Hotline


Компьютерная атака и кибертерроризм: уязвимость и политические вопросы для Конгресса

 Версия для печати

 

 

Computer Attack and Cyberterrorism:

Vulnerabilities and Policy Issues for Congress

Clay Wilson

Specialist in Technology and National Security

Foreign Affairs, Defense, and Trade Division

Источник: http://www.fas.org/sgp/crs/terror/index.html

Перевод исследователя ВЦИОП Тропиной Т.Л.

Компьютеры и Интернет в настоящее время активно используются международными террористическими группами в качестве средства связи, и некоторые группы могут развивать или приобретать необходимые технические навыки для проведения скоординированной атаки компьютеров в Соединенных Штатах. Кибератака, направленная на причинение вреда экономике США, вероятнее всего будет направлена на компьютеры, функционирующие в важнейших инфраструктурах жизнеобеспечения и правительственных структурах. Однако среди экспертов существуют разногласия по вопросу о том, причинит ли скоординированное кибернападение на инфраструктуры существенный вред, а также являются ли целью террористов компьютеры этих инфраструктур.

В то время как не обнародованы доказательства того, что террористические организации в настоящее время планируют компьютерные атаки, бреши в компьютерных системах существуют во всем мире, и имена инициаторов беспорядочных нападений, поражающих компьютеры, практически всегда остаются неизвестными. Доклады организаций, занимающихся обеспечением безопасности, показывают, что бессистемные атаки все чаще совершаются посредством автоматических инструментов, называемых “ботами”, которые направляют большое количество зараженных компьютеров для атаки через Интернет. Растущая тенденция использования все более автоматизированных средств для атак сделала бесполезными многие существующие методологии отслеживания кибернападений через Интернет.

Настоящий доклад представляет собой исследование трех типов атак против компьютеров (кибератаки, физические атаки и атаки с применением электромагнитных средств) и обсуждение связанных с этими нападениями уязвимостей. Доклад также описывает возможные эффекты скоординированной кибератаки, или атаки в компьютерной сети, против компьютеров инфраструктуры США, и потенциальную возможность применения технических средств международными террористами.

Проблемы, которые должен рассмотреть Конгресс, могут включать в себя вопросы о том, как эффективнее сдержать развитие существующих тенденций кибератак и как может использовать кибероружие министерство обороны, должна ли кибербезопасность комбинироваться с физической безопасностью организаций, отвечающих за централизованное обеспечение, или должна, как и прежде, рассматриваться отдельно; как побудить коммерческих продавцов программного обеспечения повысить безопасность их продукта, и как инициировать большее внимание граждан США к компьютерной безопасности.

Приложения к настоящему докладу описывают вирусы, “шпионские сети” и сети ботов, а также использование вредоносных программ делает возможным совершение киберпреступлений и кибершпионажа. Также показано сходство между тактикой планирования нападений, используемой хакерами, и тактикой, применяемой террористическими группами при совершении традиционных нападений.

 

 

 

Компьютерные атаки и кибертерроризм: слабые и места и спорные политические вопросы для Конгресса

Предисловие

Многие чиновники Пентагона, по сообщениям прессы, верят в то, что будущий противник может прибегнуть к действиям, способным парализовать технологическую мощь военных сил США. По причине того, что военные силы США в значительной степени поддерживаются “гражданскими” технологичными средствами (включая коммуникационные системы, электронику, программное обеспечение), будущие конфликты могут характеризоваться размыванием границ между гражданскими и военными “целями”. Таким образом, гражданские системы, включая компьютеры, обеспечивающие функционирование важнейших инфраструктур США, могут с наибольшей вероятностью рассматриваться противником, в том числе и террористическими группами, в качестве уязвимых мишеней.

Некоторые считают, что имевшие место дискуссии о возможности кибератак слишком переоценивают угрозу риска для инфраструктур, при этом несколько экспертов заявляют, что кибертерроризм не представляет собой настолько значительной угрозы, как ядерный, биологический и химический терроризм. Многие специалисты также верят в то, что невозможно причинить ущерб жизни многих людей, используя компьютерные атаки, и что обычная физическая угроза должна рассматриваться как более реальная для национальной безопасности США. Однако другие исследователи обращают внимание на то, что террористические группы в настоящее время используют Интернет для связи посредством веб-сайтов, чатов и электронной почты, для сбора средств и тайного поиска информации о будущих целях. Эта деятельность является доказательством того, что использование информационных технологий террористическими группами растет, как и, наряду с этим, накапливается знание о возможных уязвимостях этих технологий. Большинство экспертов согласны во мнении, что если террористы применят атаки против компьютерных систем США, этот сценарий будет применен для выведения из строя компьютеров с целью усиления эффекта от нападений с применением бомбардировки или ядерных, химических, биологических веществ, или для поддержания таких нападений.

Конгресс может заинтересоваться исследованием возможных последствий скоординированных нападений на гражданские компьютеры и коммуникационные системы для экономики и вооруженных вил США. Конгресс также, возможно, будет заинтересован в изучении вопроса о защите гражданских компьютерных систем от скоординированных атак и возможных международных последствий, которые могут наступить в результате какого-либо вооруженного ответа США на подобные действия.

Обзорная секция настоящего доклада описывает три метода компьютерных атак, однако, непосредственно настоящая работа фокусируется на методе, который обычно называется кибератака или компьютерная сетевая атака и включает в себя нарушение работы компьютерных сетей, вызванные вредоносными компьютерными программами. Данная секция также описывает текущие разногласия, возникающие у специалистов при анализе возможных эффектов скоординированных кибератак на критические инфраструктуры США, и анализирует вопрос о том, почему бессистемные кибернападения, наводнившие Интернет, продолжают быть успешными. Также кратко проанализирован вопрос о возможностях террористических групп и государств, финансирующих терроризм, инициировать скоординированную кибератаку.

