Кибероружие и кибербезопасность. О сложных вещах простыми словами А. И. Белоус, В. А. Солодуха

Кто роет яму, сам упадет в нее. и кто ставит сеть, сам будет уловлен ею.

(Книга Премудрости Иисуса, сына Сирахова. XXVII, 29)

Ибо нет ничего тайного, что не сделалось бы явным, ни сокровенного, что не сделалось бы известным и не обнаружилось бы.

(Евангелие от Луки, глава 8, ст. 17)

Предисловие

Проблемам кибероружия и методам зашиты от него в последнее время уделяется повышенное внимание со стороны как технических специалистов, так и журналистов различных СМИ. Сегодня эта тема так или иначе касается буквально каждого человека — от школьника до пенсионера.

Как известно, средством ведения боевых действии (войн) является оружие, под которым понимаются многообразные устройства и средства, применяемые для поражения (уничтожения) противника пли выведения из строя его техники, сооружений и коммуникации. Образно говоря — оружие — это специальные средства для борьбы с кем-нибудь или чем-нибудь для достижения поставленных целей.

История создания и развития оружия неразрывно связана с историей развития человечества. Возможно, это звучит странно, но на всех этапах эволюции оружия (от ножа до ракеты) именно развитие оружия являлось катализатором прогресса, стимулировало развитие новых технологий, новых материалов, конструкторской мысли — так появилась металлургия, технологии обработки материалов, новые профессии.

Сегодня существует великое множество типов и разновидностей современного оружия: обычное, высокоточное, химическое, атомное, космическое, лазерное. СВЧ-оружие и т. д. Однако наряду с огромными поражающими техническими возможностями, как мы и покажем ниже в одной из глав, все без исключений виды и типы этого современного оружия обладают и весьма существенными недостатками и ограничениями, в попытках устранить которые военные и ученые прилагают значительные интеллектуальные усилия и на что тратится огромные финансовые ресурсы всех индустриально развитых стран.

Сами военные, правительства, здравомыслящие политики всех стран мира понимают, что использование «на практике» как этих «обычных» типов оружия, так и разрабатываемых в закрытых институтах «экзотических» типов (климатическое, сейсмическое, плазменное) равносильно «самоубийству» для применившей стороны. Кибернетическое (кибероружие, информационно-техническое) оружие с этой точки зрения является «идеальным» оружием, поскольку лишено всех этих недостатков и ограничений и обладает новыми поистине огромными возможностями.

Здесь следует более подробно изложить предысторию создания прилагаемой вниманию читателя книги. Авторы много лет работают в электронной промышленности (холдинг «Интеграл» г. Минск), занимаясь проектированием и организацией серийного производства микросхем и полупроводниковых приборов, предназначенных для работы в различных отечественных радиоэлектронных приборах и системах как гражданского, так и специального (военного и космического) применения. Как известно, основное требование к подобным изделиям — повышенная надежность функционирования в экстремальных условиях — при воздействии широкого диапазона температур окружающей среды, механических и электрических перегрузок, при воздействии многочисленных факторов ионизирующих излучений (радиации), при воздействии статических и импульсных электромагнитных полей и т. д.

Примерно десять лет назад у отдельных наших давних партнеров-разработчиков радиоэлектронной аппаратуры ответственного назначения неожиданно появилась новая проблема — аппаратные трояны в микросхемах.

Внедренные «кем-то» в микросхемы, эти «паразиты» оказались способными творить невероятные вещи. Этот троян может выполнять по команде своего «хозяина» самые различные несанкционированные и скрытые от разработчика аппаратуры функции — передавать своему «хозяину» любую информацию, изменять режимы функционирования, электрические режимы работы микросхемы (вплоть до ее частичного или полного отказа). Попадая на платы электронных блоков радиоэлектронной аппаратуры, компьютеров, современных информационно-коммутационных устройств, систем энергообеспечения мегаполисов, систем управления высокоточным оружием, систем обеспечения безопасности атомных станций и т. и. эти «заряженные» микросхемы способны не только организовать передачу «хозяину» любой секретной информации, но и полностью «перехватывать» управление этими объектами, вплоть до приведения их в неработоспособное состояние.

Поскольку холдинг «Интеграл» еще со времен СССР заслужил репутацию поставщика высоконадежной элементной базы для систем ответственного назначения, руководство холдинга не могло не отнестись серьезно к этой новой угрозе. Технические эксперты холдинга совместно с белорусскими учеными провели огромную работу по исследованию природы этого явления, в результате которой был разработан и реализован на практике комплекс соответствующих научно-технических и нормативно-организационных мероприятий. позволивший в итоге полностью исключить возможность внедрения этих «паразитов» в интеграловские микросхемы. Полученные в ходе этих исследований результаты были в итоге оформлены в виде двухтомной монографии (А. II. Белоус. В. А. Солодуха, С. В. Шведов. Программные и аппаратные трояны. Способы внедрения и методы противодействия. Первая техническая энциклопедия), вышедшей в 2018 г. в издательстве «Техносфера». Как было показано в результате наших исследований, программные и аппаратные трояны являются лишь «технологической платформой» (базисом. одним из инструментов) нового и мощного супер-оружия — кибернетического оружия.

Вирусы, черви, программные и аппаратные трояны представляют угрозу практически для всех базовых объектов инфраструктуры современного государства, но прежде всего — для информационных систем обеспечения национальной безопасности, банковских и финансовых структур, систем управления вооружением и военной техникой. навигации и связи, транспортной инфраструктуры и особенно — для объектов топливно-энергетического комплекса (атомные, тепловые и гидростанции, нефте- и газообрабатывающие заводы, системы управления газопроводами).

На смену любителям, пишущим вирусы и троянские программы ради развлечений, а потом и киберпреступникам, вымогающим или крадущим деньги, сегодня пришли люди, воспринимающие современные информационные системы исключительно как «поле боя».

Удивительно, но факт — первая техническая энциклопедия по этому научно-техническому направлению была издана в России, хотя за рубежом за последние 10 лет было опубликовано более 50-ти книг, и около тысячи статей, посвященных исследованиям отдельных направлений этого технического феномена. Наверное, это явилось одной из причин, почему к этой книге сразу же проявил интерес ряд зарубежных издательств. В итоге в планах на 2020 г. одного из ведущих мировых издательств «Springer» появилась книга A. Belous, V. Saladukha. «Viruses, Hardware and Software Trojans — Attacks and Countermeasures», в основу которой были положены переработанные и дополненные материалы нашей энциклопедии. Надо сказать, что в процессе работы над этой книгой по рекомендации привлеченных издательством технических экспертов была изменена целевая направленность, и соответственно расширен круг потенциальных зарубежных читателей этой книги относительно нашего «русского прототипа». А именно — вопросы, касающиеся вирусов, программных и аппаратных троянов, отошли «на второй план», а главной темой стали актуальные проблемы кибероружия и кибербезопасностп.

Так в книге появились новые разделы, посвященные проблемам кибербезопасноти. Например, есть все снования полагать, что кибератаки на объекты критической инфраструктуры будут принимать все более комплексный характер, начиная от нетривиально сложной инфраструктуры программных кодов и заканчивая все более неочевидными результатами воздействия. Так, террористические группы. желающие получить расщепляющиеся материалы (например, в виде отработанного ядерного топлива АЭС) для целей создания т. н. «грязной» бомбы, могут начать планировать не вооруженный захват в процессе «лобового» нападения на АЭС, а попробовать взломать корпоративную сеть предприятия с целью выявить логистику перевозок, внести изменения в график маршрутов, подделать передаточные документы, т. е. вывести чувствительные материалы из зоны контроля, что облегчит их возможный захват или кражу. Очевидно, с возрастанием автоматизации технологических процессов риски таких на первый взгляд фантастических сценариев возрастают, и меры противодействия необходимо просчитывать и нарабатывать заранее.

Поскольку, согласно условиям контракта с издательством, авторы оставили за собой права интеллектуальной собственности на «русскоязычный» вариант «английской книги», ими было принято решение опубликовать аналогичное издание, предназначенное для отечественных читателей. Таким образом, мы надеемся изменить традиционный подход, когда российские издательства издают переведённые на русский язык книги зарубежных авторов через несколько лет после их выхода на мировой книжный рынок.

Надо отметить, что в отличие как от ранее опубликованной в России первой технической энциклопедии так и от «английской книги», авторы существенно переработали и дополнили как структуру построения, так и содержание материалов предлагаемой читателю книги.

Во-первых, мы постарались учесть многочисленные пожелания российских читателей «первой технической энциклопедии». Действительно, она предназначена прежде всего для сравнительно «узкого» круга технических специалистов по микроэлектронике и информационной безопасности, хотя включает в себя обширный материал, представляющий интерес для широкой читательской аудитории.

Во-вторых, мы существенно упростили «язык» книги, исключив (без ущерба качеству) многочисленные формулы, математические выражения и технические детали, описание сложных физических эффектов и физических моделей.

II. наконец, самое главное — мы постарались систематизировать имеющиеся знания, относящиеся непосредственно к темам «кибероружие» и «кибербезопасность», не «погружаясь» глубоко в терминологические и чисто технические проблемы этих сложных направлений. и показать в чем это новое направление может представлять опасность (угрозу) рядовому пользователю мобильного телефона. компьютера, телевизора, автомобиля, оператору атомной станции, диспетчеру системы управления воздушным движением, пользователю банкомата и т. д. И здесь мы столкнулись с огромными трудностями, которые были как раз обусловлены именно «терминологическими» проблемами. Как это ни странно, но на момент выхода этой книги существует множество различных толкований и формулировок. обозначающих одну и ту же сущность явления (процесса). Как известно термины (от латинского terminus — граница, предел, конец) это специальное слово или словосочетание, принятое в определенной среде (профессиональной сфере) и употребляемое в особых условиях. Говоря «научным» языком — термин представляет собой словесное обозначение понятия, входящего в систему понятий определенной области профессиональных знаний.

При ускоренном развитии какой-нибудь новой отрасли науки или техники, как и в случае кибероружия, всегда начинается активное отражение ее достижений средствами массовой информации, переход отдельных терминов из специального употребления в общее. При этом термины теряют научную точность, расширяют сферу своего употребления, т. е. происходит наблюдаемый всеми нами процесс «детерминологизации», когда в общее употребление переходят их «двойники» (омонимы), уже не обладающие необходимой системностью и научной точностью, иногда они становятся просто «модными словами».

В СМИ и даже в отдельной технической литературе очень часто термины «кибероружие», «кибервойна», «киберугрозы», «кибербезопасность» используются, как говорят ученые, «в отрыве от контекста». Например, «кибервойной» иногда называют пропагандистские операции в информационном пространстве («информационная война»), случаи взлома банковских систем и баз данных, операции по дестабилизации работы критических инфраструктур и т. д. Очень часто обозначению различного рода информационных воздействий просто добавляется модная приставка «кибер».

В отличие от широко принятого на Западе термина «кибероружие» в отечественной специализированной литературе широко используется термины «информационно-техническое оружие», «информационное оружие». Поэтому авторы, не претендуя на лавры изобретателей некой «новейшей» терминологии в этой сфере. приняли «соломоново решение»: использовать в ходе изложения материала именно те термины, которые применяются в первоисточниках, из которых мы брали исходный текстовый или графический материал. Поэтому у нас в разных главах иногда для обозначения одних и тех же процессов и явлений используются термины и «кибероружие», и «информационно-техническое оружие». Это же относится и к понятным только профессионалам тонким отличиям контекста терминов «информационная безопасность» и «кибербезопасность» — нашему читателю эти терминологические отличия не нужны, для него главное — как от них он может защититься и не иметь «неприятных последствий».

Для тех же читателей, кто все-таки захочет более детально ознакомится с терминологией, мы рекомендуем книгу Encyclopedia of Cyber Warfare под редакцией Paul I. Springer (издательство ABC–CLIO), в которой дано определение более 300 терминов по теме «кибероружие».

Авторы выражают благодарность академику НАН Беларуси и иностранному избранному члену Академии Наук Российской Федерации Лабунову В. А., чьи критические замечания и полученные советы во многом способствовали появлению книги именно в этом формате, а также Антипенко О. А. за помошь в обработке материалов и подготовке рукописи к печати.

Вместо введения — дайджест

По законам писательского жанра после «предисловия» обычно следует краткое «введение» в тему книги. Учитывая специфику’ тематики книги, ориентированной на достаточно широкий круг читателей. здесь авторы предпочли использовать форму «дайджеста» (англ, digest «краткое изложение, резюме») — фактически привести краткое изложение основного содержания каждой главы. Это позволит читателю оперативно получить общее представление о книге, а также определиться — стоит ли ему приобретать всю книгу, пли достаточно «скачать» одну или несколько наиболее интересных для него глав. Такой подход по рекомендации издательства Springer мы использовали при написании для англоязычных читателей книг «High Velocity Micropanicles in Space», Springer Nature Switzerland AG 2018-390 и «High Speed Digital System Design-Art, Science and Experience (2019).

Как было указано в предисловии, эта книга фактически представляет собой написанную в популярном на Западе жанре «технического» бестселлера, оформленную своего рода научно-популярную энциклопедию по кибероружию и методам зашиты от него. Здесь анализируется история развития этого нового вида оружия, концепция, теория и практика применения, его технологическая платформа (вирусы, программные и аппаратные трояны, шпионские программы), способы внедрения троянов в компьютеры, телефоны и другую электронную аппаратуру. Здесь в объеме одного издания последовательно и детально рассмотрен весь комплекс теоретических и практических аспектов разработки и применения этого нового вида оружия. и наиболее эффективных методов защиты от его воздействий.

