глобальную социально-экономическую/экологическую катастрофу.

  • Использование кибер-оружия провоцирует классический кинетический конфликт. В прошлом году США прямо заявили, что оставляют за собой право ответа на кибер-атаку традиционными военными средствами.

  • Инсценировка, провокация или мисинтерпретация кибер-атаки для оправдания военного нападения на другое государство. Кибернетический Пёрл Харбор.

Сейчас мало кто понимает реальной опасности кибер-оружия. Вообще не укладывается, как какой-то вирус, несколько кило/мегабайт непонятных закорючек может вдруг спровоцировать, например, аварию на атомной станции, пожар на нефтепроводе, авиакатастрофу. Ага? Человечество незаметно и давно попало в сильнейшую зависимость от информационных технологий.

Для примера вернёмся к французской булочке.

Это милое создание производится на хлебокомбинате, пронизанном компьютерами от бухгалтерии и склада до систем управления тестомешалками и печами. Хлебокомбинат получает ингредиенты из других похожим образом автоматизированных производств. Вся логистика между ними работает на компьютерах и сетях. Электричество, вода, канализация и прочие коммунальные услуги, без которых хлебокомбинат быстро закроет Санэпидемнадзор тоже предоставляются компьютеризированными предприятиями. Даже лифт, который доставляет французскую булочку в модное кафе и тот управляется специальной IT-системой. Наконец, кредитная карточка, которой мы расплачиваемся за булочку … ну, с ней и так всё ясно. Так вот – все эти объекты являются потенциальными жертвами кибер-атаки. Вон, Stuxnet уничтожал центрифуги на иранских атомных объектах. Вряд ли хлебокомбинат или водоканал более защищены. На деле всё ещё гораздо хуже – промышленные и важные инфраструктурные объекты работают на дырявых SCADA-системах, да ещё и подключённых к Интернету. А медлительность разработчиков этих систем в плане исправления уязвимостей (которые могут использоваться для кибер-атаки) вообще породила новый термин “forever days” (вечные «зеродеи»).

По своему разрушительному потенциалу кибер-оружие никак не уступает ядерному, биологическому или химическому. Но, в отличие от этих видов ОМП оно никак не контролируется и имеет «романтический» ореол невидимого, вездесущего и «аккуратного» (некоторые клоуны даже умудрились высказать мысль, что кибер-оружие на самом деле способствует миру во всём мире), что стимулирует его применение.
Разрабатывая кибер-оружие, мы пилим сук, на котором сами сидим. И развитые страны, как одни из наиболее компьютеризированных государств в конечном итоге пострадают от этого больше всего.
Честно говоря, я пессимистичен. И буду рад ошибиться. Не думаю, что государства сейчас смогут договориться о правилах кибер-войны. Мы сейчас помогаем технической экспертизой Международному союзу электросвязи ООН (ITU). Те, в свою очередь, пытаются создать хоть какую-то систему наподобие МАГАТЭ для кибер-пространства. Но даже по статьям в СМИ видно сильное противодействие некоторых стран этой активности. Действительно, кому сдался этот регулятор, когда есть такое перспективное и, типа, безобидное оружие? Мне кажется, правительства придут к осознанию реальной опасности кибер-угрозы только когда хорошенько так долбанёт. Вроде как в 2003 на северо-восточном побережье США, но только чтобы ни у кого не осталось сомнения о реальных причинах инцидента. Пока гром не грянет мужик не перекрестится. Ага, на дворе стоял 21 век.

Выводы:

  • Мировое сообщество должно попытаться прийти к соглашению по вопросам разработки, применения и распространения кибер-оружия. Это не решит многих проблем, но установит правила игры, которые интегрируют новые военные технологии в структуру международных отношений, тем самым предотвратив их бесконтрольное развитие и легкомысленное использование.

  • Инфраструктурные и промышленные объекты, финансовая, транспортная, коммунальная и другие критически важные системы должны в корне пересмотреть свой подход к обеспечению информационной безопасности, прежде всего в плане полной их изоляции от Интернета, поиска альтернативных решений устаревшим и несоответствующим новым вызовам индустриальным системам управления.

