,
www.infosec.ru
Хакеры управляют реактором
Все помнят фильм 80-х гг. "Военные игры" (Wargames), в котором молодой и одаренный парень влез в компьютер Министерства Обороны и, думая, что он подключился к игровому серверу, затеял состязание с военным компьютером, отвечающим за ведение ядерной войны. Только чудом удалось избежать третьей мировой войны. "Фантазия режиссера", - скажете вы и будете неправы.
В начале сентября этого года ядерную энергетику всколыхнул громкий скандал, связанный с фальсификацией крупнейшей японской энергетической компанией ТЕРСО результатов инспекций своих атомных станций. А 4 сентября в эксклюзивном интервью российскому ядерному проекту Nuclear.ru заместитель министра РФ по атомной энергии А.Б. Малышев рассказал о ситуации с безопасностью отечественных АЭС (http://www.nuclear.ru/comments/full/040902.shtml). Внимательный читатель, особенно интересующийся вопросами защиты информации, заметит, что в данном интервью вопросы безопасности рассматриваются как-то однобоко. Складывается впечатление, что для заместителя министра вся защита АЭС от террористов рассматривается только как аспект физической безопасности. Об этом говорит фраза: "Каждый год на какой-либо станции проходят специальные учения, нацеленные на проверку системы защиты данной конкретной станции. Сделанные по итогам учений системные выводы потом распространяются на всю схему физической защиты атомных электростанций. Сценарии могут придумываться различные: есть сценарии с проникновением на территорию, есть сценарии без проникновения или, например, подготовительная работа по выяснению возможной угрозы". Я же, занимаясь вопросами именно информационной безопасности, задался вопросом: "а насколько реальна и велика опасность кибертерроризма по отношению к атомным электростанциям?" И это не праздный вопрос. Сегодня практически нет ни одной области человеческой деятельности, в которой бы не использовались компьютеры и атомная энергетика не исключение.
Какие же возможности существуют у хакеров, желающих управлять атомом? В целом, их всего два:
Проникновение в информационные системы, ответственные за управление АЭС и ядерным реактором, и нарушение их работы.
Доступ к системам, обрабатывающим секретную информацию о ядерном оружии.
Рассмотрим данные возможности на реальных примерах.
В том же году, в котором вышли "Военные игры" (1983), была арестована группа хакеров, получившая название "банда 414" (по коду города, в котором проживали злоумышленники), которая проникла в более чем 60 военных компьютеров, в т.ч. и принадлежавшие Национальной Лаборатории Лос-Аламоса (http://www.lanl.gov/), помогающей в создании атомного оружия.
В 1995 году Счетная палата США (General Accounting Office) предупреждала о том, что компании, занимающиеся разработками по заказу МО США должны серьезнее относиться к допуску к своим информационным ресурсам зарубежных компаний, работающих по контракту с Министерством Обороны. А уже в декабре опасения GAO подтвердились в полной мере. 16-летний хакер проник в компьютер базы ВВС в Нью-Йорке, хранившем информации о том, какие бомбы, куда и когда должны быть сброшены. Но беда не в этом, а в том, что с этого компьютера он смог подключиться и к другим компьютерам в Чили, Колумбии, Латвии и Корее. И вот тут началось. Расследование ВВС США и ФБР показало, что корейский компьютер принадлежит лаборатории ядерных исследований. Но паника, которая могла привести к третьей мировой войне, началась из-за того, что точно не было известно, в Северной или Южной Корее находилась ядерная лаборатория. Те, кто помнит то время, понимают опасения американских военных. Только через некоторое время выяснилось, что ядерная лаборатория находилась в дружественной Южной Корее и напряженность спала. В противном случае северокорейские военные могли воспринять компьютерное проникновение в их базу с американской базы ВВС, как факт агрессии и ответить всеми доступными им методами.
В середине мая 1998 года 15-летний десятиклассник из США, просмотрев телевизионный репортаж о подземных ядерных испытаниях в Индии, решил стать мстителем и, войдя в Internet, ввел на поисковом сервере InfoSeek ключевую фразу ".in atomic", что означало поиск всех ресурсов в домене, принадлежащем Индии, посвященных атомной тематике. Одним из первых в списке найденных серверов оказался Bhabha Atomic Research Center (BARC), занимающий разработкой атомной бомбы. Через 45 секунд после запуска система взлома паролей сообщила хакеру по кличке t3k-9 об успешности выполнения своей задачи и он смог проникнуть в сеть индийского центра (http://www.barc.ernet.in/). После некоторого блуждания по сети атомного исследовательского центра ему стало скучно и он, скачав базу сообщений электронной почты и несколько документов, покинул BARC, предварительно уничтожив все следы своего пребывания в системе.