Материал, который представлен в нашей книге в виде 8 глав, не только предельно детализирован, но и систематизирован в иерархическую структуру «концепции — методы — средства — примеры применения». Сами главы не обязательно читать последовательно — все зависит от области интересов читателя и степени его подготовки.

В достаточно объемной первой вводной главе кратко рассмотрены основные этапы истории развития кибероружия, приведены основные определения (термины) и общепринятая классификация кибероружия и видов его воздействия на атакуемые объекты.

Здесь показано, что использование различного рода вредоносных программ сегодня становится все более простой задачей: «каркас» любой такой программы-вируса можно легко найти в Интернете и затем «начинять» его любым содержанием, тем более что в Интернете полно подобных «криминальных сервисов», включая широкий спектр средств разработки вредоносных программ.

Создателей подобных вирусов можно условно разделить на три большие группы. Первые «зарабатывают» тем, что воруют деньги с банковских счетов, вымогают или крадут и продают аккаунты. Вторые специализируются на целевых атаках и пишут особые вредоносные программы, позволяющие незаметно проникать в конкретную защищенную систему. Третью группу представляют так называемые «кибервойска», которые финансируются государством.

В разделе 1.2 приведены сводные результаты анализа динамики изменения видов кибератак за тринадцатилетний период. Если в начале этой криминальной эпохи простейшие атаки хакеров начинались с простого «угадывания» паролей, затем «взлома паролей», то буквально через пару лет они перешли к вообще немыслимому в то время процессу — «перехват сеансов связи», внедрения в сетевой менеджмент стандартной (как считалось пользователями) диагностики. затем появилась генерация злоумышленных автоматических текстовых сообщений, а также так называемые «распределенные» и «целевые» атаки в различных социальных сетях.

Как и в любом развивающемся высокотехнологическом бизнесе, здесь постоянно используются новейшие высокие технологии. Для автоматизации процесса создания вредоносных вирусов и программ их разработчики сегодня активно используют нейросети и машинное обучение (искусственный интеллект). Сегодня мы наблюдаем появление сразу двух огромных «высокотехнологичных» теневых индустрии: индустрии производства все новых зловредных программ и вирусов — и одновременно индустрии производства антивирусных программ, причем современный пользователь интернета, не обладающий достаточными знаниями в области кибербезопасности, должен платить или одной, пли другой, а то и обеим сразу сторонам этого «бизнеса».

Здесь же фактически впервые в отечественной печати подробно рассмотрены основные положения утвержденных стратегии обеспечения кибербезопасности США в 2015 и 2018 гг. Первый документ (в редакции 2015 г.) назывался «Всеобъемлющая национальная стратегия США в области кибербезопасности (The Comprehensive National Cyber-security Initiative).

Здесь выделяется три основных направления деятельности в этой сфере. Первое — это защита собственных информационных систем от хакерских атак извне. Второе — работа с другими агентствами и зарубежными союзниками по сбору и обработке информации разведывательного характера, а также совместные операции с Федеральным бюро расследований. Центральным разведывательным управлением, Агентством национальной безопасности и иностранными спецслужбами. Третье направление — это кибернетическая поддержка различных военных операций США. и — обратите внимание — привлечение к ней максимального количества квалифицированных гражданских специалистов.

В этом же разделе приведен краткий аннотированный перечень реализованных во исполнение этой стратегии известных из открытой печати проектов (инициатив) обеспечения кибербезопасности США. а также основных моделей киберугроз, используемых в США.

В одном из заключительных разделов главы, мы приводим результаты авторского анализа стратегии кибербезопасности США в редакции 2018 г. — ни в отечественных СМИ, ни в открытой отечественной литературе этот вопрос не нашел адекватного отражения, хотя последствия этого «иностранного» документа, как станет ясно читателю, касается буквально каждого из нас!

Надо отметить, что в последнее десятилетие США уделяет вопросам кибероружия и кибербезопасности исключительное внимание. рассматривая эти направления в качестве наивысшего приоритета государственной политики как на текущий момент, так и на ближайшую перспективу. С приходом к власти в США президента Трампа его администрация существенно пересмотрела основные положения и содержание ранее утвержденной стратегии.

На сайте Белого Дома в сентябре 2018 года был опубликован текст Обращения президента Трампа к соотечественникам. объясняющий причины появления, цели и задачи этого документа. Этот факт лишний раз подчеркивает его важность — никогда ранее президенты США не комментировали такие документы, более того — в открытой печати никогда ранее не публиковали полный текст подобных документов, непосредственно относящихся к вопросам обеспечения национальной безопасности. Комментируя этот прецедент, абсолютное большинство независимых экспертов полагает. что таким образом Америка как «сверхдержава» официально объявляет кибервойну всему остальному мировому сообществу, открыто взяв на вооружение известный нам ранее «русский» термин «сохранение мира путем принуждения».

Этот факт подтверждает и нижеследующая цитата из обращения Трампа: «Нынешняя администрация признает, что исключительно технократического подхода в отношении киберпространства недостаточно для решения появляющихся проблем. Соединенные Штаты также должны обладать широким инструментарием эффективных мер принуждения, которые обеспечат сдерживание структур, осуществляющих хакерские атаки, и позволят предотвратить дальнейшую эскалацию».

Если перевести этот абзац текста с дипломатического «официального» языка на простой «человечесшш» язык, то это действительно означает, что в сентябре 2018 г. США устами своего президента объявили о начале «войны в киберпространстве». Против кого они объявили эту тотальную «кибервойну»? Здесь же указаны и конкретные, уже не «потенциальные» противники: Россия с «примкнувшими» к ней Ираном и Северной Кореей. Хотя Китай прямо не перечислен в этой группе стран-врагов, но из формулировок документа ясно следует, что все меры по «сохранению мира методом принуждения» в полной мере распространяются и на эту страну.

Читателю следуем обратить особое внимание — это совсем не «фейковые» сообщения СМИ или заявления отдельных «ястребов-сенаторов» — это утвержденный Главой Государства официальный документ, определяющий политику, стратегию и тактику государства на текущий и перспективный период! Надо ясно понимать, что эта «кибервойна» объявлена не просто виртуальной России — она объявлена каждому из вас, читатели. Поэтому вы должны понимать, какое оружие может быть использовано против вас и как можно если не защититься, то, по крайней мере, хотя бы уменьшить уровень опасности путем использования простейших средств защиты, рассмотренных в этой книге.

Из анализа полного текста многостраничной Стратегии (http:// d-russia.ru/wp-content/uploads/2019/01/National-Cyber-Strategy_ USA_2018.pdf) следует, что в основу Стратегии положены всего лишь четыре приоритета (базовых принципа): защита американского народа и американского образа жизни, обеспечение процветания Америки, распространение американского влияния на весь мир, сохранение мира методом принуждения. Основным средством достижения (инструментом) этих благородных приоритетных задач развития США объявлено именно кибероружие (четвертый перечисленный приоритет), а не ожидаемые читателем иные разнообразные инструменты и достижения научно-технического прогресса Человечества. Американские политики, генералы и чиновники фактически на законодательном уровне присвоили себе право «без суда и следствия» принимать и реализовывать решения — кого, когда, за что и каким образом наказывать (принуждать).

Во второй главе представлен детальный авторский анализ технических возможностей и ограничений основных видов современного оружия: от обычного (атомного, химического, космического, лазерного, СВЧ-оружия) до различных «экзотических», разрабатываемых в секретных институтах (климатическое, сейсмическое, плазменное). Показано, что именно наличие у всех типов «классического» современного оружия, наряду с огромными технтгческими возможностями столь же существенных ограничений (недостатков) привело к появлению новых видов перспективного оружия, свободного от подобных недостатков: это кибероружие и непрооружие (подробный анализ этого вида оружия представлен нами в разделе 2.6).

Поскольку недостатки (ограничения) атомного и химического оружия хорошо известны, приведем здесь только ряд недостатков одного из компонентов «космического» оружия.

Как известно специалистам, задача уничтожения баллистических ракет (на всем протяжении их траектории полета), космп-ческих аппаратов противника, наземных целей, предполагает выведение на околоземные орбиты целого ряда базовых элементов космического эшелона ПРО. Это как сами средства поражения и их компоненты (например, отражающие зеркала лазерных установок наземного базирования), так и различные средства обнаружения. целеуказания, управления, энергетического обеспечения, защиты ракет и др.

Однако основным элементом «космического эшелона базирования» являются так называемые «боевые платформы» пли «боевые космические станции» (БКС), одним из важнейших факторов которых является надежность их функционирования.

Однако для космического оружия необходимо отдельно рассматривать две ее составляющие: техническую надежность и оперативную (боевую) надежность.

Техническая надежность определяет ресурс работы БКС в основном (стационарном) режиме боевого дежурства. Очевидно, что замена на орбите вышедших из строя или исчерпавших свой ресурс электронных блоков и узлов не может быть проведена быстро, дешево и без ущерба для эффективности не только данного компонента эшелона, но и для всего космического эшелона.

Поэтому требование обеспечения высокой технической надежности БКС прежде всего определяет необходимость обеспечения гарантированного максимального уровня надежности всех электронных блоков (и их элементной базы) при одновременном обеспечении максимально возможного ресурса их работы в условиях космического пространства (не менее десяти лет). И все это должно обеспечиваться не только без проведения привычных для Земли «ремонтных» работ, но и без привычного «регламентного технического обслуживания».

Здесь имеет место одно из многочисленных противоречий. С одной стороны — мировая техническая практика, в том числе, в области авиа- и ракетостроения показывает, что усложнение конструкции любых, в том числе и ранее отработанных на практике технических средств, позволяя расширять функциональные возможности и технические характеристики, влечет за собой сокращение сроков их безопасного функционирования. На Земле эта проблема решается более «частыми» процедурами технического обслуживания.

С другой стороны, все компоненты космического эшелона ПРО, учитывая предъявляемые к ней высокие требования, должны разрабатываться на основе самых передовых, и естественно — все более сложных технических и технологических решений.

Конечно же. технически сегодня эта проблема частично решается известными путями (многократное резервирование, дублирование. троирование, мажоритирование. специальное программное обеспечение и т. п.). Однако надо сказать, что проблема обеспечения чисто «технической» надежности (не только БКС. но и всех без исключения компонентов и подсистем, размещенных в околоземном пространстве космического эшелона) порождает уже другие — исключительно сложные, проблемы военно-политического уровня.

Ведь любому «неспециалисту» по космическому оборудованию понятно, что даже временный (не катастрофический) отказ какого-либо важного электронного блока БКС, тем более в сочетании с выходом из строя какого-либо одного элемента подсистемы боевого управления, может повлечь за собой лавинообразную цепь непредсказуемых реакций всего предельно автоматизированного механизма принятия решений, который начнет управлять действием космической системы ПРО.

Нельзя при этом сбрасывать со счетов существующую определенную вероятность возникновения таких комбинаций технических сбоев и отказов различных компонентов ПРО, которые могут вызвать самопроизвольную (без участия человека), активизацию и далее срабатывание как отдельных компонентов, так и всей системы ПРО.

Очевидно, что последствия развития подобного сценария настолько неприемлемы и непредсказуемы что, как ни мала его вероятность (а ее никто из экспертов не отрицает) — ею никак нельзя пренебрегать.

Даже «гражданские» специалисты по проблемам технической надежности могут сказать, что применяемые сегодня методы резервирования, дублирования, троирования и т. д. компонентов (и даже БКС в целом) не только эту проблему не решают, но могут даже ее усугубить, поскольку работает классическое правило: увеличения числа элементов в любой технической системе только увеличивает вероятность отказа этой системы, а также вероятность возникновения «неблагоприятных» комбинации технических неисправностей (отказов).

Наука и техника непрерывно развиваются, ученые и «технари» решают свои частные проблемы, а абсолютное большинство генералов, сенаторов, правительственных чиновников не читает подобные «умные» книги, решая свои военно-политические, военные, стратегические и прочие «глобальные» проблемы, формируя и финансируя все новые амбициозные военные программы и проекты, не особо задумываясь о возможных негативных их последствиях.

Еще один, не менее (а может и более) важный компонент общей проблемы обеспечения надежности БКС и компонентов космического эшелона в целом является так называемая «оперативная надежность», характеризующая способность выполнять запрограммированные боевые функции в любых ситуациях и во всех заложенных военными заказчиками в технических условиях рабочих режимах. Прежде всего, это относится к основной функции — уничтожению цели — как ракет противника на любом участке траектории их наблюдения, так и заданных воздушных, наземных (стационарных шили мобильных) целей, в том числе — малоразмерных, бы-строперемещающихся целей (вертолетов, самолетов), шахт и мест базирования ядерных ракет, надводных кораблей, мест предполагаемого нахождения подводных ракетоносцев с готовыми к старту баллистическими ракетами и т. д. и т. п.

