Problems of US Army

Проблемы обеспечения безопасности информации в компьютерных системах Вооруженных сил США

Стефанович Алексей Васильевич, кандидат технических наук, 24 ЦНИИ МО РФ

Безопасность информации и Internet Еще в середине 70-х годов в США была разработана концепция С3I (Command, Control, Communications and Intelligence), предусматривающая приоритетное развитие и комплексное применение систем управления, разведки и связи. Руководством Министерства обороны США был взят курс на автоматизацию управленческих процессов в различных сферах боевой и повседневной деятельности войск и сил флота, оснащение их современными средствами связи и вычислительной техникой. В результате к середине 90-х годов в США была сформирована достаточно развитая военная информационная инфраструктура (ВИИС), которая рассматривается военно-политическим руководством страны в качестве важнейшей составной части национальной информационной инфраструктуры. Под ВИИС американские специалисты понимают совокупность сетей связи, компьютеров, их общесистемного и прикладного программного обеспечения, баз данных, различных средств обработки, хранения и передачи информации, предназначенных для использования в мирное и военное время в интересах вооруженных сил (ВС) США. В настоящее время в состав ВИИС входят более 2,1 млн компьютеров, 10 тыс. локальных и 100 распределенных вычислительных сетей, 200 автоматизированных командных центров и 16 главных информационно-вычислительных центров. Число пользователей компьютерных систем в ВС США составляет более 2 млн человек. Одной из отличительных особенностей развития ВИИС в последнее десятилетие стало широкое использование глобальной сети Internet различными учреждениями ВС США для оперативной передачи информации по электронной почте, доступа к разнообразным информационным ресурсам и удаленным компьютерным системам, проведения рекламных кампаний по привлечению молодежи к военной службе. В период военного конфликта в зоне Персидского залива сеть Internet использовалась МО США для связи с командованием ВС стран-союзниц по противоиракской коалиции, а также для передачи разведывательных и контрразведывательных данных по обстановке в районе боевых действий. По мнению ряда военных экспертов, в начале ХХI века интенсивность применения сети Internet в интересах ВС США существенно возрастет, при этом в случае возникновения локальных войн (военных конфликтов) и подавления каналов военной связи сеть Internet будет использоваться в качестве резервного средства передачи сообщений и обмена данными. В апреле 1998 года руководство МО США объявило о том, что в течение последующих трех лет оно намерено финансировать 27 проектов на общую сумму около 50 млн долларов в рамках инициативной программы американского правительства "Internet следующего поколения". Контроль за выполнением военной части указанной программы, направленной на создание новых сетевых технологий с повышенными характеристиками безопасности, надежности и пропускной способности, возложен на Управление программ перспективных исследований МО США. По словам министра обороны США У. Кохена, технология Internet была впервые продемонстрирована американскими военными еще в 1970 году при создании экспериментальной распределенной вычислительной сети министерства обороны Arpanet, основные принципы построения которой были положены в основу действующих ныне сетей военного и коммерческого назначения. Признавая целесообразность дальнейшего развития и применения сети Internet, командование ВС США серьезно обеспокоено тем, что с началом ее использования существенно возросла угроза безопасности информации в компьютерных системах военного назначения (КСВН). В соответствии с установленным в МО США порядком секретные сведения военного характера хранятся на компьютерных носителях информации в зашифрованном виде и только в компьютерных системах, не имеющих выхода к информационно-вычислительным сетям открытого типа. Передача таких сведений допускается только по специальным каналам засекреченной связи. Вместе с тем значительная часть находящихся в ВС США компьютеров, подключенных к сети Internet, содержит хотя и несекретную, но достаточно важную конфиденциальную информацию. По мнению зарубежных военных специалистов, несанкционированный доступ, искажение и