Тряхнем стариной

(Декабрь 2011)

Крайне популярная некогда в США тема под условным наименованием «Русские идут!» в последнее время начала всплывать опять, но теперь уже в существенно новом обличье, подобающем компьютерной эпохе.

scary-russians

Бурно обсуждавшийся с середины ноября (2011) сенсационный сюжет – о «первом в истории США нападении хакеров» на критически важные инфраструктуры страны – ныне считается полностью исчерпанным, поскольку тревога оказалась ложной.

Ошибки, как известно, способны делать все. Но вот чему полезному и содержательному можно научиться конкретно на этой ошибке – ясности пока нет…

Начиналось же все с того, что в американскую прессу просочился закрытый меморандум государственных структур безопасности, в котором сообщалось, что некие русские хакеры дистанционно вывели из строя водонасос одной из служб водоснабжения в штате Иллинойс.

Первым, кто опубликовал в Сети эту тревожную весть, был блоггер Джо Вейс (Joe Weiss), достаточно известный в США деятель в области защиты систем SCADA, то есть автоматизации управления промышленными процессами.

Строго говоря, сам Джо Вейс не стал раскрывать конкретные подробности из попавшего в его руки документа, однако подчеркнул, что получил эту информацю от STIC, антитеррористического центра одного из американских штатов (State Terrorism and Intelligence Center). Однако весть разнеслась.

И очень быстро не только стало известно то, что речь идет о хакинге в городе Спрингфилд штата Иллинойс, но и в Сети появились целые фрагменты текста из данного меморандума. В частности, такой:

«В течение дня 8 ноября 2011 года сотрудник окружного водоснабжения заметил проблему в системе автоматического управления SCADA. Служба инфотехнологической поддержки и ремонтная компания проверили компьютерные лог-журналы в системе SCADA и определили, что система была дистанционно хакнута с интернет-адреса, находящегося в России»…

scary-russn

В ответ на многочисленные запросы прессы, глава службы водоснабжения Curran-Gardner Water District, «пострадавшей от хакера», дал интервью местному телевидению, в котором тоже поведал, что у них имеются свидетельства о внешнем вторжении в SCADA-систему, позволившем злоумышленникам дистанционно управлять насосами.

На основе этого интервью и обрывочных фрагментов меморандума в СМИ был сделан вывод, что хакеру удалось «неоднократно включать и выключать» то ли насосы, то ли систему SCADA, а в результате это привело к поломке помпы.

Короче говоря, данная утечка информации породила десятки сенсационных историй, объявлявших эту атаку первым в истории США случаем, когда часть критично важной инфраструктуры страны была успешно атакована и выведена из строя через интернет.

Более того, в паническом угаре даже зазвучали вопли, что вот теперь и Америка стала жертвой Stuxnet-атаки (самый знаменитый на сегодня пример реальной диверсии против SCADA-систем, в результате которой пострадала иранская ядерная программа по обогащению урана; по всем имеющимся у аналитиков косвенным свидетельствам, червь Stuxnet был создан спецслужбами США и Израиля)…

Ну а затем довольно быстро, в общем-то, выяснилось, что никакого хакерского нападения на службу водоснабжения в действительности не было. А что было – так это банально сломавшийся электромеханический агрегат в помпе водонасосной станции.

Примерно через неделю после появления сенсационного отчета, в федеральной спецслужбе DHS , или Департаменте госбезопасности, полностью отвергли меморандум, заявив, что не смогли отыскать никаких свидетельств произошедшему, якобы, хакингу.

На самом деле помпа просто сгорела, а финансируемый правительством антитеррористический центр некорректно увязал отказ техники с интернет-подсоединением к системе через русский IP-адрес, имевший место несколькими месяцами ранее.

Когда Ким Зеттер, журналистке известного ИТ-издания Wired, удалось разыскать того самого человека, который подсоединялся к компьютеру водонасосной станции из России, он сокрушенно поведал, что всего лишь один-единственный телефонный звонок мог легко предотвратить ту цепь ошибок, что вылилась в столь драматичную ложную тревогу.

Этого человека зовут Джим Мимлиц (Jim Mimlitz). И он является основателем-владельцем небольшой компании-интегратора Navionics Research, специализирующейся на SCADA-системах.

Именно эта компания помогала фирме Curran Gardner Public Water устанавливать ее SCADA-систему для автоматизации управления водоснабжением в регионе г. Спрингфилд, штат Иллинойс, а также время от времени оказывает помощь своим партнерам в обслуживании подобных систем.

