Il mondo moderno è stato digitalizzato. Non ancora del tutto, ma la sua "digitalizzazione" si sta sviluppando rapidamente. Quasi tutto è già connesso alla rete o lo sarà nel prossimo futuro: servizi finanziari, utilities, imprese industriali, forze armate. Quasi tutti hanno uno smartphone in uso, le "case intelligenti" stanno guadagnando popolarità - con smart TV, frigoriferi, aspirapolvere, lavatrici, forni a microonde e persino lampadine.
La prima auto è già apparsa: la Honda Legend, con un pilota automatico di terzo livello installato, che controlla completamente l'auto fino alla possibilità di una frenata di emergenza. Al “conducente” è richiesto solo di essere pronto a prendere il controllo per un certo tempo specificato dal costruttore (sui veicoli elettrici Tesla è installato il pilota automatico di secondo livello, che richiede un monitoraggio costante da parte del conducente).
Molte aziende stanno lavorando per creare un'interfaccia uomo-computer che collegherà direttamente il cervello a dispositivi esterni. Una di queste società è Neuralink dell'onnipresente Elon Musk. Si prevede che tali dispositivi semplificheranno la vita alle persone con disabilità, ma non c'è dubbio che queste tecnologie troveranno applicazione in altri settori. In futuro - nei paesi totalitari, dove le fobie sulla "scheggiatura" potrebbero diventare una realtà.
Ma mentre i sistemi e i servizi digitali rendono la vita incredibilmente più facile per le persone, aumentano l'efficienza delle strutture industriali e municipali. Tutto sembra andare bene, ma c'è un "ma". Tutti i sistemi digitali sono teoricamente hackerabili. E di volta in volta questo è confermato dalla pratica.
Virus informatici
Le basi teoriche per lo sviluppo dei "virus informatici" sono state formulate quasi contemporaneamente alla comparsa dei computer stessi a metà del XX secolo da John von Neumann. Nel 1961, gli ingegneri dei Bell Telephone Laboratories Viktor Vysotsky, Doug McIlroy e Robert Morris svilupparono programmi in grado di creare copie di se stessi. Questi sono stati i primi virus. Sono stati creati sotto forma di un gioco che gli ingegneri hanno chiamato "Darwin", il cui scopo era inviare questi programmi agli amici per vedere quale distruggerà più programmi dell'avversario e farà più copie dei propri. Il giocatore che è riuscito a riempire i computer degli altri è stato dichiarato vincitore.
Nel 1981, i virus Virus 1, 2, 3 e Elk Cloner sono apparsi per il personal computer (PC) Apple II, con cui qualsiasi proprietario di questi PC poteva "fare conoscenza". Pochi anni dopo, sono comparsi i primi programmi antivirus.
La combinazione di parole "virus informatico", ormai consolidata, nasconde infatti molti tipi di software dannoso: worm, rootkit, spyware, zombie, adware), virus bloccanti (winlock), virus trojan (trojan) e loro combinazioni. In quanto segue, utilizzeremo anche il termine "virus informatico" come termine generico per tutti i tipi di malware.
Se i primi virus sono stati scritti più spesso per intrattenimento, uno scherzo o come indicatore delle capacità di un programmatore, nel tempo hanno iniziato a "commercializzare" sempre di più: per rubare dati personali e finanziari, interrompere il funzionamento delle apparecchiature, crittografare i dati a scopo di estorsione, visualizzare annunci intrusivi e così via. …Con l'avvento delle criptovalute, i virus informatici hanno ricevuto nuove funzionalità: hanno iniziato a prendere i computer degli utenti "in schiavitù" per il mining (estrazione) di criptovalute, formando enormi reti di PC infetti - botnet (prima esistevano anche botnet, ad esempio, per effettuare mailing "spam" o i cosiddetti attacchi DDoS).