уничтожение несекретной служебной информации, касающейся вопросов тылового обеспечения войск, перемещения военнослужащих, их денежного и медицинского обеспечения, оплаты военных заказов, проведения НИОКР и т. п., могут самым серьезным образом повлиять на деятельность органов военного управления как в мирное, так и в военное время. В результате проведенных исследований американскими военными специалистами были определены существующие и потенциальные источники преднамеренных угроз безопасности информации в КСВН (табл. 1), а также установлены наиболее распространенные способы, с помощью которых нарушители пытаются обеспечить себе доступ к компьютерным системам МО США через каналы связи Internet. Первый способ предусматривает внедрение нарушителем собственного пароля в подлежащий атаке компьютер. Как правило указанная цель достигается путем отправки по электронной почте Sendmail какого-либо сообщения, в состав которого включена специальная программа записи пароля в файл атакуемого компьютера. Второй способ основан на взломе парольной защиты компьютера. В процессе взлома нарушитель использует специальную программу, обеспечивающую автоматическую генерацию предполагаемых парольных слов до тех пор, пока не будет определен хотя бы один пароль, содержащийся в парольном файле компьютера. В ряде случаев взлом парольной защиты достигается за счет использования нарушителями специальных программ захвата паролей. Такие программы имитируют системный сбой в работе компьютера, после чего под каким-либо предлогом у законного пользователя запрашивается его входное имя и пароль для доступа в компьютер. Таблица 1 Источники преднамеренных угроз безопасности информации в компьютерных системах ВС США Источник угрозы Наличие подтверждено Наличие предполагается К 2005 г. угроза вероятна Угроза вероятна после 2005 г. Некомпетентные любители ШМУ Хакеры ШМУ Обиженные служащие ШМУ Криминальные элементы ШМУ Организованная преступность УОМ ШМУ Инакомыслящие политические группы ШМУ Террористичес-кие группы УОМ ШМУ Иностранные спецслужбы УОМ ШМУ Противодействие тактического уровня ШМУ Противодействие оперативного уровня УОМ ШМУ Стратегическое противоборство ШМУ УОМ ШМУ - широкомасштабная угроза; УОМ - угроза ограниченного масштаба Третий способ заключается в перехвате паролей, передаваемых пользователями в сети Internet. С этой целью в узлах или хост-компьютерах сети Internet нарушители осуществляют тайную установку специальной программы Sniffer, которая позволяет контролировать и регистрировать первые 100-125 знаков сообщений, которые передаются пользователями при установлении связи в сети. В результате нарушителям становятся известны входные имена и пароли, которые и используются ими для доступа к компьютерным системам под видом законных пользователей. Хакеры атакуют компьютеры Министерства обороны В 1992 году управлением информационных систем (УИС) Министерства обороны США было официально зарегистрировано 53 компьютерные атаки, в 1993 г. - 115, в 1994 г. - 255, в 1995 г. - 559. Точный учет фактического количества атак, которым были подвергнуты компьютеры Министерства обороны, в УИС в настоящее время отсутствует. Причина этого заключается в том, что отдельные атаки остаются незамеченными со стороны пользователей или администраторов компьютерных сетей (опытные хакеры умеют скрывать следы своей деятельности), а в ряде случаев администраторы, несмотря на действующий порядок, просто не сообщают об обнаруженных атаках в УИС. Вместе с тем, по расчетам входящего в состав УИС Центра информационной безопасности, в 1995 году компьютерные системы подвергались атакам около 250 000. раз. Под компьютерной атакой зарубежные специалисты понимают попытку несанкционированного доступа либо несанкционированный доступ к подлежащей защите информации, хранящейся в компьютере или передаваемой в компьютерной сети. В процессе атак на компьютерные системы МО США находящиеся в них программы и данные подвергались хищению, искажению либо уничтожению. Нарушители предпринимали попытки видоизменить защитные механизмы, установить программы типа "Back doors", позволяющие им получить в последствии скрытый доступ к компьютерным системам. В результате таких атак отдельные компьютеры и компьютерные сети были временно выведены из строя, вследствие чего было нарушено