Может ли война быть перенесена в киберпространство?

Могут ли при современном развитии Интернета, силовые структуры начать полномасштабные кибер войны?

Как будет выглядеть такая война?

Взломана самая популярная российская социальная сеть - В контакте

 

Самая популярная российская социальная сеть «В контакте» взломана. В интернете появилась база с логинами и паролями более 130 000 аккаунтов

Файл с данными пользователей социальной сети «В контакте» появился вчера на одном из сайтов в интернете. Он содержал email и пароли более 130 000 аккаунтов. Подлинность данных проверил корреспондент «Ведомостей», зашедший с их помощью в несколько анкет. «Мы сейчас тщательно проверяем эту информацию», — сообщил исполнительный директор «В контакте» Лев Левиев. Он предположил, что эти данные были собраны через так называемые фишинговые сайты (сайты, похожие по дизайну на известные ресурсы; их создают мошенники, чтобы заставить пользователей ввести свои личные данные).

По результатам расследования взломов всегда обнаруживается, что владелец аккаунта сам дал возможность проникнуть в ящик злоумышленнику, например поверил информации, содержащейся в фишинговом письме, добавляет технический директор Mail.ru Владимир Габриелян. Маловероятно, что данные утекли через дыру в самой «В контакте», говорит совладелец «Одноклассников» Альберт Попков. Тогда в интернете сразу бы появилась информация о самых известных ее пользователях — создателе сети Павле Дурове, музыкальных звездах, а этого не произошло. Попков признает, что кража логинов и паролей — частый случай, в том числе и в «Одноклассниках». Но публикации целой базы аккаунтов у этой сети пока не было. Иногда хакеры выкладывают данные в ответ на введение на сервисах новой системы защиты от спама, рассказывает Попков. По данным «Лаборатории Касперского», похищение логина и пароля происходило с помощью вируса Trojan.Win32.VkHost.an, он помогал украсть данные не только «В контакте», но и «Одноклассников». Но вчера база паролей «Одноклассников» была пуста. «Лаборатория Касперского» классифицировала сайт 83.133.120.252 как фишинговый, говорит руководитель центра глобальных исследований и анализа угроз компании Александр Гостев. А позавчера антивирусная компания Trend Micro обнаружила другой фишинговый сайт, также использовавшийся для кражи паролей «В контакте».

По словам Попкова, основные потребители ворованных аккаунтов — спамеры; существует целый черный рынок перепродажи данных, собранных с помощью фишинговых сайтов. В «Одноклассниках» много спама рассылается именно с таких анкет, признает он. На форумах за взлом анкеты «В контакте» и «Одноклассников» хакеры просят от 500 до 5000 руб.

Вот мы с вами увидели один из примеров.

Теперь постараемся понять, а что же такое кибер война.

 

Портрет  кибервойны

Первой проблемой при любом обсуждении кибервойн являются используемые определения и термины. Я долгие годы читал о кибервойне и, похоже, что существует столько терминов и определений, сколько и людей, пишущих о ней. Некоторые пытаются, свести понятие кибервойны к военным действиям, предпринятым в военное время, в то время как другие настолько широко рассматривают это понятие, что готовы включить в него и скрипт-кидди (script kiddies), которые развлекаются тем, что подменяют страницы на веб-сайтах (deface).

Я думаю, что будет более полезно ввести более четкие определения, и хотел бы определить четыре следующих понятия:

Кибервойна - военные действия в киберпространстве. Сюда включаются атаки против вооружённых сил противника - например выведение из строя критичных каналы связи - и атаки против его гражданского населения.

Кибертерроризм - это использование киберпространства для совершения террористических актов. Например, взлом компьютерной системы атомной электростанции с целью нарушения ее работы, открытие плотины, или столкновения двух самолетов. В предыдущем эссе я рассуждал о том, какой реалистичной может быть угроза кибертерроризма.

Киберпреступность - Преступность в киберпространстве. Сюда включается многое, что мы уже знаем. Кража интеллектуальной собственности, вымогательство под угрозой проведения DDOS атаки, мошенничество, основанное на кражи идентификационных данных и т.д.

Кибервандализм - скрипт-кидди (script kiddies), изменяющие страницы на веб-сайтах ради забавы, технически могут считаться преступниками, но я думаю о них как о вандалах или хулиганах. Они как дети, раскрашивающие автобусы краской из баллончиков: это делается в основном ради куража и забавы, а не ради чего-то еще.

На первый взгляд в этих терминах нет ничего нового кроме приставки "кибер". Война, терроризм, преступность и даже вандализм уже давно известны. Это правильно, и только одна новая вещь это место действия; все тоже самое и давно известное, только на новой арене. Но так как киберпространство отличается от других мест действия, есть различия заслуживающие внимания.

Единственное, что не изменилось, это то, что термины перекрывают друг друга: несмотря на то, что цели различные, большинство методов, используемых армиями, террористами и преступниками, одинаковы. Все три группы используют пистолеты и бомбы, и точно так же все три группы могут использовать кибератаки. И также как любой выстрел не обязательно является частью войны, каждая успешная атака через Интернет, неважно насколько она смертоносна, не обязательно является частью кибервойны. Кибератака, которая привела к отключению подачи электричества, может быть частью кибервойны, но также она может быть актом кибертерроризма, киберпреступности или даже, если это сделано каким то четырнадцатилетним ребенком, не понимающим, что он делает, актом кибервандализма. Чем именно, будет зависеть от мотиваций атакующего и от того, в каких обстоятельствах была совершена атака…. все как в реальном мире.

Для того чтобы происходящее можно было назвать кибервойной, сначала должна начаться обычная война. В 21 веке война неизбежно включит в себя кибервойну. Так же как и война переместилась в воздух с изобретением воздушных змеев, воздушных шаров и самолетов, и война переместилась в космос с изобретением спутников и баллистических ракет, война переместится в киберпространство с развитием специализированного оружия, тактик и защитных действий.

Ведение Кибервойны

Не должно быть никаких сомнений, что наиболее умные и лучше финансированные армии мира готовятся к кибервойне, готовят средства защиты и нападения. Для военных было бы глупо игнорировать угрозу кибератак и не наращивать защитные мощности, или пренебречь стратегической или тактической возможностью проведения наступательной кибератаки против врага во время войны. И пока история учит нас, что большая часть военных слишком глупа и игнорирует прогресс, в военных кругах тема кибервойн обсуждалась слишком много и часто, чтобы это было можно игнорировать.

Это значит что, по крайней мере, некоторые армии мира уже имеют на вооружении средства для проведения атак через Интернет, которые они приготовили на случай войны и пока держат в тайне. Это могут быть средства для проведения атак типа "отказ в обслуживании". Это могут быть средства, позволяющие военной разведке проникать в военные системы. Это могут быть компьютерные вирусы и "черви" подобные тем, что мы наблюдаем сейчас, но возможно нацеленные на конкретные страны или сети. Это могут быть "трояны" (Trojan), которые прослушивают сети, нарушают работу сетей или позволяют атакующим незаметно проникать в другие сети.

Скрипт-кидди (script kiddies) - это лица, совершающие атаки при помощи готового кода, написанный другими, но в реальности, не понимающие того, как он устроен и работает. В то же время профессионалы тратят огромное время на написание кода для атак: находят уязвимости, пишут код, чтобы использовать их, придумывают, как замаскировать следы их атаки. Настоящие профессионалы не передают свой код скрипт-кидди, потому что этот код гораздо более ценен, если он остается в секрете до тех пор, пока не будет нужен. Я верю, что у военных есть списки уязвимостей в основных операционных системах, приложениях и даже в специфических военных системах, используемых вероятным противником, и код, чтобы использовать их. Я верю, что военные держат в секрете информацию об этих уязвимостях и что они будут хранить их в секрете до тех пор пока не начнется война или не случится что то подобное. Не делать этого было бы безответственным.

Самые заметные кибератаки выводят из строя большие части Интернета, по крайней мере, на некоторое время. Естественно, что некоторые военные имеют возможность сделать это, но я сомневаюсь, что в случае отсутствия глобальной войны они так поступят, потому что Интернет слишком полезен и является слишком значимой частью мировой экономики. Гораздо интересней для них попробовать вывести из строя национальные сегменты Интернета. Если страна "А" начала войну со страной "Б", захочет ли страна "А" вывести из строя сегмент Интернета в стране "Б" или отключить страну "Б" от всего остального Интернета? В зависимости от страны, низко-технологичное решение может быть наиболее простым: где-нибудь на морском дне выведите из строя кабели, используемые страной для доступа в Интернет. Могут ли военные страны "А" превратить их собственный сегмент в закрытый и доступный только для страны сегмент, если захотят?