К сожалению, тема оперативной надежности компонентов космического эшелона с начала 90-х годов прошлого века является полностью закрытой для публикации. Отдельные аспекты этой проблемы были рассмотрены в первом томе книги «СВЧ-Электроника в системах радиолокации и связи. Техническая энциклопедия. В 2-х книгах» Москва: ТЕХНОСФЕРА. 2016 г. А. Белоус. М. Мерланов, С. Шведов, а также в вышедшей в Бостоне и Лондоне нашей книги «Space Microelectronics Volume 1: Modern Spacecraft Classification, Failure, and Electrical Component Requirements» London, Artech House, 2017. A. Belous. V. Saladukha, S. Shvedau. Если говорить «простым» языком, технических проблем здесь много, а путей их решения катастрофически мало, а наиболее простые технические решения требуют огромных финансовых затрат, ставящих под сомнение саму возможность эффективной работы ПРО в целом.

Ситуация усугубляется еще и тем очевидным фактором, что развернутая в космосе широко рекламируемая в СМИ ПРО космического эшелона, по понятным причинам не может быть испытана в реальных условиях, и здесь, как уклончиво говорят американские специалисты «существует значительная неопределенность» в количественных оценках технической и оперативной надежности БКС и боевых платформ, а также развертываемых на их базе вспомогательных средств.

Еще одна такая очевидная проблема — обеспечение эффективной защиты БКС и других орбитальных средств ПРО от мер активного противодействия и прямой атаки (нападения) противника. Поскольку все боевые станции и другие необходимые компоненты космического эшелона системы ПРО имеют значительные габариты и массы (в перспективе — сотни тонн), все они двигаются в околоземном пространстве по постоянным (заранее известным противнику) орбитам, все они сами по себе являются достаточно уязвимыми целями для атаки самыми различными (и зачастую исключительно простыми и дешевыми) противоспутниковыми средствами.

Анализ проблемы уязвимости не только БКС, но и всех эшелонов космического базирования системы ПРО, позволяет утверждать. что вне зависимости от конкретных технических вариантов обеспечения любые средства такой защиты с точки зрения финансовых затрат явно не будут «дешевыми» и потребуют выведения в космос значительных масс грузов.

Конечно, специалисты разрабатывают и различные относительно «малобюджетные» способы, в том числе — маневрирование БКС и боевых платформ на орбите «для ухода из-под удара», специальные технические мероприятия по «маскировке» (за счет развертывания разветвленной сети «ложных» целей, мгновенно активизирующихся в момент атаки БКС) и др.

Еще одна группа защитных мер — разработка и использование различных «интеллектуальных» активных поражающих систем, создающих в этом радиусе защиты своего рода «зоны суверенитета», при этом размещаемые на БКС средства такой самозащиты могут уничтожить любой объект, приближающийся к станции ближе заранее установленного расстояния пли с неразрешенной скоростью.

Но здесь возникает еще одна неочевидная проблема — проблема «ограниченности» безграничного космического пространства. Действительно, размеры таких защитных зон с развитием средств поражения неизбежно будут увеличиваться, и при определенных параметрах. могут создавать серьезные препятствия для коммерческой деятельности в космосе — эти зоны будут постоянно расширяться, их число (как и число защищаемых объектов) будет постоянно увеличиваться, в итоге в околоземном пространстве может возникнуть целая система таких «запретных» зон (американская, китайская, российская, европейская, индийская и т. п.), заход в которые «невоенных» объектов, даже случайных (в результате ошибки навигационного оборудования) будет представлять реальную опасность для космических объектов не только «других» стран, но и самого обладателя такого «противоракетного шита».

А если учесть довольно высокую вероятность попадания в эти зоны метеоритов и других «вольных» космических тел (а также остатков переставших функционировать искусственных спутников Земли, обломков взорвавшихся и взорванных ракет и спутников, да и просто космического мусора, которых сегодня на орбите исчисляется уже сотнями тысяч штук), то эта «вероятность» уже может очень скоро превратится в «реальность». Ведь в соответствии с правилами и законами «машинной» логики — каждое такое вторжение — это есть нарушение суверенитета защищаемой зоны объекта и ее зашита немедленно будет приведена в действие.

Понятно, что в ответ на каждый такой акт «нарушения суверенитета» системы зашиты БКС будут непременно автоматически активизироваться (реакция человека здесь неприемлема — слишком малое время отводится как на фиксацию факта «агрессии», так и на ответные защитные действия), результат которых можно будет сформулировать как в известном армейском анекдоте — «сначала выстрелим, а потом спросим пароль».

Срабатывание автоматики активной системы зашиты станции неизбежно должно сопровождаться «боевой активизацией» этой самой станции, зафиксировавшей факт «нападения», которая запускает автоматически систему боевого управления (для этого ее и создавали конструкторы).

Другая сторона (а реально — все «другие» стороны, вышедшие в открытый космос), неизбежно должна обнаружить техническими средствами факт активизации ПРО потенциального противника, и просто обязана считать, что он готовит первый ядерно-ракетный, лазерный пли «обезоруживший» удар, и будет вынуждена экстренно принимать меры по соответствующему реагированию своих наступательных стратегических вооружений.

Понятно даже «гражданским» экспертам, что вышеописанная «цепная реакция» эскалации инцидента будет протекать настолько быстро, что не оставит абсолютно никаких шансов для дипломатического (политического) урегулирования возникшего на «ровном месте» кризиса.

В этом «дайджесте» мы привели в качестве примера только один из многочисленных «недостатков» космического оружия, более подробно рассмотренных во второй главе. Тем не менее, здесь следует отметить два важных для понимания ситуации момента. Первый — наличие подобных известных (и других неизвестных общественности) недостатков только космического оружия и послужило мощным стимулом для ускоренного развития кибероружия. Второй — с появлением кибероружия вероятность вышеуказанных и многочисленных других подобных «инцидентов» вырастает во много раз — все они могут быть инициированы «искусственно» не только «потенциальным противником», но и террористами или неадекватными «талантливыми личностями». В последней главе мы приводим известный факт, когда в Германии в 2014 г. 14-летний школьник «влез» в систему управления атомной станции, вызвав, к счастью, только ее «аварийную остановку». Поэтому в выше цитируемой Стратегии обеспечения кибербезопасности США целый раздел посвящен обеспечению кибербезопасности в космическом пространстве.

Третья глава посвящена основным проблемам обеспечения информационной безопасности. Развитие глобального процесса информатизации общества в последние десятилетия XX века породило новую глобальную социо-технологическую проблему — проблему информационной безопасности человека и общества.

Сущность этой проблемы, если излагать ее простыми словами, состоит в следующем. Многие важнейшие интересы человека, общества. государства, да и всей мировой цивилизации в настоящее время в значительной степени определяются состоянием окружающей их информационной сферы. Поэтому любые целенаправленные (или даже непреднамеренные) воздействия на элементы этой информационной сферы со стороны как внешних, так и внутренних источников, могут наносить серьезный ущерб этим интересам и представляют собой реальную угрозу для безопасности человека и общества. В этой главе рассматриваются исторические аспекты возникновения и развития информационной безопасности, цели, задачи, средства реализации, различные технологии ее реализации. Понятно, что термин «информационная безопасность появился намного раньше термина «кибербезопаснсть».

Под информационной безопасностью обычно понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государств. А под информационными угрозами — различные факторы или совокупности отдельных факторов, создающие опасность нормальному функционированию информационной среды общества.

Необходимо отметить, что осознание такой связи между состоянием информационной среды общества и возможностями достижения важнейших интересов человека и общества произошло относительно недавно. II, тем не менее, многие государства мира включая Россию, уже разработали свои национальные доктрины в области информационной безопасности, а также концепции государственной политики по ее обеспечению.

В этой главе также приведена классификация источников угроз информационной безопасности и рассмотрены возможные последствия их воздействий на информационную безопасность государства и личности, основные решаемые задачи, базовые технологии, средства и методы зашиты информации (антивирусы, межсетевые экраны, наиболее эффективные системы обнаружения и предотвращения атак, сканнеры безопасности, средства контроля электронной почты и др).

Говоря о базовых технологиях зашиты информации, необходимо отметить следующее: несмотря на очевидную сложность защитных информационных технологий, ничего сверхъестественного в них нет — по уровню развития они не опережают информационные технологии, а всего лишь следуют за ними.

Так. например. можно ли представить себе межсетевой экран в системе, состоящей из отдельных несвязанных между собой компьютеров? А зачем нужен антивирус в условиях полного отсутствия вредоносных программ? Любая защитная информационная технология появляется только в ответ на какую-либо конкретную технологическую новинку. При этом надо понимать, что ни одна технологическая новинка не требует обязательной разработки адекватной защиты, поскольку подобные работы ведутся только в случае их финансовой целесообразности. Например, разработка защитных механизмов для клиент-серверной базы данных СУБД необходима, так как это непосредственно влияет на количество пользователей данной системы.

Кроме того, на развитие защитных технологий влияет и деятельность хакеров. И это понятно, поскольку даже для самой востребованной технологии не будут разрабатываться защитные меры, пока эта технология не подвергнется атакам со стороны хакеров. Ярким примером этого является технология беспроводных сетей (Wireless LAN), которая еще недавно не обладала хоть сколько-нибудь серьезной защитой. А как только действия злоумышленников продемонстрировали всю уязвимость беспроводных сетей, то сразу стали появляться и специализированные средства и механизмы защиты — и сканеры уязвимостей (например Wireless Scanner), и системы обнаружения атак (например AirDefense или Isomar IDS), и прочие подобные защитные средства.

Сегодня в маркетинге часто используется термин «коммуникационное поле», который обозначает круг общения отдельного человека или целевой группы людей.

Поэтому в зависимости от вида такого общения людей в разных компаниях применяются и различные защитные технологии. Например, обычно при выходе в Интернет никогда не используется технология VPN (Virtual Provate Network — виртуальная частная сеть), но она находит достаточно широкое применение при взаимодействии клиента с удаленными филиалами.

На выбор конкурентной технологии информационной безопасности важное влияние оказывает размер того объединения компьютеров, которое ныне принято называть сетью. Масштаб сети диктует свои правила — как по причине дефицита финансовых средств на приобретение нужных технологий защиты информации, так и из-за отсутствия необходимости в последних. Например, обычно, для одного компьютера, подключенного к Интернету, не нужны сложные системы контроля утечки конфиденциальной информации, а для сети среднего масштаба подобные системы уже жизненно необходимы.

В небольших информационных сетях не столь остро стоит проблема централизованного управления средствами информационной безопасности, а в сетях крупных предприятий без таких средств вообще не обойтись. Поэтому в больших сетях находят свое применение системы корреляции. PKI (Public-Key Infrastructure — инфраструктура открытых ключей) и т. п. Даже традиционные средства зашиты меняются под влиянием масштаба сети и дополняются новыми функциями — интеграцией с системами сетевого управления, эффективной визуализацией событий, расширенной генерацией отчетов, иерархическим и ролевым управлением и пр.

Итак, выбор защитных информационных технологий зависит от четырех основных факторов — от известности и распространенности защищаемой технологии, от вида хакерских атак, от коммуникационного ноля и от масштаба информационной сети. Изменение любого из этих факторов ведет к изменению как самих технологий зашиты, так и способов их использования.

В четвертой главе более детально рассмотрены основные наиболее характерные особенности современного кибероружия, средства. методы применения.

Здесь кибервоздействия классифицированы по следующим основным категориям: по виду (одиночные и групповые), по типу (пассивные и активные), по характеру поражающих свойств (высокочастотные и комплексные), по цели использования (атакующие, оборонительные и обеспечивающие), по способу реализации (алгоритмические, программные, аппаратные, физические).

Рассмотрены и особенности многочисленных разновидностей каждого из вышеуказанных типов. Например, анализируются такие типы атакующих кибервоздействий как «нарушение конфиденциальности информации», «нарушение целостности информации», «нарушение доступности информации», психологические воздействия. Из оборонительных разновидностей кибервоздействий рассматриваются «выявляющие», «противодействующие», «отвлекающие» на ложные информационные ресурсы и т. д.

Например, здесь мы показываем, что существует два основных способа повлиять на информационные функции противника — косвенно или напрямую. Проиллюстрируем разницу между ними. Пусть цель — заставить врага думать, что наш авиаполк находится там. где он совсем не находится, и заставить его действовать на основании этой информации таким образом, чтобы это было выгодно нам.

Косвенная информационная атака реализуется следующим образом: используя инженерные средства, мы можем построить макеты самолетов и ложные аэродромные сооружения и имитировать деятельность по работе с ними. Мы полагаемся на то, что противник будет визуально наблюдать ложный аэродром и считать его настоящим. Только тогда эта информация станет той. которую должен иметь противник. Прямая информационная атака: если мы создаем информацию о ложном авиаполке в «защищенном» хранилище информации у противника, то конечный результат будет точно такой же. Понятно, что средства, задействованные для получения этого результата, будут разительно отличаться.

Другим примером прямой информационной атаки может быть изменение информации во вражеской базе данных об имеющихся коммуникациях в ходе боевых действий (внесение ложной информации о том, что мосты разрушены) для изоляции отдельных вражеских частей. Этого же можно добиться бомбардировкой мостов. И в том и в друтом случае вражеские аналитики, принимая решение на основе имеющейся у них информации, примут одно и то же решение — производить переброску войск через другие коммуникации.

Пятая глава посвящена анализу методов и средств несанкционированного доступа к конфиденциальной (секретной) информации.

Прочитав название этой главы — «технические каналы утечки секретной информации», рядовой читатель почти наверняка ее пропустит. Действительно, он ведь не собирается подсматривать за соседом пли пытаться украсть его конфиденциальную информацию.

