РЕГИОНАЛЬНАЯ НАУЧНО-ИССЛЕДОВАТЕЛЬСКАЯ
ОБЩЕСТВЕННАЯ ОРГАНИЗАЦИЯ
OБЩЕСТВЕННЫЙ ИНСТИТУТ
ПОЛИТИЧЕСКИХ И СОЦИАЛЬНЫХ ИССЛЕДОВАНИЙ
ЧЕРНОМОРСКО-КАСПИЙСКОГО РЕГИОНА



СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ КАМПАНИЙ С ИСПОЛЬЗОВАНИЕМ КИБЕРОРУЖИЯ И РИСК АРМАГЕДДОНА В КИБЕРПРОСТРАНСТВЕ

КИБЕРВОЙНЫ

by MAURIZIO MARTELLINI
on 11.05.2016
https://digital.report/armageddon-v-kiberprostranstve/

Кибератака является привлекательным вариантом действий в ходе войны. Государства могут счесть целесообразным оказывать влияние или принуждение на другие страны посредством военных кампаний в киберпространстве, пользуясь анонимностью и возможностью отрицания. В недавнем прошлом было несколько раз показано, что использование вредоносного программного кода может вызвать физическое разрушение критически важных инфраструктур путем манипуляций с промышленными системами управления. Кибератаки также свели к минимуму необходимость рисковать личным составом или дорогостоящим оборудованием.

Вредоносный код также является многоразовым, представляя собой практически бездонную обойму для будущих атак. Однако подобные преимущества «чистой» войны также имеют темную сторону. Учитывая удобство, быстроту и снижение потерь личного состава, также существует соблазн использовать кибератаки часто, и, возможно, оказывать предпочтение им вместо участия в длительных или тщетных переговорах. Кроме того, экстремистские группы могут оказаться в состоянии приобрести копии вредоносного программного кода и анонимно использовать его против невоенных целей.

Устав ООН предусматривает руководящие принципы для обоснования ответных действий на кибератаки, являющиеся применением силы. Они приведены в статье 2 (4) — разрушительные действия, подходящие под определение «применение силы», и в статье 51 — разрушительные действия, подходящие под определение «вооруженного нападения», несущие угрозу государственному суверенитету. Однако большинство кибератак последних лет не смогли нарушить способность государств осуществлять свой суверенитет. Кроме того, в некоторых странах существуют правовые полномочия, обеспечивающие руководящие принципы проведения наступательных кибератак. В Соединенных Штатах, такие полномочия содержатся в:

Разделе 10 Свода законов США, где указано, что военные операции не требуют предварительных письменных решений до осуществления действий. Однако будет сложно отрицать проведение операций, осуществляемых согласно содержащимся в этом разделе полномочиям.

Разделе 50 Свода законов США, посвященному проведению тайных операций США. Используя содержащиеся в разделе полномочия, Президент должен предоставить письменное свидетельство, что операция осуществляется для реализации определенной задачи внешней политики и национальной безопасности.

Когда неясно, является ли кибератака применением силы в соответствии с Уставом ООН, то Раздел 50 делает возможным тайное проведение и отрицаемость действий.

Сообщения СМИ свидетельствуют о том, что кибератаки становятся все более изощренными и более скрытными. В случаях повреждения физического оборудования существует тенденция сравнивать вредоносный программный код с оружием. Но что такое оружие, и в каких случаях кибератаки на законных основаниях можно назвать кибероружием?

В США каждый вид вооруженных сил имеет закрепленное определение, что представляет собой оружие. В то же время, оружие должно также отвечать международным правовым стандартам. Статья 22 Гаагской и Статья 36 Женевской конвенций говорят о том что «средство», именуемое оружием, не может быть использовано вооруженными силами до проведения правовой экспертизы. Гаагская и Женевские конвенции предназначены для защиты гражданского населения от излишних страданий во время войны.

