Черви, сети и виртуальные девушки

Угроза хакерских атак вынуждает компании закупать все более дорогие программные продукты и технологии. Между тем успех нападения уже давно обеспечивается "взломом" людей, а не техники

Сергей Скрипников

- Ну не знаю, получится ли у нас что-то с тобой, посмотри сначала на мою фотку в приатаченном файле.
Из электронной беседы

Сегодня практически в каждой компании есть свой системный администратор, однако то, чем он занимается, для многих руководителей остается загадкой. Представьте себе, что посреди рабочего дня с вашим сисадмином в используемой для обмена мгновенными сообщениями программе ICQ знакомится девушка. Разогревшись откровенным разговором, морально нестойкий сисадмин забывает обо всем и решает встретиться, обменявшись предварительно фото. Он нетерпеливо открывает присланное виртуальной пассией изображение, взятое с популярного порносайта, и даже не подозревает, что при просмотре активируется уникальный электронный вирус - червь, внедренный в картинку. Буквально за считанные минуты работы червя в системе доступ ко всей корпоративной сети для взломщика, притворившегося девушкой, открыт. А уж как заработать на этом, хакер знает (в крайней случае ему подскажут). И если вчера такую история сочли бы диковинкой, то сегодня нечто подобное может приключиться почти с каждым.

Подростки с горящими глазами

В 2004 году в России зарегистрировано около 13 тыс. киберпреступлений, что на 25% больше, чем в 2003 году (в прошлые годы рост достигал и 50%), рапортовал не так давно начальник бюро специальных технических мероприятий МВД Борис Мирошников. По данным главного информационного центра МВД России, раскрываемость преступлений в сфере компьютерной информации составила в прошедшем году 96%. В частных беседах представители правоохранительных органов называют другие цифры. По мнению собеседника "Эксперта", на самом деле не более 5-10% всех потерпевших обращаются в милицию. Это значит, что в прошлом году в России было совершено не менее 130 тысяч преступлений в сфере компьютерной безопасности, из которых было раскрыто менее 10%.

Возникает сразу два вопроса. Во-первых, почему количество обращений в милицию так мало, а раскрываемость при обращении так высока? И во-вторых, почему, несмотря на то что компании постоянно увеличивают расходы на защиту, проблема безопасности не решается, а количество преступлений год от года только растет?

На протяжении вот уже многих лет средства массовой коммуникации, включая кино, активно продвигают свой авантюрно-приключенческий образ хакера. По их версии, хакер - это юный вундеркинд, чудаковатый гений информационных технологий, проводящий дни напролет за компьютером, и что самое главное, это человек, атакующий кого-либо только для забавы или потому, что он борется за свободу доступа к информации для всего прогрессивного человечества. В действительности иначе как мифом этот образ не назовешь. Наш опрос специалистов, непосредственно работающих в области обеспечения информационной безопасности, показал: сегодня всех людей, способных провести компьютерную атаку, можно условно разделить на три группы.

Первый тип хакеров едва ли не вымирающий. Это настоящие увлеченные профессионалы, часто уже немолодые. Для них обнаружение и взлом уязвимых мест в информационной системе - это своеобразный спорт со свойственным ему азартом и риском. Такие люди нередко собирают уникальные коллекции обнаруженных "дыр", но каждый раз, находя таковые, быстро охладевают к ним и начинают искать новые. Они умеют подбирать ключи даже к самым сложным системам, но почти никогда до преступления дело не доходит. А раз ничего преступного эти хакеры не совершают, то правильнее считать их не преступниками, а новыми экстремальными спортсменами.

Хакеров второго типа один из наших собеседников назвал подростками с горящими глазами. Характерный представитель этого типа - молодой человек из средне- или малообеспеченной семьи, студент одного из первых курсов технического факультета вуза, посредственно разбирающийся в информационных технологиях, но очень ими увлеченный. "Такой, с позволения сказать, хакер обычно действует весьма примитивно: сначала он отыскивает на одном из форумов сообщение о существовании некоего уязвимого места в программном продукте, затем находит специфическую программу, способную организовать ограниченную атаку на него, и только потом начинает думать о целях", - рассказывает Юрий Максимов, технический директор российской компании Positive Technologies. Один из хакеров, относящий себя к первому типу и пожелавший остаться инкогнито, сказал в беседе с "Экспертом", что "'подростков' в сети становится все больше и больше. Они опасны не столько для окружающих, сколько для самих себя. Опасность заключается в их собственной глупости, которая в большинстве случаев приводит этих людей на тюремную скамью". Все, что под силу таким хакерам, - это изменить страничку слабозащищенного сайта (на жаргоне это называется "сделать дефейс") либо украсть у какого-нибудь рядового пользователя пароли доступа в интернет.

Наконец, к третьему типу хакеров, заслуживающему отдельного разговора, можно отнести людей, не просто увлеченных информационными технологиями, но предпочитающих извлекать из обнаруженных "дыр" выгоду. Здесь встречаются и профессионалы, и посредственные специалисты. Обычно это люди 23-25 лет с высшим техническим образованием. Именно они представляют основную угрозу и для обывателя, и для бизнеса. "Восемьдесят-девяносто процентов всех вредоносных программ создается сейчас в корыстных целях и отнюдь не детьми, а профессиональными злоумышленниками", - уверен Евгений Касперский, руководитель ведущей российской компании по антивирусной защите "Лаборатория Касперского".