 

 

 

 

ВВЕДЕНИЕ

Настоящий доклад фокусируется на возможном применении атак компьютерных систем, или кибератак, террористами. Однако когда ИТ-средства или компьютерное оборудование умышленно атакуются террористическими группами, физическая атака или электронное нападение могут подходить, как это будет продемонстрировано ниже, под одно или другое данное экспертами определение кибертерроризма.

ТРИ МЕТОДА КОМПЬЮТЕРНЫХ АТАК.

Компьютерная атака может быть определена как действия, направленные против компьютерных систем и имеющие целью нарушение работы оборудования, изменение контроля над операциями, или повреждение хранящихся данных. Различные методы атак направлены на разные уязвимости в компьютерных системах и включают в себя различные виды применяемого оружия, некоторые из них могут быть в настоящее время в распоряжении террористических групп. В настоящем докладе типы атак дифференцируются в зависимости от того, какие эффекты производит применения средств для нападения. Однако с развитием высоких технологий различия между этими типами могут стираться.

    • Физическая атака представляет собой применение традиционного оружия против компьютеров и трансмиссионных линий;
    • Электронная атака включает в себя применение силы электромагнитной энергии в качестве оружия, в основном электромагнитных импульсов, для перенапряжения компьютерных систем. В менее интенсивной форме эта атака проводится путем прямого помещения в радиопередатчики врага вредоносного цифрового кода.
    • Атака на компьютерные системы обычно включает в себя применение вредоносных программ, использующихся как оружие для заражения компьютеров врага путем эксплуатации брешей в программном обеспечении, конфигурации системы или слабостей в обеспечении компьютерной безопасности организации ли пользователя. Другие формы атаки на компьютерные системы возможны, когда нападающий использует украденную информацию для входа в систему с ограниченным доступом.

Должностные лица Министерства обороны заявляют, что хотя угроза электронной атаки или компьютерной атаки менее вероятны, чем угроза физического нападения, они в действительности более опасны, поскольку проводятся с использованием разрушительных технологий и могут повлечь непредсказуемые последствия или дать врагу непредвиденные преимущества.

Характеристики физической атаки.

Физическая атака нарушает надежность компьютерной системы и доступность данных. Она может осуществляться с применением традиционного оружия, путем нагревания, взрыва, физического уничтожения, или путем прямых манипуляций с электрическими проводами или оборудованием после получения незаконного физического доступа к ним.

В 1991 году во время операции “Буря в пустыне” военные силы США, как сообщалось, разрушили компьютерные центры и коммуникации Ирака путем применения крылатых ракет для уничтожения угольных нитей накала в системе линий энергетического обеспечения. Аль-Каида при осуществлении атак на ВТЦ и Пентагон в сентябре 2001 года разрушила множество важных компьютерных баз данных и нарушила работу глобальных финансовых и коммуникационных систем. Временная потеря связи и данных добавилась к эффекту физических атак, закрыв финансовые рынки почти на неделю.

Характеристики электромагнитной атаки.

Этот вид атаки, наиболее часто рассматриваемый как атака с применением электромагнитного импульса, нарушает надежность электронного оборудования посредством генерирования мгновенного повышения энергии, которая перегружает системы, транзисторы и иное оборудование. Эффектом этого нападения является разрушение электронной памяти, нарушение программного обеспечения или приведение в полную негодность всех электронных компонентов. Частным сектором не предпринимается практически никаких усилий для защиты от угрозы электромагнитного импульса, и коммерческой электронной системе США может быть причинен серьезный ущерб с помощью устройств электромагнитного импульса, даже портативных. Некоторые военные эксперты заявляют, что США является нацией, наиболее уязвимой к атакам с применением электромагнитного импульса.

Комиссия по оценке угрозы высокого электромагнитного импульса была создана в 2001 г., после того как некоторые эксперты выразили убеждение, что важнейшие инфраструктуры и вооруженные силы США уязвимы к нападениям с применением этого вида оружия. На слушаниях в июле 2004 года специалисты Комиссии заявили, что чем более сложным становятся системы обеспечения безопасности США, тем более они уязвимы к эффектам от применения электромагнитного импульса. Комиссия была единогласна в том, что широкомасштабная электромагнитная атака высокой мощности повергнет американское общество риску, результатом которого может быть поражение военных сил.

Однако Департамент национальной безопасности заявил, что тестирование использующегося в настоящее время основного гражданского телекоммуникационного оборудования современного поколения показало, что оно минимально подвержено действию электромагнитного импульса. Департамент также утверждает, что оборудование, являющееся ядром телекоммуникационных систем расположено в больших, очень хорошо сконструированных местах, обеспечивающих меры защиты (экранирования) от эффектов электромагнитного импульса.

Специалисты верят в то, что разработка скоординированной атаки против компьютерной системы США с использованием широкомасштабных, среднемасштабных и портативных генераторов электромагнитного импульса требует технических навыков, которые недоступны по возможностям террористическим группам. Однако, такие государства как Россия, или государства, финансирующие терроризм – например, Южная Корея, имеют техническую возможность конструирования и развертывания устройств генерации электромагнитного импульса с приводом химическим или батарейным приводом для разрушения компьютерных систем США.

Характеристики кибератаки (компьютерной сетевой атаки).