При этом можно продемонстрировать, что многие кибератаки также оказали непредсказуемый побочный эффект на гражданское население. «Таллинское Руководство по применимости международного права к вооруженным действиям в киберпространстве» было разработано после того, как Эстония подверглась разрушительным кибератаким в 2007 году. Руководство определяет кибероружие как «киберсредства ведения войны», которые созданы или используются для причинения вреда лицам или объектам. Это определение оружия не включает в себя уничтожение данных, если нет прямой связи с нанесением ущерба или работоспособностью компьютерной системы. Таким образом, если посредством кибератаки осуществлено умышленное повреждение или намеренное нарушение работоспособности компьютеров, то мы имеем дело с кибероружием. Однако, как показал реверс-инжиниринг и анализ недавних кибератак высокого уровня, существует несколько дополнительных характеристик, которые также должны быть учтены при формулировании более точного определения кибероружия.

В недавних сообщениях СМИ несколько примеров высокотехнологичных вредоносных кодов были названы кибероружием. В этих сообщениях были приведены результаты обширных исследований вредоносного кода под именами Flame, Duqu и Stuxnet. Сообщается, что эти три вредоносные киберпрограммы были использованы как часть комбинированной многолетней киберкампании, направленной на нарушение функционирования определенных объектов ядерной промышленности в Иране.

Возможно, что эта вредоносная киберкампания тайно проводилась на главных иранских объектах по крайней мере с 2006 по 2010 год, прежде чем была обнаружена сотрудниками служб безопасности, работающими за пределами Ирана. Следовательно, в дополнение к определению, данному в Таллинском руководстве, существующее поколение кибероружия может также потребовать учета следующих характеристик:

• скрытность, которая позволяет вредоносным программам тайно функционировать в течение длительных периодов времени;

• использование ряда вредоносных программ, которые сочетают в себе такие различные задачи, как шпионаж, хищение данных или саботаж;

• специальные технологии, которые позволяют вредоносному коду обойти или обмануть защитную технологию управления кибербезопасностью.

Специальная технология, позволяющая обойти или обмануть системы кибербезопасности, в том числе те, которые должны защищать такие сверхсекретные промышленные объекты, как АЭС в Иране, называется атака «нулевого дня». Она представляет собой определенный вредоносный код, выполняемый перед основной вредоносной программой, и предназначена для использования уязвимости, которая является новой и неизвестной в целевой системе. Атака нулевого дня способна полностью или временно вывести из строя систему управления кибербезопасностью, и таким образом открыть целевую компьютерную систему для внедрения и начала работы основной вредоносной программы. Многие высококвалифицированные хакеры усердно работают над обнаружением новых уязвимостей в системах, которые позволяют создавать новые атаки «нулевого дня». Мотивацией для этих хакеров является то, что атаки «нулевого дня» можно дорого продать государствам или экстремистам. Атаки «нулевого дня», обнаруженные и разработанные высококвалифицированными хакерами, являются важной составляющей существующего поколения кибероружия.

Последней характеристикой, которая позволяет успешно использовать вредоносный код в качестве кибероружия, является то, что можно описать как «доскональное знание» целевых промышленных систем управления гражданской и/или военной техники. Хакеры, создавшие атаки «нулевого дня», которые были использованы в кибероружии, примененном в ходе кампании против Ирана, по-видимому, имели очень хорошее понимание о целевом промышленном оборудовании. Эти узкоспециализированные знания разработчика, используемые в создании различных вредоносных кодов для шпионажа и саботажа, являются тем, что делает существующее поколение кампаний кибероружия таким эффективным.

Однако у существующего поколения кампаний кибероружия также могут быть проблемы. Есть вероятность, что кибероружие выйдет из-под контроля. Например, Stuxnet, как сообщается, несколько раз обновлялся для расширения функциональности, и, в конце концов, вредоносный код вышел за пределы иранского предприятия по обогащению урана. Образцы Stuxnet были обнаружены во многих странах за пределами Ирана. Тем не менее, другие объекты не были повреждены, поскольку вредоносный код в Stuxnet был разработан для нападения только на специализированное оборудование на ядерном объекте в Иране. В будущем кибероружие, разработанное менее тщательно чем Stuxnet, также может неожиданно распространиться и, возможно, стать причиной побочного ущерба на других объектах.

В будущем среда и возможности для осуществления кибератак будут расширяться. В прошлом целями были промышленные системы управления критически важных инфраструктур, таких, как нефте- и газопроводы, а также гражданские электростанции.

