Третья мировая война. Какой она будет
Шрифт:
Разница между похитителями произведений искусств и хакерами мирового класса заключается в том, что, когда работают настоящие киберграбители, вы и не догадываетесь, что стали жертвой. «Американское правительство каждый месяц совершает энное количество [точное число не называется] проникновений в иностранные сети», — сказал мне один офицер разведки. «Нас ни разу не засекли. Если нас не засекают, чего же тогда не замечаем мы, защищая собственные сети?» Как убедить кого-либо в на-линии проблемы, если вы не в состоянии предоставить доказательства ее существования? Данные не исчезают, как картина Вермеера, украденная из Музея Изабеллы Стюарт Гарднер в Бостоне в 1990 году. Очевидно, это новая, уникальная проблема, свойственная именно киберпространству. Историкам военной разведки, однако же, о подобном уже известно. Во времена холодной войны в ВМФ Соединенных Штатов были уверены, что смогут одержать победу над советским флотом, если он когда-либо перейдет к активным военным действиям, до тех пор, пока не узнали, что одна американская семья обеспечила Советам уникальное преимущество. Семья Уолкеров — сотрудник Агентства национальной безопасности и его сын, служивший в американском флоте, — предоставила СССР секретные коды и систему шифров для передачи сообщений между кораблями. С тех пор советский флот знал, где находились наши корабли, куда они направлялись, что им приказано делать, какое вооружение и другие системы на борту не работали. Мы такого и предположить не могли, потому что были уверены, что
Нет, не обязательно. Даже если сигнализация включится, не факт, что кто-нибудь сумеет на это среагировать. Всегда есть способы проникнуть в сеть под видом системного администратора или другого полномочного пользователя, и тогда никакой аварийный сигнал вообще не сработает. Более того, если даже он срабатывает, в крупных сетях зачастую на него вообще не обращают внимания. Возможно, на следующий день кто-нибудь проверит журнал регистрации и заметит, что из сети была скачана пара терабайтов информации на некий сервер, который станет первой ступенью долгого пути до пункта назначения. А возможно, никто и не заметит случившегося. Бесценное произведение искусства по-прежнему в музее. А раз так, зачем правительству и заинтересованным только в прибылях руководителям что-то делать?
Во второй главе я упоминал о многодневном происшествии 2003 года под кодовым названием «Титановый дождь». Алан Раллер, мой друг и руководитель общественной организации SANS Institute, занимающейся образованием в сфере кибербезопасности, описывает, что произошло в один из дней «Титанового дождя», 1 ноября 2003 года.
В 10:23 хакеры воспользовались уязвимым местом в сети командования информационных систем сухопутных войск на базе Форт-Хуачука (штат Аризона).
В 13:19 через тот же «черный ход» они проникли в компьютеры управления информационного обеспечения в Арлингтоне (штат Вирджиния).
В 15:25 они взломали сеть Центра исследования морских и океанских систем Министерства обороны США в Сан-Диего (штат Калифорния).
В 16:46 они ударили по оборонительной установке армейского ракетно-космического центра в Хантсвилле (штат Алабама).
Подобных дней было еще много. Помимо взлома сетей Министерства обороны были украдены терабайты секретной информации из лабораторий НАСА, а также из компьютеров таких корпораций, как Lockheed Martin и Northrop Grumman, которые платят миллиарды долларов за безопасность своих сетей. Специалисты по кибербезопасности пытались выяснить, какие методы использовались для проникновения в их сети. Один из них сказал: «Все были слишком самодовольны». Покачал головой, состроил рожу и мягко добавил: «„.до тех пор, пока не осознали, что противник только что совершенно незаметно ушел, а возможно, и продолжает нас грабить. Но мы его больше не видим». «Лунный лабиринт» и «Титановый дождь» лучше всего считать краткими эпизодами огромной кампании, большая часть которой осталась незамеченной. Трудно представить, что можно практически беспрепятственно украсть из сети компании терабайты информации. В тех случаях, о которых нам известно, компании и правительственные организации долгое время даже не подозревали о краже данных. У всех пострадавших организаций имелись системы обнаружения несанкционированного вмешательства, которые должны поднимать тревогу в случае, если неавторизированный пользователь пытается проникнуть в сеть. Кое-где были установлены более совершенные системы предотвращения несанкционированного вмешательства, которые не только предупреждают, но и автоматически блокируют хакера. Но сигналы тревоги молчали. Если вы подумали, что по компьютерам лабораторий, компаний, исследовательских центров систематически, словно пылесосом, проходятся некие зарубежные организации, вы правы. Именно так и происходит. Львиная доля нашей интеллектуальной собственности копируется и перемещается за океан. Нам остается лишь надеяться на то, что кто бы этим ни занимался, у них не хватит аналитиков исследовать всё и найти все драгоценности, хотя это и слабая надежда, особенно если в стране, которая организует хакерские атаки, проживает миллиард человек.
