Активность на уровне тюрьмы

(Август 2011)

Среди обильного урожая плодов, порожденных компьютерным супер-червем Stuxnet, ныне обозначилась еще и реальная угроза для охраны мест заключения. Но хотя проблема налицо – к ответственности привлекать некого. Как обычно в подобных делах.

Хакерская конференция DefCon, каждый август проходящая в Лас-Вегасе, по давно сложившейся традиции устраивается в тандеме с более пестрым форумом Black Hat USA. Хотя и докладчики, и участники на этих двух мероприятиях естественным образом пересекаются, тематика DefCon значительно четче ориентирована на интересы государственных ведомств.

Среди выступлений нынешней, 19-й по счету, конференции 7 августа (2011) ожидается доклад на весьма редкую тему – о недавно выявленных серьезнейших слабостях ИТ-систем, обеспечивающих безопасность тюрем и прочих исправительных учреждений. Доклад делает весьма солидный исследовательский коллектив авторов, многие годы работающих в области обеспечения физической и инфотехнологической безопасности для государственных учреждений США.

Результаты докладываемой на форуме работы имеют самое непосредственное отношение к компьютерному червю Stuxnet, поскольку заложенные в эту вредоносную программу идеи и возможности с равным успехом можно применять, как выясняется, не только против иранской ядерной программы, но и против электронной техники, обеспечивающей безопасность практически всех американских тюрем.

Но прежде, чем переходить к содержательной части этого познавательного доклада, имеет смысл обратить внимание на два довольно загадочных «шпионских» сюжета, почти никак, казалось бы, не связанных с данной темой.

Сюжет первый, впрочем, также касается червя Stuxnet, но только в его самой первой фазе обнаружения – летом 2010 года. Когда поразительно сложные функции и выдающиеся возможности этой вредоносной программы уже стали более-менее известны, многих наверняка должно было удивить, что ни одно из мощных антивирусных средств и файрволов от всех ведущих в мире фирм компьютерной безопасности эту размножающуюся заразу совершенно не замечало – притом, что количество инфицированных систем уже исчислялось сотнями тысяч.

А выявила-таки Stuxnet совсем небольшая белорусская компания VirusBlokAda, о существовании которой до этого мало кто и слышал. Внятного ответа на вопрос о том, почему для всех антивирусных грандов Stuxnet был совершенно невидим, публика так и не услышала.

Сюжет второй практически никакого отношения к вредоносным компьютерным кодам не имеет, кроме разве того, что и здесь непосредственно замешаны спецслужбы Израиля и США (вне всяких сомнений стоящие за созданием Stuxnet – подробности на данный счет можно найти здесь  и здесь ).

Когда полиция ОАЭ весной 2010 раскрыла хладнокровное и заранее подготовленное убийство палестинского лидера, совершенное в одном из отелей Дубаи, то через Интерпол были разосланы по миру установочные данные на подозреваемых преступников. Вскоре один из разыскиваемых был выявлен в Германии на авиалайнере, улетающем в США.

Когда же самолет приземлился в Америке, то среди прилетевших пассажиров власти США так и не сумели отыскать установленного человека – хотя располагали и его паспортными данными, и фотографией. Каким образом продвинутая система безопасности авиаполетов, выпестованная в США специально для выявления разыскиваемых преступников и террористов, в данном случае оказалась абсолютно бесполезной – внятного разъяснения публика так и не дождалась.

#

Принимая во внимание две эти истории-иллюстрации, можно понять, что там, где действуют влиятельные спецслужбы, всегда существует некая обширная «серая зона». И в зоне этой практически безнадежно пытаться добиться от властей внятных ответов на достаточно простые вопросы, или, тем более, отыскать тех, кто конкретно несет ответственность за происходящие безобразия.

По этой причине – возвращаясь к главной теме «про тюрьмы» – никого не должно удивлять, что исследователи, поднимающие ныне вопрос о серьезнейших угрозах для охраны исправительных учреждений из-за Stuxnet, ни прямо, ни намеками даже не пытаются упоминать о тех безответственных государственных людях, которые запустили эту заразу в мир. Так что речь идет исключительно о технической стороне проблемы и о том, как с этой бедой бороться.

Техническая же сторона проблемы выглядит так.

В обзорной статье, суммирующей итоги исследования (и опубликованной здесь: PDF ) группа известных в своей области авторов констатирует, что автоматизированные системы промышленного управления (SCADA) и программируемые логические контроллеры (PLC), ныне повсеместно применяемые в США для обеспечения работы тюрем, делают эти учреждения крайне уязвимыми для компьютерно-сетевых атак. Попросту говоря, с помощью вируса-червя типа Stuxnet какой-нибудь ушлый злоумышленник-хакер способен не только управлять открыванием-закрыванием дверей в тюремных камерах, но и вообще разрушить всю систему наблюдения, оповещения и охраны тюрьмы.

