Клуб выпускников МГУ (Московский Государственный Университет) |
Черви, сети и виртуальные девушки
Угроза хакерских атак вынуждает компании закупать все более дорогие программные продукты и технологии. Между тем успех нападения уже давно обеспечивается "взломом" людей, а не техникиСергей Скрипников - Ну не знаю, получится ли у нас что-то с тобой, посмотри сначала на мою фотку в приатаченном файле. Сегодня практически в каждой компании есть свой системный администратор, однако то, чем он занимается, для многих руководителей остается загадкой. Представьте себе, что посреди рабочего дня с вашим сисадмином в используемой для обмена мгновенными сообщениями программе ICQ знакомится девушка. Разогревшись откровенным разговором, морально нестойкий сисадмин забывает обо всем и решает встретиться, обменявшись предварительно фото. Он нетерпеливо открывает присланное виртуальной пассией изображение, взятое с популярного порносайта, и даже не подозревает, что при просмотре активируется уникальный электронный вирус - червь, внедренный в картинку. Буквально за считанные минуты работы червя в системе доступ ко всей корпоративной сети для взломщика, притворившегося девушкой, открыт. А уж как заработать на этом, хакер знает (в крайней случае ему подскажут). И если вчера такую история сочли бы диковинкой, то сегодня нечто подобное может приключиться почти с каждым. Подростки с горящими глазамиВ 2004 году в России зарегистрировано около 13 тыс. киберпреступлений, что на 25% больше, чем в 2003 году (в прошлые годы рост достигал и 50%), рапортовал не так давно начальник бюро специальных технических мероприятий МВД Возникает сразу два вопроса. Во-первых, почему количество обращений в милицию так мало, а раскрываемость при обращении так высока? И во-вторых, почему, несмотря на то что компании постоянно увеличивают расходы на защиту, проблема безопасности не решается, а количество преступлений год от года только растет? На протяжении вот уже многих лет средства массовой коммуникации, включая кино, активно продвигают свой авантюрно-приключенческий образ хакера. По их версии, хакер - это юный вундеркинд, чудаковатый гений информационных технологий, проводящий дни напролет за компьютером, и что самое главное, это человек, атакующий кого-либо только для забавы или потому, что он борется за свободу доступа к информации для всего прогрессивного человечества. В действительности иначе как мифом этот образ не назовешь. Наш опрос специалистов, непосредственно работающих в области обеспечения информационной безопасности, показал: сегодня всех людей, способных провести компьютерную атаку, можно условно разделить на три группы. Первый тип хакеров едва ли не вымирающий. Это настоящие увлеченные профессионалы, часто уже немолодые. Для них обнаружение и взлом уязвимых мест в информационной системе - это своеобразный спорт со свойственным ему азартом и риском. Такие люди нередко собирают уникальные коллекции обнаруженных "дыр", но каждый раз, находя таковые, быстро охладевают к ним и начинают искать новые. Они умеют подбирать ключи даже к самым сложным системам, но почти никогда до преступления дело не доходит. А раз ничего преступного эти хакеры не совершают, то правильнее считать их не преступниками, а новыми экстремальными спортсменами. Хакеров второго типа один из наших собеседников назвал подростками с горящими глазами. Характерный представитель этого типа - молодой человек из средне- или малообеспеченной семьи, студент одного из первых курсов технического факультета вуза, посредственно разбирающийся в информационных технологиях, но очень ими увлеченный. "Такой, с позволения сказать, хакер обычно действует весьма примитивно: сначала он отыскивает на одном из форумов сообщение о существовании некоего уязвимого места в программном продукте, затем находит специфическую программу, способную организовать ограниченную атаку на него, и только потом начинает думать о целях", - рассказывает Наконец, к третьему типу хакеров, заслуживающему отдельного разговора, можно отнести людей, не просто увлеченных информационными технологиями, но предпочитающих извлекать из обнаруженных "дыр" выгоду. Здесь встречаются и профессионалы, и посредственные специалисты. Обычно это люди 23-25 лет с высшим техническим образованием. Именно они представляют основную угрозу и для обывателя, и для бизнеса. "Восемьдесят-девяносто