© picture-alliance / Eibner-Pressefoto

Почему так трудно защититься от военных кибератак

Сандро Гайккен | Кибершпионаж, саботаж, экономические манипуляции: атаки на IT-системы, за которыми стоят государства, становятся все более многочисленными, эффективными и целенаправленными. Эта тенденция может иметь далеко идущие последствия для сферы безопасности, с которыми не совладать с помощью обычных стратегий защиты и сдерживания.

Тема информационной безопасности  долгое время была маргинальной. И вот теперь она, наконец, стала предметом широких дискуссий, что подтвердила Мюнхенская конференция по вопросам безопасности, состоявшаяся в феврале текущего года: там правительство Германии подтвердило свое намерение создать национальный центр по предотвращению кибератак. Целесообразность этого шага, однако, небесспорна. Дело в том, что новые атаки совершают не помешанные на компьютерах тинейджеры или мелкие хакеры, а государственные органы – военные и разведслужбы. Такая смена контингента меняет качество кибератак, обычные схемы защиты против них бессильны, и этот факт пока слабо доходит до сознания общественности.

Теория и практика показала, что против кибервойны нового типа не помогает ни пассивная прямая оборона по принципу защитного вала, ни активная защита с применением средств сдерживания  в виде угроз уголовного преследования и наказания. Полная неэффективность этих двух вариантов защиты представляет собой новый феномен для политики безопасности – и это влечет за собой серьезнейшие последствия, ведь без пассивной или активной обороны нельзя осуществлять ни защиту, ни регулирование. То есть обычная IT-защита оказывается беззубой. Здесь может помочь только радикальная перестройка IT-структур, которую необходимо проводить на самых разных целевых системах, а не через суперструктуры вроде центров кибербезопасности. 

Такая концепция требует, в конечном счете, больших затрат и организационных усилий, она не отвечает духу времени – но другого выхода, к сожалению, нет. И чем раньше начать ее реализацию, тем меньше времени и средств уйдет на бесполезные промежуточные решения. Эту ошибку уже совершили США: там миллиарды были вложены в научные исследования, бессмысленность которых с самого начала была ясна каждому независимому специалисту. Чтобы начало немецких дебатов на эту тему было более успешным, мы попытаемся объяснить структурные принципы кибервойны, которые делают классические концепции защиты неэффективными. 

Маленький взлом – большой эффект
Первый и самый важный принцип кибератак нового типа – это асимметрия эффекта: небольшое вмешательство может привести к колоссальному воздействию. Хотя высокоэффективные атаки требуют больших предварительных затрат на разработку, их затем можно превратить в крохотные цифровые бомбы размером в несколько кило- или мегабайт, которые достаточно будет успешно внедрить где-нибудь на периферии сети, чтобы оттуда они затем распространились по всем узловым точкам.

Лучший пример тому – это недавно обнародованная правительством США история с операцией "Backshot Yankee". На парковке одной американской военной базы на Среднем Востоке была найдена USB-флешка ("потерянные" USB-флешки – это классический вектор атак). Нашедший вставил ее в ноутбук, чтобы определить владельца, и случайно загрузил "agent.btz" – разработанный иностранной спецслужбой компьютерный червь, которому за последующие 14 месяцев удалось распространиться почти по всей сети оборонных ведомств США. "agent.btz" быстро и незаметно проник в Пентагон, на военные базы и оборонные предприятия, позволив его авторам похитить огромный объем секретных данных. Операция "Backshot Yankee" теперь считается крупнейшим актом шпионажа в истории оборонных ведомств США.

По сравнению со шпионажем и выдачей секретов в аналоговую эпоху, в эпоху информационных технологий мы, таким образом, наблюдаем явный скачок в развитии. Этот скачок – не случайное побочное явление, а прямое следствие основных функций информационных технологий, ведь они призваны все сделать проще, эффективнее и доступнее. Этими преимуществами может также воспользоваться противник. 

Проблема асимметрии эффекта проявляется в актах киберсаботажа и электронных атаках на достаточно закрытые IT-системы. Маленький "укол" может привести к коллапсу всей системы – опять-таки при условии высокого качества такого "укола". Разработка маленьких, незаметных, но в то же время высокоэффективных и целенаправленно распространяющихся червей требует немалых затрат. Простым хакерам должно сопутствовать огромное везение, чтобы длительное время оставаться незамеченными, распространяя свои вредоносные коды и нанося существенный ущерб критически важным структурам. В таких случаях срабатывают базовые системы IT-безопасности; это является важным аргументом против распространения панических сценариев о кибертерроризме. Но для военных ведомств такие дорогостоящие разработки не проблема. Они располагают необходимыми ресурсами, чтобы так оформить малоформатные атаки, чтобы они обеспечили масштабный эффект.

