В 2015 г. произошло более 24 млн кибератак на сайты и информационные системы органов власти России, сообщил президент Владимир Путин, выступая 26 февраля на коллегии ФСБ. Уровень защищенности ресурсов государства нужно повышать, считает президент. Число кибератак растет ежегодно, говорит пресс-секретарь президента Дмитрий Песков: это и попытки сорвать работу, перехватить контроль и снять информацию. Но бюджет на борьбу с ними увеличиваться не будет, обещает он.
В России с 2012 г. работает госцентр реагирования на инциденты безопасности Gov-CERT, говорит сотрудник этого центра. Поскольку государственные информационные системы постоянно растут, увеличивается и число инцидентов. Но пропорционально растет и количество атак, отбитых благодаря Gov-CERT.
Вероятнее всего, под кибератаками понимаются попытки подбора паролей и неправомерного доступа в IT-системы, вирусные заражения, эксплуатация известных уязвимостей, письма с вредоносными вложениями, рассуждает гендиректор компании Group-IB (расследование компьютерных преступлений) Илья Сачков. По его мнению, злоумышленники могут атаковать государственные IT-системы для кибершпионажа, а также из пропагандистских или хулиганских целей. Государственные ресурсы обычно атакуют с политическими целями, чтобы получить и разгласить информацию или сделать ресурс недоступным, соглашается заместитель гендиректора InfoWatch (защита от утечек информации) Рустэм Хайретдинов.
По данным Solar JSOC (центр реагирования на инциденты информационной безопасности), в 2015 г. общее число кибератак в России выросло на 45%, атаки на государственные системы росли чуть быстрее, чем на коммерческий сектор, говорит гендиректор компании Solar Security (разрабатывает системы информационной безопасности) Игорь Ляпунов. По его наблюдениям, число кибератак на госсистемы близко к 24 млн, о которых говорил президент. С тем, что число кибератак на госсектор растет, соглашаются Сачков, Хайретдинов и антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин. Он добавляет, что «Лаборатория Касперского» также отмечает усложнение методов, которыми пользуются киберпреступники. Технически эти атаки не отличаются от нападений на коммерческий сектор, говорит Ложкин.
В IV квартале 2015 г. 41,2% всех атак (не только на государственные, но и на коммерческие системы) пришлось на веб-приложения, 28,3% – попытка компрометации учетных записей, следует из материалов Solar JSOC.
В госсегменте, как и в коммерческом секторе, снижается число успешных DDoS-атак, отмечает Сачков, однако прогнозирует, что к думским выборам в сентябре 2016 г. их число снова возрастет: это будут атаки на СМИ, блоги, сайты конкурентов. Хайретдинов не согласен, что число DDoS-атак снижается: по данным компании Qrator Labs (занимается защитой от таких атак), в 2015 г. их число возросло вдвое.
Для борьбы с кибератаками нужно в первую очередь выстраивать системы мониторинга атак и обмениваться информацией по киберугрозам, полагает Ляпунов. Сейчас уже недостаточно установить стандартные средства защиты (такие как антивирус) и ждать результата, уверен Хайретдинов. По его мнению, нужно устранять уязвимости стандартного ПО, благо информация о них появляется быстро. Хайретдинов отмечает также недостаточную квалификацию служб защиты госучреждений. Он советует закупать наборы средств защиты у разных вендоров. Ложкин из «Лаборатории Касперского» тоже советует обучать персонал, обновлять ресурсы и создавать комплексную систему защиты.
На прошлой неделе я был на Мобильном Конгрессе #MWC16 в Барселоне и посмотрел кучу новинок, которые представляли разные компании. Одной из тем поездки была безопасность мобильных платежей. Милые девушки из Лаборатории Касперского выделили мне на 20 минут своего старшего антивирусного эксперта Сергея Ложкина, с которым я пообщался на актуальную тему. Разговор пошёл очень живо и интересно, я даже не ожидал, что тема будет столь широкой.
Сергей Ложкин, cтарший антивирусный эксперт в Лаборатории Касперского
Сергей пришел в «Лабораторию Касперского» в 2012 году. В настоящее время он ведет исследовательскую деятельность по следующим направлениям: кибершпионаж, статический и динамический анализ вредоносного ПО, исследование сетей Undernet (типа TOR), социальная инженерия, безопасный обмен данными, анализ эксплойтов и анонимных сетей, а также расследование киберпреступлений.
Сергей окончил Омскую академию МВД России. До прихода в «Лабораторию Касперского» занимался расследованием киберпреступлений в Министерстве внутренних дел РФ, а также работал в различных компаниях в качестве специалиста по тестам на проникновение и вирусного аналитика.
ЕК: Чем отличается безопасность бесконтактных платежей от контактных, когда человек использует карту? Насколько сильно опасно использовать контактную карту?