Этот читатель будет не прав. Далеко не факт, что в его домашнем компьютере, мобильном телефоне, на рабочем месте в его офисе уже давно не «прижились» те «электронные штучки», приведенные в этой главе описания, действия которых приводят к различным каналам утечки его конфиденциальных данных. Чтобы «знать их в лицо», мы в этой главе приводим не только их описания, но и фотографии десятков типов подобных устройств.

Задача добывания у противника секретной информации всегда являлась непременным компонентом любой «холодной» или «горячей» войны. Наряду с традиционными методами оперативной и агентурной работы, спецслужбами всегда широко использовались и технические каналы получения секретной информации. Здесь можно вспомнить такие наиболее известные эпизоды, как операции «Берлинский тоннель» и «Златоуст». Так, на совместном секретном совещании в Лондоне в 1953 году ЦРУ США и Секретной разведывательной службы Великобритании, на котором присутствовал Джордж Блейк, один из самых ценных агентов советской разведки, было принято решение о прокладке специального подземного тоннеля к линиям связи советских войск, дислоцированных в ГДР. Через полтора года, затратив более 6 млн «тогдашних» долларов, западные спецслужбы более года непрерывно прослушивали все переговоры. Поскольку задача обеспечения безопасности Блейка была главной, советская сторона некоторое время использовала этот канал связи для дезинформации и только через год «случайно» обнаружила этот канал — был крупный международный скандал.

Суть же операции «Златоуст» (в рассекреченных архивах НКВД она имеет шифр «Исповедь») заключалась в следующем. В 1943 г. сразу же после возвращения с Тегеранской конференции Сталин поставил перед Берия задачу — разместить «жучок» в здании американского посольства в Москве. Почему Сталин принял такое решение? В ходе личных встреч и переговоров с «партнерами» он почувствовал, что имевшаяся перед встречей информация советских спецслужб о «закулисных переговорах» партнеров не лишена оснований. Советские конструкторы создали не имеющий аналогов в мире «жучок» — пассивное подслушивающее устройство, не требующего элементов питания, и следовательно не обнаруживаемого с помощью технических средств того времени. Запускался жучок с помощью генератора электромагнитных импульсов, установленного в жилом доме напротив посольства. Этот «жучок» был вмонтирован в массивный деревянный герб США, висевший в кабинете Аве-релла Гарримана, как подарок пионеров «Артека», и 8 лет передавал чекистам секретную информацию.

В современных «кибервойнах», конечно, же сегодня используются другие, более современные средства и технические каналы получения секретной информации. Например, как у США. Англии, Китая, так и у России имеются специальные подводные аппараты (автономные станции), способные опускаться на большие глубины и подключаться к подводным межконтинентальным линиям связи. Однако все же основной объем секретной информации спецслужбы получают по каналам, рассмотренным в этой главе.

Какое отношение кибероружию имеют эти каналы? На основе полученной с их помощью информации обычно выбираются цели и объекты очередных кибератак, способы их реализации. Понятно, что это могут быть не только спецслужбы, но и различные криминальные группы и сообщества и даже отдельные злоумышленники. Следовательно, если вы хорошо знаете эти технические каналы, изучили и на практике используете рекомендуемые меры их зашиты от несанкционированного съема информации, у вас уменьшается вероятность стать очередным объектом кибератаки.

Здесь приведена классификация основных наиболее известных технических каналов утечки секретной информации, рассмотрены принципы их функционирования, методы их выявления и противодействия. Рассмотрены особенности основных типов каналов утечки, в том числе электромагнитные каналы скрытого доступа к информации, обрабатываемой компьютерами, специально создаваемые технические каналы, естественные электрические каналы, каналы на основе анализа и обработки акустических и побочных электромагнитных излучений (ПЭМП) объекта наблюдений и др. В частности, побочным электромагнитным излучением (ПЭМП) называется нежелательное радиоизлучение, возникающее в результате нелинейных процессов в блоках вычислительной техники и телекоммуникационной аппаратуры.

Так. побочные электромагнитные излучения возникают при следующих режимах обработки информации средствами вычислительной техники:

• вывод информации на экран монитора;

• ввод данных с клавиатуры:

• запись информации на накопители;,

• чтение информации с накопителей;

• передача данных в каналы связи;

• вывод данных на периферийные печатные устройства — принтеры, плоттеры;

• запись данных от сканера на магнитный носитель и т. д.

Для перехвата информации, обрабатываемой компьютерами, возможно также использование специальных электронных устройств перехвата информации (аппаратных троянов), скрытно внедряемых в технические средства и системы.

Перехваченная с помощью аппаратных троянов информация пли непосредственно передается по каналу связи на приемный пункт, или записывается в специальное запоминающее устройство и передается только по команде управления.

Для передачи информации на приемный пункт могут использоваться радиоканал, оптический (инфракрасный) канал и даже линии электропитания вычислительных устройств.

Аппаратные трояны, внедряемые в компьютеры, по виду перехватываемой информации можно разделить на:

• аппаратные трояны для перехвата изображений, выводимых на экран монитора;

• аппаратные трояны для перехвата информации, вводимой с клавиатуры компьютера;

• аппаратные трояны для перехвата информации, выводимой на периферийные устройства (например, принтер);

• аппаратные трояны для перехвата информации, записываемой на жесткий диск компьютера.

Шестая глава посвящена исследованию троянов в электронной аппаратуре — в телекоммуникационных системах, в компьютерах, в системах мобильной связи, в автомобилях и даже в бытовой электронике. Фактически здесь показан эволюционный технологический путь развития аппаратных троянов от «шкафов», «ящиков» и «коробочек» до микросхем.

Здесь приведен ряд конкретных примеров внедрения программных и аппаратных троянов в различные электронные устройства, телекоммуникационное оборудование, мобильные телефоны, персональные компьютеры, электронные системы управления автомобилей, и даже в одежду и обувь объектов атак. Надо сказать, что эта глава ориентирована на широкий круг обычных пользователей интернета и мобильных телефонов — от «продвинутых» школьников до пенсионеров, которые активно используют в повседневной деятельности эти гаджеты, часто не зная о тех опасностях, которым подвергает себя и своих близких.

Так в разделе 1.8 первой главы «перехватывать все — основной принцип АНБ», мы показали обширную географию «поля деятельности» этой организации, фактически охватывающую весь мир и каждого человека. В частности, одно из подразделений АНБ непрерывно в течении многих лет разрабатывает методы для получения доступа к сети беспроводных сетей извне, позволяя сотрудникам подключиться к этим сетям и распространять свое собственное зловредное программное обеспечение. Троян NIGHTSTAND, например, может удаленно внедрить пакеты данных для различных вредоносных Windows программ. Троян SPARROW II предназначен для выявления сетей беспроводной локальной сети с воздуха. Система достаточно мала, что позволяет устанавливать ее на беспилотный аппарат (БЛА}, если иного способа проникнуть на объект атаки нет.

Специальная серия ASA представлена моделью типа PIX, и все они предназначены для организации кибератак на предприятия различных размеров, а также корпоративных центров обработки данных.

Троян NIGHTSTAND представляет собой исключительно компактную мобильную систему для беспроводной инъекции зловредного кода через определенные уязвимости систем Windows, использующих стандарт 802.11. Согласно технической спецификации он работает на расстояниях до 13 километров (восемь миль).

В этой главе также рассматриваются трояны, внедряемые в рабочие серверы предприятий — объектов кибератак. Как известно — сервер — это специальный компьютер, который обеспечивает доступность данных в сети компании пли в сети Интернет. Подразделения АНБ разработали сразу несколько аппаратных и программных троянов для серверов производителей Dell и Hewlett-Packard. Программный троян «DEITYBOUNCE» размещается внутри BIOS, самом низком уровне программного обеспечения, серверов Dell Power Edge. Это расположение обеспечивает функционирование трояна по установке дополнительных шпионских программ, даже если компьютер перезагружается или осуществляется переустановка операционной системы. Предполагается, что аппаратные трояны-имплантаты для серверов Dell и HP устанавливаются на этапе доставки оборудования конкретному заказчику путем перехвата и манипулирования, при этом их установка профессионалом АНБ занимает буквально несколько минут.

В частности — HP DL380 G5 — это сервер хранения данных пятого поколения, который широко используется в корпоративных центрах обработки данных.

Специализированный троян IRONCHEF («железный шеф») основан на зловредном изменении BIOS и обычно применяется для установления связи шефа с конкретным агентом АНБ. используя скрытые аппаратные средства. Известно, что троян разработан для серверов семейства Proliant, которые выпускаются компанией Hewlett-Packard, например, Dell PowerEdge server — это сервер хранения. предназначенный для использования в корпоративных центрах обработки данных.

Троян DEITYBOUNCE основан на изменении BIOS, этот троян применяется для установления связи с инфраструктурой NSA (National Security Agency), используя скрытые аппаратные средства.

Следует отметить тот факт, что основным уязвимым механизмом проникновения троянов, в частности, для сетевого оборудования является BIOS. После специальной операции перепрошивки платформы становится возможным как устанавливать программные закладки 2-го уровня, так и обеспечивать их постоянное присутствие. Наиболее очевидным средством контроля образа BIOS является использование модуля доверенной загрузки. Возможным усилением этого механизма контроля может являться единая подпись удостоверяющего центра на все BIOS, а также обязательное наличие в ПО возможности расчета и отображения контрольных сумм BIOS и ОС.

Отдельно следует отметить системный подход спецслужб США по покрытию целевой инфраструктуры разнообразными закладками.

В этой главе также рассмотрены основные типы аппаратных троянов в компьютерах — в системном блоке, для получения через порт USB. трояны для перехвата и передачи «хозяину» информации вводимой пользователем через клавиатуру, а также основные виды троянских программ, внедряемых в жесткие диски компьютеров.

Так. например, в отдельном разделе главы рассмотрены аппаратные трояны, внедренные в системные блоки компьютеров.

Троян HOWLERMONKEY представляет собой аппаратный радио-модуль. который в совокупности с другими элементами позволяет снимать удаленно данные с вычислительных компонентов, а также осуществлять удаленное управление.

Троян GINSU — это троянская часть комплекса, которая состоит из аппаратного импланта BULLDOZER (устанавливается в разъем PCI) и программной закладки KONGUR. В совокупности позволяет осуществлять удаленный доступ к Windows-системам.

Троян MAESTRO-II — это модуль на интегральных схемах, который может быть легко сконфигурирован для выполнения конкретных специальных задач.

Троян IRATEMONK — представляет собой зловредный код в прошивке накопителей на жестких дисках от следующих производителей: Western Digital, Seagate, Maxtor and Samsung. Он позволяет заменять MBR (Master Boot Record — загрузочная мастер-запись).

Троян SWAP — представляет собой зловредный код в прошивке BIOS, который позволяет удаленно управлять различными ОС (Windows, FreeBSD. Linux, Solaris) и файловыми системами (FAT32, NTFS. ЕХТ2, ЕХТЗ. UFS 1.0) на компьютере пользователя.

Троян WISTFULTOLL — предназначен для проведения атак несанкционированного доступа к данным, используя протокол WMI (Windows Management Instrumentation). Также может быть использован как подключаемый модуль для программ-шпионов UNITEDDRAKE и STRAITBIZZARE.

Троян JUNIORMINT — аппаратный модуль на интегральных схемах, который может быть гибко конфигурирован для различных целей.

Троян SOMBERKNAVE — программный шпион под ОС Windows ХР. который использует не задействованные порты беспроводного подключения. В результате к компьютеру можно удаленно не санкционирование подключаться и управлять им.

Говоря о «клавиатурных шпионах» (кейлоггерах), надо отметить, что к нашему с вами огромному сожалению, существуют разнообразные способы распространения кейлоггеров. но не стоит ждать от клавиатурных шпионов эксцентричных способов распространения. они в целом такие же, как и у других троянов.

Здесь можно выделить лишь следующие наиболее известные методы распространения кейлоггеров (без учета случаев покупки и установки их заботливым другом, супругом/ой и использования кейлоггеров службами безопасности организаций):

• при открытии зараженного файла, присоединенного к электронному письму;

• при запуске файла из каталога, находящегося в общем доступе в peer-to-peer сети;

• с помощью скрипта на веб-страницах, который использует особенности интернет-браузеров, позволяющие программам запускаться автоматически при заходе пользователя на данные страницы;

• с помощью ранее установленной вредоносной программы, которая умеет скачивать и устанавливать в систему себе подобные аналоги.

Также в главе перечислены основные известные нам методики поиска клавиатурных шпионов. Как оказалось, несмотря на всю изощренность клавиатурных шпионов, для их «отлова» (поиска) существуют своп, довольно успешные методики: поиск по сигнатурам, эвристические алгоритмы, мониторинг API-функций, используемых клавиатурными шпионами, отслеживание используемых системой драйверов, процессов и сервисов.

В этом разделе также перечислены основные способы защиты как от программных, так и от аппаратных кейлоггеров.

Надо сказать, что большинство антивирусных компаний сегодня добавляют известные кейлоггеры в свои базы, и метод защиты от них не отличается от метода зашиты от любого другого вредоносного программного обеспечения, а именно: устанавливается антивирусный продукт; поддерживается актуальное состояние баз.

Впрочем, это помогает не всегда, поскольку большинство антивирусных продуктов относит кейлоггеры к классу потенциально опасного программного обеспечения, то прежде всего следует удостовериться. что при настройках по умолчанию используемый антивирусный продукт детектирует наличие программ данного класса. Если это не так. то для их детектирования необходимо выставить подобную настройку вручную. Это позволит реально защититься от большинства широко распространенных кейлоггеров.

