Размещено на http://www.allbest.ru/

Стив Винтерфельд, Джейсон Андресс. Основы информационной войны

План

1. Инструменты и приемы

1.1 Логическое оружие

1.2 Физическое оружие

2. Тактика и методика обороны

2.1 Понимание и обучение безопасности

1. Инструменты и приемы

1.1 Логическое оружие

Логическое оружие - это инструменты или программные средства, которые мы, как правило, представляем, говоря об информационной войне. Это набор инструментов, который используется для ведения разведки, наблюдения за сетями и системами наших противников, а также для атак на различные цели, которые мы можем обнаружить, и их дальнейшей эксплуатации. Когда мы рассматриваем использование подобных средств в контексте информационной войны, возникает вопрос, чем они отличаются от инструментов, используемых в обычном тестировании приложений, систем и сетей на проникновение. Ответ заключается в том, что в большинстве случаев нет концептуального отличия в сколько-нибудь значимой степени, но в условиях информационной войны цели и последствия использования этих средств, зачастую значительно глобальнее.

Специалисты по тестам на проникновение могут быть обязаны (в некоторых случаях по условиям договора) уклоняться от использования инструментов или их определенных настроек, которые помечены как опасные, из-за их возможного деструктивного воздействия на цель, с другой стороны подобные способы проникновения могут быть приемлемыми или даже оптимальными в условиях информационного конфликта. Это не всегда может быть так, и разумеется, мы хотим оставаться скрытными и бдительными в некоторых ситуациях, но это дает возможность использовать стандартные инструменты таким образом, который мы обычно не сможем наблюдать при тестах на проникновение вне лабораторных условий.

Можно легко обнаруживать коммерческие инструменты, используемые информационно-военными силами, которые поддерживаются или спонсируются государством, но сложнее обнаружить их в руках тех, кто действует в одиночку или небольшими группами. Тем не менее, в умелых руках бесплатные инструменты могут быть очень эффективны, при меньшей степени автоматизации по сравнению с коммерческими аналогами, и при регулярном использовании множеством атакующих.

Примечание:

Выбор инструментов, доступных для использования в информационной войне, тестировании на проникновение и безопасности в целом весьма широк. Конечно, нам хотелось бы дать подробное описание различных популярных средств обеспечения безопасности, но тогда бы нам пришлось посвятить этой теме целую книгу. Следует также отметить, что в то время как хакеры тратят тысячи, государства, а именно США с Агентством национальной безопасности и Всеобъемлющей национальной инициативой обеспечения кибербезопасности, тратят миллиарды долларов. В этой главе мы обсудим некоторые из основных моментов, но для тех, кто хочет узнать больше, мы рекомендуем посетить отличный сайт Insecure.org. Там ведутся списки программ-взломщиков паролей, снифферов, сканеров уязвимостей, веб-сканеров, беспроводных инструментов и многих других продуктов.

Разведывательные средства

Разведывательными средствами, как должно быть ясно из названия, являются те, которые мы используем, как правило, в пассивном состоянии, для сбора информации о сетях и системах, против которых мы потенциально можем применить меры логического типа. Этот процесс может включать в себя сбор информации с общедоступных сайтов, поиск записей серверов системы доменных имен (DNS), сбор метаданных из доступных документов, извлечение очень специфичной информации при использовании поисковой системы, или любой из ряда других аналогичных процессов. Для разведки, мы можем использовать информацию, собранную из таких источников, как:

* Сайты.

* Поисковые системы.

* Взлом при помощи Google.

* Поисковые запросы WHOIS / DNS запросы.

* Метаданные.

* Специализированные поисковые инструменты, такие как Maltego.

Средства сканирования

Средства сканирования это категория инструментов, которые мы используем, чтобы узнать более подробную информацию о состоянии нашей цели, системах внутри нее, и деталях этих систем. Используя такие инструменты, мы можем получить сведения очень общего характера, в случае запуска "зачисток пинга", какого-то более конкретного, в случае запуска сканирования портов, или очень конкретного, в случае захвата баннеров или перечисления пользователей конкретных систем. Некоторые распространенные инструменты, используемые для сканирования:

* Nmap.

* Nessus

* OpenVAS.

Средства для доступа и эскалации

Большое количество доступных средств для взлома и тестов на проникновение, как с открытым кодом, так и коммерческих, ориентированы на получении доступа к системам и эскалации уровня привилегий сразу, при возникновении возможности для получения доступа к системе. В этом разделе мы рассмотрим некоторые из наиболее распространенных и популярных инструментов. Обычные инструменты для доступа и эскалации могут включать в себя:

* Инструменты для взлома/подбора паролей.

* Metasploit.

* CANVAS.

Средства эксфильтрации*

Эксфильтрация данных может быть интересной и сложной задачей, особенно если окружение, о котором идет речь, защищено именно от таких мероприятий, которые мы пытаемся осуществить. В общих чертах, некоторые из основных методов, которые мы можем использовать для эксфильтрации данных это физический перенос данных из окружения, использование стеганографии или шифрования, чтобы скрыть данные, использование простых протоколов, которые, как правило, позволяют покидать окружение или использование вспомогательного канала для управляющей информации (OOB методы). Некоторые распространенные методы эксфильтрации включают в себя:

* Физическую эксфильтрацию.

* Шифрование и/или стеганографию.

* Туннелирование простых протоколов.

* OOB методы.

*Эксфильтрация - выход из окружения (из расположения противника). Англо-русский военный словарь.

Средства обеспечения устойчивого доступа

Как только мы получаем доступ к системе и достигаем желаемого уровня доступа, мы вероятно хотим убедиться, что сможем обеспечить дальнейший доступ к системе. Хотя возможно мы изначально и могли успешно использовать особую уязвимость или подобные средства для доступа к системе, мы не можем рассчитывать на то, что эта же уязвимость будет еще существовать в будущем. Некоторые общие методы поддержания

доступа могут включать:

* Добавление "авторизованных" аккаунтов к системам.