Как рассказывает Мимлиц, в июне этого года он со всей семьей был с отпускной турпоездке по России. И вот, когда они находились здесь, кто-то из Curran Gardner позвонил ему на сотовый телефон, чтобы спросить совета по работе и попросить Мимлица дистанционно проверить данные, хранимые в SCADA-компьютере об истории работы системы.

Не сказав звонившему, что он в данный момент находится в России, Мимлиц использовал свои обычные логин и пароль доступа, чтобы дистанционно подключиться к системе и проверить учетные данные.

Дистанционное подсоединение, по свидетельству Мимлица, происходило исключительно с целью считывания данных, без каких-либо манипуляций работой системы, не говоря уже о попытках ее выключения и обратного включения.

Однако пять месяцев спустя, когда в ноябре одна из водяных помп сломалась, именно этот российский IP-адрес стал важнейшим звеном в истории оживления давнего американского мифа под названием «Русские идут!».

Сотрудник службы водоснабжения, занимавшийся разбирательством с поломкой насоса, 8 ноября позвонил в ремонтную фирму, обеспечивавшую обслуживание компьютерной системы, чтобы они выяснили, что там к чему.

Ремонтник проанализировал лог-журналы SCADA-системы и увидел там русский IP-адрес, с которого к системе подключались в июне. Тогда служба водоснабжения передала эту информацию в EPA, федеральное агентство защиты окружающей среды (Environmental Protection Agency). В каком-то смысле, это была их перестраховка на случай возникновения возможных проблем в будущем.

Но после извещения EPA информация о «русском вторжении» была передана местному антитеррористическому органу STIC штата Иллинойс – в так называемый «центр синтеза», образованный из сотрудников местной полиции штата и представителей ФБР, DHS и других федеральных спецслужб.

Именно здесь, похоже, и была синтезирована (можно сказать и иначе – высосана из пальца) история про опасную хакерскую атаку против критических инфраструктур США.

scaryrussian

Хотя пользовательское имя Джима Мимлица было внятно указано в лог-журнале системы SCADA рядом с российским IP-адресом, ни один из аналитиков «центра синтеза» не побеспокоился для начала позвонить Мимлицу и спросить его, не загружался ли он, случаем, в систему из России.

Вместо этого центр уже 10 ноября выпустил свой отчет под броским названием «Кибер-вторжение в коммунальное водоснабжение».

В этом документе сломавшийся водяной насос был не только непосредственно увязан с русским подключением пятью месяцами ранее. Более того, там же было действительно заявлено, что лазутчик из России включал и выключал SCADA-систему, из-за чего в результате перегорела механика помпы.

Кто именно в «центре синтеза» сочинил всю эту липу, ныне тщательно скрывается. Однако неоспоримым фактом остается то, что авторы отчета изначально предположили, будто некие злоумышленники сначала хакнули компьютер Мимлица и похитили его реквизиты доступа. А затем использовали их для проникновения в SCADA-систему водоснабжения Curran Gardner и для выведения из строя водяного насоса.

Судя по всему, конкретных авторов всей этой фантазии, породившей чуть ли не истерику в прессе, решено не искать или, по крайней мере, публично не называть. Вместо этого внимание публики перенесли на другую проблему – о недопустимости утечек конфиденциальной информации.

Ведь речь идет о служебном внутреннем документе, совершенно не предназначавшемся для публикации в СМИ. Данный меморандум был распространен по электронной почте через закрытый рассылочный лист, подписчиками которого являются сотрудники аварийных служб, ведомств по чрезвычайными ситуациям и прочих аналогичных структур.

В итоге же документ быстро оказался в распоряжении блоггера Джо Вейсса, партнера фирмы Applied Control Solutions, который давно озабочен небезопасностью SCADA-систем и начал предрекать подобные диверсии против критичных инфраструктур еще несколько лет назад. Естественно, Вейсс раструбил о зловещем меморандуме STIC настолько громко, насколько мог.

Когда же, в конце концов, для внимательного расследования происшествия в Иллинойс прибыла команда специалистов от ФБР и ICS-CERT (входящего в DHS центра реагирования на угрозы кибер-системам управления), то реальная картина быстро прояснилась.

Эксперты, ясное дело, тут же установили, побеседовав лично с Мимлицем и проанализировав лог-файлы, что отчет центра синтеза был в корне неверным и, следовательно, никогда не должен был выпускаться для распространения.

Также расследованием было констатировано, что отказ помпы вовсе не был результатом хакерской атаки. Лог-записи SCADA-системы показали, что водяной насос сломался по некоторым сугубо электро-механическим причинам.