Компьютерная сетевая атака, или кибератака, нарушает целостность или аутентичность данных. Обычно это происходит посредством использования вредоносных программ, изменяющих логику программного обеспечения, контролирующего данные, что приводит к ошибкам. Компьютерные хакеры сканируют Интернет в поисках компьютерных систем, имеющих ошибки в конфигурации или недостаток необходимого программного обеспечения для защиты. Единожды зараженный вредоносной программой компьютер может попасть под удаленный контроль хакера, который через Интернет имеет возможность наблюдать за содержимым компьютера или использовать его для атаки на другие компьютеры.

Обычно кибератаки требуют, чтобы компьютеры, являющиеся мишенью, имели уже существующие недостатки системы, такие, как ошибки в программном обеспечении или в конфигурации системы, недостаток антивирусной защиты, которые можно использовать для внедрения вредоносной программы. Однако с развитием технологий отличительные особенности кибератаки начинают быть не столь явными. Например, некоторые формы электромагнитной атаки в настоящее время могут вызывать эффекты, практически идентичные с последствиями от некоторых видов кибератаки.

Определение кибертерроризма.

У термина “кибертерроризм” нет универсального определения, так же, как и нет его у понятия “терроризм”. Приклеивание ярлыка “кибертерроризм” на компьютерную атаку проблематично, поскольку очень трудно достоверно определить личность, намерения и политическую мотивацию нападающего.

Мнения экспертов различаются. Некоторые определения понятия “кибертерроризм” основаны на намерении атакующего. Так, Федеральное агентство по чрезвычайным ситуациям определяет кибертерроризм: “Противоправная атака или угроза атаки против компьютеров, сетей и информации, хранящейся внутри них, осуществленная с целью запугивания или принуждения правительства или населения для продвижения политических или социальных стремлений”. Эксперт в области безопасности Д. Деннинг говорит, что кибертерроризм представляет собой “политически мотивированную хакерскую операцию, направленную на причинение серьезного ущерба, такого, как причинение вреда жизни или значительный экономический ущерб. Другие специалисты утверждают, что любое спланированное использование информационных технологий террористическими группами и их агентами может вызвать вред, достаточный для квалификации этого использования как кибертерроризма.

Некоторые эксперты определяют кибертерроризм, основываясь на последствиях атак, называя кибертерроризмом те нападения на компьютеры, в результате которых причинен вред, достаточный для того, чтобы его можно было сопоставить с традиционным актом терроризма, даже если кибератака была инициирована без политических мотивов. Согласно этой точке зрения, даже если компьютерная атака ограничена в масштабе, но привела к смерти, ранениям, авариям на системах жизнеобеспечения, авиакатастрофам, загрязнению воды, большой утрате секретной информации субъектов экономических отношений, это нападение может рассматриваться как террористическое.

Несколько специалистов утверждают, что кибертерроризм может принимать форму физической атаки, которая разрушает узловые компьютерные пункты критических инфраструктур, таких как Интернет, телекоммуникации, электросети, без нажатия на клавиши. Департамент национальной безопасности также утверждает, что кибербезопасность должна охватывать все аспекты функционирования критических инфраструктур, и операции в киберпространстве неотделимы от физических аспектов бизнеса, поскольку виртуальный мир неразрывно связан с физическим.

Таким образом, когда компьютеры и технологическое оборудование умышленно атакуются террористическими группами с применением методов, включающих физические или электромагнитные атаки, совершаемые действия могут также попасть под определение кибертерроризма.

Определение кибертерроризма.

Путем объединения указанных выше концепций намерения и последствий, кибертерроризм может быть определен как использование компьютеров в качестве оружия или целей политически мотивированными международными или национальными группами или тайными агентами, причиняющими или угрожающими причинить ущерб и посеять панику, с целью воздействия на население или правительство для изменения политики. Это определение, скомбинированное с учетом мнений разных экспертов, применимо ко всем трем три методам атак: физическому, электромагнитному и кибератаке.

Трудности в идентификации инициатора кибератаки

Инструкции по выявлению уязвимостей в компьютерах легко доступны каждому пользователю сети Интернет. Однако в настоящее время не существует доказательств продолжительного или широко распространенного использования кибератак международными террористическими группами. Все еще очень трудно определить инициаторов большинства компьютерных атак, хотя в то же время организации, занимающиеся безопасностью, продолжают докладывать о том, что атаки становятся все более частыми, причиняют все больший экономический ущерб и затрагивают все большее количество стран. Например, согласно данным Центра CERT/CC, в 2003 году произошло 137529 инцидентов, связанных с компьютерной безопасностью, по сравнению с 82094 в 2002 году. Трудность в определении инициатора атаки усложняется нежеланием коммерческих организаций сообщать об атаках в отношении себя. По оценкам CERT/CC, 80% компьютерных атак остаются без обращения в правоохранительные органы.

Возможные эффекты кибертерроризма.

До настоящего времени ни одна скоординированная кибератака не оказала разрушительного влияния на инфраструктуру США. Однако, в то время как растет число бессистемных кибератак, данные, сбор которых ведется для определения тенденций этого вида атак, не достоверно позволяют определить, были ли какие-либо из атак инициированы террористической группой или государством, финансирующим терроризм.

Недавние частные исследования показали, что во второй половине 2002 года наибольшее количество кибератак было направлено на компании, функционирующие в сфере критических инфраструктур. Новый доклад о проблемах кибербезопасности, подготовленный British Columbia Institute of Technology и PA Consulting Group и оперирующий данными, начиная с 1981 года, как сообщается, отмечает 10-кратное увеличение количества успешных кибератак на системы диспетчерского контроля и сбора данных с 2000 года. По наблюдениям должностных лиц Министерства обороны США, количество попыток вторжения в военные компьютерные сети пусть и небольшими темпами, но растет: от 40076 инцидентов в 2001 году до 43086 в 2002, 54488 в 2003 и 24745 к июню 2004 года. Последствия этих атак для компьютерных сетей Министерства обороны, однако, не оглашаются.