процентов всех вредоносных программ создается сейчас в корыстных целях и отнюдь не детьми, а профессиональными злоумышленниками", - уверен Возвращаясь к первому вопросу, можно утверждать, что раскрываемость у нас зашкаливает, потому что правоохранительные органы чаще всего ловят преимущественно хакеров второго типа. "Высокие цифры появляются по той причине, что заявления пишутся только тогда, когда и личность преступника установлена, и полностью собрана доказательная база. А сделать это можно лишь в тех случаях, когда в роли преступника выступил неопытный подросток", - считает хакер, согласившийся побеседовать с "Экспертом". По данным нашего источника в МВД, до 90% всех задержанных - молодые люди не старше 22 лет. Нашествие зомби-сетейМожно выделить три модели бизнеса, которым промышляют "профессионально криминальные" хакеры. Прежде всего речь идет о воровстве или мошенничестве в банковском секторе. За редкими исключениями банковский бизнес хакеров представляет собой так называемые кардинг и фишинг. Кардинг - это кража номеров кредитных карт, фишинг - кража данных для доступа к счету в интернет-банке. И то и другое предполагает, что вслед за непосредственной кражей должны последовать определенные операции по снятию денег со счета, их переводу в удобное для хакера место и последующему обналичиванию. Несмотря на то что кардеры и фишеры - самая презираемая каста хакеров, они богаче всех. С развитием систем электронных переводов и интернет-платежей ловить таких людей год от года становится все сложнее. Украденные деньги отмываются порой самыми изощренными способами: хакеры выбирают для переводов банки тех стран, с правоохранительными ведомствами которых затруднено взаимодействие. (Для России это, например, банки бывших прибалтийских республик.) Вторая возможная модель хакерского бизнеса - создание так называемых зомби-сетей. Зомби-сеть - это виртуальная сеть, состоящая из большого числа зараженных вирусами компьютеров. В роли вируса обычно выступает специально написанный хакером электронный червь, который после заражения прячется в системе и может долго не проявлять никакой активности, а по сигналу автора начинает выполнять те или иные запрограммированные действия. Чаще всего зомби-сети продаются для поддержки спамерского бизнеса. Он может включать в себя множественные рассылки рекламных писем с ваших почтовых ящиков, установку на вашем компьютере программного обеспечения, используемого для показа рекламы (adware), либо программ электронного шпионажа и слежения (spyware). Spyware может также использоваться и в рамках первой модели: например, простейшая шпионская программа, кейлоггер, регистрирует все нажатия клавиш на вашей клавиатуре. А значит, все пароли, которые вы когда-либо ввели у себя на компьютере, могут быть отслежены и направлены злоумышленнику. Третий бизнес хакеров - это вымогательство. Жертвами оказываются компании, для которых информационная система является одним из ключевых элементов бизнеса. Это территориально распределенные структуры, где руководство осуществляется посредством интернет-коммуникаций, компании, обладающие корпоративными сайтами и дорожащие своей репутацией, либо компании, чей бизнес сосредоточен в сети. Кибер-рэкет обычно осуществляется следующим образом. Сначала хакер демонстрирует жертве свои возможности - непродолжительной, но мощной атакой. На следующем этапе хакер присылает компании анонимное письмо, в котором указывает, сколько денег он хочет за то, чтобы оставить ее в покое. Если компания решает-таки вступить в переговоры со злоумышленником, то стороны окончательно договариваются о сумме "отката" и способе передачи денег. В итоге хакер оставляет жертву в покое, чтобы найти новую либо вернуться к старой через некоторое время, высасывая из нее деньги постепенно. Если же компания отказывается платить, то на нее обрушивается хакерская атака. Чаще всего речь идет о так называемой распределенной атаке на отказ в обслуживании (ddos-атака), проводящейся с десятков, сотен или тысяч зараженных компьютеров, входящих в зомби-сеть. Особой изобретательности ddos не требует: зараженные червем компьютеры, разбросанные по всему миру, обрушивают на жертву миллионы запросов и на время атаки погребают под собой ее серверы, имеющие доступ в интернет. Именно такая, причем крупнейшая в истории России, хакерская интернет-атака