Любая война начинается с определенной последовательности действий со стороны противника. Действия, будучи для любого внешнего наблюдателя событиями, находят отражение в новостях, которые черпаются как из открытых источников информации, так и добываются с помощью специальных технических средств и технологий, а также агентурным путем. Комплексный анализ всех полученных данных позволяет сделать выводы о наличии или отсутствии потенциальных угроз.
Так, например, предвоенный месяц Великой Отечественной войны, несмотря на взаимную риторику политиков и государственных деятелей о дружбе и сотрудничестве, сопровождался резким возрастанием нарушений со стороны Германии воздушного пространства СССР. При грамотно поставленной аналитической работе информация об этих событиях сама по себе была достаточна для определения даты начала войны. Ибо нарушения воздушного пространства вторичны — они результат уже исполняющегося плана по подготовке вторжения. Цель — разведка приграничной территории. И сообщения о нарушениях (времени и месте) позволяют сформировать картину о законченности подготовки к началу войны. В то время Интернета не было, поэтому выявление данной угрозы осталось на уровне субъективной точки зрения отдельных военных аналитиков, которые не смогли убедительно обосновать и довести свою точку зрения до руководства страны.
Однако приведенный пример больше относится к решению разведывательных задач с помощью информационного пространства. При проведении классической информационной операции события не прячут. Их, наоборот, придумывают и активно распространяют (поджог
Рейхстага, расстрел мирной демонстрации, зверства над детьми и инвалидами и т. п.). При этом цель другая — не разведать территорию противника (считается, что эта задача уже решена), а перепрограммировать живую силу противника в возможно короткие сроки. Именно поэтому надо четко различать задачи по выявлению угроз эмпирического мира, нашедших свое отражение в сети, и задач по выявлению разворачивающихся информационных операций. Но при этом надо понимать, что появление именно информационной операции соответствующей направленности — это сигнал, говорящий о том, что где-то рядом начинает формироваться военная угроза.
Прежде чем перейти к исследованию сети Интернет как источника информации о вызревающих угрозах и поля информационного противоборства, рассмотрим обобщенную модель перепрограммирования, основанную на таких параметрах, как:
• частота подачи материала, относящегося к заданной теме;
• значимость источника;
• охват населения.
Именно эти параметры являются значимыми для выявления информационных операций. Критерием победы и достижения цели считается отсутствие в СМИ, особенно в официальных СМИ, противоположной точки зрения. Если подобное происходит, но задача по свержению того или иного правительства или президента не решена, то тогда открывается зеленая улица для военного вторжения. Именно поэтому для «слабого» в военном отношении соперника важно уметь грамотно вести информационное противоборство. И если не выигрывать, то хотя бы создавать условия для затягивания информационной операции — выигрыш времени важен для мобилизации собственных сил.
В рамках противоборства в информационном пространстве без перехода к горячей фазе конфликтующими сторонами могут решаться следующие два класса задач:
1. Выявление угроз. Фильтрация и анализ содержимого заданного множества сайтов, интегрирование результатов и выработка управленческой стратегии.
2. Проведение информационных операций.
Информационные операции, на примере материалов сети Интернет, включают в себя:
• уничтожение реальных объектов и инфраструктуры, например, с помощью компьютерных вирусов и закладок. Характерным примером вирусов нового поколения для решения подобного класса задач является Stuxnet, который чем-то похож на высокоточное оружие — находит промышленные системы управления соответствующего изготовителя и берет над ними контроль, по команде из Центра способен заблокировать работу промышленного объекта, а то и уничтожить объект, скрытно управляя им;
• уничтожение, блокирование, дискредитация интернет-ресурсов. Одной из самых популярных атак для решения подобных задач являются DDoS-атаки. Так, в новостях Googte только за одни сутки, например, за 12 августа 2013 года было 35 сообщений по этой теме. Большинство сообщений похожи друг на друга, типа:
«Сегодня в 16:00 МСК на все наши сервера начали поступать DDoS-запросы GET и POST на большое число сайтов всех клиентов. Запросы направлены на панель администратора CMS Joomla (POST /admmistrator/mdex.php) и форму авторизации Wordpress (POST/wp-login.php).