– Конечно, технологии очень сильно отличаются. Если мы десятилетиями используем кредитные карты, то бесконтактные платежи только появились. Конечно они немножко разные, когда делали бесконтактные технологии уже начинали задумываться. Тем не менее, возьмем к примеру технологию paypass – она практически никак не защищена – если есть терминал и к немк примагнитить карту, то деньги снимутся в любом случае.
ЕК: Возможно есть защита со стороны банка?
– Да, есть.
ЕК: Но сама технология прокосновения никак не защищена? Например, карта банка Тинькофф (они недавно сделали приложение с оплатой, там предлагают для активации оплаты ввести пинкод, то есть перед оплатой – т.е. сначала пин – потом прикосновение.
– На карте такой возможности нет, но есть немножко другие защитные технологии. Во-первых, физически нельзя снять больше определенной суммы, есть обязательные лимит на трансфер при бесконтактной операции. Но если в чипе все зашифровано очень сильно, специальными алгоритмами, которые только через пин код, то здесь именно этот кусечек не защищен. И теоретически, человек может открыть юрлицо, например, зарегестрировать на него платежный терминал, а потом ходить с ним в метро и прикасаться к людям.
ЕК: Можно ж зарегистрироваться например, в Гонкоге, а ходить в Москве.
– Теоретически, это возможно, но будет проблема вывода средств.
Но эти технологии будут очень сильно развиваться, тот же самый NFC, уже будет не карта а встроенный мобильный кошелек. Соответсвенно, здесь очень большая проблема в следующем: удобство и безопасность, потому что никто не захочет прикладывая, потом еще что-то вводить. Пока это не могут решить, по технологии. Возможно в будущем найдутся решения, одним из которых может стать биометрия – ты прикасаешься телефоном и в этот момент кладешь палец.
ЕК: Биометрия проникает уже в телефоны. На Мобильном конгрессе все топовые новинки уже имеют встроенные датчики, которые достаточно четко работают.
– Тем не менее все датчики можно обмануть – сделать искусственный отпечаток пальца (есть ролики на youtube). Биометрия бывает разной, сетчатка глаза будет наиболее эффективной. Сделать это довольно просто: у камер распознование очень сильно растет. Пока конечно нет, но в будущем когда камеры будут высокой четкости – вот ты направляешь телефон, нажал – всё! И никаких проблем. Вот это будет идеальная защита. Но до сих пор мы видим магнитная полоса как работала так и работает.
Появились вирусы для POS-терминалов. От этого тоже никак нельзя защититься. Зашел в пос терминал в магазине, ты себя никак не обезопасишь – ты даешь карту, ее прокатывают и твои данные уже уходят.
ЕК: Данные параллельно еще кто-то забирает?
– Просто с памяти терминала вирус забирает информацию, все что ты вводишь, данные кредитной карты. Вполне возможно, что с распространением бесконтактных платежей появится канальчик, куда влезут новые вирусы.
ЕК: Как выглядит процесс расследования, когда например у банка пропадают деньги, учитывая, что они с неохотой расскрывают информацию?
– Банки, да, не хотят говорить эту информацию, это и репутационные риски, и финансовые и тд. НО тем не меннее они такой инцидент расследовать очень хотят, им интересно, как это произошло, чтобы в будущем не повторялось, и реально хотят наказать злоумышленников, которые за этим стоят. Что делают банки: во-первых, они обращаются в правоохранительные органы. Во-вторых, банки обращаются в частные компании, потому что у нас в Лаборатории К есть такой сервис, который назывется расследование инцидентов. Они реально приходят к нам, с ними подписывается договор и наши специалисты приходят в банк и начинают изучать информацию. Нашу экспертизу все знают и поэтому мы часто сотрудничаем с правоохранительными органами. Мв производим экспертизы, исследует зараженные компьютеры и потом эти данные передаются органам. Процесс происходит таким образом: как только мы понимаем, что это новый вирус, например, новый троян, который захватил этот банк, мы начинаем его изучать. У нас есть такая система Kaspersky Security Network, которая позволяет искать нам подобные образцы у наших банков-клиентов. И если мы видим у кого-то еще проблемы, Мы можем прийти к ним и сказать, мол ребят вот у вас тут какая-то беда происходит (многие банки являются нашими клиентами). Существует другой механизм, когда правоохр органы понимают, что ситуация у многих банков, они сами связываются с руководством и предлогают проверки. Но в основном банки приходят сами, к компаниям они идут охотно, они не хотят публичности.
ЕК: Есть ли реальные случаи, когда задержали людей, придумавших сиситему, как вывести деньги? Это же довольно сложный процесс – надо возбудить дело, найти пострадавших, провести расследование, доказать причастность виновных..
