Шрифт:
Интервал:
Закладка:
Что, похоже на теорию заговора в стиле шапочек из фольги? Думаете, это опасные, но очень уж гипотетические атаки и они слишком сложны в реальной жизни? Так, оказывается, их уже проводили. И не против общедоступных компьютеров для голосования, а против кое-чего куда более защищенного: центрифуг для обогащения урана.
Как саботировать атомную программу другой страны ради развлечения и выгоды
В 2010 году был обнаружен вредоносный код, распространявшийся через неизвестные в то время уязвимости в Microsoft Windows, – сетевой червь Stuxnet. Примечательности ему придавала узконаправленность: он ничего не делал, пока не обнаруживал, что заразил промышленные контрольные системы Siemens, и это не совпадение, что именно их технологии использовались на установках обогащения урана в Иране. А еще Stuxnet был скрытным: он не только не вредил другому оборудованию в случае заражения, но и был запрограммирован на полное самоуничтожение 24 июня 2012 года. Но до этой даты, оказавшись на нужном оборудовании, Stuxnet совершил нечто по-настоящему изощренное: через неравные промежутки времени случайным образом менял параметры центрифуг. Он разгонял их так быстро, что они буквально разрывались во вращении на части, и одновременно делал так, чтобы компьютеры не показывали ошибок. Наверняка этот невидимый баг привел иранцев в ярость и бессилие: записи и датчики показывали, что все работает идеально, вот только иногда безо всяких причин очень дорогое оборудование саморазрушалось.
И судя по тому что нам известно, Stuxnet работал: иранские власти так и не признали причину но в 2009–2010 годах количество поломок и отказов на их фабриках по обогащению урана сильно превысило обычный уровень. Инспекторы ООН видели, как на обогатительном заводе в Нетензе остановили, разобрали и заменили около 2000 из 9000 центрифуг. Stuxnet контролировался через интернет (получал команды и обновления с особых серверов в Дании и Малайзии) и распространялся с помощью зараженных USB-флешек, подключавшихся к управлению центрифугой – или в любой компьютер под управлением Windows, подсоединенный к внутренней, якобы защищенной сети.
Компьютеры, которые контролировали обогащение урана в Иране, не были подключены к интернету по соображениям безопасности: иранские власти знали, так же как и вы теперь, что это ужасная идея, – а значит, именно с зараженной флешки вирус и попал на завод. И чтобы проникнуть на защищенный объект в Иране, не понадобились элитные супершпионы: наверняка виноват какой небрежный сотрудник, который эту флешку либо нашел, либо от кого-то получил и наверняка даже не знал, что делает[79].
Первые заражения Stuxnet произошли в пяти иранских компаниях, работавших в рамках атомной программы по контракту, и оттуда вирус мог расползтись от системы к системе, пока не добрался до цели.
Авторов этого червя так и не назвали публично, но считается, что это кибероружие создали спецслужбы США и Израиля, а затем намеренно применили его против атомной сферы Ирана, поскольку больше половины всех заражений случилось в Иране. Сложность и уровень проработки Stuxnet предполагают, что для его создания понадобилось больше 30 разработчиков и полгода работы, и последующий анализ «Лаборатории Касперского» показал, что «это единственная в своем роде, сложная вирусная атака, проведенная хорошо финансированной высокопрофессиональной командой с глубокими знаниями SCADA (программный пакет для диспетчерского управления и сбора данных) технологии обогащения урана. Мы уверены, что атаку такого рода можно провести только с ресурсами и поддержкой государственного масштаба».
Другими словами, кучка независимых государств решила, что в их интересах будет влезть в компьютеры другого независимого государства. И несмотря на то, что иранские компьютеры не были подключены к интернету, они все равно подверглись удаленной атаке через интернет, неотслеживаемым способом. За исключением передачи первоначальной USB-флешки в правильные руки в Иране, все остальные элементы атаки – разработка, руководство, наблюдение и обновление – производились из безопасного места в другой стране, так что между хакерами и их целью лежали тысячи километров. И за это даже никого не наказали! Мы знаем о Stuxnet только потому, что позже, до самоликвидации в 2012 году, червь заразил еще несколько компьютеров просто через интернет.
С другой стороны, а с чего кого-то наказывать? Разработчики находились за пределами юрисдикции Ирана, ни одна страна не взяла ответственность, а многие, скорее всего, даже благодарны разработчикам этого вируса. Акция саботажа, проведенная с помощью Stuxnet, дала время США и их союзникам и оказала давление на Иран, а еще могла быть одним из факторов, благодаря которым Иран пошел на ядерную сделку в 2015 году, согласившись уменьшить запасы урана и закрыть большую часть обогатительных фабрик в обмен на отмену международных санкций. Так что целенаправленный элитный взлом критически важных компьютеров, вмешательство в их работу из собственных интересов вопреки чужим – это не теория. Это уже случалось.
Все это приводит к одному выводу: компьютеры небезопасны, а значит, голосование с помощью компьютеров тоже небезопасно, потому что интернет позволяет вам влиять на машины с другого края мира. Единственный безопасный способ голосования с помощью компьютера – лично, когда бумажный бюллетень печатается на глазах избирателя, одобряется, а затем помещается в стоящую на виду урну для голосования, то есть материальный бюллетень, верифицированный избирателем. Тогда, если кто-то решит, что компьютеры взломаны (есть основания подозревать прибавку голосов) всегда остается бумажный след. Компьютер тут просто удобный прибор, а реальный голос, реальная власть по-прежнему у бумажного бюллетеня. Без бумажной копии публике только и остается, что доверять компьютеру.
И как вы теперь знаете, никто и никогда не должен доверять компьютеру.
Но, к счастью, большинство людей не знают о Stuxnet или об устройстве компиляторов, зато очень, очень хотят голосовать через компьютер! И поддерживая общественность в желании голосовать на выборах через компьютер, или интернет, или какое-нибудь стильное бесплатное приложение для смартфонов, стоя в очереди за кофе, вы облегчаете себе задачу подкосить или даже свергнуть правительство, не выходя из дома, секретной базы или государства-соперника.
А тогда не забудьте уж обо мне. Я вполне гожусь для какого угодно престижного поста в вашем кабинете.
СПЕЦИАЛЬНЫЙ ИНТЕРАКТИВНЫЙ СУПЕРГЕРОЙСКИЙ РАЗДЕЛ С ВОПРОСАМИ И ОТВЕТАМИ
– ПРОШУ ПРОЩЕНИЯ, НЕГОДЯЙ, НО Я – СУПЕРГЕРОЙ, МОЯ СУПЕРСИЛА – СКЕПТИЦИЗМ, И Я НЕ УБЕЖДЕН. У МЕНЯ ЕСТЬ ВОПРОСЫ.
Валяй!
– ЭТОТ ПЛАН МОЖЕТ ИСПОРТИТЬ СУПЕРДОТОШНЫЙ ЧЕЛОВЕК, ЕСЛИ ПОЛНОСТЬЮ ПРОТЕСТИРУЕТ СВОЙ СКОМПИЛИРОВАННЫЙ КОД И УБЕДИТСЯ, ЧТО ТОТ РАБОТАЕТ КАК ПОЛОЖЕНО. ШАХ И МАТ, ЗЛОДЕЙ.