Техносфера - Основы кибербезопасности. Cтандарты, концепции, методы и средства обеспечения

Содержание

Предисловие ............................................................................................................. 12

Введение ................................................................................................................... 18

Глава 1. Киберпреступность и кибертерроризм ..................................................... 23

1.1.

Кибертерроризм ......................................................................................... 23

1.1.1.

Кибертерроризм – определение, способы реализации

кибертерактов ................................................................................... 23

1.1.2.

Краткая история кибертерроризма .................................................. 25

1.1.3.

Основные направления кибертерроризма ....................................... 26

1.1.4.

Кибертерроризм как форма гибридной войны ................................ 36

1.1.4.1.

Кибертерроризм и политический терроризм ...................... 36

1.1.4.2.

Перспективы кибертерроризма ........................................... 37

1.2.

Киберпреступность .................................................................................... 39

1.2.1.

Классификация типов киберпреступлений согласно

Конвенции Совета Европы .............................................................. 39

1.2.2.

Основные виды киберпреступлений, представленные

в Конвенции Совета Европы ............................................................ 39

1.2.3.

Классификация арсенала используемого киберпреступниками

«кибероружия» .................................................................................. 40

1.2.4.

Стандарты кибербезопасности ......................................................... 40

1.3.

О возможности международного соглашения об ограничении

распространения кибероружия .................................................................. 41

1.4.

Особенности организации и функционирования системы

киберзащиты НАТО .................................................................................... 44

1.4.1.

Концептуальный подход НАТО к организации киберзащиты ........ 44

1.4.2.

Кибератаки против НАТО и членов альянса .................................... 45

1.4.3.

Основные оперативные киберструктуры НАТО .............................. 45

1.5.

Киберпреступления и киберпреступники – классификация,

методы «работы» и способы защиты .......................................................... 47

1.5.1.

Классификация киберпреступников ................................................ 47

1.5.2.

Классификация компьютерных преступлений по Интерполу ........ 48

1.5.3.

Детализированный алгоритм типовой кибератаки .......................... 50

1.5.4.

«Залив денег на карту быстро и без предоплаты» – тонкости

профессий заливщика, рефорда и ботовода .................................... 54

1.5.5.

Пример эффективного расследования киберпреступлений:

взлет и падение русскоязычного хакера Fxmsp ............................... 59

1.5.5.1.

Компания Group-IB – расследование

и предотвращение киберпреступлений как важный

компонент кибербезопасности ............................................ 59

1.5.5.2.

Аналитический отчет Group-IB «Fxmsp: невидимый

бог сети» ................................................................................ 60

1.5.6.

Легализация бизнеса по разработке шпионских программ

как новая угроза кибербезопасности ............................................... 63

1.5.6.1.

Hacking Team – разработка и продажа шпионских

программ для государственных организаций ...................... 63

1.5.6.2.

Уникальный эпизод – открытый отчет хакера,

взломавшего защиту компании Hacking Team .................... 66

1.5.7.

К вопросу о практике «технического симбиоза»

кибермошенников и государственных спецслужб .......................... 69

1.6.

Этичные хакеры и хактивисты – мифы и реалии ..................................... 70

1.6.1.

Этичный хакинг – что это такое? ..................................................... 70

1.6.2.

Наиболее известные группировки хактивистов ............................... 73

1.6.3.

Манифесты хактивиста Phineas Fisher ............................................. 75

1.6.4.

Этика общечеловеческая и этика хакерская – «почувствуйте

разницу»! ........................................................................................... 76

Глава 2. Концепции, методы и средства применения кибероружия ..................... 85

2.1.

Краткая история развития кибероружия ................................................... 85

2.1.1.

Основные эпизоды из предыстории развития кибероружия .......... 85

2.1.2.

Изменение видов киберугроз за период с 1980 по 2010 г. ................ 91

2.2.

Методологические принципы классификации кибероружия .................. 94

2.2.1.

Введение в проблему, классификация типов кибероружия............. 94

2.2.2.

Виды информационных атак ...........................................................102

2.2.3.

Способы внедрения в состав информационных ресурсов

противника вредоносных программ ...............................................102

2.2.4.

Классификация основных видов кибервоздействий ......................104

2.2.5.

Классификация основных видов кибервоздействий ......................110

2.2.6.

Удаленные сетевые атаки как наиболее распространенные

типы кибервоздействий ...................................................................118

2.2.7.

Примеры реализации кибервоздействий с использованием

метода удаленных сетевых атак .......................................................121

2.3.

Проблемы идентификации исполнителей и заказчиков

кибератак ...................................................................................................122

2.3.1.

Введение в проблему ........................................................................122

2.3.2.

Зачем нужна идентификация источника кибератаки .....................124

2.3.3.

Основные проблемы решения задачи идентификации

источника кибератаки .....................................................................126

2.3.4.

Основные индикаторы (признаки), используемые

при определении источников кибератак ........................................127

Глава 3. Типовые уязвимости в системах киберзащиты........................................132

3.1.

Уязвимости в микросхемах ........................................................................132

3.2.

Уязвимости в криптографических алгоритмах (стандартах) ...................135

3.3.

Преднамеренные уязвимости в шифровальном оборудовании ..............138

3.4.

Уязвимости программного обеспечения информационных систем .......139

3.4.1.

Классификация, термины и определения типовых

уязвимостей программного обеспечения .......................................139

Классификация уязвимостей программного обеспечения ............141

3.4.2.

Риски использования уязвимых программ ....................................143

3.4.3.

Уязвимости систем информационной безопасности ......................172

3.4.4.

Переполнение буфера как опасная уязвимость ..............................178

3.5.

Уязвимости в автомобилях ........................................................................185

3.5.1.

Из истории автомобильных вирусов ...............................................185

3.5.2.

Hackable – уязвимости автомобилей для кибератак .......................186

3.6.

Уязвимости бортового оборудования воздушных судов

и робототехнических комплексов .............................................................190

3.6.1.

Уязвимости комплексов с беспилотными летательными

аппаратами .......................................................................................190

3.6.2.

Функциональные модели построения робототехнических

комплексов военного назначения с повышенной

киберзащитой ..................................................................................196

3.6.2.1.

Основные принципы организации

киберзащиты РТК ...............................................................196

3.6.2.2.

Модель угроз безопасности информации

и функциональной устойчивости РТК ...............................199

3.6.2.3.

Построение модели системы защиты информации

и контроля целостности КВС путем идентификации

ПАВ на их элементы ............................................................202

3.6.3.

Концепции обеспечения кибербезопасности бортового

оборудования воздушных судов ......................................................205

3.6.3.1.

Тенденции развития информационной архитектуры

воздушных судов..................................................................205

3.6.3.2.

Инциденты, угрозы и уязвимости безопасности

на борту воздушного судна ..................................................208

3.6.3.3.

Основные направления обеспечения

кибербезопасности воздушного судна................................211

3.7.

Методы выявления программных уязвимостей .......................................217

3.7.1.

Виды сертификационных испытаний .............................................217

3.7.2.

Виды тестирования безопасности кода ...........................................218

3.7.3.

Типовая статистика выявления уязвимостей в программном

обеспечении .....................................................................................220

3.8.

Five-Level Problem – пути снижения уязвимостей критических

информационных систем ..........................................................................224

Глава 4. Антивирусные программы и проактивная антивирусная защита ..........228

4.1.

Антивирусные программы ........................................................................228

4.1.1.

Стандартные компоненты антивирусной защиты ..........................229

4.1.2.

Основные требования к антивирусным программам .....................231

4.1.3.

Основные характеристики антивирусных программ .......................232

4.1.4.

Классификация и принципы работы антивирусных

программ ..........................................................................................233

4.1.5.

Краткий обзор антивирусных программ .........................................234

4.1.6.

Полезные практические рекомендации пользователям

от разработчиков антивирусного программного обеспечения .....2374.2. Проактивная антивирусная защита – функции и возможности .............239

4.2.1.

Поведенческий контроль (Behavior Control) ...................................239

4.2.2.

Режимы работы поведенческого контроля .....................................240

4.2.3.

Использование песочницы (Sandbox) как изолированной

программной среды .........................................................................241

4.2.4.

Потенциально опасные действия и процедуры

(Potentially Dangerous Actions and Techniques) ................................242

4.2.5.

Управление компонентами (Component control) ............................246

4.2.6.

Защита переносных мультимедийных устройств

(Removable Media Protection) ...........................................................246

4.2.7.

Самозащита (Self-protection) ...........................................................247

4.3.

Иммунный подход к защите информационных систем ..........................247

4.3.1.

К проблеме уязвимости операционных систем ..............................247

4.3.2.

Цифровые иммунные системы как перспективный

инструмент сетевой защиты ............................................................249

4.3.3.

