На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-11-25 на главную / новости от 2002-11-25
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 25 ноября 2002 г.

Хакеры управляют реактором

В фильме 80-х “Военные игры” (“Wargames”) молодой и одаренный герой взломал компьютер министерства обороны и, думая, что подключился к игровому серверу, затеял состязание с военным компьютером, отвечающим за ведение ядерной войны. Только чудом удалось избежать мировой катастрофы. “Фантазия режиссера” — скажет читатель и будет не прав.

В начале сентября нынешнего года ядерную энергетику всколыхнул громкий скандал, связанный с фальсификацией крупнейшей японской энергетической компанией ТЕРСО результатов инспекций ее атомных станций. А 4 сентября в интервью российскому сайту Nuclear.ru заместитель министра атомной энергии (РФ) А. Б. Малышев рассказал о ситуации с безопасностью отечественных АЭС.

Внимательный читатель, интересующийся вопросами защиты информации, заметит, что в интервью безопасность рассматривается как-то однобоко.

Складывается впечатление, что для заместителя министра вся защита АЭС от террористов рассматривается только как аспект физической безопасности. Об этом свидетельстует фраза: “Каждый год на какой-либо станции проходят специальные учения, нацеленные на проверку системы защиты данной конкретной станции. Сделанные по итогам учений системные выводы потом распространяются на всю схему физической защиты атомных электростанций. Сценарии могут придумываться различные: есть сценарии с проникновением на территорию, есть сценарии без проникновения или, например, подготовительная работа по выяснению возможной угрозы”.

Я же, занимаясь проблемами именно информационной безопасности, задался вопросом: а насколько реальна опасность кибертерроризма по отношению к атомным электростанциям? И это не праздный вопрос. Сегодня практически нет ни одной области человеческой деятельности, в которой бы не использовались компьютеры, и атомная энергетика не исключение.

Какие же возможности существуют у хакеров, желающих управлять АЭС? В целом их всего две:

1) проникновение в информационные системы, ответственные за управление АЭС и ядерным реактором, и нарушение их работы;

2) доступ к системам, обрабатывающим секретную информацию о ядерном оружии.

Рассмотрим данные возможности на реальных примерах.

“Военные игры” вышли в 1983-м и в том же году была арестована группа хакеров, получившая название “банда 414” (по коду города, в котором проживали злоумышленники). Члены группы проникли более чем в 60 военных компьютеров, в том числе, в принадлежавшие Национальной лаборатории Лос-Аламоса, причастной к созданию атомного оружия.

В 1995 году Счетная палата США (General Accounting Office, GAO) предупреждала о том, что организации, выполняющие заказы МО США, должны серьезнее относиться к допуску к своим информационным ресурсам зарубежных компаний, работающих по контракту с министерством обороны. А уже в декабре опасения GAO подтвердились в полной мере.

Шестнадцати летний хакер проник в компьютер базы ВВС в Нью-Йорке, хранивший информацию о том, какие бомбы, куда и когда должны быть сброшены. Но главное — с этого компьютера он смог подключиться к другим компьютерам в Чили, Колумбии, Латвии и Корее. И вот тут началось.

Расследование ВВС США и ФБР показало, что корейский компьютер принадлежит лаборатории ядерных исследований. Паника, которая могла привести к третьей мировой войне, началась из-за того, что точно не было известно, в Северной или Южной Корее находилась эта лаборатория. Только через некоторое время выяснилось, что она расположена в дружественной Южной Корее, и напряженность спала. В противном случае северокорейские военные могли воспринять компьютерное проникновение в их базу с американской базы ВВС как факт агрессии и ответить всеми доступными им методами.

В середине мая 1998 года 15-летний подросток из США, просмотрев телевизионный репортаж о подземных ядерных испытаниях в Индии, решил стать мстителем и, войдя в Интернет, ввел на поисковом сервере InfoSeek ключевую фразу “.in atomic”, что означало поиск всех ресурсов, посвященных атомной тематике в домене, принадлежащем Индии.

