«Изгой один» — лучший видеотренинг по кибербезопасности

Десять ошибок, которые привели к уничтожению «Звезды Смерти».

В прошлом году мы проанализировали инцидент, произошедший с промышленным объектом «Звезда Смерти», описанный в IV эпизоде «Звездных Войн». Однако у нас осталось ощущение, что выявленные недочеты — это только вершина айсберга. У Галактической Империи явно глобальные проблемы с защитой информационных систем. К счастью, следователи из Lucasfilm провели тщательное расследование событий, предшествующих этому инциденту, и опубликовали его под названием Rogue One: A Star Wars Story. Вот что стало ясно благодаря этому видеодокументу.

Безопасность начинается с HR

Rogue One начинается с эпизода, в котором директор по инновационным проектам Орсон Кренник с группой HR-специалистов «хантит» высокоуровневого разработчика Галена Эрсо с целью привлечь его к работе над проектом супероружия. Что известно о Галене? Во-первых, он уже когда-то работал над этим проектом и уволился по собственному желанию. Во-вторых, возвращаться он не хочет. HR-департамент Империи делает ему предложение, от которого сложно отказаться, и возвращает его к работе. А потом директор Кренник с изумлением понимает, что Эрсо оказался инсайдером — с его помощью и утекли планы.

По идее, такого сотрудника нельзя допускать к работе с секретной информацией — и HR-специалисты должны были понимать это еще на этапе вербовки. Но они не смогли верно оценить риски этого сотрудничества, хотя вовремя проведенные тренинги по security awareness помогли бы им с должным вниманием отнестись к найму такого сотрудника.

Андрей Никишин, pуководитель отдела развития технологических проектов «Лаборатории Касперского».
	Если вы думаете, что ситуация, описанная выше, надумана, то вы глубоко ошибаетесь. Человеческий фактор и недостаток внимания к такому простому в организации моменту, как тренинги по кибербезопасности, являются причиной большинства инцидентов на промышленных объектах.

Сверхсекретная лаборатория на Иду

Гален Эрсо отправляется в лабораторию при заводе по переработке кайбер-кристаллов на планете Иду. По сути, это «Особое конструкторское бюро», где он в условиях ограничения свободы работает над сверхсекретным военным проектом. Как мы уже сказали, то, что ему доверили секретный проект, — глупо. Но то, что он работал там без контроля со стороны СБ, — глупо вдвойне. В результате Гален заложил в конструкцию «Звезды Смерти» уязвимость. При разработке сложных проектов, тем более при проектировании объектов критической инфраструктуры, обязательно необходим дополнительный аудит инфраструктуры на предмет «закладок». Особенно с таким подозрительным сотрудником в команде.

Андрей Никишин, pуководитель отдела развития технологических проектов «Лаборатории Касперского».
	Я на 110% уверен, что наши современные методики по разработке безопасного программного обеспечения известны Имперским разработчикам. Так почему они их не применяют? Наверное, потому же, почему и некоторые разработчики ПО для промышленного оборудования не делают этого сегодня — фокус на другие задачи. И на примере «Звезды Смерти» мы прекрасно можем увидеть, к чему это приводит.

Но отсутствие security assessment — это не новость. А вот то, что Эрсо, лишенный контактов с внешним миром, тем не менее может общаться с пилотами имперских грузовиков, да еще так близко, что вербует одного из них, — это уже ни в какие ворота.

В результате он:

1. По сути, раскрыл повстанцам существование секретной базы.
2. Предупредил их о внедренной уязвимости.
3. Известил их о том, что подробные планы находятся в хранилище на планете Скариф.

Научный архив Империи на планете Скариф

На самом деле эта база спроектирована куда лучше большинства объектов Империи. Во-первых, планета Скариф закрыта силовым полем, которое не пропускает физические объекты и одновременно служит файрволом. В нем только одна точка входа, управляемая из центра. Данные хранятся на не подключенных к сети жестких дисках (качественный воздушный зазор), а доступ к ним защищен при помощи биометрического замка. Передающая антенна также отрезана от сети — для того чтобы активировать ее, к ней нужен физический доступ.