KasperskyOS – первая российская операционная система

с кибериммунитетом ........................................................................253

4.3.4.

Киберфизические иммунные системы ............................................258

4.3.5.

Биометрическая система кибербезопасности Darktrace .................261

Глава 5. Кибершпионаж, киберразведка и киберконтрразведка..........................264

5.1.

Классификация, способы и объекты кибершпионажа ............................264

5.1.1.

Классификация кибершпионажа ....................................................264

5.1.2.

Способы осуществления кибершпионажа .....................................265

5.1.3.

Объекты кибершпионажа ...............................................................266

5.1.4.

Основные источники угрозы кибершпионажа ...............................266

5.2.

Киберразведка и контрразведка: цели, задачи, методы работы ..............267

5.2.1.

Общая информация о киберразведке ..............................................267

5.2.2.

Стратегическая киберразведка как способ управление

рисками ............................................................................................270

5.2.3.

Основные цели и задачи киберконтрразведки................................272

5.2.4.

Специфические требования к новому поколению

специалистов по информационной и кибербезопасности ............274

5.3.

Структура и основные функции главного управления

киберразведки США ..................................................................................276

5.4.

Ежегодные отчеты управления контрразведки США

о киберугрозах ............................................................................................278

5.5.

Расследование кибератак как высокоприбыльный бизнес

и инструмент политической борьбы .........................................................284

5.6.

Автоматизация процессов киберразведки с помощью

Threat Intelligence Platform .........................................................................287

5.6.1.

Основные этапы алгоритма реализации Threat Intelligence ...........287

5.6.2.

Стандартный цикл процесса киберразведки TI ..............................290

5.6.3.

Коммерческие платформы Threat Intelligence ................................292

5.6.4.

Некоммерческие (Open source) Threat Intelligence Platform ...........300

5.7.

Методологические особенности отбора и подготовки специалистов

в области киберразведки и киберконтрразведки .......................................303

5.7.1.

Состояние и тенденции развития кибервойск ................................303

5.7.2.

Методология отбора и подготовки специалистов

для противостояния в киберпространстве

на примере израильского секретного подразделения 8200 ............307

5.7.2.1.

Подразделение 8200 – история создания,

функции и задачи ................................................................307

5.7.2.2.

Методология отбора и подготовки специалистов

для подразделения 8200 .......................................................309

5.7.2.3.

Стратегическое международное сотрудничество

с Израилем в сфере кибербезопасности .............................311

5.7.2.4.

Особенности израильских кибервойск ...............................312

5.7.3.

Отечественный специалист по киберразведке –

профессия будущего ........................................................................313

Глава 6. Особенности обеспечения кибербезопасности конечных точек

инфраструктурных систем .....................................................................................316

6.1.

Тенденции развития киберугроз, направленных на конечные точки

инфраструктурных систем.........................................................................316

6.2.

Тенденция роста бесфайловых (fileless) атак ...........................................320

6.3.

Рост ущерба от атак на конечные точки ..................................................321

6.4.

Мировой рынок EDR-решений ...............................................................322

6.5.

Основные платформы Endpoint Detection and Response..........................324

6.5.1.

Gartner ..............................................................................................324

6.5.2.

Платформы Forrester .......................................................................326

6.5.3.

Платформа The Radicati Group .......................................................328

Глава 7. Основные направления обеспечения кибербезопасности .....................331

7.1.

Базовые термины и определения кибербезопасности .............................332

7.2.

Редтайминг и блютайминг – «красные», «голубые» и другие

«разноцветные» команды ..........................................................................333

7.2.1.

Введение в проблему ........................................................................333

7.2.2.

Концепции и сценарии «цветного противостояния» .....................335

7.2.3.

Имитация целевых атак как оценка безопасности.

Киберучения в формате Red Teaming ..............................................339

7.3.

Охота за угрозами как «проактивный метод» киберзащиты ....................345

7.3.1.

Общая характеристика подхода TheatHunting ................................345

7.3.2.

Основные игроки на рынке Threat Hunting.....................................349

7.3.3.

Стандартные инструменты для организации проактивного

поиска ...............................................................................................351

7.4.

База знаний MITRE ATT&CK ..................................................................355

7.4.1.

Парадигма построения базы знаний ATT&CK.

Введение в проблему ........................................................................355

7.4.2.

Краткое описание проектов, использующих

MITRE ATT&CK ..............................................................................360

7.5.

SIEM как важный элемент в архитектуре киберзащиты ........................366

7.5.1.

Основные цели и задачи SIEM ........................................................366

7.5.2.

Корреляция как процесс сопоставления событий и логов .............368

7.5.3.

Дополнительные функции SIEM ....................................................372

7.5.4.

Сравнительный анализ характеристик наиболее популярных

SIEM-систем ....................................................................................375

7.5.4.1.

Методологические принципы сравнительного

анализа .................................................................................375

7.6.

Магический квадрант Gartner – что это такое? .......................................378

Глава 8. Концепции, стандарты и методы обеспечения кибербезопасности

критических инфраструктур ..................................................................................383

8.1.

Тенденции развития и особенности цифровизации

промышленных инфраструктур ................................................................383

8.1.1.

Особенности цифрового управления промышленными

инфраструктурами ...........................................................................383

8.1.2.

Основные угрозы безопасности цифрового производства .............386

8.1.3.

Эволюция парадигмы информационной безопасности

производства ....................................................................................388

8.1.4.

Основные уязвимости промышленных информационно-

коммуникационных систем.............................................................389

8.2.

Оценка рисков безопасности в энергетических системах .......................393

8.2.1.

Киберугрозы и промышленные информационно-

коммуникационные технологии .....................................................393

8.2.2.

Сбор и обработка информации .......................................................395

8.2.3.

Оценка рисков ..................................................................................395

8.2.4.

Принятие решений и реализация действий ....................................396

8.2.5.

Типовые сценарии процесса анализа рисков

для электроэнергетической системы ..............................................396

8.2.5.1.

Сбор и обработка информации ...........................................396

8.2.5.2.

Оценка рисков в электроэнергетической отрасли .............398

8.3.

Стандарты и методы обеспечения кибербезопасности

электроэнергетических инфраструктур ....................................................405

8.3.1.

Стандарты безопасности – общие критерии и подходы ................405

8.3.2.

Стандарты американского общества приборостроителей (ISA) ......410

8.3.3.

Стандарты международной организации

по стандартизации (ISO) .................................................................411

8.3.4.

Стандарты национального института стандартов

и технологий (NIST) ........................................................................413

8.3.4.1.

Специальные публикации NIST 800 ...................................413

8.3.4.2.

Руководство по обеспечению безопасности

промышленных систем управления (ICS)

(NIST 800-82) ......................................................................413

8.3.4.3.

Руководство по управлению рисками для ИТ-систем

(NIST 800-30) ......................................................................414

8.3.4.4.

Руководство по обработке инцидентов в сфере

компьютерной безопасности (NIST 800-61) .....................415

8.3.5.

Стандарты Североамериканской корпорации по надежности

электроснабжения (NERC) ............................................................416

8.3.6.

Подходы к обеспечению кибербезопасности в Англии ..................420

8.3.7.

Концептуальные подходы к обеспечению

кибербезопасности в Нидерландах .................................................425

8.3.7.1.

Национальный консультативный центр

по критическим инфраструктурам (NAVI) .........................425

8.3.7.2.

Стратегия национальной безопасности Нидерландов .......426

8.3.7.3.

Руководство по методике оценки национальных

рисков (NRA) .......................................................................427

8.4.

Концепции, методы и формы обеспечения защиты секретной

информации в критических инфраструктурах США ...............................431

8.4.1.

Общие принципы построения системы защиты секретной

информации .....................................................................................431

8.4.2.

Особенности организации процедуры допуска к секретной

информации руководителей организаций-подрядчиков ...............433

8.4.3.

Особенности проведения процедуры собеседования

с руководителями подрядчиков ......................................................434

8.4.4.

Процедура оформления допуска персонала к секретным

документам .......................................................................................435

8.4.5.

Срок действия допуска к секретной работе ....................................436

8.4.6.

Особенности организации процедур проверок (аудитов)

подрядчиков .....................................................................................436

8.4.7.

Особенности обучения правилам обеспечения режима

секретности ......................................................................................438

8.4.8.

Классификационное руководство CG-SS-3 ...................................438

8.4.9.

Особенности процедуры организации допуска

на секретный объект ........................................................................439

8.4.10.

Как и где обеспечивается доступ к секретной информации

(специальные зоны) ........................................................................440

Глава 9. Кибербезопасные микросхемы как аппаратная база

киберзащищенных АСУТП ...................................................................................444

9.1.

