Кивино гнездо: Активность на уровне тюрьмы

Автор: Киви Берд

Опубликовано 03 августа 2011 года

Хакерская конференция DefCon, каждый август проходящая в Лас-Вегасе, по давно сложившейся традиции устраивается в тандеме с более пёстрым форумом Black Hat USA. Хотя и докладчики, и участники на этих двух мероприятиях естественным образом пересекаются, тематика DefCon значительно чётче ориентирована на интересы государственных ведомств. Среди выступлений нынешней, девятнадцатой по счёту, конференции седьмого августа ожидается доклад на весьма редкую тему - о недавно выявленных серьёзнейших слабостях ИТ-систем, обеспечивающих безопасность тюрем и прочих исправительных учреждений.

Доклад делает весьма солидный исследовательский коллектив авторов, многие годы работающих в области обеспечения физической и инфотехнологической безопасности для государственных учреждений США. Результаты докладываемой на форуме работы имеют самое непосредственное отношение к компьютерному червю Stuxnet, поскольку заложенные в эту вредоносную программу идеи и возможности с равным успехом можно применять, как выясняется, не только против иранской ядерной программы, но и против электронной техники, обеспечивающей безопасность практически всех американских тюрем.

Но прежде чем переходить к содержательной части этого познавательного доклада, имеет смысл обратить внимание на два довольно загадочных "шпионских" сюжета, почти никак, казалось бы, не связанных с данной темой.

Сюжет первый, впрочем, также касается червя Stuxnet, но только в его самой первой фазе обнаружения - летом 2010 года. В тот момент, когда поразительно сложные функции и выдающиеся возможности этой вредоносной программы уже стали более-менее известны, многих наверняка должно было удивить, что ни одно из мощных антивирусных средств и файрволов от всех ведущих в мире фирм компьютерной безопасности эту размножающуюся заразу совершенно не замечало. При этом количество инфицированных систем уже исчислялось сотнями тысяч. А выявила-таки Stuxnet совсем небольшая белорусская компания VirusBlokAda, о существовании которой до этого мало кто и слышал. Внятного ответа на вопрос о том, почему для всех антивирусных грандов Stuxnet был совершенно невидим, публика так и не услышала.

Сюжет второй практически никакого отношения к вредоносным компьютерным кодам не имеет, кроме разве того, что и здесь непосредственно замешаны спецслужбы Израиля и США (вне всяких сомнений стоящие за созданием Stuxnet - подробности на данный счёт можно найти здесь и здесь). Когда полиция ОАЭ весной 2010 года раскрыла хладнокровное и заранее подготовленное убийство палестинского лидера, совершённое в одном из отелей Дубаи, то через Интерпол были разосланы по миру установочные данные на подозреваемых преступников.

Вскоре один из разыскиваемых был выявлен в Германии на авиалайнере, улетающем в США. Когда же самолёт приземлился в Америке, то среди прилетевших пассажиров власти США так и не сумели отыскать установленного человека, хотя располагали и его паспортными данными, и фотографией. Каким образом продвинутая система безопасности авиаполётов, выпестованная в США специально для выявления разыскиваемых преступников и террористов, в данном случае оказалась абсолютно бесполезной? Внятного разъяснения публика так и не дождалась.

Принимая во внимание две эти истории-иллюстрации, можно понять, что там, где действуют влиятельные спецслужбы, всегда существует некая обширная "серая зона". И в зоне этой практически безнадёжно пытаться добиться от властей внятных ответов на достаточно простые вопросы, или, тем более, отыскать тех, кто конкретно несёт ответственность за происходящие безобразия.

По этой причине - возвращаясь к главной теме "про тюрьмы" - никого не должно удивлять, что исследователи, поднимающие вопрос о серьёзнейших угрозах для охраны исправительных учреждений из-за Stuxnet, ни прямо, ни намёками даже не пытаются упоминать о тех безответственных государственных людях, которые запустили эту заразу в мир. Так что речь идёт исключительно о технической стороне проблемы и о том, как с этой бедой бороться.

Техническая же сторона проблемы выглядит так.

В обзорной статье, суммирующей итоги исследования (и опубликованной здесь), группа известных в своей области авторов констатирует, что автоматизированные системы промышленного управления (SCADA) и программируемые логические контроллеры (PLC), повсеместно применяемые в США для обеспечения работы тюрем, делают эти учреждения крайне уязвимыми для компьютерно-сетевых атак. Попросту говоря, с помощью вируса-червя типа Stuxnet какой-нибудь ушлый злоумышленник-хакер способен не только управлять открыванием-закрыванием дверей в тюремных камерах, но и вообще разрушить всю систему наблюдения, оповещения и охраны тюрьмы.

С одной стороны, есть все основания говорить, что никаких откровений и революционно новых открытий в этом исследовании нет. Благодаря шуму вокруг Stuxnet теперь уже все знают, что SCADA-системы вообще и их ПЛК в частности, как правило, создавались без расчёта на противодействие компьютерным атакам. А коль скоро эти системы управления по природе своей чрезвычайно уязвимы для атак, то столь же уязвимыми оказываются и системы, которыми они управляют.

С другой стороны, реальность такова, что подавляющее большинство людей на планете (включая и администрацию, управляющую работой тюрем) чрезвычайно смутно представляют себе то, в сколь значительной мере физическая безопасность объекта зависит от инфобезопасности компьютерно-сетевой системы.

Все авторы исследовательской работы - ветеран индустрии безопасности Джон Строкс, его дочь Тиффани Рад и независимый эксперт Тигю Ньюман - являются специалистами, знакомыми с предметом, что называется, изнутри. Джон Строкс, в частности, участвовал непосредственно в сооружении или консультировании при создании электронных систем безопасности в более чем сотне американских тюрем, зданий суда и полицейских участков на территории США, включая восемь тюрем максимального уровня охраны.

Когда Строкс услышал о Stuxnet и о специфических особенностях тех компьютерных систем, против которых был нацелен этот червь, он осознал, что в прошлом и сам не раз устанавливал аналогичные системы для управления безопасностью в тюрьмах. На территории США в настоящее время действуют 117 исправительных учреждений федерального уровня и примерно 4700 тюрем местного значения - уровня штатов и округов. Практически все они, за исключением самых небольших, по свидетельству Строкса, используют программируемые логические контроллеры для управления дверями, воротами и электронной системой безопасности.

Хотя конкретные ПЛК от фирмы Siemens, которые атаковал червь Stuxnet, тоже используются в некоторых тюрьмах, их доля относительно мала. Значительно в большей степени, по словам Строкса, эти учреждения управляются контроллерами от фирм Allen-Bradley, Square D, GE и Mitsubishi.

Сильно заинтересовавшись проблемой, Строкс вместе с дочерью Тиффани Рад, возглавляющей компанию по инфобезопасности ELCnetworks, и независимым исследователем Тигю Ньюманом закупили соответствующие ПЛК, дабы протестировать их на предмет уязвимостей. Затем они поработали совместно с ещё одним анонимным исследователем (точнее "Дорой, исследовательницей SCADA"), с чьей помощью были написаны три подпрограммы, эксплуатирующие выявленные уязвимости. На всю эту работу, по подсчетам Т. Рад, в общей сложности было затрачено порядка 2500 долларов. Они ушли на то, чтобы закупить всё необходимое и быстро сделать качественную программу.

Читайте на второй странице: "Как только мы захватываем управление ПЛК, мы можем делать что угодно. Не только открывать и закрывать двери. Мы можем полностью разрушить эту систему."