нормальное функционирование ряда учреждений и организаций Министерства обороны. Ярким примером того, как действия небольшой группы хакеров могут привести к серьезным последствиям, является атака на компьютерную сеть Ромской научно-исследовательской лаборатории ВВС США (Нью-Йорк). Лаборатория является одной из ведущих научных организаций МО США и проводит исследования в области военных систем искусственного интеллекта, радиолокационных систем обнаружения и управления оружием. В период с марта по апрель 1994 года двумя хакерами (один из Великобритании, местоположение второго установить не удалось) было предпринято более 150 атак на компьютерную сеть лаборатории через каналы связи Internet. Для несанкционированного доступа хакеры заблаговременно использовали специальные программы - "Троянский конь" и Sniffer. В целях защиты от возможного обнаружения хакеры осуществляли вторжение в компьютерную сеть лаборатории не напрямую, а в обход - через узлы Internet, расположенные в Южной Америке, а также через коммерческие сети, узлы которых находились на западном и восточном побережье США. В процессе атаки нарушители под видом законных пользователей компьютерной сети Ромской лаборатории получили доступ к информационным системам ряда государственных учреждений США - Центра космических полетов НАСА, авиабазы ВВС Райт-Петерсон и др. Помимо этого хакеры произвели копирование находящейся в компьютерах лаборатории важной служебной информации, касающейся организации планирования боевых действий авиа ции. В связи с тем, что вторжение в компьютерную сеть своевременно обнаружено не было, компьютерная атака на лабораторию ВВС продолжалась практически трое суток. По оценкам специалистов Центра информационной борьбы ВВС США, ущерб, нанесенный лаборатории в результате атаки хакеров, составил более 500 000 долларов. При расчете ущерба учитывались затраты на проверку целостности данных, установку новых средств защиты информации, стоимость работы специалистов Центра информационной борьбы и Управления специальных расследований ВВС по установлению всех обстоятельств, связанных с вторжением в компьютерную сеть лаборатории. Вместе с тем, не была учтена стоимость сведений, которые были похищены и скомпрометированы в результате вторжения. Так, по оценкам сотрудников лаборатории, только на разработку проекта "Планирование боевых действий авиации" было затрачено около 4 млн долларов и три года работы. В декабре 1994 года хакеры с территории Великобритании, Финляндии, Канады, университетов Канзас и Алабама осуществили атаку на компьютерную сеть Военно-морской академии США. Нарушители проникли в 24 сервера сети и на восьми из них установили программу Sniffer. Основной маршрутизатор сети был скомпрометирован, его имя и адрес были изменены, в результате чего законные пользователи были лишены доступа к компьютерной сети академии. В процессе вторжения в одном из компьютеров были уничтожены архивные копии файлов, в четырех компьютерах полностью уничтожена хранящаяся в них информация и в шести компьютерах информация была частично повреждена. В ходе проведенного расследования установить личности хакеров не удалось, ущерб, нанесенный Военно-морской академии, в количественном отношении оценен не был. С апреля 1990 года по май 1991 года хакеры из Нидерландов осуществили вторжение на 34 сервера, принадлежащие различным учреждениям МО США. В процессе компьютерных атак ими были предприняты попытки модификации программ защиты с целью получения в дальнейшем привилегированного доступа к компьютерным системам. Нарушители осуществляли просмотр сообщений электронной почты с использованием ключевых слов: "ядерный", "оружие", "ракеты", "операция Desert Shield", "операция Desert Storm". По завершении атак хакеры с целью "заметания следов" уничтожали в компьютерном журнале записи, на основании которых можно было установить просмотренные и модифицированные ими файлы. В 1995-1996 годах хакер из Нидерландов, используя сеть Internet, через сервер одного из университетов США периодически осуществлял вторжение в компьютерные сети Лос-Аламосской национальной лаборатории, научно-исследовательской лаборатории ВМС США, других организаций Министерства обороны и НАСА. В компьютерах указанных организаций содержалась важная информация по созданию новых