К этому добавляется еще один принцип: зачастую у тех, кто проводит кибератаки, есть возможность спокойно осуществлять многочисленные малые вариации своих IT-диверсий.

Атакуемые системы, как правило, не замечают безуспешных атак, а если и замечают, то обычно не способны эффективно отключить нападающего. Атакующему достаточно лишь одной успешной попытки. А защищающийся должен успешно отбить сотни и даже тысячи атак на систему. Наряду с высокой асимметрией эффекта существует также явная асимметрия уязвимости, которая дополнительно затрудняет защиту IT-систем: атакующий может совершить тысячи ошибок, а обороняющийся – ни одной.  

Скрытая атака
Третий принцип вытекает из большой сложности IT-систем. Программа Windows Vista, например, содержит 86 миллионов взаимодействующих друг с другом командных строк – практически необозримое количество, дополняемое многими другими программами, соответствиями, согласованиями и техническими средствами. Атакующему этот массив данных предоставляет массу возможностей для нахождения неожиданных лазеек (так называемые "zero-days") и маскировки атак. Продвинутые трояны могут обойтись несколькими сотнями командных строк, и поэтому их бывает легко спрятать. 

Еще одна проблема распознавания – это изоморфия, то есть похожесть добра и зла. Хакеры используют те же самые понятия, что в номинальных функциях. Это дополнительно затрудняет своевременное распознавание троянов. То есть над вами постоянно довлеет угроза диверсии, которая может проявиться с течением времени или в решающий момент, что прямо ведет к агнозии – хронической неуверенности в сохранности IT-систем. Это подрывает доверие и затрудняет принятие надежных решений.

Эти проблемы с трудом поддаются решению, поскольку речь идет о регулярных или необходимых системных признаках. Если их отключить, отключится вся система. С последствиями такого вмешательства можно совладать разными способами: можно резко повысить уровень информационной безопасности, использовать дорогие и сложные методы проверки, разрабатывать более совершенное специальное программное обеспечение. И все-таки эффективность этих мер ограничена – "более эффективно бороться" еще не значит "справиться".

В данных обстоятельствах пассивная защита информационных систем сталкивается с некоторыми проблемами, ведь эффективная защита исходит из того, что известен характер самой атаки – лишь тогда можно осмысленно выстроить защитный периметр. Чтобы отразить вредное воздействие, сначала надо знать, в чем оно состоит. Но из-за сложности сетевых систем и большой асимметрии эффекта это вряд ли возможно.

Атаки осуществляются разными путями: с помощью фальшивых или уже модифицированных в оригинале чипов и встроенных в компьютеры деталей, через манипулированные программы, через инсайдеров, использующих миниатюрные носители информации и обладающих навыками манипулятивного перепрограммирования. Все эти виды диверсий уже имели место, и их чрезвычайно трудно предотвратить. Из всего сказанного можно сделать вывод: надежная пассивная защита в принципе невозможна. Это мнение возобладало и в США, где по данной тематике ведутся серьезные исследования. В последнем отчете ВВС США "Technology Horizons" было сказано, что киберзащита – дело нереальное, и на ней был поставлен крест.

Защита и возмездие 
Тем большую важность приобретает вторая оборонная стратегия: превентивная защита через угрозу применения наказания к атакующему (что позволяет в определенной степени управлять его поведением). Здесь, впрочем, тоже должны быть соблюдены определенные условия. Прежде всего необходимо выявить агрессора. Но идентификация агрессора невозможна, что обусловлено другими принципами ведения кибервойн.  

Во-первых, следует указать на мимолетность физических следов атаки, что затрудняет юридическую идентификацию атакующего. Если в сложной социотехнической системе, состоящей из человека, организации и техники, достаточно крохотного прокола для осуществления диверсии, то агрессор оставляет очень мало физических следов. В случае с "Buckshot Yankee" и компьютерным червем "Stuxnet" речь шла об обычных USB-флешках. Спецслужбы умеют очень хорошо контролировать физические следы людей, пусть даже минимальные. Но на флешке "Buckshot Yankee" не было, разумеется, обнаружено ни отпечатков пальцев, ни следов ДНК.

Особенно эфемерны физические следы атак в Интернете. Сначала, разумеется, физические следы существуют – например, запоминающее устройство, на котором записан вредоносный код. Но когда такой код попадает в Интернет, физически он существует очень недолго. Какое-то короткое время он присутствует на реальном физическом носителе, но затем передается на другой носитель, в то время как исходное устройство заполняется новыми данными. При этом физические следы вредоносного кода безвозвратно теряются. Так что нестойкость следов здесь обусловлена самим принципом работы электронной техники, самой природой виртуальности: информация не существует в постоянном физическом виде, она всегда дискретна и мимолетна.

