Umbrit de Stuxnet: despre un nou virus. Virusul este mai rău decât bomba

09.04.2019 Recenzii

o clasă de vulnerabilități numită 0day. 0day este un termen care se referă la vulnerabilități (uneori malware în sine), împotriva cărora mecanismele de protecție ale antivirusurilor și ale altor programe de protecție a computerului sunt neputincioase. Acest concept a apărut deoarece atacatorii care au descoperit o vulnerabilitate într-un program sau sistem de operare își desfășoară atacul imediat cel târziu în prima zi („zero zi”) în care dezvoltatorul a fost informat despre eroarea detectată. Desigur, acest lucru înseamnă că dezvoltatorul nu are timp să repare vulnerabilitatea la timp, ceea ce răspândește epidemii complexe de malware care nu pot fi tratate în timp util. Pe acest moment diverși atacatori își concentrează atenția tocmai pe găsirea unor astfel de vulnerabilități. În primul rând, ei acordă atenție acestor lucruri software, care s-a răspândit. Infectând astfel software cod rău intenționat, atacatorul este garantat să obțină randament maxim din acțiunile lor. în care programe antivirus vor fi neputincioși, deoarece nu vor putea determina codul rău intenționat care se află în program popular. Unul dintre astfel de exemple a fost exemplul de mai sus, când virusul a infectat fișierele de serviciu Delphi și, prin urmare, și-a injectat codul în diverse programe care au fost compilate cu acest compilator. Deoarece astfel de programe au fost utilizate pe scară largă, un număr mare de utilizatori au fost infectați. Toate acestea le-au arătat clar atacatorilor că astfel de atacuri sunt destul de eficiente și pot fi folosite în viitor. Cu toate acestea, găsirea unei vulnerabilități de 0 zile este un proces destul de consumator de timp. Pentru a găsi o astfel de vulnerabilitate, atacatorii recurg la diverse teste de stres. software, analizând codul în părți, precum și căutând diverse erori în codul de program al dezvoltatorului. Dar dacă aceste acțiuni au succes și vulnerabilitatea este găsită, atunci putem presupune că atacatorii o vor folosi cu siguranță. Până în prezent, cel mai cunoscut malware care exploatează vulnerabilitatea 0day în software este viermele Stuxnet, care a fost descoperit în vara lui 2010. Stuxnet a exploatat o vulnerabilitate necunoscută anterior în sistemele de operare Windows, legată de algoritmul de gestionare a comenzilor rapide. Trebuie remarcat faptul că, pe lângă vulnerabilitatea 0day, Stuxnet a folosit încă trei vulnerabilități cunoscute anterior. Vulnerabilitățile zero-day permit, de asemenea, atacatorilor să creeze programe malware care pot ocoli protecția antivirus, ceea ce este, de asemenea, periculos pentru utilizatorul obișnuit. Pe lângă astfel de vulnerabilități (0day), există și vulnerabilități destul de comune pe care un atacator le folosește în mod constant. Un alt tip periculos de vulnerabilități sunt vulnerabilitățile care folosesc Ring 0 sistem de operare. Ring 0 este folosit pentru a scrie diverse drivere de sistem. Acesta este un nivel special de la care puteți efectua control total peste sistemul de operare. În acest caz, atacatorul este asemănat cu un programator care scrie un driver pentru sistemul de operare, deoarece în acest caz scrierea unui program rău intenționat și a unui driver este un caz identic. Atacatorul folosește funcțiile sistemului iar apelurile încearcă să ofere programului său rău intenționat funcția de a trece la Ring 0.

Pericolul furtului de identitate de pe telefoanele mobile

Dacă acest lucru s-ar fi spus literalmente acum 7 ani, atunci, cel mai probabil, pur și simplu nu ar fi crezut un astfel de fapt. Acum pericolul furtului de date personale ale utilizatorilor de telefoane mobile este extrem de mare. Există un număr mare de programe rău intenționate care sunt implicate în furtul de date personale de pe telefoanele mobile ale utilizatorilor. Și destul de recent, nimeni nu și-ar fi putut imagina că platformele mobile ar fi de interes pentru atacatori. Istoria virușilor începe în 2004 când. Anul acesta este considerat punctul de plecare pentru virușii mobili. În același timp, virusul creat anul acesta a fost selectat pentru sistemul Symbian. A fost o demonstrație a posibilității însăși a existenței virușilor pe platforma sistemului de operare Symbian. Autorii unor astfel de dezvoltări, mânați de curiozitate și dorința de a contribui la întărirea securității sistemului pe care l-au atacat, nu sunt de obicei interesați de distribuirea sau utilizarea lor rău intenționată. Într-adevăr, copia originală a virusului Worm .SymbOS.Cabir a fost trimisă companiilor antivirus în numele autorului însuși, dar mai târziu au apărut codurile sursă ale viermelui pe Internet, ceea ce a dus la crearea unui număr mare de noi modificări ale acestui program rău intenționat. De altfel, după publicarea codurilor sursă, Cabir a început să „rătăcească” pe cont propriu telefoane mobile la nivel mondial. A cauzat probleme utilizatori obișnuiți smartphone-uri, dar epidemia nu s-a întâmplat de fapt, deoarece companiile de antivirus aveau și codurile sursă ale acestui virus și atunci au început primele lansări de antivirusuri pentru platformele mobile. Ulterior, au început să se răspândească diverse adunări ale acestui virus, care, însă, nu au adus prea mult rău. Acesta a fost urmat de primul backdoor (un program rău intenționat care deschide accesul la sistem din exterior). Funcționalitatea sa vă permite să transferați fișiere în ambele direcții și să afișați mesaje text. Când un dispozitiv infectat se conectează la Internet, ușa din spate trimite prin e-mail adresa sa IP proprietarului său. Ulterior, a apărut un alt program rău intenționat pentru platforme mobile. Programul este un fișier SIS - o aplicație de instalare pentru platforma Symbian. Lansarea și instalarea acestuia în sistem duce la înlocuirea pictogramelor (fișiere AIF) ale aplicațiilor standard ale sistemului de operare cu o pictogramă cu o imagine a craniului. În același timp, în sistem sunt instalate noi aplicații, peste cele originale. Aplicațiile rescrise nu mai funcționează. Toate acestea au fost preluate de diverși pasionați în scrierea de programe rău intenționate, care au început să producă tot felul de modificări ale virușilor vechi și, de asemenea, au încercat să creeze propriile lor. Cu toate acestea, la acel moment, toate programele rău intenționate pentru platformele mobile erau destul de primitive și nu puteau fi comparate cu omologii lor de programe rău intenționate de pe un computer. Un program numit Trojan.SymbOS Lockhunt a făcut destul de mult zgomot. Acest program a fost un troian. Exploatează „credulitatea” (lipsa verificărilor integrității fișierelor). După lansare, virusul creează în directorul de sistem /system/apps/ un folder cu numele disonant gavno în ceea ce privește limba rusă, în interiorul căruia se află fișierul gavno. aplicația și însoțitorul său gavno.rsc și gavno_caption.rsc. În același timp, în toate fișierele, în loc să corespundă formatelor acestora informatii de serviciu iar codul contine text simplu. Sistem de operare, bazat numai pe extensia de fișier gavno. app , îl consideră executabil - și se blochează încercând să pornească „aplicația” după repornire. Pornirea smartphone-ului devine imposibilă. După acești viruși, există mai ales viruși de același tip care se pot transmite prin diverse tehnologii.

Însăși vulnerabilitatea platformelor mobile este destul de mare, deoarece nu există astfel de instrumente care să protejeze în mod fiabil platformele mobile. În plus, este necesar să se țină cont de faptul că platformele mobile moderne se apropie deja de sistemele de operare convenționale, ceea ce înseamnă că algoritmii de influențare a acestora rămân similari. În plus, platformele mobile au două metode de transfer de date destul de specifice pe care computerele nu le au - tehnologia Bluetooth și MMS. Tehnologia Bluetooth transmisie fără fir date, dezvoltat în 1998. Astăzi este utilizat pe scară largă pentru schimbul de date între diverse dispozitive: telefoane și căști pentru ele, buzunar și computere desktopși alte tehnologii. Comunicarea prin Bluetooth funcționează de obicei la o distanță de până la 10-20 m, nu este întreruptă de obstacole fizice (pereți) și oferă viteza de transmisie date de până la 721 Kbps. MMS - relativ tehnologie veche, conceput pentru a extinde funcționalitatea SMS-urilor cu capacitatea de a transfera imagini, melodii și videoclipuri. Spre deosebire de un serviciu

Eșecul unui număr atât de mare de centrifuge m-a făcut să mă întreb dacă acesta a fost rezultatul unui fel de sabotaj planificat cu ajutorul virusului informatic recent apărut Stuxnet - care în Iran a devenit destul de răspândit în comparație cu alte state, care poate servi drept dovada că dezvoltatorii virusului vizau Iranul. Și, după cum se dovedește, direct la uzina de îmbogățire a uraniului, folosind vulnerabilitățile cunoscute ale sistemului său de operare și notoriile " factorul uman».

Dar clientul este necunoscut, interpretul ipotetic ar fi un angajat al concernului Siemens (Siemens), care a introdus o unitate flash infectată în sistemul de control al producției. Prejudiciul cauzat programului nuclear al Iranului, în acest caz comparabil cu pagubele provocate de notoria grevă a Forțelor Aeriene Israeliene din 1981, chiar în ajunul lansării centralei nucleare, când întreaga infrastructură a întreprinderii a fost complet distrusă.

Conform rezultatelor investigației, tocmai atacurile cibernetice pot deveni instrumentul ideal pentru o deteriorare atât de mare a echipamentelor - sunt rapide, extrem de eficiente în capacitatea lor de distrugere și, în același timp, absolut anonime.

Trebuie remarcat faptul că virusul Stuxnet atacă la nivelul controlerelor logice (controllerele sunt calculatoare implicate în managementul marilor complexe industriale și energetice), infectând baza software a sistemului. Lista sa de ținte include convertoare variabile de frecvență (VFD). Printre frecvențele activate găsite în corpul virusului, se numără cele care pot afecta echipamentul electronic al centrifugelor iraniene IR-1. Deși în sine această împrejurare nu înseamnă nimic.

Ce au căutat de fapt dezvoltatorii virusului nu se știe. Dacă și-au stabilit sarcina de a distruge fizic centrifugele, atunci planul lor nu a funcționat, deoarece virusul Stuxnet nu a furnizat acest lucru. Dar dacă au intenționat să deterioreze anumite părți ale centrifugelor sau să le scoată din funcțiune pentru o perioadă lungă de timp, atunci poate chiar să fi reușit, deoarece daunele cauzate de virus au fost bruște și foarte tangibile. Trebuie remarcat faptul că, atunci când personalul și-a dat seama că ceva nu era în regulă cu funcționarea centrifugelor și le-a întrerupt alimentarea cu energie electrică, era deja prea târziu, iar situația din atelier semăna cu consecințele unui atac terorist asociat cu utilizarea mai multor dispozitive explozive în același timp.

