DER SPIEGEL
№5(608) от 16.02.2009
Александер Шандар, Марсель Розенбах, Джон Гёц
Государства всего мира вооружаются, чтобы не дать грядущим киберконфликтам застать себя врасплох. Недавно бундесвер тоже приступил к подготовке хакеров в униформе.
Седые волосы и усы, денежное довольствие по тарифной сетке В 6 и синяя форма офицера ВВС — таков облик хакера на службе государства. Это 60-летний Фридрих Вильгельм Кризель, бригадный генерал и начальник отдела стратегической разведки.
Кризель отвечает за участок фронта, лишь недавно попавший в поле зрения бундесвера. Генералу доверили готовить армию к войне будущего, которая может захватить и Всемирную паутину. Похоже, эта задача Кризелю по плечу. В подчинении у него почти 6 тыс. военнослужащих, которые уже сегодня действуют подобно спецслужбе.
Семьдесят шесть его подчиненных обосновались в казарме, расположенной вдали от глаз общественности в живописном ремесленном городке Райнбах, неподалеку от Бонна. Они разрабатывают сверхсовременные методы проникновения в чужие локальные сети, разведывания их структуры и управления ими либо их поражения. Подразделение с безобидным внутренним названием «Отдел информационного и сетевого взаимодействия» занят подготовкой к электронной войне, подразумевающей, в частности, цифровые атаки на серверы и сети противника.
Райнбахские хакеры в униформе — это ответ Германии на угрозу, которая сегодня беспокоит правительства, спецслужбы и военных всего мира. С тех пор как компьютеры проникли практически во все сферы жизни, опасность нападения через Сеть чрезвычайно возросла. Американские эксперты уже многие годы предупреждают о возможности «сетевого Пёрл-Харбора», «цифрового 11 сентября» или «кибергеддона».
Эстония явилась первой страной—членом НАТО, подвергшейся подобной интернет-атаке. Весной 2007 года под массивный заградительный огонь «сетевых пушек», не прекращавшийся в течение трех недель, попали эстонские банки, государственные институты и партии. Эта балтийская республика временно оказалась практически отрезанной от Сети, и считалось, что на ее территории развернулась первая «кибервойна» — эстонцы подозревали, что подверглись нападению со стороны своего соседа, России, с которой у них как раз были нешуточные дипломатические разногласия.
Термин «война» в данном контексте с самого начала вызывал справедливую критику, ведь в результате ни убитых, ни раненых не было. Но тот факт, что виртуальные атаки могут иметь катастрофические последствия для реального мира, после инцидента с Эстонией не оспаривает никто. Интернет стал виртуальным полем боя, на котором находят свое отражение конфликты реального мира.
Поэтому многие государства всерьез начали вооружаться, не привлекая, правда, к своим действиям внимания широкой общественности. Одни лишь американцы планируют потратить миллиарды долларов на национальную программу кибернетической безопасности. Западные спецслужбы и военные убеждены, что противника, как и во времена холодной войны, следует искать в первую очередь на востоке: в России и Китае. В докладе, сделанном прошлой осенью в Конгрессе США, утверждается, что Китай приступил к «агрессивному» наращиванию кибернетического военного потенциала и может в скором времени получить «асимметричные преимущества», которые «в случае конфликта способны уменьшить превосходство США в сфере обычных вооружений».
У немцев тоже уже имеется негативный опыт «взаимодействия» с Китаем в этом вопросе. Примерно два года назад Федеральное ведомство по охране Конституции информировало правительство Германии, что серверы из китайской провинции Ланьчжоу предприняли интернет-атаки сразу на несколько федеральных министерств, а также на ведомство канцлера. Они пытались внедрить вредоносное программное обеспечение, предназначенное для перехвата конфиденциальной информации.
В середине января кабинет федерального правительства одобрил проект закона «Об укреплении информационной безопасности Федеративной Республики Германия», внесенный Министерством внутренних дел Вольфганга Шойбле, — это событие осталось практически не замеченным общественностью. Теперь законопроект должен пройти рассмотрение в бундесрате, а затем, предположительно уже в начале марта, и в бундестаге. «Чрезвычайная срочность» обусловлена необходимостью «обеспечения безопасности правительственных коммуникаций». Федеральному ведомству по безопасности информационных технологий в Бонне предстоит усилить систему «караульных постов» для защиты ведомственной информации — выделив дополнительное финансирование, увеличив штат и предоставив исполнителям больше полномочий.