Для более хирургического подхода мы можем представить кибератаки направленные на уничтожение сетей определенных организаций, например атака типа "отказ в обслуживании" против веб-сайта "Al Jazeera" во время недавней войны в Ираке будто бы была проведена проамериканскими хакерами, но возможно, что и правительством США. Мы можем представить кибератаку против компьютерных сетей в Генеральном Штабе страны или против компьютерных сетей содержащих информацию о материально-техническом снабжении.

Необходимо помнить об одной важной вещи: уничтожение - это последнее, что захотят сделать военные с сетями передачи данных. Если военные не могут получить из сетей противника полезную информацию, то самое большее что они захотят с ними сделать - это выключить их. Лучше всего проникнуть в компьютеры и сети противника, шпионить там и когда нужно скрытно разрушать выбранные части, передаваемой информации. Следующим хорошим шагом было бы пассивное прослушивание. После этого хорошо выполнить анализ перехваченного трафика: выяснить, кто с кем разговаривает и характер этого общения. Только в том случае если военные не смогут этого сделать, они предпочтут выключить сеть противника. Или если, хотя это и редко бывает, преимущества от блокирования каналов связи противника перевесят все остальные.

Особенности Кибервойны

Из за того что, атакующие и защищающиеся используют одно и тоже сетевое оборудование и программное обеспечение существует фундаментальная противоречие между кибератакой и киберзащитой. Агентство Национальной Безопасности США (NSA) называет это "equities issue" и оно может быть сформулировано следующим образом. Когда военные обнаруживают уязвимость в общедоступном продукте, они могут либо предупредить производителя и исправить уязвимость, либо не говорить никому. Это не простое решение. Исправление уязвимости делает системы и "хороших" и "плохих" парней более защищенными. Если же сохранить информацию об уязвимости в тайне, то "хорошие ребята" смогут ее использовать для нападения на "плохих парней", но это так же значит, что "хорошие ребята" остаются уязвимыми. До тех пор пока все используют одинаковые микропроцессоры, операционные системы, сетевые протоколы, программное обеспечение и т.д. "equities issue" будет оставаться фактором, который надо будет учитывать, планируя кибервойну.

Кибервойна может принимать характер шпионажа, и не обязательно включать в себя открытые военные действия (говоря военным языком, кибервойна не обязательно должна быть "горячей"). Так как в основном кибервойна будет заключаться в захвате контроля над сетью и ее прослушивании, ущерб от кибервойны совсем не обязательно будет заметен и очевиден. Это значит, что те же тактические приемы могут быть использованы разведывательными службами в мирное время. Но в этом есть не малый риск. Точно так же как полет U2 над Светским Союзом быть воспринят как акт войны, так же и умышленное проникновение в компьютерные сети страны может быть рассмотрено как акт военных действий.

Кибератаки направлены на инфраструктуру. Поэтому нет разницы между кибератаками и обычными военными атаками на другие сети: энергетическую, транспортную, коммуникационную и т.д. Во время войны все эти сети используются и военными и гражданскими, и атаки на них влияют и на тех и на других. Например, когда Союзники во время второй мировой войны бомбили немецкие железнодорожные мосты, это влияло и на гражданский и на военный транспорт. И когда во время первой и второй Иракской войны Соединенные Штаты бомбили иракские линии связи, это сказалось и на гражданских и на военных средствах связи. Кибератаки, даже такие же прицельные как современные умные бомбы, все равно имеют побочные эффекты.

Кибератаки могут быть использованы для ведения информационной войны. Информационная война - это еще одна, давно не новая, но получившая заслуженное внимание в СМИ в последнее время, тема. Сбрасывание листовок на солдат противника чтобы склонить их к сдаче это информационная война. Передача радио программ для войск противника это информационная война. Чем больше информации люди получают через киберпространство, тем более привлекательным оно становится для ведения информационной войны. Совсем несложно представить кибератаки разработанные для кооптирования коммуникационных каналов противника и использования их для информационной войны.

Так как кибератаки нацелены на информационную инфраструктуру, то их проведение может быть наиболее разрушительным для стран с развитой компьютерной инфраструктурой. Идея в том, что технологически слаборазвитые страны могут решить, что кибератака, которая действует на весь мир, непропорционально подействует на их врагов, потому что богатые страны больше полагаются на Интернет и зависят от него, чем бедные. Таким образом, это темная сторона цифрового деления мира и одна из причин, почему страны типа Соединенных Штатов так беспокоятся о киберзащите.