Oficial, Iranul nu a recunoscut că planta a fost lovită de un virus informatic. Cu toate acestea, este confirmat la cel mai înalt nivel că sunt în desfășurare atacuri cibernetice asupra instalațiilor sale nucleare. De exemplu, la sfârșitul lunii noiembrie 2010, președintele Mahmoud Ahmadinejad a spus că „un număr limitat de centrifuge” a avut probleme cu software-ul din electronică.

În același timp, șeful Organizației Iranului pentru Energie Atomică, dr. Ali Akbar Salehi, a indicat că data la care virusul Stuxnet a apărut pe instalațiile nucleare iraniene este mijlocul anului 2009. Prin urmare, timpul necesar virus rău intenționat călătoria de la primele computere personale infectate până la fabrica este mai mare de un an.

Cu toate acestea, în 2009-2010 Specialiștii iranieni au demontat și au înlocuit aproximativ 1.000 de centrifuge IR-1 la fabrică. Și înainte de asta, acest model destul de învechit de centrifuge a eșuat adesea (aproximativ 10% anual), dar înlocuirea unui lot atât de mare ca în 2010 ne-a făcut să ne gândim, să începem o investigație și un studiu științific profund asupra acestei probleme.

Desigur, o uzină de îmbogățire a uraniului este o întreprindere închisă cu acces limitat, un nivel ridicat de secretizare a sistemului de comandă și control și nu este conectată la internet. Potrivit experților, virusul ar putea ajunge la calculatoarele de control doar prin computerele personale ale specialiștilor fabricii - mai întâi prin infectarea computerelor lor de acasă, sau prin computerele unor persoane conectate cumva cu instalația, iar apoi prin intermediul unităților lor flash virusul ar putea intra în calculatoarele sistemelor de control.

Primele pagini ale presei mondiale erau pline de profeții sumbre despre apariția erei războaielor cibernetice. Experți dintre cei mai mulți directii diferite: de la securitate IT la lingvistică și antropologie. Trebuie menționat că virusul Stuxnet a fost descoperit de laboratoarele antivirus cu mult timp în urmă, dar lumea a aflat despre adevărata amploare a infecției abia la sfârșitul lunii septembrie 2010.

Din motive de înțeles și logic, dezvoltatorii virusului Stuxnet preferă să păstreze un profil scăzut. Cu toate acestea, experții se concentrează pe ceea ce este destul de evident - complexitatea acestui virus poate fi numită fără precedent, iar crearea unui astfel de proiect necesită investiții intelectuale și financiare uriașe, ceea ce înseamnă că doar structurile de dimensiunea statului o pot face. Experții sunt de acord că acest virus nu este rezultatul eforturilor doar ale unui „grup de entuziaști”. Laurent Esloe, director de sisteme de securitate la Symantec, sugerează că cel puțin 10 persoane au lucrat la crearea virusului Stuxnet pe o perioadă de șase până la nouă luni. Frank Rieger, Director tehnic GSMK, își susține colegul: potrivit acestuia, virusul a fost creat de o echipă de programatori cu experiență, iar dezvoltarea a durat aproximativ șase luni. Rieger numește și costul estimat al creării virusului Stuxnet: este de cel puțin 3 milioane de dolari. Eugene Kaspersky, CEO al Kaspersky Lab, spune despre scopul de sabotare al virusului: „Stuxnet nu fură bani, nu trimite spam și nu să nu fure informații confidențiale. Acest malware este conceput pentru a controla Procese de producțieși să gestioneze literalmente o capacitate uriașă de producție. În trecutul nu prea îndepărtat, am luptat cu criminali cibernetici și bătăuși pe internet, acum mă tem că este timpul pentru terorismul cibernetic, armele cibernetice și războaiele cibernetice.” Tilman Werner, membru al comunității de specialiști în domeniul securității pe internet, este sigur că hackerii singuri nu sunt capabili de acest lucru.

„Stuxnet este atât de avansat din punct de vedere tehnic încât trebuie presupus că la dezvoltarea programului rău intenționat au participat specialiști din cadrul agențiilor guvernamentale sau că aceștia, potrivit macar furnizate unele ajutor semnificativîn crearea sa, spune Werner.

Experții notează că virusul Stuxnet intră într-un computer printr-o priză USB de pe un mediu infectat, de obicei un disc-on-key, denumit în mod popular o unitate flash. Din acel moment, computerul infectat însuși devine o sursă de infecție.

Și „viermele” se află în interiorul lui (virusul Stuxnet are șase diferite căi pătrunderea și fixarea în sistemul de operare al computerului) începe să acționeze offline. Nu mai are nevoie de nicio comandă din afară. El știe de la naștere ce să facă. Virusul Stuxnet testează conținutul computerului, comenzile de intrare și de ieșire din acesta și se comportă complet normal în raport cu sistemul care l-a absorbit, nu dăunează nici el însuși, nici partenerilor săi în niciun fel, până când dă peste semne ale tinta a fost creata pentru a vana - programe de management al productiei ale concernului Siemens. Și apoi se transformă într-un prădător-distrugător crud.

Specializarea virusului Stuxnet sunt programe de calculator pentru sisteme de control industrial la scară largă SCADA (Supervisory Control and Data Acquisition), adică „control de supraveghere și colectare de date”. Aceste sisteme reglementează procesele tehnologice ale centralelor electrice, conductelor de petrol și gaze, uzinelor militare, întreprinderilor de infrastructură civilă etc.

Virusul Stuxnet, având capacitățile inițiale necesare unui administrator de sistem și cunoscând vulnerabilitățile sistemului de operare pe care nimeni, în afară de el și creatorii săi, nu le cunoaște, se ridică în ierarhia de management existentă la nivelul de inițiere a comenzii, de fapt preia puterea în sistem și îl redirecționează pentru a-și executa propriul scop distructiv.

În primul rând, schimbă „capul” computerului și reprogramează programul PLC (Programmable Logic Controller - programable logic controller) responsabil de logică. Și începe să dea ordine.

Potrivit lui Ralph Langner, specialist în securitate industrială la Siemens, virusul Stuxnet poate modifica parametrii de funcționare ai „blocului operațional 35”, care monitorizează situațiile critice de producție care necesită un răspuns urgent de 100 de milisecunde. Dacă da, brutalul „vierme” nu costă nimic pentru a aduce sistemul la un accident devastator.

După ce a preluat controlul, virusul Stuxnet conduce în mod constant sistemul la distrugerea producției. Nu este deloc spion, așa cum mulți au sperat inițial, este un sabotor. De îndată ce codul sursă PLC încetează să se mai execute, susține Ralph Langner, se poate aștepta ca în curând o legătură să explodeze, să se prăbușească. Și, cel mai probabil, se va dovedi a fi ceva important.

Experții sunt de acord că dezvoltarea și implementarea unui astfel de virus complex este o sarcină imposibilă fie pentru un hacker, fie pentru un grup de hackeri, fie pentru orice structură privată. Aceasta este în mod clar munca statului. Numai statul își putea permite să lanseze un „vierme” atât de scump, declasificându-l de fapt, doar de dragul unui obiectiv extrem de important pentru el și doar pentru că nu mai putea aștepta.

În acest sens, același Ralph Langner face o presupunere logică că virusul Stuxnet și-a făcut deja treaba cel mai probabil. Totuși, „viermele”, deși clar nu spyware, dar oferă unele informații, inclusiv pentru publicul larg, cel puțin prin însuși faptul existenței sale.

Problemele preocuparii Siemens

Lat fapt cunoscut este că CNE Bushehr a fost construită de specialiști de la Atomstroyexport rusesc pe tehnologii ruseștiși utilizarea sistemelor de control computerizat pentru producția concernului Siemens.

De remarcat că, potrivit experților, virusul Stuxnet infectează doar un anumit tip de controlere Siemens, și anume SIMATIC S7, care, conform AIEA (Agenția Internațională pentru Energie Atomică), este folosit de Iran. În același timp, aproximativ 60% dintre calculatoarele infectate cu virusul Stuxnet sunt situate în Iran, iar restul de 40% sunt în țări care sunt cumva legate de acesta: Indonezia, India și Pakistan.

Un detaliu important al problemei luate în considerare este că preocuparea Siemens a fost cea care a luat parte activ în anii '70. al secolului trecut în furnizarea de echipamente de înaltă tehnologie program nuclear Iranul. După victoria revoluției islamice, preocuparea a încetat să funcționeze în țară, dar apoi germanii s-au întors, iar Iranul a devenit unul dintre cei mai mari clienți ai lor pentru echipamente specifice. Cu toate acestea, după introducerea sancțiunilor internaționale, cu mare reticență și sub presiunea puternică din partea guvernului german, Siemens a anunțat rezilierea contractelor cu Iranul. Reprezentanții concernului se referă în continuare la acest fapt ca răspuns la reproșurile apărute din când în când. Cu toate acestea, ei au fost prinși în curând furnizând echipamente și componente cu dublă utilizare interzise care ar putea fi utilizate pentru instalarea la instalațiile nucleare ale Iranului, despre care vor fi discutate mai jos.

