21 декабря 2016

Звездные Войны: проблемы кибербезопасности с имперским размахом

Бизнес

Как известно, только что на экраны вышел фильм «Звездные Войны: Изгой один», в котором повстанцы похищают чертежи «Звезды Смерти», вследствие чего она будет уничтожена. Большинство зрителей уверены, что фильм про уничтожение имперской станции — фантастика. Однако мы рассматриваем его как учебное пособие на тему «Как не нужно обеспечивать защиту стратегических объектов». Давайте же подробнее проанализируем этот инцидент.

Итак, давным-давно, в далекой-далекой галактике крупный объект инфраструктуры «Звезда Смерти» (боевая станция диаметром 120 км, с персоналом около 1 млн сотрудников, 25 984 штурмовика, 342 953 флотских) был уничтожен в битве при Явине. В результате Галактической Империи был нанесен серьезный, в первую очередь репутационный, ущерб, что в конечном счете привело к ее уничтожению.

Профиль компании
Название: Галактическая Империя
Размер: 26 000 звездных разрушителей + вспомогательный флот
Бизнес: Галактическое господство
Генеральный директор компании — Император Шив Палпатин создал Империю на руинах Галактической Республики и Конфедерации Независимых Систем, погрязших в коррупции и гражданских войнах. Коррупция и войны были спровоцированы неким Дартом Сидиусом (в официальных документах — Ш. Палпатин, сенатор Набу, позднее канцлер). На момент битвы при Явине Империя существовала уже 19 лет и считалась самой могущественной силой в галактике.

На первый взгляд станция была уничтожена в результате прямой атаки истребителей повстанцев, которых поддерживала кучка космических колдунов. Однако подробный анализ и реконструкция событий, произведенные голливудским экспертом Дж. Лукасом, показали, что уничтожение станции стало возможно исключительно из-за разгильдяйства имперского командования и пренебрежения к элементарным правилам информационной безопасности. Ну и недостаточной профподготовки имперских штурмовиков, выразившейся в отсутствии меткости.

Причины уничтожения космической станции при Явине были изложены в первой части отчета-реконструкции (согласно присвоенному ей инвентарному номеру — в четвертой части). Поэтому сконцентрируемся именно на ней.

Эпический провал

Основной вывод, который можно сделать после ознакомления с материалами, таков: Империя допустила непростительную ошибку еще на стадии сдачи станции в эксплуатацию. И ошибка вовсе не в том, что станция имеет критическую уязвимость, используя которую легкий истребитель может уничтожить реактор. Это как раз нормально — было бы странно, если бы в столь сложной конструкции системы не нашлось ни одной уязвимости. И даже не в том, что техническая документация супероружия попала в руки врага. Это, конечно, серьезная утечка, но давайте по-честному: принцип security by obscurity не работает. Так что мы не будем разбирать ее в данном материале — подробный отчет об этом инциденте только что подготовили аналитики из Lucasfilm.

Ошибка заключается в том, что Империя только после начала атаки эту уязвимость обнаружила. В то время как хакеры повстанцев, проанализировав попавшие им в руки чертежи станции, в течение нескольких часов смогли не только найти уязвимость, но и подготовить функциональный эксплойт под нее. И это при том, что у Империи на порядок больше ресурсов, так что при желании руководство могло бы заказать не только анализ, но и полноценные пентесты станции.

Дарт Вейдер, Лорд Ситх, Исполнительный директор
Как я уже говорил, способность уничтожить планету — ничто по сравнению с мощью Силы.

Утечка данных? Нет, не слышали…

Однако давайте разберем ситуацию детально. Итак, чертежи украдены и находятся на борту корвета Tantive IV, принадлежащего семье принцессы Леи. Сотрудники имперской безопасности под руководством лорда Вейдера задерживают корабль и начинают досмотр. В этот момент от корабля отстреливается спасательная капсула. Как должен прореагировать дежурный офицер? Как минимум поднять тревогу и известить коллег. Как он поступает в реальности? Делает вывод, что отстрел капсулы не несет никакой угрозы, на основании того, что на борту нет живых существ. То есть налицо абсолютное непонимание элементарных принципов информационной безопасности. Офицер, по сути, стал свидетелем утечки информации на физическом носителе за пределы изолированного периметра, в котором проводятся следственные мероприятия, но даже не понял этого. И это как раз та проблема, которая могла бы быть решена своевременно проведенным тренингом по повышению осведомленности сотрудников в области кибербезопасности.

Олег Горобец, Эксперт по Истинной кибербезопасности, «Лаборатория Касперского»
Вообще, история со «Звездой Смерти» является отличной иллюстрацией полного цикла целевой атаки, а также абсолютной неадекватности стратегии безопасности. Моффу Таркину определенно повезло, что станция взорвалась, когда он еще был на борту. В противном случае он имел бы продолжительные беседы по поводу вопиющей безалаберности при проектировании систем защиты.

Дальнейшие события на Татуине не так интересны с точки зрения анализа деятельности повстанцев. Однако они служат неплохой иллюстрацией уровня преступности на планете. Даже простым татуинским фермерам можно инкриминировать как минимум скупку краденого и несанкционированное вмешательство в информационные системы дроидов. Вопрос о полнодисковом шифровании накопителей украденных дроидов остается открытым.

