Должны быть только свои закладки

Буквально на днях «Лаборатория Касперского» в очередной раз обнаружила программу кибершпионажа. Агентство Reuters подтвердило информацию показаниями бывших сотрудников Агентства национальной безопасности США.

Специальные программы были замаскированы в служебных областях жестких дисков ведущих изготовителей. Сотрудники лаборатории пишут: «Чаще всего атакованы были компьютеры в правительственных и военных учреждениях, телекоммуникационных компаниях, банках, энергетических компаниях, компаниях, занимающихся ядерными исследованиями, медийных компаниях и у исламских активистов» и указывают на отказ АНБ от комментариев.

Сложность современных компьютеров вкупе с их распространенностью и уже невозможностью работы без их применения закономерно привело к возникновению новой области применения для ведения войн — кибернетическому пространству.

В этом десятилетии (с 2010 года) были обнаружены такие программы, как Stuxnet, Duqu и Flame, которые можно смело назвать современным кибернетическим оружием. Наиболее известным является Stuxnet, который был обнаружен в июне 2010 года в компьютерных системах Ирана, занимающихся управлением автоматизированными производственными процессами. Евгений Касперский в своем блоге писал по поводу Stuxnet: «Изделие очень и очень профессиональное, можно сказать — шедевр малварно-инженерной мысли. Для своего распространения использует аж четыре(!) свежие уязвимости… "Полезная функция" у него активизируется при заражении не просто компьютеров — он атакует программируемые логические контроллеры… Основными регионами, пострадавшими от данного зловреда, являются Иран и арабские страны» и указал на конкретную мишень — Бушерскую атомную электростанцию. Проще говоря, это не просто «что-то комп глючит», а возможность вывода атомной станции из строя. Впрочем, конкретно этот «червь» больше похож на инструмент конкурентных войн против производителей железа (контроллеры поставлял Siemens), т.к. к управлению непосредственно реактором Windowsникто не допустит. Впрочем, как-то американский ракетный крейсер «Йорктаун» «завис» почти на три часа — управлялся он Windows NT 4.0…

«В недалеком прошлом мы боролись с кибер-преступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн», — резюмирует Касперский.

Обратите внимание: все это — очень немаленький программы, имеющие большие функциональные возможности. Так, Worm.Win32.Flame позволяет «удаленное изменение настроек компьютера, создание снимков экрана, похищение файлов, документов, переписки из программ обмена сообщениями, контактных данных, перехват сетевого трафика, паролей, и осуществление аудиозаписи разговоров через подключенный микрофон. Похищенные данные передаются на командные серверы в разных частях света. По предварительной оценке, Flame действует уже порядка двух лет, с марта 2010 года. До сих пор он не был обнаружен ввиду исключительной сложности, географической и целевой направленности — определенные компьютеры преимущественно из сферы бизнеса и академических учреждений». И при этом не обнаруживается антивирусным ПО.

В ноябре прошлого года РБК писал о появлении нового вируса Regin, еще более изощренного, и предположительно нацеленного на российские телекоммуникационные компании.

Уязвимость систем такова, что даже зная о предстоящей атаке, надежно защититься не получается. Показателен в этом плане пример The New York Times — самой известной газеты США, когда осенью 2012-го года китайцы атаковали сеть — и, несмотря на старания предупрежденных заранее безопасников, 98% атак завершились успехом. Спустя четыре месяца проблему решили кардинально — заменой всех компьютеров.

Еще более нагляден пример с ПВО Ирака. Хотя точных подтвержденных данных нет, специалисты считают, что практическое бездействие ПВО во время операции «Буря в пустыне» объясняется блокировкой управляющих компьютеров, закупленных во Франции.

Производители уже не стесняются признавать, что изменяют данные на компьютерах пользователей без санкции владельцев — например, в 2007 г. Microsoft признала факт загрузки исполняемых файлов для Windows XP и Windows Vista без санкции пользователей.

Факты «закладок» в железо также имеются — см. известную статью 2011-го года «Китайские закладки: непридуманная история о виртуализации, безопасности и шпионах» про активацию аппаратуры виртуализации из BIOS: «была подготовлена более наглядная версия закладки с упрощенным командным интерфейсом. Закладка активировалась после загрузки на компьютер текстового файла, содержимое которого включало два слова — “Газпром” и “стоп”, — расположенных в произвольном порядке. После этого компьютер умирал, но не сразу, а с задержкой в пять минут. Естественно, можно было сделать задержку и на сутки».