Versiune de suport software

La fel ca întreprinderile din ciclul nuclear din întreaga lume, uzina de îmbogățire a uraniului este o întreprindere închisă și are restricții severe, inclusiv cele legate de accesul persoanelor din afară pe teritoriul său. Dar organizatorii sabotajului au avut câteva idei despre specificul procesului de producție. Deci, în 2007-2008. uzina a fost vizitată de inspectorii AIEA – atunci autoritățile iraniene nu le închiseseră încă ușile. Experții au aflat o mulțime de informații interesante chiar și de la televizorul oficial iranian și de la ședința foto dedicată vizitei președintelui țării Mahmoud Ahmadinejad la fabrică în 2008. Serviciile de securitate au lucrat atunci surprinzător de neprofesionist. Deci, în fotografie se puteau vedea monitoarele computerelor care rulează sub sistemul de operare Windows; s-a cunoscut exact ce centrifuge sunt folosite în Natanz (ocolind embargoul privind furnizarea de echipamente interzise, Iranul a achiziționat centrifuge din Pakistan); iar controlul computerizat al motoarelor centrifugelor se realizează folosind controlere Siemens. Cu aceste informații în mână, a fost doar necesar să se decidă cum să aducă în mod fiabil programul rău intenționat în rețeaua de calculatoare a companiei, deoarece din motive de securitate nu este conectat la Internet. Iar autorii virusului Stuxnet au dezvoltat o soluție inteligentă:

Deoarece software-ul special este întotdeauna creat pentru nevoile unei anumite producții pentru controlerele Siemens (sistemul de control propriu-zis), programele de control sunt „scrise” pentru acestea la comandă, prin urmare, dezvoltatorii se ocupă ulterior de suportul planificat și livrează în mod regulat fișiere de actualizare către producție. Cea mai posibilă modalitate de a furniza informații către o rețea închisă a fabricii este media externă. Hackerii au aruncat virusul Stuxnet asupra a șase companii de software iraniene despre care cred că ar fi fost în contact cu fabrica Natanz. A fost o chestiune tehnică infectarea calculatoarelor acestor companii, deoarece acestea sunt conectate la internet și angajații lor folosesc e-mailul. Așa cum era de așteptat, așteptarea că mai devreme sau mai târziu virusul va ajunge la destinație a fost pe deplin justificată: computerele infectate care controlează producția la un moment dat au dat comanda de a învârti centrifugele până când unele dintre ele au eșuat. Abia atunci personalul de întreținere al uzinei a observat că ceva nu era în regulă și i-a scos sub tensiune.

traseu israelian

Iranul a devenit obiectul unei atenții internaționale sporite atunci când țările occidentale au început să facă toate măsurile posibile pentru a-și perturba programele nucleare, vizând, în opinia lor, crearea propriilor arme nucleare. În aceste condiții, se lucrează pentru distrugerea economiei sale, atacând simultan sectoarele militaro-industriale și științifice. O astfel de concluzie este cuprinsă în cartea publicată în Uniunea Europeană de specialistul în informații Yvonnik Denoyel „Războaiele secrete ale Mossad-ului”. Această ediție detaliază pentru prima dată operațiunea de perturbare a funcționării centrifugelor de îmbogățire a uraniului cu ajutorul unui virus informatic.

Primele informații despre uzina subterană de îmbogățire a uraniului din Natanz au fost obținute de serviciile de informații occidentale în 2002, când agenții de informații germani au recrutat un om de afaceri iranian a cărui companie a fost implicată în crearea acestei facilități. Pe baza cuvintelor autoarei, iranianul a fost de acord să ofere hărți, fotografii, o descriere tehnică și alte informații despre acest obiect în schimbul promisiunii de a-l scoate mai târziu din țară și de a oferi cetățenia germană. Cu toate acestea, notează Denoel, contraspionajul iranian a demascat acest agent în 2004 și l-a eliminat. Cu toate acestea, soția lui a reușit să-l scoată din Iran în Germania PC portabil soț decedat.

„Computerul a devenit adevărata peșteră a lui Ali Baba și i-au trebuit luni de zile informațiile germane pentru a studia documentele care au căzut în mâinile lor.” - notează autorul cărții.

Aceasta a fost urmată în 2006 de o serie „suspectă” de explozii la uzina Natanz și la centrul nuclear din Isfahan, când transformatoarele au fost dezactivate în timpul pornirii centrifugelor cu gaz în care este îmbogățit uraniul. Ca urmare, până la 50 de centrifuge au fost avariate în Natanz.

Între timp, în 2009, la instalația nucleară israeliană Dimona din deșertul Negev a fost înființată o echipă de specialiști cu Statele Unite pentru monitorizarea programului nuclear al Israelului. În același timp, serviciile de informații israeliene au creat o copie exactă de lucru a uzinei iraniene de îmbogățire din Natanz, pe baza documentelor obținute de informații. Această muncă a fost facilitată de faptul că atât Dimon, cât și Natanz au folosit tehnologia nucleară franceză. Denoel scrie că serviciile de informații israeliene au reușit să achiziționeze centrifuge pe „piața neagră” globală, similare cu cele folosite de Iran pentru îmbogățirea uraniului.

Drept urmare, potrivit experților independenți, crearea de către Israel a unei „oglinzi Natanz” cu ciclul său de producție îi permite să monitorizeze progresul într-un domeniu cheie al programului nuclear iranian - îmbogățirea uraniului în timp real. Potrivit autorului, centrifugele fabricii din Natanz au devenit obiectul unui atac al serviciilor de informații occidentale, care au folosit rețele de calculatoare pentru aceasta.

Potrivit lui Denoel, care a efectuat tranzacții cu Iranul în 2008, concernul german de inginerie Siemens „a acceptat să coopereze cu Ministerul securitatea internă Statele Unite ale Americii pentru a-și ajuta specialiștii să găsească vulnerabilități în sistemul informatic al forțelor armate iraniene.” Acest lucru a fost facilitat de faptul că Siemens a participat la crearea de calculatoare care gestionează mari complexe industriale și energetice (controlere). După cum s-a dovedit, echipamentul informatic al companiei germane a fost folosit și de iranieni la uzina din Natanz.

În același timp, serviciile speciale ale Israelului și Statelor Unite au organizat un grup pentru a crea virusul informatic Stuxnet, care a început să lucreze la Dimona. În acest sens, New York Times a scris că fără a recrea procesul de producție al uzinei iraniene din Natanz din centrul nuclear israelian, virusul Stuxnet nu ar fi putut funcționa cu eficiență ridicată. În același timp, Israelul a fost atras de munca oamenilor de știință și tehnicieni anterior pensionați care au lucrat în sectorul nuclear în anii 1950 și 1960. - procesul de producție din Natanz s-a dovedit a fi atât de specific și, în plus, destul de depășit. Dar acești specialiști veterani au fost cei care au avut cunoștințele necesare pentru a recrea procesele tehnologice ale programului nuclear iranian.

Operațiunea de sabotaj industrial din Iran a avut mai multe niveluri. Astfel, în iunie 2009, experții americani și israelieni au creat și lansat pe internet o versiune simplificată a virusului Stuxnet, a cărei sursă nu a putut fi determinată. Inițial, acest virus a făcut posibilă furtul informațiilor stocate în computere, numere de identificare, parole și cuvinte de cod și informații despre configurațiile rețelei.

Câteva săptămâni mai târziu, după prima apariție a virusului Stuxnet pe World Wide Web, a fost lansată versiunea sa sofisticată, având ca scop atacarea unităților de producție iraniene. Ea a fost trimisă de specialiști din Statele Unite și Israel în rețeaua uzinei din orașul Natanz, unde a preluat controlul sistemului de control al centrifugelor. Potrivit lui Denoel, virusul a forțat programele de control să raporteze „funcționare normală”, în timp ce, în același timp, pătrundea mai adânc în sistemele de producție.

„Astfel, în sistemul informatic Natanz a fost creată o realitate virtuală, care nu le-a permis specialiștilor iranieni să suspecteze faptul unui atac de virus”, - notează autorul cărții.

Totul sugerează că în 2010 s-a dat ordinul de declanșare a atacului, iar virusul, luând controlul centrifugelor, le-a obligat să mărească viteza rotorului de la 1.000 de rotații pe secundă la 1.400. defecțiunea centrifugei.

Faptul că unele evenimente aveau loc la uzina din Natanz a fost semnalat imediat de inspectorii AIEA. De obicei, la această fabrică, unde au fost instalate 8.700 de centrifuge, numărul defecțiunilor nu a depășit 10% pe an. Cu toate acestea, în trei luni din 2010, tehnicienii iranieni au înlocuit până la 2.000 de centrifuge, au spus oficialii AIEA. Potrivit analiștilor occidentali, atacul tehnologic a făcut posibilă încetinirea progresului în îmbogățirea uraniului cu 24 de luni. Astfel, potrivit fostului șef al Mossad, Meir Dagan, „operațiunea de succes a întârziat de câțiva ani începerea producției Iranului de uraniu îmbogățit pentru arme”.

Cu toate acestea, potrivit lui Denoel, această operațiune nu a reușit să oprească programul nuclear al Iranului. Centrifugele deteriorate au fost înlocuite, iar conform informațiilor occidentale, Teheranul are până la 8.000 de centrifuge de așteptare.

Materiale de investigare

Conform statisticilor compilate înainte de evenimentele din 2010, centrifugele de rezervă ale Teheranului sunt un model destul de învechit (IR-1) și, de asemenea, se defectează frecvent. Deci, în 2009-2010. Specialiștii iranieni au demontat și înlocuit aproximativ 1.000 de centrifuge IR-1 la uzina de îmbogățire a uraniului.

Datele publicate de AIEA confirmă că ceva ciudat se întâmpla la fabrică la începutul anului 2010. În atelier (modulul de proces A26), 11 din 18 cascade de centrifugă au fost oprite - un total de 1.804 de mașini. În alte ateliere, situația arăta mai bine, deși au fost înregistrate întreruperi ale uneia sau două cascade.

Modulul A26 a fost instalat în 2008. Acesta este al doilea modul asamblat în fabrică. În iunie 2009, 12 din cele 18 etape din acest modul erau îmbogățirea uraniului. În august 2009 au fost îmbogățite 10 cascade, iar în noiembrie doar șase.

Această scădere a numărului de cascade de îmbogățire a uraniului confirmă că au apărut probleme semnificative la modulul A26. Iar în perioada dintre noiembrie 2009 și sfârșitul lunii ianuarie 2010 (e imposibil de spus mai precis), s-a întâmplat ceva care a impus oprirea a 11 cascade deodată.

În același timp, trebuie menționat că defecțiunea centrifugelor IR-1 în sine nu este un eveniment ieșit din comun. Centrifugele IR-1 se defectează și o fac des. Potrivit estimărilor neoficiale ale specialiștilor AIEA, până la 10% din numărul total de centrifuge instalate, adică 800–900 de mașini anual, eșuează la această fabrică în fiecare an.

Este posibil ca centrifugele modulului A26 să se fi defectat din motive „naturale”, deși numărul de mașini defectate este destul de mare și depășește rata anuală de defecțiuni.

Există o altă explicație care exclude orice sabotaj extern - calitatea instalării unităților de centrifugă în modulul A26, care poate fi scăzută, care s-ar fi putut simți. Astfel, se știe că centrifugele primului modul iranian (A24) funcționează stabil. Dar pe al doilea modul (A26), calitatea muncii în timpul instalării unităților de centrifugare efectuată după introducere interdicție internațională(pentru furnizarea de echipamente specifice relevante) ar putea fi mai mic decât pentru primul. Această explicație nu contrazice realitatea. Nu este clar, însă, de ce defectul din fabrică a afectat la mai bine de un an de la lansarea celui de-al doilea modul.