* Программные закладки

* Добавление служб прослушивания.

Средства атаки

Существует множество разнообразных средств, которые могут быть использованы для осуществления атак на взломанную машину. Они могут принимать вид простых изменений в конфигурациях или переменных системного окружения специально построенных бот-сетей, которые могут проводить атаки, имеющие цель вызвать нарушение доступа к данной системе или окружающей среде (DoS атаки). В целом подобные средства поражения можно разделить на те, которые связаны с программным обеспечением и на те, которые нацелены на аппаратуру.

Некоторые распространенные методы атаки могут включать:

* Фальсификация программного обеспечения или параметров операционной системы.

* Атаки на аппаратное обеспечение.

* Изменение конфигурации.

Средства обфускации

Обфусцировать значит "запутать, сбить с толку, или ошеломить", "сделать непонятным" или "затемнить" [1]. Это определение идеально подходит набору средств, которые мы можем использовать при эксплуатации системы или окружения для "заметания следов". В целом, в таких ситуациях существует три типа актуальных задач: скрытие нашего местоположение, манипулирование логами и файлами.

Некоторые методы обфускации

могут включать в себя:

* Сокрытие физического местоположения.

* Манипуляции в логах.

* Манипуляции в файлах.

1.2 Физическое оружие

Думая об информационной войне мы, скорее всего, представляем себе армию компьютерных фанатиков, пристально глядящих на экраны мониторов и неистово стучащих по кнопкам своих клавиатур. Хотя в этом образе может заключаться определенная доля истины, нам необходимо также рассмотреть роль традиционных боевых действий в подобных конфликтах.

Наблюдая за тем, как пересекаются физическая и логическая сферы, мы понимаем, что они, в самом деле, очень тесно связаны. Логические системы, такие как программное обеспечение и приложения, полностью зависят от физических систем и инфраструктуры, на которых они выполняются. Изменения, внесенные, как в физические, так и в логические компоненты могут оказать глубокое воздействие друг на друга, создавая ситуацию, когда одни из них делают других совершенно бесполезными.

Так же, как в любом крупном конфликте физического характера, мы обеспокоены инфраструктурой, цепочкой поставок и логистикой, которые делают возможными наши операции. Если любой из этих компонентов будет удален или искажен противоборствующими силами, то в лучшем случае процесс ведения войны значительно осложнится. В худшем случае, мы можем обнаружить, что совершенно не в состоянии действовать, сведены на нет проблемами в цепи поставок, такими как пищевое отравление из партии загрязненного яичного салата в столовой или кафе, или повреждение компоненты, используемой при сборке электронных или вычислительных устройств. эксфильтрация программный информационный

При взгляде на инструменты, которые мы можем использовать для физического нападения и обороны, мы видим широкое разнообразие доступных нам вариантов. Мы можем использовать взрывчатые вещества, резать кабели, глушить радиосигналы, взламывать замки, практически все, что придет в нашу голову. При обороне, мы можем укрепить наши установки и оборудование от атак, которые мы считаем наиболее вероятными, и предпринять шаги, гарантирующие, что любой злоумышленник, попытавшийся пройти через наш периметр, будет разочарован в своих попытках и быстро обнаружен.

Как связаны логическая и физическая сферы

Людям с базовым багажом технических знаний понятна концепция, которая утверждает, что логическая сфера зависит от физического оборудования и сетевой инфраструктуры. Хотя идея о том, что виртуальный мир держится на физическом, действительно проста, некоторые из косвенных эффектов пересечения этих сфер могут быть не столь ясны и очевидны.

Рассматривая физическую сетевую инфраструктуру, на которой поддерживаются такие системы, мы имеем две проблемы, которые следует принимать во внимание при электронных операциях: сохранение наших систем неповрежденными и способными функционировать в соответствии с проектом и обеспечение невозможности аналогичных действий систем противника. Это значит, что физическая атака на центр обработки данных является одним из вариантов военной атаки с целью отказа в обслуживании.

Логические системы также могут быть использованы для внесения изменений в физической сфере. Элементы оборудования и программного обеспечения часто комплексно определяют метод функционирования аппаратных средств. Изменения, внесенные в программное обеспечение, могут повлиять на все то, с чем взаимодействует физическое оборудование, включая сети, другие системы или даже людей. Это значит, что кибератаки на энергосистемы, также могут быть использованы для вызова отказа в обслуживании.

Логические системы работают на физическом оборудовании

Логическая среда выполняется на разнообразной сетевой инфраструктуре, компьютерных системах, автоматизированных бытовых приборах, холодильниках, автомобилях, и т.д. (обычно называемых встроенными устройствами). Когда такие сложные системы, в первую очередь власти и средств массовой информации, теряют соединение с различными критически важными для их функциональности утилитами, они становится значительно менее полезны, часто до такой степени, что нуждаются в очень затратном ремонте.

При проведении операции в процессе информационного конфликта, как наступательного, так и оборонительного характера, необходимость сохранения работоспособности оборудования является непростой задачей.

Передовые технологии начинают играть свою роль даже в обычных боевых действиях, и разведка при поддержке таких технологий может поставлять крайне важную информацию, на которой будут основаны как традиционные военные, так и кибероперации.

Многие из недавних действий, в которых принимали участие Соединенные Штаты, такие как в Ираке или Афганистане, проводились в условиях пустыни, где, как правило, очень жарко и много песка, при наличии скудной инфраструктуры, которую не стоит принимать во внимание. Работа в таких условиях далека от состояния, при котором можно обеспечить нормальное функционирование компьютерного оборудования. Кроме того, такое оборудование может являться заманчивой целью для атак сил противника, как на физическом, так и на логическом уровне, поскольку оно является ключом к контролю и управлению силами Соединенных Штатов. В таких случаях, оборудование повышенной прочности и компактные системы охлаждения могут обеспечить функционирование устройств в течение более длительного промежутка времени.