  • Хотя секюрити-индустрия многие годы фокусировалась на борьбе с массовыми эпидемиями, в её арсенале есть защитные технологии способные с высокой долей вероятности предотвратить атаки таргетированного кибер-оружия. Однако это потребует от пользователей переосмысление парадигмы безопасности и внедрения эшелонированной, многоуровневой системы защиты.

  • Stuxnet, Duqu и Flame – это лишь верхушка айсберга. Какое другое кибер-оружие шляется по миру мы можем только догадываться. Уверен, мало не покажется, будет очень интересно. Надеюсь только интересно – не страшно.

  • Как международная компания мы официально заявляем, что будем детектить любое кибер-оружие вне зависимости от страны его происхождения и мер «принуждения к сотрудничеству». Любой компромисс здесь считаем несовместимым с нашими этическими и профессиональными принципами.

В общем, кибер-оружие – это проблема. Как «полевые» эксперты, которые непосредственно работают с вредоносами мы видим как развиваются дела и куда это всё может привести в плане последствий. С другой стороны, разработка кибер-оружия становится модной темой и не за горами его массовое применение. Чем раньше правительства поймут масштабы этой проблемы, тем лучше для всего мира.

Недавно Брюс Шнейер опубликовал хорошую статью, цитата:
«Каким бы несовершенными не казались международные соглашения по контролю над кибер-пространством – это единственный способ минимизировать угрозу кибер-войны».
Трудно не согласиться. Можете себе представить современный миропорядок без соглашений по контролю над ядерным/химическим/биологическим оружием? Да, МАГАТЭ не смогло остановить Израиль, Индию, Пакистан и Северную Корею от создания своего ядерного потенциала. Но подобные международные соглашения устанавливают этические и легальные нормы, т.е. что хорошо и что плохо. В конечном итоге это положительно влияет на мир и безопасность.



Метки:
Previous Entry Поделиться Next Entry
> Не думаю, что государства сейчас смогут договориться о правилах кибер-войны.
В отсутствие официального признания наличия подобного оружия (если слово "оружие" здесь корректно), как бы и не о чем договариваться.

и какой тут сухой остаток? всем срочно покупать годового каспер-интернет за $49.45?

Ой, как же хорошо, что мне не нравятся французские булочки.

Однобоко как-то

akulcheg

2012-06-14 12:54 (UTC)

Вы рассматриваете одну тенденцию развития вооружения изолировано от других тенденции вооружений.
Например, сейчас в США активно разрабатываются роботизированные боевые системы. Согласитесь, что они неизбежно привнесут в войну новые этические и психологические проблемы. Боевые дежурства операторов роботов будут похожи на рабочие дни беловоротничкового клерка без психологических напрягов лицезрения вида крови и прочих ужасов реальной войны. Боевые действия будут круглосуточные. Набрать таких операторов из упертых геймеров вообще не проблема при соответствующем интерфейсе. Поскольку нет собственных трупов, то начать очередную военную авантюру с точки зрения ограничений внутренней политики вообще не вопрос. Хорошо у России есть ядерное оружие, как сдерживающий фактор. А у других небольших небогатых стран какие могут быть альтернативы? В части независимости культуры, верований, экономики, политики? В ядерный пул их не пустят. На роботов у них не хватит денег. Че им делать-то? Какая реальная альтернатива кроме кибероружия еще у них есть? Автомат Калашникова? С другой стороны, какова степень угрозы вирусов для Интернета в целом реально существует? Ведь эта среда их обитания. Зачем им эту среду уничтожать? Да и противодействовать им не так уж и затратно. Купите новые компьютеры...

Мне кажется, что все, написанное в этой стетье, актуально. В будущем (думаю, недалеком) мы можем столкнуться с актами кибертерроризма, по разрушительности сравнимым с наиболее современным оружием массового уничтожения. Спасибо за объективную точку зрения.