была проведена в середине прошлого года на сайт крупного Forex-клиента Инженеры человеческих душЧто общего в трех описанных выше моделях? Прежде всего, во всех случаях требования к их организатору не исчерпываются чисто техническими знаниями и навыками. Во всех случаях нужен и блестящий программист, и тонкий психолог, и опытный финансист, и прозорливый предприниматель. Именно поэтому хакеры начали объединяться (подробнее об организации хакерского сообщества см. "Атака на память"). "Долгое время кибер-преступники были сильно разрознены и не были организованы, но сейчас наблюдается тенденция к их интеграции в криминальные кибер-группы", - констатирует Евгений Касперский. Вот один из примеров такого объединения. В Бразилии в октябре прошлого года были арестованы 50 человек, входящих в единую хакерскую группировку. К тому времени бразильские кибер-преступники сумели украсть в сети свыше 30 миллионов долларов. И если случаи, когда это под силу одному человеку, редки, то кибер-группы могут добиваться таких результатов в массовом порядке. Сегодня минимальный состав хакерской группы - три человека: программист, финансист и специалист по психологии. Причем последний зачастую играет едва ли не ведущую роль при проведении атак. Рассказывает Юрий Максимов, занимающийся в том числе и организацией так называемых тестов на проникновение, то есть тестов на уязвимость корпоративных сетей: "По нашему опыту, в большинстве случаев, когда нам удается осуществить проникновение, успех достигается за счет 'взлома' людей, а не техники". Люди, близкие к хакерским кругам, называют такой подход социальной инженерией. Вот пример того, как социоинженер может "взламывать" людей. Всем сотрудникам организации рассылается поддельное письмо от лица и за подписью руководителя службы ИТ или информбезопасности. В письме с соблюдением всех корпоративных стандартов (привычные цвета, оформление, язык, подписи и т. д.) сотрудников просят срочно установить последнее обновление системы безопасности, устраняющее найденные недавно "дыры". В роли обновления выступает небольшая программа, в которую зашит электронный червь. Ничего не подозревая, сотрудники дружно ее ставят. Или другой пример. В отдел кадров приходит резюме человека, идеально подходящего на недавно освободившуюся должность. По окончании собеседования соискатель предлагает посмотреть какую-нибудь дополнительную информацию о нем на usb-flash memory ("флэшка" - внешнее устройство памяти), например рекомендации. К файлу "пришит" зловредный червь, который активируется при запуске. А соискатель исчезает, оставив письмо, в котором пишет, что получил более выгодное предложение. Рецепты кибер-врачаТеперь можно ответить на вопрос, почему компании не справляются с обеспечением надлежащего уровня информационной безопасности. Это происходит потому, что, закупив технически сложные системы защиты, они во всеоружии готовы встретить любую атаку образца трехлетней давности, но абсолютно не способны бороться с сюрпризами, которые преподносит им сегодняшний день. Технических средств защиты у компаний действительно становится все больше, но ни по одиночке, ни объединившись они не защищают от "взлома" человека. Ситуация усугубляется еще и тем, что в российских структурах слабо развита культура планирования и оценки информационных рисков. "Решая задачи обеспечения безопасности, российские компании нередко действуют наобум. Каждый раз с возникновением очередной проблемы руководство в лучшем случае решает купить что-нибудь новое, предпочитая не разбираться в сути проблемы, а заткнуть пробоину наспех. Однако в скором времени выясняется, что, создав систему защиты из десятков различных, порой трудно совместимых элементов, мы забыли объяснить людям, зачем они нужны и как с ними работать. Сейчас политика безопасности, даже если она и существует, никак не меняет реальные бизнес-процессы. Она либо освещает чисто техническую сторону вопроса, либо вовсе существует в качестве тяжелого талмуда, который хранится на пыльных полках", - считает Каким может быть решение этой проблемы? Возможных путей здесь два. Либо начать заново формировать собственную службу управления ИБ, собирая под свою крышу уже не только профессиональных технарей, но и опытных управленцев и психологов, либо, если это вам не по силам, обратиться к услугам консультантов по безопасности. |