Троянский код
Только за год в кибернетическом пространстве России выявлены и обезврежены три крупных агентурных сети - шпионские компьютерные системы, внедренные из-за рубежа. Было предотвращено хищение двух миллионов страниц секретной информации. А киберсеть США, которая считается самой защищенной в мире, за сутки подвергается 10 миллионам хакерских атак.
В мировом кибернетическом пространстве развернулась жесткая борьба - по масштабам уже кибервойна, под девизом: "Кто владеет информацией, тот владеет миром". Потери в таких войнах - многомиллиардные убытки, утраченные государственные секреты, угрозы жизнедеятельности стратегически важных объектов, то есть - государственной безопасности.
Чтобы противостоять этим угрозам, в правительстве РФ готовится проект федерального закона, который поможет системно защищаться в кибервойнах. Какие новые технологии станут оружием в этой войне, в эксклюзивном интервью "Российской газете" рассказал один из соавторов проекта, председатель совета правительственной Военной промышленной комиссии по АСУ, связи, разведке, радиоэлектронной борьбе и информационному противоборству Игорь Шеремет.
2 миллиона страниц секретной информации удалось защитить от похищения в ходе обезвреживания трех крупных агентурных сетей, которые выявили в нашем киберпространстве
- Игорь Анатольевич, закон о критической информационной инфраструктуре Российской Федерации намечено принять до конца года. Какой арсенал киберзащиты уже задействован?
Игорь Шеремет: Под руководством ФСБ уже активно ведется работа по созданию государственной системы обнаружения и предупреждения компьютерных атак. Такая задача поставлена Указом президента России два года назад. Мало кто знает, но благодаря именно этой системе только в 2013-м году было выявлено три киберагентурных сети зарубежных стран, что предотвратило хищение двух миллионов страниц секретной информации. Надо сказать, что сегодня кибернетический шпионаж в ряде случаев эффективнее классического, с участием законспирированных агентов. Согласимся, вряд ли кому-то из зарубежных Джеймсов Бондов удалось бы проникнуть в структуры другого государства так глубоко, чтобы иметь возможность украсть целый секретный архив.
- Все слышали о так называемых закладках в компьютерных сетях. Это реальность или мифы "про шпионов"?
Игорь Шеремет: Это реальность. Во всех терминальных устройствах, в том числе бытовых - смартфонах, планшетниках, персональных компьютерах, а также в средствах сетеобразования - серверах и маршрутизаторах - встречаются как непреднамеренные, так и диверсионные дефекты.
Непреднамеренные дефекты, как правило, это результат ошибок, допускаемых разработчиками программных и аппаратных средств, а также обычный производственный брак.
Диверсионные - это заблаговременно имплантированные в упомянутые средства программные и схемные операционные мины. В США "минную" угрозу воспринимают как неизбежную. Агентство национальной безопасности для обозначения диверсионных дефектов ввело даже специальный термин: software and hardware implants.
Активация скрытых имплантов в нужные злоумышленнику моменты времени способна привести к нештатному функционированию различных носителей и целых критически важных технических систем, в состав которых они входят. К тому же наличие подобных дефектов делает инфосферу источником тотального контроля и утечки конфиденциальных сведений.
- Удавалось ли нашим специалистам обнаруживать диверсионные импланты в вычислительной технике и различных электронных устройствах, закупаемых за рубежом?
Игорь Шеремет: Поисками таких дефектов занят целый ряд испытательных лабораторий, имеющих соответствующие лицензии. Так вот, только одной из этих лабораторий в период с 2008-го по нынешнее время выявлено более сорока явно диверсионных дефектов в программно-аппаратных средствах зарубежного производства.
- Сложно ли обнаруживать встроенные импланты?
Игорь Шеремет: Очень сложно. Чтобы выявить в полупроводниковой интегральной микросхеме-чипе встроенную операционную мину, необходимо этот чип "препарировать", как подопытную лягушку. Последовательно снимаются схемообразующие слои. Затем восстанавливают электрическую, принципиальную, функциональную схему устройства, то есть выполняют, как говорят, его "реинжиниринг". И только после этого можно провести поиск аномалий, то есть отклонений от известных способов построения аналогичных "девайсов", проанализировать эти аномалии на предмет их потенциальной вредоносности. Потом выполнить еще множество других весьма тонких и сложных операций.
Чтобы выполнять подобные работы над чипами, содержащими миллионы первичных элементов, необходимо дорогостоящее оборудование, а самое главное - огромные объемы знаний в области схемо- и системотехники, радиоэлектроники и смежных наук. Носители этих знаний - поистине уникальные специалисты, и они у нас есть.
В последнее время все большее распространение получают программируемые микросхемы, внешне идентичные, но в зависимости от состояния памяти функционирующие по-разному. Значит, необходимо анализировать не только схему, но и программу, заложенную в этой памяти. И мы такой анализ выполняем.