Информация – это сказки
Таким образом, агрессоров невозможно идентифицировать по их физическим следам. Теоретически у дознавателей еще остаются электронные следы, то есть информационное содержание вредоносной программы. Но здесь вступает в действие еще одна особенность кибератак: следы электронных данных можно полностью сфальсифицировать. Вредоносная программа – это всегда "сочиненная история", которую ее автор, программист, может от начала до конца составить так, как ему угодно. При достаточной квалификации программиста эти данные можно перетасовать даже спустя продолжительное время после первой волны атак. Причина этого также кроется в структуре самой электронной технологии. Ведь данные должны, в конце концов, поддаваться правке. Можно технически попытаться пометить отправителя, снабдив его, например, цифровым штемпелем отправителя. Но как только хакер взломает механизм мечения, он сможет по своему усмотрению изменить данные отправителя. Так что фальсификация следов данных зависит, в конечном счете, от технической квалификации кибердиверсанта, которой военным не занимать.

О том, что "сказочный" характер шпионской программы влияет на выявление автора, свидетельствует пример вируса Stuxnet. Сообщество специалистов по информационной безопасности, опираясь на результаты технического анализа, уверено в том, что речь идет о кибератаке, направленной против Ирана. Они считают, что это подтверждается распространением червя в иранских IT-системах, а также его направленностью на нарушение работы центрифуг. Достаточно явные доказательства.

Но Stuxnet обладал также другими функциями, которые не сочетались с целенаправленной диверсией против Ирана. Так, степень распространения этого червя по всему миру была чрезвычайно высокой, хотя механизм распространения мощным не был. Возможно, это свидетельствует о том, что мы имеем дело с "испытанием оружия". Если воспользоваться древнеримским принципом "cui bono", то есть задать вопрос: "Кому выгоден Stuxnet?", то подозрение может пасть на совсем других авторов, чем те, что заинтересованы в манипуляциях с иранскими центрифугами. Почти все нации разрабатывают сейчас программы наступательных кибервойн. Для каждой из них полевое испытание было бы чрезвычайно ценно. После него стало бы ясно, на что способны собственные войска, какой результат дала бы подобная атака, как шло ее распространение и каковы были реакции других. Так можно было бы намного точнее сформировать и другие нужные функции. Большая экономия средств и к тому же впечатляющая демонстрация силы. Так что вполне возможно, что вся цепочка доказательств "Иран-США" – это всего лишь тщательно протоптанный ложный след, отвлекающая акция. Если подумать о том, что согласно сценарию об испытании оружия его применение вызвало бы также катастрофические аварии на гражданских системах, то версия ложного следа не выглядит такой уж невероятной.

Результаты контекстуального анализа кибератак, направленного на определение эффекта атаки и ее стратегической направленности, также свидетельствуют о "сказочном" характере электронного следа. Спекуляции, конечно, возможны. Но "выдуманный" характер вредоносной программы превращает любую спекуляцию в сказку. Это является важной новостью для международных отношений, дипломатии и оборонных ведомств. Электронная информация и ее мнимый контекст сами по себе ничего не доказывают. Здесь следует призвать к осторожности в общении с сообществом специалистов по информационной безопасности; это сообщество с удовольствием позиционирует себя в качестве эксклюзивного партнера по данным вопросам. Но до сих пор его анализ всегда был одномерным и наивным, что можно объяснить тем, что IT-экспертам, как правило, не хватает навыков стратегического и политического мышления. Свои выводы они делают только на основе имеющихся электронных данных, которыми, однако, можно манипулировать.

Разрыв между человеком и машиной
В этой связи следует упомянуть еще один признак современных кибервойн – так называемый "gap", то есть разрыв между человеком и машиной. Этот разрыв характерен для любых кибератак, но особенно важен для дискуссии об идентификации агрессоров в Интернете. Даже если с помощью совершенно новой концепции Интернета удастся однозначно проследить источник любой атаки вплоть до одного-единственного компьютера (что само по себе было бы невероятно затратно и нереально из-за описанных выше трудностей), было бы все равно не ясно, кто и по каким соображениям воспользовался этой машиной – хакер, преступник, подросток или оплачиваемый государством электронный шпион; абсолютно преднамеренно или по наивности и незнанию; немец, полинезиец или американец – получить эти сведения, которые чрезвычайно важны для правовой оценки деяния и принятия соответствующих мер, практически невозможно. Они полностью теряются в маленьком разрыве между человеком и машиной, в пространстве между пальцами и клавиатурой. Это одна из главных проблем кибервойн, ведь этот разрыв невозможно перекрыть техническими средствами.