Возвращаясь к первому вопросу, можно утверждать, что раскрываемость у нас зашкаливает, потому что правоохранительные органы чаще всего ловят преимущественно хакеров второго типа. "Высокие цифры появляются по той причине, что заявления пишутся только тогда, когда и личность преступника установлена, и полностью собрана доказательная база. А сделать это можно лишь в тех случаях, когда в роли преступника выступил неопытный подросток", - считает хакер, согласившийся побеседовать с "Экспертом". По данным нашего источника в МВД, до 90% всех задержанных - молодые люди не старше 22 лет.

Нашествие зомби-сетей

Можно выделить три модели бизнеса, которым промышляют "профессионально криминальные" хакеры.

Прежде всего речь идет о воровстве или мошенничестве в банковском секторе. За редкими исключениями банковский бизнес хакеров представляет собой так называемые кардинг и фишинг. Кардинг - это кража номеров кредитных карт, фишинг - кража данных для доступа к счету в интернет-банке. И то и другое предполагает, что вслед за непосредственной кражей должны последовать определенные операции по снятию денег со счета, их переводу в удобное для хакера место и последующему обналичиванию. Несмотря на то что кардеры и фишеры - самая презираемая каста хакеров, они богаче всех. С развитием систем электронных переводов и интернет-платежей ловить таких людей год от года становится все сложнее. Украденные деньги отмываются порой самыми изощренными способами: хакеры выбирают для переводов банки тех стран, с правоохранительными ведомствами которых затруднено взаимодействие. (Для России это, например, банки бывших прибалтийских республик.)

Вторая возможная модель хакерского бизнеса - создание так называемых зомби-сетей. Зомби-сеть - это виртуальная сеть, состоящая из большого числа зараженных вирусами компьютеров. В роли вируса обычно выступает специально написанный хакером электронный червь, который после заражения прячется в системе и может долго не проявлять никакой активности, а по сигналу автора начинает выполнять те или иные запрограммированные действия. Чаще всего зомби-сети продаются для поддержки спамерского бизнеса. Он может включать в себя множественные рассылки рекламных писем с ваших почтовых ящиков, установку на вашем компьютере программного обеспечения, используемого для показа рекламы (adware), либо программ электронного шпионажа и слежения (spyware). Spyware может также использоваться и в рамках первой модели: например, простейшая шпионская программа, кейлоггер, регистрирует все нажатия клавиш на вашей клавиатуре. А значит, все пароли, которые вы когда-либо ввели у себя на компьютере, могут быть отслежены и направлены злоумышленнику.

Третий бизнес хакеров - это вымогательство. Жертвами оказываются компании, для которых информационная система является одним из ключевых элементов бизнеса. Это территориально распределенные структуры, где руководство осуществляется посредством интернет-коммуникаций, компании, обладающие корпоративными сайтами и дорожащие своей репутацией, либо компании, чей бизнес сосредоточен в сети. Кибер-рэкет обычно осуществляется следующим образом. Сначала хакер демонстрирует жертве свои возможности - непродолжительной, но мощной атакой. На следующем этапе хакер присылает компании анонимное письмо, в котором указывает, сколько денег он хочет за то, чтобы оставить ее в покое. Если компания решает-таки вступить в переговоры со злоумышленником, то стороны окончательно договариваются о сумме "отката" и способе передачи денег. В итоге хакер оставляет жертву в покое, чтобы найти новую либо вернуться к старой через некоторое время, высасывая из нее деньги постепенно. Если же компания отказывается платить, то на нее обрушивается хакерская атака. Чаще всего речь идет о так называемой распределенной атаке на отказ в обслуживании (ddos-атака), проводящейся с десятков, сотен или тысяч зараженных компьютеров, входящих в зомби-сеть. Особой изобретательности ddos не требует: зараженные червем компьютеры, разбросанные по всему миру, обрушивают на жертву миллионы запросов и на время атаки погребают под собой ее серверы, имеющие доступ в интернет.

Именно такая, причем крупнейшая в истории России, хакерская интернет-атака была проведена в середине прошлого года на сайт крупного Forex-клиента "Альпари". Сайт был размещен на сервере компании Data Fort, дочерней структуры IBS. Мощность осуществленной атаки можно сравнить разве что с совокупной мощностью российского канала в интернете (свыше 3 гигабит). Это означает, что в какой-то момент почти все магистрали доступа России в международную сеть выступали лишь в качестве проводника для хакерского нападения. Сотрудники Data Fort сумели не только отбиться, но и выследить злоумышленников. Для этого, как рассказал "Эксперту" директор Data Fort Дмитрий Комиссаров, были задействованы и личные связи с телекоммуникационными компаниями, которые попросту на время "закрыли" каналы связи, по которым велась атака, и тесное сотрудничество с правоохранительными органами. Дмитрий Комиссаров уверен, что "людей, желающих поживиться за ваш счет, становится все больше, поэтому наш случай едва ли послужит уроком. Количество атак на российские компании со временем будет только расти, а противостоять им будет все сложнее".

