Читать «Третья мировая война. Какой она будет» онлайн - страница 134

Но даже в случае надлежащего управления существует риск случайной войны. Первые радиолокационные системы во времена холодной войны иногда не могли отличить огромные стаи канадских гусей от строя советских бомбардировщиков. Были времена, когда Соединенные Штаты запускали группы своих бомбардировщиков по направлению к определенным целям, ожидая, когда начальство воздушной обороны прояснит ситуацию и определит наверняка, подвергаемся ли мы нападению.

В кибервойне атака может начаться случайно, если кто-нибудь использует непроверенную программу и вместо того, чтобы добавить код, копирующий данные, использует код, который их удаляет. Кроме того, существует вероятность случайного запуска логической бомбы в результате действий оператора сети или какого-нибудь хакера, обнаружившего ее. Подобные шансы невысоки, но Киберкомандование и все те, кто участвует во взломах сетей других стран, обязаны придерживаться строгих правил, гарантирующих, что ошибок не будет. Риск случайной войны особенно увеличивается, если мы неправильно определяем, кто начал кибератаку против нас, и принимаем меры против неповинной страны.

8. Атрибуция

В учениях «Южно-Китайское море» ни одна из сторон не сомневалась в том, кто атаковал ее. Был политический аспект, росло напряжение вокруг морских нефтяных месторождений. Но что, если атаку совершил не Китай, а Вьетнам? По нашему сценарию Вьетнам является союзником Соединенных Штатов. Так с какой же стати ему нас атаковать? Да хотя бы для того, чтобы втянуть США в конфликт, заставить Вашингтон выступить против Китая. А что для этого может быть лучше, чем убедить Вашингтон в том, что Китай ведет кибервойну против Америки? А когда Китай начнет отрицать свое участие, США наверняка спишут это на попытку Китая оправдаться. (Если вы хотите рассмотреть подобный сценарий и готовы простить меня за некоторую саморекламу, прочитайте мой роман Breakpoint («Точка излома»), в котором затрагивается проблема кибервоенной атрибуции.)

Киберэкспертам на конференции Black Hat 2009 года задали вопрос: считают ли они проблему атрибуции столь существенной, как некоторые полагают, сложно ли выяснить, кто вас атаковал, и так ли важно, кто это сделал? Все до единого ответили, что проблема атрибуции не является такой уж важной. Нет, они не утверждают, что определить взломщика легко, просто данный вопрос их не тревожит. В большинстве своем эксперты являются сотрудниками корпораций, и после кибератаки первоочередной задачей для них будет восстановление системы и предотвращение подобных атак в дальнейшем. Опыт общения с ФБР убедил их в том, что вряд ли стоит даже сообщать правоохранительным органам о фактах взлома.

Для сотрудников ФБР, однако же, куда важнее знать, кто атаковал. Об этом может спросить президент. Возможно, понадобится послать взломщикам дипломатическую ноту протеста, как сделал секретарь Клинтон после новостей о попытках проникновения в Google из континентального Китая. Может быть, вы захотите нанести ответный удар, чтобы атаку прекратили. Один из способов найти взломщика — использовать отслеживающие программы, но есть вероятность, что вы дойдете лишь до какого-то промежуточного сервера. На этом этапе есть основания подать дипломатическую ноту с требованиями, чтобы правоприменяющий орган страны в рамках международного сотрудничества по расследованию преступлений получил ордер, осмотрел сервер и извлек записи. На это потребуется не один день, и нужные записи за это время сумеют уничтожить. Либо же виновная сторона откажется помочь вам. Когда следы прерываются, вы можете совершить «ответный взлом», проникнув на сервер и проверив данные. Разумеется, это будет незаконно, если только вы не офицер разведки. Но и проникновение на чужой сервер может не сработать, если взломщик скрыл свое нахождение. Во многих случаях вам придется находиться в режиме онлайн, наблюдая за тем, как атакующие пакеты проходят через серверы. Но, проследив путь через десяток серверов в разных странах, вряд ли вы обнаружите, что атака берет начало из места под названием «Российское агентство кибервоенного наступления». Даже если российское правительство организовало атаку, в целях безопасности оно наверняка будет действовать с сервера другого государства и, если это операция по сбору разведданных, вся полученная информация будет храниться в третьей стране. Далеко не всегда удается выяснить, кто атаковал вас, если только вы не находитесь в сети, которую использует взломщик, и не наблюдаете за процессом (что тоже не всегда возможно). Есть вероятность, что спецслужбы сумеют определить, на какой «языковой» клавиатуре писался код — арабской, кириллической или корейской, но они вряд ли вычислят самого хакера. Если даже выяснится, что атака шла из России, как было в случае с Эстонией и Грузией, власти страны, скорее всего, переложат вину на гражданских «хактивистов» и ничего им не сделают.