Здесь также рассмотрены и основные вопросы методологии безопасности. Так как основной целью использования любых клавиатурных шпионов является получение конфиденциальной информации (номера банковских карт, паролей и т. п.), то разумными методами защиты от них являются следующие:

• использование одноразовых паролей, двухфакторная аутентификация;

• использование систем проактивной защиты;

• использование виртуальных клавиатур;

• использование No-script расширений для браузеров.

Одноразовый пароль действует только один раз, при этом часто ограничивается и период времени, в течение которого им можно воспользоваться. Поэтому, даже если такой пароль и будет перехвачен. злоумышленник уже не сможет воспользоваться им для получения доступа к конфиденциальной информации.

В разделе 6.3 этой главы детально рассмотрены наиболее часто используемые «злоумышленниками» типы программных и аппаратных тронное, предназначенных для внедрения в мобильные телефоны. Детально рассмотрим их типы, особенности, пути внедрения и методы защиты. При описании путей внедрения программных троянов в мобильные телефоны (смартфоны, андроиды) мы привели статистику за 2016 г. известной антивирусной компании Dr.Web. Например, только из Google Play 50 млн пользователей загрузили приложение Touch Pal (с агрессивной рекламой), 3.2 млн - троянец Android. Spy. 277. origin multiple accounts, 2,8 млн — троянец Android Spy. 277. origin и т. д. Наверняка среди этих миллионов пользователей находится и кто-то из наших читателей, хотя, возможно, он об этом даже не знает.

Конечно, как только эти факты становятся известными, выявленные уязвимости закрываются, но ведь и все залатать невозможно, даже после «свежих обновлений» всегда в системе остается парочка неизвестных пока «дыр», куда просачиваются злоумышленники.

К сожалению, все мы привыкли считать, что наших знаний вполне хватает для того, чтобы не стать жертвами вредоносных приложении. К тому же, если набор используемых нами приложений давно устоялся, то беспокоиться, вроде бы. не о чем. Но на все правила есть исключения. В этой главе мы покажем, в каких ситуациях риск заражения всё же реален и для «продвинутых» пользователей.

Прежде всего — это устаревшие ОС. В первую очередь «на крючке» оказываются пользователи старых версии ОС Android. Как бы ни ругали компанию Google, толк от её заплаток есть — всё же они закрывают большинство известных дыр. Вот только закрывают они. как правило, уязвимости для последних версий Android и только для устройств от Google. Впрочем, даже владельцам регулярно обновляемых устройств не стоит полностью полагаться на штатные механизмы защиты.

Так. мы показали, что не успела заработать шестая версия Android, как авторы трояна Gugi (Trojan-Banker.AndroidOS.Gugi.c) научились легко обходить защиту, и обналичивать банковские карты самоуверенных пользователей. В 2016. как сообщила та же Dr. Web. 93 % пострадавших находились в РФ (примерно 5 000 человек).

Второй по степени опасности риск «заразиться» — это неофициальные источники. Ругать за установку приложений из неофициальных источников глупо, в конце концов, свободное скачивание — одно из преимуществ Android над iOS. «Тёмный» софт, оставленный на развалах фаплообменнпков, принимает любую форму: программа может прикинуться игрой пли полезным приложением.

Например — троян, который умеет внедряться в корневую систему телефона. Пользователь скачивал файл, запускал его. а цифровая тварь под названием ANDROIDOS LIBSKIN.A собирала информацию об аккаунте и отправляла её на удалённый сервер, была собрана огромная база личных данных. Кто, как и в каких целях её использовали или используют на момент выхода книги остаётся неизвестным.

Официальный маркет — еще один источник заражения.

В Google Play на момент выхода книги обнаружено более сотни программ, заражённых рекламным троянцем Android. Spy.277. origin. Это вредоносное приложение путает пользователей сообщением, что аккумулятор смартфона повреждён, а для восстановления его работоспособности нужно как можно скорее скачать специальную программу. Пока пользователь разоврется с проблемой. троянец помещает рекламные сообщения в панель уведомлении и создает на главном экране ярлыки, ведущие на приложения в Google Play.

В категории неопытные пользователи больше других подвергнуться атакам злоумышленников рискуют дети и пенсионеры: они любят загружать из Google Play всё подряд и кликать по ссылкам без разбора. Меры предосторожности в виде запроса пароля при покупке здесь не помогут: вредоносные приложения обычно бесплатные и имеют максимально привлекательные названия и скриншоты (а порой и достаточно высокие места в поисковой выдаче). Например — троян, «переодевшийся» под популярную игру Pokemon Go, который скачали 500 000 пользователей.

Социальный инжиниринг опасен тем. кто плохо разбирается в софте и всерьёз воспринимает рекламные SMS-рассылкп и мигающие баннеры. Типа этого: «Привет, нашёл интересное фото с тобой» — доверительно рассказывает некий аноним, а потом присылает ссылку. Вероятность того, что какой-то доброжелатель решил поделиться с вами компроматом, довольно низкая. По ссылке уже с нетерпением будет ждать цифровой диверсант, который непременно попытается взять управление вашей техникой под свой контроль пли просто украсть ваши деньги.

В разделе 6.3 мы также приводим перечень и описание специальных вирусов и паразитных программ, предназначенных для заражения современных смартфонов: «рекламщики», зомби (ботнет), «вымогатели», «доносчики», «письма счастья», «банкиры». Последний тип паразита (иногда его называют «банковский служащий»), позвляет различными способами перехватывать реквизиты карты, чтобы потом «вычистить» содержимое вашего банковского счета.

В этой связи мы говорим читателям, что главное ограждение от всех троянов, шпионов и прочей нечисти — ваша голова, просто будьте внимательней. Предупредите и своих близких, чтобы не открывали ссылки от непонятных людей и не качали «мутные» программы из маркетов. По возможности, регулярно проверяйте свой смартфон на уязвимости и помните, что любой загруженный продукт лучше заранее просканировать антивирусом. При соблюдении этих несложных правил ваши шансы не оказаться обокраденным возрастут, хотя и не будут сведены к нулю.

Впервые в отечественной печати мы приводим уже давно известный на Западе факт появления очередной новой киберугрозы — так называемых «автомобильных» вирусов. Мы покажем, как еще в 2010 г. было экспериментально подтверждено, что даже «средней руки хакер» легко может взломать компьютерные системы любого мобильного транспортного средства (легкового автомобиля, грузовика. автоцистерны для перевозки химически опасных грузов, танка и т. д.) и все бортовые системы автоэлектроникп — от печки, радио, контроля шин до руля, тормозов и систем обеспечения безопасности. И если раньше у злоумышленника был только один способ получить доступ к автомобилю — использовать «механический контакт» (через диагностическое оборудование автомобиля), сейчас автомобили получили выход в Интернет. Показано, что эта угроза приобретает особый характер в связи с перспективой «беспилотного автомобиля». Кстати, в Интернете многие эксперты связывают факты появления этой киберугрозы с известным фактом гибели принцессы Дианы в автокатастрофе.

Завершает шестую главу раздел, посвященный троянам в бытовой электронике, где приведены конкретные, на первый взгляд, анекдотические случаи приобретения российскими гражданами различной бытовой техники с внедренными троянами (утюги. С'ВЧ-печп). На вопрос кто и зачем «засунул» в эти безобидные приборы этих тварей ответа нет. Но учитывая тот факт, что в момент их включения (активации) в радиусе до нескольких километров наблюдается ухудшение мобильной связи и широкополосные помехи, эксперты — конспирологи предполагают, что эти приборы попали в Россию случайно — из-за логистической ошибки спецслужб и предназначались для выполнения спецакции в другой стране, где наблюдаются «цветные революции».

Седьмая глава предназначена уже более «узкому» кругу читателей — специалистам в области радиоэлектроники и микроэлектроники и посвящена проблеме аппаратных троянов в современных микросхемах. Приведена их классификация, рассмотрены наиболее известные на момент выхода книги их конструкции, механизмы активации, маскировки, способы внедрения, специфические особенности, основные способы их выявления.

Более детальный анализ этих «зловредов» приведен в уже в многократно цитируемой нашей книге — технической энциклопедии «Программные и аппаратные трояны — способы внедрения и методы противодействия». Здесь же рассмотрены только наиболее важные с точки зрения кибербезопасности направления. Это трояны в RFID — радиочастотных микросхемах (метках) типа EPCCIG2, в беспроводных криптографических микросхемах, в трехмерных интегральных микросхемах (3D). Даны основные положения современной технологии контроля безопасности в микроэлектронике, рассмотрены и основные алгоритмы внедрения заряженных троянами микросхем в объекты кибердиверсий. Особое внимание в этой главе мы уделили микросхемам пассивных меток по той причине, что в последние годы использование меток EPC C1G2 значительно возросло. Эта технология используется в таких популярных приложениях. как контроль доступа в здания (системы идентификации личности, электронные пропуска), сбор оплаты за услуги, идентификация людей и животных. Вредоносные схемы в таких устройствах могут действовать, как бомба с временной задержкой, которая может быть активированна в любой момент для нейтрализации любой системы на основе RFID. Аппаратные трояны являются вредоносными аппаратными компонентами, встроенными нарушителями в кристалл микросхемы для того, чтобы блокировать пли разрушить систему в какой-то будущий момент времени, или для того, чтобы организовать постоянную утечку конфиденциальной информации. Такая вредоносная схема может быть большой угрозой для правительственных, коммерческих, финансовых или военных учреждений. Аппаратные трояны характеризуются запуском (т. е. механизмом, который активирует схему), полезной нагрузкой (т. е. действием схемы) и фазой вставки (в какой момент изготовления ИС в нее устанавливается дополнительная функция).

На примере криптографической микросхемы в этой главе мы рассмотрим такие аппаратные трояны, цель полезной нагрузки которых заключается в организации утечки секретной информации (например, ключа шифрования) по беспроводному каналу таким образом. чтобы атакующий (злоумышленник) смог без проблем оперативно расшифровать кодированную передачу данных. Практическая ценность подобных аппаратных троянов заключается в том. что атакующий может прослушивать только общедоступные беспроводные каналы, но он не имеет возможности управлять ими. Конечно, надо понимать, что в этом случае трояны уже являются активными. При этом, эти аппаратные трояны контролируют как всю систему, которая содержит секретную информацию, так и конкретную ее подсистему, которая контролирует процесс беспроводной передачи, и они синхронно манипулируют только параметрическим пространством. не нарушая какой-либо функциональной спецификации микросхемы. Покажем, что для цифровых криптографических микросхем были разработаны различными злоумышленниками похожие аппаратные трояны, нацеленные на организацию утечки секретных ключей через специальные побочные каналы.

Атаки аппаратных троянов на беспроводные ПС представляют реальную угрозу, они могут взламывать приложения, где используются такие кристаллы. Хотя такие аппаратные трояны открыто передают секретную информацию, такую как ключ шифрования, через дополнительную структуру, которая тщательно спрятана в пределах легитимной передачи данных, обычное производственное тестирование и существующие методы обнаружения аппаратных троянов не в состоянии их обнаружить. Даже если эта добавленная структура известна только атакующему, её явное наличие дает основание методу обнаружения аппаратного трояна, который был в частности применен к криптографическим ИС. В этой главе мы покажем, как статистический анализ различных параметров передачи данных для беспроводной криптографической ПС может эффективно обнаруживать кристаллы, которые создают утечку дополнительной информации.

Несколько разделов этой главы посвящены методам обнаружения аппаратных троянов в коммерческих и военных микросхемах. Показано, что практически все известные методы обнаружения аппаратных троянов подразумевают наличие эталонной модели. Для существующих методов обнаружения троянов в основном требуются два вида эталонных моделей: эталонный проект или эталонная ПС. Эталонные проекты, как правило, требуются для методов обнаружения троянов до реализации в кремнии для валидации уровня регистровых передач списка связей IP-ядра или проектов ПС типа SoC. Для верификации и проверки подлинности IP-ядра сторонних производителей требуется некий эталон их функций или характеристик. Кроме того, часть методов обнаружения троянов после реализации в кремнии требует наличия эталонных проектов (на уровне логических элементов или топологии). В России наиболее часто используется метод разрушающего обратного проектирования, который подразумевает наличие эталонного списка связей или топологического чертежа для сравнения. При функциональном тестировании также требуются эталонные проекты для генерации тестовых шаблонов и определения правильности ответов.

В восьмой главе рассмотрены наиболее опасные компьютерные вирусы, программные трояны и шпионские программы, модели воздействия на компьютеры программных троянов, способы внедрения и механизмы их взаимодействия с атакующим субъектом — хакером, злоумышленником, агентом спецслужб.

В рамках самостоятельных разделов здесь подробно рассмотрены программные клавиатурные шпионы, принцип функционирования RootKit-технологпп, cookies, шпионская программа Regin. приведены конкретные примеры внедрения трояна в стандартный PE-файл системы Microsoft Windows.

Так в разделе, посвященном вирусам, подробно рассмотрены компьютерные вирусы, приведены наиболее распространенные термины и определения.

Так, компьютерный вирус — это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копни (возможно, измененные) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т. д., причем эти копии сохраняют возможность к «размножению».

Процесс внедрения подобным вирусом своей копии в другую программу (файл, системную область диска и т. д.) называется заражением, а сама программа или конкретный объект, содержащий вирус — зараженным.