Există și o a treia versiune. Deci, primul modul (A24) ar putea fi realizat din componente importate achiziționate oficial, iar al doilea (A26) - din componente necunoscute cum au ajuns în Iran. În acest caz, defecțiunea masivă a centrifugelor celui de-al doilea modul nu ar trebui să provoace prea multă surpriză.

Totodată, trebuie menționat că experții Symantec au stabilit că virusul Stuxnet, printre altele, atacă convertoarele de frecvență fabricate de compania iraniană Fararo Paya și compania finlandeză Vacon. Secvențele corespunzătoare de comenzi din corpul virusului au fost desemnate de experți drept „A” și „B”. Convertoare de frecvență centrifugele sunt necesare pentru sistemul de control al motorului, care vă permite să setați viteza de rotație a rotoarelor centrifugei cu mare precizie.

Convertizoarele vizate de virusul Stuxnet au un domeniu de aplicare limitat, inclusiv cele destinate instalării pe centrifuge. Mulți specialiști, după raportul Symantec, credeau că virusul a fost dezvoltat pentru a combate programul nuclear al Iranului.

În același timp, Iranul nu a indicat niciodată tipul de convertoare în declarațiile sale și nu a permis inspectorilor să obțină aceste date.

(Sfârșitul urmează)

„Nu știu cu ce arme vor lupta în al treilea război mondial, dar în al patrulea se vor folosi pietre și bâte”
Albert Einstein

La sfârșitul lunii septembrie, s-a știut că virusul Stuxnet a provocat daune grave programului nuclear iranian. Folosind vulnerabilitățile sistemului de operare și notoriul „factor uman”, Stuxnet a lovit cu succes 1.368 din 5.000 de centrifuge la uzina de îmbogățire a uraniului din Natanz și, de asemenea, a întrerupt lansarea centralei nucleare Bushehr. Clientul este necunoscut. Făptuitorul este un angajat Siemens neglijent care a introdus o unitate flash infectată într-o stație de lucru. Daunele cauzate instalațiilor nucleare ale Iranului sunt comparabile cu pagubele cauzate de un atac al forțelor aeriene israeliene.
Lumea a început să vorbească despre războaiele unei noi generații. Atacurile cibernetice ar putea fi instrumente ideale pentru următoarele războaie - sunt rapide, eficiente în capacitatea lor de distrugere și de obicei anonime. Astăzi, statele convin în grabă asupra unei strategii comune pentru a contracara amenințările cibernetice. Ce se va întâmpla mâine? Din păcate, tristul aforism al lui Einstein rămâne încă cel mai realist răspuns la această întrebare.

Iranul este neajutorat în fața amenințării tehno

Primele pagini ale presei mondiale erau pline de profeții sumbre despre apariția unei ere a războaielor tehnologice. Experți din diverse domenii se luptă să dezlege Stuxnet - virusul care a lovit instalațiile nucleare ale Iranului - de la securitatea IT la lingvistică și antropologie. Stuxnet a fost descoperit de laboratoarele antivirus cu mult timp în urmă, dar lumea a aflat despre adevărata amploare a infecției la sfârșitul lunii septembrie, când s-a aflat despre întârzierea lansării primei centrale nucleare Bushehr din Iran. În timp ce Ali Akbar Salehi, șeful Organizației Iranului pentru Energie Atomică, a spus că întârzierea nu are legătură cu virusul, Mark Fitzpatrick de la Institutul Internațional de Studii Strategice a remarcat că sună „nu foarte grav”, iar Iranul tinde să tacă problemele reale la centrale nucleare. Ceva mai târziu, Mahmoud Jafari, manager de proiect pentru stația din Bushehr, a lăsat-o să scape. Potrivit acestuia, Stuxnet „a lovit mai multe computere, dar nu a provocat nicio daune sistemului principal de operare al stației”. Sapienti sat. Instalațiile nucleare ale Iranului de la Natanz au fost de asemenea grav avariate, 1.368 din 5.000 de centrifuge fiind dezactivate de Stuxnet. Când Mahmoud Ahmadinejad a fost întrebat direct despre problemele tehnologice ale programului nuclear după sesiunea Adunării Generale a ONU, acesta a dat doar din umeri și nu a răspuns. Rețineți că, potrivit New York Times, pagubele cauzate de acțiunile virusului în Iran sunt comparabile, probabil, cu atacul forțelor aeriene israeliene.

Autor! Autor!

Din motive evidente, dezvoltatorii Stuxnet preferă să păstreze un profil scăzut, dar este clar că complexitatea virusului poate fi numită fără precedent. Crearea unui astfel de proiect necesită investiții intelectuale și financiare uriașe, ceea ce înseamnă că doar structurile de anvergură de stat o pot face. Toți experții sunt de acord că virusul nu este rezultatul eforturilor unui „grup de entuziaști”. Laurent Eslo, director de sisteme de securitate la Symantec, estimează că cel puțin șase până la zece persoane au lucrat la crearea Stuxnet pe o perioadă de șase până la nouă luni. Frank Rieger, directorul tehnic al GSMK, își susține colegul - potrivit acestuia, virusul a fost creat de o echipă de zece programatori cu experiență, iar dezvoltarea a durat aproximativ șase luni. Rieger numește și costul aproximativ al creării Stuxnet: este de cel puțin 3 milioane de dolari. Evgeny Kaspersky, CEO al Kaspersky Lab, spune despre scopurile militare ale virusului: „Stuxnet nu fură bani, nu trimite spam și nu fură. informații confidențiale. Acest malware a fost creat pentru a controla procesele de producție, pentru a gestiona literalmente capacități de producție uriașe. În trecutul nu prea îndepărtat, am luptat cu criminali cibernetici și bătăuși pe internet, acum mă tem că este timpul pentru terorismul cibernetic, armele cibernetice și războaiele cibernetice.” Tillmann Werner, membru al Proiectului Honeynet, o comunitate de specialiști în securitate pe Internet, este sigur că hackerii singuri nu sunt capabili de acest lucru. „Stuxnet este atât de avansat din punct de vedere tehnic încât ar trebui să se presupună că experții guvernamentali au fost implicați în dezvoltarea malware-ului sau că au furnizat cel puțin asistență la crearea acestuia”, a spus Werner.

În timpul analizei Stuxnet, unele mass-media au concluzionat că Israelul s-a aflat în spatele creării virusului. John Markoff, jurnalist pentru New York Times, a fost primul care a vorbit despre implicarea Israelului în atacul asupra Iranului, spunând că analiștii au notat în mod special numele unuia dintre fragmentele de cod „myrtus” („mirt”). Tradus în ebraică, „mirtul” sună ca „adas”, care, la rândul său, este în consonanță cu numele „Adassah” aparținând Esterei (Estera) - eroina istoriei evreiești, care și-a salvat poporul de la distrugerea Imperiului Persan. Făcând o analogie cu Persia antică, pe al cărei teritoriu se află Iranul modern, unii analiști cred că Israelul a plecat " carte de vizită» în codul virusului. Cu toate acestea, potrivit unui număr de experți, această versiune nu ține apă și seamănă cu intriga unei povești polițiste ieftine - „scris de mână” prea primitiv, ca pentru un proiect de această amploare.

În același timp, trebuie subliniat că vara trecută (amintim că distribuția Stuxnet a început în 2009) WikiLeaks a raportat despre un accident nuclear grav la Natanz. La scurt timp după aceea, s-a știut că șeful Organizației pentru Energie Atomică din Iran, Gholam Reza Aghazadeh, a demisionat fără explicații. Cam în aceeași perioadă, în mass-media au apărut declarații ale politicienilor israelieni și ale militarilor despre o posibilă confruntare cu Iranul pe frontul tehnologic. În plus, Israelul a ajustat data proiectată pentru ca Iranul să primească bomba atomică în 2014, iar lui Meir Dagan, șeful Mossad-ului, i s-a prelungit mandatul pentru a participa la „proiecte importante” nenumite.

Factorul uman

Este de remarcat istoricul infecției primare, care a marcat începutul răspândirii virusului. Este evident că sistemele control automatizat de acest nivel nu sunt conectate la Rețea. Un expert de la Centrul cibernetic NATO din Estonia, Kenneth Geers, a sugerat în cadrul unei conferințe de securitate că succesul atacului Stuxnet depinde doar de contactele cu oamenii potriviți și... unități USB elementare. „Puteți plăti pe cineva pentru a rula un troian sistem închis, sau înlocuiți o unitate flash care a fost doar pentru uz intern”, gândește Gears. „Este suficient să introduceți o unitate flash USB infectată într-un port USB standard al computerului dvs., iar Stuxnet sare imediat automat la sistemul de operare și niciun program antivirus sau alte măsuri de protecție nu pot interfera cu acesta.” Într-adevăr, „veriga slabă” s-a dovedit a fi factorul uman - Stuxnet a fost introdus în sistem prin unitate USB obișnuită, care, din neglijență, a fost introdus în postul de lucru de către un angajat neglijent. Este de remarcat faptul că, după declarațiile ministrului de informații al Iranului Heydar Moslehi (Heydar Moslehi) despre reținerea „spioilor nucleari” (s-au dovedit a fi tehnicieni ruși complet neimplicați), conducerea Siemens a recunoscut că virusul a fost introdus de companie. angajaților, subliniind caracterul neintenționat al infecției. De menționat că Stuxnet afectează doar un anumit tip de controler Siemens, și anume SIMATIC S7, care, conform AIEA, este folosit de Iran.

Războiul cibernetic. Câmp de luptă - Pământ?

La conferința Virus Bulletin 2010, desfășurată la Vancouver, Canada, o scurtă prezentare a lui Liam O Murchu, unul dintre cei mai importanți experți în securitate IT ai Symantec, a atras atenția publicului. Analistul a efectuat un experiment care a explicat pericolele unei amenințări cibernetice mai bine decât sute de rapoarte formale. O Merchu a instalat pe scenă o pompă de aer care rulează un sistem de operare Siemens, a infectat stația de lucru care controlează pompa cu virusul Stuxnet și a pus procesul în acțiune. Pompa a umflat rapid balonul, dar procesul nu s-a oprit - balonul a fost umflat până a explodat. „Imaginați-vă că acesta nu este un balon, ci o centrală nucleară iraniană”, a spus expertul, punând capăt întrebării „seriozității” războaielor cibernetice.

Colegii O Merchu își împărtășesc pe deplin preocupările. Cercetător Trend Micro Paul Ferguson a spus că, odată cu crearea Stuxnet, a apărut în lume o armă cibernetică cu drepturi depline care depășește schemele distructive tradiționale (furt de numere de card de credit etc.) și poate duce la accidente grave la instalațiile industriale foarte periculoase. Ferguson subliniază că acum analiștii vor „intimida literalmente guvernul pentru ca acesta să înceapă să ia măsuri serioase de securitate”.