Во всей этой мрачной картине есть одно светлое пятно, и связано оно с APL, физической лабораторией Университета Джонса Хопкинса под Балтимором. Лаборатория зарабатывает сотни миллионов долларов в год, проводя для американского правительства исследования в самых разных областях, начиная от космических технологий и заканчивая биомедициной и секретными проектами по национальной безопасности. Лаборатория APL обнаружила, что из ее сети в 2009 году выкрали огромные массивы данных, и сумела остановить этот процесс. APL — одно из тех мест, где работают настоящие эксперты по кибербезопасности, у них заключены контракты с АНБ. Поэтому логично предположить, что их системы предотвращения вторжений сумели заблокировать кражу данных. Однако эти эксперты нашли единственный способ остановить утечку — отключиться от Интернета. APL полностью перекрыла связь и изолировала целую сеть, сделав ее автономным островом в киберпространстве. На протяжении недель специалисты APL исследовали компьютер за компьютером, чтобы найти «черные ходы» и вредоносные программы. Чтобы убедиться в том, что важные данные никто не копирует прямо из вашей сети, вам нужно знать наверняка, что вы не связаны с кем бы то ни было вне вашей внутренней сети. Но это сложнее, чем может показаться. В больших организациях сотрудники устанавливают соединения со своими домашними компьютерами, ноутбуками с wi-fi, устройствами вроде копировального аппарата, который имеет выход в Интернет. Если вы хоть как соединены с Интернетом, считайте, что утечка уже произошла.
Действительно, хакерам, в том числе лучшим, которые работают на правительства Соединенных Штатов и России, редко не удается проникнуть в сеть, даже если ее операторы считают, что она не связана с Интернетом. Более того, хакеры работают так, что всех, кто бьет тревогу по поводу защиты сетей, окружающие считают параноиками. Они не оставляют следов, за исключением тех случаев, когда сами в этом
Другой ответ на вопрос, почему в Америке до сих пор не поддерживают идею защиты уязвимых мест перед угрозой кибервойны, заключается в том, что «идейные лидеры» этой сферы до сих пор не договорились, что делать. Чтобы проверить данную гипотезу, я отправился на поиски таких «идейных лидеров» и нашел их… где бы вы думали? В самом неожиданном месте: в казино Caesars Palace в Лас-Вегасе, в августе 2009 года, в сорокаградусную жару.
Caesars Palace — место, совершенно неподходящее для подобных сборищ. Здесь, среди мерцающих игровых автоматов и столов для блэкджека, красуются статуи и символы империи, погибшей пятнадцать столетий назад. Конференц-залы носят гордые названия «Колизей» или «Палатинский холм», и это не развалины и руины, а самые современные помещения для встреч и презентаций с плоскими экранами и мигающими пультами управления. Каждое лето на протяжении последних 12 лет, когда заканчивается сезон конференций и цены на аренду помещений падают, сюда съезжается иная публика. В большинстве своем это мужчины в шортах и футболках, с рюкзаками за спиной и «маками» и BlackBerry в руках. Лишь немногие из них забегают в ультрамодные магазины — Hugo Boss, Zegna или Hermes, но почти все они были на премьере «Звездного пути». Эта публика — хакеры, и в 2009 году здесь, на конференции Black Hat («Черная шляпа»), их собралось более четырех тысяч — вполне достаточно, чтобы развязать кибервойну глобального масштаба. Вопреки названию на конференцию приехали не злодеи из кинофильмов, а вполне добрые, «этичные» хакеры, которым полагалось бы носить белые шляпы, — директора по информационным технологиям, старшие специалисты по информационной безопасности различных банков, фармацевтических компаний, университетов, правительственных организаций, словом, любых крупных (а также средних) компаний. Название Black Hat пошло с тех времен, когда кульминацией этих ежегодных собраний были сообщения хакеров о том, какие новые способы заставить популярные программные приложения делать то, для чего они не предназначены, появились. Компании по производству программного обеспечения привыкли думать, что на таких конференциях встречаются плохие парни. Выступления, как правило, демонстрируют, что разработчики программных продуктов недостаточно заботились о безопасности, в результате чего практически всегда можно найти способы проникнуть в компьютерную сеть без авторизации и даже взять всю сеть под контроль. Microsoft была главной мишенью хакеров на протяжении многих лет, и руководители из Редмонда каждый год ждали Black Hat с таким же нетерпением, с каким многие из нас ожидают налоговой проверки. В 2009 году участники конференции переключились на компанию Apple в силу растущей популярности ее продукции. Самым обсуждаемым выступлением стало сообщение о том, как взломать iPhone с помощью простого текстового сообщения SMS. Хоть Биллу Гейтсу и Стиву Джобсу не нравится, когда люди находят и разглашают дефекты в их продуктах, это не преступление. Преступление начинается тогда, когда хакер использует метод, им разработанный (средство атаки), чтобы использовать дефект, который он обнаружил в программе (уязвимость) и проникнуть в корпоративную или правительственную сеть (мишень), в которой он не авторизован. Конечно, когда об уязвимости объявляется на конференции или, что еще хуже, средство атаки получает огласку, любой может взломать какую угодно сеть, работающую на дефектной программе.