Также, на более высоком уровне, для использования подобных систем мы должны обеспечивать работоспособность инфраструктуры. Такими технологиями обычно пользуются в центрах обработки данных и других объектах, в которых располагается важнейшее компьютерное оборудование, хотя они обычно не способны к сдерживанию видов атак, используемых в информационных конфликтах. Используя резервные системы, инфраструктуру, утилиты и другие необходимые элементы, мы можем сделать так, что будет действительно сложно вызвать отказ системы. С другой стороны, с тех пор как подобные технологии стали доступны, мы с большой долей вероятности можем обнаружить их использование также и нашими врагами.

Оборотной стороной этого вопроса является задача приведения оборудования и инфраструктуры сил противника в негодность с физической точки зрения. В частности, когда силовые операции проводятся на территории иностранного государства, оно, находясь под ударом, имеет выраженное преимущество "своей площадки". В некоторых ситуациях, таких как конфликт в Афганистане, мы можем иметь дело с противником, который вообще не использует современную техническую инфраструктуру. В других случаях, мы можем столкнуться с грамотно сконструированными центрами обработки данных, которые укреплены и имеют достаточный запас ресурсов, чтобы быть обеспеченными энергией и связью в чрезвычайных ситуациях. Такие ЦОД очень сложно вывести из строя. Каждый театр боевых действий, находящийся на территории врага, определяется сочетанием зависимости и способности к поддерживанию координированных централизованных операций, и должен оцениваться отдельно.

Во время операции по освобождению Ирака в 2003 году, несколько залпов крылатых ракет были выпущены для обрыва доступа в Интернет в Багдаде. Хотя гражданские Интернет-провайдеры (ISPs) были выведены из строя относительно легко, так как большее количество трафика проходило через единственный коммутатор Cisco, было не так легко перекрыть трафик идущий от иракского правительства. После прямых попаданий в два распределяющих телекоммуникационных центра, несколько спутниковых антенн, а также сервер, расположенный в здании иракского министерства информации, была прекращена работа официального сайта иракского правительства и связанного с ним сервера электронной почты. Позже выяснилось, что связь шла через спутниковый шлюз, который был отправлен производителем в Дубай и потом перевезен в Ирак [2]. Этот пример демонстрирует сложность составления карт угроз в информационной среде и ключевых узлах инфраструктуры.

Учитывая легкость построения систем резервного копирования в различных инфраструктурах, вполне возможно, что для устранения информационных возможностей противника, необходимо разрушение нескольких систем. Доступ в Интернет может быть обеспечен через микроволны, мобильные сети, радиолюбительскую связь, телефонные линии, а также ряд других решений, и может распределяться с помощью сетей с ячеистой топологией для обеспечения большей степени избыточности. С учетом современных технологий, система может быть построена для функционирования на минимальном уровне даже при использовании ноутбука и мобильного телефона для соединения. В таких случаях, для того чтобы вызвать отказ системы, надо будет комбинировать физические и логические атаки.

Логические атаки могут иметь материальные последствия

Так же, как физические атаки могут влиять на логические системы, логические атаки, в свою очередь, могут оказать воздействие на физические системы. В значительной степени, физические вычислительные системы управляются операционными системами и приложениями, запущенными на них. В качестве простого примера, почти для всех систем, физически подключенных к сетевому кабелю, изменения конфигурации сети могут быть выполнены такими способами, как например отсоединение устройства от сети.

Примечание

Интерфейсы веб-администрирования чрезвычайно хороши для принудительного отключения устройств от сети. Часто они плохо защищены, если вообще имеют какие-либо функции безопасности. Хотя они имеют относительно ограниченную функциональность, в большинстве случаев, многие из них обладают возможностью для изменения основных параметров сети. Как правило, такая простая атака, как установка IP-адреса устройства на значение 0.0.0.0 без проблем приведет к отключению его сетевых функций.

В случае если такое устройство будет отключено от сети, для восстановления связи с ним можно будет использовать метод дублирующей связи, либо специалисту придется добираться до устройства и перенастраивать его. Такая атака может быть проста, и, в конечном счете, ее можно будет очень легко исправить. Однако ее использование с целью нарушения работы сетевого оборудования в масштабах предприятия может остановить деятельность целой организации в очень короткие сроки и потребовать очень много времени на исправление ситуации. Более того, резервные системы связи, как правило, не так хорошо защищены, и их использование может привести к появлению возможности шпионажа за компанией.

Также нападения на физические системы могут иметь последствия гораздо более серьезного характера, и выйти далеко за пределы того, чтобы просто доставлять неудобства сетевым и системным администраторам. В 2008 году, группа исследователей безопасности, при содействии Вашингтонского Университета и Университета штата Массачусетс, смогли получить доступ к незашифрованному беспроводному сигналу, который использовался для управления дефибриллятором и кардиостимулятором. Пользуясь полученным доступом, исследователи могли изменять настройки этих приборов, заставлять их давать смертельно опасные разряды или полностью отключать их [3]. Атаки, осуществляемые в процессе этого исследования, были крайне нестандартными, требующими значительного количества исследований и наличия специального оборудования, но была доказана сама возможность осуществления подобных видов атак. Хуже того, несмотря на возможность подобных атак, в 2009 году пациенту был установлен первый беспроводной и подключенный к интернету кардиостимулятор [4]. Возвращаясь к предыдущему примеру, удаленное подключение и отключение подобных устройств под контролем определенного доктора, например, кардиолога Белого Дома, может оказать достаточно сильное влияние на политический мир.

