В распоряжение Лайфа попала переписка Минобороны США с Бюджетно-контрольным управлением конгресса (GAO). Из неё понятно, что Пентагон возьмёт под усиленный контроль умные гаджеты, которыми пользуются его сотрудники. Военные беспокоятся, что российские хакеры могут дистанционно получить данные со смарт-часов или фитнес-трекеров. Ведомство забеспокоилось после отчёта GAO об основных угрозах, которым подвержены смарт-устройства.
Скрытая угроза
Минобороны США высказало озабоченность по поводу безопасности "умных гаджетов", живущих в Пентагоне. Обеспокоенность возникла в мае, после того, как на стол IT-директору Минобороны Джону Зангарди лёг 42-страничный отчёт Главного бюджетно-контрольного управления конгресса. Он был озаглавлен "Интернет вещей": уточнённая оценка и руководство по устранению рисков информационной безопасности". Там говорилось о возможных сценариях взлома и использования данных с умных девайсов.
"Интернетом вещей" (Internet of Things, IoT) называют умные гаджеты, которые способны получать информацию об окружающем мире, собирать её и передавать владельцу и другим устройствам по Сети, Bluetooth и иными методами. Это могут быть умные часы, фитнес-трекеры, умные колонки или телевизор, который имеет подключение к сети Wi-Fi.
Аудиторы считают: производители компонентов умных гаджетов могут заранее оставлять "дыры" для последующего проникновения, чтобы считать информацию с них.
— Место производства IoT-устройств и связанных компонентов вызывает серьёзную озабоченность, — пишет Счётная палата США Зангарди. — Враждебные страны, такие как Китай и Россия, могут внедрять эксплойты или вредоносный код в чипы и другие компоненты, используемые в IoT-устройствах. Например, в смарт-счётчики для сбора и передачи данных.
Бюджетно-контрольное управление просит военных начать процедуру проверки угроз безопасности всех своих IoT-устройств и составить их список.
При этом у самих аудиторов уже есть предварительный список "дыр", наиболее уязвимых в случае возможной атаки. По данным Лайфа, аудиторы составили его на основе опроса нескольких десятков сотрудников Пентагона из разных управлений. Некоторые уязвимости способны даже временно парализовать работу военного ведомства.
Полный шатдаун
Согласно первому сценарию, хакеры могут использовать взломанные IoT для диверсионных операций и парализации работы всего министерства. Первый сценарий называется "Срыв операции".
— Вероятный противник атакует электросистему здания через умный счётчик электричества, связанный с системой кондиционирования, — пишут аудиторы. — Без электричества отрубается охлаждающая система, а компьютерные сервера выключаются вслед за ней или уходят в офлайн, чтобы не перегреться. Без компьютеров командование Минобороны теряет связь (видимо, подразумевается связь с подразделениями. — Прим. Лайфа), что негативно влияет на ход операции.
Примерно такая сцена демонстрировалась в фильме "Крепкий орешек — 4". Там террористы на пару секунд вырубили электричество в здании ФБР и подключились к его компьютерной сети.
Второй сценарий — "Повреждение военной техники".
— Корабль находится в сухом доке на ремонте. Там нет системы, которая фиксирует попытку несанкционированного доступа, — продолжают рисовать страшную картину аудиторы. — Из-за плохой организации безопасности злоумышленник получает доступ к компьютеру или паролям управления [системами здания]. [С их помощью] он регулирует систему контроля воды, и она затапливает док, повреждая части корабля.
Третий сценарий называется "Сбор разведывательной информации". Он возможен, если злоумышленник работает у провайдера интернета.
— Какое-нибудь управление Минобороны приобретает умный телевизор. Смарт-ТВ устанавливают в незащищённом холле и подключают к гражданскому провайдеру, — рассуждают аудиторы. — Сотрудник фирмы-провайдера удалённо получает доступ к телевизору и использует его для записи разговоров и фотографирования персонала Пентагона. Злоумышленник взламывает смарт-ТВ и получает доступ к личным мобильным телефонам персонала для сбора разведывательной информации.