Кибервойна асимметрична и может быть партизанской. В отличие от традиционных военных наступательных действий, требующих использования подразделений людей и снабжения, кибератака может быть проведена небольшой группой обученных специалистов. Поэтому кибератаки могут быть часть партизанской военной компании.

Кибератаки хорошо подходят для нанесения неожиданных ударов. Многие годы мы слышали устрашающие предупреждения об "электронном Перл Харборе". Это самое большое преувеличение наших дней. Я много рассуждал на эту тему в своем предыдущем эссе о кибертерроризме, но существующая сейчас инфраструктура, недостаточна, уязвима для таких атак.

Совсем необязательно, чтобы у кибератак был явный источник. В отличии от других форм военных действий, запутывание следов это одно из свойств кибератаки. Возможна ситуация, когда ущерб был нанесен, но невозможно определить, откуда это было сделано. В этом основное отличие, есть что-то пугающее в том, чтобы не знать, кто твой противник - или знать и потом выяснить, что ты ошибся. Представьте, что после "Перл Харбора" мы бы не знали, кто нас атаковал?

Кибервойна не стоит на месте. В предыдущем параграфе я сказал, что сейчас риск "электронного Перл Харбора" не имеет под собой никакого основания. Это правда, но этот как и другие аспекты киберпространства постоянно изменяется. Улучшения технологии касаются всего, включая механизмы проведения кибератак. И Интернет становится все более критичным для большей части инфраструктуры, делая кибератаки все более привлекательными. В будущем, возможно недалеком, наступит время, когда неожиданные кибератаки станут реальной угрозой.

И наконец, концепция кибервойны состоит из множества аспектов. Это часть большой военной компании и атаки состоят из компонент влияющих на реальный и кибер мир. Военные могут нападать на коммуникационную инфраструктуру противника через физические атаки - нанося бомбовые удары по узлам связи и линиям коммуникаций - и используя виртуальные атаки. Ведение информационной войны может включать сбрасывание листовок, захват телевизионных каналов, и массовые рассылки сообщений электронной почты. И большинство кибератак до сих пор имеют более простые не "кибер" аналоги. Страна, желающая изолировать другую страну от Интернета, может найти низко технологичное решение, включающее сотрудничество с такой компании как Cable & Wireless, предоставляющей backbone-каналы, что гораздо проще, чем узконаправленный червь или вирус. Кибервойна не замещает собой войну, это просто другая арена, на которой идет более масштабная война.

Люди придают слишком большое значение кибервойне и кибертерроризму. Это модно и привлекает внимание СМИ. И в то же время недооценивают значение киберпреступности. Сегодня преступность стала большим бизнесом в Интернете и становится больше каждый день. Но по счастью тоже происходит и с защитой. Контрмеры, нацеленные на предупреждение атак кибервойны и кибертерроризма, также защитят от киберпреступности и кибервандализма. Так что даже если организации обеспечивают безопасность их сетей, исходя из неправильных причин, они все равно поступают правильно.

 

 

 

 

 

 

Атаки типа 'отказ в обслуживании' (DoS-атаки), начавшиеся 4 июля, породили стандартные заголовки со словом 'кибервойна', но в действительности, с технической точки зрения, эти 'атаки' могут быть противоположностью настоящей 'кибервойны'. Между тем, статья в ведущем израильском еженедельнике Ha'aretz об операциях Израиля против ядерной программы Ирана, прошедшая относительно незамеченной, может дать большее представление о том, что такое кибервойна на самом деле.

Не секрет, что некоторые страны, включая Соединенные Штаты, Китай, Россию и Израиль, ведут изучение возможностей кибервойны. Какими могут быть эти возможности, и как могла бы выглядеть кибервойна - все это покрыто завесой секретности. DoS-атаки из газетных заголовков - это не она.

Эти атаки - не более чем отправка громадного количества запросов на серверы, в результате чего сайты неспособны отвечать на легитимный трафик, и нарушение работы электронной почты. Компетентные профессионалы в сфере информационных технологий обычно могут сгладить последствия этих атак, и, даже если они успешны, то, с точки зрения национальной безопасности, их воздействие является маргинальным.