Инженеры человеческих душ

Что общего в трех описанных выше моделях? Прежде всего, во всех случаях требования к их организатору не исчерпываются чисто техническими знаниями и навыками. Во всех случаях нужен и блестящий программист, и тонкий психолог, и опытный финансист, и прозорливый предприниматель. Именно поэтому хакеры начали объединяться (подробнее об организации хакерского сообщества см. "Атака на память"). "Долгое время кибер-преступники были сильно разрознены и не были организованы, но сейчас наблюдается тенденция к их интеграции в криминальные кибер-группы", - констатирует Евгений Касперский.

Вот один из примеров такого объединения. В Бразилии в октябре прошлого года были арестованы 50 человек, входящих в единую хакерскую группировку. К тому времени бразильские кибер-преступники сумели украсть в сети свыше 30 миллионов долларов. И если случаи, когда это под силу одному человеку, редки, то кибер-группы могут добиваться таких результатов в массовом порядке.

Сегодня минимальный состав хакерской группы - три человека: программист, финансист и специалист по психологии. Причем последний зачастую играет едва ли не ведущую роль при проведении атак. Рассказывает Юрий Максимов, занимающийся в том числе и организацией так называемых тестов на проникновение, то есть тестов на уязвимость корпоративных сетей: "По нашему опыту, в большинстве случаев, когда нам удается осуществить проникновение, успех достигается за счет 'взлома' людей, а не техники". Люди, близкие к хакерским кругам, называют такой подход социальной инженерией.

Кевин Митник, один из тех легендарных хакеров, благодаря которым термин приобрел популярность, отсидел в американской тюрьме более пяти лет за свои преступления, однако он никогда не занимался чисто техническим взломом информационных систем. Его ноу-хау - поиск ключей к людям, а не к компьютерам. Сейчас, когда Кевин уже искупил свою вину перед обществом, он руководит собственной компанией, оказывающей консультационные услуги в области безопасности. Посетив недавно Москву, Митник в очередной раз призвал общественность обратить особое внимание на угрозы социальной инженерии и разработать специальные процедуры обеспечения информационной безопасности. Бывший хакер подчеркнул, что даже новейшие биометрические системы (основанные на идентификации отпечатков пальцев, рисунка радужки и т. п.) бессильны перед смышленым социальным инженером.

Вот пример того, как социоинженер может "взламывать" людей. Всем сотрудникам организации рассылается поддельное письмо от лица и за подписью руководителя службы ИТ или информбезопасности. В письме с соблюдением всех корпоративных стандартов (привычные цвета, оформление, язык, подписи и т. д.) сотрудников просят срочно установить последнее обновление системы безопасности, устраняющее найденные недавно "дыры". В роли обновления выступает небольшая программа, в которую зашит электронный червь. Ничего не подозревая, сотрудники дружно ее ставят.

Или другой пример. В отдел кадров приходит резюме человека, идеально подходящего на недавно освободившуюся должность. По окончании собеседования соискатель предлагает посмотреть какую-нибудь дополнительную информацию о нем на usb-flash memory ("флэшка" - внешнее устройство памяти), например рекомендации. К файлу "пришит" зловредный червь, который активируется при запуске. А соискатель исчезает, оставив письмо, в котором пишет, что получил более выгодное предложение.

Рецепты кибер-врача

Теперь можно ответить на вопрос, почему компании не справляются с обеспечением надлежащего уровня информационной безопасности. Это происходит потому, что, закупив технически сложные системы защиты, они во всеоружии готовы встретить любую атаку образца трехлетней давности, но абсолютно не способны бороться с сюрпризами, которые преподносит им сегодняшний день. Технических средств защиты у компаний действительно становится все больше, но ни по одиночке, ни объединившись они не защищают от "взлома" человека. Ситуация усугубляется еще и тем, что в российских структурах слабо развита культура планирования и оценки информационных рисков.

"Решая задачи обеспечения безопасности, российские компании нередко действуют наобум. Каждый раз с возникновением очередной проблемы руководство в лучшем случае решает купить что-нибудь новое, предпочитая не разбираться в сути проблемы, а заткнуть пробоину наспех. Однако в скором времени выясняется, что, создав систему защиты из десятков различных, порой трудно совместимых элементов, мы забыли объяснить людям, зачем они нужны и как с ними работать. Сейчас политика безопасности, даже если она и существует, никак не меняет реальные бизнес-процессы. Она либо освещает чисто техническую сторону вопроса, либо вовсе существует в качестве тяжелого талмуда, который хранится на пыльных полках", - считает Михаил Савельев, ведущий специалист российской компании "Информзащита".

Каким может быть решение этой проблемы? Возможных путей здесь два. Либо начать заново формировать собственную службу управления ИБ, собирая под свою крышу уже не только профессиональных технарей, но и опытных управленцев и психологов, либо, если это вам не по силам, обратиться к услугам консультантов по безопасности.