Tali opportunità non potevano non interessare i servizi militari e speciali, che, in generale, hanno compiti simili: rubare qualcosa, rompere qualcosa …
Truppe cibernetiche
Data l'importanza e l'apertura dell'infrastruttura digitale, gli Stati sono consapevoli della necessità di proteggerla, al fine della quale, nell'ambito dei ministeri della difesa e dei servizi speciali, vengono create unità appropriate, progettate sia per proteggere dalle minacce informatiche che per effettuare attacchi all'infrastruttura digitale del nemico.
Quest'ultimo di solito non viene pubblicizzato, tuttavia, l'ormai ex presidente degli Stati Uniti Donald Trump ha ufficialmente ampliato i poteri del Cyber Command statunitense (USCYBERCOM, US Cyber Command), consentendo loro di effettuare un attacco preventivo su potenziali avversari (e possibilmente sugli alleati - devi in qualche modo aiutare la tua economia?). I nuovi poteri consentono agli hacker militari di svolgere attività sovversive nelle reti di altri stati "sull'orlo delle ostilità" - svolgere spionaggio nelle reti informatiche, sabotaggio e sabotaggio sotto forma di diffusione di virus e altri programmi speciali.
Nel 2014, con decreto del presidente della Federazione Russa VVPutin, sono state formate le truppe per le operazioni di informazione e nel gennaio 2020 è stato annunciato che sono state create unità speciali nelle forze armate russe per condurre operazioni di informazione, come annunciato dal ministro della Difesa della Federazione Russa Sergei Shoigu.
Ci sono truppe cibernetiche anche in altri paesi sviluppati. Secondo rapporti non confermati, il budget delle truppe informatiche statunitensi è di circa $ 7 miliardi e il numero del personale supera le 9.000 persone. Il numero delle truppe informatiche cinesi è di circa 20.000 persone con un finanziamento di circa 1,5 miliardi di dollari. Gran Bretagna e Corea del Sud stanno spendendo rispettivamente 450 milioni di dollari e 400 milioni di dollari per la sicurezza informatica. Si ritiene che le truppe informatiche russe includano circa 1.000 persone e i costi sono di circa $ 300 milioni.
Obiettivi e opportunità
Il potenziale distruttivo dei virus informatici è enorme e stanno rapidamente aumentando man mano che il mondo che li circonda si digitalizza.
Tutti ricordano le accuse degli Stati Uniti contro la Russia di ingerenza nelle elezioni americane, così come le accuse contro la Cina di aver rubato la proprietà intellettuale. Ma la manipolazione della coscienza pubblica e il furto di dati sono solo la punta dell'iceberg. Le cose si fanno molto più serie quando si tratta di vulnerabilità dell'infrastruttura.
Numerosi libri e film su questo argomento descrivono vividamente il crollo delle infrastrutture: la chiusura dei servizi pubblici, la congestione delle automobili, la perdita di fondi dai conti dei cittadini. In pratica, questo non è ancora accaduto, ma non è certo una conseguenza dell'impossibilità di attuazione: negli articoli sulla sicurezza informatica sulle risorse tematiche, è possibile trovare molte informazioni sulla vulnerabilità delle reti di computer, anche in Russia (in Russia, forse, anche in misura maggiore per la tradizionale speranza del "forse").
Molto probabilmente, il fatto che non ci siano ancora stati hack infrastrutturali su larga scala è una conseguenza della mancanza di interesse di gruppi di hacker seri in questo argomento: i loro attacchi di solito hanno un chiaro obiettivo finale, che è quello di massimizzare il profitto finanziario. A questo proposito, è molto più redditizio rubare e vendere segreti industriali e commerciali, compromettere prove, crittografare dati, chiedere un riscatto per la loro decrittazione e simili, piuttosto che interrompere il funzionamento delle fognature cittadine, dei semafori e delle reti elettriche.
Allo stesso tempo, con un'alta probabilità, un attacco alle infrastrutture è considerato dai militari di diversi paesi come un elemento di guerra, che può indebolire significativamente l'economia del nemico e causare malcontento tra la popolazione.