Показано, что обязательным свойством любого компьютерного вируса является его способность к размножению (самокопированию) и незаметному для пользователя внедрению в файлы, загрузочные секторы компьютерных дисков и цифровые документы. Слово «Вирус» по отношению к компьютерным программам пришло из биологии именно по признаку его способности к автоматическому размножению (саморазмножению).

Рассмотрены основные признаки появления вируса в вашем компьютере, дан краткий исторический обзор вирусов и основных вирусных эпидемий.

Приведена подробная классификация компьютерных вирусов. Хотя сегодня единой «общепринятой» классификации вирусов не существует, но обычно все многочисленные разновидности вирусов эксперты класспфпцируют по следующим основным признакам:

• деструктивным возможностям;

• способу заражения объекта атаки;

• среде обитания вируса;

• особенностям алгоритма реализации.

В свою очередь, по «деструктивному воздействию» все компьютерные вирусы можно условно разделить на три основные категории: безвредные вирусы, опасные вирусы, очень опасные вирусы.

По признаку «способ заражения» все вирусы можно разделить на две группы — так называемые резидентные и нерезидентные вирусы. Это весьма условное разделение.

Резидентные вирусы. Чаще всего эти вирусы являются одной из разновидностей файловых и загрузочных вирусов. Причем самой опасной их разновидностью.

Покажем, что такой резидентный вирус при заражении (инфицировании) атакуемого компьютера оставляет в его оперативной памяти свою так называемую резидентную часть, которая потом автоматически перехватывает любое обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Эти резидентные вирусы затем «поселяются» в памяти компьютера (системы) и являются активными вплоть до их выключения по команде злоумышленника пли перезагрузки компьютера.

Нерезидентные вирусы, обладая практически аналогичными возможностями отличаются только тем. что они не заражают память компьютера и являются активными только некоторое ограниченное время, которое пожелает установить злоумышленник.

По «среде обитания» все вирусы разделены на четыре основные группы (не считая пх комбинаций): файловые вирусы. До появления Интернета именно эти вирусы были самыми распространенными. На сегодняшний день известны зловредные программы, заражающие все типы выполняемых объектов любой операционной системы.

Отдельный раздел главы посвящен рассмотрению особенностям применения вируса Stuxnet, как первого официально признанного случая применения кибероружия.

Особенностью этого вируса является тот факт, что он умеет сам принимать команды и обновляться децентрализованно. А самое главное отличие — этот вирус не рассылал спам, не форматировал диск и даже не крал банковские данные. Он занимался вредительством на производстве. Точнее, он атаковал индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней. Stuxnet скрытно прописывает себя на программируемые микросхемы контроллеров, которые используются непосредственно для управления оборудованием и контроля за производством, маскируется и «убивает» конкретный технологический процесс. Причем не любой случайный процесс, а возвращающий определенный код. К сожалению, что этот код означает, экспертам на момент выхода книги пока неизвестно. Это, кстати, объясняет его способ распространения через «флешки» — ведь все современные промышленные системы в целях безопасности чрезвычайно редко подключены к Интернету.

Глава 1. Краткое введение в проблемы кибероружия

1.1. Основные эпизоды из предистории развития кибероружия

Об истории создания и развития кибероружия и его компонентов сегодня написано достаточно много статей и книг, в том числе наша двухтомная техническая энциклопедия по программным и аппаратным троянам [1]. эта тема постоянно и активно обсуждается в СМИ. поэтому здесь мы очень кратко перечислим только основные эпизоды хронологического пути развития этого «многоцелевого» и опасного оружия.

Если первые хакеры, разрабатывая свои экспериментальные программки, часто попросту желали бесплатно общаться по телефону или более детально разобраться с нюансами функционирования компьютерных сетей, то со временем цели и задачи компьютерных «взломщиков» становились все более опасными. В наши дни онп могут реально угрожать безопасности людей и даже целых государств.

Прежде всего следует отметить, что в жаргоне студентов Массачусетсского технологического института (MTII) в конце 60-х годов словом «хакер» называли того, кто мог решить какую-либо сложную техническую задачу необычным, но эффективным способом. Считается, что термин происходит от английского глагола «to hack», ближайший аналог которого в русском языке — «справляться». И хотя до появления Интернета было еще далеко, это слово прижилось и сохранилось в лексиконе современных специалистов в области информационной безопасности.

Puc.1. 1. Цифровые твари и где они обитают [2]

На рис. 1.1 представлен в иллюстративном виде ход эволюции «цифровых тварей», как их часто называют журналисты.

В период 1970–1979 гг. наблюдалась настоящая эпидемия телефонного мошенничества. Хакеры «докомпьютерной эры» называли себя «фрикерами» (каламбур от слов «phreak» и «phone»). Фрикеры взламывали телефонные сети, в основном, только для того, чтобы звонить бесплатно. Самым известным из фрикеров стал американец Джон Дрейпер по прозвищу «Капитан Кранч», который научился имитировать сигнал телефонной линии с помощью обычного игрушечного свистка.

Начало следующего десятилетия (1980–1989 гг.) характеризуется появлением первых компьютерных хакеров. Так. 17-летний Кевин Митник из Лос-Анджелеса в 1980 году одним из первых «взломал» компьютерную сеть. Для начала он взломал локальную сеть в своей школе, а затем неоднократно проникал в сети различных телефонных компаний, чтобы получать конфиденциальную информацию о технологиях связи н совершенствовать свое мастерство. Вскоре Митника разоблачили, он несколько раз приговаривался к разным срокам заключения. но не оставил своего увлечения, хотя ему и было официально запрещено пользоваться не только компьютером, но и телефоном — это ограничение было снято только в 2003 году.

Считается, первым хакером в СССР был Мурат Уртембаев — программист, работавший на Волжском автозаводе. Взломав в 1983 г. систему подачи деталей на конвейер, он изменил ее настройки, что должно было дезорганизовать работу предприятия. Уртембаев планировал сразу же после фиксации факта сбоя самостоятельно его и устранить, чтобы получить за это премию. Но сбои произошел раньше, пока его создатель был в отпуске. В итоге после длительного расследования первому советскому хакеру дали условный срок «за хулиганство», обязали его возместить материальный ущерб и разжаловали в слесари. Хотя времена меняются, но даже сегодня одним из самых слабых звеньев в безопасности компании может стать сотрудник. Для того, чтобы избежать возможных угроз существуют специальные программы, например. Kaspersky Endpoint Security для бизнеса.

Появление термина «компьютерный вирус» относится к 1984 году, когда Фред Коэн, студент Университета Южной Калифорнии, написал программу, которая могла захватывать управление компьютером и создавать копии себя, заражая другие компьютеры в сети. Работу такой программы-вируса Коэн успешно продемонстрировал во время защиты своей докторской диссертации. Впоследствии Фред Коэн являлся одним из крупнейших специалистов по защите от компьютерных вирусов. Вопрос же о том, какую программу можно считать первым компьютерным вирусом, является спорным.

Первый сетевой червь был зафиксирован в 1988 году, когда аспирант Корнеллского университета (США) Роберт Моррис создал вредоносную программу, которая распространялась в сети Arpanet (прототип Интернета). Червь поразил около шести тысяч компьютерных узлов, вызвав настоящую эпидемию. Попав на компьютер. программа многократно воспроизводила себя, что полностью парализовывало его работу. Любопытно, что это было всего лишь результатом ошибки — сам Моррис такого эффекта не планировал. Ущерб в итоге составил около 96 миллионов долларов. Моррис был приговорен к трем годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Первый крупнейший взлом военных компьютеров был осуществлен в 1997 г. шотландцем Гэрри Маккинноном, который взломал военные компьютеры США. а несколькими годами позже — компьютеры NASA. Причиной взлома сам хакер назвал поиск спрятанной от гражданского общества информации об НЛО. Американцы добивались выдачи гражданина Великобритании в течение многих лет, однако в 2012 году получили окончательный отказ. В Штатах Гэрри грозило бы до 70 лет лишения свободы.

Первый вирус, повреждающий комплектующие компьютера, был зафиксирован в 1999 г. Вирус CIH. также известный как «Чернобыль», был создан тайваньским студентом Чэнь Пихао. Вирус активизировался только в годовщину взрыва на Чернобыльской АЭС и поразил около полумиллиона компьютеров, удаляя данные, а часто еще и стирая содержимое флэш-памяти BIOS. Из-за этого зараженные компьютеры попросту переставали включаться. Раньше считалось, что вирусы на такое не способны.

Одна из первых зафиксированных крупных DoS-атак датируется 2000 г. Аббревиатура DoS происходит от английского denial of service — «отказ в обслуживании». Серверы, подвергающиеся атаке, получают одновременно множество запросов от компьютеров. зараженных злоумышленниками, и. не выдерживая нагрузки, становятся недоступными для пользователей. В 2000 году одна из первых DoS-атак была совершена на сайты некоторых интернет-магазинов и веб-сервисов. Как выяснилось позже, атака была организована канадским подростком, известным как Mafiaboy. Злоумышленника приговорили к восьми месяцам тюрьмы. Ущерб от атаки составил, по разным оценкам, от 500 миллионов до 6 миллиардов долларов.

Первая серьёзная атака на корневые DNS-сервера отмечена в октябре 2002, когда хакеры с помощью мошной DDoS-атаки попытались заблокировать все 13 корневых доменных серверов — в результате мог «сломаться» весь Интернет. Кто стоял за атакой, до сих пор осталось неизвестным.

Первый троянец для банкоматов был обнаружен в 2009 г. Тогда «Лаборатория Касперского» обнаруживает первую в истории троянскую программу, нацеленную на банкоматы — Backdoor.Win32. Skimmer. Она ворует данные попадающих в устройство кредитных карт и умеет несанкционированно выдавать деньги.

Первое применение кибероружия, как считает большинство западных экспертов, относится к 2010 г., когда был обнаружен вирус Stuxnet. который способен поражать и физически разрушать компоненты автоматизированных систем управления производственным оборудованием. Stuxnet был создан США и Израилем для заражения и разрушения компьютерной системы ядерной программы Прана. Вирусу удалось нарушить работу’ более тысячи устройств для обогащения уранового топлива и сорвать ядерную программу Прана. Более подробно особенности этой кибероперащш, которая получила название «Олимпийские игры», мы рассмотрим в главе, посвященной вирусам и троянам.

Появление вируса Stuxent показало, что на смену «любите лям» пишущим вирусы разных направлений, а потом и киберпреступникам, вымогающим или крадущим деньги, пришли «профессионалы», воспринимающие информационные системы как «поле боя».

В 2013 году были зафиксированы первые случаи атаки червя Carbanak. В течение нескольких лет с его помощью было украдено около 1 миллиарда долларов. Жертвами стало около 100 финансовых организаций по всему миру, в том числе в С НГ. Одним из способов получения хакерами денег был удаленный контроль банкоматов. Сообщники подходили к ним в определенное время, а те просто выдавали наличные. В 2015 году в ходе совместного расследования «Лаборатория Касперского», Европол и Интерпол раскрыли беспрецедентную киберпреступную операцию. Ограбления продолжались два года и затронули около 100 финансовых организаций по всему миру. Лидера группировки задержали только в 2016 году.

В 2016 были зафиксированы и первые атаки на Интернет Вещей. Интернетом Вещей называют совокупность связанных между собой устройств, управляемых через сеть — самой различной домашней или офисной техники, которую в просторечии называют «умной». Хакеры атакуют и такие устройства, что может приводить к крайне неприятным последствиям: например, в 2016 году в Финляндии были взломаны «умные дома» — в результате в них отключили отопление. В том же году были зафиксированы атаки ботнета Mirai, образованного из сотен тысяч взломанных «умных» устройств. В результате одной из его атак «обрушился» целый сегмент Интернета, к примеру, были недоступны Twitter, Github, Soundcloud, Spotify и другие сервисы. Стоит ли говорить, какую опасность может повлечь взлом медицинской техники или «умных» кардиостимуляторов.

С появление биткоина в 2017 году была зафиксирована эпидемия WannaCry. Массовое распространение одного из самых известных червей началось в мае 2017. Считается, что за год с небольшим он заразил около полумиллиона компьютеров по всему миру. Используя уязвимость в операционной системе. WannaCry зашифровывает важные файлы пользователей и требует за них выкуп в биткоинах. Если оплата не поступает в течение 3 дней, сумма выкупа удваивается. А через неделю доступ к файлам пропадает навсегда. Экономический ущерб от эпидемии оценивается в 4 миллиарда долларов.

Особую угрозу действия «киберсолдат» представляют для инфраструктур современного топливо-энергетического комплекса — нефтяных и газовых транспортных систем, электростанций (особенно — для атомных станций).

Так. в 2015 г. «неизвестные злоумышленники» с использованием программы «Black Energy» перехватили управление украинскими энергосетями, отключив несколько областей. Информационно-управляющие системы операторов украинских энергосетей при этом были просто заблокированы: они наблюдали, как зрители, процесс отключения, но никак не могли ему помешать.

В апреле 2015 года в информационно-управляющей сети немецкой АЭС «Gundremmingen», были обнаружены вредоносные программы W32.Romanit и Conficker.

Надо отметить, что использование различного рода вредоносных программ сегодня становится все более простой задачей: «каркас» любой такой программы-вируса можно легко найти в Интернете и затем «начинять» его любым содержанием, тем более что в Интернете полно подобных «криминальных сервисов», включая широкий спектр средств разработки вредоносных программ.

