Время одиночек прошло

Руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников — о светлой и темной стороне информационной безопасности

Хакерская активность — это новая реальность. И угроза, противостоять которой непросто

Хакерские атаки доказали свою эффективность в повседневной жизни. Стало понятно, что угроза за последние годы стала и масштабнее, и серьезнее. Если раньше атака на некую IT-систему, как правило, не имела критических последствий для остального мира, то сегодня — с развитием цифровых технологий и интернета — любое проникновение такого рода может болезненно отозваться на десятках тысяч людей и даже в другом конце планеты. При этом нанесенный ущерб может измеряться уже не тысячами, а миллионами долларов. Достаточно вспомнить взлом сервера Центробанка Бангладеш, когда злоумышленники попытались украсть миллиард долларов, но из-за опечатки в текстовке им удалось похитить "лишь" 90 млн, которые до сих пор не найдены. А ведь еще 20 лет назад о таком доходе хакеры и мечтать не смели: их атакам подвергались в основном счета физлиц и компаний.

За четверть века выросли и аппетиты, и навыки грабителей, не говоря уже об их технической оснащенности. Неизменной осталась только мотивация — корысть: более 90 процентов виртуальных взломщиков мечтают поживиться за чужой счет любым способом — не важно, удастся им добыть деньги или ценную информацию.

Недаром в последние годы вырос спрос на кражу интеллектуальной собственности — научно-исследовательских разработок, патентных заявок (этим грешат частенько китайские взломщики), а также на вывод из строя информационных систем разного уровня (как это было на Украине с отключением электрических распределительных систем или с шифровкой серверов департамента транспорта Сан-Франциско, из-за чего не работала система оплаты проезда). Заказчиков некоторых нашумевших хакерских атак вычислить несложно, достаточно понять, кому это выгодно. Иное дело — доказать их вину или хотя бы наличие заказа: следы в Сети заметают гораздо успешнее, чем в офлайне. Как, например, при недавней попытке хакеров остановить производство на одном из сталелитейных заводов Германии, или при взломе сервера корпорации Sony, в результате которого на несколько часов перестали работать PlayStation Network по всему миру, или при хакерской атаке на Saudi Aramco — одну из крупнейших нефтедобывающих компаний Саудовской Аравии, когда на 2-3 недели приостановились отгрузки нефти. Но не только масштабные атаки приносят хакерам прибыль: навязчивый показ рекламы, например, хоть и стоит в разы дешевле, зато один из самых частых...

Разместить или получить заказ на хакерскую атаку можно, как правило, на специальных закрытых форумах, куда доступ получить не так просто, например, можно попасть по знакомству. Стоимость такого рода услуг — разная, зависит от сложности и объема работ. На хакерах можно и сэкономить: программисты часто берутся за исполнение вполне невинного задания по написанию той или иной программы, не ведая, что плоды их трудов будут использованы для последующего взлома. Стандартные программы-модули стоят недорого, написание "трояна" под взлом конкретной системы может быть оценено в сотню-другую тысяч долларов. А какие-то из хакерских программ и вовсе бесплатны, их можно скачать из интернета.

Впрочем, хакерами, а главное — заказчиками их атак движет не только корысть. В современном мире все больший размах приобретает кибершпионаж. Для целей разведки новый метод хорош тем, что собрать доказательства самого факта проникновения в систему крайне сложно, а уж привлечь кого-то к ответственности и вовсе почти невозможно. Да и определить гражданство взломщика можно только при его поимке, что случается редко, если он, конечно, профессионал. Имена всех прославившихся в 1990-е — начале 2000-х годов хакеров стали известны только после их ареста. И некоторых из них спецслужбы отлавливали годами, а то и десятилетиями. Есть хакерские команды, громко заявившие о себе, но при этом остающиеся на свободе, например Anonymous или Shadow Brokers, но они исключение, только подтверждающее правило.

Конечно, зачастую специалисты по компьютерной безопасности могут довольно оперативно определить исполнителя той или иной хакерской атаки — по почерку, который есть у виртуальных взломщиков. Например, функцию удаления информации можно реализовать тысячью способами, так что если один из них кочует из одной вредоносной программы в другую, то можно с высокой долей вероятности утверждать, что и автор во всех случаях один. Приведу пример: можно изучить время компиляции программы (трансляция программы, составленной на исходном языке высокого уровня, в эквивалентную программу на низкоуровневом языке, близком машинному коду.— "О"). Скажем, если какие-то вредоносные программы появляются в интервале 8-15 часов по Гринвичу, то можно предположить, что их автор — европеец.

И все бы ничего, если бы все эти индикаторы нельзя было бы подделать: взломать код, переписать данные... Про это никогда не забывают профессионалы высокого уровня, а их в современном киберпространстве уже немало. Казалось, можно было бы поймать хакеров по горячим следам — по используемым командным серверам, но проблема в том, что профи путает следы — IP-адреса чистят, от ноутбуков избавляются, в Сеть для атаки заходят через Wi Fi в каком-нибудь неизвестном кафе... Поймать такого профи нереально до тех пор, пока он не допустит небрежность или ошибку. Как правило, со временем бдительность любого хакера притупляется. Ведь что, в сущности, известно о "русском следе" в деле обнародования информации с сервера Демпартии США? Для большинства жителей планеты — только утверждение спецслужб США, для специалистов — почерк взломщиков, который, как нам кажется, похож на почерк группы хакеров, которую мы именуем Sofasy. Она провела уже немало атак на различные IT-системы ЕС и США, но кто именно входит в группу, мы не знаем.