Разногласия по поводу возможных эффектов от кибератак на критические инфраструктуры.

Хотя эксперты сходятся во мнении, что кибератака может быть использована для увеличения эффекта от обычной террористической атаки, многие из тех же экспертов имеют разные мнения о возможности причинения ущерба в результате компьютерной атаки против компьютерных сетей критических инфраструктур США. Некоторые специалисты считают, что поскольку США очень сильно зависят от компьютерных технологий, такие атаки имеют потенциал для причинения экономического ущерба большого масштаба, в то время как другие утверждают, что компьютерные системы критических инфраструктур США очень гибки и их можно будет легко восстановить, поэтому сильный или катастрофический эффект невозможен.

Некоторые военные журналы Китая говорят о возможности подрыва американских финансовых рынков с помощью кибератак. Однако Китай настолько же зависим от этих рынков, насколько и США, и от подобного эффекта пострадает даже больше. Что же касается других критических инфраструктур, сумма потенциального ущерба, который может быть нанесен, может быть незначительной по сравнению со стоимостью обнаружения, если речь идет о вовлечении в атаку государства. Эти ограничения, однако неприменимы к таким не-государственным действующим лицам, как Аль-Каида, сделавшим кибератаки потенциально полезным инструментом, и тем, кто не участвует в глобальном экономическом обмене.

В июле 2002 года Военный Морской Колледж США в компьютерной игре под названием “Электронный Перл – Харбор” развил сценарий скоординированной кибератаки. В этом сценарии большинство атак на компьютерные системы критической инфраструктуры были предположительно сделаны государствами. Эта симуляция реальной ситуации определила, что наиболее уязвимой компьютерной инфраструктурой был Интернет как таковой, а также компьютерные системы финансовой инфраструктуры. Было также определено, что попытки нанести ущерб телекоммуникационной инфраструктуре США были безуспешными, потому что избыточность этой системы способна предотвратить ущерб, ибо система имеет очень широкую распространенность. Вывод этих упражнений заключался в том, что США имеют очень маленькую вероятность настоящего “Электронного Перл Харбора”.

Однако в 2002 году в коммутационном программном обеспечении была обнаружена основанная уязвимость, которая угрожает большой части сети Интернет. Недостатки протокола SNMP могут позволить атакующим захватить управление маршрутизаторами и причинить ущерб телекоммуникационным системам на глобальном уровне. Продавцы сетевого оборудования во всем мире постарались как можно быстрее устранить эти недостатки, пока проблема не начала эксплуатироваться хакерами и не привела к общемировым последствиям. Как сообщается, должностные лица США также предприняли усилия, чтобы информация об уязвимости в программном обеспечении не стала достоянием общественности, пока в уязвимые системы не были внесены необходимые изменения. По оценкам ФБР, бреши в безопасности могли быть использованы для создания многих серьезных проблем, таких как приведение в негодность телефонных сетей и нарушение передачи информации в системе диспетчерского контроля авиаперелетов.

Непредсказуемое взаимодействие между инфраструктурами.

Важная область, которая до сих пор не полностью изучена, касается непредсказуемости во взаимодействии компьютерных систем, задействованных в разных критических инфраструктурах США. Дело в том, что некоторая взаимозависимость (когда поток данных одной инфраструктуры может зависеть от качества данных, проходящих через компьютеры другой) может создать ситуацию, при которой ущерб будет причинен каскадом и невозможно будет предсказать его эффект для национальной безопасности. К примеру, в ситуации, когда в августе 2003 года червь “Blaster” на несколько дней нарушил работу компьютеров в сети Интернет, 14 августа полностью прекратилась работа отвечающих за энергетику компьютерных систем восточных штатов США. Это произошло из-за того, что были повреждены несколько коммуникационных линий, соединяющих центры передачи данных, используемые коммунальными компаниями для рассылки сигналов в единой энергосистеме.

Система SCADA может быть уязвимой.

Диспетчерское управление и сбор данных, система SCADA (название класса систем для автоматизации промышленного производства) – система, которая лежит в основе управления большинства критических инфраструктур (таких, как электроэнергетика) и отвечает за автоматический мониторинг, упорядочение коммутации, производства и других действий, контролирующих процесс. Система базируется на оцифрованных данных обратной связи, собираемых датчиками. Эти системы контроля зачастую управляются автоматически, действуют в отдаленных районах, и их деятельность обеспечивается инженерами и техническим персоналом путем удаленного доступа через телекоммуникационные сети.

Некоторые эксперты считают, что эти системы наиболее уязвимы, и их важность в обеспечении контроля над критическими инфраструктурами может сделать их привлекательной целью для кибертеррористов. Система SCADA, единожды соединенная в изолированную систему с использованием запатентованного программного обеспечения, в настоящее время действует с использованием уязвимого ПО COTS, и все большая ее часть присоединяется к корпоративным сетям посредством Интернет. Некоторые специалисты считают, что в многие, если не большинство, частей системы SCADA имеют недостаточную защиту от кибератак, и остаются постоянно уязвимыми из-за того, что многие организации, использующие эти системы, не уделяют должного внимания нуждам своей компьютерной безопасности.