Так. в топ же Германии в 2014 г. пятнадцатилетний подросток-школьник со своего домашнего компьютера подключился к микроконтроллерам центра управления тепловой электростанции, вызвав ее аварийную остановку.

Предприятия нефтяной и газовой индустрии также являются потенциальными объектами кибероружия. Так, в 2012 г. работа национальной нефтяной компании Саудовской Аравии Saudi Aramco была заблокирована на три недели вследствие атаки программы Shamoon. в 2016 году атаки были повторены.

За период с 2017 по 2019 гг, как минимум, семь «нефтепроводных» компаний («Energy Transter Partlies LP», «TransCanada Corp» и др.) официально объявляли о попытках повреждения (перехвата управления), как минимум, трети своих информационнокоммуникационных сетей. Как сообщали в октябре 2019 г. российские СМИ, и «Газпром» не является здесь исключением из общего правила — часть газоперекачивающих станций газотранспортной сети одновременно на некоторое время просто «отключились».

Надо понимать, что далеко не все подобные «киберинциденты» становятся известны широкой общественности — крупные компании не заинтересованы в разглашении фактов своей уязвимости в области обеспечения кибербезопасности.

Создателей подобных вирусов можно условно разделить на три большие группы.

Первые «зарабатывают» тем, что воруют деньги с банковских счетов, вымогают или крадут и продают аккаунты.

Вторые специализируются на целевых атаках и пишут особые вредоносные программы, позволяющие незаметно проникать в конкретную защищенную систему.

Третью группу представляют так называемые «кибератаки», которые финансируются государством.

С появлением криптовалют соответственно появились и новые вредоносные программы и вирусы. Их можно разделить на две большие группы.

Программы-майнеры (криптомайнеры), которые заставляют атакуемый компьютер производить (зарабатывать) для злоумышленников криптовалюту и программы шифровальщики, несанкционированно кодирующие информацию на атакуемом компьютере и затем вымогающие криптовалюту (биткоины) за ее расшифровку (Petya, WannaCry и Bad Rabbit).

Напомним, что майнинг — это процесс добычи криптовалюты посредством организации сложных вычислений, которые выполняются непосредственно на вашем (или чужом) компьютере. На сегодня известны две разновидности «зловредного майнинга». В первом случае программа-майнер скрытно от вас устанавливается на ваш компьютер и начинает постоянно использовать его вычислительные мощности — процессор и видеокарту. Во втором случае майнинг выполняется только тогда, когда вы заходите на «зараженный» сайт (браузер-майнинг).

Первый случай для злоумышленника предпочтительнее, но и более сложный, ведь компьютер надо как-то «заразить». Второй — проще, здесь нужную мощность ресурсов злоумышленник «добирает» за счет большого количества пользователей, заходящих на эти сайты.

1.2. Изменение видов киберугроз за период с 1980 по 2010 гг.

На рисунке 1.2 представлены основные тенденции развития всякого рода угроз для современного так называемого «информационного общества» и «цифровой экономики». Здесь анализируемый автором [3] период времени относится к 2000–2010 гг.

Рис. 1.2. Динамика роста угрозы кибератак в период с 1980 по 2010 годы

Поскольку этот рисунок имеет, в основном, не технический, а демонстративно-иллюстративный характер, по вертикальной осн «У» «рост угроз» показан рост с течением времени уровня сложности и относительной частоты наблюдений различного рода атак на существующие сетевые и локальные системы управления банков, системы управления промышленными производствами, каналы передачи данных, социальных сетей и т. д.

Конечно, подобная визуализация этого процесса носит весьма условный характер. На этом достаточно примитивном рисунке аналитик попытался представить графическое решение задачи определения взаимосвязи между уровнем безопасности современных информационных и телекоммуникационных устройств и перечнем различного вида изощренных атак, предпринимаемыми различными злоумышленниками почти за тридцатилетний период наблюдения. точнее — за период с 1980 по 2010 гг.

Если в начале этой криминальной эпохи простейшие атаки хакеров начинались с простого «угадывания» паролей, затем «взлома паролей», то буквально через пару лет они перешли к вообще немыслимому в то время процессу — «перехват сеансов связи», внедрения в сетевой менеджмент стандартной (как считалось пользователями) диагностики, затем появилась генерация злоумышленных автоматических текстовых сообщений, а потом — целевые и распределенные атаки в социальных сетях и т. п.

Как видно из этого рисунка, уже начиная с 2001 года активизировались хакерские атаки типа «отказ в обслуживании — DoS», так называемые «распределенные» и «целевые» атаки в социальных сетях, так что экспертам по безопасности информационных систем, устройств и систем ответственного назначения стало совершенно ясно, что все они, без всяких сомнении, находятся в «зоне риска», и эта зона непрерывно расширяет свои границы.

Именно 2008 год можно считать годом, когда исследователи впервые открыто заговорили о грядущих угрозах нового типа, базирующихся уже не на программных закладках, вирусах, червях и прочих известных на тот момент программных средствах, а на внедренных в системы и их компоненты (микросхемы) аппаратных троянов, как специально реализованных зловредных схем.

Приведем характерный эпизод, поясняющий суть этой новой на тот момент угрозы. По совместной инициативе ЦРУ и Агенства Национальной безопасности (АНБ) США в 2008 году была организована конференция Computer Security Awareness Week (CSAW) на базе политехнического института NYU, в ходе которой было организованно состязание Embilded Systems Challenge. Десятки приглашенных студенческих команд на этом состязании пытались сыграть роль такого коллективного «злоумышленника», который путем внедрения аппаратного трояна в проектируемое электронное устройство военного назначения должен решить все свои неблаговидные задачи (скачивание или подмена секретных ключей и данных, изменение функций устройства, разрушение устройства и т. д.).

Результаты этого вроде бы обычного студенческого интеллектуального состязания оказались настолько неожиданными для спецслужб (с чьей подачи собственно они и были организованы), что больше подобные «открытые» конкурсы было решено не проводить в таком формате.

Если кратко охарактеризовать главный итог этого конкурса-игры, то практически все команды относительно легко взломали считавшуюся эффективной защиту, этого военного устройства, разработали и внедрили в него глубоко замаскированные аппаратные трояны, что фактически означало получение противником вполне реального полного контроля над системой управления войсковыми подразделениями США со всеми вытекающими печальными последствиями. В частности, по нашему мнению, этот факт также был использован руководством КНДР для принятия окончательного решения о создании в структуре Министерства обороны специального «подразделения киберопераций», которое на момент выхода книги содержало уже от четырех до шести тысяч (по разным источникам) северокорейских «военных хакеров», набранных из числа студентов технических университетов Северной Кореи.

В одной из глав ниже мы более подробно рассмотрим технические результаты, полученные командами-победителями.

Следует отметить и такой интересный факт. Поскольку, как показано в предыдущем разделе, существует теневой рынок подобных «киберуслуг», то должен быть и соответствующий маркетинг (теневой), и такой «вирусный маркетинг» действительно появился. Здесь на момент написания книги самый массовый продукт — вышеописанные «криптомайнеры», на которые приходится каждое пятое объявление о продажах. Стоимость их от 50 до 100 долл. США. программы-вымогатели стоят уже от 250 до 300 долл. США. программы для удаленного управления «чужим» компьютером от 450 до 550 долл. США. Дороже всего стоят вирусы, поражающие банкоматы: от 4,5 до 5,5 тыс. долл. США. Понятно, что точные данные по объему этого рынка вы не найдете в открытой печати, но эксперты оценивают его в десятки миллиардов долларов в год.

Как и каждый рынок услуг, пользующийся спросом, здесь идет своя «теневая» конкурентная борьба, появляются новые «услуги». Например — «зловред» теперь можно не только купить, но и приобрести его по временной подписке, как обычную лицензионную программу. Покупатель платит только за период работы или только за количество созданных с ее помощью зловредных файлов.

Как и любой развивающийся высокотехнологический бизнес, здесь постоянно используются новейшие высокие технологии. Для автоматизации процесса создания вредоносных вирусов и программ ilx разработчики сегодня активно используют нейросети и машинное обучение (искусственный интеллект). Например, с помощью нейропрограммпрованпя можно автоматически на 70–80 % изменить сложный программный ход вируса, сохранив его основное назначение (функционал), что позволяет более эффективно обходить антивирусную защиту.

Таким образом, сегодня мы наблюдем появление сразу двух огромных «высокотехнологичных» теневых индустрий: индустрии производства все новых невредных программ и вирусов — и одновременно индустрии производства антивирусных программ, причем современный пользователь Интернета должен платить из и одной, или другой, а то и обеим сразу сторонам этого «бизнеса».

Все более реальным становится предсказание известного ученого-футуролога и писателя-фантаста Станислава Лема: идет «борьба машин против машин».

Поскольку начиная с 2005 п, в информационных системах появились встроенные механизмы зашиты, писать и вирусы, и антивирусы стало гораздо сложнее, время талантливых одиночек ушло — появились специализированные команды (группировки, сообщества) разработчиков по обе стороны невидимой линии «киберфронта». Но все вышеуказанное относится только к первым двум большим группам хакеров нашей вышеуказанной условной классификации («воры», «вымогатели», «специалисты по целевым атакам»).

В современных «кибервойнах» сегодня в основном участвуют группы высококвалифицированных «кибербойцов», отнесенных нами к третьей группе «кибервойска», деятельность которых никогда не афишируется в открытой печати, но которые финансируются из секретных статей государственного бюджета большинства индустриально развитых стран мира.

Следует отметить одну важную деталь: спецслужбы всех стран мира очень внимательно отслеживают деятельность хакеров, относящихся к первым двум группам, используя свои «специфические» методы работы и «приглашают» наиболее «талантливых» и «опытных» из них «к сотрудничеству» и «наставничеству». Об этом общественность только иногда узнает из «откровений» перебежчиков типа Сноудена или информации с сайтов Wikiliks.

1.3. Классификация информационно-технического оружия (кибероружия)

Ниже в главах 4 и 8 мы более детально рассмотрим вопросы терминологии, объекты кибероружия, особенности оборонительного и наступательного кибероружия. в том числе подробно расскажем о вирусах, шпионских «программах», об основных видах информационных атак и приведем конкретные примеры пх реализации. В этом вводном разделе мы дадим только общие определения наиболее часто используемых терминов и определении, чтобы читатель был подготовлен к пониманию последующего материала.

Для тех читателей, которые хотят более глубоко изучить все аспекты таких сложных явлений как киберпреступность, кибероружие, кибербезопасность, мы рекомендуем обратиться к фундаментальной работе «Понимание киберпреступности: явление, задачи и законодательный ответ», которая вышла в свет еще в сентябре 2012 г., но до сих пор является актуальной.

Этот труд был подготовлен специализированным учреждением ООН «International Telecommunication Union — ITU», которое в отечественной литературе называется «Международный союз электросвязи (МСЭ) и в который сегодня входит более 200 стран мира.

Эксперты ООН называют киберпреступность основной угрозой современного общества.

Как показывает ретроспективный анализ истории создания этого военно-технического направления [1]. первыми его использовали различные криминальные группировки (якудза, гангстеры, мафиози и т. и.) для достижения своих криминальных целей без применения классических видов оружия (уничтожение улик в защищенных базах данных, кража денег и конфиденциальной информации и т. д.). По результатам судебных расследований подобных фактов Интерпол поставил в известность об этом новом виде криминальной деятельности спецслужбы развитых государств, которые сразу же оценили не только новые угрозы, но и совершенно новые возможности, которые давало им это оружие.

Если говорить о терминологии этого нового вида оружия — информационно-технического, то иногда это оружие называют одной из разновидностей «кибероружия», а иногда — «информационного оружия».

Наверное, наиболее близким к сути проблемы являются определения и классификации, изложенные в открытых руководящих документах вооруженных сил (ВС) США в области информационного противоборства (да, такие подразделения официально существуют в США уже много лет!), где это современное оружие называется «кибернетическим» и разделяется на две большие группы: информационно-психологическое и информационно-техническое [1].

Главными объектами первого вида этого кибероружия являются люди, а второго — технические объекты (программное и аппаратное обеспечение).

Как известно из открытых источников информации, в США. Китае и в странах НАТО уже много лет активно разрабатываются различные концепции войн XXII века, где кибероружию отдается основополагающая роль.

Здесь имеется в виду использование разработанных в «закрытых» институтах и лабораториях специальных средств, под воздействием которых происходят заданные изменения в информационных и социальных системах противника. В соответствии с этой концепцией применять это оружие планируется на трех уровнях одновременно: на стратегическом, тактическом и оперативном. Основными объектами его воздействия прежде всего являются информационно-технические (информационно-коммутационные, телекоммуникационные и т. п.) системы, все существующие сегодня социальные системы, инфраструктурные объекты (энергетика, транспорт, управление воздушным движением) отдельные группы лиц и даже отдельные личности (криминальные «авторитеты», «авторитетные» политики и высшие военные чины).

Пока наиболее широко (по сравнению с кибероружием) в открытой печати освещено только состояние разработки психофизического оружия (зарубежные военные называют его нейронным оружием). Психофизическое оружие — совокупность различных методов и средств (технотронных, психотропных, суггестивных, когнитивных и пр.) скрытого насильственного воздействия на подсознание человека в целях нужной заказчику модификации (изменения) подсознания (и в итоге — сознания человека), его поведения и психического состояния в интересах воздействующей стороны (государства, группы лиц или отдельного «сверхчеловека»), хотя психофизическое оружие (нейронное оружие) по сути представляет собой всего лишь одну из многочисленных разновидностей кибероружия. В следующей главе мы подробно рассмотрим все особенности этого опаснейшего вида оружия.