Наконец, четвёртый тип угроз распространяется на высшее командование. Вероятный противник, пишут эксперты, может взломать умный автомобиль какого-нибудь генерала. Такой автомобиль имеет бортовой компьютер, управляющий тормозами, двигателем и дверьми. После взлома бортового компьютера злоумышленник может перехватить управление и спровоцировать аварию. Или просто подслушать разговоры в машине.
Пентагон взял под козырёк
После перечисления возможных бед контрольное управление выкатило директору Зангарди ряд рекомендаций, или, по-нашему, требований. В частности, ему необходимо проинструктировать личный состав, сосчитать и систематизировать угрозы. После чего бороться с наиболее серьёзными.
В распоряжение Лайфа попал ответ Зангарди контрольному управлению. Офицер весьма серьёзно отнесся к заявлению GAO и обещал принять необходимые меры для повышения безопасности IoT.
— Министерство обороны согласно с проектом отчёта и прилагает свои комментарии, — пишет Зангарди. — Министерство примет меры в соответствии с действующей политикой безопасности. <...> Мы уже начали работу в этом направлении и подведём её итоги в четвёртом квартале 2017 года.
Взломать "Интернет вещей"
Аналитики по информационной безопасности из компании Zecurion говорят, что американцам есть чего опасаться.
— Опасения абсолютно оправданы. И тут дело даже не в том, кто взломает эти устройства. Беда в том, что таких устройств очень много, и они фактически беззащитны. Чтобы получить доступ к IoT-устройствам, не обязательно быть экспертом по безопасности и иметь отношение к государственным органам. Это может сделать обычный школьник, — рассказал Лайфу руководитель аналитического центра Zecurion Analytics Владимир Ульянов. — Разработчики этих умных устройств уделяют минимальное внимание вопросам безопасности. Прежде всего для них — функциональность и удобство использования. Это происходит потому, что делать полный аудит безопасности слишком дорого, к тому же это тормозит выход устройства на рынок. Даже если какие-то инструменты защиты есть, они взламываются, например, с использованием стандартного или заводского пароля.
Ульянов отметил, что основным производителем устройств остаётся Китай — именно там базируются большинство заводов. И теоретически там могут вшить "закладки" в железо устройств, но на практике это нельзя осуществить просто так — для этого необходимо менять всю архитектуру устройства.
Что касается опасений GAO о том, что Россия также может вшивать бэкдоры в устройства, то Ульянов отмечает, что наша страна производит их не так много и они практически не представлены на международном рынке.
Россия как главный кибервраг
В своих выкладках Контрольное управление несколько раз называет Россию страной, от которой исходит одна из главных киберугроз. Американские специалисты повторяют эту мысль, как мантру, уже несколько лет. В 2015-м, например, такое заявление сделал тогдашний глава Национальной разведки США Джеймс Клэппер. А в 2016-м аналогичное заявление сделал глава Агентства национальной безопасности (АНБ) Майкл Роджерс.
И уже тогда появились первые слова о "государственных хакерах", которых якобы финансирует наше правительство.
— В России находятся мощные киберсилы, способные действовать с высокой скоростью и точностью, оставаясь в тени, — писал Роджерс в докладе Комитету по делам вооружённых сил. — Мы предполагаем, что существует связь между хакерами, действующими по поручению властей, и криминальными элементами в киберпространстве. Это вызывает беспокойство <...>.
После выборов, на которых победил Дональд Трамп, абстрактная угроза трансформировалась в страшных "русских хакеров". ЦРУ в январе 2017-го выпустило доклад, в котором обвиняло "русских хакеров" в том, что они при поддержке правительства повлияли на исход выборов в США. Российская сторона заявляла об абсурдности таких обвинений.
Надо сказать, обычные американцы в большинстве своём этой версии не поверили. Они начали шутить на тему того, что политики любят во всех своих проблемах обвинять Россию. Эта история породила десяток добротных мемов о вездесущих "русских хакерах", которые во всём виноваты.
Последние несколько лет Минобороны США активно вкладывается в защиту своих систем от хакеров, будь они родом из России или другой страны. В марте прошлого года Минобороны запустило проект Hack the Pentagon, в рамках которого исследователи безопасности искали уязвимости в системах здания. В ноябре была запущена аналогичная программа Hack the Army. За обнаруженные уязвимости исследователи в общей сложности получили порядка $100 тыс.
Источник