С одной стороны, есть все основания говорить, что никаких откровений и революционно новых открытий в этом исследовании нет. Благодаря шуму вокруг Stuxnet теперь уже все знают, что SCADA-системы вообще и их ПЛК в частности, как правило, создавались без расчета на противодействие компьютерным атакам. А коль скоро эти системы управления по природе своей чрезвычайно уязвимы для атак, то столь же уязвимыми оказываются и системы, которыми они управляют.

С другой стороны, однако, реальность такова, что подавляющее большинство людей на планете – включая и администрацию, управляющую работой тюрем – чрезвычайно смутно представляет себе то, в сколь значительной мере физическая безопасность объекта зависит от инфобезопасности компьютерно-сетевой системы.

Все авторы исследовательской работы – ветеран индустрии безопасности Джон Строкс, его дочь Тиффани Рад и независимый эксперт Тиг Ньюман – являются специалистами, знакомыми с предметом что называется изнутри. Джон Строкс, в частности, участвовал непосредственно в сооружении или консультировании по созданию электронных систем безопасности в более чем сотне американских тюрем, зданий суда и полицейских участков на территории США, включая 8 тюрем максимального уровня охраны.

Когда Строкс услышал о Stuxnet и о специфических особенностях тех компьютерных систем, против которых был нацелен этот червь, он осознал, что в прошлом и сам не раз устанавливал аналогичные системы для управления безопасностью в тюрьмах. На территории США в настоящее время действуют 117 исправительных учреждений федерального уровня и примерно 4700 тюрем местного значения – уровня штатов и округов. Практически все они, за исключением самых уж небольших, по свидетельству Строкса, используют программируемые логические контроллеры для управления дверями, воротами и электронной системой безопасности.

Хотя конкретные ПЛК от фирмы Siemens, которые атаковал червь Stuxnet, тоже используются в некоторых тюрьмах, их доля относительно мала. Значительно в большей степени, по словам Строкса, эти учреждения управляются контроллерами от фирм Allen-Bradley, Square D, GE и Mitsubishi.

Сильно заинтересовавшись проблемой, Строкс вместе с дочерью Тиффани Рад, возглавляющей компанию инфобезопасности ELCnetworks, и независимым исследователем Т. Ньюманом закупили соответствующие ПЛК – дабы протестировать их на предмет уязвимостей. А затем поработали совместно с еще одним анонимным исследователем (точнее «Дорой, исследовательницей SCADA»), с чьей помощью были написаны три подпрограммы, эксплуатирующие выявленные уязвимости. На всю эту работу, по подсчетам Т. Рад, в общей сложности было затрачено порядка 2500 долларов – чтобы закупить все необходимое и быстро сделать качественную программу.

Как установили Строкс и его команда, серьезные уязвимости существуют на фундаментальном уровне архитектуры тюремных ПЛК-систем, многие из которых используют простенький язык программирования Ladder Logic (делая контроллеры исключительно уязвимыми для перепрограммирования), а коммуникационный протокол, когда его разрабатывали, не имел вообще никаких встроенных средств для защиты безопасности. Кроме того, имеются уязвимости и в управляющих системой компьютерах, многие из которых работают под ОС Windows, а функционально используются для мониторинга состояния системы и программирования ПЛК.

Все эти уязвимости неразрывно связаны с базовыми принципами использования ПЛК – когда одна точка управляет множеством других. Поэтому как только вы получаете доступ к тому компьютеру, который управляет работой ПЛК или программирует их функции, вы фактически устанавливаете контроль и над ПЛК, и над системой.

У злоумышленника-хакера, намеренного запустить свою вредоносную программу в управляющий компьютер тюрьмы, обычно имеется две основные возможности это сделать. Либо, во-первых, надо иметь подход к какому-нибудь коррумпированному сотруднику заведения, чтобы тот подсадил программу через зараженную USB-флешку (атака абсолютно реалистичная, учитывая то множество мобильных телефонов и прочих запрещенных в тюрьме вещей, что за плату сами охранники проносят заключенным).

Либо, во-вторых, отправить программу по сети через фишинг-атаку, нацеленную на какого-нибудь беспечного сотрудника учреждения – в том случае, конечно, если системы управления также подсоединены к интернету. Что опять-таки является заведомо реалистичным предположением.

Строкс и его команда не так давно посещали «центр управления» одной из американских тюрем по приглашению администрации заведения. И обнаружили там одного из сотрудников, который с монитора читал письма из своего почтового ящика в Gmail – на компьютере управляющей системы, подсоединенном к интернету. Кроме того, имеются и другие компьютеры в некритичных частях тюрьмы, вроде прачечной, которые в принципе не должны, однако порой бывают подсоединены к сетям, управляющим критично важными функциями.

Как пишут исследователи в своей статье,

«электронная система безопасности в тюрьме имеет много компонентов помимо управления дверями и запорами, таких как внутренняя связь, управление освещением, видеонаблюдение, управление водоснабжением и душами, и так далее … В подобных условиях доступ к любому из этих компонентов – вроде удаленного терминала внутренней связи – может предоставить доступ и ко всем прочим частям системы».