Într-adevăr, generalul Keith Alexander, șeful nou-înființat al US Cyber Command la Pentagon, a declarat public în Congres că amenințarea războiului cibernetic a crescut exponențial în ultimii câțiva ani. Alexandru a amintit de două atacuri cibernetice asupra statelor întregi - asupra Estoniei (în 2007, după dezmembrarea Soldatului de Bronz) și asupra Georgiei (în 2008, în timpul războiului cu Rusia).

Președintele Estoniei Toomas Hendrik Ilves, într-un interviu acordat Berliner Zeitung, ridică problema amenințărilor cibernetice chiar de la început. nivel inalt. Președintele Estoniei subliniază că decizia NATO de a amplasa Centrul de Securitate Cibernetică la Tallinn (reamintim, acesta a fost deschis în mai 2008) se datorează faptului că Estonia este una dintre cele mai computerizate țări din Europa, precum și primul stat care a fost supus un atac cibernetic la scară largă în 2007. După atac, care a paralizat infrastructura întregii țări, ministrul eston al apărării, Jaak Aaviksoo, a cerut chiar ca NATO să echivaleze aceste atacuri cibernetice cu acțiuni militare. Președintele face puncte similare astăzi: „Virusul Stuxnet a demonstrat cât de serios trebuie să luăm securitatea cibernetică, deoarece infrastructura vitală poate fi distrusă cu astfel de produse. În cazul Iranului, virusul părea să țintească programul nuclear, dar viruși similari ar putea distruge economia noastră controlată de computer. Acest lucru ar trebui să fie discutat în NATO: dacă o rachetă distruge o centrală electrică, intră în vigoare paragraful 5. Dar ce trebuie făcut în cazul unui atac virușii informatici? întreabă Toomas Hendrik Ilves. Propunerea președintelui este în acord cu tendințele actuale: „Atât UE, cât și NATO ar trebui să se dezvolte politica comuna, inclusiv normele legale care vor deveni baza pentru apărarea colectivă împotriva amenințărilor din spațiul cibernetic”, crede șeful statului.

Secretarul adjunct al Apărării al SUA, William J. Lynn, este pe deplin de acord cu Toomas Hendrik Ilves. Într-un interviu acordat Radio Liberty, Lynn a încercat să răspundă la întrebarea ridicată de Ilves: „Dacă lovitura a afectat elemente esențiale ale economiei noastre, probabil că ar trebui să o considerăm un atac. Dar dacă rezultatul hack-ului a fost furtul de date, atunci s-ar putea să nu fie un atac. Există multe alte opțiuni între aceste două extreme. Pentru a articula o linie politică clară, trebuie să decidem unde se află granița dintre hacking și atac sau între spionaj și furtul de date. Eu cred că atât în guvern, cât și în afara ei există o discuție pe această temă, și nu cred că această discuție s-a epuizat deja.

În plus, punctul cheie al discursului lui William Lynn a fost anunțarea publică a celor cinci principii pe care se bazează noua strategie de securitate cibernetică a Statelor Unite. Cităm pe secretarul adjunct al Apărării al SUA fără reduceri:
„Primul dintre aceste principii este că trebuie să recunoaștem spațiul cibernetic pentru ceea ce a devenit deja – o nouă zonă de război. La fel ca pământul, marea, aerul și spațiul cosmic, trebuie să considerăm spațiul cibernetic ca o sferă a operațiunilor noastre, pe care o vom proteja și la care ne vom extinde doctrina militară. Acesta este ceea ce ne-a motivat să creăm o comandă cibernetică unificată în cadrul Comandamentului strategic.

Al doilea principiu, pe care l-am menționat deja, este că apărarea trebuie să fie activă. Ar trebui să includă două linii de apărare pasivă general acceptate - de fapt, aceasta este o igienă obișnuită: instalați patch-uri la timp, actualizați programele antivirus, îmbunătățiți apărarea. Avem nevoie și de o a doua linie de apărare, care este folosită de companiile private: detectoare de intruziuni, programe de monitorizare a securității. Toate aceste instrumente vă vor ajuta probabil să respingeți aproximativ 80% dintre atacuri. Restul de 20 la sută este o estimare foarte aproximativă - atacuri sofisticate care nu pot fi prevenite sau oprite prin plasarea unor găuri. Este nevoie de un arsenal mult mai activ. Avem nevoie de instrumente care pot detecta și bloca cod rău intenționat. Aveți nevoie de programe care să detecteze și să urmărească elementele rău intenționate care vă invadează propria rețea. Când le-ați găsit, ar trebui să puteți bloca comunicarea lor cu rețeaua exterioară. Cu alte cuvinte, seamănă mai mult cu un război de manevră decât cu o linie Maginot.

Al treilea principiu al unei strategii de securitate cibernetică este protecția infrastructurii civile.

În al patrulea rând, SUA și aliații săi trebuie să ia măsuri de apărare colectivă. La viitorul summit NATO de la Lisabona vor fi luate decizii importante în acest sens.

În cele din urmă, al cincilea principiu este că Statele Unite trebuie să rămână în fruntea dezvoltării de produse software.”

Reacția lui Dmitri Rogozin, reprezentantul permanent al Rusiei la NATO, la procesele care au loc în Alianță este destul de remarcabilă. Aparent, Rusia este extrem de îngrijorată de viitorul summit NATO de la Lisabona, care va avea loc pe 20 noiembrie, pentru că se plănuiește să clarifice dilema la acesta, dacă un atac asupra rețelelor de computere militare și guvernamentale ale unui membru NATO este considerat un motiv pentru a folosi articolul 5 din Tratatul de la Washington și a răspunde printr-o lovitură militară colectivă. Rogozin, în stilul său caracteristic, scrie: „Vom afla în sfârșit dacă este permis ca NATO să lovească apartamentele hackerilor cu o bombă nucleară sau se presupune că războiul cibernetic nu va depăși spațiul cibernetic până la urmă. ÎN ultimul scenariu Am motive întemeiate să mă îndoiesc. Literal în fața ochilor noștri, în periodicele occidentale se desfășoară un scandal uriaș în legătură cu răspândirea unui vierme de computer numit Stuxnet. Sunt obișnuit să citesc și trimiterea de SMS-uriîn latină, așa că am citit imediat numele virusului ca verb rusesc al timpului viitor: „se va stinge”. Fiți siguri, ceva se va stinge sau va cădea pentru cineva și pentru cei care au lansat acest virus. După cum știți, cine seamănă vântul va culege vârtejul”. Neîndrăznind să comentem cercetările literare și creative ale domnului Rogozin, observăm că Rusia a fost cea care a fost învinuită pentru cele mai mari două atacuri hackeri asupra statelor întregi (Estonia și Georgia) - poate tocmai asta a provocat o reacție atât de violentă din partea plenipotențiarul impresionabil.

Astfel, pe fondul isteriei provocate de Stuxnet, o serie de state au declarat necesitatea formării unei politici comune de prevenire a atacurilor cibernetice. Va duce acest lucru la rezultatul dorit, chiar dacă presupunem că va fi elaborat (și semnat) un anumit document care reglementează utilizarea tehnologiilor distructive? IT Business week pare extrem de indoielnic, tentatiile oferite de tehnologie avansata: anonimat, securitate (pentru atacator), raport cost/eficacitate fără precedent. Aceasta înseamnă că Stuxnet a fost doar primul semn al erei revoluției tehno-sociale, care nu a început deloc așa cum se visa.

Etichete:

virus
Stuxnet
Iranul

Adaugă etichete

Stuxnet este de fapt primul virus din istorie care a trecut granița spațiului cibernetic în lumea fizică reală, primul virus capabil să corupă nu numai datele și cod de programare, dar și mașini și instalații destul de reale.

Pavel Volobuev,
Specialist in securitatea informatiei
sisteme tehnologice,
Securitate digitală

S-au scris multe despre acest vierme. Dar totuși, din motive ciudate, nu atât de mult pe cât ar putea, pentru că nu vorbim doar despre un virus obișnuit. Stuxnet este de fapt primul virus din istorie care a trecut granița spațiului cibernetic în lumea fizică reală, primul virus capabil să corupă nu numai datele și codul programului, ci și mașini și instalații destul de reale. Apariția sa nu numai că a dezvăluit noi vulnerabilități în sistemele de operare Microsoft, dar a îndreptat și ochii specialiștilor în securitatea informațiilor către un domeniu complet nou pentru aceștia - securitatea sistemelor industriale. Anterior, puțini oameni s-au gândit la asta, deși unele companii au avertizat despre asta în urmă cu câțiva ani. Motivele sunt destul de clare: rețelele industriale sunt de obicei izolate nu numai de rețelele publice, ci și de rețele interneîntreprinderilor, folosesc echipamente și software foarte specifice, toate procesele sunt reglementate clar. S-ar părea că pur și simplu nu există niciun pericol! Dar după cum se dovedește, acesta nu este cazul. Am putut vedea o imagine „fantastică” similară în filmul destul de vechi „Hackers”. Dezvoltatorii viermelui Stuxnet au reușit să ocolească cu ușurință această protecție fizică aparent cea mai fiabilă. De ce „dezvoltatori”? Pentru că aici cu siguranță vorbim nu despre o singură persoană, ci despre un întreg grup, care, pe lângă programatori profesioniști și scriitori de exploatare, includea ingineri și specialiști ICS care cunosc specificul lucrului cu controlere industriale și alte echipamente periferice. Sunt multe întrebări, dar răspunsuri... în ciuda faptului că au trecut 4 luni de la prima descoperire a viermelui, încă nu există răspunsuri clare. Există mai multe motive pentru aceasta:

În primul rând, acesta este probabil primul caz de program rău intenționat care vizează în mod specific sistemele industriale;
În al doilea rând, specialiștii în securitatea informațiilor și protecția antivirus au de obicei o înțelegere extrem de departe a ceea ce sunt PLC și SCADA, iar specialiștii ICS sunt departe de securitatea informațiilor, iar acest lucru face foarte dificilă analiza unui virus;
Și, în sfârșit, deoarece virusul a afectat activitatea celor mai mari companii industriale și energetice, informațiile despre acesta sunt ascunse cu grijă. Și dacă conducerea companiilor cunoaște și este preocupată de această problemă, atunci ascunderea informațiilor merge de obicei la nivelul inferior.

Digital Security este una dintre puținele companii din Rusia care lucrează în domeniul securității informațiilor, având specialiști cu experiență în dezvoltarea și implementarea sisteme automatizate controlul proceselor tehnologice complexe. Și tocmai din acest motiv am decis să facem propria noastră analiză pentru a ne da seama ce se întâmplă cu adevărat.