По мере того, как в Интернете будет появляться больше подробной «доскональной» информации, вероятно, что в перспективе целями станут сложные военные объекты и системы вооружения, в том числе больше примеров нападений на ядерные объекты или системы командования, управления и связи (С3) плюс компьютерные системы (C4), и системы противоракетной обороны (как ракеты земля-воздух). Например, советский зенитно-ракетный комплекс БУК с помощью которого, как сообщается, в июле 2014 года был сбит рейс Malaysia Airlines 17, и погибло 298 человек, является тщательно разработанной системой, но может иметь уязвимости, и не обладает способностью самостоятельно отличить гражданские цели от военных. К сожалению, детальная информация о зенитно-ракетной системе БУК доступна в Интернете.

Техническая документация для этой системы, а также для нескольких российских ракетных пусковых установок может быть загружена из Интернета в виде достоверного программного тренажера, что позволяет любому изучать и практиковаться в базовом режиме работы нескольких советских зенитно-ракетных пусковых установок.

Другим примером роста уязвимости сложной военной техники является то, что Научный совет Министерства обороны США передал Пентагону секретный список систем боевого оружия, документация по которым была украдена в результате кибершпионажа. Список включает в себя проекты продвинутой ракетной системы Patriot, известной как PAC-3 (см. Washington Post, Эллен Накашима, от 27 мая 2013 года). В отдельном докладе, который также можно найти в Интернете, приведены результаты анализа уязвимостей в программном обеспечении системы национальной противоракетной обороны, в том числе ракетной системы Patriot PAC-3 («Using Genetic Algorithms to Aid in a Vulnerability Analysis of National Missile Defense Simulation Software» — JDMS, Volume 1, Issue 4, October 2004 Page 215–223, http://www.scs.org/pubs/jdms/vol1num4/imsand.pdf).

Подводя итоги, кибератаки становятся все более изощренными, и в случае, если имеются следующие характеристики — а) использование атак нулевого дня для обхода технологий кибер- безопасности, б) проведение кампаний с координированным использованием различных вредоносных программ, и в) использование скрытности при долговременном проведении вредоносных операций для шпионажа или саботажа — мы можем иметь дело с кибероружием. Правильное проведение атрибуции является затруднительным, а технологии, используемые для обеспечения кибербезопасности, становятся все менее адекватными при расширении задач защиты от кибероружия. Таким образом, классическая теория сдерживания, разработанная для ядерного оружия, не работает для кибероружия. Кроме того, есть вероятность, что кибероружие выйдет из-под контроля. В будущем кибероружие, разработанное менее тщательно, чем Stuxnet, также может неожиданно распространиться и, возможно, вызвать побочный ущерб.

В довершение ко всему, исследование примеров существующего поколения кибероружия также показало, что подробные и доскональные знания о целевой системе способствуют успеху диверсионной киберкампании. По мере того, как в Интернете (возможно, посредством кибершпионажа) появляется больше информации, описывающей детальные подробности и возможные уязвимости современного оборудования и сооружений, в том числе военной техники, они также могут стать целями для

будущих поколений кибероружия.

Есть много политических вопросов, связанных с кибербезопасностью и кибервойнами, которые заслуживают дальнейшего исследования:

• Какие стратегии могут помочь в уменьшении/регулировании глобального распространения вредоносных атак нулевого дня/вредоносного программного обеспечения, предназначенных для ведения кибервойны?

• Будущие наступательные кампании, скорее всего, уже развернуты и в настоящее время работают. Как можно обнаружить и изолировать их?

• Существует ли и что собой представляет правомерность в рамках международного (и гуманитарного) права в вопросе использования/угрозы применения ядерного оружия в качестве возмездия против использования кибероружия?

• Возможно ли создание механизма контроля над кибервооружениями? Если да, то сколько времени это займет, принимая во внимание что система контроля над ядерным оружием создавалась десятилетиями?

• Является ли СБ ООН по-прежнему предпочтительным учреждением для осуществления глобального контроля над кибервооружениями?

• Если да, должны ли постоянные члены СБ ООН открыто раскрыть все кибероружие, чтобы избежать Армагеддона в киберпространстве?

Маурицио Мартеллини
Центр международной безопасности Университета Инсубрия (Италия)
Клэй Уилсон
Система Американских государственных университетов

 

Материал подготовлен на основе доклада, представленного на Одиннадцатой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 20-23 апреля 2015 года г.Гармиш-Партенкирхен, Германия.

Категории: Главное, Иран, США