Термины и определения ............................................................................444

9.2.

От классической «пирамиды производственной безопасности»

к «пирамиде кибербезопасности» .............................................................445

9.3.

Основы проектирования кибербезопасной электронной

аппаратуры для АСУТП критических инфраструктур ............................450

9.3.1.

Введение в проблему ........................................................................450

9.3.2.

Анализ кибербезопасности этапов проектирования

современных микросхем .................................................................454

9.3.3.

Потенциальные агенты (организаторы) кибератак

с использованием аппаратных троянов в микросхемах ................460

9.3.4.

Основные методы проектирования кибербезопасной

электронной аппаратуры .................................................................461

9.4.

Использование опыта проектирования безопасного программного

обеспечения при проектировании кибербезопасных

микросхем ..................................................................................................463

9.4.1.

Основные различия между разработкой безопасных микросхем

и разработкой безопасных программ ..............................................463

9.4.2.

Особенности обеспечения жизненного цикла разработки

безопасного программного обеспечения ........................................464

9.4.3.

Основные методы безопасного проектирования микросхем

для ответственных применений ......................................................465

9.4.3.1.

Этапы безопасного проектирования микросхем ...............465

9.4.3.2.

Описание моделей угроз ......................................................466

9.4.3.3.

Прослеживаемость в микросхеме .......................................467

9.4.3.4.

Цикл обнаружения ..............................................................468

9.5.

Современные технологии контроля безопасности

в микроэлектронике ..................................................................................470

9.5.1.

Введение в проблему ........................................................................470

9.5.2.

Эволюция классической парадигмы проектирования

микросхем ответственного назначения ..........................................472

9.5.3.

Место и роль технологий контроля безопасности

в современной микроэлектронике ..................................................473

9.6.

Основные алгоритмы (пути) внедрения «зараженных» микросхем

в технические объекты вероятного противника .......................................476

Кто роет яму, сам упадет в нее, и кто
ставит сеть, сам будет уловлен ею.
(Книга Премудрости Иисуса,
сына Сирахова. XXVII, 29)
«На самом деле, цель энциклопедии –
собрать знания, рассеянные по свету,
привести их в систему, понятную для
людей ныне живущих, и передать тем,
кто придет после нас, с тем, чтобы
труд предшествующих веков не стал
бесполезным для веков последующих,
и чтобы наши потомки, обогащенные
знаниями, стали добрее и счастливее,
и чтобы мы не канули в вечность,
не сумев послужить грядущим по-
колениям…»
Дени Дидро