Информационно-техническому (кибернетическому) оружию присущи принципиально важные качественные характеристики, отличающие его от всех других известных видов оружия и дающие ему несомненные преимущества: универсальность, скрытность, высокая техническая эффективность, экономическая эффективность, возможность применения для решения задач как стратегического, так и тактического и оперативного уровнен, невозможность организации эффективного и достоверного международного контроля за созданием (разработкой) и испытаниями этого оружия, принципиальная возможность организации так называемого эффекта кролика, когда воздействие только на один элемент информационного ресурса атакуемого объекта может привести к лавинной реакции вплоть до отказа всей информационной пли управляющей системы потенциального противника.

В фундаментальной работе Ричарда Попсела (Richard A. Poise!) «Iformation and Electronic warfare» детально рассмотрены теоретические и методологические основы, математические модели, а также конкретные технические решения основных видов информационного оружия (Information warfare — IW) и так называемого электронного оружия (Electronic warfare — EW).

Информационное оружие и информационное воздействие (Information operations — Ю) здесь рассматриваются как новый подход к ведению современных войн с использованием информационных технологий (Informstion technologies — IT), а именно как следующий эволюционный этап стратегии ведения боевых действий (warfighting). Только тот, кто имеет больше информации и умеет лучше и быстрее ее обрабатывать, сможет победить в современной войне. По принятой на Западе терминологии современное информационное оружие подразделяется на пять основных видов (категорий):

• электронное оружие (Electronic Warefare — EW);

• операшш в компьютерных сетях (computer network operations — CNO);

• психологическое оружие (psychological operations - PSY OPS);

• «военная хитрость» (military deception — MILDEC);

• секретные операции (operation security — OPSEC).

CNO-оружие предназначено для атак (как активных, так и пассивных) различных компьютерных, информационных и телекоммуникационных сетей, включая мобильные сети связи.

PSYORS-оружие предназначено для воздействия на сознание гражданского населения, причем не только населения страны «противника», но и собственного населения.

EW-оружие включает в себя все аспекты построения электронных систем, которые используют электромагнитное излучение в различных целях.

Во всем мире все больше промышленных и социальных систем управляются с помощью компьютерных сетей (например, концепция «умный город»): это электроснабжение, отопление, канализация. управление транспортными потоками и т. д.

Понятно, что успешная кибератака нанесет «защищающейся стороне» не меньший урон, чем применение ядерного оружия: отключение важных инфраструктурных объектов мгновенно введет в хаос крупные мегаполисы и целые регионы.

Авторитетные эксперты утверждают, что на момент выхода этой книги наиболее профессионально подготовленные и многочисленные «кибервойска» имеет правительство США. Так. например. агентство Zecurion Analytics приводит такие цифры: общий бюджет американских «кибервойск» в 2017 году превысил 7 млрд долл., а их численность — 9 тысяч «киберсолдат». Уже в 2018 году их численность, вероятно, превысит 10 тысяч человек, поскольку руководитель управления кибербезопасности АНБ Пол Наканса на одном из брифингов заявил СМИ о принятом решении создать новое специализированное подразделение по борьбе с онлайн-угрозами со стороны российских хакеров.

Второе место в этом «рейтинге» эксперты отдают КНР: 20 тысяч «киберсолдат» с ежегодным бюджетом 1.5 млрд долл.

Великобритания на этом фоне выглядит достаточно скромно: она содержит чуть более 2 тысяч хакеров с бюджетом 450 млн долларов.

Экспертные оценки по КНДР расходятся: от 700 до 6000 хакеров с бюджетом от 400 до 900 млн долларов.

В этом списке Россия занимает скромное место — не более 1000 специалистов при годовом бюджете 300 млн долл. Косвенно эти данные подтверждают и российские СМИ. Так. еще в январе 2017 г. министр обороны РФ С. Шойгу официально подтвердил факт создания в составе МО РФ специальных киберподразделений.

О наличии таких действующих киберподразделений свидетельствует и тот факт, что еще в 2013 году во время проведения белорусско-российских учении «Запад-2013» одним из таких подразделений «условного агрессора» была смоделирована ситуация масштабной кибератаки на информационные и управляющие ресурсы «защищающейся стороны». Другое подразделение при этом «успешно отразило учебную кибератаку, максимально приближенную к реальным боевым условиям».

Что касается Беларуси, известно, что МО РБ в том же 2013 году объявило набор гражданских специалистов в сфере IT, а в начале 2018 года началось создание специальной IT-роты, укомплектованной специалистами белорусского Парка высоких технологий.

В свою очередь, отдельные составные компоненты кибероружия подразделяются на следующие группы: оборонительные, атакующие и комбинированные.

Следует отметить, что такие защитные средства, как криптографическая защита, антивирусная защита, средства обнаружения (предотвращения) несанкционированных вторжений (атак), ранее рассматривались только в качестве одного из важных элементов обеспечения информационной безопасности и противодействия несанкппонпро-ванному доступу со стороны некоторых нарушителей (хакеров).

В отечественной технической литературе и в нормативных документах по проблемам информационной безопасности часто встречаются такие термины, как «доверенная операционная система», «доверенная среда», «доверенный канал», «доверенная связь», «модуль доверенной загрузки» и т. д.

В то же время вы нигде не найдете четких определений термина «доверенный».

Обычно под доверенной системой понимают систему, использующую аппаратные и программные средства для обеспечения од-новременноп обработки информации разной категории секретности группой пользователей без нарушения прав доступа.

Фактически это является аналогом английского термина «Trusted computer system», который был введен еще в 1985 г. американским нормативным документом «Department of defense misted computer system evalution criteria».

Авторы сочли целесообразным привести здесь максимально близко к тексту оригинала также и классификацию, предложенную еще в 2013 г. в работе «Проблемы классификации кибероружия» (В. В. Каберник «Вестник МГИМО»). По нашему мнению, это одна из немногих работ в области именно научной классификации кибероружия. поскольку оперирует понятиями из области кибернетики. Автор формализовал так называемые «признаки кибероружия», разделив все типы кибероружия на четыре типа:

• избирательные системы:

• адаптивные системы с внешним управлением;

• автономные адаптивные системы;

• автономные самообучающиеся системы.

Основные особенности первого типа характеризуются следующими чертами:

1. Воздействие на систему является информационным, отсутствует физическое вмешательство.

2. Воздействие происходит на строго определенную систему или на тип систем с эксплуатацией их уязвимостей.

3. Результатом воздействия является предсказуемый и повторяемый результат.

4. Воздействие необязательно «разрушительно», целью является прежде всего нарушение нормального функционирования.

Автор вводит и некоторые «уточняющие» признаки для этого типа кибероружия. а именно:

1. Воздействие кибероружия происходит внутри ограниченных систем.

2. Целью кибероружия являются системы и комплексы, действующие по однозначно установленным законам и алгоритмам.

С этими уточнениями комплекс классификационных признаков кибероружия приобретает необходимую сфокусированность. Обратим внимание на то, что под описанные признаки попадают не только программотехнические системы, но и любые автоматы, функционирующие по известным законам. Казалось бы, этим автор избыточно расширяет спектр рассматриваемых систем. Тем не менее, такое расширение является обоснованным. Сравним два примера: в одном целью воздействия абстрактного кибероружия является программный комплекс управления атомным реактором, не подключенный к исполнительным устройствам, например, тестовый стенд; в другом, целью воздействия является такой же комплекс, управляющий действующим реактором. Результатом нарушения функционирования этого комплекса в первом случае будут сравнительно безобидные программные сбои. Во втором же случае результаты будут существенно изменяться в зависимости от схемы управления и способов функционирования подключенных к системе исполнительных устройств. Как известно, в хорошо спроектированной отказоустойчивой системе программные сбои могут эффективно парироваться на уровне оконечных управляемых автоматов, которые имеют свои дополнительные (например, чисто механические) подсистемы обеспечения безопасности. Поэтому для целенаправленного воздействия (кибератаки) при его планировании необходимо также учитывать особенности работы этих конечных автоматов, возможные способы отключения предохранительных систем, изъяны конструкции, дефекты проектирования и т. п. Из приведенного выше сравнения следует вывод о том. что для создания кибер оружия первого типа необходимо глубокое знание и понимание способов функционирования объекта воздействия (системы). Исследование уязвимостей только программного кода может оказаться недостаточным: нарушение функционирования управляющей программы необязательно приведет к фатальным сбоям. Восстановление системы при отсутствии фатальных повреждений в этом случае может быть достигнуто простой переустановкой программного обеспечения.

Еще более устойчивы распределенные системы, где необходимый уровень нарушения функционирования может быть достигнут только согласованным воздействием на несколько подсистем одновременно. Отметим еще одну особенность. Кибероружие первого типа эксплуатирует известные уязвимости системы, которые могут быть устранены ее разработчиками при наличии информации о самом факте существования такого оружия. Her сомнений, что эти уязвимости будут устранены в обязательном порядке при зарегистрированном факте применения оружия. Таким образом, кибероружие первого типа имеет практическую ценность только в том случае, если обеспечена секретность его разработки; скрыт факт его наличия и внезапность его применения. Иными словами, кибероружие первого типа является едва ли не одноразовым. Если факт его использования или сам факт наличия известен противнику, он приложит все усилия для ликвидации уязвимостей систем, которые являются целью этого оружия. Такая характеристика позволяет говорить о том. что кибероружие первого типа чаще всего является наступательным, ориентированным на нанесение эффективного первого удара. Примером кибероружия первого типа является ныне широко известный компьютерный червь Stuxnet. Обратим внимание на то. что его целью являлась совершенно конкретная система с известными уязвимостями, в том числе и на уровне конечных исполнительных устройств. Воздействие крайне избирательно: червь практически безвреден для других систем, используя их только как способ доставка к заданной цели. Но попробуем рассмотреть и некоторые следствия прецедента Stuxnet. Исследование уязвимостей цели воздействия не могло не требовать глубокого знания принципов ее функционирования. Из этого следует, что создание данного конкретного образца вредоносного ПО стало возможным только благодаря масштабной разведывательной операции одновременно с нарушением основных принципов построения системы безопасности на объекте, который стал целью воздействия. Сам же образец Stuxnet является в этом контексте лишь вершиной айсберга: специальным средством, разработанным в единичном экземпляре и использованным однократно для осуществления конкретной диверсии. Иными словами. Stuxnet следует сравнивать с заказными разработками разведывательного сообщества; это оружие никогда не предназначалось для массового использования. Такие черты не могут быть признаны характерными для всех возможных образцов кибероружия первого типа, но их следует признать довольно типичными.

Высокая стоимость разработки и предварительных НИОКР, однократность применения, беспрецедентная избирательность по-ряжения и необходимость обеспечения секретности разработки и доставки делают подобные образцы кибероружия непрактичными для реального во искового применения. Они переходят в разряд специальных средств, арсенала спецслужб. Кроме того, отдельные образцы (существование которых с высокой долей вероятности можно предположить, хотя оно никак не разглашается в открытых источниках) кибероружия первого типа могут быть использованы для нейтрализации критической инфраструктуры противника в целях повышения эффективности первого удара либо ослабления способностей противника противостоять ему. Фактически это те же диверсионные операции, предшествующие началу полномасштабных боевых действий. Интересно отметить, что способы массированного применения таких образцов сходны со структурой первого обезоруживающего ядерного удара, что в некоторых вариантах рассмотрения позволяет причислить такие (описанные абстрактно) разработки к стратегическим наступательным вооружениям.

Ко второму типу относятся адаптивные системы с внешним управлением. Выделенный выше признак № 2 характерен для несложных автономных систем. Запрограммированность действий не позволяет применять их против целей, которые значительно отличаются по структуре построения подсистем безопасности. В то же время, если мы рассматриваем модульную систему, этот признак необязательно должен выполняться. Абстрактно такой комплекс кибероружия может быть описан как информационная система, состоящая из четырех блоков: проникновения; сбора информации; связи и управления; модернизации. Схема воздействия такого кибероружия на целевую систему описывается в следующей последовательности:

1. Используя модуль проникновения, вредоносная часть оружия внедряется в систему.

2. Используя модуль связи и управления, червь предоставляет операторам дополнительную информацию.

3. Пользуясь полученной информацией, операторы выбирают оптимальные способы воздействия на эту конкретную цель.

4. Используя модуль мутации, вредоносное ПО модифицирует себя, приобретая новые свойства.

В описанной последовательности пункты 3 и 4 могут повторяться произвольное число раз. Таким образом, внутри целевой системы червь может проходить последовательную модернизацию. эффективно обходя вновь возникающие способы защиты. Описанная модульная система, очевидно, нацелена прежде всего на выполнение задач шпионажа на длительном отрезке времени. Однако принципы, использованные в ее построении, пригодны также для создания долгоживущей «закладки» в информационной системе противника. В то время как шпионский вариант такого оружия может выдать себя, как минимум, регулярно отсылаемой информацией, адаптивная «закладка» после проникновения в целевую систему может вообще не выдавать себя. Более того, пользуясь своей системой мутаций, она способна, к примеру, избавиться от ненужного уже модуля проникновения, который нередко является характерным признаком, по которому производится поиск вредоносного ПО. Применение адаптивных систем с внешним управлением в разведывательных целях наблюдалось для червей Flame и комплекса Red October. ...