Наконец, в действие вступает последний принцип: оружие, применяемое в кибервойне, является обыденным. Речь идет об обычных компьютерах, стандартных USB-флешках и компьютерных программах, а также о распространенных навыках программирования. Это очень затрудняет поиск злоумышленников с помощью определенных технических деталей или по профилям экспертов, как это делается в связи с распространением ядерного оружия. Превентивное ограничение или запрет кибероружия по этим же причинам осуществить трудно. Интернет-атака может быть запущена, например, из Интернет-кафе, с краденого мобильного телефона или просто из офиса, в который проник злоумышленник. То есть даже при соблюдении самых строгих стандартов контроля идентификация РС, использованных для проведения кибератаки, ничего бы не дала. Может, конечно, удалось бы поймать какого-нибудь безобразника-подростка или мелкого преступника. Но в кибервойне, ведущейся на высоком техническом уровне, такие методы ни к чему бы не привели. Мимолетность физических следов, "сказочный" характер электронных следов, разрыв между человеком и машиной, а также обыденный характер электронного оружия делают невозможным выявление конкретного агрессора – и тем самым правовое регулирование, а также нанесение ответных военных ударов.

Демонтаж и частичный выход из сетей
Семь описанных принципов – это важные структурные признаки современных кибервойн. Их можно частично смягчить, но нельзя полностью отменить; в некоторых аспектах их просто невозможно обойти. Из этого следует, что от кибератак нельзя более или менее надежно защититься ни в пассивном, ни в активном режиме – во всяком случае, до тех пор, пока сохраняется нынешнее состояние информационных технологий. Эксперты по безопасности здесь, правда, возражают в том плане, что, мол, стопроцентной безопасности вообще не существует. Но в данном случае этот аргумент неуместен. Проблемы настолько серьезны, что уровень информационной безопасности можно оценить так: не ноль и не сто процентов. При этом не понятно, каков он на самом деле – десять, двадцать, семьдесят или восемьдесят процентов. Исходя из высокой эффективности атак, его, во всяком случае, лучше не завышать.

Единственным надежным средством здесь является "демонтаж" в сфере информационных технологий – прежде всего выход из сетей и "деинформатизация" – и выстраивание особенно важных систем заново в соответствии с самыми жесткими концепциями безопасности, многие из которых еще только предстоит разработать – вплоть до уровня применения. Но центры кибербезопасности были бы малоэффективны. Они не смогли бы своевременно отразить военные атаки, поскольку степень их проработки столь высока, что с помощью привычных схем их просто нельзя обнаружить.

Представление о том, что центр кибербезопасности позволил бы быстрее реагировать, очень далеко от реальности, ведь известно, что большинство сложных диверсий были обнаружены лишь спустя годы после их осуществления. И даже если кибератака будет выявлена – найти ее авторов, как правило, оказывается невозможно. Спецслужбы не оставляют физических следов, а все электронные следы можно сфальсифицировать. Центр кибербезопасности мог бы в лучшем случае перехватывать довольно безобидные атаки и разрабатывать концепции кризисного менеджмента. Но эти задачи надежно и на высоком техническом уровне уже решает Федеральное ведомство информационно-технической безопасности. Так что создание нового центра по предотвращению кибератак свидетельствует о том, что власти пока недостаточно понимают суть данного феномена.

Агрессивные действия без возможности какой-либо защиты, регулирования или возмездия за них – это новая парадигма, последствия которой мы осознаем медленно и неохотно, потому что они очень уж неприятны: при отсутствии регулирования и эффективной защиты любой злоумышленник в принципе может осуществлять кибератаки, не задумываясь о правовых последствиях своих действий. С философской точки зрения ситуация складывается очень непростая. Впервые мир оказался в "естественном" состоянии, которое прежде всегда представлялось лишь чисто гипотетически: общественное бытие безо всякой возможности возмездия, без Левиафана. Время покажет, к чему приведет такое "естественное" состояние: вцепятся ли некоторые люди, как уже не раз предсказывали, друг другу в горло или же, несмотря на отсутствие возможности возмездия, все же воздержатся от того, чтобы извлекать выгоду за счет других.

Что касается дебатов по вопросам информационной безопасности, то реальный исход этого эксперимента вообще-то не очень важен. На кибератаки придется так или иначе реагировать. И в качестве рабочей основы для политики безопасности достаточно риска – он требует принятия оперативных мер на основе достаточной информации. Поэтому нам не обойтись без глубоких знаний о новых кибервойнах и их особенностях. Войну компьютеров надо воспринимать как новое явление. Для этого надо сначала разобраться в его структурных особенностях и затем понять необходимость частичного выхода из информационных сетей. 


Сандро ГАЙККЕН, специалист по технической безопасности, эксперт по киберпреступности и проблемам информационного общества, Свободный университет, Берлин


Оригинал статьи на немецком языке был опубликован в журнале "Internationale Politik" №2 за 2011 г.