Одним из первых в списке найденных серверов оказался Bhabha Atomic Research Center (BARC), занимающийся разработкой атомной бомбы. Через 45 секунд после запуска система взлома паролей сообщила хакеру по кличке t3k-9 об успешном выполнении задачи, и он смог проникнуть в сеть индийского центра.

После некоторого блуждания по сети атомного исследовательского центра ему стало скучно; скачав базу сообщений электронной почты и несколько документов, он покинул BARC, предварительно уничтожив все следы своего пребывания в системе.

T3k-9 остался бы незамеченным, если бы не обычное желание похвастаться перед “коллегами”. На одном из IRC-каналов он сообщил о взломе другу по кличке IronLogik (“Железная логика”), который немедленно воспользовался трудами информатора. Он также проник в сеть индийского атомного исследовательского центра, о чем не преминул написать всем известным ему хакерам.

После этого началось хакерское “паломничество” в BARC (известно о ста хакерах, побывавших в этой сети). Оно закончилось после того, как одна из групп по имени milw0rm, используя наработки t3k-9 и IronLogik, подменила главную страницу Web-сервера BARC и раструбила об этом всему миру, одновременно пригрозив и Пакистану вторгнуться в его ядерные лаборатории.

Однако IronLogik, заявивший: “Даже Цунами-бой не сможет выследить меня” (он имел в виду Тсутому Шимомура, который в свое время “вычислил” Кевина Митника), — считает, что это блеф и игра на публику: “Разговор о нападении на Пакистан беспредметен, потому что атомные исследовательские центры Пакистана автономны. Я знаю. Я проверял. Milw0rm – просто кучка глупых детишек”.

Самое интересное, что проникновением в BARC деятельность IronLogik не закончилась. Четырьмя днями позже он, используя свои знания, получил доступ и к другим атомным целям, находящимся в виртуальном пространстве. В частности, он проник в ядерные исследовательские лаборатории Ирака, Ирана, Италии и Турции.

Однако заявления IronLogik о недоступности лабораторий Пакистана были опровергнуты одним из пакистанских специалистов, тестировавшим защищенность некоторых коммерческих, государственных и военных информационных систем. Результаты оказались плачевными. По данным этого отчета хакеры могут проникнуть и в сеть атомной лаборатории Пакистана Khan Research Labs.

В сентябре 1999 года израильская группа Siri Security Research, имеющая своих членов также в Мексике, России, Бразилии и Японии, провела массированное исследование 36 млн. Интернет-адресов в 214 странах. Специалистами Siri было найдено 730 213 уязвимостей, в том числе и в ИС исследовательских центров США, Индии и Франции, занимающихся ядерной тематикой.

В ноябре того же года 21-летний Бенджамен Брюнингер проник в сеть еще одной американской лаборатории – имени Лоуренса Ливермора.

По сведениям ФБР, он не смог получить доступа к секретным данным, но зато нарушил функционирование управляющего сегмента сети лаборатории, что привело к ущербу в 50 тыс. долл. и потребовало нескольких недель восстановительных работ.

Адвокат Брюнингера был удивлен тем, что суд выпустил его подзащитного под залог и не возбудил уголовного дела по факту проникновения в святая святых любого государства.

В начале января 2000 года пять американских подростков украли более 200 тыс. учетных записей пользователей Интернета из сетей 26 Интернет-провайдеров с целью проникновения в сети двух американских национальных лабораторий —Sandia и Oak Ridge, участвующих в программе разработки ядерного оружия. Проникновения не произошло, но официальные лица назвали совершенные действия “неприятными визитами”.

Надо заметить, что злоумышленники были, как и в случае с атакой на индийский исследовательский центр BARC, обнаружены только из-за то, что начали хвастаться своими успехами среди “коллег по цеху”.