Три года назад министр обороны Франц Йозеф Юнг подписал приказ о создании в составе бундесвера кибернетических войск. В тот день родилось подразделение Кризеля. Большинство из его 76 интернет-бойцов обучались информатике в университетах бундесвера. В начале февраля генерал Кризель с гордостью докладывал генеральному инспектору бундесвера Вольфгангу Шнайдерхану и командующим сухопутными войсками, авиацией и флотом об успехах своих людей, в частности о результатах перехвата переговоров в Афганистане, после чего перешел к рассказу о своем самом секретном отряде. Не позднее чем в будущем году его киберподразделение должно достичь боеготовности и доказать свою дееспособность — например, сымитировав нападение на реальную цель при помощи так называемого теста на проникновение.
В арсенале военных те же методы, что и у компьютерных преступников. Так, будущие «сетевые бойцы» учатся обращаться с вредоносным программным обеспечением, которое может попадать на компьютеры без ведома пользователей — по электронной почте, с внешних носителей информации, в частности компакт-дисков, или просто при посещении «подготовленной» интернет-страницы. После этого зараженные компьютеры могут догружать дополнительные программы, в частности такие, как своеобразный «магнитофон», записывающий любые сигналы с клавиатуры: тексты электронных писем, интернет-адреса, пароли. Собранные данные эта программка незаметно переправляет «хозяину».
Еще сложнее и экзотичнее выглядит программа обучения «нападающих» Кризеля. Воинам из Райнбаха не придется управлять танками, сидеть за штурвалами истребителей, вести огонь из автоматов. Их оружие — компьютер, сценарии боевых действий напоминают сюжеты из разряда научной фантастики или из мира компьютерных игр: DоS-атаки, вызывающие перегрузку и отказ серверов или построение бот-сетей.
Как первое, так и второе люди Кризеля изучают, в частности, и на реальных примерах, таких как недавние нападения на эстонские и грузинские сети.
Весной 2007 года в Эстонии разразился политический конфликт, вызванный перемещением советского монумента, который в считанные часы перекинулся в Интернет. Эстонцы ночью демонтировали «Бронзового солдата», чтобы из центра Таллина перенести его на военное кладбище. Статуя, которая для многих эстонцев была символом оккупации, являлась для русскоязычного меньшинства свидетельством триумфальной победы над гитлеровской Германией.
В течение следующих суток прошла первая волна интернет-атак на порталы премьер-министра, парламента и политических партий Эстонии. Хакеры разместили в Интернете сфальсифицированные извинения за решение о переносе статуи и подрисовали к фотографии премьер-министра на его интернет-странице гитлеровские усики. Одновременно на различных российских интернет-форумах появились инструкции, позволяющие любому рядовому интернет-пользователю выразить свое возмущение решением эстонцев. Они содержали подробное русскоязычное описание действий, позволяющих «наводнить» интернет-порталы и серверы Эстонии тестовыми сигналами. Это было настоящее руководство по осуществлению классической DоS-атаки.
Инструкции быстро возымели свое действие, поток передачи данных в эстонских сетях экстремально возрос. Кроме того, специалисты эстонской «группы быстрого реагирования на компьютерные инциденты» зарегистрировали централизованные атаки более чем миллиона компьютеров на отдельные цели в стране. Они осуществлялись так называемыми бот-сетями, то есть действующими синхронно компьютерами, зараженными вредоносным программным обеспечением и используемыми злоумышленниками без ведома пользователей — для этого компьютер просто должен быть подключен к Интернету.
Последствия не могут не впечатлить. Эстонскому парламенту пришлось на полдня отключить сервер электронной почты. Интернет-провайдеры кратковременно прекращали все сетевые соединения своих клиентов, несколько эстонских банков достаточно долго были отрезаны от Сети.
Впоследствии один из интернет-провайдеров страны насчитал в общей сложности 128 атак, из них 36 были предприняты на порталы правительства и парламента, 35 — на серверы эстонской полиции, еще 35 — на Министерство финансов.
Военные и спецслужбы всего мира считают, что происшедшее в Эстонии — прецедент, суть которого не может не вызывать беспокойства. В исследовании, проведенном шведами, содержится вывод, что пример Эстонии окончательно доказал: «Преступник-одиночка или группа злоумышленников в состоянии без особых проблем создать серьезные препятствия для нормальной работы ведомств и субъектов экономики другой страны, а затем уничтожить доказательства своей причастности». И правда, виновники эстонского инцидента до сих пор неизвестны. Ясно одно: часть бот-сетей, задействованных в атаках, также пыталась нарушить работу серверов одной из российских оппозиционных партий.
