Опeративные IT-бригады в борьбе с кибер-терроризмом

А что если кибер-террорист взломает программу водоснабжения города и отравит тысячи людей? Или нарушит систему управления полетами и в воздухе столкнутся самолеты? Или создаст сбой в системе электроснабжения, который погрузит во тьму миллионы людей? Вот сценарии, над предотвращением которых работают Министерство внутренней безопасности США, его силовые ведомства и, так называемые, «красные бригады» (Red Teams) исследовательского центра Сандия.

Справка: Национальные лаборатории Сандия (НЛС) – организация и крупный исследовательским центр Министерства энергетики США, в котором ведутся работы в интересах Руководства службы безопасности ядерных объектов. НЛС – дочерняя компания корпорации «Скандия корпорейшн», которая в свою очередь контролируется более крупной корпорацией «Локхид Мартин». НЛС имеет исследовательские базы в нескольких научных центрах страны, главный из которых на базе ВВС Кёртланд, шт. Нью Мексико.

Организационно «красные бригады» - или оперативные IT-бригады, как их более уместно называть, учитывая специфику выполняемых ими задач, - объединены в Группу информационных операций и оценки состояния IT-систем (силами оперативных бригад) - Information Operations Red Team & Assessments group (IORTA), которая действует с 1996 года. Каждая IT-бригада выполняет свою задачу, но их общая цель – предотвратить все возможные акции кибер-террористов путем заблаговременного укрепления слабых мест в компьютерных сетях управления. Услуги IT-бригад платные – по контрактам, заключаемым со штатами, округами и компаниями.

В состав IT-бригады может входить от трех до восьми человек – это эксперты по компьютерам и сетям управления. Каждую бригаду можно рассматривать как особый IT-инструмент, своеобразный спецназ, по образцу подразделений спецназа ВМС США. Члены бригад, специализирующихся на борьбе с IT-терроризмом и очень хорошо подготовлены. В их распоряжении широкий набор методов, инструментов (программных продуктов), исследовательская аппаратура и обучающие программы, позволяющие им выполнить требования заказчика. Они проводят независимую оценку систем информации и связи важных инфраструктур с целью определить их уязвимость, улучшить конструкцию имеющихся систем и помочь руководителям, принимающим решение, повысить IT-безопасность коммуникационной среды, в которой они работают.

По мнению М. Скроча (Michael Skroch), руководителя программы «оперативных IT-бригад», в настояние время наиболее уязвимы коммунальные службы и правительственные учреждения, поскольку именно там сейчас происходит замена устаревших IT-комплексов, изготовленных ещё в 50-60е годы, менее дорогими универсальными системами Windows и Unix, которые более уязвимы для хакеров. Старые системы обладали естественной защитой, поскольку были мало известны и имели ограниченный контакт с внешним электронным окружением. Именно сейчас риск для коммунальных служб и правительственных учреждений сейчас велик, как никогда. Опасения М. Скроча совпадают с мнением Т. Дависа, председателя Комитета палаты представителей по реформам в правительстве, которое он высказал сразу после публикации в марте 2005 г. результатов оценки антитеррористической защищенности правительственных учреждений (Правительства, Министерства внутренней безопасности, Министерства обороны и Министерства юстиции), ведающих вопросами национальной безопасности страны, - «Защищенность ведомств, стоящих на переднем крае борьбы с террором осталась на неприемлемо низком уровне или упала еще ниже».

Так слепа ли Америка, чтобы не разглядеть кибер-угрозу?

По мнению обозревателей, оперативные группы Сандии играют важную, но недостаточную роль в борьбе с кибер-террором. Е. Колман (Evan Kohlmann), исследователь в области терроризма Пенсильвальского университета, автор публикации «Алькаида. Джихад в Европе. Афгано-боснийская организация» и ведущий сайта Globalterroralert.com, на страницах журнала «Foreign Affairs magazine» открыто заявляет, что «…США постепенно проигрывают онлайновую войну с террористами. Вместо того, чтобы агрессивно преследовать своих противников, правительство продолжает вести крайне оборонительную стратегию, краеугольный камень которой – это электронная защита Maginot Line, которая, предположительно, может защитить важную инфраструктуру (например, компьютерные системы в министерстве обороны и федеральной авиационной администрации) от онлайновых атак… Правительство США плохо справляется с нарастающей угрозой, потому что не до конца понимает террористов». В пользу таких резких выпадов говорит тот факт, что Министерство внутренней безопасности США вот уже в течение года не может найти руководителя для своего управления IT-безопасности, а сама практика IT-безопасности внутри этого ведомства жестко критикуется в Конгрессе. Ему оппонирует Г. Вейман (Gabriel Weimann) из американского Института мира. В своем специальном докладе он утверждает, что «…потенциальная угроза, в самом деле, вызывает большую тревогу. И всё же, несмотря на все мрачные предсказания, не зафиксировано ни одного примера реального IT-терроризма… Представители от психологии, политики и экономики объединились, чтобы «раздуть» страх IT-терроризма. Возникает вопрос: - Насколько же реальна эта угроза?».

