В нескончаемой войне за кибербезопасность Ирфан Ахмед, доктор философии, предоставляет хорошим парням цифровые криминалистические инструменты и знания для их использования.

Ахмед — адъюнкт-профессор компьютерных наук и директор Лаборатории безопасности и судебной экспертизы Департамента компьютерных наук VCU Engineering. В лаборатории SAFE он возглавляет пару проектов, направленных на защиту промышленных систем от злоумышленников и демонстрацию того, как инструменты, созданные для расследования кибератак, можно использовать для расследования других преступлений.

Кибератаки на физическую инфраструктуру могут быть инициированы для создания хаоса путем нарушения работы систем и/или удержания систем с целью получения выкупа. Лаборатория SAFE под руководством Ахмеда занимается защитой промышленных систем управления , используемых при эксплуатации атомных электростанций, плотин, систем электроснабжения и многих других объектов критической инфраструктуры в США. Проблема не нова: в 2010 году компьютерный червь Stuxnet атаковал центрифуги Иранские ядерные объекты перед тем, как вырваться на свободу и заразить «невинные» компьютеры по всему миру.

Кибератаки часто нацелены на часть архитектуры программного обеспечения, известную как управляющая логика, которая получает инструкции от пользователя и передает их для выполнения программируемому логическому контроллеру. Например, логика управления, контролирующая трубопровод природного газа, может быть запрограммирована на открытие клапана, если система обнаружит, что давление становится слишком высоким. Программисты могут изменить логику управления, но и злоумышленники тоже.

Один из проектов Ахмеда под названием «Цифровые криминалистические инструменты и методы для расследования атак на управляющую логику в промышленных системах управления» позволяет ему создавать устройства и методы, которые кибердетективы могут использовать в своих расследованиях. Он отметил, что возможности расследования являются недостаточно изученной областью, поскольку основное внимание уделяется предотвращению и обнаружению кибератак.

«Лучший сценарий — предотвратить атаки на промышленные системы», — сказал Ахмед. «Но если атака все-таки произойдет, что тогда? Именно здесь мы пытаемся восполнить пробел в VCU. И знания, которые мы получаем в ходе расследования кибератак, могут в дальнейшем помочь нам обнаруживать или даже предотвращать подобные атаки».

В мире кибербезопасности методы работы преступников находятся в постоянном развитии, и лаборатория Ahmed SAFE Lab уделяет пристальное внимание последним разработкам злоумышленников. Например, злоумышленник может пойти на более тонкий подход, чем изменение исходной логики управления. Метод атаки, называемый возвратно-ориентированным программированием, предполагает, что злоумышленник использует существующий код управляющей логики, но искусно переключает последовательность его выполнения. Другие злоумышленники могут вставить вредоносное ПО в другую область контроллера, запрограммированное на работу незамеченной до тех пор, пока оно не сможет заменить функцию исходной логики управления.

Злоумышленники всегда придумывают новые методы, но каждая атака оставляет след. Лаборатория SAFE исследует сценарии атак с помощью моделирования. Масштабные модели физических систем, включая лифт и ленточный конвейер, размещены в лаборатории для облегчения работы. Лифт представляет собой четырехэтажную модель с внутренними и внешними кнопками, подключенными к программируемому логическому контроллеру. Конвейерная лента более совершенна, оснащена индуктивными, емкостными и фотоэлектрическими датчиками и способна сортировать объекты.

Инструменты и методы, применяемые в борьбе с киберпреступностью, могут быть полезны при поиске других злоумышленников. Вот тут-то и появляется второй проект Ахмеда. Он называется «Экспериментальное обучение цифровой криминалистике, интегрированное в науку о данных, на основе реальных тематических исследований артефактов киберпреступности». Ахмед — главный исследователь, работающий с со-PI Костадином Дамевски, доктором философии, доцентом компьютерных наук.

Цель состоит в том, чтобы держать сотрудников правоохранительных органов в курсе последних тенденций в расследовании киберпреступлений и вооружать их новейшими инструментами и методами, в том числе разработанными в лаборатории SAFE.

«Например, следователям часто приходится просматривать тысячи изображений, электронных писем или чатов в поисках чего-то очень конкретного», — сказал Ахмед. «Мы считаем, что правильные инструменты обработки данных могут помочь им сузить этот поиск».

У ФБР и других правоохранительных органов уже есть специальные подразделения по киберрасследованию; в полиции штата Вирджиния есть отдел по сбору компьютерных улик в Ричмонде. Ахмед и Дамевски организуют сеансы, показывающие следователям, как методы науки о данных и машинного обучения могут повысить эффективность расследований за счет сортировки цифровых улик, которые все чаще становятся характерной чертой современной преступности.