самолетов, спутников, радиолокационных станций и других средств вооружения. Атаке была подвергнута и компьютерная система научно-исследовательской лаборатории ракетных систем, входящей в состав Испытательного ракетного полигона Уайт-Сэндс. В компьютерной базе данных содержались важные сведения о результатах испытаний современных образцов ракетного оружия на точность и надежность. С целью получения интересующей его информации в компьютерную систему лаборатории хакером была установлена программа Sniffer. На третьем вторжении хакер был обнаружен, однако к этому времени Sniffer был им уже снят, вследствие чего личность хакера установить не удалось, как не были определены и последствия его компьютерных атак. По мнению специалистов полигона, хранящиеся в компьютере данные являются весьма важными и могут представлять несомненный интерес для ряда иностранных государств. Одна из последних широкомасштабных атак на компьютеры МО США состоялась в феврале 1998 года. Всего было атаковано 11 серверов, из них 7 серверов принадлежат ВВС США и 4 сервера - ВМС США (один в Перл-Харбор, два на о. Окинава и один в Военно-морской академии). На основании почерка атаки специалисты Агентства национальной безопасности (АНБ) США предположили, что вторжение в компьютеры осуществила группа хакеров из Нидерландов. По их мнению, не исключена возможность того, что эта же группа принимала участие в хищении секретной военной информации у США с целью ее продажи Ираку в период боевых действий в зоне Персидского залива. Компьютерные атаки и угрозы национальной безопасности По данным министерства энергетики и АНБ США в настоящее время более 120 стран располагают возможностями проведения организованных атак на компьютерные системы других государств. Компьютерные атаки рассматриваются в качестве одной из составляющих информационной борьбы, которую военно-политическое руководство США и ряда других стран относят к важнейшим элементам национальной безопасности. C января по июнь 1995 года помощником министра обороны США по системам боевого управления, связи и разведки совместно с неприбыльной научно-исследовательской корпорацией RAND было организовано и проведено командно-штабное учение (КШУ) под названием "На следующий день после...". В процессе учения проигрывалась возможность и оценивались последствия нанесения в 2000-м году массированной компьютерной атаки на США и их союзников со стороны недружественного государства. Участие в КШУ принимали высокопоставленные сотрудники различных ведомств, имеющих непосредственное отношение к обеспечению национальной безопасности США, а также представители промышленных кругов, связанных с созданием защищенных информационных и телекоммуникационных средств. В соответствии с разработанным сценарием учения одна из недружественно настроенных стран осуществляет атаку на компьютерные системы США и их союзников, в результате которой происходит нарушение нормальной жизнедеятельности этих стран, на их территории возникают серьезные аварии, среди населения нарастает паника. Разработчики сценария приводят следующие прогнозируемые эпизоды и результаты проведения активных мероприятий информационной борьбы против США и их союзников. Атакована сеть банкоматов двух крупнейших банков в штате Джорджия. Нарушен нормальный доступ клиентов банков к наличным деньгам, банкоматы осуществляют неправильные расчеты с клиентами, что вызывает панику среди населения. Срабатывание логической бомбы, предварительно заложенной в автоматизированную систему управления железнодорожными перевозками, приводит к отправке грузового состава в ложный пункт назначения, в результате чего происходит его столкновение со скорым пассажирским поездом в штате Мэриленд. Практически одновременно оказывается вывед енной из строя автоматическая телефонная сеть в Вашингтоне, происходит авария самолета в Великобритании, а в Каире оказывается нарушенной подача электроэнергии. Мощной атаке подвергаются компьютеры военного назначения, отдельные автоматизированные системы управления войсками в результате воздействия компьютерных вирусов вырабатывают неправильные решения и команды. Проведение КШУ преследовало цель разработать возможные сценарии массированных компьютерных атак, оценить вероятность их возникновения и определить ключевые проблемы, подлежащие решению в интересах национальной безопасности страны. По результатам учения его участниками было сделано три основных вывода: 1. Создание средств и способов нанесения компьютерных атак не требует больших финансовых затрат, что делает их относительно доступными для большинства развитых государств. 