Подготовкой и образованием хакеры, как правило, занимаются самостоятельно. В университетах нет такой специальности, а одних только навыков программирования маловато, чтобы стать взломщиком систем — нужно уметь не только создавать программы, но и "разбирать" и, что еще важнее — "собирать" обратно, чтобы не возникло и тени подозрения в том, что было проникновение. Сейчас в вузах очень востребовано направление информационной безопасности, и некоторые выпускники могут выбрать темную сторону после окончания университета. Но то, что читается в университетах, как правило, устарело лет на десять, интернет-информация из открытых источников отстает от последних разработок в этой сфере на три-четыре года. Конечно, в спецслужбах ряда стран есть свои киберподразделения, куда приглашаются и "виртуозы"-одиночки, и молодые дарования, которых потом натаскивают специалисты (благо недостатка в желающих нет). Но и тут дело не поставлено на поток...

Важно, что рано или поздно тот, кто решился стать специалистом по информационной безопасности, должен будет выбрать, на какой стороне ему действовать — светлой или темной. Избравшие первый путь помогают компаниям проверять надежность систем безопасности, тестируя их на предмет взлома. В "Лаборатории Касперского" работают подобные специалисты. Избравшие темную сторону, действуют, как правило, по чужому найму с целью хищения средств, информации или предоставляя заказчику доступ к системе. К слову, "Лаборатория Касперского" никогда не берет на работу бывших темных хакеров, какими бы талантливыми они ни были.

Современные хакерские атаки осуществляются преимущественно группами. Время одиночек прошло: защитные системы совершенствуются и их взлом — занятие с каждым годом все более затратное. Вот потому и хакеры действуют сообща: в любой такой группе есть распределение обязанностей: одни специалисты пишут программы, есть "операторы" — те, кто решает вопрос, куда, например, перевести украденные деньги и как их потом обналичить, есть тестировщики, проверяющие качество программы, и так далее. Хакерские сообщества могут включать в себя представителей разных стран и даже континентов. Сегодня можно торговать хакерскими программами и исходными кодами. Так, например, бразильские хакеры приобретали вирусный код в России для атаки на банки у себя на родине. По числу продаж компьютерных вирусов сегодня лидирует Китай, постсоветское пространство — на втором месте и на третьем — ЕС и США.

В негласном соревновании между темной и светлой стороной лидера и отстающего нет: в этой гонке — брони и снаряда — опережает то одно, то другое. Например, сегодня есть технологии, позволяющие обнаружить угрозу до того, как она себя проявит. Например, если какая-то новая программа шифрует файлы, можно предположить, что мы имеем дело с вирусом-шифровальщиком, и обезвредить ее.

С другой стороны, с появлением новых технических возможностей появляются новые риски. И нужно не бояться, а адекватно их оценивать. Скажем, сегодня домашняя электроника чем дальше, тем больше интегрируется с интернетом, а между тем ее производители еще 3-4 года назад даже не задумывались, что такие приборы могут оказаться уязвимы для хакерских атак. Такая недальновидность обошлась недешево: сегодня большинство из этих приборов нельзя перепрошить или закачать им обновление программ. Так что теперь, осознав уровень возросшей угрозы, неплохо было бы изначально продумывать вопрос безопасности даже для бытовой техники, не говоря уже о системах жизнеобеспечения. Последние, конечно, уникальны и спроектированы таким образом, чтобы при возникающих сбоях в одном из блоков продолжать работу. Повышением уровня безопасности таких систем озаботились давно, но работы здесь непочатый край: при тестировании, как правило, выясняется, что дыр в компьютерной обороне таких систем предостаточно. При этом еще недавно одним из лучших средств защиты для них считался прописанный в документации пароль системы. Логика была такова: вход хакерам в этом случае будет недоступен. Скажем мягко, это заблуждение. А вот что правда, так это то, что модернизация защиты подобных систем — задача не из легких. Только представьте, что значит проводить тест новой программы так, чтобы не случился сбой системы, чреватый самыми непредсказуемыми последствиями. Но все это уже технические сложности, преодолимые, лишь бы не исчезало понимание того, что угрозу всегда проще и дешевле предотвратить, чем пытаться исправить нанесенный хакерской атакой ущерб.

Важно, что рано или поздно тот, кто решился стать специалистом по информационной безопасности, должен будет выбрать, на какой стороне ему действовать — светлой или темной


Каталог

Взломать все

Угрозой, исходящей от хакеров, сегодня озабочены не только власти, но и киношники: в голливудских блокбастерах все чаще моделируют убойные последствия компьютерных атак

«Сеть» 1995

Пожалуй, именно в этом фильме впервые показали, что обычные люди тоже могут оказаться под ударом хакеров: здесь киберпреступникам легко удается манипулировать электронными базами данных. К примеру, главную героиню в исполнении Сандры Баллок, оказавшуюся на их пути, дистанционно превращают в разыскиваемую преступницу, не менее легко продают ее дом и отнимают работу. По сути, в новом электронном мире не остается никого, кто бы мог подтвердить личность человека, предупреждают создатели фильма.

«Крепкий орешек 4.0» 2007

Четвертый фильм серии сталкивает старомодного Джона Макклейна (Брюс Уиллис) с современными компьютерными взломщиками, пытающимися уничтожить инфраструктуру страны (США). Фактически авторы демонстрируют, насколько уязвимы современные мегаполисы перед такими вот атаками. Ну, например, отключенная система управления ситуацией на дорогах провоцирует транспортный коллапс, а взломанная система энергоснабжения грозит масштабным блэкаутом.

«Кибер» 2015

Этот блокбастер начинается с аварии на атомной электростанции в Китае, происходящей по вине неуловимого хакера. Авторы уверены: киберпреступники связаны с международным криминалом и могут действовать из любого уголка света. Далек от штампов и образ главного героя в исполнении Криса Хемсворта, тоже бывшего компьютерного взломщика: он умеет не только взломать любую систему, но и легко машет кулаками.


Вся лента