>>мер «принуждения к сотрудничеству»
Вот в это, из уст жителя РФ - верится с трудом, как писал Оруэл : У каждого есть предел страха. К сожалению.

ай молодцы

vla81

2012-06-14 20:47 (UTC)

вот это по нашему, молодцы, всем пис:
*Как международная компания мы официально заявляем, что будем детектить любое кибер-оружие вне зависимости от страны его происхождения и мер «принуждения к сотрудничеству». Любой компромисс здесь считаем несовместимым с нашими этическими и профессиональными принципами.*

Вот так совершенно неожиданно компания-производитель вполне гражданских антивирусов была поставлена перед необходимостью перейти дорогу государственным интересам... и ладно бы хоть одного государства.

Удачи вам, Евгений, на этом пути - то, что вы делаете, когда-нибудь спасет мир от Чернобыля.

Хорошо бы...
Но любое соглашение имеет смысл только есть есть методы контроля за выполнением. Инспекции, пролеты разведчиков и прочее подобное. Пока не получается придумать таких механизмов для кибероружия.

Да еще - если за ракетами-заводами можно проследить, то разработка кибероружия может вестись негосударсвтенными организациями для своих целей и на продажу. Государства могут прийти на рынок и заказать оружие, вместе с операторами. Причем так, что отследить связь будет практически невозможно. Любой договор, в таком случае, будет более выгоден странам с ... "закрытым" управлением.

А перевести критические системы на Линукс, не?

Конечно оно не дешёво, всяких старых пердунов да дур секретарш переучивать. Зато эффективно.

А какая разница? Если атакуемая система на Линуксе - значит будут атаковать Линукс. Там что - всё пушисто с точки зрения безопасности? (многие Маководы до сих пор уверены, что Мак - непобедим).

Ну конечно от "албанского вируса" (типа: запустите пожалуйста этот скриптик под рутом) ни Линукс ни Мак не защищены.

А с остальным - да, всё пушисто.

> А с остальным - да, всё пушисто

Весьма распространённая ошибочная точка зрения. Реальность, увы, печальнее - с точки зрения "дырявости" Маки и Линукса ничуть не лучше Винды.

Не могли бы Вы привести примеры каких-то (не албанских) вирусов для Линукса? Я помню лет 10-15 назад была дыра в sendmail, которую заткнули за пару дней. Да и то, если я правильно помню это был SunOS. Вот, собственно, и всё.

Здесь можно послушать: http://www.securelist.com/en/blog/433/New_webcast_The_Truth_about_Malware_and_Linux

Здесь поискать: http://www.securelist.com/en/descriptions

Здесь тоже можно потыкать: http://en.wikipedia.org/wiki/Linux_malware

Если кратко, то зачем кибер-негодяям создавать линукс-зловредов? Что они могут украсть у среднестатистического пользователя Линуксов?? Исходный код ядра?

На список посмотрел, спасибо. Убедили, есть парочка.

>>> Что они могут украсть у среднестатистического пользователя Линуксов?? Исходный код ядра?

Ага, а у пользователя Windows даже этого украсть нельзя :-)


Опять как-то однобоко (((

akulcheg

2012-06-27 09:13 (UTC)

Правильнее, ИМХО, было бы задать вопрос:"Почему создают вирусы для Win-ды?" Например, есть такая версия:
В 2004 г. для оптимизации Win была создана программа "Orthodox Xmas", которая увеличивала производительность оборудования в разы. Компания Microsoft решила присвоить себе некие лежащие интеллектуальные находки себе и объявили настоящую войну: изымали вирус с чужих систем, подменили вирус, посадили пару хакерских групп, хранивших и изучавших этот вирус. Возможно, сегодняшняя ситуация с кибербезопасностью- это продолжение той давней войны, возможно, она никогда и не заканчивалась? Возможно, задача тупо посадить на "бабки" софтверного гиганта оказалась необычно стимулирующей определенный вид творчества? И так ли уж благородна, с этой точки зрения, миссия АВ компаний?

?

Log in

No account? Create an account