В дополнение к такому беспокойству насчет защищенности обычных вычислительных устройств, эти атаки также могут быть использованы, для воздействия на критически важные системы, которые контролируют составляющие промышленных процессов по всему миру. Такие системы управляют распределением энергии и водных ресурсов, связью, промышленностью и большим количеством других важных процессов.

Проблемы инфраструктуры, требующие решения

Когда мы употребляем слово "инфраструктура" в обществе тех, кто работает в компьютерной и технологической сферах, как правило, мы имеем ввиду именно сетевую инфраструктуру. При том, что такая инфраструктура действительно важна, и без нее многие процессы были бы полностью нефункциональны, это лишь часть инфраструктуры, на которой работает индустриальный мир.

Обсуждая инфраструктуру и связанные с ней системы, наибольшее беспокойство вызывают системы, реально контролирующие эти элементы. Эти системы управления регулируют энергию, воду, связь, производство и множество других процессов. Такие системы называют промышленными системами управления (ICS). Системы ICS состоят из систем диспетчерского управления и сбора данных (SCADA), распределенных систем управления (DCS), интерфейсов "человек-машина" (HMIs), диспетчерских пунктов управления (MTUs), программируемых логических контролеров (PLCs), удаленных терминалов (RTUs), "умных" электронных устройств (IEDs) и других подобных элементов.

Данные категории часто объединяют под эгидой SCADA вместо того чтобы называть их менее привычной аббревиатурой ICS. В сущности, различие между SCADA и ICS заключается в конкретном ответе на вопрос, что и где на самом деле контролируется и координируется. Во многих случаях такие различия не стандартны между отраслями, а аббревиатуру SCADA часто используют, когда ICS может быть более точным термином в техническом смысле.

Что такое SCADA?

Системы диспетчерского управления и сбора данных (SCADA) используются для управления и наблюдения за различными процессами. Такие процессы могут быть промышленными, инфраструктурными или объектовыми [6]. Промышленные процессы могут включать в себя производство, энергообразование, нефтепереработку, добычу полезных ископаемых, или аналогичные мероприятия, происходящие в среде заводского типа. Инфраструктурные процессы основываются на системах водоснабжения и водоотведения, трубопроводах, используемых для распространения нефти и природного газа, передаче электроэнергии, системах связи, таких как стационарные или сотовых системы и других системах, которые обеспечивают пользу и которые мы называем коммунальными услугами. Объектовыми процессами являются те, которые регулируют процессы внутри отдельных объектов, такие как отопление, кондиционирование или использования энергии. Военные начинают разрабатывать планы борьбы с нападениями на системы SCADA, от которых зависят ключевые базы и форты. Одна из программ называется демонстрацией современной энергетической инфраструктуры для энергии, надежности и безопасности (SPIDERS).

Системы SCADA интегрированы почти во все, с чем мы вступаем в контакт. В то время как мы заправляем свои автомобили, пользуемся интернетом, готовим обед, или смываем воду в туалете, мы находимся всего лишь в нескольких шагах от таких систем, если не прямо взаимодействуем с ними. Удаленные датчики становятся все более обычным явлением во многих жилых районах, так как она позволяет коммунальным предприятиям, получить большую точность счетчика, и не нуждаться в сотруднике, который должен посетить каждого абонента для сбора информации. Они также используются в медицинских устройствах, таких как кардиостимуляторы, эндопротезы для тазобедренного сустава, и дозаторы инсулина, которые представляют медицинскому персоналу отчеты о своей работе по беспроводной сети. И, наконец, почти в каждом виде современного оружия, используемого американской армией, имеются процессоры. Все это открывает новые векторы угроз.

Без этих систем поддержки и наблюдения за современным миром, мы бы быстро остались без тепла, пищи, связи и многих других предметов первой необходимости. Нет нужды говорить о том, что хотя такие системы сконструированы для промышленного использования и, в случае критически важных систем, обладают многократным резервированием, они основаны на компьютерных технологиях и, следовательно, уязвимы.

Какие вопросы безопасности присутствуют в SCADA?

Большая часть систем, которые попадают под категорию SCADA, зависят от безопасности через сокрытие [7]. Эти системы используют интерфейсы, программное обеспечение, операционные системы, и протоколы, которые, как правило, не очень хорошо известны за пределами производственной сферы, в которой они применяются. В теории, для того, злоумышленникам проникнуть в систему SCADA, они либо должны иметь глубокое знание конкретной, и, возможно, уникальной конструкции системы, или для проведения атаки они должны потратить время на получение доступа и на понимание принципа работы системы.

К сожалению, мы давно живем в век информации, и ее огромный запас ждет желающих войти на заброшенную территорию, которую мы называем интернетом. Производители необдуманно выкладывают в сеть инструкции для скачивания клиентами, происходит утечка закрытых материалов, а старые промышленные системы можно приобрести за копейки на интернет-аукционах. Хотя такие системы, как правило, значительно более специализированы, чем среднестатистический сервер, мы ни в коем случае не можем зависеть от неясного характера системы, обеспечивающей сколько-нибудь значимую защиту от злоумышленников. Действительно, системы и программное обеспечение, не прошедшие боевое крещение интернетом и внешними атаками, вероятно, могут быть уязвимее из-за того, что производитель выявил недостаточно недостатков в их безопасности.