Следующий пример может служить иллюстрацией уязвимости компьютерной системы и осветить возможные вопросы кибербезопасности, возникающие, когда система SCADA соединена с офисными сетями. В августе 2003 года Интернет – червь “Slammer” на пять часов нарушил компьютерную систему контроля на заводе по производству атомной энергии в Огайо (к счастью, когда случилась атака, завод был в офф-лайне). Червь успешно прошел в систему контроля завода, поскольку корпоративная сеть была присоединена к сети Интернет и не контролировалась системами защиты, стоящими в системах контроля производства.

Однако, другие эксперты предполагают, что система SCADA и критические инфраструктуры гораздо более устойчивые и гибкие, чем предполагали ранние теоретики кибертеррора, и что инфраструктуры способны быстро восстановиться после кибертеррористической атаки. Они ссылаются на то, что перерывы в водоснабжении, аварийные отключения электроэнергии, нарушения в системе контроля полетов являются часто случающимися рутинными событиями и редко оказывают влияние на национальную безопасность, даже косвенно. На региональном уровне сбои в работе системы, например, вследствие штормов, случаются нередко, и многие услуги бывают недоступными для пользователей в течение нескольких часов или дней. Технические эксперты, обслуживающие системы, будут работать для скорейшего их восстановления. Кибертеррористам необходимо атаковать множество целей на протяжении длительного периода, чтобы постепенно создать ужас и добиться стратегических целей или для достижения хоть сколько-нибудь значимого эффекта для национальной безопасности.

Министерство обороны США зависимо от гражданских технологий.

Во время операции в Ираке, коммерческие спутники были использованы в дополнение к военным каналам коммуникации, которые в то время не имели достаточной емкости. Кибератака, направленная на гражданские системы коммуникации, могла потенциально нарушить связь между военными подразделениями, и возможно привести к задержкам в военных поставках или к замедлению развертывания войск.

Для определения возможных эффектов попыток атак критических инфраструктур на систему обороны США, предпринималось несколько попыток моделирования ситуаций. В 1997 году Министерство обороны симулировало кибератаку для проверки способности оборонных систем. Эта операция выявила опасные бреши в информационной системе обороны США. В октябре 2002 года следующая учебная кибератака против систем Минобороны, обозначила потребность в большей координации между военными и невоенными организациями для развертывания быстрой венной контратаки.

Министерство обороны также использует готовое коммерческое программное обеспечение и компьютерные детали как в основе технологий, отвечающих за административные функции, так и в непосредственно военной системе, например, в интегрированной системе ядерных носителей. Минобороны использует коммерческое программное обеспечение для того, чтобы идти в ногу с технологическими инновациями, а также из-за гибкости этих продуктов, их стандартов и оправданной стоимости. Тем не менее, должностные лица министерства и другие специалисты утверждают, что готовое программное обеспечение имеет недостатки в системе безопасности, и интенсификация защиты этих продуктов для удовлетворения потребностей военных может быть слишком трудной и дорогостоящей для большинства производителей программного обеспечения. Для улучшения безопасности, Министерство развертывает дополнительные меры защиты программного обеспечения “вокруг” военного ПО для затруднения доступа к нему предполагаемого врага.

Однако в 2004 году сообщалось о двух случаях проникновения вирусов в сверхсекретные компьютерные системы командования ВВС. Не ясно, каким образом вирусы прошли в компьютерную систему, и ничего не сообщается о последствиях. Также, вопреки требованиям безопасности, компьютеры, по сообщениям, имели недостатки в антивирусной защите. Эксперты в области безопасности отмечают, что и в военных, и в гражданских компьютерных системах, независимо от того, какой уровень защиты установлен на компьютерах, хакеры пытаются найти новые уязвимости и новые пути преодоления этих мер защиты. В любом случае присоединения компьютера к сети существует возможность попасть в относительно хорошо защищенную систему путем эксплуатации плохо защищенного компьютера.

ПОЧЕМУ КИБЕРАТАКИ УСПЕШНЫ

Компьютеры, соединенные в сеть и имеющие бреши в защите, могут подвергнуться риску нарушения их работы или взятия их под контроль со стороны хакеров или работающей автоматически вредоносной программы. В случае, если террористы предпримут попытку скоординированной кибератаки на компьютеры, обеспечивающие деятельность критических инфраструктур США, они могут с пользой для себя взять на вооружение некоторые тактики, распространенные в настоящее время группами хакеров в Интернет для определения местонахождения уязвимых компьютеров и последующей систематической эксплуатации этих брешей в защите.

Хакеры ищут уязвимости компьютерной системы.

Компьютерные хакеры успешно сканируют Интернет в поисках зараженных компьютеров, а также компьютеров с ошибками в конфигурации или недостаточно защищенных. Эти компьютеры могут стать частью “сети ботов” или “стада ботов” (бот – удаленно контролируемая или частично автономная компьютерная программа, способная заражать компьютеры), иногда сотни или тысячи зараженных компьютеров могут быть под контролем хакера-одиночки. Этот хакер “стада ботов” может дать команды компьютерам через зашифрованный коммуникационный канал шпионить за владельцами зараженных компьютеров, или тайно передавать копии любых секретных данных, которые найдены, или дать “стаду” команду коллективно атаковать любой компьютер-мишень.

Даже компьютеры со специальным программным обеспечением, устраняющим бреши в их защите, могут быть уязвимыми к компьютерной сетевой атаке, известной как “Использование дня Зеро”. Это может случиться, когда хакер открывает уязвимости в новом программном обеспечении и запускает вирусную программу, заражающую компьютер до того, как специальное программное обеспечение, устраняющее брешь, будет разработано производителем и распространено для защиты пользователей.