Сотрудниками техподдержки составлены списки блокировки IP-адресов, а также списки стран для временной блокировки доступа. На данный момент насчитано более 12 000 атакующих IP из 10 стран. По всей видимости, атака носит глобальный характер и направлена именно на указанные CMS»[4];
• создание, раскручивание, рекламирование, навязывание интернет-ресурсов. Под термином «раскручивание» (продвижение) ресурса понимается комплекс мероприятий, направленных на поддержку и рост позиций ресурса в поисковых системах сети Интернет, увеличение целевой посещаемости ресурса, создание благоприятного имиджа и узнаваемости в Интернете. Раскрутка ресурса становится возможной благодаря наличию в Интернет таких сервисов, как поисковые системы, которыми регулярно пользуются практически все посетители сети. Поисковые системы собирают данные по ключевым словам и словосочетанием вместе со ссылками на ресурсы, где эти ключевые слова находятся. Объем выдачи поисковой системы в зависимости от запроса пользователя может изменяться в очень широких пределах, как полное отсутствие выдачи, так и тысячи ссылок, которые невозможно просмотреть в разумное время. Считается, что ресурс хорошо раскручен, если по основным терминам, отражающим суть данного ресурса, поисковые системы помещают ссылку в Топ-10 найденных ссылок. Тема раскручивания сайтов одна из самых популярных в Интернете. Запрос на словосочетание «раскручивание сайтов» дает в Googta более 1 330 000 результатов (интернет-страниц). Многие из этих страниц содержат предложения по реализации данной услуги;
• приведение к власти представителей определенных кругов, конкретных лиц. Актуальность объясняется взятием на вооружение сервисов Интернета для обоснования причин интервенции. Например, в случае с Ливией: «Война начиналась как чисто театральная постановка. Впервые была использована во всю мощь агитационная машина нового формата: Интернет и спутниковое телевидение. Впервые были построены масштабные декорации, копировавшие отдельные районы некоторых ливийских городов, в том числе — Триполи. Именно телевидение и Интернет нанесли первые удары. Формальным поводом для «народных» волнений стал арест правозащитника Фатхи Тербиля, которого быстро отпустили. Это случилось 15 февраля, а уже 17 февраля прошел «День гнева» с массовыми выступлениями в городах Бенгази, Бе-вида, Зентан, Ружбан и Дерна. Массовость их, будто бы, обеспечили социальные сети. По телевидению с утра до вечера гоняли очень мутные картинки, на которых были видны, в основном, ноги куда-то бегущих толп людей. Все это сопровождалось истеричными выкриками женщин и мужчин на тему о «страшных зверствах палачей Каддафи»[5] ;
• снижение уровня напряженности в заданном регионе/повы-шение уровня напряженности в заданном регионе. Например, фильм «Невинность мусульман», распространенный на определенные регионы через сеть Интернет, вызвал резкое повышение экстремистской активности. Так, в Египте разъяренная толпа ворвалась на территорию посольства США в Каире и сорвала американский флаг. В результате вооруженного нападения на американское диппредставительство в Бенгази погиб посол США в Ливии и еще трое американцев, в том числе двое морских пехотинцев[6];
• формирование общественного мнения на заданных интернетресурсах. В частности, подготовка общественного мнения для принятия противником законодательных актов ущербного для противника характера. Актуальность этой задачи именно для пространства Интернета следует еще и из того, что сегодня обсуждение наиболее значимых законопроектов в сети становится все более популярной мерой, цель которой — легитимировать принимаемые законы в глазах населения. Так, 23 августа 2012 г. Д.А. Медведев утвердил Концепцию формирования механизма публичного представления предложений граждан Российской Федерации с использованием информационно-телекоммуникационной сети «Интернет» для рассмотрения в Правительстве Российской Федерации предложений, получивших поддержку не менее 100 тыс. граждан Российской Федерации в течение одного года. Близкие по духу законы, позволяющие учитывать общественное мнение посетителей ресурсов Интернет, уже давно действуют в зарубежных странах;
• формирование имиджа (положительного/отрицательного) посредством целенаправленной коммуникационной политики. В частности, повышение/понижение статуса определенной страны/органи-зации/человека и др. Характерный пример, который на слуху в связи с выборами мэра в Москве 2013 года, — борьба некоего Н с партией «Единая Россия». Борьба, в основном, шла через Интернет и, именно благодаря Интернету ему удалось причинить серьезный ущерб имиджу партии путем высмеивания. Высмеивание иногда действует гораздо сильнее, чем открытые уголовные дела. Считается, что Н организовал сайт с доменным именем партия-жуликов-и-воров. рф.