И он остался бы незамеченным, если бы не обычное желание похвастаться перед "коллегами". На одном из IRC-каналов он сообщил о взломе своему другу по кличке IronLogik ("Железная логика"), который немедленно воспользовался трудами своего визави. Он также проник в сеть индийского атомного исследовательского центра, о чем не преминул сообщать всем известным ему хакерам. После этого началось хакерское паломничество в BARC (известно о ста хакерах, побывавших в сети BARC), которое закончилось после того, как одна из групп по имени milw0rm, используя наработки t3k-9 и IronLogik, подменила главную страницу Web-сервера BARC и раструбила об этом всему миру, одновременно пригрозив и Пакистану вторгнуться в его ядерные лаборатории. Однако, IronLogik, заявивший: "Даже Цунами-бой не сможет проследить меня" (он имел в виду Тсутому Шимомура, который в свое время отследил Кевина Митника) считает, что это блеф и игра на публику: "Разговор о нападении на Пакистан беспредметен, потому что атомные исследовательские центры Пакистана автономны. Я знаю. Я проверял. Milw0rm - просто кучка глупых детишек". Самое интересное, что проникновением в BARC деятельность IronLogik не закончилось. 4-мя днями позже он, используя свои знания, получил доступ и к другим атомным целям, находящимся в виртуальном пространстве. В частности, он проник в ядерные исследовательские лаборатории Ирака, Ирана, Италии и Турции.
Однако заявления IronLogik о недоступности лабораторий Пакистана были опровергнуты одним из пакистанских специалистов, который провел тестирование защищенности некоторых коммерческих, государственных и военных информационных систем. Результаты оказались плачевными. По данным этого отчета, который может быть найден и в Internet, хакеры могут проникнуть и в сеть атомной лаборатории Пакистана Khan Research Labs (http://www.krl.com.pk/).
В сентябре 1999 года израильская группа Siri Security Research, имеющая своих членов также в Мексике, России, Бразилии и Японии, провела массированное исследование 36 миллионов Internet-адресов в 214 странах. Специалистами Siri было найдено 730213 уязвимостей, в т.ч. и в информационных системах исследовательских центров США, Индии и Франции, занимающихся ядерной тематикой.
Также в 1999 году, но в ноябре, достигший 21 года Бенджамен Брюнингер проник в сеть еще одной американской лаборатории - имени Лоуренса Ливермора (http://www.llnl.gov/). По сведениям ФБР, он не смог получить доступа к секретным данным, но зато нарушил функционирование управляющего сегмента сети лаборатории, что привело к ущербу в 50 тысяч долларов и нескольким неделям восстановительных работ. Интересной была реакции адвоката Брюнингера, который был удивлен тем, что суд выпустил его подзащитного под залог и не возбудил уголовного дела по факту проникновения в святая святых любого государства.
В начале января 2000 года пять американских подростков украли более 200 тысяч учетных записей пользователей Internet из сетей 26 Internet-провайдеров с целью проникновения в сети двух американских национальных лабораторий Sandia и Oak Ridge (http://www.sandia.gov/ и http://www.ornl.gov/), участвующих в программе разработки ядерного оружия. Проникновения осуществлено не было, но официальные лица назвали совершенные действия "неприятными визитами". Надо заметить, что обнаружены злоумышленники были также, как и в случае с атакой на индийский исследовательский центр BARC, когда хакеры стали хвастаться своими успехами своим "коллегам по цеху".
В апреле 2001 Национальная Ядерная Лаборатория Сандиа в Альбукерке, занимающаяся разработкой ядерного оружия, подверглась атакам неизвестных хакеров. Угроза была настолько серьезной, что сотрудники ЦРУ, проводившие расследование, сообщили об этом факте президенту США. "В случаях, подобным этому, трудно точно знать, что было скомпрометировано. Вы должны проделать огромный объем работы, чтобы узнать, что произошло. Частично это происходит из-за непонимания лабораториями важности защиты своей информации" - сказал один из экспертов по безопасности ЦРУ. Самое интересное, что, по мнению экспертов ЦРУ, следы хакеров могут вести в две страны - Россию и Китай. Кстати, Россия не в первый раз называется в качестве источника атак. По словам Стефена Брайена, одного из высокопоставленных американских чиновников, за последние годы был зафиксирован ряд серьезных атак, источником которых является… Российская Академия Наук.
По данным NBC в мае 2001 года американские дипломаты заявили протест российскому правительству, в котором было сказано, что многие направленные на Америку в 1998-2001 годах атаки, согласно проведенному расследованию, исходили из России. Эти атаки, получившие кодовое название "Лабиринт лунного света" (Moonlight Maze), считаются специалистами американских спецслужб самым серьезным виртуальным наступлением на США. Например, представитель Национального Центра по Защите Критичных Инфраструктур (NIPC) заявил, что в августе 1999 года "кибервоины" РАН проникли в компьютеры Министерства Обороны и Министерства Энергетики США с целью доступа к данным о ядерном и ракетном вооружении.
Что касается Китая, то многие специалисты сходятся в том, что Китай активно готовится к информационной войне и разрабатывает доктрину ведения боевых действий в виртуальном пространстве. Официальный Китай не отрицает этого и регулярно проводит демонстрацию своих сил на своих зарубежных оппонентах так, как это делают многие державы, проводя военные учения или демонстрируя на своих полигонах новые виды вооружений. По словам Брайена существуют убедительные доказательства проникновения хакеров, находящихся на службе Пекина, в одну из 4-х атомных электростанций Тайваня с целью "пробы своих сил".
Достаточно "комично" завершилось проникновения немецкого хакера Хесса Ландера в сети Пентагона. Украв 29 документов по ядерному оружию, в т.ч. и "план армии США в области защиты от ядерного, химического и бактериологического оружия", он затем проник в компьютеры ВВС США и произвел себя в полковники военно-воздушных сил США.
Однако не стоит думать, что ядерные центры должны опасаться только внешней угрозы. Многие специалисты считают, что самая большая головная боль - это угроза внутренняя, ведь по статистике больше половины всех компьютерных преступлений совершается по вине сотрудников пострадавших компаний и организаций. И атомная энергетика здесь не исключение. Наверное, многие помнят произошедший в 1999 году и освещаемый разными СМИ инцидент с кражей двух жестких дисков из Национальной Лаборатории Лос-Аламоса. Данные диски содержали секретную информацию об американском, российском, китайском и французском ядерном оружии. Диски были найдены, но никто не дает гарантии, что информация с них не перекочевала на другие носители. Тем более что сама находка обнаружилась в том месте, где дважды проводился тщательный поиск сотрудниками ФБР. Позже был арестован физик Вен Хо Ли, который признал себя виновным в доступе к секретным материалам о ядерном оружии и краже этих дисков.
Лос-Аламос вообще уже стал "притчей во языцех" у специалистов по защите информации. Например, в январе 2001 года все СМИ облетело сообщение о том, что в Лос-Аламосе сотрудниками ФБР по обвинению в совершении хакерских атак был задержан сотрудник лаборатории Джером Хекенкамп. Однако атаки, за которые пострадал Хекенкамп, действовавший под кличкой Magic и MagicFX, были совершены им в период с февраля по ноябрь 1999 года, еще до прихода в лабораторию Лос-Аламоса. По словам сотрудников ФБР и лаборатории Лос-Аламоса доступа к секретным данным Хекенкамп не получил. Но данный инцидент лишний раз демонстрирует, что в ядерную лабораторию попасть не так сложно и при желании туда можно устроиться на работу.
Просто вопиющий случай был зафиксирован в 1999 году в Великобритании, на атомной электростанции в Брэдвелле. Сотрудник службы охраны попытался сорвать работу компьютерной системы, отвечающую за работу реактора. Согласно имеющейся информации, охранник пытался удалить из системы важную информацию, что повлекло бы за собой печальные последствия. Интересно, что сам факт стал известен только в 2001 году и то, не "по вине" сотрудников компании BNFL (http://www.bnfl.com/), отвечающей за атомную электростанцию. Произошла утечка информации, вследствие которой и стал доступен документ, описывающий проблемы с безопасностью на атомных электростанциях Великобритании. Удивителен тот факт, что злоумышленник при приеме на работе не был тщательно проверен службой безопасности и имел две (!) судимости.
