«Боевой» вирус Stuxnet, с помощью которого некие спецслужбы пытались помешать Ирану обзавестись ядерной бомбой, был бы уместен в любом кинобоевике. Мы столько раз видели на экране что-то похожее, что возможный сюжет угадывается безо всякого труда. Сцена: голливудский хакер, освещаемый экраном ноутбука. Несколько секунд пулемётного стука по клавишам, и он объявляет: «We’re in!» На дисплее медленно проявляются сверхсекретные чертежи завода, где враги замышляют недоброе. Врагов нужно остановить. «Загружаю вирус», — говорит голливудский хакер и нажимает Enter. Когда прогресс-бар добегает до нуля, завод взлетает на воздух так зрелищно, что впечатлён даже Майкл Бэй.
Всем известно, что для голливудских хакеров такие дела — это рутина. С той же лёгкостью они подключаются к системам управления дорожным движением и электроснабжением, заглядывают в любую видеокамеру наблюдения, дистанционно открывают и закрывают двери или, скажем, останавливают лифты. Да что там, самый первый голливудский хакер — герой фильма WarGames, снятого в 1983 году, и вовсе едва не развязал ядерную войну, используя для этого любительскую вычислительную машину, рядом с которой ZX Spectrum кажется суперкомпьютером.
Кадр из фильма Крепкий орешек 4Всем известно и то, что на самом деле так не бывает. Точнее, было известно, пока не оказалось, что подобные кинематографические ассоциации — манна небесная для антивирусных компаний и всевозможных спецслужб. Дело в том, что настоящая компьютерная безопасность — материя, как правило, скучная и непонятная для неспециалиста. Как объяснить ему, что она важна? Stuxnet в этом смысле — просто находка. Его значение очевидно каждому с полуслова: в голове тут же всплывает всё, что мы знаем о голливудских хакерах, с поправкой на то, что дело происходит в реальной жизни, а не на киноэкране. Человека, поверившего в это, можно убедить в чём угодно.
Последствия можно наблюдать в новостях едва ли не еженедельно. Разработчики антивирусов с упорством, достойным лучшего применения, разоблачают «кибероружие», которое не представляет особой угрозы для их клиентов. Евгений Касперский, если верить журналу Wired, даже купил промышленную центрифугу вроде тех, что пали жертвой Stuxnet. Политики тем временем пугают «кибертеррористами«, удар которых может быть сравним по разрушительной силе с ураганами и прочими стихийными бедствиями. Скептикам предлагают обратить внимание на необыкновенную сложность современных вредоносных программ. Кто знает, на что они способны?
Цифровые теракты: страшная сказка становится былью
Ребята, создавшие Stuxnet, точно знали, что их детище способно убивать. Знали, но продолжали работать. Точка невозвращения пройдена, вирусы проходят по разряду «оружие».
Ответить на этот вопрос на самом деле не так уж сложно. Мы, возможно, не знаем, чего хотят анонимные авторы Stuxnet, Duqu и Red October, но это можно пережить. То, на что способны написанные ими вредоносные программы, зависит не только от их сложности или от гениальности их разработчиков. Будь они семи пядей во лбу, написанная ими программа не сделает невозможного. Если же исключить всё невозможное, до ответа остаётся совсем немного.
Список возможного хорошо изучен и не особенно изменился за последние десять лет. Всё, что делают вредоносные программы, даже самые замысловатые, полностью туда укладывается. А вот похождения в духе голливудских хакеров в него не вписываются. Они остаются такой же фантастикой, как и прежде. И это ничуть не противоречит существованию Stuxnet. Чтобы понять это, достаточно избавиться от ненужных ассоциаций и нереалистичных ожиданий.
Вспомните, что мы знаем об этой вредоносной программе. Она использует для распространения Сеть и USB-накопители. Попав на компьютер, Stuxnet проверяет, не управляет ли тот заводом, состоящим из строго определённого оборудования, соединённого строго определённым образом. Положительный ответ активирует процедуру, приводящую оборудование в негодность. В случае негативного ответа Stuxnet предпринимает три попытки передать заразу дальше, а затем прекращает жизнедеятельность.
Даже по этому краткому описанию становится ясно, что самое важное в Stuxnet — это не его код, а сведения об устройстве секретного завода, который избран целью атаки. Какое бы мастерство ни демонстрировали программисты, без этих данных Stuxnet не смог бы выполнить свою миссию. И надо понимать, что такую информацию не скачаешь в интернете и не найдёшь в открытых источниках. Чтобы получить её, требуется шпионаж в самом традиционном значении этого слова.
Схема завода, который мог стать жертвой StuxnetДругой неочевидный момент касается способа, с помощью которого вирус попал на машину, непосредственно управляющую промышленным оборудованием. Компьютеры, использующиеся с такой целью, почти никогда не подключены к Сети, так что, по всей видимости, последний этап своего пути Stuxnet преодолел на USB-накопителе. Иными словами, и тут замешан человек.
Выходит, что сама по себе вредоносная программа представляла собой лишь малую и, пожалуй, даже необязательную часть диверсионной операции, которую проводили создатели Stuxnet. Дыра, которой они воспользовались, была не столько в программном обеспечении, сколько в охране атакуемого завода, сначала упустившей информацию о его устройстве, а затем проворонившей заражённую флэшку. То, что через эту дыру пронесли вирус, а не, скажем, бомбу, — это интересная деталь, но и только.
Любой мало-мальски реалистичный сценарий «кибертеррора» сталкивается с той же проблемой. Устройства, которыми управляет компьютер, исключительно редко доступны из интернета. Для атаки же требуется подробная информация о них, недоступная посторонним, и почти всегда — физический доступ. Если же злоумышленник имеет физический доступ, приставка «кибер» резко теряет свою уместность. С физическим доступом — это просто атака, безо всяких приставок, и антивирусы от неё не помогают.
Реальные киберугрозы, как и десять лет назад, касаются, главным образом, доступа к информации и нарушения работоспособности сетевых сервисов. И то и другое может быть неприятно, может приносить убытки, но не приводит к жертвам и разрушениям, на которые намекают термины «цифровое 11 сентября» или «кибероружие».