Кроме того, мы бы рекомендовали поподробнее приглядеться к разработчикам ПО R2D2 — то, чем занимается этот дроид, можно классифицировать как фишинговую атаку при помощи методов социальной инженерии. Он показывает короткий ролик с девушкой, убеждая молодого фермера выдать права администратора к своим подсистемам. Якобы это позволит Люку увидеть полный фильм. И, разумеется, обманывает. Строго говоря, эта схема поведения более свойственна фишинговым порносайтам, чем дроидам-астромеханикам. Но, повторюсь, это не проблемы Империи.

Критические проблемы критической инфраструктуры

Вернемся к «Звезде Смерти». Это самая совершенная и современная имперская база. Единственный в своем роде объект критической инфраструктуры. Только что, в системе Альдерана, был проведен финальный тест основного орудия станции. И вдруг в зоне испытаний появляется кореллианский транспортный корабль «Тысячелетний Сокол», совсем недавно объявленный в розыск за прорыв блокады Татуина. Согласно первичному анализу, без людей на борту. А по записям в судовом журнале получается, что экипаж покинул судно еще до гиперпрыжка.

Что должно сделать руководство базы? Самое логичное — выслать абордажную команду со сканером, чтобы исследовать «Сокол» вне периметра станции. Но нет — кто-то принимает решение посадить корабль в ангаре базы. Повторюсь — на объект критической инфраструктуры сажают транспортник, который сами же считают подозрительным. Не принимая во внимание, что он может оказаться «троянцем».

Далее происходит что-то совсем невообразимое. Дроид R2D2, которому, между прочим, на момент инцидента при Явине уже более 30 лет, спокойно подключается к информационным системам станции и находит списки заключенных во внутренней тюрьме. И это вызывает законный вопрос: а как на «Звезде Смерти» работает система аутентификации? Старый дроид не только входит в систему, но и получает доступ к информации о заключенных, хотя логично предположить, что в тюрьме должна быть отдельная, усиленная система безопасности. И это еще если не задаваться вопросом о том, зачем подвергать дополнительному риску секретный объект, располагая на нем тюрьму с государственными преступниками.

Йода, Дауншифтер, Коучинг по публичным выступлениям
Если с протоколами систем безопасности ознакомишься, только боль ты найдешь.

Далее террористы разделяются — джедай Кеноби идет отключать притягивающий луч, а Люк, Хан и Чубакка отправляются освобождать принцессу. Из отчета следует, что система энергоснабжения притягивающего луча все-таки независима, и злоумышленникам приходится саботировать ее вручную. Это несомненный плюс. Однако почему после того, как Кеноби отключил рубильник, ни одна лампочка не высветила предупреждения о том, что одна из систем обесточена? Правильно настроенная SCADA-система должна оповещать диспетчеров об отключении энергоснабжения!

В это время Люк со своими сообщниками начинает перестрелку в тюрьме. И вот тут нужно отдать должное неизвестному имперскому офицеру, который говорил с Ханом Соло через коммуникатор. Не поверив нелепым объяснениям того, что в тюрьме произошла самопроизвольная стрельба из оружия и одновременно утечка из реактора, этот офицер попытался понять, с кем говорит, и попросил собеседника идентифицировать себя и назвать свой личный номер.

Ну и наконец, выясняется, что R2D2 не только имеет доступ к данным станции, но и может управлять некоторыми системами. В частности, системой утилизации мусора и дверями в мусорном блоке. А это уже не просто утечка. Этого может хватить для саботажа.

Итого:

Как минимум пять серьезных ошибок в обеспечении кибербезопасности было допущено при проектировании или эксплуатации объекта. По большому счету если бы хоть одна из этих дыр была закрыта, то украденные чертежи не попали бы в руки повстанцев, а, следовательно, «Звезда Смерти» не была бы уничтожена.

Ошибка Как исправить
Имперские офицеры не смогли предотвратить утечку информации через память дроидов, бежавших в спасательной капсуле. Весь персонал должен проходить тренинги, прививающие навыки в области кибербезопасности.
На территорию объекта критической инфраструктуры был посажен троянский космический корабль с хакерами на борту. Входящие коммуникации должны быть предельно ограничены и должны жестко контролироваться политиками безопасности.
Посторонний дроид подключился к системам станции, получил доступ к данным и к управлению частью промышленных процессов. Надежная мультифакторная система аутентификации должна исключать доступ посторонних к информационным системам.
Джедай отключил подачу энергии на все притягивающие лучи станции, в результате чего корабль смог покинуть «Звезду Смерти». SCADA-система должна мгновенно информировать диспетчеров об изменениях в энергоснабжении боевых систем.
Имперские аналитики обнаружили уязвимость станции уже после начала атаки, когда быстро закрыть ее не представлялось возможным. Приемо-сдаточные испытания станции должны были включать тщательную проработку модели угроз, а в идеале — и тесты на проникновение.
Евгений Черешнев, «Лаборатория Касперского»
Империя — пример того, что может случиться с крупной enterprise-компанией, которая ведется на так называемые nextgen-решения в области кибербезопасности. NextGen-вендоры поставили Империи «Звезду Смерти», которая, судя по маркетинговым материалам, может уничтожать целые планеты и тем самым явным образом влиять на выполнение Империей своих задач по достижению мирового господства.

Но за красивой картинкой, если копнуть, скрывается айсберг проблем. Так называемое nextgen-решение построено на базе одной технологии — пушки. Этого недостаточно для того, чтобы действительно эффективно защищать от всех типов угроз. Эффективное решение — это всегда многоуровневая, эшелонированная система из трех составляющих: эксперты (лучшие люди), машинное обучение (максимальная автоматизация решений) и опыт (историческая база кейсов, семплов, решений).