Осень. Хмурая, дождливая осень. Иоганн очень не любил такую погоду. Но увы, чаще всего теперь небо будет покрыто тучами и солнышко будет редко проглядывать.
Сегодня должно состояться важное совершенно секретное совещание у директора департамента внешней разведки, куда приглашен Иоганн. Впервые приглашен. Интересно, о чем его захотят спросить, а в том, что захотят, он не сомневался, иначе бы просто не пригласили. Все. Пора собираться. Машина будет у порога через пять минут.
— Иоганн, мы рады вас видеть. Сегодня вы главный, потому как будут обсуждаться именно вопросы информационной безопасности. Дело в том, что мы поставляем во многие страны наше ИТ-оборудование и программное обеспечение. Не грозит ли это утечкой технологий? Как вы считаете? И вообще, чем нам это грозит?
— Прежде всего, хочу заметить, что нам это грозит притоком денег за наше аппаратное и программное обеспечение. Ну а если серьезно, то и нам и нашим соседям будут угрожать атаки злоумышленников, ведь атакуют именно то оборудование и ПО, которое шире распространено. Вместе с тем хочу заметить, что нам необходимо создавать отдельные подразделения, которые будут искать уязвимости в соответствующем обеспечении.
Но наряду с этим мы должны заранее встраивать в экспортируемое оборудование наши закладки и бэкдоры. Ведь сегодня это оборудование используют наши друзья, а завтра? Именно поэтому мы должны продавать это оборудование и союзникам, и потенциальным соперникам.
— Но что скажут на это производители?
— Да что они скажут? Они наши граждане. И их корпорации работают здесь, потому они не скажут ничего. Зато представьте себе следующий сценарий простейших векторов атак.
Сетевая инфраструктура. Вся сетевая инфраструктура провайдеров на наших устройствах. Отлично. Интернета и связи у врага больше нет. А что есть — контролируется нами. VPN? Ах, не смешите.
Банковская система. Обрушение автоматизированной банковской системы со всеми данными о счетах клиентов в первой сотне банков, тем более разработчиков АБС мало, а уж дыр там вагон. Это не столь сложно, особенно для нас. Атаковать государственный банк потенциального врага, а почему бы и нет; там тоже стоит все наше родное. И оборудование, и операционные системы, да только зачем? Атаки на АБС даже топ-20 банков будет вполне достаточно для гарантированного массового хаоса и паники.
Энергетика, транспорт, водоснабжение. Что нам мешает остановить турбины на станциях (оборудование-то наше) и вмешаться в движение поездов (оборудование тоже наше), особенно учитывая наличие удаленного доступа к ним у самих же разработчиков. Водоснабжение — а почему бы нет ...
Остановить АЭС — и здесь возможны варианты через различные связанные системы, хотя это задача явно сложнее, но вполне решаема.
Заводы. Станки и разнообразное ключевое оборудование на важных заводах получают сигнал и перестают работать.
Достаточно для начала?
— Да, веселую картинку вы нам нарисовали.
— Ну, веселую или нет, не знаю. Но реальную.
Увы, описанное здесь — не фантастика. Оборудование Cisco на сегодня содержит как уязвимости, так и импланты от АНБ. Кому и как передает данные Google?