В качестве примера, в июле 2010 года была обнаружена многомодульная вредоносная программа, названная Stuxnet, основной целью которой были системы SCADA. Stuxnet состояла из червя, который распространялся через USB устройства, используя Windows, и троянца, который был рассчитан на конкретную модель Siemens системы SCADA. Также в состав программы входил руткит для предотвращения ее обнаружения. Если Stuxnet определяла, что она находится на системе Siemens, она использовала встроенный пароль для получения доступа к базе данных, используемой SCADA системой в качестве серверной. Дальше вирус пытался обнаружить файлы макета промышленной автоматизации и файлы управления и выгружал их на удаленную систему, одновременно предпринимая попытки различных диверсий. После этого Stuxnet ждал дополнительных команд от удаленной системы [8].

Stuxnet был найден в системах SCADA нескольких государств, включая Китай, Индию, Иран и Индонезию. Предположительное место возникновения вируса - Израиль. Изначально казалось, что целью вредоносной программы был промышленный шпионаж. В дальнейшем было обнаружено, что Stuxnet пытался активно саботировать такие системы при определенных обстоятельствах, и он мог иметь отношение к утрате индийского спутника связи [9]. В дополнение к этим угрозам, так как системы SCADA все чаще и чаще подключаются к общедоступным и частным сетям, в дальнейшем мы подвергнемся стандартным видам атак, которые затронут множество обычных систем. Распределенные атаки с целью отказа в обслуживании (DDoS), побочные эффекты от вредоносных атак, патчи, создающие новые уязвимости безопасности, и многое другое теперь становится проблемами SCADA систем.

Каковы последствия серьезных сбоев SCADA?

В случае серьезных сбоев систем SCADA, потенциальный эффект может иметь далеко идущие последствия. Учитывая, что мы говорим о системах управления электроэнергией, связью, потоком нефти и другими подобными критическими процессами, глобальная катастрофа в результате сбоя SCADA представляется вполне реальной. Мы видели пример такого сбоя во время крупномасштабного отключения электричества в 2003 году.

В некоторых районах США и Канады, в августе 2003 года, мы увидели результат от сбоя системы SCADA, который, на первый взгляд, казался, относительно незначительным, затронув систему распределения электроэнергии. В конечном счете, отказ в системе мониторинга программного обеспечения коммунальной компании в Огайо привел к отключению местной электростанции. Сбой электростанции привел к перераспределению энергии других электростанций этого района. Перегруженные линии питания, как замечено при таких отключениях электричества, имеют тенденцию физически провисать, что и случилось с несколькими линиями. Ослабленные провода в нескольких местах вступили в контакт с плохо подстриженными деревьями, в результате чего эти линии также отказали. В то время как происходили эти сбои, операторы на коммунальных предприятиях Огайо пренебрегли сообщить о происшествии контроллерам коммунальных систем соседних штатов.

В этот момент коммунальные системы Огайо начали брать энергию из систем штата Мичиган, создав многочисленные проблемы, так как системы пытались сбалансировать свою нагрузку. Отказали дополнительные линии в Огайо и Мичигане, вызвав отказ электростанций в связи с отсутствием на них нагрузки. Дополнительная энергия была направлена со станций на восточном побережье из-за того что система продолжала попытки себя сбалансировать, что привело к перегрузу и отключению электростанций на восточном побережье. В связи с массовыми проблемами энергосистемы, электросети Мичигана и Огайо начали отсоединение друг от друга. Соединение с Канадой также начало давать сбои и неустойчивость электросети привели к тому, что канадские сети были также отключены. В конечном счете, это затронуло сети в Онтарио, Нью-Йорке, Новой Англии, Виндзоре, Нью-Джерси и Филадельфии [10].

В итоге этого "затмения" 256 электростанций были выведены из строя и 55 миллионов абонентов остались без энергии [11]. Если мы посмотрим на исток проблемы, поломка единственной системы управления привела к этим гигантским последствиям. Такие ситуации имеют предпосылки к огромным человеческим потерям и разрушениям, в зависимости от отрасли, в которой происходит сбой. Отключение электричества 2003 года, как оказалось, было результатом ошибки в программном обеспечении, но было абсолютно случайным, и вынесенные уроки имеют множество оцененных военных последствий. Принимая во внимание решительность противника, такие атаки потенциально могут привести к огромным повреждениям и разрушениям.

Проблемы в каналах поставки

В дополнение к оговоренным ранее проблемам инфраструктуры, понимание цепочки поставок также имеет решающее значение. Мы много лет находимся в процессе глобализации, который затрагивает практически любую крупную отрасль промышленности. Многие страны ввозят оборудование и его компоненты для построения инфраструктуры, множество пищевых продуктов, как свежих, так и подверженных обработке, топливо, сырье, одежду и много других вещей, больших или малых, которые не поддаются исчислению.

Хотя это имеет ряд преимуществ, это также создает серьезные проблемы, особенно когда мы рассматриваем возможность ведения боевых действий, как в традиционной, так и в информационной войне. Рассматривая инфраструктуру, которую мы можем использовать при проведении подобных атак, или в обратном случае, инфраструктуру, которая может оказаться под нападением, большинство компонентов, начиная с отдельных единиц оборудования, заканчивая элементами, из которых они составлены; практически все это производится в нескольких крупнейших промышленных районах планеты.

Скомпрометированное оборудование

Серьезную озабоченность вызывает угроза скомпрометированного в стратегических или разведывательных целях оборудования. Такие важнейшие элементы, как маршрутизаторы, коммутаторы, аппаратные межсетевые экраны, промышленные блоки управления и многие другие компоненты могут быть намеренно созданы для скрытой передачи информации, в обязательном порядке учитывая особенности сигнала или ряд условий, включая бэкдоры, и множество других свойств. Это может поставить группы, подвергающиеся таким атакам, в крайне невыгодное положение, или даже полностью расстроить их деятельность.

