Tautvydas Musteikis. Kibernetiniai parazitai jūsų automobiliui, namų įrangai ir širdies stimuliatoriui (0)
Kibernetinio saugumo ekspertas Jackas Barnaby 2011 metų spalį pademonstravo auditorijai triuką. Naudodamas anteną ir savo paties sukurtą programą iš 300 metrų atstumo perėmė diabetikų nešiojamos insulino pompos su radijo siųstuvu kontrolę ir nurodė jai suleisti visą rezervuare buvusį insuliną. Pacientui tai būtų mirtina dozė.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Kiek anksčiau, 2008 metais JAV Medicininių įtaisų saugumo centro tyrėjai pademonstravo, kaip nuotoliniu būdu galima perimti implantuojamo širdies defibriliatoriaus, paprastai kalbant, elektros šoko aparatėlio, valdymą, jį išjungti arba paleisti mirtiną elektros srovės impulsą.
Abiem atvejais tyrėjai pasinaudojo šių įtaisų radijo ryšiu, skirtu gydytojams prisijungti ir reguliuoti jų veikimą. Abiem atvejais įtaisų gamintojai saugumu susirūpino po demonstracijų. Laimei, iki tol nebuvo užfiksuota nė vienos panašios realios atakos.
Nepasirūpinama kibernetiniu saugumu
2020 metais pasaulyje bus 50 milijardų interneto protokolu bendraujančių įtaisų, kai pernai jų buvo tik milijardas. „Ericsson“ kompanijos teigimu, didžioji dalis šių 50 mlrd. bus integruotosios sistemos: nuo išmaniųjų televizorių, automobilių, skaitiklių, daviklių, valdiklių, iki sveikatos būklės jutiklių, širdies stimuliatorių, insulino pompų, elektros, komunalinių tinklų įtaisų.
Internetu jau dabar galima valdyti namų šildymą, signalizaciją, stebėjimo kameras. Medicininiai įtaisai stebi sveikatą ir praneša gydytojams apie jos organizmo būklės pokyčius, automobiliai galės bendrauti vienas su kitu pranešdami apie eismo sąlygas, elektros ir komunaliniai tinklai – įspėti apie gresiančius gedimus.
Tai būtų rojus technomanui, geras ir efektyvus verslas kompanijoms ir labai patogus, sveikesnis ir net saugesnis gyvenimas eiliniam žmogui, jeigu ne tamsioji pusė – kibernetinio pasaulio grėsmės, nužengiančios iš skaitmeninio dangaus į realiąją žemę.
Skirtingai nei programišių atakos prieš interneto portalus, kai kurios netinkamai apsaugotos įtinklintos integruotosios sistemos, sukurtos patogumui ir saugumui, piktadarių rankose gali pridaryti labai realios ir tiesioginės žalos, kelti grėsmę sveikatai ir gyvybei. Tam jau sukurtas ir terminas – kiberfizinės grėsmės.
„Paskutiniais metais atsiranda vis daugiau įvairios įrangos: nuo buitinės iki medicinos, kritinės infrastruktūros, kuri gali būti valdoma nuotoliniu būdu. Tačiau dažnai diegiant į šią įrangą prieigos galimybes, tinkamai nepasirūpinama saugumu“, – teigia informacinių sistemų saugumu užsiimančios bendrovės „Santa Monica Networks“ saugos ekspertas Arvydas Žvirblis.
Programuojamieji automobiliai
Anksčiau buvo juokaujama, kad jeigu automobiliai veiktų taip, kaip veikia „Windows“, tai jie kelis kartus per dieną sustotų ir užgestų be akivaizdžios priežasties.
Šiuolaikiniame automobilyje yra 30-50 elektroninių valdymo sistemų, o prabangiuose jų yra dar daugiau. Sistemos, kuriose darbą atlieka programinė įranga, valdo oro pagalvių išsiskleidimą, durų užraktus, sėdynių reguliavimą, užvedimo, akseleratoriaus mechanizmus, kuro padavimą, stabilumo bei stabdžių sistemas. Integruota GPS navigacija, kompiuterizuotos pramogų sistemos, „Bluetooth“ komunikacijos įranga jau nebestebina.
Nauji automobiliai gali būti atrakinami ar net užvedami mobiliuoju telefonu arba internetą. Tai naudoja 10 proc. Didžiosios Britanijos gyventojų, o iki 2015 metų norėtų naudoti 54 proc. Eksperimentuojama ir su išmaniaisiais automobiliais, kurie bendrautų su keliuose ir kituose automobiliuose esančiais davikliais, ar net važiuotų be vairuotojo.