Deci, hai să încercăm să ne dăm seama în ordine...

Rețeaua industrială: ce este?

Imaginați-vă o instalație industrială care face ceva și ale cărei unități trebuie controlate conform unui algoritm dat. Încheiem această configurație diverși senzoriși actuatoare și se conectează la controlerul PLC, care execută acest algoritm. În același timp, controlerul verifică nivelurile de temperatură, tensiune, presiune, monitorizează turația motoarelor, pornește și oprește diverse mecanisme. Iar dacă unii parametri depășesc limitele permise (setările acestor limite sunt înregistrate și în controler), se oprește instalarea sau procesul tehnologic. Pot exista multe instalații și, respectiv, controlere. De obicei, comunică între ei prin Ethernet, RS485 și variațiile lor. O rețea Ethernet industrială este rețea convențională Ethernet, care echipament activ pentru rețelele industriale este mai rezistent la influențe externe, vibrații, interferențe electromagnetice, temperatură, umiditate etc. Protocoalele industriale Modbus, Profibus, etc în rețelele industriale moderne funcționează adesea peste TCP/IP. De fapt, există, desigur, diferențe față de rețelele clasice, dar acestea nu sunt fundamentale în contextul acestui articol.

Controlerul în sine este același computer, dar într-un design în miniatură, conceput pentru a îndeplini anumite sarcini și cu propriul sistem de operare. OS pe promcontroller - de obicei propria dezvoltare producător, despre care informații nu sunt ușor disponibile - QNX (mai rar Lunix) sau DOS. Structura controlerelor, de regulă, este modulară: diferite module I/O sunt conectate la acestea pentru a rezolva o serie de sarcini. Și totul ar fi bine, dar pe lângă controlori, funcționarea procesului este monitorizată și de o persoană - operatorul. Și, desigur, este incomod pentru el să urmărească manual informațiile de la zeci și adesea sute de controlere. Pentru operator, în rețeaua industrială este instalat un loc de muncă automatizat La locul de muncă. AWP este un computer cu sistem de operare Windows, pe care este instalat un program de afișare a procesului tehnologic (SCADA). SCADA afișează citirile de la controlere, oferă posibilitatea de a controla mecanismele în mod manualși vă permite să modificați unii parametri ai procesului tehnologic, precum și arhivele de înregistrări. Pe stațiile de lucru, o bază de date este adesea instalată pentru a înregistra statistici și a genera rapoarte. În rețea pot exista mai multe stații de lucru - numărul acestora depinde de mărimea producției și de numărul de operatori. AWP-urile sunt întotdeauna în aceeași rețea cu controlerele. Adesea, software-ul antivirus nu este instalat pe ele, iar dacă este instalat, cu siguranță nu este actualizat. Se crede că virușii nu pot apărea în niciun fel în acest mediu izolat... De asemenea, merită remarcat faptul că, desigur, nu există nicio actualizare a software-ului de sistem pe stațiile de lucru: mulți dintre ei încă funcționează sub Windows XP SP1 sau, fără nicio actualizare. pachet de servicii ceea ce îi face extrem de vulnerabili.

Mulți oameni care nu sunt familiarizați cu sistemele automate de control al proceselor au o întrebare complet logică: dacă există calculatoare complete, care poate controla totul, atunci de ce și controlorii? Răspunsul este simplu: nu sunt de încredere. Calculatoare sub Control Windows tind să „se blocheze” și, de fapt, Windows nu pretinde a fi sistemul de operare în timp real. Iar controlerele au propriul sistem de operare, propria lor sursă de alimentare redundantă industrială, iar toleranța la erori este de multe ori mai mare decât cea a oricărui computer personal.

Desigur, aceasta a fost o explicație foarte superficială a modului în care funcționează sistemele industriale, dar fără ea ar fi dificil să vorbim despre viermele în sine și, cel mai important, despre problemele asociate cu tratamentul acestuia. Deci, Stuxnet...

Stuxnet - ce este?

Vorbim despre malware extrem de high-tech în toate manifestările sale. Acest vierme exploatează patru vulnerabilități necunoscute anterior în sistemul Microsoft Windows, dintre care una este vizată ajutor flash USB unități. Mai mult, această vulnerabilitate a fost identificată în toate versiunile de Windows, inclusiv XP, CE, Vista, 7, Windows Server 2003, 2008 și 2008R2, atât pe 32 de biți, cât și pe 64 de biți. Vulnerabilitatea constă în execuția codului atunci când sistemul încearcă să afișeze pictograma c a unității, de exemplu, atunci când este vizualizată în Explorer. Execuția codului are loc chiar și atunci când rularea automată este complet dezactivată pentru toate mediile. În plus, codul malware implementează și posibilitatea de infectare în rețea. Dar, cu toate acestea, viermele a ajuns la majoritatea instalațiilor industriale tocmai prin medii externe - cum și de ce se va spune puțin mai târziu. O mare contribuție la analiza codului viermelui și a vulnerabilităților utilizate de acesta a fost adusă de reprezentanța rusă a ESET, condusă de Alexander Matrosov.

Viermele instalează două drivere în sistem, dintre care unul este un driver de filtru Sistemul de fișiere, care ascunde prezența componentelor malware pe suporturi amovibile. Al doilea driver este folosit pentru a injecta biblioteca dinamică criptată în procesele sistemuluiși conține software specializat pentru a îndeplini sarcina principală. Driverele pe care troianul le instalează în sistem sunt semnate digital, furate de la furnizorii legitimi de software. Se știe că sunt utilizate semnături deținute de companii precum Realtek Semiconductor Corp. și J Micron Technology Corp. Atacatorii folosesc semnatura digitala pentru instalarea „silențioasă” a driverelor rootkit pe sistemul țintă. În sistemele de securitate ale multor producători, fișierele semnate de companii cunoscute sunt în mod evident considerate sigure, iar prezența unei semnături face posibilă efectuarea liberă, fără uzurpare a identității, a acțiunilor în sistem. În plus, viermele are mecanisme de control al numărului de infecții, autodistrugere și control de la distanță.

Pe lângă răspândirea prin medii externe, viermele infectează cu succes computerele printr-o conexiune printr-o rețea locală. Adică, odată pe un computer în afara rețelei industriale, analizează toate activele conexiuni de reteași „pătrunde” în rețeaua industrială de către toți modalități posibile. După ce a fost introdus în sistem, malware-ul caută prezența unui sistem SCADA Siemens în el. Mai mult decât atât, numai sistemele WinCC/PCS7 SCADA sunt atacate de acesta. Nu avem date despre infectarea unui alt sistem SCADA de la Siemens - Desigo Insight, care este utilizat pe scară largă pentru automatizarea clădirilor și ansamblurilor rezidențiale, aeroporturilor etc., nu avem. Aceasta indică „întemnițarea” viermelui pe marile instalații industriale și strategice.

Când viermele „își dă seama” că se află pe o mașină WinCC, se conectează în sistem utilizând standardul Conturi. Este de remarcat faptul că oficialul Siemens nu recomandă schimbarea parolelor standard pe sistemele lor, deoarece „acest lucru poate afecta performanța sistemului” și utilizarea viermelui. parole standard garantează o autorizare de succes aproape 100%. Deci, virusul se conectează la WinCC și astfel obține acces la procesul tehnologic. Dar asta nu e tot... „Se uită în jur” înăuntru retea locala BRAŢ. După ce a găsit și alte stații de lucru în el, viermele le infectează și pe acestea, folosind vulnerabilitatea 0day din serviciul de imprimare Windows (în plus, viermele poate câștiga drepturi de sistem, folosind alte două vulnerabilități zero-day dacă este necesar). Viermele vede și controlere în rețea. Aici am ajuns, poate, la cea mai importantă și periculoasă funcționalitate: da, Stuxnet poate reprograma PLC-uri, bineînțeles nu totul, ci doar Simatic de la Siemens. Și asta nu este atât de puțin, având în vedere că procesul tehnologic este construit pe aceste controlere la un număr foarte mare de facilități, inclusiv strategice și militare. De exemplu, centrala nucleară din Iran (Bushehr), pe care mulți experți o consideră „ținta” acestei arme cibernetice (așa a descris Evgeny Kaspersky viermele), desigur, nu folosește controlere Siemens pentru a controla reactorul în sine, dar le foloseste in în număr mare pentru a controla echipamentele auxiliare. Și acest lucru este suficient pentru ca viermele să paralizeze funcționarea centralei nucleare. Mai mult, procesul de „paralizie” este foarte interesant. Troianul nu scrie gunoaie la controlere și nu le dezactivează. „A trăi” în sistem este suficient perioadă lungă de timp, acumulează informații despre procesul tehnologic, despre modurile de funcționare ale echipamentelor - despre aceleași „puncte de referință” de temperatură, presiune, frecvență de funcționare a motoarelor pe care le-am menționat deja mai sus. Și la un moment dat, troianul le schimbă. Exemplu: Să presupunem că valoarea de referință de alarmă pentru temperatura lichidului de răcire din instalație este 75°C. Temperatura normală de funcționare este de 40-45°C. Schimbarea valorii de oprire de urgență a controlerului de la 75 la 40' va determina controlerul să inițieze o oprire de urgență a unității în momentul în care aceasta atinge valoarea normală. Temperatura de Operare. Sau și mai rău - valoarea de referință se schimbă în cealaltă direcție, iar unitatea continuă să funcționeze după supraîncălzire până când se autodistruge complet. În același timp, pe ecranul sistemului SCADA, operatorul continuă să vadă valorile și setările normale pe care troianul le înlocuiește în timp real. Și dacă, de exemplu, aceasta este o unitate de pompare a gazului controlată de sisteme de control automat pentru turbine de „ultimă generație”, atunci modificarea setărilor poate duce la dispariția întregii stații de compresor de pe hartă, împreună cu zonele adiacente. la ea.

Într-una dintre versiunile de vierme, „demontată” de specialiștii Symantec, s-a găsit funcționalitatea de a controla variatoarele de frecvență (VFD) ale motoarelor electrice, de altfel, ale a doi producători specifici, atunci când funcționează la o anumită frecvență. Potrivit rapoartelor recente, în Iran, viermele a provocat deja eșecul unui număr mare de centrifuge folosite pentru îmbogățirea uraniului. În managementul lor, VFD tocmai a fost folosit. Cititorul poate pune o întrebare logică: ar trebui să ne pese ca centrifugele să se defecteze în Iran? Răspunsul este simplu: Stuxnet poate, de exemplu, să dezactiveze trenurile de mare viteză Sapsan, care sunt complet construite pe sisteme Simatic și utilizează un număr mare de aceleași „chastotniks” în munca lor ... Și nu numai Sapsan, ci un uriaș număr de sisteme foarte diferite...