- А есть ли информация о том, как обстоят дела с "минированием" кибернетических систем в США?
Игорь Шеремет: Там ситуация, думаю, не проще, чем у нас.
По открытым источникам, в США только в 2008 году было выявлено более 9 тысяч случаев поставки контрафактных изделий электронной техники на предприятия оборонной промышленности. А каждый несертифицированный продукт, то есть контрафакт, это потенциальная угроза.
В 2011 году вопрос о поставках контрафактных комплектующих для таких ключевых для безопасности США вооружений, как система противоракетной обороны THAAD, многоцелевые подводные лодки класса "Лос-Анджелес", тяжелые истребители F-15 и другие, расследовался главным контрольным управлением конгресса США. Было выявлено около 1,8 тысячи подобных случаев, после чего тему засекретили. Хочу подчеркнуть - почти две тысячи контрафактных электронных компонентов были найдены в системах вооружений, критически важных для обороны США.
- Откуда же шел контрафакт?
Игорь Шеремет: Из разных стран. Около 30 процентов имели формально китайское происхождение. На интернет-запрос о закупке микросхем, организованный американскими спецслужбами через подставную фирму, откликнулось 396 компаний, 334 из которых оказались из Китая. Из 16 приобретенных подставной фирмой партий микросхем различных типономиналов 13 поступили из китайской провинции Шэньчжень, а 3 из Гонконга.
- Вы сказали, что китайская адресность контрафакта формальна. Почему?
Игорь Шеремет: Изготовление микросхем с достигнутыми мировым научно-техническим сообществом проектными нормами во всех ведущих странах осуществляется в рамках так называемых фаблесс (от английского fabless, то есть буквально "бесфабричных") технологий. Микросхема или их набор (чипсет) разрабатывается дизайн-центром посредством системы автоматизированного проектирования, а результат разработки в виде файла определенной структуры направляется на фабрику по производству микросхем.
После указания тиража и уплаты средств за его изготовление фабрика выпускает потребное количество микросхем и передает их заказчику. Создание подобных фабрик, называемых фаундри (от английского foundry, буквально "литейных цех"), требует значительных финансовых затрат, в связи с чем их количество в мире невелико и их совладельцами являются, как правило, крупные транснациональные корпорации.
Большая часть фаундри расположена в странах Юго-Восточной Азии лишь потому, что там пока еще очень дешевая рабочая сила и чистая окружающая среда. А реальными владельцами сборочных фабрик могут быть совсем не китайцы.
- То, о чем вы сказали, как бы неизбежное следствие мировых рыночных отношений. Производство налаживают там, где это выгодно. И как совместить законы рынка с национальной безопасностью?
Игорь Шеремет: Там, где возникает угроза безопасности страны и ее граждан, наверное, в первую очередь должно действовать государство, а не рынок.
В США поняли, что получение прибыли любыми способами поставило страну на грань катастрофы. Оценив реальные последствия импортозависимости в части электронно-компонентной базы, Вашингтон пошел в некоторой степени против законов рынка. Вот одно из доказательств этого: в Силиконовой долине, где сосредоточены основные дизайн-центры США, в этом году была построена и запущена в работу фабрика по массовому производству микросхем с технологическими нормами 22 нанометра.
Так что не только для нашей страны стоит вопрос об импортозамещении в критических технологиях.
- Хакерские атаки, как известно, тоже большей частью идут с территории КНР. Почему?
Игорь Шеремет: Основным средством сокрытия интернет-адресов истинных источников преступной киберактивности (анонимизации их доступа к различным интернет-сегментам) являются так называемые бот-сети (bot nets). Они состоят из скрытно установленных злоумышленниками на персональных компьютерах, включенных в Интернет (как правило, домашних в силу их гораздо более слабой защищенности), специальных программных модулей ("ботов"). Эти модули могут использоваться для генерации массового ("штурмового") трафика, направляемого на определенные ресурсы Интернета, например, сайты каких-либо организаций с целью блокирования доступа к ним. В случае атаки сервер просто не успевает обрабатывать поступающие от миллионов "ботов" обращения и "зависает".
Однако основное назначение "ботов" не подобные атаки, а выполнение функций переадресации с целью сокрытия интернет-адресов истинных источников сообщений. Обратились к сайту с сомнительным контентом, можете не сомневаться, что попали в одну из бот-сетей, которая обеспечивает запутывание правоохранительных ведомств различных стран, контролирующих интернет-трафик.
Скрытное создание и продажа бот-сетей один из наиболее распространенных криминальных интернет-сервисов. Он обеспечивает возможность атаки интернет-ресурса, расположенного, например, в Бразилии, хакером, находящимся в Таиланде, посредством "скачков", проходящих через компьютеры, физически расположенные в Японии, Финляндии, Италии, Катаре, Индонезии или других странах. Длина анонимизирующей цепочки может достигать нескольких десятков "ботов". А дальше действует "закон больших чисел". Поскольку КНР самая большая в мире страна по численности своего населения, то и пользователей Интернета там больше, чем где-либо. Это же относится и к "ботам", устанавливаемым хакерами различных стран на интернет-компьютерах китайцев.
