Касперский рассказал о Stuxnet на российской АЭС
Выступая 7 ноября 2013 года в австралийском Национальном пресс-клубе в Канберре, глава «Лаборатории Касперского» Евгений Касперский сделал сенсационное заявление. По его словам, широко известный боевой червь — вирус Stuxnet — был обнаружен на одной из российских атомных электростанций! (Увидеть его вы можете здесь, минуты с 26-й.) Новость действительно в высшей степени серьёзная: получается, что кибервойна, диверсии на высокотехнологических объектах, осуществляемые путём скрытой модификации программного обеспечения, доползли и до нашей страны.
Попробуем же разобраться в сути происходящего. Прежде всего посмотрим на само заявление. Сделано оно было в непринуждённой атмосфере встречи с журналистами, среди многих других анекдотов и баек, и сопровождалось весёлыми смешками австралийцев. Названия объекта, на котором произошёл инцидент, и даты происшествия Касперский не привёл. Равно как и каких-либо последствий, вызванных этим проникновением, кроме самого его факта — о котором отечественный гуру кибербезопасности узнал от одного из сотрудников заражённого ядерного предприятия.
Но вот картина из непринуждённых слов Евгения Касперского вырисовывается весьма серьёзная. Естественно, внутренняя сеть ядерного объекта была изолирована от интернета. Но Stuxnet’у это ни чуточки не помешало: он въехал в неё на USB-носителе, воспользовавшись одной из уязвимостей, на которые рассчитывали его создатели. И затаился, ожидая возможности прийти в действие. Создателя Второго рейха князя Бисмарка, как известно, интересовали не намерения его врагов, а их возможности. Так вот, по словам Касперского, такую возможность Stuxnet на отечественном ядерном объекте получил.
Насколько можно всему этому верить? Ведь Касперский — бизнесмен, зарабатывающий именно на кибербезопасности. Больше страхов — больше денег! Вот только что в машине слушал трогательную рекламу о горестной судьбе директора гимназии, случайно попавшего на «странный» сайт… Может, и это такой же пиар? М-м-м… Знаете ли, есть такая забавная книжка — «Уголовный кодекс Российской Федерации». А в ней — статья 207, «Заведомо ложные сообщения об акте терроризма»… И есть поминание в ней «иных действий, создающих опасность гибели людей, причинения значительного имущественного ущерба либо наступления иных общественно опасных последствий»…
И санкции, которые предусмотрены за такое действие, весьма серьёзны… И ограничиться тем, что, получив подобную информацию, ты рассказал о ней лишь журналистам на пресс-конференции, отнюдь не информируя правоохранителей, тоже нельзя. Есть ещё статья 316, «Укрывательство преступлений». Правда, применима ли она — или, может, дело идёт просто об изъятом из нынешнего УК РФ недоносительстве, юристы смогут спорить до бесконечности… Вот только рисковать таким образом никто из нормальных людей, тем более бизнесменов мирового уровня, не станет. Так что будем исходить из простой посылки: факт проникновения был!
И ошибиться, впасть в «добросовестное заблуждение» Касперский никак не мог — ведь по миру весть о Stuxnet пошла с конференции по кибербезопасности Virus Bulletin, где о новинке одновременно рассказали именно Kaspersky Lab и Symantec… Так что приметы зловредного червя сотрудникам «Лаборатории…» должны быть ведомы весьма хорошо. Значит, на ядерный объект нашей страны, действительно проник профессионально изготовленный «кибертеррорист». О повадках которого «Компьютерра» рассказывала давно и очень подробно (Боевой червь Stuxnet, Американо-израильское происхождение боевого трояна Stuxnet подтверждено).
Ну, впадать в панику — как явно в ближайшее время начнутт представители СМИ «общего интереса» — явно не стоит. Создатели Stuxnet сделали очень многое, чтобы обеспечить его «доброкачественность», он способен, никак не проявляя себя, сожительствовать с штатным программным обеспечением. И со средой-переносчиком Windows. И с «целевым органом», контроллером Siemens S7 SPS, который, собственно и являлся целью вируса. Начать вредить червь должен был, лишь обнаружив частоты, характерные для центрифуг, использовавшихся в ядерной программе Ирана для обогащения урана.
