Киберстратегия США: переход к активным действиям приводит к созданию черного рынка кибервооружений

Версия для печати

В январе 2013-го года журнал World Affairs опубликовал статью “First Strike: US Cyber Warriors Seize the Offensive” за авторством Тома Гьелтена. Эта статья, очевидно, призвана продолжить серию публикаций по острой тематике кибервойн, которая освещалась этим же автором, начиная с 2010-го года. Большинство фактов, изложенных в опубликованной статье, не являются каким-то откровением для экспертов, работающих по данной теме. В то же время, данная публикация представляет интерес, поскольку в ней обозначается своего рода перелом, предопределенный рядом событий 2012-го года.

Напомним, в июле 2011-го года Киберкомандование США (US Cyber Command) опубликовало программный документ, стратегию операций в киберпространстве. Этот документ немедленно привлек пристальное внимание специалистов всего мира. Особо примечательны были высказанные в нем тезисы о возможности ответных действий с использованием всей доступной Вооруженным силам США мощи в ответ на агрессию в киберпространстве. В то же время в упомянутом документе были сделаны и успокаивающие заявления о том, что основной задачей Киберкомандования США является защита критической инфраструктуры Министерства обороны США. Таким образом, вновь созданное командование в опубликованной стратегии позиционировало себя как еще одно оборонительное агентство,  действующее в информационном поле. Формы агрессивных действий в киберпространстве и исследования в этой области умалчивались, хотя не представляло сомнений, что после объявления киберпространства новым измерением конфликта наряду с землей, морем, небом и космосом, наработки в сфере наступательных действий в этом пространстве должны были появиться в ближайшее время. Тем более, что прецеденты агрессий в информационном пространстве уже были созданы, и мы были свидетелями использования специально разработанного кибероружия в недавнем прошлом.

Автор публикации, выдержанной в популярном ключе, не мог не сослаться на уже, пожалуй, ставший притчей во языцех прецедент Stuxnet. В первой части статьи также цитируются фрагменты интервью с генералом Нортоном Шварцем, где туманно упоминается возможность разработки кибероружия, предназначенного для выведения из строя инфраструктуры ПВО противника. Специалисты хорошо осведомлены о существовании этого оружия: системы Suter, штатно состоящей на вооружении ВВС США и Израиля. В этой же части даются ссылки на высказывания американских военных, признающих использование средств ведения кибервойны  в операциях в Афганистане (вполне возможно, что здесь мы наблюдаем путаницу, и речь идет об использовании информационного оружия, поскольку существование ИТ-инфраструктуры у сил моджахедов в Афганистане вызывает серьезные сомнения). Далее автор высказывает уверенность в необходимости завоевания «киберпревосходства» в пространстве боя 21-го века, ссылаясь на существование «плана Х» DARPA, который и призван обеспечить это превосходство в будущем.

Здесь следует дать комментарий, подробнее осветив события, которых автор публикации лишь вскользь касается. Первые сообщения о том, что Министерство обороны США, а особенно командование ВВС США приступили к активному поиску путей разработки наступательных кибервооружений появились в открытых источниках летом 2012-го года. Перелом в стратегическом планировании, очевидно, произошел раньше, и должен быть связан с проходившей в конце марта 2012-го года конференцией CyberFutures, где, в частности, генералом Уильямом Шелтоном, представляющим командование ВКО США (Air Force Space Command) было сделано заявление о том, что «наши противники прощупывают все возможные способы входа в информационные сети, пытаясь обнаружить слабые места. Если мы не предпримем ответных действий, вновь создаваемые средства связи неизбежно станут таким слабым местом».

Казалось бы, это заявление всего лишь подчеркивает необходимость уделять пристальное внимание вопросам обеспечения безопасности информационных сетей. Но в итоговых материалах упомянутой конференции утверждается, что необходимость завоевания превосходства в киберпространстве аналогична необходимости завоевания превосходства в воздухе перед проведением наступательной операции. Как и в случае с завоеванием превосходства в воздухе, выполнение этой задачи требует глубокого подавления компьютерной инфраструктуры противника для того, чтобы обезопасить информационно-коммуникационные сети Вооруженных сил США от возможных атак. Иными словами, декларируется, что лучший способ обеспечить безопасность ИТ-инфраструктуры заключается в превентивной атаке инфраструктуры противника. Мы снова наблюдаем переход к концепции «мира за счет тотального превосходства в огневой мощи».

Летом 2012-го года представители ВВС США начали поиск специалистов по взлому ИТ-инфраструктуры вполне открыто. На конференции DEFCON, объединяющей неформальные сообщества хакеров и проходившей в августе 2012-го года, участники сообщали, что получили анонимные предложения о хорошо финансируемом сотрудничестве в решении задач активного поиска уязвимостей в современных ИТ-системах и способах их взлома. Некоторые из них напрямую связали эти предложения с ВВС США. Почти наверняка кто-то принял эти предложения.