В конце 1970х и начале 1980х американское Центральное Разведывательное Управление (ЦРУ) узнав о планах советского Комитета Государственной Безопасности (КГБ) по краже схем системы управления SCADA и связанного с ним программного обеспечения из канадской компании. Предположительно ЦРУ удалось ввести вирус в программное обеспечение системы, которая в дальнейшем использовалась в Транссибирском газопроводе. В 1982 было сообщено о мощном взрыве, который был прямым результатом некорректной установки системы управления [12]. Есть определенные сомнения в истинности этого сообщения, но это является крайне подходящим примером.

Чтобы показать простоту введения такого модифицированного оборудования на рынок, мы можем рассмотреть случай с кодовым названием Operation Cisco Raider, двухлетнего расследования, проводимого американским Федеральным Бюро Расследований (ФБР). В процессе этой операции, ФБР ликвидировало преступную организацию, поставляющую поддельное оборудование, в том числе американским военно-морским силам, корпусу морской пехоты, военно-воздушным силам, Федеральному Управлению Гражданской Авиации (ФУГА), а также самому ФБР [13]. Хотя в этом примере не просматриваются военные намерения, это показывает, что можно сделать, и какие экономические последствия это может иметь для американской нации в целом.

В данном конкретном случае, целью преступной группировки была прибыль, а не диверсия или шпионаж, и количество задействованного оборудования было огромным. При более скрытных обстоятельствах, очень маловероятно, что несколько единиц оборудования, содержащих модифицированные микросхемы были бы найдены, даже при организации правительством специальной программы для этого.

Умышленно поврежденные компоненты

В дополнение к конкретно нацеленным и согласованным по времени атакам, рассмотренным ранее, гораздо более обыденной проблемой может быть использование умышленно поврежденных или некачественных компонентов. Рассматривая оборудования с электронными элементами, это обычно очень простой тип атак, который можно использовать. Учитывая разнообразность компонентов, находящихся в типичной электронике, а также большое количество поставщиков подобных компонентов, такие сбои были бы легко провоцируемы и чрезвычайно распространены.

Конкретным случаем из огромного числа проблем, связанных с одиночным бракованным компонентом является "конденсаторная чума" [14], которая началась в конце 1990х. Проблема основывалась на промышленном шпионаже среди производителей конденсаторов. Как сообщалось, формула электролита, используемого при производстве конденсаторов, была украдена из японской компании и перепродана нескольким тайванским производителям конденсаторов. Неизвестная ни одному из воров формула была незакончена, и недосчитывалась нескольких ключевых дополнений, которые должны были оберегать конденсаторы от разрыва. В течение некоторого периода времени это позволяло конденсаторам функционировать, а затем по истечению примерно половины срока годности они отказывали. По некоторым данным, эта проблема на рынке по-прежнему наблюдается у устройств, произведенных спустя почти десятилетие после того случая [15].

В данном конкретном случае, проблема была вызвана усилиями со стороны законного производителя конденсаторов и защитным механизмом против кражи их интеллектуальной собственности, и вышла из-под контроля только потому, что информация была так широко распространена. Если бы это было преднамеренной попыткой нарушения цепочки поставок электронных компонентов, можно было бы производить компоненты, которые были разработаны с задачей вызвать сбой специфичным образом или в определенное время, как мы уже рассмотрели в предыдущем разделе "Скомпрометированное оборудование". В перспективе, такие компоненты могут проникнуть в ракеты, системы слежения, бортовое оборудование самолетов, или во многие другие критически важные системы.

Проблемы, не связанные с техникой

Обсуждая проблемы каналов поставки, существуют меры, которые могут быть использованы в качестве атак, которые прямым образом не затрагивают единицы техники. Многочисленные проблемы, относящиеся к поставкам, необходимыми для проведения информационной войны, при воздействии определенного противника могут оказаться вполне эффективными при предотвращении подобных операций. Кроме того, учитывая потенциал для проведения таких операций из централизованных локализаций, такие сбои могут быть заведомо просты для планирования и реализации.

По словам Наполеона Бонапарта "Армия марширует на своих желудках" [16]. Все расходные материалы, необходимые нашим войскам, будь то зубная паста, лекарство от простуды, питьевая вода, продукты питания или другие подобные вещи, подвержены загрязнению, намеренному или случайному. Мы наблюдали множество примеров таких случаев и их результаты в различных странах мира.

В августе 2006 года шпинат, производимый одной компанией, был заражен кишечной палочкой O157:H7. В течение конца августа, сентября и начала октября 199 человек в 26 штатах отравились, едя зараженный шпинат, а в 51% случаев потребовалась госпитализация. Этот конкретный случай имел случайный характер, но все равно повлек за собой серьезные последствия. Если бы такое заражение было бы преднамеренно осуществлено, в частности в местах большого скопления людей, таких как, например, кафетерии, целая группа людей могла бы, как минимум, быть выведена из строя.

Схожие проблемы могут возникнуть с практически любой вещью, необходимой для поддержки наших военных сил, будь то традиционные или киберсилы, особенно в местах, которые не рассматриваются, как находящиеся на линии фронта конкретного сражения. Безопасность защищенного удаленного местоположения, вероятно, будет намного слабее, чем на поле битвы. Намеренно созданные проблемы поставок имеют больше шансов на успех, при тщательной и тонкой реализации рассчитанной на случайность, а не на прямую атаку.

Средства для физической атаки и обороны

Если мы посмотрим на некоторые из обычных инструментов или систем вооружений, используемых для нападения, мы обратимся к прямым огневым средствам, таким как пулеметы и танки, и непрямому оружию, такому как артиллерия и самолеты. При защите мы используем оборонительные минные поля и бункеры. Если же мы говорим о разведке, мы рассматриваем такие средства, как спутниковые снимки, шпионаж и отправка разведчиков. Те концепции, которые используются в физических аспектах на поле боя, также относятся к кибербоям.