А такие в России вряд ли присутствуют — персидские же происходят от центрифуг, использовавшихся в Пакистанской ядерной программе, а отечественная ядерная техника имеет совсем другие корни и на десятилетия старше… Но вернёмся к афоризму Бисмарка: в его терминах целевая ориентация на центрифуги должна проходить по разряду намерений, но вот способность к проникновению — однозначно возможность. И не важно, что те уязвимости, которыми пользовался Stuxnet, в современных системах отсутствуют. По миру стоит достаточное количество старого софта, который уже не поддерживается, ну а в новом — неизбежно будут новые дыры…
Ну а промышленное оборудование — оно куда консервативнее компьютеров. И управляющие им контроллеры — также консервативны. Siemens Simatic S7, принцип «порчи» которых путём перепрограммирования PLC (programmable logic control — программируемый логический контроллер) продемонстрировал Stuxnet, родом из девяностых годов, от Windows 3.11 и трёхдюймовых дискет. Но это — очень добротные и очень распространённые контроллеры, сертифицированные и германским DIN, и нашим ГОСТ, и даже «Российский морским регистром судоходства», с его традиционно очень серьёзными требованиями…
И вот такое оборудование оказывается уязвимо.
Да, уязвимость «реализована» не была — никакое оборудование не портилось, никакие штатные процессы не нарушались. Но это — не имеет никакого значения… Евгений Касперский обозначил очень серьёзную вещь, которую мы возьмём на себя смелость назвать. Нормальная, естественная «эволюция» технических систем, даже в самых ответственных отраслях человеческой деятельности, отнюдь не порождает систем, удовлетворяющих современным требованиям безопасности, не защищают от угроз, присущих современному информационному обществу…
Давайте представим, как всё происходило. Сначала была классическая инженерия, с её расчётами механических конструкций, пресловутым сопроматом; с паровыми машинами, вроде турбин Парсонса и электрическими машинами, часто от того же Siemens… Потом технология начала использовать ядерные процессы — учитывать всякие там эффективные сечения ядерных реакций в барнах. Но все эти алхимические процессы шли в устройствах, созданным по принципам классической инженерии — те же самые инженеры из КБ Грабина, кто перед войной рисовали пушки на конной тяге, после войны проектировали атомные котлы…
Управление сначала тоже было традиционным. Сервомеханизмы середины века на реакторах, самая что ни на есть обычная автоматика и телемеханика на энергетической части, такая же, как на ТЭС. Для связывания компонентов в единую систему использовались сначала аналоговые вычислители, потом — первые цифровые, сугубо специализированные, машины. Те, которые давала тогдашняя технология. Медленные, дорогие, требующие непрерывного и квалифицированного обслуживания, но застрахованные от «вирусов» и самой структурой, и тем, что имел к ним касательство узкий круг профессионалов, со времён главы атомного проекта Берии «просвечиваемых рентгеном».
Но старые машины — изнашиваются. Запчасти для них — кончаются. Прежние кадры — готовые за скромную зарплату выполнять требующий большого количества специфических навыков труд — уходят, хорошо если на пенсию, а то и на ближайший погост… Всё, что касается вычислительной техники, очень легко заменить. На современные устройства, высокопроизводительные и мощные. Легко программируемые. Не требующие постоянного обслуживания. С которыми сопрягаются современные (или относительно современные — вспомним о консервативности промоборудования) средства промышленной автоматики… Так что скорее всего такая замена и произойдёт!
Но почему современные ИТ столь дёшевы и мощны? Да вне зависимости от технологий главный секрет (на данном этапе развития!) состоит в массовости производства и харда и софта. Классические ПК — Intel с AMD; планшеты и «интернет вещей» — ARM… Windows, Android, Linux… Невероятная мощность и сложность всего, доступного за скромные деньги, объясняется тем, что это же доступно сотням миллионов, а то и миллиардам, людей и десяткам миллионов фирм. Есть массовая и однородная среда, в которой могут передвигаться и размножаться вирусы. Windows и на ядерном гиганте, и у бухгалтера крошечной НКО…
И вот эта-то универсальная и всеобщая среда проникла и на специализированные, строжайше защищённые объекты, унаследованные от более ранних эпох технологии. Сделав их уязвимыми… Тут опять попрошу помощи читателей-медиков — наверное в человеческом организме тоже есть уязвимости, сформированные прошлыми этапами эволюции, подскажете?.. И гальваническая и логическая развязка, как показал Касперский, гарантии от заражения не даёт. (Может тут подойдёт аналогия с туземцами, которых косили завезённые конкистадорами болезни, но которые щедро рассчитывались с ними «модной болезнью»…)
А ведь в наше время даже «умный» замок Lockitron требует серьёзного анализа с точки зрения кибербезопасности. (Новые проблемы «умных» домов) Программные системы явно стоило бы проектировать «сверху вниз», на базе открытого кода, со всесторонним рассмотрением возможных уязвимостей и итеративной отработкой их закрытия (премии за найденную «дыру» и т.п. ). Но, похоже, нужна ещё одна дисциплина — эволюционная технология (по аналогии с эволюционной биологией). Способная учесть особенности прошлого развития техники для современного обеспечения безопасности!