А в декабре 2013-го на съезде Chaos Communication Congress был показан каталог (!) АНБ 2008-го года с описанием аппаратных и программных «закладок». Знающие английский могут ознакомится с презентацией «AbsoluteBackdoorRevisited» (тоже с участием специалистов лаборатории Касперского) на BlackHat 2014. А на русском можно прочесть интересную статью «Чума на ваши USB»:

«…единожды зараженные такой инфекцией компьютеры и их USB-периферия уже никогда не могут быть возвращены обратно к доверительному состоянию. Подобный вирус невозможно выявить до тех пор, пока вы точно не знаете, где именно его следует искать. Как прокомментировал ситуацию Карстен Ноль в одном из недавних интервью, «это означает, что вы вообще больше не можете доверять вашему компьютеру. Это угроза на таком уровне, который невидим. Это ужасный тип паранойи».

Ну и если у вас паранойи, то не факт, что за вами не следят посредством BadBIOS.

Таким образом, можно сделать неутешительный вывод: производители современного компьютерного железа и программного обеспечения аппаратного уровня очень любят делать «закладки», которые можно использовать и для промышленного шпионажа, и для непромышленного, и управление промышленностью под угрозой… Некоторые производители компьютеров пытаются бороться с проблемой «троянов», «червей» и прочей зловредной компьютерной «живности» методом жесткого БДСМ: связать и не пущать: система защиты UEFI не позволяет удалить установленные программы, а иногда — и поставить новые. В случае же попыток сменить операционную систему можно вообще остаться без компьютера: «Подобные случаи бывают не так уж и редко, но широко известно о них становится лишь тогда, когда пострадавшими пользователями оказываются люди более-менее известные. Как это было, к примеру, в начале 2014 с разработчиком ядра Linux Теодором Тцо и сотрудником Google Марком Мерлином. Оба специалиста имели несчастье приобрести ноутбук Thinkpad T540p, и оба в итоге получили убитый компьютер при попытке установить нужную им ОС. Лечится же такая беда только заменой системной платы…».

Вот так интересно получается: при попытке установить вполне обычное программное обеспечение можно капитально сломать компьютер, но при этом существует вредоносное ПО, которое вполне благополучно незаметно живет во флеш-памяти систем. Возникает известный вопрос «что делать?».

Именно что — делать.

России необходимо собственное компьютерное железо и программное обеспечение — только так можно обеспечить требуемую безопасность. Разработки уже имеются: МЦСТ успешно проводит новые разработки, многие из них — с учетом защищенности,  разработаны ОС МСВС (Мобильная Система Вооруженных Сил) и AstraLinux, а все та же лаборатория Касперского весной 2013-го предложила программно-аппаратный комплекс KUEFI: материнская плата российского производителя, в UEFI-систему которой прошиты коды антивирусной программы.

Главная проблема в том, что разработать альтернативу тоже Windows полноценно не реально: для работы ведь необходима не только операционная система, но и множество программного обеспечения. А также драйвера в ассортименте, которые производители «железа» просто не будут писать, так как рынок «для российской ОС» мизерен.

Поэтому целесообразно разделить проблему на части. Уязвимость 99% компьютеров, которые используются для «вконтактика» и «танчиков», вряд ли можно назвать государственной проблемой. А вот для военных и правительственных структур необходимо вести собственные разработки. И не надо пугаться того, что в гонке нанометров в чипах мы пока отстаем: миниатюризация — это, конечно, хорошо, но во многих случаях надёжность важнее. К тому же, создавая свою собственную архитектуру (например, использовать суперскалярность), можно применять новые наработки без необходимости соблюдать стандарты совместимости с тех времен, когда «640КБ должно быть достаточно для каждого». Уже в этом году ожидается выпуск линейки российских 8-миядерных процессоров Baikal, выполненных по 28-нанометровому процессу.

Однако ожидать отдачи от успехов в отдельных областях — несколько наивно. Переход на отечественную элементную базу возможен лишь при наличии соответствующего спроса. Если говорить не о военных и т.п. разработках, которым никуда не деться из-за секретности, то импортзамещение возможно лишь при параллельном создании отраслей промышленности, которые будут использовать отечественную элементную базу для производства отечественной же электроники массового пользования, причем на мировом уровне качества. Проше говоря, России требуется новая индустриализация, о которой В.В. Путин говорил ещё в 2011-м году, но осуществление которого маловероятно при либеральном подходе к экономике: здесь надо менять всю систему, так как невозможно модернизировать промышленность, оставляя «в стороне» науку и образование, имея стоимость кредитов в несколько раз выше, чем на Западе и т.д. Требуется комплексная программа, с жестким подходом к саботажникам. Но верится в это с трудом.

P.S. И речь идет не только о компьютерах. Так, 30 января британский The Telegraph опубликовал информацию: «согласно попавшим в распоряжение издания секретным документам высших полицейских чиновников ЕС, полицейские Евросоюза в скором времени получат технические возможности для дистанционного торможения автомобилей. Устройство “удаленной остановки” будет монтироваться на все автомобили»…

Подписывайтесь на наш канал в Telegram