Электромагнитные атаки

Электромагнитные атаки могут быть очень действенны в обстановке где происходит информационный конфликт и являются частью интегрированных действий, которые включают в себя кибероперации. Так как подобные операции часто зависят от относительно тонкой электроники, мы можем использовать это в свою пользу. Такое оборудование может зависеть от оружия, использующего электромагнитный импульс (ЭМИ), его волны могут быть заглушены и излучения такого оборудования могут быть сняты с целью прослушки.

Оружие, использующее электромагнитные импульсы (ЭМИ)

Оружие, использующее ЭМИ, довольно часто встречается в фильмах, таких как "Одиннадцать друзей Оушена" и "Матрица", но не так распространено в реальности. ЭМИ оружие работает, создавая интенсивное энергетическое поле, которое крайне разрушительно воздействует на незащищенную электронику. Такие устройства существуют в армейских арсеналах, как правило, в виде электромагнитного импульса при высотных ядерных взрывах (HEMP) или сверхвысокочастотного оружия (HPM).

Установки HEMP создают ЭМИ на большой площади, обычно вызываемого ядерным взрывом в высоких слоях атмосферы. Очевидно, что если мы находимся на границе государства, способного выпустить ядерные заряды в воздух, все военные действия могут выйти из-под контроля, и мы в ближайшей перспективе можем столкнуться с отличными от кибератак проблемами. Более реалистичным сценарием на сегодняшний момент является использование подобных устройств в целях терроризма. Как показано на рисунке 4.1, установка HEMP примененная, на высоте 300 миль над центральной частью Северной Америки, затронула бы большую часть континента [18].

Рисунок 4.1 - Приблизительная площадь, затронутая высотным ЭМИ

Предупреждение

В гражданском мире, намеренная заглушка и изменение сигнала устройств связи может быть использована в комплексе с другими, более мягкими мерами, в зависимости от ситуации. Мы должны внимательно изучить законодательную сторону этого вопроса, перед тем как выполнять подобные действия.

Сверхвысокочастотные устройства могут производить схожий эффект, хотя в меньшем масштабе и с меньшим количеством оборудования. Вместо необходимости обладать ядерным устройством, HPM для создания мощного импульса может использовать химическую взрывчатку или очень мощные батареи, в сочетании с видом катушки, называемым генератором сжатия потока. Также HPM устройства могут ограничивать эффект от импульса меньшей площадью и меньшим расстоянием. Более того, импульс, созданный сверхвысокими частотами более эффективен при использовании против электронных устройств, которые сложно от него защитить [18]. Это образец физической атаки с целью отказа в обслуживании.

Заглушка

В первую очередь, во многих военных силах, технологии заглушки могут быть достаточно продвинуты. Эту ветвь технологий называют электронной войной (EW). Системы электронной войны могут быть использованы для глушения практически всего, что использует электромагнитный спектр, включая радио, радары, гидролокаторы, инфракрасные устройства, лазеры и множество других технологий. Подобные технологии очень сложны и дороги, но привычны для многих военных.

С другой стороны, заглушка также может быть легко осуществима. Радиооборудование часто может быть многократно использовано, чтобы помешать передаче и получению сигналов на других устройствах, и в интернете можно найти схемы специализированных самодельных устройств для заглушки. Кроме того, приборы, такие как портативные телефоны, микроволновки и другое оборудование, работающее по принципу изменения частоты, могут быть использованы для некоторого эффекта. Наконец, поскольку большинство этих систем зависят от компьютерных систем, сами системы могут быть атакованы. Это является примером того, что мы называем виртуальным отказом в обслуживании.

Защита от обычных атак

Когда мы пытаемся защититься от физических и электромагнитных атак, есть два основных направления, в которых мы можем развернуть нашу оборону; мы может защитить сооружения и оборудование от ожидаемых атак, и мы можем разработать избыточную инфраструктур на месте. Таким образом, мы можем, в первую очередь, попытаться предотвратить атаки, влияющие на нас, и мы можем надеяться смягчить последствия атаки, которая минует нашу оборону.

Вывод

В этой главе мы обсудили обширные категории инструментов, которые мы могли бы использовать при проведении киберопераций и методы, которые мы могли бы использовать, чтобы защититься от противника, использующего эти инструменты. Мы также охватили использование физического оружия в информационных войнах. Мы обсудили пересечение физических и логических сфер, и как внесение изменений в одну область может, иногда в катастрофической степени, повлиять на другую.

2. Тактика и методика обороны

Защита компьютерных сетей (ЗКС) определяется Министерством обороны США как "действия, выполняемые путем использования компьютерных сетей с целью защиты, наблюдения, анализа, обнаружения и реакции на несанкционированные действия, проводимые в пределах Министерства защиты информационных систем и компьютерных сетей [1]. Широкая область применения этих мероприятий по ЗКС вполне может включать в себя компоненты, которые будут рассматриваться как эксплуатация компьютерной сети (ЭКС) и атаки на компьютерную сеть (АКС), как мы уже обсуждали в главе 5. Кроме того, стратегии и тактики, разработанные и использованные в проведении ЭКС и АКС против наших противников, могут быть использованы для укрепления нашей собственной обороны. ЗКС также является одной из немногих областей в сетевых компьютерных операциях (СКО), в которой мы найдем военные и гражданские подходы очень похожими.