А про историю с бывший высокопоставленным сотрудником ФБР Робертом Ханнсеном вообще много говорить не нужно. Считающийся российским шпионом, по своим служебным обязанностям он имел доступ к большому числу секретных данных, в т.ч. и к информации о ядерных исследованиях, проводимых в США и других странах.
Согласно распространенному заблуждению отсталость России в области информационных технологий и отсутствие Internet в государственных и военных ведомствах, не дает хакерам возможности развернуться. Однако это не более чем миф, которых немало в области информационной безопасности (см. статью "Разоблачая мифы" в PCWeek/RE, №10, 2002). Например, еще в далеком 1989 году, на бывшей советской территории - Латвии, на Игналинской атомной электростанции (http://www.iae.lt/), вычислительный комплекс "Титан", отвечающий за загрузку ядерного топлива в реактор совершил ошибку, выдав неправильную команду роботам, работавшим с первым реактором. Работа комплекса была остановлена и созданная комиссия, создав специальные программы-ловушки, стала исследовать инцидент. Через три месяца выяснилось, что программист Игналинской атомной станции внедрил в память "Титана" троянского коня, названного в то время "паразитным кодом", который перехватывал управление первым и вторым реакторами и в момент начала загрузки ядерного топлива менял параметры скорости ввода урановых стержней в активную зону. Если бы инцидент не был обнаружен, то работа "паразитного кода" могла привести к неконтролируемой ядерной реакции.
Все эти примеры лишний раз демонстрируют, что не надо думать, что если лаборатория разрабатывает ядерное или иное оружие, то она имеет самую современную защиту, она отключена от Internet и вторгнуться в нее невозможно. Это распространенный миф. После публикации статьи "Хакеры в космосе" (PCWeek/RE, №12, 2002) я получил несколько писем, иллюстрирующих это. Их авторы, не работающие и не работавшие в соответствующих ведомствах, утверждали, что такого не может быть. Однако факты вещь упрямая и постоянно появляющиеся сообщения (хотя и не всегда публикуемые в СМИ) о взломе того или иного военного ведомства или компании позволяют сделать вывод, что не все так легко "в Датском королевстве". Например, относительно недавно интересный факт обнаружили специалисты Курчатовского института в Москве. По их данным, в системе MS SQL Server, пожертвованной компанией Microsoft Национальной Лаборатории Лос-Аламоса (ох уж этот Лос-Аламос) и используемой для учета хранимых ядерных материалов в США, существует фатальная ошибка, которая приводит к тому, что через некоторое время становятся невидимыми некоторые файлы. В результате это может привести к тому, что некоторые из ядерных материалов, "выпадают" из поля зрения системы и становятся фактически бесхозными. И все обвинения в адрес России о неспособности хранить ядерные материалы, выглядят уже по-другому. Может быть, США таким образом пытается скрыть свои недочеты в хранении?
Что же делать атомным лабораториям, не желающим служить мишенью на мушке у хакера? Во-первых, перестать видеть свет сквозь розовые очки и думать, что злоумышленники никогда не выберут их в качестве своей жертвы. Во-вторых, необходимо строго следовать всем требованиям, указанным в небезызвестном решении Государственной Технической Комиссии России №61 от 21 октября 1997 года и, в частности:
"Отработать планы мероприятий по защите информации". Иными словами, необходимо знать, что делать для защиты своих ресурсов от хакерских атак и что делать при их обнаружении.
"Разработать и внедрить инструкции, содержащие основные правила обеспечения безопасности информации при подключении к международным информационным сетям". Иными словами, все пользователи должны быть обучены основным положениям политики безопасности центра, занимающегося исследованиями атома. Особенно актуальным это требование стало в этом году, с изменением российского законодательства в области защиты информации, обязывающего специалистов проходить обязательное обучение в аккредитованных Гостехкомиссией центрах.
"До решения технических и организационных вопросов, гарантирующих надежность защиты автоматизированных систем органов государственной власти, средств вычислительной техники, обрабатывающих сведения, составляющие государственную тайну… и применяемых в системах управления экологически опасными производствами, транспортом, связью, энергетикой и др., запретить их подключение к международным информационным системам, включая сеть "Интернет".
Следование этим трем пунктам позволит существенно снизить опасность несанкционированного воздействия на информационную систему атомных центров и станций.
В заключение хочу только заметить, что постоянно растущая угроза кибертерроризма требует по-другому взглянуть на вопросы обеспечения информационной безопасности критических и важных инфраструктур любого государства.
^macro[showdigestcomments;^uri[];Хакеры управляют реактором]