Бывший высокопоставленный чиновник Министерства обороны Эстонии рассказал британскому изданию The Register о войнах в киберпространстве.
Апрель 2007. Кибервойна в Эстонии
Перевод статьи публикует сайт InoSMI.ru
Министры и чиновники эстонского правительства, погруженные в обсуждение в разгар кризисного совещания, посвященного уличным беспорядкам в апреле 2007 года, изначально были сконфужены, когда пресс-секретарь правительства прерывал брифинг, чтобы заявить, что не может опубликовать в интернете правительственный пресс-релиз.
В первый момент все отреагировали в стиле «зачем вы беспокоите по этому поводу нас?», объясняет Лаури Алманн, бывший в то время несменяемым помощником министра обороны Эстонии. «Лишь когда он сказал: «Нет, вы не понимаете, мне кажется, мы находимся под кибератакой», кто-то обратил внимание», - говорит Алманн.
Получив в 1991 году независимость, Эстония, маленькая страна с населением в 1,3 миллиона жителей, граничащая с Россией и Балтийским морем, быстро разработала современную сетевую инфраструктуру для предоставления гражданам государственных и финансовых услуг. Страна полностью перескочила через тот этап развития банков, когда в ходу чеки, и сегодня подавляющее большинство ее граждан используют интернет-банкинг для оплаты счетов и других повседневных дел. Тем больше они пострадали, когда эти ресурсы резко перестали работать из-за атак.
Киберблиц
В апреле 2007 года кибератаке подверглись как правительственные, так и частные системы Эстонии. Это совпало с уличными беспорядками, сопровождавшими перенос памятников Второй мировой войны, поставленных в советскую эпоху. В ходе беспорядков происходили столкновения между этническими русскими, проживающими в стране, с этническими эстонцами и полицией страны.
DDoS-атаки, активизировавшиеся примерно через два дня после начала уличных протестов, оставили пользователей без доступа к важным правительственным, банковским и новостным сайтам. Недоступность правительственных и новостных сайтов была важна, так как она не позволяла правительству распространять информацию в момент кризиса. В Эстонии нет новостных бюро Би-би-си и Си-эн-эн, и здесь не привыкли получать новости по радио, если больше ничего не работает, как это принято, например, в Великобритании. Большинство эстонцев получает свои новости из интернета, так что кибератака лишила их доступа к информации.
За первой волной DDoS-атак с использованием «грубой силы» последовали более утонченные атаки, включавшие в себя порчу и захват сайтов. Например, на сайте одной политической партии появилось фальшивое извинение за перенос памятников.
В общем и целом атаки продлились около трех недель. «Могло быть гораздо хуже, - объяснил Алманн. – Мы думали, они могут продлиться до трех месяцев. С технической точки зрения, в атаках не было ничего особенного».
На линии огня
В ответ на кибератаки Эстония расширила ширину канала и организовала запасной хостинг для правительственных сайтов. Неудивительно, что процесс воссоздания материалов в разгар кибератаки оказался непростым. «Многие страны отказывались принять наши сайты, потому что, по их словам, это поставило бы их на линию огня», - рассказал Алманн.
Согласно гипотезам, распространившимся после атак, ставших знаковым событием в области компьютерной безопасности, их вдохновителем стала «российская блогосфера», а в атаках, вероятно, принимали хакеры, воспылавшие патриотическими чувствами.
Некоторые предположили, что российское правительство могло сыграть роль в поощрении этих атак, однако Кремль отрицает это обвинение. Министр иностранных дел Эстонии Урмас Паэт напрямую указал на Кремль, как на виновника атак.
Установление авторства
Алманн более осторожен. В ходе кибератак на Эстонию было использовано от одного до двух миллионов взломанных компьютеров, расположенных в 100 разных странах, включая Ватикан. Использование ботнетов, которые можно арендовать и анонимно оплатить в цифровом подполье, усложняет отслеживание реального источника нападения, а то и делает его невозможным.
Вместо того чтобы воспользоваться техническими взаимосвязями, чтобы найти источник атаки, рассмотрим политические и юридические взаимосвязи, которые также играют здесь роль.
Алманн сказал, что во время атак Эстонии помогли многие страны, но Россия стала важным исключением. «Россия не помогла нам остановить атаки. Многократные просьбы о помощи получали отказ, иногда на каких-то невразумительных правовых основаниях», - сказал он.