Я таки дождался неприятностей в 2002 году, когда в программной речи на конференции сказал: «Как здорово, что хакеры находят дефекты в программах!» Тогда я был специальным советником по кибербезопасности президента Буша. Кто-то, предположительно из Редмонда, рассудил, что нехорошо, когда милый консервативный Белый дом поощряет незаконные действия. Конечно же, на самом деле я имел в виду следующее — когда «этичные» хакеры обнаруживают дефекты в программном обеспечении, они в первую очередь должны сообщить об этом разработчику ПО, а затем, если ответа не последует, поставить в известность правительство. Только если производитель программного обеспечения отказывается исправить проблему, отметил я, хакеры могут предать обнаруженные факты огласке. По моей логике, если хакеры, собирающиеся на конференции в Лас-Вегасе, способны обнаружить дефекты программ, на это же способны их коллеги из Китая, России и других стран. Поскольку шпионы и преступники и так все узнают, уж лучше пусть об этом знают все. Общие знания о багах в программных продуктах могут означать, что: 1) самые чувствительные сети, вероятно, прекратят использовать данную программу до появления релиза с исправлениями; 2) производителям программного обеспечения придется внести исправления, потому что им либо будет элементарно стыдно, либо их заставят главные клиенты, к примеру банки или Пентагон.
Подобные комментарии не добавили мне симпатий со стороны определенных корпоративных кругов. Им не понравилась моя программная речь, с которой я выступил в том же 2002 году на ежегодной конференции компания RSA. [9] На конференции RSA собирается около 12 тысяч практикующих специалистов по кибербезопасности. По вечерам устраиваются большие приемы. Я выступал рано утром. Ожидая своей очереди, я стоял за кулисами и думал, как бы мне сейчас хотелось выпить еще хотя бы чашечку кофе. В большом холле громко играла приглашенная рок-группа. Когда они закончили, я должен был появиться на сцене в клубах театрального дыма. Представляете эту сцену? Не прекращая думать об острой нехватке кофеина в моем организме, я коротко отметил во вступлении, что, согласно недавнему опросу, многие компании больше тратят на бесплатный кофе для своих сотрудников и клиентов, чем на кибербезопасность. После чего добавил: «Если вы — руководитель крупной компании, в которой больше денег выделяется на кофе, чем на кибербезопасность, будьте готовы, что вас взломают». Пауза. И главное: «Более того, с такими приоритетами вы заслуживаете взлома». Последовали десятки звонков от раздраженных руководителей компаний.
9
Компания RSA Labs — разработчик криптографических технологий.
В RSA очень силен корпоративный дух. На конференциях Black Hat гораздо веселее. Увлекательней всего сидеть в тускло освещенном танцевальном зале и наблюдать, как кто-нибудь, не привыкший к публичным выступлениям, проецирует на презентационный экран строчки кода. Забавно видеть недоуменные взгляды сотрудников отеля, обслуживающих конференцию, когда весь зал взрывается хохотом или аплодисментами, что бывает часто, хотя для постороннего в происходящем нет ничего ни смешного, ни достойного похвалы, ни даже понятного. Пожалуй, единственное, что с интересом наблюдают обычные американцев, пробираясь сквозь зал к столам с рулеткой, так это «суд хакеров» — пародия на суд, в ходе которого выясняется, какого рода хакерство следует считать «неэтичным». Очевидно, хакерство самих хакеров к этой категории не относится. Большинство участников конференции просто принимают условие не включать wi-fi на своих ноутбуках. По всем конференц-залам развешаны объявления о том, что использовать wi-fi настоятельно не рекомендуется. Такие предупреждения в данном случае нужны примерно так же, как объявления в океанариуме о том, что в бассейне с акулами не дежурят спасатели.