Внешне действительно получается так, что с территории Китая идут кибератаки на весь остальной мир.
- Есть ли возможность поставить непреодолимую преграду для вторжения в локальные сети, если они объективно имеют выход в Интернет?
Игорь Шеремет: В США самая развитая и самая защищенная оборонная информационная инфраструктура, целиком построенная на самых современных, говоря по-английски, up-to-date, кибернетических технологиях. Так вот, она подвергается в среднем 10 миллионам атак в сутки. Подавляющее большинство выявляется и нейтрализуется, однако и в США случаются настоящие провалы.
Недавнее проникновение в сеть "Чейз Манхэттен банка" и раскрытие его клиентской базы данных затронуло 76 миллионов частных лиц и 8 миллионов бизнес-структур США. Злоумышленники, получив доступ к этой базе, оказались по-своему добрыми людьми - они не стали вносить изменения в счета клиентов "Чейза", что могло бы полностью дезорганизовать экономику Соединенных Штатов.
США, реализуя по отношению к другим странам концепцию "большого брата", разоблачения Сноудена не оставляют в этом никакого сомнения, неожиданно для себя оказались в не менее, если не более уязвимом положении относительно "встречных" киберугроз.
И это еще без учета возможностей по манипулированию американским руководством, которые могут получить компетентные противники США в результате выявления их киберагентурных сетей и использования последних для продвижения дезинформации.
Надо сказать, что во всем мире защита кибернетических систем строится по определенным схемам. Не стану их перечислять. Специалистам они известны, и схемы эти универсальны для всех пользователей Интернета и локальных сетей.
В России комплекс мер по защите сегментов Интернета, обеспечивающих функционирование органов власти и государственных СМИ, реализуется упоминавшейся развертываемой государственной системой обнаружения и предупреждения компьютерных атак. Полагаю, что локальная сеть "Российской газеты" как одного из ведущих российских СМИ будет включена в состав объектов, охраняемых этой системой, а инженерно-технический персонал сети получит все знания, которые необходимы для обеспечения ее безопасности и устойчивости.
- А можно ли в принципе сделать и глобальную, и локальные сети безопасными для их пользователей, абсолютно защищенными от хакерских атак и встроенных закладок?
Игорь Шеремет: Здесь существует известное противостояние снаряда и брони. Чем мощнее защита, тем изощреннее способы ее разрушения. Это объективная реальность технического прогресса. Впрочем, с переходом на новый технологический уровень безопасность киберпространства может значительно возрасти.
- Сможет ли наша промышленность своевременно освоить технологии нового поколения?
Игорь Шеремет: По оценкам экспертного сообщества, уже в 2030 году начнется массовое производство электронно-компонентной базы на новых физических принципах и материалах.
И у России есть возможность по некоторым направлениям даже выйти на лидирующие позиции. Речь идет в первую очередь о квантовых вычислителях и квантовой связи, основы создания которых заложены школой академика Камиля Валиева еще в 1980-е годы.
Стоит отметить, что квантовая связь характеризуется абсолютной разведзащищенностью. Перехватить квантовый информационный поток в принципе невозможно. А квантовые вычислители являются средством недостижимой традиционными компьютерами скорости решения задач, связанных с массовым перебором вариантов.
Приведу такой пример. Известная в криптоанализе задача разложения целого числа на простые сомножители для случая числа из 250 цифр может быть решена американским суперкомпьютером Titan Cray XK7, имеющим быстродействие около 20 петафлопс, за один год, тогда как квантовым вычислителем с частотой всего один мегагерц - за четыре секунды. Для числа из 1000 цифр соответствующие значения составляют сотни миллиардов лет и 1,5 минуты соответственно. Только вдумайтесь: сотни миллиардов лет вычислений или полторы минуты! Хотя, безусловно, создание таких компьютеров потребует еще очень серьезных усилий и инвестиций. Однако, повторю, мы вполне можем это сделать и стать первыми, надо просто работать.
Ключевой вопрос
- Угрозы Интернета настолько пугают многих, что все чаще звучат голоса об ограничении доступа в Интернет и даже о его полном закрытии. Как ведущий эксперт в этой сфере вы поддерживаете такие запреты?
Игорь Шеремет: Я считаю, что это не нужно и нереально. Интернет стал самовоспроизводящейся структурой. Отключишь в одном месте, вырастет в другом. С другой стороны, нам угрожают отключением доступа к Интернет-ресурсам извне. Это тоже невозможно. Во-первых, США через глобальную сеть сами получают огромное количество информации, и перекрывать такой источник они не заинтересованы. Во-вторых, российские провайдеры в состоянии самостоятельно поддерживать доступ в глобальную информационную сеть Интернет.
Информация