Результаты совместного обзора CERT/CC и журнала CSO говорят о хакерах как о наиболее большой Интернет – угрозе. Обзор также показал, что в то время как 43% респондентов сообщают об увеличении количества киберпреступлений по сравнению с предыдущим годом, 30% из них не знают, была ли причиной инцидента атака со стороны или снаружи. Из тех респондентов, кому известен источник атаки, 71% процент сообщает о нападениях снаружи, и только 29% - изнутри.

Быстрое распространение автоматических кибератак.

Компьютерный червь “Slammer” атаковал программное обеспечение Microsoft и распространился по всему миру через сеть Интернет в течение одного уик-энда в январе 2003 года. По предварительным данным исследования, инициированного Совместной Ассоциацией Анализа Данных Интернет (СAIDA), в 25 января 2003 года червь Slammer автоматически распространился, заразив более 90% уязвимых компьютеров по всему миру в течение 10 минут после того, как его выпустили в сеть Интернет, став самым быстрым компьютерным червем в истории. Как сообщается далее в исследовании, эксплуатируя давно известную брешь программного обеспечения, “заплатка” для которой была доступна еще с июля 2002 года, Slammer удваивался в размерах каждые 8,5 секунд и достиг своей максимальной сканирующей способности (55 миллионов сканов в секунду) через 3 минуты. Этот червь причинил немалый ущерб, вызвав остановки в работе компьютеров и такие неожиданные последствия, как отмена авиарейсов и перебои в работе банкоматов.

Всякий раз, когда сообщение об атаке против компьютеров или компьютерных сетей передается в CERT/CC, инцидент включается в статистику правонарушений против безопасности. Однако в 2004 году CERT/CC оставило практику фиксирования количества кибератак. Это вызвано тем, что широко распространенное использование автоматических средств кибератаки увеличило количество нападений до такого уровня, что организация посчитала бессмысленным дальнейший сбор данных как средство измерения размаха и распространенности и эффектов атак против систем, соединенных посредством Интернет.

Постоянность уязвимостей в компьютерных системах.

Бреши в программном обеспечении и конфигурации компьютерных систем обеспечивают “входные двери” для кибератак. В основном такие уязвимости существуют как результат недостаточного обеспечения безопасности или низкого качества программного обеспечения. Недостаточные ресурсы на кадровое обеспечение компьютерной безопасности могут также способствовать низкому уровню защиты. Пользователи домашних компьютеров зачастую имеют мало, а то и не имеют вообще никакой подготовки для эффективного обеспечения безопасности домашних сетей и оборудования.

Ошибки в новом программном обеспечении.

Производители готового программного обеспечения часто подвергаются критике за выпуск новых продуктов, содержащих ошибки и создающих бреши в компьютерной системе. В среднем 80% успешных компьютерных вторжений в федеральные компьютерные системы, по сообщениям, происходит из-за ошибок в программном обеспечении или его низкого качества. Ричард Кларк, бывший до 2003 года советником Белого Дома по киберпространству, заявляет, что многие коммерческие продукты в области программного обеспечения имеют плохо разработанные или плохо сконфигурированные возможности защиты. Ричард Петиа, директор CERT/CC, утверждает, что “Практически нет доказательств улучшения возможностей защиты большинства продуктов; разработчики не предпринимают достаточного количества усилий для усвоения уроков об источниках уязвимостей… мы продолжаем видеть те же бреши в новых продуктах, которые существовали в более ранних версиях. Технологии развиваются так быстро, что производители концентрируются на времени выхода на рынок, зачастую сокращая до минимума время разработки за счет низкого приоритета разработки возможностей защиты. Пока потребители не станут требовать более защищенных продуктов, ситуация вряд ли изменится”.

В ответ на жалобы, индустрия производства программного обеспечения предприняла несколько попыток разработки более защищенных продуктов, с более безопасными кодами и структурой. Например, компания Microsoft создала специальный Центр Безопасности и теперь работает совместно с Министерством обороны США и высшими должностными лицами правительства и компаний в индустрии для улучшения возможностей защиты нового программного обеспечения. Однако многие представители индустрии говорят о том, что не важно, какие инвестиции делаются в улучшение безопасности программного обеспечения, оно все равно будет оставаться уязвимым, поскольку становится все более сложным.

Недостаточные ресурсы.

Хотя производители программного обеспечения периодически обновления или налаживающие программы для устранения проблем, связанных с недавно обнаруженными уязвимостями, важнейшая для безопасности “заплатка” может в течение дней, а то и месяцев с момента выпуска ждать установки на компьютеры организации. Эта работа может быть слишком трудоемкой, слишком сложной или иметь незначительный приоритет для системного администратора. С ростом сложности программного обеспечения уязвимостей становится все больше, и работа по поддержанию системы становится бесконечной. Иногда “заплатка”, обеспечивающая безопасность, может нарушить работу компьютеров, требуя от администратора дополнительного время по налаживанию работы компьютеров в связи с установкой новой “заплатки”. Для того, чтобы избежать подобных случаев, нововведение может потребовать первичного тестирования на отдельной изолированной сети перед тем, как быть установленным на все остальные компьютеры сети.

Из-за этих проволочек установленные на настоящий момент “заплатки” для компьютерной безопасности во многих организациях могут значительно отставать от реальной киберугрозы. Пока такие отставания существуют в коммерческих организациях, в правительственных агентствах, среди пользователей домашних компьютеров, компьютерные уязвимости остаются незащищенными, оставляя сети открытыми для атаки на долгий период времени.