2. В настоящее время в распоряжении США отсутствуют технические средства предупреждения, которые смогли бы отличить организованную компьютерную атаку от случайных выходов из строя и сбоев в работе компьютерных систем и сетей. 3. Высокий уровень зависимости экономики, промышленности и вооруженных сил США от национальной информационной инфраструктуры делает последнюю привлекательным объектом атаки со стороны недружественных государств, способных к ведению информационной борьбы. Контроль и обеспечение безопасности информации в компьютерных системах Для анализа случаев несанкционированного доступа, выявления слабых мест защиты и выдачи рекомендаций по обеспечению безопасности компьютерных сетей, а также для решения ряда других задач информационной борьбы в вооруженных силах США были созданы специальные подразделения: n Центр информационной безопасности в составе УИС МО США (1992 год); n Центр информационной борьбы ВВС США, в состав которого вошли подразделения компьютерной безопасности и информационного противодействия (1993 год); n Центр информационной борьбы ВМС США (1995 год); n Центр информационной борьбы Армии США (1996 год). С 1992 года МО США приступило к реализации программы анализа и оценки безопасности компьютерных систем, в соответствии с которой специалисты Центра информационной безопасности предпринимают попытки проникновения через каналы Internet в компьютерные системы частей, подразделений и учреждений ВС США. Из 38 тысяч произведенных ими компьютерных атак около 65% оказались успешными. При этом в 988 случаях (что составляет около 4% от числа атак) вторжение было обнаружено обслуживающим персоналом компьютерных систем, но доклады в УИС поступили только о 267 атаках. Активные меры противодействия предпринимались обслуживающим персоналом компьютерных сетей в среднем один раз на 150 атак. В настоящее время в целях повышения эффективности мероприятий по обеспечению безопасности информации на отдельных узлах компьютерных сетей МО США осуществляется установка аппаратуры, позволяющей автоматически определять факт атаки. Так, для ВВС США ведется разработка автоматизированного комплекса ASIM (Automated Security Incident Measurement), позволяющего контролировать уровень несанкционированного доступа к компьютерным системам. Специальные программно-аппаратные средства используются для анализа трафика в компьютерной сети, выявления и распознавания ситуаций, которые могут быть связаны с попытками несанкционированного доступа и нарушения нормального режима функционирования сети. В настоящее время автоматизированными комплексами ASIM оборудованы только 36 из 108 серверов ВВС США. При их выборе учитывалась степень конфиденциальности хранящейся информации, используемые механизмы защиты, а также результаты анализа предыдущей деятельности хакеров по атаке серверов. Данные, вырабатываемые комплексом ASIM, анализ ируются специально подготовленным персоналом, отвечающим за информационную безопасность компьютерной сети. Централизованная обработка данных осуществляется в Центре информационной борьбы ВВС США в Сан-Антонио, штат Техас. По мнению специалистов Центра, применение комплекса ASIM оказалось достаточно эффективным и полезным при обнаружении атак на компьютерные системы ВВС США. К недостаткам ASIM относится возможность его использования только с ограниченным кругом используемых в ВВС США операционных систем, а также существенная задержка между моментом атаки и временем выдачи сигнала об ее обнаружении для принятия соответствующих мер противодействия. В настоящее время в ВВС США ведутся работы по устранению указанных недостатков, что позволит использовать комплекс с другими операционными системами и сократить время его реакции. По мнению специалистов Центра информационной борьбы, своевременное обнаружение, оповещение и незамедлительную реакцию на компьютерные атаки следует рассматривать в качестве эффективного сред ства обеспечения информационной безопасности. Аппаратура, аналогичная комплексу ASIM по своему