Скажем просто — антивирус на домашнем или офисном компьютере это одно. Компьютерный замок требует уже другой уровень безопасности. Ну а система кибербезопасности сложной технической системы неизбежно должна учитывать характерные свойства самой этой системы. И чем больше вокруг нас будет умных машин, тем это требование должно соблюдаться строже! Ну а пока писалась эта колонка, в массовых СМИ началось то, что лучше наблюдать, запасшись попкорном. «Для нас это тоже было неожиданностью. Мы запросили все атомные станции на всякий случай, хотя понятно, что это маловероятно. Получили ответ, что ни на какой из наших станций из компьютерных сетей компьютерных вирусов Stuxnet нет», так сказал директор департамента коммуникаций государственной корпорации «Росатом»Сергей Новиков. Ну что же, подождём дальнейшего хода событий
Комментарии
===
Я не понял страхов автора. На любом современном предприятии есть компьютеры. В том числе и на АЭС. Этим она ни чем не отличается от других компаний. И как все компьютеры, на АЭС так же возможно заражение вирусом.
Но только тех компьютеров, которые имеют выход в интернет или сеть. А, как правило, все современные серьёзные системы не имеют связи с внешним миром.
Да что там АЭС. Современная бухгалтерия, Административный аппарат и служба безопасности на 99% отсечена от внешнего мира.
Так что страхи тут больше надуманные, чем реальные.
И, как вариант - системы: Windows, Android, Linux - это же не российские разработки, и кто знает, какие вирусы прописаны в этих системах изначально и спят до поры до времени. Они никогда не сработают на домашнем компьютере, а на АЭС - вполне.. кодовое слово и ага..
Кто-то вставил заражённую флешку для установки каких-нибудь дополнительных программ
или снятия отчёта...
О говорю не о всевозможных закладках в различных системах, а о конкретном вирусе.
Если кто-то не оставил флешку в раздевалке умышленно, то его надо наказывать соответствующим образом.
Вы видимо никогда не работали на режимных предприятиях.
Не надо путать ИП и режимное предприятие.
А защищённые каналы отдельного компутера это как? И как отчитывается по защищённым каналам? посредством интеренета или отдельный кабель до налоговой?
Выделяется один комп "для связи с внешним миром". Через него идёт общение по интернету, если это необходимо для рабочего процесса. Он никак не коннектится с компами из внутренней сетки, куда включены компы, обслуживающие "объёкт". Они вообще не подозревают о существовании друг друга.
А главбух, видимо, бегает к тому самому выделенному компу с флешкой и скидывает ежедневно туды базу по расчётам и прочую инфу. Глупости не городи. Все транзакции в интернете вполне сносно защищены и при выполнении определённых требований ничего твоей информации не угрожает. Но если уж кому-то очень надо, то проще подкупить сотрудника, чем неделями ломать сети, тем более защищённые админом с прямыми ручками.
===
Из личного опыта, видимо, раз больше ничего в голову не приходит.
Читай внимательно:
1.бухгалтерия серьёзных компаний отчитывается по защищенным каналам
2.Выделяется один комп "для связи с внешним миром".
Кто тебе сказал, что я пишу про один и тот же компьютер?
===
Не только врагов, но и своих оппонентов. Я пишу об адекватных работниках, которые что-то хотят там установить (игру, приложение и т.п.).
А против лома – нет приёма. И путей для злонамеренного заноса вируса – масса. Даже перечислять их не хочется.
Если один комп связан с внешним миром, то с внешним миром связана вся сетка.
Если пишешь не про один и тот же, значит они подключаются к тырнету по-очереди? - значит ещё одна брешь.
А вообще, ты описал не современную бухгалтерию, а представления о работе современной бухгалтерии параноика. Хотя если ты имеешь ввиду какой-нибудь ФГУП (режимное предприятие), который сутки напролёт пилит бюджет и уводит деньги в никуда, то ему действительно иначе работать никак.
Недавно там работал и мой сын.
Так что я прекрасно понимаю о чём пишу.
Порты никто не заклеивает и не пломбирует.
Просто есть те, кто имеет доступ к ресурсам и те кто не имеет.
Те кто занимается обслуживанием доступ имеют.
Вот из них кто-то вирус и занёс.
Если бы заражение прошло по сети, то дело бы не ограничилось одним компьютером...
Речь идёт об обычной беззалаберности... Всё на авось...
Помню, как у нас в 1988 году на стенде где проверялся "Буран" тоже был обнаружен вирус...
Принёс один умник игру на дискете. Хорошо быстро сообразили, что это...
Комментарий удален модератором
Их там кишит, как после летнего дождя.
Я был творцом этой ужасной вредной черни,
Но со Стукнетом не застукать им меня!