Nel 2010, la società privata Bipartisan Policy Center ha condotto una simulazione di un massiccio attacco informatico sul territorio degli Stati Uniti, che ha dimostrato che durante un attacco informatico preparato e coordinato, fino alla metà del sistema energetico del paese potrebbe essere disattivato entro metà un'ora e le comunicazioni mobili e via cavo verrebbero disconnesse entro un'ora., a causa della quale si interromperanno anche le transazioni finanziarie sullo scambio.
Tuttavia, un attacco alle infrastrutture civili non è la cosa peggiore, ci sono minacce molto più gravi.
I virus informatici come arma strategica
Il 17 giugno 2010, per la prima volta nella storia, è stato scoperto il virus win32 / Stuxnet, un worm informatico che infetta non solo i computer che eseguono il sistema operativo Microsoft Windows, ma anche i sistemi industriali che controllano i processi di produzione automatizzati. Il worm può essere utilizzato come mezzo di raccolta dati non autorizzata (spionaggio) e sabotaggio nei sistemi di controllo dei processi automatizzati (APCS) di imprese industriali, centrali elettriche, caldaie, ecc. Secondo i principali esperti e aziende che lavorano nel campo della sicurezza informatica, questo virus è il prodotto software più complesso, sulla cui creazione ha lavorato un team di professionisti di diverse dozzine di specialisti. In termini di complessità, può essere paragonato al missile da crociera Tomahawk, progettato solo per operazioni nel cyberspazio. Il virus Stuxnet ha causato il fallimento di alcune centrifughe per l'arricchimento dell'uranio, rallentando il ritmo dei progressi nel programma nucleare iraniano. Le agenzie di intelligence israeliane e statunitensi sono sospettate di aver sviluppato il virus Stuxnet.
Successivamente sono stati scoperti altri virus informatici, simili per complessità alla produzione con win32/Stuxnet, come:
- Duqu (presunto sviluppatore Israele / USA) - progettato per raccogliere dati riservati in modo discreto;
- Wiper (presunto sviluppatore Israele / USA) - alla fine di aprile 2012 ha distrutto tutte le informazioni su diversi server di una delle più grandi compagnie petrolifere in Iran e ha completamente paralizzato il suo lavoro per diversi giorni;
- Flame (presunto sviluppatore Israel/USA) è un virus spia, presumibilmente sviluppato specificamente per attacchi all'infrastruttura informatica iraniana. Può identificare i dispositivi mobili con un modulo Bluetooth, tenere traccia della posizione, rubare informazioni riservate e intercettare le conversazioni;
- Gauss (presunto sviluppatore Israele/USA) - mira a rubare informazioni finanziarie: e-mail, password, dati del conto bancario, cookie, nonché dati di configurazione del sistema;
- Maadi (presunto sviluppatore Iran) - è in grado di raccogliere informazioni, modificare in remoto i parametri del computer, registrare suoni e trasmetterli a un utente remoto.
Pertanto, possiamo concludere che in alcuni paesi sono già stati formati team di sviluppo professionale, che hanno avviato la produzione di armi informatiche. Questi virus sono le prime "rondini". In futuro, sulla base dell'esperienza maturata dagli sviluppatori, verranno creati (o sono già stati creati) mezzi di cyber warfare molto più efficaci, in grado di provocare enormi danni al nemico.
Caratteristiche e prospettive
È necessario comprendere chiaramente la caratteristica chiave delle armi informatiche: il loro anonimato e la segretezza d'uso. Puoi sospettare qualcuno, ma sarà estremamente difficile dimostrare il suo coinvolgimento nell'uso. La creazione di armi informatiche non richiede il movimento di oggetti fisici attraverso i confini nazionali: lo sciopero può essere sferrato da chiunque, in qualsiasi momento. La situazione è aggravata dalla mancanza di norme legali per la condotta della guerra nel cyberspazio. Il malware può essere utilizzato da governi, aziende o persino dalla criminalità organizzata.