Например, между Эстонией и Россией заключено соглашение о расследовании трансграничных преступлений, которое подразумевает обмен информацией, а также выдачу подозреваемых, которые могут пересечь границу, чтобы избежать правосудия. «Запросы информации в рамках соглашения, которые мы подавали во время кибератаки, сталкивались с многократными отказами или их просто игнорировали. Этот отказ от сотрудничества дает нам политическую взаимосвязь, указывающую на авторство атак», - рассказал Алманн.
Бестолковые наводчики навели хакеров на порносайт
В связи с атакой был обвинен и осужден лишь один человек, этнический русский гражданин Эстонии. Двадцатилетнему Дмитрию Галушкевичу присудили штраф в 1200 долларов после того, как его признали виновным в атаках на Реформистскую партию эстонского премьер-министра Андрюса Ансипа.
«Он не был организатором, он лишь указывал на мишени на форумах», - объяснил Алманн, добавив, что в некоторых случаях атакующие получали неверные указания от своих наводчиков на местности.
Например, одна из атак отключила доступ к порносайту, вместо того, чтобы обрушить сайт эстонской службы госбезопасности.
Анализ атак, проведенный Эстонией, показал, что небольшие по масштабам пинг-атаки, проводившиеся для прощупывания мишеней, предваряли основные атаки, которые проходили поэтапно. Основная фаза атаки включала в себя добровольные политические ботнеты, в основном расположенные в России, которые, по словам Алманна, было «просто заблокировать», а также все более изощренные нападения, производившиеся со взломанных компьютеров по всему миру.
Атаки на Эстонию, первые в своем роде, подверглись тщательному изучению со стороны органов военного планирования. В 2008 году кибератаки на грузинские сайты и каналы связи сопровождали сухопутную войну между Россией и Грузией.
Эстония вместе с Польшей вмешались, чтобы предложить запасной хостинг для сайта грузинского правительства. По словам Алманна, этот процесс должен быть лучше организован. «Нам нужен общеевропейский хостинг для жизненно важных сайтов», - сказал он.
Правила боя
Алманн считает, что правила расследования кибератак должны быть установлены странами, подписывающими Конвенцию Совета Европы по киберпреступности. Россия, Китай и несколько других ключевых стран не подписали соглашение, в то время как некоторые страны Европы, включая Великобританию, подписали его, но не ратифицировали его положения.
Россию можно убедить подписать соглашение, если сделать это условием на переговорах по вступлению во Всемирную торговую организацию, предложил Алманн, добавив, что вопрос киберконфликтов должен быть внесен на повестку дня «большой восьмерки», в которую входят Россия и семь крупнейших экономик мира.
Некоторые наблюдатели говорят, что для войн в киберпространстве может потребоваться своя собственная Женевская конвенция, однако Алманн считает эту идею никудышной, несмотря на уверенность в том, что подобные войны – это реальность.
«С приложениями, подобными вирусу Stuxnet, атаки становятся все более изощренными, - сказал Алманн. – Существует по-настоящему серьезный потенциал».
«Однако запрет на использование кибероружия нереалистичен. Войны в киберпространстве уже начались, и этим занимаются все».
Нападение – лучшая форма атаки
Многие правительства говорят о том, чтобы увеличить потенциал своей киберобороны, но мало кто, по крайней мере, открыто говорит о кибернаступательных возможностях. Кибернаступательные возможности могут включать в себя нападение на определенные бот-сети взломанных компьютеров или нарушение работы коммуникационных каналов, используемых врагами для координации атак. Алманн считает, что большинство стран уже развивает свои кибернаступательные возможности. «Суверенным государствам нужны эти возможности. Это неизбежно», - сказал он.
Однако, по мнению Алманна, выработка правил, регулирующих использование подобного оружия, это нечто совсем другое.
«Женевская конвенция для войн в киберпространстве не сработает, - сказал он. – Я сам юрист, и я не представляю себе, что там можно написать. Все меняется и развивается так быстро, что ошибки неизбежны».
«Это не злободневный вопрос, и он не должен отвлекать наше внимание от исправления недостатков жизненно важных систем национальной инфраструктуры», - добавил он.
Подготовка к следующей войне в киберпространстве
Подготовка к киберобороне включает в себя проведение учений по кибербезопасности и подготовку того, что Алманн назвал «матрицей сотрудничества». По его словам, «лучше, когда много людей работают вместе, а решения можно делегировать, вместо того, чтобы иметь одного кибер-царя». Алманн добавил, что Эстония занимается организацией независимого киберподразделения в своем добровольном ополчении (в США ее аналогом является Национальная гвардия).