В военном направлении, ЗКС может быть очень схожа со стратегиями и тактиками, используемыми при традиционной обороне. Могут быть сформулированы киберэквиваленты оборонительных огневых точек, постов подслушивания, патрулирования и других понятий, а оборонительные стратегии традиционной войны могут быть адаптированы к информационной войне путем сопоставления их принципов. Хотя для нас использование средств кибервойны не всегда может быть самым эффективным способом, это позволяет использовать проверенные временем концепции в новом аспекте войны. Учитывая то, что военное руководство, которое в настоящее время планирует и осуществляет ЭКС и АКС, вероятно, получало военное образование до появления кибервойн, это является подходом, который мы, скорее всего, обнаружим в ЗКС, выполняемой государственной структурой. кКогда мы говорили о АКС, готовность выполнить полный цикл ЗКС, скорее всего, потребует ресурсы, сравнимые с ресурсами государства. Безусловно, при, исключительно, кибератаках, негосударственная структура может быть способна защититься от нападения. В нападениях на китайские активы Google, которые произошли в конце 2009 года и начале 2010 года, мы видим пример, как большая организация защищалась от кибератак. Нападения были направлены как на повреждение инфраструктуры Google в Китае, так и на кражу интеллектуальной собственности с помощью различных способов.

Ответом компании Google на эти нападки было повышение уровня защищенности и избыточности их инфраструктуры и архитектуры, и гарантия того, что исправленные и безопасные приложения были повсеместно внедрены и постоянно обновлялись [2]. В чистом кибер смысле атаки, такие меры вполне приемлемы и, вероятно, будут в большинстве случаев иметь успех. При полном виде АКС, как мы обсуждали в секции "Ведение войны в киберэпоху" главы 5, вероятно всего, мы обнаружим, что государственные структуры внедряют элементы традиционной войны Несмотря на то, что Google является очень крупной организацией, ему далеко до уровня государственной структуры, и он в гораздо меньшей степени готов противостоять нападениям, частью которых являются физические атаки. Поэтому подобные организации вынуждены зависеть от правоохранительных органов и военных сил государства, где было совершено нападение.

Что мы защищаем

Когда мы рассматриваем защиту от кибератак, часто бывает полезно понять, что именно мы защищаем. В самом общем смысле, мы почти всегда, в той или иной форме, имеем дело с защитой информации. В глазах общественности, конфиденциальная информация часто относится к категориям персональных данных (ПД) или информации о здоровье пациентов (ИЗП) и включает в себя имена, адреса, номера социального страхования, медицинские записи, финансовые отчеты и множество схожих данных. Подобная информация, будучи скомпрометированной, может привести к целому ряду мошеннических действий, как правило, относимых к общему понятию кражи личных данных. Такая деятельность может варьироваться от кредитных счетов, открываемых с помощью украденных удостоверений личности для продажи недвижимости без разрешения законного владельца, до простой кражи средств с банковских счетов.

В военной и государственной сферах раскрытая информация конфиденциального характера, может привести к гораздо более серьезным последствиям, чем просто финансовые убытки. Информация, хранимая такими учреждениями, может содержать оперативные распоряжения (ОПЕРАСП), военные планы, передвижения войск, технические спецификации оружия или разведывательных систем сбора информации, персональные данные разведчиков, работающих под прикрытием и множество других данных, жизненно важных для функционирования армии и государства. Когда подобная информация доступна для несанкционированного использования, могут произойти масштабные человеческие потери, а баланс власти может быть смещен.

Существуют законы для защиты таких типов информации, но во многих случаях они находятся на стадии разработки. Хотя в США и существует законодательство, касающееся персональных данных, на федеральном уровне эти законы достаточно слабы. Для компенсации этой слабости отдельные штаты постепенно стали вводить в действие более строгие законы о защите данных и конфиденциальности, такие как SB 1386 в Калифорнии. Что касается данных, хранимых в государственных и военных учреждениях, а также в некоторых отраслях промышленности, обладатели такой информации обычно соблюдают очень строгие правила и законы, касающиеся в частности порядка обработки и контроля над информацией, ставя себя в гораздо лучшее положение для защиты данных, за которые они несут ответственность.

Конфиденциальность, целостность, доступность (ЦРУ)

Меры, которые мы предпринимаем, чтобы защитить наши информационные активы, в целом могут быть описаны в терминах классической триады ЦРУ - конфиденциальности, целостности и доступности, как показано на рисунке 7.1. Конфиденциальность данных относится к поддержанию их вне рук тех, которым не разрешено увидеть их, целостность данных относится к предотвращению несанкционированных изменений данных или системных функций, а доступность данных относится к возможности немедленного доступа к ним при необходимости. Эти основные принципы регулируют наши действия при обеспечении безопасности данных, связанных с нами.

При защите конфиденциальности данных, мы имеем дело с удержанием их вне зоны доступа от неуполномоченных лиц. С точки зрения конкретной реализации безопасности, это обычно означает контроль доступа и шифрование для обеспечения такой защиты. При применении этих мер, мы должны рассматривать данные, как в состоянии покоя, так и в движении. В зависимости от того, где находятся данные в любой конкретный момент времени, мы, возможно, должны будем использовать различные элементы управления безопасностью, или различные методы в пределах данного нам контроля. Мы можем видеть результаты провалов в обеспечении конфиденциальности с большими нарушениями ПД, которые, кажется, происходят с тревожащей частотой в последние годы, таких как потеря ноутбука Министерства США по делам ветеранов (МВ), содержащего ПД американских ветеранов, в мае 2010 года. Для МВ это стало, по крайней мере, вторым нарушением этого типа, и оно стоило им почти 13 миллионов долларов, гораздо больше, чем стоимость реализации программы шифрования [3].



Рисунок 7.1 - Триада ЦРУ

Примечание

Существует также менее известная альтернатива триаде ЦРУ, которая называется гексадой Паркера. Гексада Паркера, разработанная Доном Паркером, разбивает те же общие понятия по категориям конфиденциальности, владения, целостности, достоверности, доступности и полезности, что позволяет, в той или иной ситуации, проводить более детальные обсуждения соответствующих концепций безопасности [4]. Использование гексады Паркера позволяет нам быть более конкретными при обсуждении сценариев безопасности или ситуации, без нарушения правил нашей модели.

...