Предисловие
Кибербезопасность играет фундаментальную роль в жизни современного инфор-
мационного общества, в котором большинство работающих занято производством,
хранением, обработкой и реализацией различной информации.
Эта книга предназначена для широкого круга читателей – от «начинающих» и
пользователей «среднего уровня» подготовки до «продвинутых» пользователей –
специалистов по кибербезопасности крупных корпораций и промышленных
инфраструктур.
Поэтому материалы всех 9 глав этой книги построены по принципу «от про-
стого к сложному».
Знания, которые вы получите из этой книги, помогут вам повысить безопас-
ность работы в интернете, повысить безопасность домашних и офисных устройств,
изучить и применять в своей практической деятельности наиболее эффективные
и опробованные на практике политики безопасности.
В общем случае под кибербезопасностью сегодня понимают совокупность различ-
ных концепций, доктрин, стратегий, методов и средств защиты от атак злоумыш-
ленников (хакеров) на компьютеры, серверы, информационные системы, сети передач
данных, мобильные устройства и т.д.
Очевидно, что прежде чем изучать эти стратегии, методы и средства кибер-
безопасности, необходимо хорошо представлять, от каких явлений и угроз надо
защищаться (киберпреступность, кибертерроризм, кибершпионаж, киберразвед-
ка), надо хорошо знать основные концепции и методы применения современного
кибероружия, надо знать все типовые уязвимости в системах киберзащиты, через
которые проникают компьютерные вирусы, программные и аппаратные трояны, а
также типовые и перспективные средства защиты от них – антивирусные програм-
мы, средства проактивной антивирусной защиты, перспективные кибериммунные
и киберфизические операционные системы, методы и средства киберразведки и
киберконтрразведки, методы и средства обеспечения кибербезопасности конечных
точек (оконечных устройств) и многое другое.
В свою очередь сегодня активно развиваются многочисленные направления обе-
спечения безопасности как самих сетей, так и различных приложений. Например, под
безопасностью сетей понимают действия по защите компьютерных сетей от различных
угроз (целевых атак, вредоносных программ и т.д.). Под безопасностью приложений
понимают методы, программные и аппаратные средства защиты от угроз, которые
злоумышленники могут «спрятать» в различных прикладных программах. Ведь такое
«заряженное» приложение может открыть злоумышленнику доступ к данным, кото-
рые это приложение по определению должны защищать от несанкционированного
доступа. Поэтому безопасность таких приложений должна обеспечиваться еще на
стадии разработки, до появления приложения в открытых источниках.
То же самое можно сказать и о «безопасности информации» – обеспечении
целостности и конфиденциальности данных как в процессе их передачи, так и во
время их хранения.
К вопросам кибербезопасности также относятся и методы аварийного восста-
новления – оперативное автоматические реагирование систем защиты на любые
инциденты (действия злоумышленников), которые могут нарушить работу системы
или привести к утечке или потере данных.
Еще одно относительно новое направление кибербезопасности – кибербе-
зопасность оконечных устройств – обеспечение безопасности разных устройств
(планшеты, ноутбуки, мобильные телефоны, рабочие станции), находящихся
в оконечных точках корпоративных и промышленных сетей.
Особое место в проблеме обеспечения кибербезопасности занимают стандарты
кибербезопасности. Это вообще особая тема – мало того что на момент выхода этой
книги существует великое множество различных международных стандартов, так
еще практически у каждой страны (государства) имеются свои собственные много-
страничные стандарты, определяющие типовые процедуры и сценарии сбора и
обработки информации, оценки рисков, типовых решений и действий.
На темы кибероружия и кибербезопасности уже написаны тысячи статей и сотни
книг, этим темам посвящены многочисленные ежегодные конференции, форумы
и симпозиумы. Однако большинство этих книг посвящено исследованиям только
отдельных направлений и механизмов обеспечения кибербезопасности.
Сложившуюся в этой области информационную ситуацию можно кратко оха-
рактеризовать известной русской пословицей «За деревьями леса не видно» – в этом
«информационном лесу» сегодня сложно ориентироваться не только «начинающим»
и «продвинутым» специалистам, но даже профессионалам.
Поэтому в предлагаемой вниманию читателей книге предпринята амбициозная
попытка систематизации основных наиболее известных из Интернета сведений
и опубликованной ранее самими авторами научно-технической литературы опи-
саний и создания описания по возможности наиболее полной картины такого
информационного «леса» (основ кибербезопасности), состоящего из описаний
отдельных «деревьев» (концепций, методов и средств как организации атак, так и
противодействия им).
Образно говоря, все нам известные популярные книги по этой тематике посвя-
щены детальному великолепному описанию только отдельных «деревьев» или их
групп (опушки леса). Чтобы стать действительно компетентным специалистом в об-
ласти такой сложной науки, как «кибербезопасность», необходимо последовательно
изучать каждое из многочисленных «деревьев» и при этом «не заблудиться в лесу».
Современная кибербезопасность как новая отрасль науки стремительно разви-
вается (быстро вырастают все новые «деревья»). Например, еще 10 лет назад в работе
«Science of Cyber-Security» было предсказано, что эта область науки начнет активно
использовать теоретические положения теории игр, криптографии, машинного
интеллекта, обфускации, высокоуровневого компьютерного моделирования, что
сегодня мы видим уже на практике.
Так вот, наша книга является своего рода «путеводителем» в этом «информа-
ционном лесу», позволяя читателю самому легко выбирать именно те «деревья»,
которые его интересуют, и «в этом лесу не заблудиться».
Особое место в проблеме обеспечения кибербезопасности всегда занимало
«военное» направление, этот момент надо рассмотреть более детально.
Как известно, средством ведения любых боевых действий (войн) является
оружие, под которым обычно понимаются многообразные устройства, средства исистемы, применяемые для физического поражения (уничтожения) живой силы
противника или выведения из строя его техники, сооружений и коммуникаций.
Образно говоря, оружие – это специальные средства для борьбы с кем-нибудь или
чем-нибудь для достижения поставленных целей.
История создания и развития оружия неразрывно связана с историей раз-
вития человечества. Возможно, это звучит странно, но на всех этапах эволюции
оружия (от меча, лука до космической ракеты) именно развитие оружия являлось
катализатором (ускорителем) прогресса, стимулировало развитие новых техно-
логий, новых материалов, конструкторской мысли – так появилась металлургия,
различные технологии изготовления и обработки новых материалов, новые про-
фессии.
Сегодня существует великое множество типов, видов и разновидностей со-
временного оружия: обычное, высокоточное, химическое, атомное, космическое,
лазерное, СВЧ-оружие, гиперзвуковое и т.д. Однако наряду с огромными «пора-
жающими» возможностями, все без исключения виды и типы этого современного
оружия обладают и весьма существенными недостатками и ограничениями, в по-
пытках устранить которые военные и ученые прилагают значительные интеллек-
туальные усилия и на что ежегодно тратятся огромные финансовые ресурсы всех
индустриально развитых стран мира.
Сами военные, руководители правительств, здравомыслящие политики всех
стран мира хорошо понимают, что использование «на практике» как этих «обыч-
ных» типов оружия, так и разрабатываемых в закрытых институтах различных
«экзотических» типов (климатическое, сейсмическое, плазменное) в некотором
смысле равносильно «самоубийству» для применившей его стороны. Кибер-
нетическое (кибероружие, информационно-техническое) оружие с этой точки
зрения является почти «идеальным» оружием, поскольку лишено большинства
этих недостатков и ограничений и обладает новыми поистине огромными воз-
можностями.
Но военные также хорошо понимают и тот факт, что использование компо-
нентов кибероружия в современных локальных конфликтах и «сетецентрических»
войнах (не путать с «сетевыми войнами») в принципе может обеспечить тот же
результат, что и классические виды оружия, но при этом потребуется несоизмеримо
меньше затрат материальных и людских ресурсов без риска получить от противника
ответный «удар возмездия».
Базисом (технологической платформой) современного кибероружия являются
многочисленные вирусы, черви, программные и аппаратные трояны, шпионские
программы, использующие различные уязвимости в системах киберзащиты (уяз-
вимости в микросхемах, криптографических алгоритмах, стандартах, протоколах,
уязвимости программного обеспечения и т.д.).
Вирусы, черви, программные и аппаратные трояны представляют угрозу прак-
тически для всех базовых объектов инфраструктуры современного государства,
но прежде всего – для информационных систем обеспечения национальной без-
опасности, банковских и финансовых структур, систем управления вооружением
и военной техникой, навигации и связи, транспортной инфраструктуры и осо-
бенно – для объектов топливно-энергетического комплекса (атомные, тепловые
и гидростанции, нефте- и газоперерабатывающие заводы, системы управления
нефте- и газопроводами).
Например, внедренные «кем-то» в микросхемы, аппаратные и программные
трояны оказались способными творить невероятные вещи. Они могут выполнять
по команде своего «хозяина» самые различные несанкционированные и скры-
тые от разработчика аппаратуры функции – передавать своему «хозяину» любую
информацию, изменять режимы функционирования, электрические режимы
работы микросхемы (вплоть до ее частичного или полного отказа). Попадая на
платы электронных блоков радиоэлектронной аппаратуры, компьютеров, совре-
менных информационно-коммутационных устройств, систем энергообеспечения
мегаполисов, систем управления высокоточным оружием, систем обеспечения
безопасности атомных станций и т.п., такие «заряженные» микросхемы способны
не только организовать передачу «хозяину» любой секретной информации, но и
полностью «перехватывать» управление этими объектами, вплоть до приведения
их в неработоспособное состояние.
Интересно, что в исторической ретроспективе программные и аппаратные
трояны первыми начали использовать в своей «работе» национальные криминаль-
ные группы (мафиози, гангстеры, русские братки, якудза) для достижения своих
чисто криминальных целей без классического применения оружия (незаконные
банковские операции, сбор конфиденциальной информации, уничтожение улик
в базах данных и т.п.).
Спецслужбы Китая, США, Израиля и России, военные этих стран раньше
других оценили как уровень этой новой угрозы, так и поистине неограниченные
возможности данного направления, которое уже потом журналисты назвали ки-
бероружием. Так, в составе вооруженных сил практически всех индустриально
развитых стран появились специальные подразделения, которые сегодня называют
«кибервойсками».
На смену любителям, пишущим вирусы и троянские программы ради развлечений,
а потом и киберпреступникам, вымогающим или крадущим деньги, сегодня пришли
сообщества людей, воспринимающих современные информационные системы и ки-
берпространство в целом исключительно как «поле боя».
Ниже перечислены ключевые вопросы из области кибербезопасности, на ко-
торые читатель этой книги найдет развернутые ответы.
• Что такое киберпреступность и чем она отличается от кибертерроризма.
• «Взлеты» и «падения» самых известных хакеров.
• Этичные хакеры и хактивисты – мифы и реалии.
• Методы работы кибермошенников и способы защиты от них.
• Классификация, концепции, средства, методы и примеры применения со-
временного кибероружия.
• Как определить исполнителей и заказчиков кибератак?
• Основные уязвимости в современных системах киберзащиты – в программ-
ном обеспечении, криптографических алгоритмах (стандартах), криптогра-
фическом оборудовании, в бортовом оборудовании автомобилей, воздушных
судов и дронов.
• Наиболее опасные компьютерные, автомобильные и телефонные вирусы,
трояны и шпионские программы.
• Антивирусные программы, методы проактивной защиты, киберфизические
и кибериммунные операционные системы.
• SIEM как обязательный элемент в современной архитектуре киберзащиты.
• Что такое кибершпионаж, киберразведка и киберконтрразведка.
• Стратегическая киберразведка как способ управления рисками.
• Почему израильское секретное подразделение 8200 считается лучшим в мире
подразделением кибервойск?
• Особенности отбора и обучения специалистов для противостояния в кибер-
пространстве.
• Расследование кибератак как высокоприбыльный бизнес и инструмент по-
литической борьбы.
• Что такое «кибербезопасность конечных точек» и как ее обеспечить.
• Основные политики безопасности-концепции, стратегии и стандарты ки-
бербезопасности ведущих индустриально развитых стран – США, Англии,
Канады, Нидерландов, альянса НАТО.
• Что такое «ежегодные отчеты управления контрразведки США о киберугро-
зах» и зачем их нужно изучать.
• Как обеспечить кибербезопасность критических инфраструктур-энергетиче-
ских систем, нефте- и газопроводов, атомных и тепловых электростанций?
• А как обеспечить кибербезопасность микросхем, используемых в автомати-
зированных системах управления военной техникой и производственными
процессами?
На эти и многие другие актуальные вопросы вы найдете исчерпывающие ответы
в этой уникальной книге.
В книге также использовались отдельные материалы, опубликованные ранее
в России в двухтомной монографии (А.И. Белоус, В.А. Солодуха, С.В. Шведов.
Программные и аппаратные трояны. Способы внедрения и методы противо-
действия. Первая техническая энциклопедия), вышедшей в 2018 г.; А.И. Белоус,
В.А. Солодуха. Кибероружие и кибербезопасность. О сложных вещах простыми
словами. – Инфра-Инженерия, 2020; A. Belous, V. Saladukha. Viruses, Hardware and
Software Trojans – Attacks and Countermeasures; A. Belous, V. Saladukha. Handbook of
cybersecurity. 3 Books in 1.
При написании этой книги авторы руководствовались следующими прин-
ципами, которые было легко сформулировать, но затем очень сложно было их
реализовать на практике.
1. Инженерам-разработчикам информационных систем, специалистам по
информационной безопасности, студентам и их преподавателям всегда необ-
ходимо иметь «под рукой» некий систематизированный сборник справочных
материалов по проблемам кибероружия и методам защиты от киберугроз.
2. Чтобы стать достаточно популярным изданием среди широкого круга специ-
алистов по кибербезопасности, ученых, инженеров и студентов, эта книга
должна выполнять одновременно интегральные функции и классического
учебника, и краткого справочника, да и просто увлекательной книги.
3. Представляя большой объем необходимой справочной информации, в от-
личие от классических учебников с изобилием математических выражений
и физических формул, попытаться максимально простым языком изложить
как основные теоретические аспекты проблемы кибероружия, так и основ-
ные практические моменты организации противодействия основным видам
киберугроз. В книгу должны включаться только те методы, технические и
технологические решения, эффективность которых ранее была подтверждена
практикой их применения.
4. В тексте необходимо использовать максимально возможное количество
графического материала, отражающего эффективность различных рабочих
сценариев.
Насколько удалось авторам реализовать эти принципы – судить читателю.
Авторы выражают благодарность рецензентам – академику НАН Беларуси и
иностранному избранному члену Академии Наук Российской Федерации Лабу-
нову В.А., профессору кафедры защиты информации БГУИР Лынькову Л.М., чьи
критические замечания и полезные советы во многом способствовали появлению
книги именно в этом формате, а также Антипенко О.А. за помощь в обработке
материалов и подготовке рукописи к печати.