Один из путей улучшения ситуации – побуждение индустрии программного обеспечения создавать программные продукты, не требующие от системных администраторов таких больших временных затрат на установку обновлений. Многие эксперты в области безопасности также подчеркивают, что если системные администраторы получат необходимую подготовку по поддержанию конфигураций систем безопасности компьютеров, кибербезопасность критических инфраструктур СШа значительно улучшится.

Оффшорные аутсорсинговые договоры на разработку ПО.

Многие из основных производителей программного обеспечения в настоящее время передают функции по разработке новых продуктов по субконтрактам и производят большую часть программ за пределами США. Оффшорное производство программного обеспечения может предоставить иностранному программисту возможность тайного внедрения вредоносной программы в новый коммерческий продукт. Уже ведутся исследования о доверии Минобороны к разработке программного обеспечения вне страны для определения адекватности мер, направленных на уменьшение рисков для безопасности, связанных с покупкой произведенного за границей продукта для военных компьютерных систем.

Представители индустрии программного обеспечения отвечают, что оффшорная разработка продуктов не может рассматриваться в качестве единственного источника внедрения вредоносных программ. Большинство компонентов программного обеспечения разрабатывается и развивается в США, и несмотря на возникающие дискуссии о безопасности в условиях оффшорного производства, многие разработчики программного обеспечения в США также имеют иностранное происхождение. Таким образом, чтобы улучшить национальную безопасность более эффективным будет не фокусироваться на месте производства программного обеспечения, а уделить внимание созданию уверенности в том, что производители этого продукта всегда имеют высокую степень технической защиты от подобных инцидентов, в каком бы месте ни находилось производство. Однако, высочайшие стандарты безопасности программного обеспечения также влекут за собой дополнительные расходы и требуют времени.

Возможности террористов организовать кибератаки.

Экстенсивное планирование и подготовительное отслеживание, производимые хакерами, являются важными характеристиками, предваряющими кибератаку, направленную на организацию. По оценкам некоторых экспертов, современные или структурированные атаки на сложные системы и сети, включающие отслеживание цели и тестирование сложных хакерских инструментов, могут требовать от двух до четырех лет подготовки, тогда как комплексная скоординированная кибератака, способная вызвать массовые повреждения интегрированных разнородным систем нуждается в подготовке длительностью от 6 до 10 лет. Эти оценки сравнимы с пробами террористической организаций по подготовке террористической атаки в реальном мире.

Привлекательность кибертерроризма.

Очень трудно определить степень заинтересованности, а также возможности террористических групп предпринять эффективную кибератаку. В 1999 году в докладе Центра по изучению терроризма Военной школы последипломного образования сделан вывод о том, что наиболее предпочтительным путем для террористов будет сопровождение террористических действий против индустриального государства в физическом мире масштабной кибератакой.

Некоторые специалисты утверждают, что Аль-Каида не рассматривает кибертерроризм в качестве важного средства для достижения своих целей, предпочитая атаки, способные причинить физический вред человеку. Другие заявляют, что террористические группы, оперирующие в постиндустриальных обществах (таких, как Европа и США), с большой долей вероятности рассматривают и используют кибератаки и кибертерроризм, чем группы, ведущие деятельность в развивающихся регионах с ограниченным доступом к высоким технологиям.

Однако, многие источники сообщают, что Аль Каида предпринимает шаги по улучшению секретности организации путем использования высоких технологий, и доказательства позволяют предположить, что террористы этой организации широко использовали сеть Интернет для планирования операции 11 сентября 2001 г. ячейки Аль Каиды, как сообщается, используют новые телефонные сервисы на базе сети Интернет для связи с другими террористическими группами за границей. Хаид Шейх Мухаммед, один из вдохновителей плана атаки на ВТЦ, использовал специальное программное обеспечение для выходы в чат в сети Интернет для связи как минимум с двумя угонщиками самолетов. Рамзи Юсеф, приговоренный к пожизненному заключению за предыдущие террористические акты в ВТЦ, прошел инженерную подготовку и планировал использовать сложные электронные устройства для взрыва бомб в 12 самолетах США, отправляющихся из Азии в Соединенные Штаты. Он так же использовал сложный способ шифрования для защиты своих данных и предотвращения раскрытия его планов в случае его захвата правоохранительными органами.

Снижение риска.

Предпринятые США меры физической безопасности, широко использующиеся по всей стране, могут побудить террористов в будущем использовать кибератаки как путь уменьшения риска обнаружения их операций. Кроме того, взаимосвязь компьютеров, соединенных в сеть, может увеличить эффекты кибератаки. Таким образом, атака, направленная на несколько уязвимых компьютеров, может увеличить свой эффект путем разрушения важной информации идущей от этих компьютеров к другим.

Меньший эффект.

Однако некоторые эксперты верят в то, что террористические организации не испытывают большого желания использовать кибератаки, потому что результат их будет гораздо менее драматичен и иметь меньшее психологическое воздействие, чем обычный акт разрушения, такой как взрывы бомб. Эти специалисты считают, что без того, чтобы кибератака могла выразиться в виде реального физического ущерба или кровопролития, она никогда не может рассматриваться столь же серьезной угрозой, как ядерная, биологическая или химическая атака.

Связи с государствами, финансирующими терроризм. В октябре 2004 года Государственный Департамент США составил перечень государств, финансирующих терроризм: Куба, Иран, Ирак, Ливия, Северная Корея, Сирия и Судан. Эти государства определены как финансовые источники, поставщики оружия и других ресурсов, используемых в деятельности террористических групп.