Ogni programmatore ha un certo stile di scrittura del codice, con il quale, in linea di principio, può essere riconosciuto. È possibile che l'attenzione sia già rivolta a questo problema nelle strutture corrispondenti, ci sono alcuni specialisti o software speciali - "modificatori" del codice, "spersonalizzandolo" o, al contrario, facendolo sembrare il codice di alcuni altri programmatori /strutture/servizi/aziende, al fine di "sostituirli" al ruolo di sviluppatore di malware.
Il software dannoso può essere suddiviso approssimativamente in virus "tempo di pace" e "tempo di guerra". Il primo deve agire inosservato: estrarre i dati, riducendo l'efficienza dell'industria del nemico. Il secondo è agire in modo estremamente rapido e aggressivo, infliggendo apertamente il massimo danno in un periodo minimo.
Come può funzionare un virus in tempo di pace? Ad esempio, le condutture sotterranee in acciaio / gasdotti sono dotate di cosiddette stazioni di protezione catodica (CPS), che impediscono la corrosione delle tubazioni mediante una differenza di potenziale tra loro e un elettrodo speciale. C'è stato un caso del genere: negli anni '90, in una delle imprese russe, le luci venivano spente di notte (per risparmiare denaro). Insieme all'illuminazione e alle attrezzature, sono state disattivate le SKZ che proteggono l'infrastruttura sotterranea. Di conseguenza, tutte le condutture sotterranee sono state distrutte nel più breve tempo possibile: la ruggine si è formata di notte e durante il giorno si è staccata sotto l'influenza della SCZ. Il ciclo è stato ripetuto il giorno successivo. Se l'SCZ non funzionasse affatto, lo strato esterno di ruggine per qualche tempo fungerebbe da barriera alla corrosione. E così - si è scoperto che l'attrezzatura progettata per proteggere i tubi dalla corrosione, è diventata essa stessa la causa della corrosione accelerata. Considerando che tutte le moderne apparecchiature di questo tipo sono dotate di mezzi di telemetria, possono potenzialmente essere utilizzate per un attacco mirato da parte del nemico di gasdotti/gasdotti sotterranei, a seguito del quale il Paese subirà colossali danni economici. Allo stesso tempo, il malware può distorcere i risultati della telemetria nascondendo la propria attività dannosa.
Una minaccia ancora maggiore è rappresentata da apparecchiature straniere: macchine utensili, turbine a gas e altro ancora. Una parte significativa delle moderne apparecchiature industriali richiede una connessione continua a Internet, anche al fine di escluderne l'uso per esigenze militari (se tale era la condizione di consegna). Oltre alla possibilità di bloccare la nostra industria, per lo più legata a macchine e software stranieri, un potenziale avversario potrebbe essere in grado di scaricare programmi per la realizzazione di prodotti direttamente dalle "proprie" macchine, ricevendo infatti anche più del semplice progetti - tecnologia di produzione. O l'opportunità a un certo momento di dare il comando di iniziare a "rincorrere" un matrimonio, quando, ad esempio, ogni decimo o centesimo prodotto è difettoso, il che porterà a incidenti, caduta di missili e aerei, licenziamenti, cause penali, perquisizioni per il colpevole, fallimento di contratti e ordini di difesa dello Stato.
Produzione in serie di armi informatiche
Nessuna guerra può essere solo difensiva: la sconfitta in questo caso è inevitabile. Nel caso delle armi informatiche, la Russia deve non solo difendersi, ma anche attaccare. E la creazione di truppe informatiche non aiuterà qui: è proprio l'"impianto" per la produzione in serie di software dannoso che è necessario.
Secondo i dati che circolano nel pubblico dominio e nei media, si può concludere che la creazione di armi informatiche è attualmente effettuata dalle unità competenti dei servizi speciali e delle forze dell'ordine. Questo approccio può essere considerato errato. Non un solo ramo delle forze armate è impegnato in modo indipendente nella creazione di armi. Possono emanare termini di riferimento, controllare e finanziare la creazione di nuovi tipi di armi e assistere nel loro sviluppo. Tuttavia, le imprese del complesso militare-industriale sono direttamente coinvolte nella creazione di armi. E come notato in precedenza, gli ultimi esempi di armi informatiche, come i virus Stuxnet, Duqu, Wiper, Flame, Gauss, possono essere paragonati in complessità alle moderne armi ad alta precisione.