Введение
Материалы книги представлены в виде 9 глав, которые в зависимости от сферы
интересов читателя и уровня его подготовки можно читать в произвольном порядке.
Глава 1 посвящена рассмотрению основных проблем, непосредственно связан-
ных с киберпреступностью и кибертерроризмом. Здесь приведена краткая история
кибертерроризма, приведены основные термины и определения, рассмотрены
основные способы реализации кибертерактов, основные направления развития и
особенности кибертерроризма как формы гибридной войны, взаимосвязь кибер-
терроризма и политического терроризма.
Здесь же рассмотрена и категория «киберпреступность» – приведена классифи-
кация типов киберпреступлений, принятая Конвенцией Совета Европы, рассмотре-
ны основные виды киберпреступлений и классификация арсенала используемого
киберпреступниками кибероружия, а также основные стандарты кибербезопасности
в этой области. В качестве одного из примеров построения эффективных систем
кибербезопасности здесь кратко рассмотрены особенности организации структуры
и принцип функционирования систем киберзащиты НАТО. Приведен с авторскими
комментариями детализированный алгоритм организации типовой кибератаки.
Завершает главу раздел, посвященный «тонкостям профессий» заливщиков,
ботоводов, рефоводов и прочих разновидностей кибермошенников – основные
методы, способы и средства их детальности, а также практические рекомендации –
как обычному пользователю Интернета защититься от этих и ряда других подобных
«профессионалов».
Во второй главе детально рассмотрены концепции, средства, методы и примеры
применения кибероружия, приведены научные обоснования, определения (терми-
ны) и классификация кибероружия и видов его воздействия на атакуемые объекты.
Здесь кибервоздействия классифицированы по следующим категориям: по
виду (одиночные и групповые), по типу (пассивные и активные), по характеру
поражающих свойств (высокочастотные и комплексные), по цели использования
(атакующие, оборонительные и обеспечивающие), по способу реализации (алго-
ритмические, программные, аппаратные, физические).
Рассмотрены и особенности многочисленных разновидностей каждого из
вышеуказанных типов. Например, анализируются такие типы атакующих кибер-
воздействий, как «нарушение конфиденциальности информации», «нарушение
целостности информации», «нарушение доступности информации», психологи-
ческие воздействия. Из оборонительных разновидностей кибервоздействий рас-
сматриваются «выявляющие», «противодействующие», «отвлекающие на ложные
информационные ресурсы» и т.д.
Третья глава посвящена исследованиям основных наиболее известных типов
уязвимостей в системах киберзащиты и по своему содержанию пока не имеет ана-
логов в мировой и отечественной литературе по проблемам кибербезопасности.
Здесь рассмотрены основные типы всех известных уязвимостей в микросхемах,
в криптографических алгоритмах и криптографических стандартах, в криптогра-
фическом оборудовании, в программном обеспечении информационных систем,
а также опасные уязвимости в бортовом оборудовании воздушных судов и современных робототехнических комплексов. Приведена классификация, термины и
механизмы функционирования уязвимостей современных систем информацион-
ной безопасности. Например, достаточно подробно рассмотрен механизм работы
опасной уязвимости типа «переполнение буфера».
Отдельный раздел главы посвящен новым угрозам – основным уязвимостям
в бортовых электронных системах управления мобильной техникой (легковые и
грузовые автомобили и электромобили, «беспилотные» транспортные средства).
Эта угроза называется «Hackoble» (уязвимости современных автомобилей для
кибератак).
Завершает главу раздел, посвященный наиболее эффективным методам вы-
явления вышерассмотренных программных уязвимостей (сертификационные ис-
пытания, тестирование безопасности кода и др.), здесь же рассмотрена современная
концепция Fiva-Level Problem – пути снижения уязвимостей критических систем.
В четвертой главе рассмотрены наиболее эффективные антивирусные про-
граммы, описаны основные компоненты построения стандартной антивирусной
защиты, основные требования к антивирусным программам, их основные техниче-
ские характеристики, классификация и принципы работы. Приведен краткий обзор
наиболее эффективных антивирусных программ, даны конкретные практические
рекомендации пользователям от разработчиков антивирусного программного
обеспечения. Отдельный раздел посвящен относительно новому направлению –
проактивной антивирусной защите – функции, возможности, методы примене-
ния. Особенности работы с этими защитными средствами продемонстрированы
на конкретных примерах (Behavior Control, Component Control, Removeble Media
Protection – защита переносных мультимедийных устройств, Soft-protection и др.).
Здесь же рассмотрены типовые потенциально опасные действия и процедуры
пользователей корпоративных информационных сетей.
В пятой главе рассматриваются основные проблемы кибершпионажа, киберраз-
ведки и киберконтрразведки: классификация, способы, объекты, основные источ-
ники угроз, цели, задачи и методы работы «профессионалов». В рамках отдельного
параграфа рассмотрены основные особенности применения методов стратегической
киберразведки как эффективного способа управления рисками. На основании пред-
ставленного материала сформулированы специфические требования к подготовке
нового поколения специалистов по информационной и кибербезопасности.
Рассмотрена организационная структура, основные функции, цели и задачи
главного управления киберконтрразведки США – мирового лидера в этом на-
правлении киберпротивостояния. Для корпоративных специалистов по кибербе-
зопасности могут представить практический интерес приведенные в этом разделе
типовые ежегодные отчеты главного управления о киберугрозах.
На конкретных примерах здесь также продемонстрирован тот факт, что рас-
следование кибератак сегодня превратилось как в высоко прибыльный бизнес, так
и в важный инструмент политической борьбы. Понятно, что решать задачи кибер-
разведки и тем более киберконтрразведки «вручную» уже становится невозможным
даже с помощью «талантливых личностей». Поэтому здесь детально рассмотрены
как коммерческие (приобретаемые за «большие деньги»), так и некоммерческие
(бесплатные open sourse) автоматизированные программно-аппаратные платформы: в частности – практические особенности автоматизации этих процессов с помощью
наиболее популярной в среде специалистов Threat Intelligence Platform: основные
этапы алгоритма реализации, стандартный цикл процесса контрразведки и др.
Шестая глава посвящена важным теоретическим и практическим особенностям
решения всегда актуальной задачи обеспечения кибербезопасности конечных точек
инфраструктурных систем. Конечные точки – рабочие станции, серверы, ноутбу-
ки и даже корпоративные мобильные телефоны сегодня для злоумышленников
в большинстве случаев являются достаточно простыми и популярными «точками
проникновения», что повышает значимость контроля за ними со стороны служб
кибербезопасности.
Остроту проблемы усугубляет тот очевидный для экспертов факт, что изо-
щренные целевые атаки все чаще применяют сочетание распространенных угроз,
уязвимостей нулевого дня, уникальных нестандартных схем вообще без исполь-
зования вредоносного программного обеспечения, «бесфайловых» методов и т.п.
Присутствующие сегодня в инфраструктурах большинства организаций
платформы защиты конечных точек EPP (Endpoint Protection Peatform) отлично
защищают от массовых, ранее известных угроз, но они не способны, например,
определить, что поступающие предупреждения могут быть составными частями
более сложной и опасной атаки, которая может повлечь за собой существенный
ущерб для организации.
Здесь в качестве примера будет рассмотрено одно из наиболее эффективных
«защитных» решений – это платформы типа EDR (Endpoint Detection and Response),
которые должны автоматически взаимосвязываться с предыдущим поколением EPP.
В этой главе более детально будут рассмотрены тенденции развития киберугроз,
направленных именно на конечные точки (в том числе бесфайловых filless-атак), а
также технические характеристики и особенности эксплуатации таких основных
платформ EDR-решений, как Gamet, Forresher, The Radicati Group.
Седьмая глава посвящена более детальному рассмотрению основных направле-
ний обеспечения кибербезопасности. Напомним, что наиболее часто используемое
общее определение кибербезопасности – это действия стратегического характера,
направленные на защиту информации и коммуникаций при помощи ряда пере-
довых инструментов, политик и процессов. Учитывая постоянно усложняющийся
ландшафт киберугроз, направления, концепции, методы также совершенствуются,
реагируя на изменение видов и характера возникающих все новых киберугроз.
Но если такое направление, как «пентест», достаточно широко освещается
в научно-технической печати и в социальных сетях (Codeby и др.), то, например,
редтаймингу и блютаймингу здесь уделяется гораздо меньше внимания, хотя методы
RedTeam и BlueTeam появились намного раньше пентеста. Еще древние китайские
императоры использовали такой метод: для того чтобы организовать наилучшую
защиту от противника, нужно разнообразными методами самим атаковать соб-
ственные войска, чтобы не только найти «слабые места» в обороне, которые затем
можно было бы защитить лучше, но и тренировать атакующие навыки своих воинов.
В начале главы приведены базовые определения основных терминов кибер-
безопасности, особенности организации редтайминга, блютайминга и других
«разноцветных» команд, концепции и сценарии «цветного» противостояния, особенности организации «киберучений» – имитации целевых атак как метода
оценки безопасности.
Подробно рассмотрено относительно новое и стремительно развивающееся
направление обеспечения кибербезопасности – «охота за угрозами» (Theat Huating)
как проактивный метод киберзащиты. Представлен анализ как концепции этого
метода, так и наиболее часто используемых программно-аппаратных инструментов.
Здесь же рассматривается и наиболее популярная у специалистов по кибер-
безопасности база знаний MITRE ATT&CK – парадигма построения, описания
типовых проектов, ее использующих.
Завершает главу раздел, посвященный SIEM как важному элементу в стан-
дартной архитектуре современной киберзащиты: цели, задачи основных и до-
полнительных функций, сравнительные характеристики наиболее популярных
SIEM. Особое внимание уделено корреляции как важному процессу сопоставления
событий и логов. Рассмотрены принципы построения и примеры «магического
квадранта» Gartnet.
Восьмая глава посвящена вопросам обеспечения кибербезопасности современ-
ных критических инфраструктур. Здесь детально рассмотрены основные тенденции
развития и особенности реализации на практике процессов цифровизации со-
временных промышленных инфраструктур, включая анализ причин и следствий
эволюции парадигмы информационной безопасности современного промышлен-
ного производства.
Основное внимание в этой главе уделено анализу основных угроз для электро-
энергетических структур, наиболее известным уязвимостям промышленных
информационно-коммуникационных систем, а также различным эффективным
методикам оценки рисков безопасности в таких электроэнергетических системах.
Детально рассматриваются конкретные типовые сценарии процессов анализа так
называемых рейтингов рисков для электроэнергетических систем, а также наиболее
эффективные международные стандарты и методы, направленные на уменьшение
величин их (рисков) численных значений.
Большая часть материалов этой главы посвящена описанию нормативно-тех-
нической базы обеспечения кибербезопасности энергетических структур ведущих
мировых индустриально развитых стран. В частности, здесь детально рассмотре-
ны стандарты авторитетного американского общества приборостроителей (ISA),
международной организации по стандартизации в области промышленной безопас-
ности (ISO), стандарты национального института стандартов и технологий (NIST),
специальные публикации NIST 800, руководство по обеспечению безопасности
промышленных систем управления (KS), руководство по управлению рисками
для информационно-телекоммуникационных систем (NIST 800-30), руководство
по обработке инцидентов в сфере компьютерной безопасности (NIST 800-61),
наиболее интересные стандарты Североамериканской корпорации по надежности
электроснабжения (NERC), а также – национальная стратегия по защите кибер-
пространства в США (DHS).
Заключительная девятая глава посвящена вопросам обеспечения безопасности
элементно-компонентной базы (ЭКБ), используемой в аппаратной части АСУТП
объектов топливно-энергетического комплекса (ТЭК).
Во вступительной части главы показаны причины эволюции классической
«пирамиды безопасности» от «пирамиды происшествий» Дюпона до «пирамиды
кибербезопасности», краеугольным камнем которой и является ЭКБ. Здесь также
приведена классификация, механизмы активации, способы внедрения аппаратных
троянов в микросхемы, приведены основные методы их выявления. Детально рас-
смотрены основные положения современной технологии обеспечения безопасности
каналов поставки ЭКБ для систем и объектов критических инфраструктур.
Правильная организация защиты секретной информации от несанкциониро-
ванного доступа – важный компонент кибербезопасности. Поэтому здесь в каче-
стве примера приведен краткий сравнительный анализ принципов и форм защиты
секретной информации в Министерствах энергетики и обороны США.
Таким образом, в систематизированных материалах девяти глав авторы попы-
тались представить читателям подробную информацию по достаточно широкому
кругу основных способов и путей обеспечения кибербезопасности как рядовых
пользователей, так и современных критических инфраструктур.
Однако необходимо учитывать тот очевидный факт, что на момент выхода этой
книги кибератаки становятся все более сложными, все более «скрытыми». То, что
называют в СМИ термином «киберпреступность», становится чрезвычайно при-
быльным бизнесом. Хотя среди киберзлоумышленников все еще можно встретить
немногих и любителей, сегодня в основном это профессионалы высшего уровня со
специализированной подготовкой и огромными финансовыми и материальными
ресурсами, которые они получают от определенных компаний или даже от государ-
ственных структур. Поэтому очень важно, чтобы противостоящие им специалисты
по кибербезопасности были хотя бы на одном уровне (а желательно – выше) с со-
временными киберпреступниками.
Авторы надеются, что предоставленные в этой книге обобщенные и система-
тизированные материалы позволят читателю более глубоко вникнуть в проблемы
кибербезопасности и использовать хотя бы часть из них в своей профессиональной
деятельности.