Tačiau programose, kurias kuria žmonės, klaidos yra praktiškai neišvengiamos. Tyrimų bendrovė „Frost and Sullivan“ prognozuoja, kad programinių eilučių skaičius automobilio įrangoje išaugs nuo dabartinių 10 mln. iki 300 mln. per dešimtmetį. Vis dėlto, nuolat dėl klaidų pašiepiama „Microsoft“ komercines „Windows“ versijas nugludina taip, kad jose kiekvienam tūkstančiui programinių eilučių tenka 0,5 klaidos. NASA programinė įranga yra dar švaresnė – čia klaidų koeficientas siekia 0,1 klaidos tūkstančiui eilučių.
Jeigu automobilių gamintojai turėtų tokius programuotojus, kaip „Microsoft“, ir tendencijos nesikeis, ateities automobiliai į rinką išeis su 150 tūkst. programinių klaidų. Programinių klaidų rezultatai išlenda į viešumą ir šiandien – vis tenka išgirsti apie „užsikirtusius“ akceleratorius, neveikiančius stabdžius.
Klaidos yra ir potencialios spragos, kuriomis naudojasi įsilaužėliai, virusų programuotojai. Bėda, kaip teigia A.Žvirblis, kai programas su tinklo sąsajomis imasi kurti programuotojai, neturintys patirties šioje srityje. „Jie nežino, su kokiomis problemomis yra susiduriama, ir ką reikėtų daryti, kad būtų išvengta“, – aiškina jis. Patirties trūkumas – daugiau spragų.
Neseniai Kalifornijos ir Vašingtono universitetų tyrėjai pakartojo savo ankstesnį sėkmingą bandymą prieiti prie kritinių automobilio elektroninių sistemų naudojant savo sukurtą programą „CarShark“, tik šįkart tai padarė per be laidų – per „Bluetooth“ ryšį. O belaidžių ryšių ir išmaniųjų komponentų automobiliuose laukiama vis daugiau.
Atsiranda daugiau el. landų į namus
Realaus pasaulio pažeidžiamumą didina išmanioji buitinė technika. Ji, aprūpinta tinklo sąsajomis, vis labiau supanašėja su kompiuteriais, 2011 metais paskelbtoje išmaniosios buitinės technikos saugumo studijoje teigia Japonijos Informacinių technologijų skatinimo agentūra. Dėl to jai ima grėsti tos pačios kibernetinio saugumo grėsmės.
„Pavyzdžiui, tos pačios programinės technologijos gali veikti televizoriuje, mobiliajame telefone, kompiuteryje, spausdintuve, automobilio pramogų sistemoje, – sako A.Žvirblis. – Teoriškai svarstant, tas pats kibernetinis parazitas galėtų patekti į namų tinklą, tarkime, per televizorių, šiame naršant internetą, užkrėsti kompiuterį, vėliau persikelti į mobilųjį telefoną, o iš šio – į automobilį. Daugiaplatforminių virusų grėsmė pabrėžiama jau senokai“.
Be to, buitinė, pramoninė įranga, automobiliai yra naudojami ilgiau nei kompiuteriai. Tuo tarpu kompiuterinių sistemų saugumo spragų kamšymas, sistemos lopymas trunka gana ribotą laiką. „Microsoft“ išleistų operacinių sistemų saugumu žada rūpintis 10 metų nuo jų išleidimo datos, nors vidutinis kompiuterių gyvavimo ciklas dažniausiai laikomi 3-4 metai. Kartu su kompiuteriu neretai keičiama ir operacinė sistema.
Automobiliai, buitinė technika, išskyrus, galbūt, dabartinius televizorius, naudojami mažiausiai 10 metų. Vadinasi, saugumo palaikymas irgi turėtų būti atitinkamos trukmės. Tai, anot Japonijos IT skatinimo agentūros, yra iššūkis.
Atakos prieš elektros tinklus jau vyksta
Kibernetinės grėsmės yra labai realus pavojus kritinei infrastruktūrai, kaip elektros, vandens, nuotekų, šilumos tiekimo tinklai.
Kompiuterinės SCADA sistemos, valdančios pramoninius prietaisus, surenkančios duomenis, buvo projektuojamos kaip atskiros, uždaros, neprijungtos prie bendrųjų tinklų sistemos, o kartu ir nepritaikytos šiuolaikinio saugumo iššūkiams. Ilgainiui, siekiant sutaupyti, jose gamintojai ėmė naudoti vis daugiau standartinių technologijų – įrangos, programų, operacinių sistemų, kurios, iš esmės, yra tokios pačios, kurias naudoja namų, verslo vartotojai. Net ir kariškiai savo reikaluose naudoja įtaisus, įsigytus, kaip sakoma, nuo parduotuvės lentynos.