назначению и функциональным возможностям, разрабатывается также для Армии и ВМС США. Армейский комплекс AIMS (Automated Intrusion Monitoring System) разрабатывается с июня 1995 года и предназначен для обнаружения и контроля несанкционированного доступа как в локально-вычислительные, так и распределенные компьютерные сети, используемые Армией США на различных театрах военных действий. В настоящее время комплекс AIMS установлен в 5-м Командовании войск связи, дислоцированном в Германии, и используется для контроля за доступом к армейским компьютерным системам, находящимся на территории Европы. Наряду с созданием рассмотренных выше комплексов военного назначения в целях повышения эффективности защиты компьютерных сетей от несанкционированного доступа руководство МО США планирует также шире использовать в них системы FireWall - межсетевые шлюзы коммерческого изготовления. Представляя собой совокупность программных и аппаратных средств, они предназначены для решения следующих основных задач: n анализ запросов и выявление угроз локальным (региональным) сетям военного назначения со стороны внешних сетей; n контроль всех сообщений, поступающих в сеть и исходящих из нее; n блокирование поступления в сеть потока нежелательных сообщений; n обеспечение защиты информации по топологии сети, используемым в ней устройствам, паролям и именам пользователей и др.; n разграничение доступа к информации и программным средствам ее обработки в соответствии с полномочиями пользователей сети. Широкому внедрению систем FireWall до настоящего времени препятствовала их сравнительно высокая стоимость (5 000-40 000 долларов), а также ряд завершившихся успехом попыток хакеров по взлому таких систем в компьютерных сетях МО США. Понимая, что ни одно из средств защиты не способно самостоятельно гарантировать абсолютную степень безопасности информации, специалисты УИС полагают, что системы FireWall должны использоваться в компьютерных системах в сочетании с другими средствами защиты - как техническими, так и организационными. Для обеспечения автоматического санкционированного доступа и использования перспективной системы электронной почты DMS (Defence Message System) специалистами АНБ США разработана интеллектуальная карта Fortezza. Карта имеет размеры стандартной кредитной карточки и предназначена для выполнения таких функций, как установление подлинности абонента системы, передача конфиденциальных данных, генерация электронной цифровой подписи и др. Fortezza спроектирована с учетом возможности ее использования с операционными системами DOS, Windows, SCO Unix, Sun OS, Solaris, HPUX и Macintosh. В настоящее время в интересах МО США проводятся исследования по оценке возможностей применения биометрических методов контроля доступа к компьютерным системам и сетям. В качестве физиологических характеристик человека, которые могут быть преобразованы в электронную форму и использованы для его опознания при доступе к компьютерной системе, рассматриваются отпечатки пальцев, характерный рисунок сетчатки глаза, подпись и голос. Другой комплекс исследований, проводимых при участии военных специалистов, направлен на создание автоматизированной системы определения географических координат удаленных пользователей сети Internet. Полагают, что такая система позволит идентифицировать атаки нарушителей, пытающихся с территории зарубежных стран под видом законных пользователей (получив каким-либо образом в свое распоряжение их имена и пароли) получить доступ к компьютерным системам МО США. В целом, как считают американские специалисты, реализация рассмотренных выше средств и методов позволит в значительной степени снизить уровень преднамеренных угроз безопасности информации в компьютерных системах МО США, подключенных к глобальной сети Internet.

Литература 

1. С. Модестов. "Кибербойцы" выходят на передовую. Независимое военное обозрение. 1998. ╧ 25.
2. DoD selects next generation Internet proposals // Defense Link News. 1998. ╧ 165.
3. Pentagon computers targeted by hackers // Associated Press. 1998. Feb. 26.
4. Information security - computer attacks at Department of Defense pose increasing risks: Report to Congressional Requesters. GAO/AIMD - 96-84.
5. Security in Cyberspace. US Senate Permanent Subcommittee on investigations. June 5. 1996.