Россия же, напротив, похоже, использует для своих битв ополчение хакеров, по крайней мере, если верить слухам по поводу киберконфликтов в Эстонии и Грузии. Алманн говорит, что этот подход опасен.
«Предоставление современного аналога каперских грамот кибербарышникам, позволяющих им грабить и мародерствовать, когда они не работают на тебя, это опасная практика, - сказал он. – Преступники запросто могут выступить против тебя».
Но к чему именно готовятся киберзащитники? Анализ проблем обороны Великобритании определил в прошлом году, что кибератаки вкупе с международным терроризмом являются важнейшими угрозами, стоящими перед Соединенным Королевством, и Алманн согласен с такой оценкой.
Алманн утверждает, что в будущем у «каждого военного конфликта будет кибер-составляющая». «Существуют сложные сценарии нападения, но обычно вы никогда не хотите по-настоящему разрушить сети своих врагов, потому что тогда вы уничтожаете поле битвы. Вместо этого вы хотите создать ситуацию хаоса и дезинформации», - сказал он.
Войны в киберпространстве не будут ограничиваться конфликтами между государствами, и повстанческие киберконфликты более, чем возможны.
«Для любого человека с воображением в киберпространстве существует масса возможностей для нападения», - сказал Аллман.
Бывший высокопоставленный госслужащий, превратившийся в юриста и университетского лектора, рассказал нам, что «фишинг», шпионаж и более изощренные атаки, чем те, которым подверглась Эстония, входят в число угроз, которые могут исходить как от террористических групп вроде «Аль-Каиды», так и от поддерживаемых государством хакеров или разведывательных служб. «Никогда нельзя готовиться к последней войне», - заключил он.
Некоторые критикуют дебаты вокруг кибервойн за их зацикленность на сценариях в стиле голливудских фильмов, например, когда одинокие хакеры выводят из строя электросети. Однако Алманн считает, что мозговые штурмы по поводу кибербезопасности лучше всего проводить в открытой атмосфере, когда могут быть предложены даже «сумасшедшие идеи».
«Необходимо придумать самые плохие сценарии прежде, чем начинать обсуждать, насколько они реалистичны», - сказал Алманн.
Опытный юрист и дипломат, Алманн первым признает, что он не специалист-технолог. Чтобы услышать экспертную точку зрения о том, каковы реальные – а не вдохновленные Голливудом – угрозы, с которыми можно столкнуться в киберпространстве, мы обратились к Крису Вайсопэлу (или как он называл себя Weld Pond), бывшему члену бостонского коллектива хакеров L0pht, превратившемуся в основателя фирмы, занимающейся безопасностью приложений VeraCode. Члены этой группы дали показания Конгрессу США в мае 1998 года, заявив, что смогут отключить интернет за 30 минут, используя недостатки протокола BGP, который повсеместно использовался в то время международными телекоммуникационными сетями.
Хотя ту конкретную дыру уже давно заткнули, жизненно важные системы инфраструктуры по-прежнему незащищены от атак, заявил Вайсопэл. «Единственный безопасный метод – это полностью изолировать жизненно важные системы инфраструктуры от небезопасных сетей», - сказал он, добавив, что извлекаемые носители также являются большой угрозой с точки зрения утечки информации, как и проиллюстрировало дело WikiLeaks.
Вайсопэл согласился с Алманном в том, что большинство стран разрабатывают свои кибернаступательные возможности, даже если они и предпочитают об этом не говорить. «Аналоги подразделений спецназа создают инструменты [кибервойны]. Тем временем, страны учат солдат, являющихся аналогом пехоты, использовать эти инструменты», - сказал Вайсопэл, добавив, что, по его мнению, у любой страны с ядерным оружием должны иметься кибернаступательные возможности.
«Кибероружие может быть использовано для усиления эффекта других атак или для проведения кибер-саботажа, как это сделал червь Stuxnet. Чтобы вести кибервойну, требуется армия, потому что мишеней сотни».
В заключение он сказал, что у нападающих есть преимущество над киберстражами из-за «асимметричной» природы кибервойн.
«Обороне нужно затыкать все дыры в то время, как атакующим нужно найти лишь одну», - сказал он.