Tačiau kartu su efektyvumu, lankstumu prie kritinių sistemų priartėjo ir standartiniai pavojai – blokuojančiosios atakos (DDoS), kompiuteriniai virusai. Tai pripažįsta ir JAV Energetikos departamentas, taip teigia ir apklausose dalyvavę įvairių šalių komunalinių, energetikos įmonių atstovai.
JAV Aidaho Nacionalinės laboratorijos tyrėjai 2007 metais pademonstravo, jog jie gali įsibrauti nuotoliniu būdu į elektros generatoriaus valdymo sistemą ir išreguliuoti jo veikimą. Internete esančiame vaizdo įraše matyti, kaip generatorius ima drebėti, rūkti ir galų gale sustoja. Klaida, kuri leido tyrėjams prisijungti prie valdymo, buvo tąsyk tyliai ištaisyta.
„McAfee“ 2010 ir 2011 metais atliko kritinės infrastruktūros studijas, apklausdama kelis šimtus vadovų iš elektros tiekimo įmonių 14 šalių. Ir jeigu 2010 metais apie pusę respondentų atsakė, kad jie niekada nesusidūrė su didelio masto blokuojančiomis atakomis ar įsibrovimais į tinklus, tai 2011 metais apklausų statistika pasikeitė labai žymiai. 80 proc. apklaustų vadovų teigė, jog jų įmonės patyrė blokuojančias atakas, o 85 proc. – įsibrovimus į tinklus.
Dar daugiau – per 40 proc. šių vadovų prognozuoja, kad per 12 mėnesių sulauks didelės kibernetinės atakos, kuri sutrikdys paslaugų teikimą mažiausiai 24 valandoms, sužlugdys kompaniją arba dėl jos bus sužaloti, žus žmonės.
Tai, kad kibernetiniai pavojai yra realūs, pademonstravo ir 2010 metais pasklidęs „Stuxnet“ kompiuterinis kirminas, nusitaikęs į SCADA sistemas ir pritaikytas sugadinti įrangą.
Anot A. Žvirblio, virusai ir įsibrovėliai geba veikti nepastebimai. „Kadangi operatoriai įrangos veikimą stebi per tas pačias sistemas, kurias valdo piktadariškos rankos, informacija ekranuose yra tikslingai klaidinga – kad inžinieriai manytų, jog įranga veikia įprastai. Slapta veikiantys virusai kompiuterių pasaulyje žinomi jau 20 metų“, – teigia jis.
Problema gali išaugti sulig pažanga
Vis dėlto, diegiant pažangias sistemas, kartu auga ir svarbių tinklų saugumo problema. Jau projektuojami išmanieji elektros tinklai, kuriuose bus daugiau „protingų“ daviklių ir valdiklių, galinčių nuotoliniu būdu stebėti vartojimą ir dinamiškai, priklausomai nuo elektros paklausos, kainos, reguliuoti elektros tiekimą gyventojams ar net atskiriems įrenginiams jų namuose.
„Jeigu tokiuose tinkle nebus tinkamai pasirūpinta IT saugumu, tai būtų gardus kąsnelis piktadariams, kurie galėtų išpūsti sąskaitas už elektrą, išjungti įrenginius ar juos sugadinti“, – teigia „Santa Monica Networks“ saugos ekspertas.
Jo nuogąstavimus patvirtina „McAfee“ studija, kurioje teigiama, jog daugiau nei pusė elektros skirstymo įmonių, planuojančių išmaniuosius tinklus, vadovų ketina naudoti internetą prijungti savo vartotojams.
Tuo tarpu saugumas, anot Jimo Woolsey, buvusio CŽV vadovo ir prieš keletą metų vadovavusio grupei ekspertų, rengusių ataskaitą Gynybos departamentui apie elektros tinklų pažeidžiamumą, nėra išmaniųjų tinklų architektų prioritetas: „90-95 procentai žmonių, dirbančių prie išmaniųjų tinklų, nesirūpina saugumu ir mato tai kaip paskutinę sąrašo eilutę, kurią reikia pažymėti varnele“.
Ekspertai pažymi, kad net ir dabar dažnai naudojami gamintojų nustatyti standartiniai slaptažodžiai, kad gedimo atveju būtų galima lengviau prieiti prie sistemų.
Viename JAV mieste savivaldybės pasamdytas ekspertas aptiko kelis miesto policijai priklausančius IP adresus, per kuriuos jam pavyko prisijungti prie „Linux“ sistemą naudojančio įtaiso, įmontuoto policijos automobiliuose. Naudodamas įprastas komandas, jis prisijungė prie skaitmeninio vaizdo įrašymo įrenginio ir galėjo disponuoti jame esančiais policijos automobilio kamerų darytais įrašais, matyti tiesiogines transliacijas.