В одном из интервью Строкс разъясняет этот момент более драматично: «Как только мы захватываем управление ПЛК, мы уже можем делать что угодно. Не только открывать и закрывать двери. Мы можем полностью разрушить эту систему. Мы можем, к примеру, сжечь и взорвать всю электронику». Причем эксперт всерьез считает, что здесь нет преувеличения.

Электронная тюремная система безопасности имеет, к примеру, функцию «каскадного выпуска» – на экстренный случай аварийной опасности, вроде пожара, когда нужно быстро выпустить из камер сотни заключенных. Для этого система циклически подает команду на одновременное открывание лишь группе дверей, дабы избежать перегрузки системы при открывании всех дверей сразу. Строкс же демонстрирует, что грамотный хакер способен спланировать такую атаку, когда каскадный выпуск обходится и все двери открываются одновременно, подвергая систему недопустимой перегрузке.

При другом сценарии злоумышленник способен выбирать конкретные двери для открывания и закрывания, подавляя сигналы тревоги, предупреждающие охрану, что камера открыта. Это, конечно, потребовало бы некоторого знания системы сигнализации и инструкций, необходимых для нацеливания на конкретные двери. Однако, поясняет Строкс, всякий раз, когда ПЛК получает команду, он выдает системе управления обратную связь – типа ответа «восточная дверь кухни открыта». Терпеливый хакер может на какое-то время сесть на канал системы управления, накапливая разведывательные данные подобного рода, а в итоге получить «электронную карту тюрьмы» и выявить ту дверь, которая избрана в качестве цели…

Как и всякая приличная исследовательская работа подобного рода, статья экспертов по тюремной безопасности в своей заключительной части содержит, конечно же, множество разумных рекомендаций относительно того, как исправлять явно неблагополучную ситуацию с выявленной ими уязвимостью компьютерных систем. Поскольку все эти рекомендации ничем принципиальным не отличаются от того, что уже и так известно во всех прочих – не столь экзотических – областях применения SCADA и PLC, здесь на данный счет говорить нечего.

Но зато много чего можно было бы еще сказать относительно общего контекста происходящего, неразрывно связанного с настойчивой борьбой американских и израильских спецслужб против иранской ядерной программы.

Например, можно вспомнить недавнее интервью германского компьютерного эксперта Франка Ригера (Frank Rieger), который в свое время первым проницательно и аргументированно показал, что целью червя Stuxnet была иранская фабрика обогащения урана в Натанзе. Рассуждая о широкомасштабных последствиях от разработки и боевого применения Stuxnet, Ригер отметил:

«Вся эта деятельность находится в некой серой зоне между военными акциями, разведывательными операциями и политическими методами давления. Естественно спросить: кто именно управляет такого рода оружием в политическом смысле? Кто несет ответственность за то, что это оружие будет использовано только против врагов? Ведь вместе с появлением таких видов оружия, как Stuxnet, четкая линия конфликтов между нациями оказывается размазана в туман возможностей и вероятностей».

Когда обсуждают непосредственный урон от Stuxnet, понесенный тысячами промышленных предприятий, попутно зараженных этим червем, обычно упоминают лишь одно. Что программа, дескать, была очень остро заточена под нанесение вреда только совершенно конкретному объекту, а для всех прочих вела себя абсолютно безобидно, постоянно пребывая в спящем состоянии бездействия.

Кроме специалистов, очень мало кто в курсе, что 15 июля 2010 года, когда сам факт существования червя Stuxnet уже стал широко известен, но о его индустриальной направленности еще толком не знали, веб-сайты двух главных в мире профессиональных форумов, рассылающих бюллетени по безопасности систем промышленного управления, пали жертвой мощных DDoS-атак.

То есть некие «неизвестные силы» самыми грубыми средствами попытались воспрепятствовать распространению информации о новой серьезной опасности, потенциально угрожающей сотням тысяч промышленных предприятий по всему миру.

По сию пору считается, что источник этих DDoS-атак так и остался неизвестным. Но – уже зная о государствах, создавших Stuxnet – не надо быть гением сыска, чтобы понять, кто именно прибегнул к этим действиям. Прекрасно понимая, что в мировом сообществе DDoS уже давно расценивается как преступление, но отлично осознавая при этом собственную безнаказанность.

Имеется и куда более впечатляющий пример. В настоящее время в США идет судебный процесс над сотрудником ЦРУ, слившим журналисту информацию об операции MERLIN – суперсекретной многоходовой комбинации американской разведки, в ходе которой Ирану подкинули рабочие чертежи детонатора для ядерной бомбы и одновременно подставили Россию как источник смертоносной технологии.

Судят человека, попытавшегося таким образом выразить свой протест и несогласие с творимыми его спецслужбой вещами. Пытаются привлечь к суду и журналиста, опубликовавшего эту информацию в своей книге.

Однако нет ни малейших свидетельств, что хоть кому-то во власти приходит в голову привлечь к ответственности людей, которые санкционируют и организовывают очевидно преступные вещи подобного рода.

Вот ведь в чем корень проблемы.

# # #