Сказки о безопасности: Атака на инфраструктуру

http://www.pcweek.ru/themes/detail.php?ID=189039

Осень. Хмурая, дождливая осень. Иоганн очень не любил такую погоду. Но увы, чаще всего теперь небо будет покрыто тучами и солнышко будет редко проглядывать.

Сегодня должно состояться важное совершенно секретное совещание у директора департамента внешней разведки, куда приглашен Иоганн. Впервые приглашен. Интересно, о чем его захотят спросить, а в том, что захотят, он не сомневался, иначе бы просто не пригласили. Все. Пора собираться. Машина будет у порога через пять минут.

— Иоганн, мы рады вас видеть. Сегодня вы главный, потому как будут обсуждаться именно вопросы информационной безопасности. Дело в том, что мы поставляем во многие страны наше ИТ-оборудование и программное обеспечение. Не грозит ли это утечкой технологий? Как вы считаете? И вообще, чем нам это грозит?

— Прежде всего, хочу заметить, что нам это грозит притоком денег за наше аппаратное и программное обеспечение. Ну а если серьезно, то и нам и нашим соседям будут угрожать атаки злоумышленников, ведь атакуют именно то оборудование и ПО, которое шире распространено. Вместе с тем хочу заметить, что нам необходимо создавать отдельные подразделения, которые будут искать уязвимости в соответствующем обеспечении.

Но наряду с этим мы должны заранее встраивать в экспортируемое оборудование наши закладки и бэкдоры. Ведь сегодня это оборудование используют наши друзья, а завтра? Именно поэтому мы должны продавать это оборудование и союзникам, и потенциальным соперникам.

— Но что скажут на это производители?

— Да что они скажут? Они наши граждане. И их корпорации работают здесь, потому они не скажут ничего. Зато представьте себе следующий сценарий простейших векторов атак.

Сетевая инфраструктура. Вся сетевая инфраструктура провайдеров на наших устройствах. Отлично. Интернета и связи у врага больше нет. А что есть — контролируется нами. VPN? Ах, не смешите.

Банковская система. Обрушение автоматизированной банковской системы со всеми данными о счетах клиентов в первой сотне банков, тем более разработчиков АБС мало, а уж дыр там вагон. Это не столь сложно, особенно для нас. Атаковать государственный банк потенциального врага, а почему бы и нет; там тоже стоит все наше родное. И оборудование, и операционные системы, да только зачем? Атаки на АБС даже топ-20 банков будет вполне достаточно для гарантированного массового хаоса и паники.

Энергетика, транспорт, водоснабжение. Что нам мешает остановить турбины на станциях (оборудование-то наше) и вмешаться в движение поездов (оборудование тоже наше), особенно учитывая наличие удаленного доступа к ним у самих же разработчиков. Водоснабжение — а почему бы нет …

Остановить АЭС — и здесь возможны варианты через различные связанные системы, хотя это задача явно сложнее, но вполне решаема.

Заводы. Станки и разнообразное ключевое оборудование на важных заводах получают сигнал и перестают работать.

Достаточно для начала?

— Да, веселую картинку вы нам нарисовали.

— Ну, веселую или нет, не знаю. Но реальную.

Увы, описанное здесь — не фантастика. Оборудование Cisco на сегодня содержит как уязвимости, так и импланты от АНБ. Кому и как передает данные Google?

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: