Компьютерра PDA N148 (03.12.2011-09.12.2011)
Шрифт:
В общем, утечка информации породила десятки сенсационных историй, объявлявших эту атаку первым в истории США случаем, когда часть критично важной инфраструктуры страны была успешно атакована и выведена из строя через интернет. Более того, в паническом угаре даже зазвучали вопли, что вот теперь и Америка стала жертвой атаки, аналогичной атаке червя Stuxnet (самый знаменитый на сегодня пример реальной диверсии против систем SCADA, в результате которой пострадала иранская ядерная программа по обогащению урана; по всем имеющимся у аналитиков косвенным свидетельствам, червь Stuxnet был создан спецслужбами США и Израиля).
Затем
Примерно через неделю после появления сенсационного отчёта в федеральной спецслужбе DHS (он же департамент госбезопасности) полностью отвергли меморандум, заявив, что не смогли отыскать никаких свидетельств хакерской атаки. На самом деле помпа просто сгорела, а финансируемый правительством антитеррористический центр некорректно увязал отказ техники с подключением к системе через русский IP-адрес, имевший место несколькими месяцами ранее.
Когда журналистке известного издания Wired Ким Зеттер удалось разыскать того самого человека, который подсоединялся к компьютеру водонасосной станции из России, он сокрушённо поведал, что всего лишь один-единственный телефонный звонок мог легко предотвратить ту цепь ошибок, что вылилась в столь драматичную ложную тревогу.
Этого человека зовут Джим Мимлиц. Он является основателем и владельцем небольшой компании-интегратора Navionics Research, специализирующейся на системах SCADA. Именно эта компания помогала фирме Curran Gardner Public Water устанавливать её SCADA для автоматизации управления водоснабжением в регионе города Спрингфилд, штат Иллинойс, а также время от времени оказывает помощь своим партнёрам в обслуживании подобных систем.
Как рассказывает Мимлиц, в июне этого года он со всей семьёй ездил в отпуск в Россию. И вот, когда они были здесь, кто-то из Curran Gardner позвонил ему на сотовый телефон, чтобы спросить совета по работе и попросить Мимлица дистанционно проверить данные об истории работы системы, которые хранились в компьютере SCADA.
Мимлиц не сказал звонившему, что находится в России, и использовал свои обычные логин и пароль доступа, чтобы дистанционно подключиться к системе и проверить учётные данные. Дистанционное подсоединение, по свидетельству Мимлица, происходило исключительно с целью считывания данных, без каких-либо манипуляций с настройками системы, не говоря уже о попытках её выключения и включения.
Однако пять месяцев спустя, когда в ноябре одна из водяных помп сломалась, именно этот русский IP-адрес стал важнейшим звеном в истории оживления давнего американского мифа под названием "Русские идут!".
Сотрудник службы водоснабжения, выяснявший причину поломки насоса, восьмого ноября позвонил в ремонтную фирму, обслуживавшую компьютерную систему, чтобы они разобрались, что там к чему. Ремонтник проанализировал лог-журналы системы SCADA и увидел там российский IP-адрес, с которого к системе подключались в июне. Тогда служба водоснабжения передала эту информацию в EPA, федеральное агентство защиты окружающей среды (Environmental Protection Agency). В каком-то смысле это была их перестраховка на случай возникновения возможных проблем в будущем.
Но после извещения EPA информация о "русском вторжении" была передана местному
Хотя логин Джима Мимлица был внятно указан в лог-журнале системы SCADA рядом с российским IP-адресом, ни один из аналитиков "центра синтеза" не позвонил для начала Мимлицу и не спросил его о том, заходил ли он в систему из России.
Вместо этого центр уже десятого ноября выпустил свой отчёт под броским названием "Кибервторжение в коммунальное водоснабжение". В этом документе сломавшийся водяной насос был не только непосредственно увязан с русским подключением пятью месяцами ранее. Более того, там же было заявлено, что лазутчик из России включал и выключал систему SCADA, в результате чего перегорела механика помпы.
Кто именно в "центре синтеза" сочинил всю эту липу, скрывается. Однако неоспоримым фактом остается то, что авторы отчёта изначально предположили, будто некие злоумышленники сначала хакнули компьютер Мимлица и похитили его реквизиты доступа. Эти реквизиты они якобы использовали для проникновения в систему водоснабжения Curran Gardner и выведения из строя водяного насоса.
Судя по всему, конкретных авторов всей этой фантазии, породившей чуть ли не истерику в прессе, решено не искать или, по крайней мере, публично не называть. Вместо этого внимание публики перенесли на другую проблему — о недопустимости утечек конфиденциальной информации. Ведь речь идёт о внутреннем служебном документе, совершенно не предназначавшемся для публикации в СМИ. Он был распространён по электронной почте через закрытый рассылочный лист, подписчиками которого являются сотрудники аварийных служб, ведомств по чрезвычайными ситуациям и прочих аналогичных структур.
В итоге же документ быстро оказался в распоряжении блогера Джо Вейса, партнёра фирмы Applied Control Solutions, который давно озабочен небезопасностью систем SCADA и начал предрекать подобные диверсии против критичных инфраструктур ещё несколько лет назад. Естественно, Вейсс раструбил о зловещем меморандуме STIC настолько громко, насколько мог.
Когда же, в конце концов, для внимательного расследования происшествия в Иллинойс прибыла команда специалистов ФБР и ICS-CERT (входящего в DHS центра реагирования на угрозы киберсистемам управления), то реальная картина быстро прояснилась. Эксперты, побеседовав лично с Мимлицем и проанализировав лог-файлы, установили, что отчёт центра синтеза был в корне неверным и, следовательно, никогда не должен был выпускаться для распространения.
Также расследованием было констатировано, что отказ помпы вовсе не был результатом хакерской атаки. Лог-записи системы SCADA показали, что водяной насос сломался по некоторым сугубо электромеханическим причинам, но эта авария не имела абсолютно никакого отношения к работе SCADA. Кроме того, в лог-журналах не было никаких свидетельств тому, что систему включали и выключали. Самый важный итог из всей этой малоприятной истории-недоразумения сводится к тому, что выводы на основе произошедшего можно сделать диаметрально противоположные.