Кибервойны, энергобезопасноть и прочая туфта для лоха...

Знаете, не люблю я на кого-то наезжать. Я вообще вполне себе мирный человек. Но тут прям знаете, как-то даже обидно стало. Не уж-то всё так вот плохо? Или просто сие кому-то выгодно??? Как по мне, так просто выгодно... Ну да будем обо всём по порядку... Началось всё с поста Евгения Касперского, ну или его пресс службы, уж не знаю кто там кнопочки нажимал, но в итоге этот пост попал рекламой в мою ленту ЖЖ-френдов (одна из причин, почему я не хочу писать в ЖЖ, кто деньги платит, тот в каждой дыре сверкает, причём писать можно откровенный бред).
На этой неделе вышел отчет британского исследовательского центра, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная. От выводов исследования волосы понимающего человека начинают отчетливо шевелиться:
  1. Никакой «физической изоляции» компьютерных сетей атомных станций не существует, это миф (тут замечу, что речь идет только о тех станциях, с которыми знакомы опрошенные международные эксперты; в любом случае, никакой конкретики). Британцы пишут, что на АЭС часто существуют соединения через VPN, часто их делают подрядчики, часто они в принципе не документированы, иногда просто забыты, но вполне себе живы и готовы к использованию.
  2. Большое количество такого рода подключенных систем без проблем находятся в интернете через поисковики вроде Shodan.
  3. Если изоляция существует, то она преодолевается с помощью флэшек (привет, Stuxnet!)
  4. Атомная энергетическая отрасль по всему миру мало участвует в обмене информации о кибер-инцидентах, и в результате, мало учится у более продвинутых в этой сфере отраслей.
  5. При этом повсеместно по экономическим соображениям увеличивается использование массового коммерческого (уязвимого) софта.
  6. Множество промышленных систем управления изначально небезопасно спроектированы, и патчить их, без ущерба для производственных процессов, очень трудно.
  7. И много-много чего ещё, в полном отчете 53 страницы.
Я не знаю каких таких экспертов опрашивали британские исследователи. Но я сильно сомневаюсь в их заключениях по нескольким причинам. Во-первых никто и никогда не доверит компьютеру принимать решения в монопольном варианте, даже людей всегда дублируют люди и за этим всем наблюдают другие люди. Во-вторых нет никакой технической необходимости иметь связь АЭС (я сейчас говорю про блок управления реактором) с внешним миром, а порой даже между собой, внутри блока. В-третьих если вы захотите пронести флешку на блок управления реактором, то самое простое это сделать на ЛАЭС, лишь потому что вам хотя бы просто так без проверки дадут возможность к ней подъехать, все остальные АЭС имею зону отчуждения и первый свой досмотр вы пройдёте за несколько километров от станции (если конечно сможете получить разрешение на посещение). Следующий досмотр вы пройдёте на входе на станцию. Не знаю как в Европе (но подозреваю что примерно так же) но даже сотрудники АЭС не могут просто так внести любое электронное устройство на станцию, а уж на территорию блока управления и подавно. Но даже если вы умудритесь спрятать и пронести сию флэшку, то перед входом на блок управления вы пройдёте еще один контроль включая рентген. И вот даже если вы окажитесь Гуддини и пронесёте сию флешку, то возникает вопрос, а куда собственно вы ее собрались втыкать? Все компьютеры блока управления мало того что жёстко вмонтированы в консоль управления, так они еще и не имеют физически разъёмов USB или иных способов внесения в них информации. Ну бог с ним, вы не просто Гуддини, вы еще и флеш и способны набирать 10 тысяч знаков в секунду и просто набъёте на клавиатуре всё то что хотели принести на флешке. Дальше что? Компьютеры не принимают решений, они лишь получают данные от датчиков и обрабатывают их в красивые картинки. Ну еще иногда подают звуки. Всё. Всё остальное делают люди. Те самые АСУТП о которых говорит господин Касперский занимаются лишь мониторингом и по сути могут подсказать какую последовательность кнопочек нажать. Так что ваши труды равносильны тому что вы влезли в систему видеонаблюдения банка и пытаетесь через нее утащить деньги, что скопируете изображение? Поездочка на ЛАЭС 1&2 Все действия с реактором производятся путём поворота или нажатия кнопочек, а особо важные кнопочки и ручечки еще и прикрыты пластиковыми колпаками, ну так чтобы валенком кто чего случайно не переключил. И толку от ваших флешек??? Или от открытых VPN-ов??? Вот знаете, на самом деле всё это я писал совсем не просто так. Евгений пишет о кибервойне и о том как всё это опасно. Знаете, я вот его читал, а сам думал, это же всё равно что скажем руководство концерна Калашников будет рассуждать о войне в Сирии. Все мы знаем старую поговорку: "Кому война, а кому мать родна..." И в данном случае, вся эта суета со сторону Касперского выглядит как реклама своих же супер программ. Но даже это не заставило бы меня писать весь этот текст. Теперь так сказать вишенка на торте. На мой публичный почтовый ящик постоянно поступают письма следующего характера: Кибервойны, энергобезопасноть и прочая туфта для лоха...Кибервойны, энергобезопасноть и прочая туфта для лоха... И ежу понятно, что если кликнуть по ссылке и скачать архив, то получишь в архиве вирус, который зашифрует и уничтожит вашу систему. Но всё бы ничего, только вот я слабо себе представляю хакера, который активно занимается вирусными рассылками исключительно за ради того чтобы просто грохнуть системы множества пользователей. Прям эдакий Робин Гад, хотя нет, даже на Робин Гуда он собственно не тянет. Потому как тот хоть раздавал награбленное бедным. А тут прям за ради чисто поржать. И вот возникает вопрос, а какой собственно интерес был у этого хакера? Что получил человек за свои так сказать старания? Единственный кому сие приносит пользу, вернее говоря сулит доход, это производители антивирусов. Таки и что получается? Прям почти теория заговора... Хотя впрочем ничего сверх естественного, самая обычная мотивация населения на те или иные действия. А что? Очень даже удобненько и бюджетненько, а главное работаешь сразу напрямую с потребителем. Ну и не забываешь пописывать статейки о страшных хакерах и уязвимостях огромных предприятий, а лучше космодромов, ядрЁных станций и военных объектов, ну так чтобы звучало пострашнее, всё равно обыватель не будет проверять, а те к то в теме, те даже и читать не станут, они то уже в теме... ;) Вот так собственно и живём...