Подобное делается довольно просто: регистрируется имя, приобретается хостинг для размещения, после чего созданный сайт транслирует через себя официальный сайт партии, но прилепив ему соответствующее издевательское название.
Так же просто и защититься от подобных операций. И не только защититься, но и подсунуть противнику нечто, его самого позорящее. Важно только вовремя выявить эти операции. В данном случае руководство «Единой России» не придало значения атаке, не защитило себя, и в результате процесс волной прокатился по всему Интернету, вызвав лавину насмешек и серьезно изменив отношение нейтральных пользователей к данной теме.
На сегодняшний день проблема полноты задач информационного противоборства для телекоммуникационного пространства остается открытой. Классификация задач, решаемых в сети Интернет с помощью проведения информационных операций, требует своего дальнейшего исследования.
Конструирование информационной операции осуществляется специалистом, используя наработанную исторической практикой базу готовых шаблонов и допустимые связи от целей к подцелям, задачам, объектам воздействия, информационным материалам, способам воздействия и собственным силам и средствам. Кроме знаний и понимания, что и как делать, специалисту нужны инструментальные средства и технологии. Подобные инструментальные средства и технологии принято относить к информационному оружию.
Понятие «информационное оружие» имеет не один десяток определений, многие из которых базируются на особенностях среды применения оружия, объектов воздействия и глобальности или локальности его применения. Не вдаваясь в дебаты о строгости существующих определений информационного оружия, приведем классификацию технических средств, относимых к информационному оружию, применительно к организации информационной операции в среде Интернет.
Постараемся провести такую классификацию, которая бы обладала определенной полнотой по охвату всего спектра возможных информационных воздействий в среде Интернет. Наличие полноты позволит нам в дальнейшем проводить сравнительные оценки и определять наиболее приоритетные классы технических средств, способных помогать специалисту решать соответствующие задачи.
При этом в условиях дефицита специалистов, в первую очередь разработчиков, целесообразно классифицировать технические средства таким образом, чтобы максимально полно использовать наработанные специалистами изделия и технологии в пределах каждого класса.
Информационное оружие представляет собой технические средства и технологии, целенаправленно применяемые для активизации, уничтожения, блокирования или создания в информационной системе процессов, в которых заинтересован субъект, применяющий оружие.
Существует классический подход применения любого оружия в боевых действиях: постановка задачи, разведка, планирование, проведение операции, оценка результативности. Причем процесс охвачен обратными связями и не всегда завершается, как запланировано. На разных этапах этого процесса возможно применение различных инструментальных средств и технологий. Наша задача при ведении классификации заключается в том, чтобы охватить все множество воздействий, где возможна хоть какая-то автоматизация, при этом объединить те технические средства и технологии, для которых допустим единый подход в части формирования знаний и умений разработчиков. С одной стороны — охватить всё, с другой — минимизировать собственные ресурсы.