ГЛАВА 1. КИБЕРПРЕСТУПНОСТЬ И КИБЕРТЕРРОРИЗМ

Рассмотрены проблемы, связанные с киберпреступностью и кибертерроризмом.
Приведена краткая история кибертерроризма, основные термины и определения,
рассмотрены основные способы реализации кибертерактов, основные направления
развития, в том числе – особенности кибертерроризма как формы гибридной вой-
ны, взаимосвязь кибертерроризма и политического терроризма.
Здесь же рассмотрена и категория «киберпреступность» – приведена классифи-
кация типов киберпреступлений, принятая Конвенцией Совета Европы, рассмотре-
ны основные виды киберпреступлений и классификация арсенала используемого
киберпреступниками кибероружия, основные стандарты кибербезопасности в этой
области. Кратко проанализированы особенности организации структуры и функ-
ционирования систем киберзащиты НАТО, в том числе – перечислены основные
оперативные киберструктуры НАТО. Приведен с авторскими комментариями
детализированный алгоритм реализации типовой кибератаки.
Завершает главу раздел, посвященный «тонкостям профессий» заливщиков,
ботоводов, рефоводов и прочих разновидностей кибермошенников – основные
методы, способы и средства их детальности, а также рекомендации – как защититься
от этих «профессионалов». Приведены примеры такого явления, как «технический
симбиоз» киберпреступников и представителей государственных спецслужб.