Но биометрия — не идеальный метод защиты доступа. В данном случае он обходится при помощи руки мертвого офицера, которую просто прижимают к сканеру. Файрвол, как выясняется, тоже не панацея. Он эффективно блокирует передачу больших объемов данных, но может быть обойден при помощи усиления передатчика повстанцев с помощью внутренних систем связи. Причем для подключения корабля к системе достаточно просто соединить их проводами и повернуть рычаг. То есть там нет никакой системы аутентификации! В итоге повстанцы пользуются этим, чтобы организовать мощную DDoS-атаку на файрвол с орбиты.

Ну и самое главное — хваленая передающая антенна вообще никак не защищена. Приходи, вставляй диск, передавай! Они так надеялись на надежность файрвола?

Андрей Никишин, pуководитель отдела развития технологических проектов «Лаборатории Касперского».

Вы даже себе не представляете, насколько все это похоже на то, как зачастую устроена киберзащита на современном промышленном объекте. Вроде все сделано по уму, но как начнешь проводить аудит безопасности и готовить модель угроз, так сразу и находится несколько несложных в реализации векторов атак. И последствия атак в нашем мире могут не ограничиться утечкой данных, все может закончиться гораздо фатальнее.

Internet of things

Отдельного разговора заслуживает катастрофическая ситуация с защитой Интернета вещей. Повстанцы используют перепрограммированного дроида K-2SO. И это не какой-нибудь астромех или переводчик. K-2SO — стратегический аналитик. Причем, судя по его действиям, не «перепрошитый», а именно взломанный — у него сохранились все знания об имперских протоколах. Внимание, вопрос: что там должна быть за операционная система, чтобы его могли перепрограммировать? И еще один: почему имперские системы по-прежнему считают его «своим» и разрешают ему подключаться к компьютерам? Почему после пропажи робота его не лишили доступа к критическим системам?

В результате K-2SO спокойно добывает информацию из других дроидов, подключается к информационным системам базы для поиска информации и управляет защитными механизмами станции.

Имперское командование

Отдельно следует проанализировать решения высшего руководства Империи, касающиеся информационной безопасности. Благо их тут хватает.

Гранд Мофф Таркин

Таркин пытается бороться с утечками информации силовыми методами. Проще говоря, уничтожает города вместе с утечками. Первый раз он отдает такой приказ над планетой Джеда, узнав от агентов о перебежчике, у которого есть сведения о строящейся станции. Второй раз — над базой на Скарифе, после известий, что ее атакуют повстанцы.

Но это достаточно неэффективная мера, которую можно сравнить с переустановкой зараженной системы. Самое главное при утечке — провести всесторонний анализ инцидента, узнать, какие данные были у перебежчика и удалось ли передать их повстанцам. На самом деле, если бы вместо уничтожения Святого Города на Джеде Империя перехватила бы послание, то она бы знала о существовании уязвимости.

Орсон Кренник

Если отвлечься от идиотской навязчивой идеи вернуть разработчика Галена Эрсо к работе над секретной информацией, Кренник принимает достаточно разумные решения. Он-то как раз пытается провести расследование и, прибыв на базу на Скарифе, требует проанализировать все сообщения, которые когда-либо отсылал Гален Эрсо. Пусть эта идея приходит к нему с опозданием, но она действительно могла бы привести к выявлению уязвимости.

Также не стоит забывать, что именно Креннику приходит в голову светлая мысль закрыть базу и щит во время атаки повстанцев, что переводит файрвол в режим полного запрета.

Андрей Никишин, pуководитель отдела развития технологических проектов «Лаборатории Касперского».
	Rogue One — пожалуй, лучший фильм из новой главы саги, более того, его вполне можно растаскивать на материалы для тренингов по кибербезопасности для промышленных объектов и элементов критической инфраструктуры. Даже если вы не фанат «Звездных войн», но ваша работа связана с кибербезопасностью, — посмотрите фильм, это очень достойный дидактический материал к курсу «Как не надо защищать КИИ».

05.05.2018