Здесь следует дать короткое пояснение. Практически все известные случаи успешных кибератак проходили с использованием уязвимостей «нулевого дня». Этим термином именуются такие уязвимости, о которых неизвестно разработчикам атакуемой системы и компаниям, профессионально занимающихся информационной безопасностью. Использование подобных уязвимостей, как правило, является однократным. После зарегистрированной атаки специалисты прилагают все усилия к тому, чтобы ликвидировать выявленную уязвимость, и повторная успешная атака по той же схеме становится маловероятной.

Однако, в силу сложности эксплуатируемых ИТ-систем, невозможно точно оценить число таких уязвимостей. В ходе активных операций в киберпространстве накопленные знания по уязвимостям «нулевого дня» противника становятся прямым эквивалентом арсенала средств поражения. Принимая как данность то, что каждая из обнаруженных уязвимостей эксплуатируется в течение крайне ограниченных сроков, мы приходим к выводу о том, что количество обнаруженных уязвимостей хорошо соотносится с общим наступательным потенциалом в киберпространстве. Разнообразие используемых способов атаки и информация о возможных схемах атаки конкретных киберсистем предопределяют успех планируемой кибератаки.

Не секрет, что ведущие ИТ-компании содержат некоторый штат специалистов по поиску таких уязвимостей с тем, чтобы обнаруживать их быстрее, чем это сделают хакеры. В то же время целый ряд обнаруженных уязвимостей не устраняется (в силу, например, кажущейся их незначительности или трудоемкости устранения), а попросту замалчивается. Утечка информации об уже известных разработчикам уязвимостях становится причиной масштабных диверсий в киберпространстве многим чаще, чем это обычно афишируется. Но использование таких уязвимостей обычно кратковременное, поскольку даже если разработчики не могут устранить их полностью без нарушения или ограничения функциональности систем в целом, известны методы противостояния им путем ограничения в функциональности или эффективности работы. Соответствующие бюллетени регулярно рассылаются стратегическим клиентам и партнерам, в связи с чем их инфраструктура оказывается менее уязвимой. Обычные же пользователи чаще всего не только не интересуются этой информацией, но и не могут ей воспользоваться в силу недостаточной квалификации. Поэтому персональные компьютеры многим чаще становятся объектом атак с использованием хорошо известных уловок, представляя собой эффективную среду для первичного распространения вредоносного программного обеспечения.

Но ситуация резко изменяется к худшему, когда мы начинаем рассматривать сообщества хакеров. Многие из них используют информацию, содержащуюся в утечках от компаний разработчиков, но существуют довольно крупные группы, которые действительно ведут активный поиск уязвимостей «дня ноль». Эти сообщества характеризуются высокой информационной связностью, в результате чего информация об обнаруженных уязвимостях распространяется в сообществе довольно быстро. Нередко сам факт появления такой информации в открытых обсуждениях является поводом для компаний, специализирующихся в ИТ-безопасности начать разработку методов противодействия. Нередко такая информация вообще не всплывает, оставаясь «секретным оружием» одной из хакерских групп.

В статье «Возможные контуры конфликтов будущего» был сделан важный вывод о том, что «одновременно с осознанием необходимости вести боевые действия на виртуальном поле боя, государства создают это поле боя». Причем, на этом поле однозначное превосходство государств становится уже совсем неочевидным. В попытках вербовки специалистов для ведения таких виртуальных боевых действий на «открытом рынке» мы наблюдаем еще более опасную тенденцию: предпосылку к созданию черного рынка кибервооружений.

Следует отдавать себе отчет в том, что хакеры не отличаются высокой дисциплиной, часто преследуют цели удовлетворения собственного самолюбия и создали значимую субкультуру, обменивающуюся информацией о возможных способов атаки информационных систем сравнительно свободно. Таким образом, нельзя гарантировать, что кто-либо из них, некоторое время проработавший по заказу оборонного агентства, не решит поделиться полученной информацией об уязвимостях систем с «коллегами», либо выставить ее на продажу. Несомненно, найдутся и покупатели, и это не всегда будут представители стабильных режимов. Отсюда следует, что проявленная оборонными ведомствами США неразборчивость в поиске новых средств ведения кибервойны автоматически приближает эту кибервойну и делает ее потенциально более опасной.