1.1. Кибертерроризм
1.1.1. Кибертерроризм – определение, способы реализации
кибертерактов
В этом разделе, основываясь на работе [1], попробуем дать определения и общие
характеристики понятиям «киберпреступность» и «кибертерроризм», выделить
основные разновидности киберпреступлений и кибертерроризма, кратко описать
историю кибертерроризма и попытаться определить основные проблемы борьбы
с киберпреступностью и кибертерроризмом.
Развитие научно-технического прогресса, связанное с внедрением современных
информационных технологий, привело к появлению новых видов преступлений,
в частности, к незаконному вмешательству в работу электронно-вычислительных
машин, систем и компьютерных сетей, хищению, присвоению, вымогательству
компьютерной информации, опасным социальным явлениям, получившим рас-
пространенное название – «киберпреступность» и «кибертерроризм».
Кибертерроризм можно отнести к так называемым технологическим видам
терроризма. В отличие от традиционного, этот вид терроризма использует в тер-
рористических акциях новейшие достижения науки и техники в области компьютерных и информационных технологий, радиоэлектроники, генной инженерии,
иммунологии. (Б. Колин ввел этот термин в научный оборот в середине 1980-х гг.)
Основные способы, с помощью которых террористические группы используют
Интернет в своих целях:
1. Создание сайтов с подробной информацией о террористических движениях,
их целях и задачах, публикация на этих сайтах данных о времени встречи
людей, заинтересованных в поддержке террористов.
2. Размещение в Интернете сайтов террористической направленности, содер-
жащих информацию о взрывчатых веществах и взрывных устройствах, ядах,
отравляющих газах, а также инструкции по их самостоятельному изготовле-
нию. Только в русскоязычном Интернете десятки сайтов, на которых можно
легко найти подобные сведения.
3. Сбор денег для поддержки террористических и экстремистских движений.
4. Использование Интернета для обращения к массовой аудитории для сообще-
ния о будущих или уже спланированных действиях на страницах сайтов или
рассылка подобных сообщений по электронной почте.
5. Вымогательство денег у финансовых институтов (банков, корпораций)
с тем, чтобы те могли избежать актов кибертерроризма и не потерять свою
репутацию.
6. Использование Интернета для информационно-психологического воздействия
на гражданское население и властные структуры.
7. Вовлечение в террористическую деятельность ничего не подозревающих со-
участников – например, хакеров, которым неизвестно, к какой конечной
цели приведут их действия.
8. Использование возможностей электронной почты или электронных досок
объявлений для отправки зашифрованных сообщений сообщникам.
Интернет – это прежде всего место распространения идей, вербовки новых членов и
инструмент коммуникации. Реально за время существования термина «кибертер-
роризм», а он существует с 80-х годов прошлого века, мир не увидел ни одного
достаточно серьезного кибертеракта. .
Основная причина этого, по мнению экспертов, – низкий уровень «компью-
терной» квалификации специалистов, которыми располагают террористические
организации. Им намного проще собрать какую-нибудь бомбу (взрывное устрой-
ство) и взорвать, например, с ее помощью самолет, чем взломать электронную
систему безопасности этого самолета и устроить авиакатастрофу. Да, ими были
взломаны некоторые сайты, например – сайт полиции города Принс-Альберт
(Канада).
Однако отсутствие совершенных крупных кибертерактов совсем не означает от-
сутствие подобного риска. Представитель Министерства внутренней безопасности
США на одной из ежегодных специализированных конференций CyberSat рассказал
об успешной реальной атаке на самолет Boeing 757. И это был не лабораторный опыт,
это был самый обычный аэропорт и самый настоящий самолет. А трагедия не про-
изошла лишь потому, что «взломом» занимались эксперты в области безопасности,
а не кибертеррористы.
Данная атака не позволяла угнать самолет и управлять им, хотя и это вполне ре-
ально при условии высокой квалификации хакеров. Но она позволяет организовать
реальную авиакатастрофу при взлете самолета. Это, к сожалению, не шутки и не «те-
оретические размышления». Помимо самолета, целью может стать ваш автомобиль.
Да, мы уверенно идем к эпохе полного автопилота: современные автомобили могут
брать на себя функции управления в помощь водителю. И к сожалению, их можно
взломать, как было показано в нашей книге (Белоус А.И., Солодуха В.А. Кибер-
оружие и кибербезопасность. О сложных вещах простыми словами. – М., Вологда:
Инфра-Инженерия, 2020) – в этой книге мы показали как минимум 12 возможных
направлений кибератак на бортовые системы управления – от систем управления
тормозами и рулевым устройством до электронной системы управления двигателем.
К сожалению, взломы автомобилей – это реальность, и не надо думать, что
данная опасность угрожает только самым последним моделям автомобилей вроде
Tesla. Конкретный пример – в 2015 году под отзыв попали 1,4 миллиона автомо-
билей марок Jeep, Dodge, Chrysler и Ram. Этот отзыв был вызван обнаруженной
«белыми хакерами» уязвимостью в «штатной» мультимедийной системе Uconnect,
эксплуатируя которую, злоумышленники получали реальную возможность дис-
танционно управлять автомобилем. Специалисты по кибербезопасности из Uber
Advanced Technology демонстративно «взломали» Jeep Cherokee 2014 года выпуска и
отправили его в кювет – на сайте [book.cyberyozh.com/ru/kibervojna-kiberdiversii-ikiberterrorizm/]
читатели сами могут посмотреть видеодоказательство этого эпизода.
1.1.2. Краткая история кибертерроризма
• 1970-е – начало 1980-х гг. – зарождение кибертерроризма;
• 1983 г. – в США была арестована первая группа хакеров под названием «банда
414»;
• 1993 г. – в Лондоне в адрес целого ряда брокерских контор, банков и фирм
поступили требования выплатить по 10–12 млн ф. ст. отступных неким зло-
умышленникам;
• 1996 г. – представители террористической организации «Тигры освобождения
Тамил-Илама» провели сетевую атаку, направленную против дипломатиче-
ских представительств Шри-Ланки;
• сентябрь 1997 г. – в результате действий неустановленного хакера была пре-
рвана передача медицинских данных между наземной станцией НАСА и
космическим кораблем «Атлантис»;
• январь 1999 г. – появление в Интернете первого вируса под названием
«Хеппи-99»; • 1 мая 2000 г. – из пригорода Манилы был запущен в Интернет компьютерный
вирус «Я тебя люблю»;
• август 1999 г. – была развернута широкомасштабная кампания компьютер-
ных атак Китая и Тайваня друг против друга. Кибертеррористы атаковали
порталы государственных учреждений, финансовых компаний, газет, уни-
верситетов;
• 11 сентября 2001 г. – террористический акт против США (по версии спец-
служб США);
• 2004 г. – электронные ресурсы правительства Южной Кореи подверглись
массированной атаке – вирусом оказались заражены десятки компьютеров,
в частности министерства обороны Южной Кореи;
• с 2005 г. по настоящее время в мире ежегодно фиксируется миллионы компью-
терных нападений на информационные ресурсы органов государственной
власти, банков и крупных компаний.
1.1.3. Основные направления кибертерроризма
Рассмотрим наиболее уязвимые направления, по которым кибертеррористы наносят
(или могут нанести) удар. Так, современный виртуальный терроризм проявляется
в следующих направлениях:
• нанесение материального и экономического урона путем взлома системы
безопасности, нарушения работы или полного отключения средств комму-
никации, снабжения, общественного транспорта и военных объектов;
• оказание психологического воздействия на широкие массы населения с це-
лью дестабилизации ситуации и распространения хаоса;
• оказание психофизиологического воздействия на отдельные социальные
группы, а также людей, задействованных в информационной сфере;
• предоставление провокационной дезинформации с целью нарушения балан-
са сил на международной арене, разжигания военных, межнациональных и
религиозных конфликтов;
• агитация и пропаганда идей радикального и экстремистского толка, вербовка
новых членов в действующие террористические организации;
• дезинформация правоохранительных органов конкретного государства
о якобы заложенных на его территории взрывных устройствах, готовящихся
актах терроризма и т.п.;
• оказание воздействия на принятие решений органами власти путем угрозы
совершения террористического акта;
• раскрытие и угрозу опубликования (или опубликование) закрытой инфор-
мации о функционировании информационной инфраструктуры государства,
общественно значимых и военных информационных систем, кодах шиф-
рования, принципах работы систем шифрования, успешном опыте ведения
информационного терроризма и др.
Рассмотрим подробнее основные из этих рисков (направлений). Работа совре-
менных логистических систем, средств жизнеобеспечения крупных городов, инфра-
структуры и коммуникации немыслима без сети Интернет. Эпоха механического
управления, основанного на ответственной работе конкретного человека, уходитв прошлое. Общество уже давно делегировало автоматизированным цифровым
электронным системам управления многие полномочия и лишь следит за качеством
их работы. Без сети Интернет и соответствующего программного обеспечения
современный урбанизированный мир просто немыслим. Упрощая свою жизнь,
активно внедряя цифровые технологии в повседневность, современный мир по-
рождает новые проблемы. И пока футурологи спорят относительно вопроса, сможет
ли в будущем искусственный разум победить человека и не приведет ли цифровая
революция к «восстанию машин», кибертеррористы уже сегодня стремятся пере-
хватить процесс управления.
Если обычный террорист для достижения своих целей использует стрелковое
оружие и взрывчатку, то террорист в сфере информационного пространства ис-
пользует для достижения своих целей современные информационные технологии,
компьютерные системы и сети, специальное программное обеспечение, предназ-
наченное для несанкционированного проникновения в компьютерные системы
и организации удаленной атаки на информационные ресурсы жертвы – в пер-
вую очередь компьютерные программные и аппаратные трояны и вирусы, в том
числе и сетевые, осуществляющие съем, модификацию или уничтожение инфор-