Интернет-атаки на Грузию летом 2008 года происходили аналогично — с той только разницей, что они сопровождались вводом российских войск и, следовательно, осуществлялись параллельно с реальными боевыми действиями. Сначала на русскоязычных форумах появились воинственные призывы, а также список «стоящих» объектов грузинской Сети. На интернет-странице stopgeorgia.ru, созданной специально по этому случаю, пользователи даже могли загрузить программку war.bat, «заточенную» для атак на грузинские сети.
В результате Грузии пришлось на день приостановить хостинг интернет-страницы своего президента, по требованию национального банка все финансовые институты на 10 дней отказались от электронных транзакций. Как и в случае с Эстонией, хакеры фальсифицировали содержание интернет-страниц. Так, на портале МИДа внезапно появился коллаж из портретов Михаила Саакашвили и Адольфа Гитлера.
На этот раз многие следы вновь вели в Россию. Тем не менее в официальном заключении экспертов НАТО говорится: «достоверных доказательств» того, что акция организована российским правительством, нет.
Анализ этих двух инцидентов связан с рядом серьезных вопросов, стоящих перед бундесвером и политиками Германии. Действительно ли речь идет о кибервойнах, то есть о перемещении традиционной, конвенциональной войны между двумя нациями в Интернет? Или же это новые формы «асимметричных конфликтов», в ходе которых государства подвергаются нападению интернет-партизан?
Следует ли рассматривать подобные происшествия как нарушение «соглашения о компьютерной преступности» Совета Европы, ратифицированного на настоящий момент 23 государствами? Или как военное нападение, оправдывающее акции возмездия или ответные удары? Есть ли у бундесвера право на «обезвреживание» обнаруженных серверов управления бот-сетями? Нужны ли Германии собственные компьютерные войска?
После эстонского инцидента эти вопросы порождают жаркие споры между военными и дипломатами. На прошлогоднем саммите НАТО в Бухаресте главы государств приняли совместную концепцию кибернетической обороны и усилили меры по обеспечению безопасности собственных сетей, реализацией которых занимается натовское агентство из бельгийского городка Монса. Сверх того Североатлантический альянс создал в Таллине «Центр кибернетической обороны». Новое ведомство уже проанализировало цифровое нападение на Грузию — в отчете речь шла исключительно об «атаках в серой зоне»: «Столь злободневный вопрос, следует ли расценивать кибератаки как вооруженное нападение, пока остается открытым». Понадобится время, чтобы «прийти к международному согласию по правовым аспектам кибернетической обороны».
В том, что касается безопасности ведомственных сетей, федеральное правительство столько времени ждать не готово. Законопроект Министерства иностранных дел, который должен рассмотреть бундестаг, предлагает возвести Федеральное ведомство по безопасности информационных технологий в ранг своего рода гражданского агентства кибернетической обороны. В частности, оно должно будет осуществлять автоматизированный мониторинг потоков данных в сетях ведомства канцлера и министерств, что позволит ему более оперативно выявлять аномальные явления и принимать контрмеры. Кроме того, впредь небольшой боннской организации не придется ограничиваться рекомендациями — она сможет давать строптивым федеральным ведомствам конкретные «предписания», например требовать сокращения открытых каналов доступа в Интернет.
В пока не опубликованном докладе о ситуации в области IT-безопасности в Германии в 2009 году эксперты предупреждают, что существенно повышается не только количество, но и профессиональный уровень интернет-атак. По их оценкам, возросшие риски обусловлены не только использованием бот-сетей, но и возможностью вмешательства в работу крупных узлов управления критическими объектами инфраструктуры — такими как АЭС или системы автоматического управления движением.
Пока же «сетевым бойцам» бундесвера из Райнбаха приходится иметь дело с противником, славящимся особым коварством: это уголовное право Германии, которое с 2007 года запрещает подготовку электронных диверсий. И если немецкие кибервоины действительно приступят к учебным атакам на сети третьих лиц, то, строго говоря, они одной ногой окажутся за решеткой. А за серьезные акты компьютерного вредительства можно лишиться свободы на срок до 10 лет