В апреле 2001 года Национальная ядерная лаборатория Sandia в Альбукерке, занимающаяся разработкой ядерного оружия, подверглась атакам неизвестных хакеров. Угроза была настолько серьезной, что сотрудники ЦРУ, проводившие расследование, сообщили об этом факте президенту США. “В случаях, подобных этому, трудно точно сказать, что было скомпрометировано. Для этого вы должны проделать огромный объем работы.

Частично такое происходит из-за непонимания лабораториями важности защиты своей информации” — сказал один из экспертов по безопасности ЦРУ. Самое интересное, что, по мнению экспертов ЦРУ, следы хакеров могут вести в две страны – Россию и Китай.

Кстати, Россия не в первый раз называется в качестве источника атак. По словам Стефена Брайена, одного из высокопоставленных американских чиновников, за последние годы был зафиксирован ряд серьезных атак, источником которых является… Российская академия наук.

По данным NBC, в мае 2001 года американские дипломаты заявили протест российскому правительству. В нем было сказано, что многие направленные на Америку в 1998—2001 годах атаки, согласно проведенному расследованию, исходили из России.

Эти атаки, получившие кодовое название “Лабиринт лунного света” (Moonlight Maze), считаются специалистами американских спецслужб самым серьезным виртуальным наступлением на США.

Например, представитель Национального центра по защите критичных инфраструктур (NIPC) заявил, что в августе 1999 года “кибервоины” РАН* проникли в компьютеры министерства обороны и министерства энергетики США с целью доступа к данным о ядерном и ракетном вооружении.

Многие специалисты сходятся в том, что Китай активно готовится к информационной войне и разрабатывает доктрину ведения боевых действий в виртуальном пространстве. Официальный Китай не отрицает этого и регулярно проводит демонстрацию своих сил на сетях своих зарубежных оппонентов так, как это делают многие державы, проводя военные учения или показывая на полигонах новые виды вооружений.

По словам Брайена, существуют убедительные доказательства проникновения хакеров, находящихся на службе Пекина, в информационную систему одной из четырех атомных электростанций Тайваня с целью “пробы сил”.

Довольно комично завершилось проникновение немецкого хакера Хесса Ландера в сети Пентагона. Украв 29 документов по ядерному оружию, в том числе и армейский план защиты от ядерного, химического и бактериологического оружия, он затем проник в компьютеры военно-воздушных сил США и произвел себя в полковники ВВС.

Однако не стоит думать, что ядерные центры должны опасаться только внешней угрозы. Многие специалисты считают, что самая большая головная боль — это угроза внутренняя, ведь по статистике свыше половины всех компьютерных преступлений совершается по вине сотрудников пострадавших компаний и организаций. И атомная энергетика — не исключение.

В 1999 году произошел освещаемый разными СМИ инцидент с кражей двух жестких дисков из Лос-Аламосской национальной лаборатории. На них содержалась секретная информация об американском, российском, китайском и французском ядерном оружии. Диски были найдены, но никто не даст гарантии, что информация с них не перекочевала на другие носители. Тем более что сама находка обнаружилась в том месте, где дважды проводился тщательный поиск сотрудниками ФБР. Позже был арестован физик Вен Хо Ли, признавшийся в краже этих дисков.

Лос-Аламос вообще уже стал притчей во языцех у специалистов по защите информации. Например, в январе 2001 года все СМИ облетело сообщение о том, что там силами ФБР по обвинению в совершении хакерских атак был задержан сотрудник лаборатории Джером Хекенкамп.

Однако атаки, за которые пострадал Хекенкамп, действовавший под кличками Magic и MagicFX, были совершены им в период с февраля по ноябрь 1999 года, еще до прихода в лабораторию.

По словам специалистов ФБР и лаборатории Лос-Аламоса, доступа к секретным данным Хекенкамп не получил. Но данный инцидент лишний раз демонстрирует, что в ядерную лабораторию попасть не так сложно и при желании хакер может даже устроиться туда на работу.