Prendiamo ad esempio il virus Stuxnet: per crearlo sono necessari specialisti in un'ampia varietà di campi: specialisti in sistemi operativi, protocolli di comunicazione, sicurezza delle informazioni, analisti comportamentali, specialisti di azionamenti elettrici, software di controllo centrifugo specializzato, specialisti di affidabilità e molti altri. Solo in un complesso possono risolvere il problema: come creare un virus che può raggiungere una struttura appositamente protetta che non è collegata a una rete esterna, rilevare l'attrezzatura richiesta e, modificando impercettibilmente le sue modalità operative, disabilitarla.
Poiché gli obiettivi delle armi informatiche possono essere industrie, infrastrutture, attrezzature e armi completamente diverse, l'"impianto" condizionale per la produzione in serie di armi informatiche includerà decine e centinaia di dipartimenti diversi, centinaia o addirittura migliaia di specialisti. In effetti, questo compito è paragonabile per complessità allo sviluppo di reattori nucleari, motori a razzo o turbogetto.
Si possono notare alcuni altri punti:
1. Le armi informatiche avranno una vita limitata. Ciò è dovuto al rapido sviluppo del settore IT, al miglioramento del software e dei mezzi per la sua protezione, a seguito del quale è possibile chiudere le vulnerabilità utilizzate in un'arma informatica precedentemente sviluppata.
2. La necessità di garantire il controllo sulla zona di distribuzione di un campione di armi informatiche per garantire la sicurezza delle proprie strutture. Allo stesso tempo, va tenuto presente che l'eccessiva limitazione della zona di distribuzione di un campione di armi cibernetiche può indicare indirettamente il suo sviluppatore, così come la diffusione predominante del virus Stuxnet nell'infrastruttura nucleare iraniana indica Israele e Stati Uniti come possibili sviluppatori. D'altra parte, non si può non notare l'opportunità che si apre per screditare deliberatamente un potenziale avversario.
3. Possibilità di applicazione ad alta precisione (in base ai compiti) - ricognizione, distribuzione / distruzione di informazioni, distruzione di elementi specifici dell'infrastruttura. Allo stesso tempo, un campione di armi cibernetiche può essere focalizzato simultaneamente sulla risoluzione di diversi problemi.
4. La gamma di scopi e obiettivi risolti dalle armi informatiche si espanderà costantemente. Comprenderà sia compiti tradizionali per l'estrazione di informazioni sia i compiti di contromisure informative (propaganda), distruzione fisica o danneggiamento di apparecchiature tecnologiche. Gli alti tassi di informatizzazione della società umana aumenteranno la fattibilità dello sviluppo di armi informatiche come risposta asimmetrica allo sviluppo del nemico di costosi sistemi di armi spaziali, ipersonici e ad alta precisione. Ad un certo punto, le armi informatiche possono confrontare il loro potenziale di impatto con le armi strategiche.
5. Garantire la sicurezza dell'infrastruttura IT nazionale è impossibile senza acquisire esperienza nella creazione di armi informatiche. È la creazione di armi informatiche offensive che consentirà di identificare i punti potenzialmente vulnerabili nelle infrastrutture informatiche e nei sistemi di difesa nazionali (questo è particolarmente importante vista l'introduzione di sistemi digitali di controllo automatico del combattimento).
6. Tenendo conto del fatto che lo sviluppo e l'uso delle armi informatiche devono avvenire in modo continuativo, anche in un "tempo di pace" condizionato, è necessario garantire il massimo livello di segretezza. Allo stesso tempo, lo sviluppo di armi informatiche non richiede la creazione fisica di enormi fabbriche, l'acquisto di attrezzature, la produzione di una vasta gamma di componenti, l'acquisizione di materiali rari o costosi, il che semplifica il compito di garantire la segretezza.