Однако, изучение тенденций Интернет – атак позволяет определить, что государства – спонсоры террористической деятельности генерируют менее 1 процента от всех сообщенных кибератак в 2002 году. Новые источники сообщают, что за исключением повреждения нескольких веб – сайтов, нет никаких доказательств того, что Ираком или террористическими организациями предпринимались таки на военные ведомства СШа во время второй войны в Персидском заливе. Организация по исследованию безопасности S4Lorg сообщает, что предшествующий развертыванию войск США в марте 2003 года рост в Ираке трафика с использованием терминов “компьютерная война”, “компьютерная сеть NASA”, “компьютеры воздушно-десантных сил”. Эксперты интерпретируют рост трафика с подобными запросами как индикатор того, что Иракское правительство все больше использовало Интернет как средство для сбора разведданных.

Многие эксперты верят в связи Ирана с Аль Каидой и другими террористическими организациями. Северная Корея продолжает продавать оружие и высокотехнологичные средства государствам, определенным как спонсоры терроризма. По новым данным, Северная Корея в настоящее время может наращивать свои собственные возможности для проведения киберопераций. Как сообщается, специалисты в области безопасности верят в то, что Северная Корея может развивать значительные возможности для кибервойны в ответ на постройку в Южной Корее компьютерных центров и увеличение соседним государством бюджета на подготовку к информационной войне. Компьютерные программисты из Центра Информатики в Пхеньяне по контракту производили работы по развитию программного обеспечения для правительственных организаций и бизнеса в Японии и Южной Корее. И, по последним заявлениям Подразделения по Обороне и Безопасности Южной Кореи, Северная Корея в настоящее время предположительно готовит более 100 новых компьютерных хакеров в год для национальной обороны. Однако должностные лица Пентагона и Государственного Департамента США не могут подтвердить сделанное Южной Кореей заявление, а чиновники оборонных ведомств не верят в то, что Северная Корея способна нанести серьезный ущерб военной компьютерной системе США. Кроме того, должностные лица Госдепартамента утверждают, что с 1987 года Северная Корея не спонсировала террористических актов.

Связи между террористами и хакерами.

Связи между компьютерными хакерами и террористическими группами или государствами, финансирующими терроризм, трудно подтвердить. Членство в большинстве высококвалифицированных хакерских группах очень эксклюзивно, ограничено лицами, которые развивают, демонстрируют и делят свои тщательно охраняемые сложные хакерские технологии только друг с другом. Эти эксклюзивные хакерские группы стараются не привлекать к себе внимания, поскольку поддержание секретности позволяет им действовать наиболее эффективно.

Некоторые группы хакеров могут иметь политические интересы, которые могут быть наднациональными или базироваться на религии или социально-политической идеологии, другие же группы могут иметь в качестве мотивации доходы, или быть связанными с организованной преступностью, или желать продать свои услуги безотносительно политических интересов. Например, как сообщалось, Индийская сепаратистская группировка Харкат-уль-Ансар (исламская фундаменталистская организация, действующая преимущественно в Кашмире, и в настоящее время признанная Иностранной террористической организацией за свои связи с Бен Ладеном) предприняла попытку купить у хакеров программное обеспечение для организации кибератаки в 1998 году. В марте 2000 года сообщалось, что секта Аум Синрикё, также признанная иностранной террористической организацией, планировала разработать программное обеспечение для атаки на 80 японских компаний и 10 правительственных агентств, включая департамент полиции, однако нет никакой информации о судьбе этого программного обеспечения и о том, были ли предприняты атаки.

Однако информация об уязвимостях программного обеспечения в настоящее время продается на “черном рынке” хакеров. Например, список из 5000 адресов компьютеров, которые уже заражены программным обеспечением, позволяющим наблюдать на ними и которые могут быть взять под контроль как часть “сети ботов”, может быть приобретен, как сообщается, за цену от 150 до 500 долларов США. Цены на информацию об уязвимостях компьютеров, на которые еще не придуманы “заплатки” колеблются от 1000 до 5000 долларов США. Покупателями этой информации в часто выступают компании – спамеры, организованные преступные группы и иностранные правительства.

МЕЖДУНАРОДНОЕ СОТРУДНИЧЕСТВО ПРОТИВ КИБЕРАТАК

Что могут сделать Соединенные Штаты, чтобы лучше скоординировать политику безопасности и международное право для достижения успешного сотрудничества с другими нациями в вопросах защиты от компьютерных атак? Преследование хакеров может вовлекать необходимость отслеживания через сети разных государств, что требует кооперации между различными национальными провайдерами сети Интернет. Сложность расследования может возрастать, если одно или несколько из этих государств имеют политику или правовую идеологию, конфликтную США.

Методы улучшения международного сотрудничества в борьбе в киберпреступностью и терроризмом были предметами конференции, финансируемой Институтом Гувера, Консорциумом по исследованию информационной политики и безопасности (CRISP), Центром Международной Безопасности и Сотрудничества (CISAC) и проведенной в Стэндфордском университете в 1999 году. Члены правительства, представители индустрии, некоммерческих организаций и академических институтов многих государств встретились в Стэнфорде, чтобы обсудить растущую проблему и обозначить пути достижения консенсуса, которого требует международное сотрудничество.

В настоящее время 38 государств, в том числе и Соединенные Штаты Америки, подписали Конвенцию Совета Европы о киберпреступности, принятую в ноябре 2001 года. Конвенция стремится к улучшению борьбы с киберпреступностью путем гармонизации национальных законов, улучшения возможностей расследования, поддержки международного сотрудничества. Конвенция способна, как утверждают ее сторонники, стать сдерживающим фактором для киберпреступности, однако, как отмечают ее критики, она не будет иметь значительного эффекта без участия государств, на территории которых киберпреступники орудуют безнаказанно.