мации [2].
В наши дни наиболее уязвимыми точками инфраструктуры могут быть энерге-
тика, телекоммуникации, авиационные диспетчерские, финансовые электронные
и правительственные информационные системы, а также автоматизированные
системы управления войсками и оружием. Так, в атомной энергетике изменение
информации или блокирование информационных центров может повлечь за собой
ядерную катастрофу или прекращение подачи электроэнергии в города и на военные
объекты. Искажение информации или блокирование работы информационных
систем в финансовой сфере может стать следствием снижения экономических по-
казателей страны, а выход из строя, скажем, электронно-вычислительных систем
управления войсками и оружием приведет к непредсказуемым последствиям [3].
Атаки кибертеррористов могут быть направлены на основные объекты нацио-
нальной информационной инфраструктуры:
• оборудование, включая компьютеры, периферийное, коммуникационное,
теле-, видео- и аудиооборудование;
• программное обеспечение военных и гражданских объектов;
• сетевые стандарты и коды передачи данных.
Как показано в одной из глав нашей книги (Белоус А.И., Солодуха В.А. Кибер-
оружие и кибербезопасность. О сложных вещах простыми словами. – М., Вологда:
Инфра-Инженерия, 2020) наиболее опасными по масштабам разрушений могут
быть атаки на систему информационной защиты атомных электростанций.
Первой в истории кибератакой на АС, как мы отметили в цитируемой книге,
можно считать инцидент 1994 года на бывшей советской Игналинской атомной
электростанции. Тогда электронная вычислительная система «Титан», обслужива-
ющая эту станцию, совершила «ошибку», выдав неправильную команду роботам, за-
гружающим ядерное топливо в первый реактор станции. А неизвестные преступники
сообщили литовским властям, что АЭС будет взорвана, если обвиняемый по делу об
убийстве журналиста Б. Деканидзе будет приговорен к смертной казни. Тогда работа АЭС была остановлена, а руководство станции пригласило специальную шведскую
комиссию для расследования. Компьютеры электростанции изучались три месяца
при помощи экстренно разработанных специальных программ-ловушек (наверное,
их можно считать первыми программными средствами киберзащиты). В результате
чего выяснилось, что штатный программист станции записал в неиспользуемые
ячейки памяти системы некий «паразитный код», как назвали зловредную про-
грамму специалисты комиссии. Он перехватывал управление первым и вторым
реакторами станции и дожидался начала загрузки ядерного топлива. После этого
менялись параметры скорости ввода урановых стержней в активную зону, что ре-
ально могло привести к неконтролируемой ядерной реакции.
Проблема «ядерного терроризма» в странах Запада была осознана еще в 1970-х го-
дах. К настоящему времени в этих странах уже сложилась эффективная, эшелони-
рованная система защиты ядерных объектов и материалов, накоплен значительный
опыт борьбы с терроризмом, в том числе и в сфере информационной безопасно-
сти [4]. В России, где до начала 1990-х годов проявления терроризма практически
отсутствовали, работы в этом направлении начались сравнительно недавно, однако
уровень защиты наших атомных объектов остается одним из лучших в мире, чего
нельзя сказать про многие другие страны, владеющие технологиями мирного ато-
ма. Так, по данным Центра Управления Безопасностью (SOC) для Комиссии по
ядерному регулированию США только за 2013 и 2014 годы было зафиксировано
увеличение на 18% случаев, связанных с кибератаками на атомные электростанции,
что на 9,7% больше зарегистрированных аналогичных угроз в других государствен-
ных учреждениях. Были выявлены следующие атаки: несанкционированный доступ
к компьютерной сети, инфицирование рабочих компьютеров вредоносным кодом,
попытка вмешательства в нормальную работу систем и другие. Согласно результа-
там другого исследования, проведенного Инициативой по сокращению ядерной
угрозы, по всему миру ситуация выглядит еще печальнее: 20 стран с мощными
ядерно-энергетическими системами уязвимы к кибератакам.
Из списка 47 стран, имеющих атомные объекты, только 13 странам можно
поставить высший балл по кибербезопасности, это такие страны, как: Австралия,
Беларусь, Болгария, Канада, Финляндия, Франция, Венгрия, Нидерланды, Россия,
Швейцария, Тайвань, Великобритания и США. 20 государств набрали низший балл,
как относительно киберворовства, так и киберсаботажа. Это такие государства, как
Алжир, Аргентина, Армения, Бангладеш, Бельгия, Бразилия, Чили, Китай, Египет,
Индонезия, Иран, Италия, Казахстан, Мексика, Марокко, Северная Корея, Перу,
Словакия, Испания и Узбекистан [5].
Новости о кибератаках на систему защиты атомных объектов появляются
в СМИ постоянно. Так, летом 2017 года телеканал ABC News сообщал о том, что
в США хакеры смогли получить доступ к компьютерной сети как минимум одной
американской атомной электростанции. Этот взлом затронул важные операционные
данные компьютерной системы. Хакерами были добыты сведения, касающиеся
бизнес-контактов и другой важной деловой информации. На первый взгляд, по-
теря деловой документации крупной компании не является страшным риском для
общества, однако следует понимать, что цепочка таких событий могла в конечном
итоге привести к куда более серьезным последствиям. Аналогичный случай произошел в декабре 2014 года в Южной Корее, когда
хакеры получили доступ к внутренней сети оператора Hydro and Nuclear Power
Co Ltd. Проникнуть в сеть удалось после рассылки сотрудникам компании более
5,9 тыс. зараженных писем. В дальнейшем злоумышленники требовали остановки
реакторов на АЭС «Кори» и «Вольсон», а также публиковали схемы, внутренние
инструкции и данные о сотрудниках [6].
Англичанин Н. Андерсон сумел взломать компьютерную систему Военно-мор-
ского флота США и выкрасть секретные пароли, в том числе и коды, используемые
при ядерных ударах. А Немец Х. Ландер сумел проникнуть в базу данных Пентагона
и получить доступ к 29 документам по ядерному оружию, в том числе, например,
к «плану армии США в области защиты от ядерного, химического и бактериоло-
гического оружия» [7]. Каким образом могут распорядиться такой информацией
террористы, можно только догадываться. Как и обычный терроризм, «кибернети-
ческая агрессия» в наши дни является одним из многих способов достижения своих
геополитических интересов.
Под удар кибертеррористов могут попадать и объекты коммуникации: линии
метрополитена, аэропорты, система водоснабжения в городах или система авто-
матизированного регулирования дорожного движения в крупных мегаполисах.
Даже временная приостановка работы перечисленных жизненно важных элементов
непременно приведет к социальной напряженности, панике и хаосу в обществе.
Такая атака позволяет проникать в систему, перехватывать управление или пода-
влять средства сетевого информационного обмена, осуществлять иные деструктив-
ные воздействия. Эффективность таких форм и методов кибертерроризма зависит
от особенностей информационной инфраструктуры и степени ее защищенности.
Такие атаки могут привести к уничтожению или активному подавлению линий
связи, неправильной адресации, искусственной перегрузке узлов коммутации и
многим другим последствиям. Теоретически подобные атаки могут быть нанесены
по работе метрополитена или энергетических систем и привести к их отключению
на неопределенное время. Можно только представить, к каким последствиям это
может привести во время максимальной нагрузки на эти объекты вкупе с соответ-
ствующими информационными вбросами в социальные сети.
Такие акции, направленные на дестабилизацию ситуации в стране, управляемые
дистанционно, намного безопаснее организовывать, чем с помощью взрывчатых
средств и привлечения смертников.
Однако говоря об угрозах кибертерроризма, необходимо понимать, что мощный
потенциал цифровых технологий активно используется не только радикальными
группировками, входящими в список запрещенных международных террори-
стических организаций, но и специальными подразделениями государственных
структур – членов «космического клуба». Например, возможность захвата систем
управления военными спутниками, наведения и запуска ракет или комплексами
противовоздушной обороны была убедительно продемонстрирована выводом из
строя систем противовоздушной обороны Ирака во время операции «Буря в пу-
стыне». Программные и аппаратные закладки, заложенные в комплексах противо-
воздушной обороны, стоявших на вооружении Ирака и купленных в основном в
Европе, по команде извне блокировали нормальную работу систем, в результатечего американские воздушные силы смогли практически беспрепятственно про-
никнуть в воздушное пространство этой страны.
Еще одной из распространенных целей кибертеррористов являются компьютер-
ные сети оборонных и космических структур. Так, например, широкую известность
в узких кругах специалистов получил инцидент с захватом одного из четырех воен-
ных спутников связи из серии Skynet-4D, принадлежащих Министерству обороны
Великобритании. По данным СМИ, в распоряжении некой интернациональной
хакерской группы еще в конце 1990-х годов находилось «совершенно секретное»
программное обеспечение, похищенное у Пентагона, которое позволяло управлять
целыми группами военных спутников [8], находящихся на орбите Земли.
Говоря об информационных атаках на гражданские, государственные или
военные объекты, необходимо понимать, что под видом кибертеррористов, рели-
гиозных фанатиков или неадекватных «талантливых личностей», логика действий
которых на первый взгляд не прогнозируема, могут скрываться «вполне вменяемые»
профессионалы специальных служб (киберподразделений) иностранных госу-
дарств. Используя закамуфлированные под терроризм кибератаки на иностранные
государства, можно достигать тех целей, которые просто немыслимы военными
методами, политики и дипломатии. Это может быть экономическое ослабление
конкурента, расшатывание политической стабильности, разжигание конфликтов
внутри суверенных государств или срывы важных международных договоренностей
путем вброса дезинформации. Фактически речь идет о комплексном воздействии на
противника различными средствами одновременно, который в современной военной
науке принято называть гибридной войной.