В поисках Ахиллесовой пяты кибер-системы

То, что угроза существует, знают профессионалы из Сандии и сотни их клиентов. Основная задача членов IT-бригад – обнаруживать уязвимые места в IT-инфраструктурах и находить постоянные или временные решения для их укрепления. О важности своевременного завершения этой работы говорит тот факт, что довольно часто бригады наталкиваются на информацию государственной важности, о которой никто и никогда, а тем более террористы, не должны знать. Практика поиска слабых мест в IT-системах получила название «редтиминга» (от Red Team – прим. переводчика). Случается, что одной обкатанной методологии оказывается недостаточно, чтобы правильно получить доступ к данной системе, её компоненту или сценариям. Для более эффективного выполнения целей, поставленных заказчиком, и достижения стойкого и действенного результата, который можно было бы измерить и оценить, приходится манипулировать целым спектром методов и типов оценки резистентности системы, т.е. устойчивости к «взлому». Специалисты IORTA выделяют восемь категорий/типов редтиминга – оценка надежности конструкции, опробование гипотезы, бенчмаркинг (анализ по эталонам, в т.ч. и по эталонам конкурентов, основанный на тестировании по намеченным эталонным точкам/пунктам – прим. переводчика), поведенческий редтиминг, деловая игра, операторный редтиминг, тест на резистивность примененной системы защиты и аналитический редтиминг. Для достижения оптимальных результатов, ожидаемых заказчиком, приходится применять один или несколько типов. Технологии и приемы конструирования доступов, а также применяемые для этих целей процессы и субпроцессы оттачиваются в Сандии на протяжении всей 50-летней истории. «Научно-исследовательские и опытно-конструкторские работы не прекращались в Скандии никогда» - утверждает М. Скроч. В качестве примера можно привести заказ Управления по охране окружающей среды по оценке и повышению IT-безопасности управляющих систем на всех станциях водоснабжения США, обслуживающих более 100 тыс. человек. Теоретически локальная или региональная система управления водоснабжением может повергнуться опасности посредством компьютерного вируса, например, ‘Троянский конь’, что приведет к передозировке, до летальных значений, дезинфицирующего химиката. На практике - побывать и оценить IT-системы на всех 350 станциях не представлялось возможным. Для решения задачи были выбраны пять ключевых станций, включая станцию водоканала в Вашингтоне, где и была произведена обычная, детальная оценка. Из имеющегося арсенала была выбрана наиболее подходящая методология, которую адаптировали для решения этой задачи. В результате была сгенерирована программа-аудитор с названием ‘Методология оценки рисков для Воды’, работе с которой (установка и пользование) в ходе специальных тренингов были обучены IT-специалисты пяти головных станций. Они, в свою очередь, провели тренинги на своих и подчиненных предприятиях, что позволило охватить все 350 объектов. Следуя рекомендациям Сандии, в системе водоканала Вашингтона без каких либо внешних его изменений была установлена новейшая аппаратура извещения об угрозе, усилена физическая охрана, прежде всего в пунктах доступа на объекты и склады химикатов, а в компьютерной сети установлена защита против хакеров. Речь идет о некоторых из более чем 30-ти рекомендаций, выданных «IT-бригадами» Сандии, принявшими участие в обследовании водоканала. Многие рекомендации опубликованы в печатных документах и на сайте «Common vulnerabilities in critical infrasspanucture conspanol systems».

Сейчас Сандия работает над проектом по распознаванию ВВ, оружия и другой контрабанды военного назначения, ввозимого в страну через американские порты. В ходе решения этой задачи её специалисты пришли к выводу, что даже новые технологии безопасности часто не могут эффективно противостоять угрозам, поскольку эти технологии быстро становятся целью. Например, у преступника, видящего замок на двери, есть три варианта – отступить, попытаться открыть замок или найти другой незащищенный доступ. Самое разумное решение – это открыть замок отмычкой. Следуя этой аллегории, можно сказать, что производители услуг безопасности забывают, что их системы безопасности становятся объектом атак сразу же, после того как они установлены. Чтобы их эффективность не снижалась системы безопасности нужно регулярно обновлять.

Сканди сотрудничает и в разработке систем локализации несанкционированного доступа в интерфейсы военных и гражданских предприятий, производящих биологическое и химическое оружие. В её задачу входит выявление типов угроз и обеспечение IT-защиты химических или биологических систем от возможного «вторжения» кибер-террориста в системы управления ими, которое могло бы нарушить штатный режим работы этих систем.

Инструментарий «IT-бригад»

При выполнении своих функций IORTA применяет физические и программные инструменты. Какая-то их часть используется для анализа, другие для планирования атак (вторжений), третьи для достижения и реализации защитных целей. По некоторым причинам предпочитаемые IT-бригадами инструментальные среды – это операционные системы на базе Linux. При необходимости используется платформы Windows.

Примечание: Linux (или GNU/Linux) – это наиболее известная операционная система для открытого пользования, распространяемая через Интернет.

Программные продукты из Интернета напрямую в операционных или чувствительных к изменениям сетях не применяются. Функции таких продуктов перед их использованием в сетях заказчика переписываются «с нуля» для придания им необходимых свойств. Нередко Сандия применяет собственные инструменты и сценарии, которые пишутся экспромтом.

Г. Раттри, преподаватель академии ВВС США, давая оценку деятельности Сандии на сайте академии, пишет: - «Кибер-терроризм наверняка станет наиболее серьезной проблемой национальной службы безопасности. И хотя террористы в ходе своих цифровых атак пока наталкиваются на многочисленные барьеры, США следует неуклонно наращивать усилия по борьбе с ними. Деятельность оперативных IT-бригад Сандии сводит на нет всю их работу».