Просто вопиющий случай был зафиксирован в 1999 году в Великобритании, на атомной электростанции в Брэдвелле. Сотрудник службы охраны попытался сорвать работу компьютерной системы, отвечающей за функционирование реактора.

Согласно имеющейся информации, охранник вздумал удалить из системы важную информацию, что повлекло бы за собой трагические последствия. Интересно, что сам факт стал известен только в 2001 году, и то не “по вине” сотрудников компании BNFL, наблюдающей атомными электростанциями.

Произошла утечка информации, описывающей проблемы с безопасностью на атомных электростанциях Великобритании. Удивителен тот факт, что злоумышленник при приеме на работу не был тщательно проверен службой безопасности и имел две (!) судимости.

Согласно распространенному заблуждению, отсталость России в области информационных технологий и отсутствие Интернета в государственных и военных ведомствах не дает хакерам развернуться. Однако это очередной миф, которых немало в области информационной безопасности (см. статью “Разоблачая мифы” в PC Week/RE, № 10/2002, с. 22).

Например, еще в далеком 1989 году, на бывшей советской территории — в Латвии, на Игналинской атомной электростанции, вычислительный комплекс “Титан”, отвечавший за загрузку ядерного топлива в реактор, совершил ошибку, выдав неправильную команду роботам первого реактора.

Работа комплекса была остановлена, и созданная по этому поводу комиссия с помощью программ-ловушек стала исследовать инцидент. Через три месяца выяснилось, что программист Игналинской атомной станции внедрил в память “Титана” троянского коня, названного в то время “паразитным кодом”, который перехватывал управление первым и вторым реакторами и в момент начала загрузки ядерного топлива менял параметры скорости ввода урановых стержней в активную зону. Если бы инцидент не был обнаружен, могла произойти неконтролируемая ядерная реакция.

* * *

Все эти примеры демонстрируют, что не надо думать, что если лаборатория разрабатывает ядерное или иное оружие, то она имеет самую современную защиту, отключена от Интернета и вторгнуться в ее сеть невозможно.

После публикации статьи “Хакеры в космосе” (PC Week/RE, № 12/2002, с. 23) я получил несколько писем, авторы которых, никогда не работавшие в соответствующих ведомствах, утверждали, что такого не может быть.

Однако факты вещь упрямая и постоянно появляющиеся слухи (хотя и не всегда публикуемые в СМИ) о взломе сети того или иного военного ведомства или компании позволяют сделать вывод, что все не так безоблачно “в датском королевстве”.

Например, относительно недавно интересный факт обнаружили специалисты ИАЭ им. И. В. Курчатова. По их данным, в системе MS SQL Server, пожертвованной компанией Microsoft Лос-Аламосской национальной лаборатории (ох уж этот Лос-Аламос) и используемой для учета хранимых ядерных материалов в США, существует фатальная ошибка, которая приводит к тому, что через какое-то время становится невидимой часть файлов.

В результате это может привести к тому, что часть ядерных материалов выпадет из поля зрения системы и станет фактически “бесхозной”. В этом случае все обвинения в адрес России о неспособности хранить ядерные материалы выглядят уже по-другому. Может быть, США таким образом пытаются скрыть свои недочеты?

В заключение хочу заметить, что постоянно растущая угроза кибертерроризма требует по-другому взглянуть на вопросы обеспечения информационной безопасности критичных и важных инфраструктур любого государства.

* Скорее всего это типичное прикрытие операции специальными службами государства, где эти работы реально финансируются. Поскольку уровень зарплат РАН не позволяет оплатить подобную деятельность, то это история вызывает большие сомнения — Прим. гл. ред.

Об авторе: Алексей Викторович Лукацкий — автор книг “Обнаружение атак” и “Атака из Интернета”. Сертифицированный инструктор по безопасности компании Internet Security Systems. Связаться с ним можно по адресу: luka@infosec.ru.

 

← октябрь 2002 19  20  21  22  25  26  27  28  29 декабрь 2002 →
Реклама!
 

 

Место для Вашей рекламы!