O altă caracteristică funcțională interesantă a virusului este căutarea unei conexiuni la Internet activă și trimiterea de informații către anumite adrese. Aparent, această caracteristică specială a fost motivul anunțului laboratorului antivirus Danilov despre posibila utilizare a troianului ca instrument de spionaj industrial. Viermele este capabil să se actualizeze singur prin Internet, iar acesta este motivul pentru care diferiți analiști au „prins” copii ale virusului care diferă foarte mult atât ca dimensiune (de la aproximativ 500k la mai mult de 2Mb), cât și ca funcționalitate.

De ce funcționează toate aceste Internet atunci când rețelele industriale nu sunt conectate la Internet? Vreau să te supăr: conectat. Nu toate, și nu întotdeauna, ci conectate. La unele întreprinderi, comunicarea se realizează printr-o a doua placă de rețea pe stația de lucru pt telecomandăși colectarea de statistici, pe alții - printr-un modem GSM pentru suport tehnic la distanță sau dispecerare. În unele cazuri, sistemul automat de control al procesului și sistemul ERP al unei întreprinderi sunt în general „într-o sticlă” ... Există multe modalități de a intra în lumea exterioară, iar acest lucru nu este fundamental ... principalul lucru este faptul în sine: multe rețele industriale sunt conectate cu rețele acces public pe o bază permanentă sau temporară.

Politica și situația de pe teren

Până în prezent, toate programele antivirus moderne curăță cu succes computerele de viermele Stuxnet. Și, s-ar părea, totul este în regulă: antivirusurile vindecă mașinile de vierme, Microsoft a lansat actualizări pentru a elimina vulnerabilitățile critice pe care viermele le folosește pentru a le răspândi, SIEMENS a lansat și un „patch” pentru WinCC. Problema rezolvata? Nu... Antivirusul curăță numai AWP de malware, adică acea parte retea tehnologica care rulează sub Windows. Dar ce zici de controler? Și aici ajungem la cele mai interesante...

După cum sa menționat mai sus, principala sursă de răspândire a viermilor sunt purtătorii externi. Conform reglementărilor aproape tuturor întreprinderilor, conectarea unor astfel de medii, în special a celor personale, este strict interzisă. Dar cine respectă reglementările... Operatorul care stă în tura de noapte este foarte plictisit: este liniște la întreprindere, nu este nimeni, procesul tehnologic este în mod automat... și în fața ochilor stației de lucru, adică un computer! Vreau să mă uit la un film, să mă joc o jucărie. Pe baza experienței noastre de lucru în facilități, se poate argumenta că au existat, sunt și vor exista viruși pe stațiile de lucru. Companiile implicate în dezvoltarea și susținerea sistemelor automate de control al proceselor, din când în când, își trimit special specialiștii în facilități pentru curățarea stațiilor de lucru și găsesc o mulțime de viruși. Și această problemă nu este deloc nouă... doar până de curând, virușii nu au atacat controlerele industriale, iar prezența lor pe stațiile de lucru, deși a adus unele inconveniente, nu a reprezentat un pericol real.

Cum să te protejezi de astfel de acțiuni ale personalului? Dacă unitățile CD / DVD pur și simplu nu sunt instalate în mașinile utilizatorilor, atunci Intrări USBîntotdeauna acolo implicit. O soluție elegantă a fost găsită de specialiștii tehnici ai uneia dintre băncile comerciale din Sankt Petersburg - toate porturile USB au fost umplute cu lipici de la un pistol termic. Dar o astfel de soluție nu poate fi folosită întotdeauna, deoarece. poate fi necesar să se utilizeze porturi USB, de exemplu, pentru cheile de protecție a produselor software sau pentru transferul de informații de către personalul de inginerie. În plus, instrumentele de interfață cu utilizatorul și imprimantele funcționează adesea prin USB, deci distrugere fizică porturi nu este pe deplin adecvată, motiv pentru care nu se recomandă recurgerea la astfel de porturi măsuri radicale. Singura modalitate de a proteja sistemele împotriva infecțiilor, și nu numai de către Stuxnet, ci și de o altă infecție, este ca personalul să respecte reglementările întreprinderii și reguli elementare securitatea informatiei. Din păcate, se acordă puțină atenție acestui aspect și de multe ori este complet uitat. Știu din experiență personală că personalul de la majoritatea facilităților nici măcar nu se gândește la ce consecințe poate duce un joc pe computer instalat pe un AWP sau un modem GSM adus cu ei pentru a „naviga” dintr-un AWP pe Internet. În rândul personalului, există adesea și o lipsă de bază alfabetizare informatică. Autoritățile fie nu știu despre ce se întâmplă, fie închid ochii la asta, deși nu ar trebui în niciun caz. Personalul care lucrează direct cu stațiile de lucru și alte părți ale unui sistem modern de control al proceselor automatizate trebuie să fie supus unei instruiri și instruiri adecvate, inclusiv cu privire la problemele de securitate a informațiilor, dar acest lucru, din păcate, nu se întâmplă.
Așa se explică faptul că Stuxnet este prezent la un număr mare de obiecte și sisteme, dar faptul unei astfel de prezențe este ascuns cu grijă de personalul și managerii „din teren”. Suntem conștienți de faptele unei astfel de mușamalizări, când conducerea unei mari companii, după apariția Stuxnet, a trimis instrucțiuni și software către toate facilitățile sale pentru a detecta și trata virusul. Și virusul a fost într-adevăr găsit pe multe obiecte, dar NIMENI NU ÎL VINDECĂ! Motiv: pentru a curăța cu succes sistemul de virus, este necesar să reporniți sistemul (sistemele), adică să opriți procesul tehnologic. De asemenea, se recomandă insistent ca specialiști să fie prezenți pentru a identifica și posibilă remediere schimbarile de controler. Oprirea unei instalații, a unui atelier sau a unei întregi întreprinderi nu este o sarcină ușoară: aceasta este o urgență care trebuie justificată cu ceva. Și este imposibil să se justifice prezența malware-ului, deoarece managerii locali sunt responsabili pentru implementarea regulamentelor și instrucțiunilor. Dacă viermele a intrat în sistem, atunci instrucțiunile nu au fost urmate, iar managerul va avea probleme. Și nimeni nu vrea probleme... Obiectele trăiesc cu Stuxnet, și nu numai cu el, dar stăm cu toții pe acest „butoi de pulbere”. Este pe un „butoi de pulbere”, pentru că nimeni nu poate garanta că deocamdată troianul „adormit” nu va ataca niciunul dintre aceste obiecte la un moment dat sau nu va apărea o nouă instanță. Potrivit informațiilor noastre, pe lângă programul nuclear al Iranului, Stuxnet a reușit deja să facă rău unora întreprinderile industrialeîn China și diverse instalații din alte țări, iar aceste sisteme nu erau legate de programele nucleare.

Tratament

După cum este descris mai sus, Stuxnet este detectat și tratat cu succes de toate instrumentele antivirus moderne. Și, totuși, există subtilități: după curățarea sistemelor de vierme, este necesar să se verifice dacă programele și setările din controlere corespund valorilor reale necesare pentru funcționarea normală a sistemului de control automat. Dacă este necesar, programele trebuie ajustate. Acest lucru poate fi ajutat de specialiștii din departamentele de instrumentare și automatizare a instrumentației și sistemelor automate de control sau producătorii de sisteme automate de control al proceselor. De asemenea, noi cei de la Digital Security vă putem ajuta. La tratarea sistemelor pornite Baza Windows CE/Embedded nu ar trebui să instaleze niciodată software antivirus direct pe un computer care rulează această versiune de Windows. Sistemul trebuie oprit, printr-un adaptor special, conectați media la un alt computer cu software antivirus instalat și curățați-l. Instrucțiuni oficiale pentru eliminarea viermelui Stuxnet pot fi găsite pe site-ul web Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view . Acolo poți și descărca utilitate specială pentru a elimina Stuxnet, un patch pentru WinCC și un patch de la Microsoft, care trebuie instalat pentru a evita reinfectare. Dacă aveți întrebări, vă rugăm să contactați specialiștii în securitatea informațiilor pentru ajutor. Ar fi potrivit de remarcat că principalul „erou al ocaziei” - SIEMENS cu software-ul său „scurget” și recomandări minunate despre „inadmisibilitatea schimbării parolelor” (mă întreb de ce în acest caz a fost necesar să petrecem timp creând o solicitare de parolă). funcția) este foarte laconic în afirmațiile sale . Compania spune că a găsit viermele doar la puțin mai mult de două duzini dintre clienții săi și că nu au existat incidente de întrerupere a procesului. Aici trebuie făcute câteva clarificări:

Apropo de numărul de infecții, compania înseamnă clienții săi direcți, adică obiecte pe care SIEMENS le-a „construit” direct fără intermediari. Într-adevăr, nu există multe astfel de obiecte și vorbim despre cele mai mari obiecte la scară globală. Potrivit datelor neoficiale, Stuxnet a infectat milioane de computere și zeci de mii de obiecte în întreaga lume, iar conform monitorizării antivirus, continuă să infecteze cu o rată de zeci de mii de mașini pe zi.
Nu toate întreprinderile au fost auditate și multe facilități Stuxnet au fost auditate, dar nimeni nu știe despre asta.
Ei bine, și cel mai rău lucru: multe obiecte au un vierme, știu despre el, dar nu fac nimic în privința asta. Motivele unui astfel de comportament, care nu pot fi numite infracționale decât, au fost scrise mai sus.

Scanați toate sistemele industriale pentru Stuxnet și alte programe malware. Domnilor, lideri ai marilor companii, o simplă directivă „pe teren” nu este suficientă – nimeni nu va face nimic! Este necesar fie să-ți trimiți oamenii la facilități pentru detectare și tratament forțat, fie să ceri ajutor de la specialiști independenți terți.
Actualizați sistemul de operare pe stațiile de lucru cu cele mai recente actualizări și patch-uri disponibile.
Pe stațiile de lucru, care din anumite motive sunt conectate la rețele publice, este necesar să instalați software antivirus și să monitorizați actualizările acestuia.
Furnizați sistem copii de rezervă Software în starea sa inițială pentru a permite recuperarea în caz de deteriorare cauzată de viruși sau alți factori.
Efectuați un program de formare a personalului pe probleme de securitate a informațiilor.
Efectuați audituri regulate ale sistemelor APCS de către specialiști calificați pentru conformitatea cu cerințele de siguranță. Un astfel de audit ar trebui să includă cel puțin o verificare a segmentării rețelei, proceduri de actualizare, proces de control, conștientizarea operatorilor stațiilor de lucru și multe altele.