DoS-атаки совершаются при помощи бот-сетей, тысяч взломанных компьютеров, которым можно дать команду одновременно послать сообщения по электронной почте или зайти на тот или иной сайт. Бот-сети строятся при помощи вредоносных программ, которые атакуют отдельные компьютеры, - зачастую просто пользуясь тем, что установленное на них программное обеспечение не имеет актуальных обновлений систем безопасности. Компьютеры, подключенные к государственным ведомствам, взламывались и становились частями бот-сетей, но это не обязательно влечет за собой чудовищные последствия в сфере безопасности. Реальная кибервойна может потребовать навыков, противоположных тем, что нужны для осуществления DoS-атак, о которых пишут в газетах.

По данным статьи в Ha'aretz, израильская разведка систематически работает над внедрением вредоносного программного обеспечения, которое может нарушить работу информационных систем иранской ядерной программы. Считается, что эти системы не подсоединены к Интернету, а вредоносное программное обеспечение установлено на оборудование, которое продается иранскому правительству.

Вот так может выглядеть будущая кибервойна. Современные общества представляют собой сложные сети, состоящие из людей, информационных систем и машин. Те державы, которые могут быстро идентифицировать и нейтрализовать критические узлы в системах, получат громадные преимущества.

Критически важные правительственные системы используют интранет - сети, отделенные от Интернета. Считается, что самые важные системы - такие, как системы управления ядерным оружием - не подсоединены к другим системам. Однако в большинстве внутренних сетей государственных ведомств есть точки соприкосновения с Интернетом, и эти сети заражаются вредоносным программным обеспечением из Интернета. Но все же, любой интранет - относительно контролируемая среда, поэтому аномальная активность (по крайней мере, теоретически) может быть быстро взята под контроль и изолирована.

Поскольку взлом этих сетей может сыграть решающую роль в военном конфликте, государства, обладающие серьезными амбициями в сфере кибервойны, будут тщательно адаптировать вредоносное ПО для конкретных систем. Это полная противоположность вредоносному ПО, которое строит бот-сети, проникая туда, где это не требует особых усилий.

Самые серьезные случаи хищения персональных данных обычно включают в себя психологические атаки - мошенники стараются перехитрить жертву, чтобы получить важную информацию, упрощающую совершение преступления. То же самое может иметь место при подготовке атак на критически важные сети. В большинстве развитых государств существует широкая инфраструктура подрядчиков и ученых, которые выполняют свою гражданскую работу и контактируют с силовыми ведомствами. Анализ социальных сетей может быть использован для выявления лиц, которые, вероятно, имеют контакты с силовыми ведомствами, и внедрения вредоносного ПО через их компьютеры.

Представьте себе привычные сегодня фишинговые атаки - рассылаемые по электронной почте сообщения якобы из банков и компаний по выдаче кредитных карт - устроенные разведывательными службами и нацеленные на узкие сообщества.

Вопрос о том, что может сделать вредоносное ПО, попав в систему, остается открытым. Сообщается, что китайские хакеры проникают в компьютеры и манипулируют ими для удаления секретных документов, регистрации нажатий клавиш на клавиатуре, включения веб-камер. Доподлинно неизвестно, могут ли действовать эти функции в течение продолжительного времени в безопасном интранете. Срок жизни любого вредоносного ПО, внедренного в стратегически важные сети, может быть очень коротким, и его разработчикам нужно тщательно продумать, как добиться за это время максимальных результатов. Как вариант, это ПО может внедряться надолго и активироваться в случае необходимости. Возможны и сценарии передачи ценной информации, манипулирования информацией, повреждения сети или предоставления информации о размещении ключевых сетевых узлов с тем, чтобы их можно было физически уничтожить.

Однако пользоваться возможностями кибервойны непросто. Как только вредоносное ПО обнаружено, защитники могут ему противодействовать, усиливая систему и повышая ее устойчивость перед несанкционированным доступом в будущем.

В разгар сражения возможность взломать информационную сеть противника может сыграть решающую роль. Однако в долгосрочной диалектике войны, при которой стороны постоянно отвечают на инновации друг друга, кибервойна станет еще одной гранью конфликта - временами важнейшей, временами периферийной. Те страны, которые первыми овладеют искусством кибервойны, смогут получить фундаментальное преимущество на начальных стадиях конфликта. Те страны, которые игнорируют кибервойну, делают это на свой страх и риск.

("The Washington Times", США)
Аарон Мэннис - исследователь из Университета Мэриленда. Джеймс Хендлер - профессор компьютерных наук из Ренселейрского политехнического института.