„Mokėk arba sugriausiu“
„Visada galima sakyti, kad vien saugumo spragų nepakanka, turi būti motyvas jas išnaudoti. Šiuo atveju, sakyčiau, kad motyvų yra bent du – kibernetinis chuliganizmas arba karas bei pinigai, – teigia A. Žvirblis. – Panašius reiškinius matome ir dabar kompiuterių pasaulyje – blokuojančiomis atakomis prieš portalus yra siekiama šantažuoti, o tokie programišiai, kaip „Anonymous“ grupuotė įsivaizduoja kariaujanti šventąjį kiberkarą“.
„Sutxnet“ yra pavyzdys to, kaip ateityje galėtų atrodyti kibernetinis sabotažo ginklas. Jokios akivaizdžios kriminalinės naudos neteikiantis sudėtingas kirminas sklido įvairiais būdais – per USB, tinklus, SQL duomenis, panaudodamas įvairias spragas, kad užkrėstų „Microsoft Windows“ kompiuterius.
Jo taikinys buvo tam tikra SCADA sistema ir specifinė įranga, kurią aptikęs, „Stuxnet“ turėtų paleisti savo kibernetinius „nuodus“ – kodą, tam tikrus valdiklius verčiantį veikti padrikai, ir tuo pačiu metu operatoriams rodyti, kad sistema veikia normaliai. Saugumo ekspertai jį laiko vyriausybių, o ne pogrindinių organizacijų kūriniu.
Manoma, kad jo tikslas buvo sugadinti Irano Natanzo urano sodrinimo įrenginius, tačiau „Stuxnet“ paplito visame pasaulyje – 46 proc. „McAfee“ apklaustų elektros sektoriaus įmonių rado šį kirminą savo sistemoje.
„Stuxnet“ nėra vienintelis – 2011 metų rudenį tyrėjai aptiko „Duqu“ kirminą, pranokstantį „Stuxnet“ savo tikslais ir pavojingumu. Jis ieško ir kaupia informaciją, kuria pasinaudojant būtų galima organizuoti atakas prieš pramonines valdymo sistemas.
Kritinės infrastruktūros operatoriai susiduria ir su šantažu, kai grasinant sistemų sugadinimu, reikalaujama pinigų.
Ketvirtadalis „McAfee“ apklaustųjų elektros sektoriaus vadovų prisipažino, kad tapo šantažo, naudojant arba grasinant tinklo atakomis, aukomis. Be to, beveik du trečdaliai sakė, kad jie bent kartą per mėnesį aptinka programas, virusus, sukurtus sabotažo tikslams. „SANS Institute“ direktorius Allanas Palmeris teigia, jog šantažo būdu buvo išgauti šimtai milijonų dolerių iš įvairių kompanijų.
Kibernetinio saugumo ekspertai kelia prielaidas, jog kai kurie elektros dingimo atvejai keliose šalyse, pavyzdžiui, Brazilijoje, yra susiję su kibernetiniu piktnaudžiavimu, šantažu. Oficialūs pareigūnai tai, žinoma, neigia.
Privalo įsiūti it geną
„Atvėrę kelius į vartotojų naudojamus įrenginius, programišiai galėtų šantažuoti eilinius žmones, kurių galimybės apsisaugoti, apsiginti yra prastesnės, nei didelių kompanijų su IT departamentais, – aiškino „Santa Monica Networks“ ekspertas A. Žvirblis. – Todėl gamintojai turi būti atsakingesni ir skirti daugiau dėmesio, laiko ir pinigų savo gaminių IT, ryšių saugumui, tuo pačiu ir patogumui užtikrinti“.
Vienas esminių dalykų, kurį pabrėžia „Forrester Research“ savo tyrime, saugumas turi būti prigimtinė, neatsiejama, o ne pridėtinė gaminių architektūros dalis. Ji turi būti paprasta, tenkinanti vartotojų reikalavimus ir, daugeliu atvejų, neturėtų būti jokios sąsajos, per kurią vartotojai galėtų patys konfigūruoti saugumo nustatymus.
Interneto įsčiomis vadinama DARPA – Gynybos pažangiųjų tyrimų projektų agentūra, pripažinusi, kad kibernetinės grėsmės įtinklintame pasaulyje kelia pavojų fiziniam saugumui, pradėjo Aukštų garantijų kibernetinių karinių sistemų (HACMS) programą, siekdama sukurti technologijas, suteikiančias reikalingą funkcionalumą ir turinčias tinkamas saugumo charakteristikas.
Iš šios programos tikimasi kūrinių, kurie neapsiribos tik karinėmis sistemomis, įranga, bet bus naudojamos ir civilinėms reikmėms.