7. In alcuni casi, l'introduzione di malware dovrebbe essere effettuata in anticipo. Ad esempio, la rete iraniana a cui erano collegate le centrifughe era isolata da Internet. Tuttavia, avendo fornito la possibilità di scaricare il virus tramite supporti intermedi, gli aggressori si sono assicurati che un dipendente negligente (o un cosacco inviato) lo portasse sulla rete interna su un'unità flash. Richiede tempo.
Esempi di applicazioni
Prendiamo ad esempio lo stato condizionale in Medio Oriente, il più grande produttore di gas naturale ridotto (GNL), i cui interessi hanno iniziato a contraddire seriamente gli interessi della Federazione Russa.
Il Paese in questione possiede una rete di oleodotti e gasdotti, linee tecnologiche per la produzione di GNL, nonché una flotta di navi cisterna Q-Flex e Q-Max progettate per il trasporto di GNL. Inoltre, sul suo territorio si trova una base militare statunitense.
Un attacco armato diretto al paese in questione può fare più male che bene. Quindi, limitarti a un tuffo diplomatico? La risposta potrebbe essere l'uso di armi informatiche.
Le navi moderne stanno diventando sempre più automatizzate: stiamo parlando di navi cisterna e portacontainer completamente autonome. Non meno automazione viene utilizzata negli impianti di GNL. Pertanto, malware specializzato caricato nel sistema di controllo delle navi cisterna Q-Flex e Q-Max, o nei loro sistemi di stoccaggio GPL, consente teoricamente in un determinato momento (o su un comando esterno, se esiste una connessione di rete) di organizzare un incidente artificiale con distruzione totale o parziale dei vasi indicati. È molto probabile che vi siano vulnerabilità nei processi tecnici per la produzione di GNL, che renderanno possibile disabilitare l'impianto, anche con la possibilità della sua distruzione.
In tal modo si raggiungeranno diversi obiettivi:
1. Minare l'autorità dello stato condizionato come fornitore affidabile di risorse energetiche con il successivo possibile riorientamento dei consumatori verso il mercato russo del gas naturale.
2. Crescita dei prezzi mondiali delle risorse energetiche, consentendo di ricevere fondi aggiuntivi per il bilancio federale.
3. Diminuzione dell'attività politica dello stato condizionale e interferenza negli affari interni di altri stati della regione, a causa di una diminuzione delle sue capacità finanziarie.
A seconda del danno economico inflitto, può verificarsi un completo cambiamento dell'élite al potere, nonché una transizione verso un conflitto limitato tra lo stato condizionale e i suoi vicini, che potrebbero voler approfittare della debolezza del loro vicino per cambiare l'equilibrio di potere nella regione.
La chiave di questa operazione è la questione della segretezza. La Russia può essere direttamente incolpata se non ci sono prove chiare? Improbabile. Lo stato condizionale è pieno di nemici e concorrenti. E il loro alleato, gli Stati Uniti, è stato più volte visto condurre operazioni ostili anche contro i più fedeli di loro. Forse avevano bisogno di gonfiare i prezzi per supportare le loro compagnie minerarie usando costose fratture idrauliche? Niente di personale, solo affari…
Un'altra opzione per l'uso delle armi informatiche è stata suggerita da un recente incidente. Un'enorme nave - una nave cisterna o una nave portacontainer, passa uno stretto canale, improvvisamente il sistema di controllo dà una serie di comandi taglienti per cambiare la rotta e la velocità di movimento, a seguito della quale la nave gira bruscamente e blocca il canale, bloccando completamente esso. Può anche ribaltarsi, rendendo l'operazione di rimozione dal canale estremamente dispendiosa in termini di tempo e denaro.
In assenza di chiare tracce del colpevole, sarà estremamente difficile stabilirlo: chiunque può essere incolpato per questo. Sarà particolarmente efficace se tali incidenti si verificano contemporaneamente in più canali.