Но эта авария не имела абсолютно никакого отношения к работе собственно SCADA. Кроме того, в лог-журналах не было никаких свидетельств тому, будто SCADA-систему включали и выключали…

Самый важный, однако, итог из всей этой малоприятной истории-недоразумения сводится к тому, что выводы на основе произошедшего можно сделать диаметрально противоположные.

Департамент госбезопасности DHS в лице своего официального представителя Питера Богарда сделал примерно следующее заявление:

«В DHS и ФБР собраны факты, окружающие отчет-меморандум об отказе водяной помпы в г. Спрингфилд, штат Иллинойс. В данное время нет никаких достоверных данных, которые свидетельствовали бы о рисках для элементов инфраструктуры или об угрозах общественной безопасности»…

А вот один из сведущих представителей хакерского андеграунда, выступающий под ником «pr0f» и сведущий в особенностях промышленных SCADA-систем, высказал в корне иную точку зрения. По поводу заявления DHS он написал, в частности, так:

«Вот это действительно глупо. Безумно глупо. Невыносимо видеть, как в DHS стараются приукрасить абсолютно никакое состояние защиты национальной инфраструктуры. Мне тоже встречались разные люди, которые сомневаются в возможности организации такого рода атаки. Ну так вот. Город Южный Хьюстон, к примеру, имеет действительно небезопасную систему водоснабжения и канализации. Увидеть это можно по следующим диаграммам.»

В подтверждение своих слов pr0f выложил в Сеть несколько документов, свидетельствующих, что он дистанционно может получать доступ к работе данной системы Хьюстона. Но тут же хакер подчеркивает:

«Я не собираюсь выдавать детали этой системы. Никаких повреждений не наносилось ни одному из узлов всей этой техники. Мне просто реально не нравится бессмысленный вандализм. Да и глупо это.

Но с другой стороны, столь же глупо подсоединять к интернету интерфейсы управления такой SCADA-техникой. Подключение посторонних к такому интерфейсу даже и хакингом-то нельзя называть. Для этого не требуется практически никакого опыта, а операции может воспроизвести даже ребенок с базовыми знаниями основ Simatic»…

(речь идет о системе Siemens, широко распространенной в области SCADA и вызывающей особо много претензий своей небезопасностью у специалистов по защите информации).

Помимо свидетельств некоего анонимного хакера, хотелось бы, конечно, услышать и мнение о проблеме со стороны какого-нибудь авторитетного эксперта, известного среди специалистов.

Такая возможность действительно имеется. Чтобы получить примерное представление, к чему ныне сводится защита компьютерных систем промышленного управления, можно процитировать недавнюю запись из блога Ральфа Лангнера (Ralph Langner). Знаменитого ныне специалиста в данной области, поскольку именно Лангнеру в свое время удалось первым разобраться с вредоносной «начинкой» червя Stuxnet.

В последних числах сентября этого года Лангнеру довелось принимать участие в одной из специализированных конференций, где выступал некто Марти Эдвардс (Marty Edwards) – нынешний глава ICS-CERT, организации, которая в составе правительства США отвечает за компьютерную безопасность индустриальных систем управления. Суть доклада этого чиновника сводилась к представлению нового подхода их ведомства к тому, как теперь надо смотреть на уязвимости систем – путем исключения всего, что не выглядит как баг (дефект программы), который может быть исправлен поставщиком продукта.

Иными словами, поясняет Лангнер, отныне вы просто не увидите от ICS-CERT никаких рекомендаций или предупреждений относительно «особенностей» программ, которые потенциально можно использовать для атак.

Такой подход, по свидетельству эксперта, самым радикальным образом – примерно на 90% – сокращает число уязвимостей в области промышленных систем управления, поскольку подавляющее большинство тех «моментов» в безопасности, которые индустрия сегодня имеет (называть их уязвимостями ныне уже как бы не принято) – это не баги программирования, а конструктивные дефекты системы.

До того, как разразились большие неприятности с выявлением вредоносной программы Stuxnet, уязвимостью официально именовали следующее:

«Дефект или слабость в конструкции системы, в ее реализации, функционировании или управлении, которые можно было бы использовать для нарушения политики безопасности системы»…

Ну а теперь, иронизирует Лангнер, всем нам стало жить намного безопаснее, потому что так много проблем вдруг просто взяло и исчезло. Остались только баги программирования. И если до недавнего времени безопасность промышленных систем управления была очень трудным делом, то ныне все стало легко и просто. Для организации ICS-CERT.

Ну а для всех остальных, заключает с горечью Лангнер, это по-прежнему остается сложным, потому процессам ваших систем совершенно без разницы, что именно это было – баг или особенность, которую вредоносный код использовал для атаки…

The END