La pregătire au fost utilizate materialele următoarelor companii: ESET, SYMANTEC, Kaspersky Anti-Virus Laboratory, Danilov Anti-Virus Laboratory, Siemens, precum și experiența personală a autorului dobândită în timp ce lucra ca inginer de punere în funcțiune APCS.
Autorul exprimă recunoștință deosebită față de personalul ingineresc și tehnic al Companiei de Cercetare și Producție „LENPROMAVTOMATIKA” Securitate Digitală, fiind un specialist de top în securitatea informațională a sistemelor tehnologice.

„Nu știu cu ce arme vor lupta în al treilea război mondial, dar în al patrulea se vor folosi pietre și bâte”
Albert Einstein

Iranul este neajutorat în fața amenințării tehno

Autor! Autor!

În timpul analizei Stuxnet, unele mass-media au concluzionat că Israelul s-a aflat în spatele creării virusului. John Markoff, jurnalist pentru New York Times, a fost primul care a vorbit despre implicarea Israelului în atacul asupra Iranului, spunând că analiștii au notat în mod special numele unuia dintre fragmentele de cod „myrtus” („mirt”). Tradus în ebraică, „mirtul” sună ca „adas”, care, la rândul său, este în consonanță cu numele „Adassah” aparținând Esterei (Estera) - eroina istoriei evreiești, care și-a salvat poporul de la distrugerea Imperiului Persan. Făcând o analogie cu Persia antică, pe al cărei teritoriu se află Iranul modern, unii analiști cred că Israelul a lăsat o „carte de vizită” în codul virusului. Cu toate acestea, potrivit unui număr de experți, această versiune nu ține apă și seamănă cu intriga unei povești polițiste ieftine - „scris de mână” prea primitiv, ca pentru un proiect de această amploare.

Factorul uman

Este de remarcat istoricul infecției primare, care a marcat începutul răspândirii virusului. Evident, sistemele de control automatizate de acest nivel nu sunt conectate la Web. Un expert de la Centrul cibernetic NATO din Estonia, Kenneth Geers, a sugerat în cadrul unei conferințe de securitate că succesul atacului Stuxnet depinde doar de contactele cu oamenii potriviți și... unități USB elementare. „Puteți plăti pe cineva să ruleze un troian pe un sistem închis sau să schimbați o unitate flash care a fost doar pentru uz intern”, gândește Gears. „Este suficient să introduceți o unitate flash USB infectată într-un port USB standard al computerului dvs., iar Stuxnet sare imediat automat la sistemul de operare și niciun program antivirus sau alte măsuri de protecție nu pot interfera cu acesta.” Și într-adevăr, „veriga slabă” s-a dovedit a fi factorul uman - Stuxnet a fost introdus în sistem printr-o unitate USB obișnuită, pe care un angajat neglijent a introdus-o din greșeală în stația de lucru. Este de remarcat faptul că, după declarațiile ministrului de informații al Iranului Heydar Moslehi (Heydar Moslehi) despre reținerea „spioilor nucleari” (s-au dovedit a fi tehnicieni ruși complet neimplicați), conducerea Siemens a recunoscut că virusul a fost introdus de companie. angajaților, subliniind caracterul neintenționat al infecției. De menționat că Stuxnet afectează doar un anumit tip de controler Siemens, și anume SIMATIC S7, care, conform AIEA, este folosit de Iran.

Războiul cibernetic. Câmp de luptă - Pământ?

Colegii O Merchu își împărtășesc pe deplin preocupările. Cercetătorul Trend Micro Paul Ferguson a spus că odată cu crearea Stuxnet, lumea are o armă cibernetică cu drepturi depline, care depășește schemele distructive tradiționale (furt de numere de card de credit etc.) și poate duce la accidente grave pe instalații industriale foarte periculoase. Ferguson subliniază că acum analiștii vor „intimida literalmente guvernul pentru ca acesta să înceapă să ia măsuri serioase de securitate”.

Într-un interviu acordat Berliner Zeitung, președintele Estoniei Toomas Hendrik Ilves ridică problema amenințărilor cibernetice la cel mai înalt nivel. Președintele Estoniei subliniază că decizia NATO de a amplasa Centrul de Securitate Cibernetică la Tallinn (reamintim, acesta a fost deschis în mai 2008) se datorează faptului că Estonia este una dintre cele mai computerizate țări din Europa, precum și primul stat care a fost supus un atac cibernetic la scară largă în 2007. După atac, care a paralizat infrastructura întregii țări, ministrul eston al apărării, Jaak Aaviksoo, a cerut chiar ca NATO să echivaleze aceste atacuri cibernetice cu acțiuni militare. Președintele face puncte similare astăzi: „Virusul Stuxnet a demonstrat cât de serios trebuie să luăm securitatea cibernetică, deoarece infrastructura vitală poate fi distrusă cu astfel de produse. În cazul Iranului, virusul părea să țintească programul nuclear, dar viruși similari ar putea distruge economia noastră controlată de computer. Acest lucru ar trebui discutat în NATO: dacă o rachetă distruge o centrală electrică, intră în vigoare paragraful 5. Dar ce să faci în cazul unui atac de virus informatic? întreabă Toomas Hendrik Ilves. Propunerea președintelui este în concordanță cu tendințele actuale: „Atât UE, cât și NATO ar trebui să elaboreze o politică comună, inclusiv norme juridice, care să stea la baza apărării colective împotriva amenințării din spațiul cibernetic”, consideră șeful statului.

Al doilea principiu, pe care l-am menționat deja, este că apărarea trebuie să fie activă. Ar trebui să includă două linii de apărare pasivă general acceptate - de fapt, aceasta este o igienă obișnuită: instalați patch-uri la timp, actualizați programele antivirus, îmbunătățiți apărarea. Avem nevoie și de o a doua linie de apărare, care este folosită de companiile private: detectoare de intruziuni, programe de monitorizare a securității. Toate aceste instrumente vă vor ajuta probabil să respingeți aproximativ 80% dintre atacuri. Restul de 20 la sută este o estimare foarte aproximativă - atacuri sofisticate care nu pot fi prevenite sau oprite prin plasarea unor găuri. Este nevoie de un arsenal mult mai activ. Avem nevoie de instrumente care pot identifica și bloca codurile rău intenționate. Aveți nevoie de programe care să detecteze și să urmărească elementele rău intenționate care vă invadează propria rețea. Când le-ați găsit, ar trebui să puteți bloca comunicarea lor cu rețeaua exterioară. Cu alte cuvinte, seamănă mai mult cu un război de manevră decât cu o linie Maginot.

Al treilea principiu al unei strategii de securitate cibernetică este protecția infrastructurii civile.

În al patrulea rând, SUA și aliații săi trebuie să ia măsuri de apărare colectivă. La viitorul summit NATO de la Lisabona vor fi luate decizii importante în acest sens.

În cele din urmă, al cincilea principiu este că Statele Unite trebuie să rămână în fruntea dezvoltării de produse software.”

Reacția lui Dmitri Rogozin, reprezentantul permanent al Rusiei la NATO, la procesele care au loc în Alianță este destul de remarcabilă. Aparent, Rusia este extrem de îngrijorată de viitorul summit NATO de la Lisabona, care va avea loc pe 20 noiembrie, pentru că se plănuiește să clarifice dilema la acesta, dacă un atac asupra rețelelor de computere militare și guvernamentale ale unui membru NATO este considerat un motiv pentru a folosi articolul 5 din Tratatul de la Washington și a răspunde printr-o lovitură militară colectivă. Rogozin, în stilul său caracteristic, scrie: „Vom afla în sfârșit dacă este permis ca NATO să lovească apartamentele hackerilor cu o bombă nucleară sau se presupune că războiul cibernetic nu va depăși spațiul cibernetic până la urmă. În ultimul scenariu, am motive întemeiate să mă îndoiesc. Literal în fața ochilor noștri, în periodicele occidentale se desfășoară un scandal uriaș în legătură cu răspândirea unui vierme de computer numit Stuxnet. Eram obișnuit să citesc și să trimit SMS-uri în latină, așa că am citit imediat numele virusului ca verb rusesc la timpul viitor: „coboară”. Fiți siguri, ceva se va stinge sau va cădea pentru cineva și pentru cei care au lansat acest virus. După cum știți, cine seamănă vântul va culege vârtejul”. Neîndrăznind să comentem cercetările literare și creative ale domnului Rogozin, observăm că Rusia a fost cea care a fost învinuită pentru cele mai mari două atacuri hackeri asupra statelor întregi (Estonia și Georgia) - poate tocmai asta a provocat o reacție atât de violentă din partea plenipotențiarul impresionabil.

Astfel, pe fondul isteriei provocate de Stuxnet, o serie de state au declarat necesitatea formării unei politici comune de prevenire a atacurilor cibernetice. Va duce acest lucru la rezultatul dorit, chiar dacă presupunem că va fi elaborat (și semnat) un anumit document care reglementează utilizarea tehnologiilor distructive? Săptămâna IT Business pare extrem de îndoielnică, tentațiile oferite de tehnologiile înalte sunt prea mari: anonimat, securitate (pentru un atacator), un raport cost/eficacitate fără precedent. Aceasta înseamnă că Stuxnet a fost doar primul semn al erei revoluției tehno-sociale, care nu a început deloc așa cum se visa.

Etichete: Adăugați etichete

Umbrit de Stuxnet: despre un nou virus. Virusul este mai rău decât bomba

Pericolul furtului de identitate de pe telefoanele mobile

Problemele preocuparii Siemens

Versiune de suport software

traseu israelian

Materiale de investigare

„Nu știu cu ce arme vor lupta în al treilea război mondial, dar în al patrulea se vor folosi pietre și bâte” Albert Einstein

Iranul este neajutorat în fața amenințării tehno

Autor! Autor!

Factorul uman

Războiul cibernetic. Câmp de luptă - Pământ?

Rețeaua industrială: ce este?

Stuxnet - ce este?

Politica și situația de pe teren

Tratament

„Nu știu cu ce arme vor lupta în al treilea război mondial, dar în al patrulea se vor folosi pietre și bâte” Albert Einstein

Iranul este neajutorat în fața amenințării tehno

Autor! Autor!

Factorul uman

Războiul cibernetic. Câmp de luptă - Pământ?

Top articole similare

„Nu știu cu ce arme vor lupta în al treilea război mondial, dar în al patrulea se vor folosi pietre și bâte”
Albert Einstein

„Nu știu cu ce arme vor lupta în al treilea război mondial, dar în al patrulea se vor folosi pietre și bâte”
Albert Einstein