Это уже не первый шаг в начинающейся гонке кибервооружений, и другие государства (в первую очередь Россия и Китай), очевидно, предпримут попытки наращивания собственного наступательного «киберпотенциала». Вполне вероятна ситуация, в которой США в недалеком будущем начнут преднамеренно скупать утекшую у них же информацию с тем, чтобы не допустить ее неконтролируемого распространения. Ресурсы для этого есть – запрошенный ВВС США бюджет для обеспечения превосходства в киберпространстве на 2013-й год составляет 4 миллиарда долларов. А первыми жертвами этой начинающейся гонки кибервооружений с создаваемым «черным рынком» станут простые пользователи, компьютеры которых окажутся не защищенными адекватно от изощренных и непрерывно совершенствующихся средств агрессии в киберпространстве. Впрочем, их традиционно будут использовать скорее как среду для распространения и обитания вредоносного программного обеспечения, создавая в киберпространстве виртуальные «арсеналы», чтобы проводить атаки с неожиданных направлений.

На этом фоне все большую обеспокоенность вызывает тот факт, что в отсутствие международно-правовой базы кибервооружения могут распространяться совершенно неконтролируемо. В течение 2011-2012 гг. правительство США намеренно избегало любых переговоров на эту тему, пытаясь создать непреодолимое превосходство в сфере разработок кибероружия и доктрин его применения над остальным миром. Формально, законодательство США запрещает экспорт «средств шифрования и программного обеспечения, которое предоставляет возможности проникновения в, атаки, отказа, нарушения функционирования или иным образом влияющего на нормальную работу ИТ-инфраструктуры и сетей связи». Очевидно, что в современном мире такое ограничение является абсолютно недостаточным для контроля распространения кибервооружений и совершенно никак не ограничивает их разработку. Более того, нет ответа на вопрос, какие практические способы контроля распространения кибервооружений (включая нелегальное распространение) могут быть использованы для выполнения положений упомянутого законодательства. В отличие от, скажем, ядерного оружия, для кибероружия (программного кода, информации) не существует таможенных ограничений, нет способов контроля экспорта с использованием глобальных сетей и нет эффективных средств даже распознавания вредоносного кода, в особенности тех самых уязвимостей «дня ноль». Поэтому даже в случае совершенствования законодательства мы окажемся в ситуации, когда оно окажется лишь благопожеланием на бумаге – средств претворения его в жизнь не существует, и едва ли формальные экспортные барьеры смогут ограничить распространение вредоносного кода.

В отсутствие технических средств контроля распространения кибероружия на фоне уже начавшейся гонки кибервооружений единственным способом хотя бы ограничить ее интенсивность становятся межгосударственные соглашения. Очевидно, что в современном мире такое соглашение не может быть двухсторонним, и к нему должны присоединиться хотя бы наиболее технологически развитые страны. Уже обмен информацией о разработанных образцах и взаимный контроль разработок группами экспертов позволит снизить напряженность, хотя и не сведет опасность распространения кибероружия к нулю. Это задача следующего этапа, которая потребует привлечения значительных средств и проведения НИОКР по способам выявления вредоносного кода и, не исключено, создания глобальной системы мониторинга (не глобальная не будет иметь смысла).

***

В октябре 2012-го года появились первые сведения о работах DARPA по «Плану Х». Объявленной целью этих работ является «создание революционных технологий для понимания, планирования и управления боевыми действиями в киберпространстве». Среди доступной информации о деталях реализуемого проекта содержатся упоминания о возможном картировании (включая тактические паттерны использования информационных систем армейскими подразделениями) доступного и ситуативного киберпространства, разработке способов контроля поражения информационной инфраструктуры, оценке перспектив разработки языка сценариев для кибератак и т.п. Эти заявления следует связывать с разработкой слабо избирательного кибероружия, практически применимого на поле боя в решении оперативно-тактических задач. Гонка кибервооружений, таким образом, за считанные годы перешагнула порог, отделяющий стратегическое использование (что подразумевает большую ответственность в принятии решений) от превращение в оружие поля боя. Проводя аналогию с эволюцией ядерного оружия, мы можем предсказать, что появление тактического кибероружия изменит способы ведения войны на много лет вперед. Как и в случае с ядерным оружием, где эффективные меры контроля и ограничений тактических вооружений так и не были разработаны, «обуздать» тактическое кибероружие будет многим сложнее, чем отдельные стратегические образцы. Гонка кибервооружений выходит на новый виток.

Никаких инициатив по ограничению и контролю распространения кибероружия в 2012-м году не было выдвинуто.

В.В. Каберник


Использованные материалы

First Strike: US Cyber Warriors Seize the Offensive – World Affairs January/February 2013 (http://www.worldaffairsjournal.org/article/first-strike-us-cyber-warrior...)

В.В. Каберник , Революция в военном деле и возможные контуры конфликтов будущего – Метаморфозы мировой политики, коллективная монография под ред. М.М. Лебедевой, стр. 148-179 – М.: МГИМО-Университет, 2012

В.В. Каберник , Кибервойна и кибероружие – Евразийская оборона, электронная публикация

  • Эксклюзив
  • Аналитика
  • Вооружения и военная техника
  • Кибер-войска
  • США