Анализ существующего информационного оружия в сфере Интернет показал, что это оружие развивается по следующим основным направлениям, в рамках которых оно и применяется:
• разведка;
• проведение специальных операций;
• планирование информационных операций, управление процессом их проведения и оценка результативности.
Каждое направление в силу специфики применяемых средств и технологий требует своих специалистов/разработчиков.
При этом важно, что объектами информационного воздействия по каждому направлению могут быть как ресурсы сети (сайты, локальные компьютеры), так и посетители сети, что тоже требует разной подготовки разработчиков в части знания объекта воздействия. Таким образом, мы приходим к следующей классификационной схеме (рис. 1.2.1).
РИСУНОК 1.2.1. Классификация информационного оружия
Информационное оружие целесообразно разделить на шесть классов.
В части разработки технических средств и технологий для ведения разведывательной деятельности:
Класс № 1. Средства разведки и мониторинга состояния ресурсов Сети. Здесь речь идет о разработке технических средств для мониторинга сетевых ресурсов с целью:
• выявления фактов появления новых тем (подобное довольно часто связано с началом информационной операции);
• выявления фактов появления новых ресурсов заданной направленности;
• выявления связей между ресурсами;
• выявления отношений предпочтения ресурсов;
• проведения онлайн-опросов посетителей заданных ресурсов по заданной теме.
Класс № 2. Средства разведки и мониторинга деятельности посетителей Сети. Речь идет о разработке технических средств для изучения поведения посетителей сети путем сбора данных об IP-адресах и программном обеспечении компьютеров, зафиксированных на разных ресурсах Сети. Удачное решение данной задачи и, в случае наличия знания о провайдерах государственных или политических структур, представляющих интерес, позволит строить поведенческие интернет-портреты пользователей заданной организации, а порой и конкретных людей.
В части разработки технических средств и технологий для проведения специальных мероприятий.
Класс № 3. Средства активного воздействия на ресурсы сети, включая вывод из строя, блокировку работы, как отдельных модулей, так и сегментов сети Интернет. Речь идет о создании и применении широкого спектра различного типа программных средств скрытого информационного воздействия, специальных подставных ресурсов, в том числе технологии ботнетов, для организованного и целенаправленного выполнения команд центра.
Класс № 4. Средства активного воздействия на посетителей Сети. Речь идет о разработке технических средств, позволяющих решать задачу по размещению в Сети на заданном множестве ресурсов и служб специально подготовленных мультимедийных материалов и ссылок: с помощью почтовых сообщений, с помощью рассылки через форумы, чаты, блоги, социальные сети, комментарии к новостям и др.
В качестве основы для технических средств обоих классов правильнее рассматривать средства скрытого контроля и при необходимости воздействия на ресурсы Сети. Речь идет о разработке программных средств скрытого информационного воздействия и специальных технологий, которые базируются на знании уязвимостей широко используемых программных продуктов, включая применяемые разработчиками и пользователями средства защиты.
В части разработки технических средств и технологий помощи при планировании и проведении информационных операций.
Класс № 5. Средства планирования, управления информационными операциями (ИО) и оценки их результативности в технической сфере.
Класс № 6. Средства планирования, управления информационными операциями (ИО) и оценки их результативности в гуманитарной (социальной) сфере.
На результативность проведения информационной операции большое влияние оказывает качество ее подготовки и возможность грамотного управления непосредственно в режиме реального времени. В зависимости от сферы применения (техническая/гуманитарная) должны быть использованы свои характеристики и алгоритмические особенности поведения объектов воздействия.
Предложенная классификация информационного оружия во многом определяет структуру данной книги. Это:
• выявление угроз в гуманитарной сфере путем анализа новостных тематик;
• выявление угроз в технической сфере путем анализа общей динамической схемы мировых DDoS-атак на сайты различных представительств и учреждений;
• исследование составных компонент информационной операции в среде Интернет, как в технической, так и гуманитарной сфере;
• исследование вопросов автоматизации процессов планирования и моделирования информационных операций.