– Да, конечно! Были задержаны люди. Самое простое — это возбудить дело, банки с охотой пишут заявления. Самое сложное – это найти киберпреступников, они очень хорошо шифруются, используют сервера в разных странах. Не всегда правоохр органы других стран сразу дают доступ к серверам, очень много времени занимает согласование юридических моментов. Необходимо ведь получить физический доступ к серверу. И органы только после всех согласований высылают его. Зачастую все происходит в рамках интерпола, тогда процесс ускоряется. Но тем не менее у преступника достаточно времени понять, что пора уходить, тогда он все сворачивает и исчезает навсегда!
Но в основном происходят задержания “дропов”, тех кто пришел снимать наличные с банкоматов когда весь банк заражен и преступники захватили все банкоматы! Тогда органы начинают их раскручивать, чтобы они рассказали кто за ними стоит. Но в 95% случаях они (“дропы”) сами толком ничего не знают.
Тем не менее аресты преступников были, они происходят каждый год
ЕК: Как же тогда защититься?
А: Если говорить о банках, то киберпреступники обычно заражают мелкие банки, где с безопасностью все очень плохо. Основная их проблема – это низкая информационная грамотность. Чтобы избежать этого, необходимо уделять внимание комплексным защитным решениям. Это политика, аудиты, постоянные отслеживания обновлений, защитные решения, анализ трафика, обучение персонала, защитное комплексное ПО. Это защита самих компьютеров, защита файловой системы, это различные виды файерволов, это обязательные контроль и защита трафика.
О реалистичности того, что происходит на экране
Ведущий антивирусный эксперт «Лаборатории Касперского»
«Все предыдущие фильмы о «хакерах» на взгляд специалиста выглядели скорее нелепо и весело. Бегущие по экрану непонятные символы, трехмерные эффектные схемы и различные «спецэффекты взлома» - все это смотрится интересно для обывателя, но у специалиста по безопасности - того, кто знает, как это происходит на самом деле, - вызывает лишь снисходительную улыбку. А вот в сериале «Mr.Robot» все показано на удивление правдоподобно, программное обеспечение, методика, команды - практически все как в реальной жизни за исключением некоторых огрехов, и, пожалуй, все равно присутствует элемент излишней простоты, с которой главному герою удается проникать в сети. На удивление, откровенно наивных сцен почти не было, только чересчур быстро происходил взлом и получение информации, - в реальности это все гораздо дольше. Ну и, наверное, слишком слабая информационная защита в такой серьезной корпорации. Не так-то просто заддосить или взломать компанию такого масштаба».
Главный антивирусный эксперт «Лаборатории Касперского»
«С точки зрения экспертов по информационной безопасности, пока в фильме слишком большой уклон сделан в сторону DDoS-атак, хотя на практике таким видом деятельности занимаются в основном малопрофессиональные киберпреступники. Настоящие специалисты, взламывающие сети корпораций, DDoS не жалуют».
Фотография: USA Network
Для целевой аудитории этого сериала термины, такие как Tor, DDoS-атака и т.д., безусловно, знакомы. Все-таки те, кому интересен данный сериал, достаточно продвинутые пользователи.
При этом не стоит забывать, что для широкой аудитории термины все-таки не столь важны. Представьте себе любой фильм, где рассказывают о работе врачей, да хоть тот же «Доктор Хаус». Многие ли зрители, даже после сериала, знают что такое волчанка или интубирование? На популярность и смотрибельность это не влияет».
Фотография: USA Network
Сбор данных о человеке в соцсетях может быть очень эффективным для проведения последующих атак, например, с помощью элементов социальной инженерии. Можно составить социологический, а возможно, и психологический портрет человека, его друзей, увлечений и т.д. и на основании этой информации отправить письмо с вредоносным вложением, которое не вызовет у него подозрений и которое он действительно запустит.
Достаточно вспомнить информацию из материалов Эдварда Сноудена, где описано, насколько американская система безопасности, созданная спецслужбами, основывается на данных из социальных сетей. По сути дела, для государства это сегодня является самым важным источником информации о любом человеке.
Фотография: USA Network
Сейчас, наверное, уже нет признаков хакерской субкультуры как таковой. Реальный хакер может обладать любой внешностью, быть приверженцем любых стилей, музыкальных направлений и т.д. Современные хакеры в основном интересуются исключительно деньгами, поэтому романтического ореола, коробок с пиццей и полутемных комнат с несколькими компьютерами где-нибудь в подвале уже не встретишь. Единственное, что, возможно, по-прежнему объединяет хакеров-одиночек, - это антиглобализм.
Фотография: USA Network
Все зависит от того, кто производит атаку. Если это простой хулиган, подросток, мошенник, то взломать серьезно защищенную сеть ему вряд ли удастся. «Анонимусы» и прочие, как мы их называем, хактивисты не являются такими уж страшными и профессиональными с точки зрения их навыков. Подобные группировки в основном берут своей многочисленностью, но действительно крутых специалистов, обладающих уникальными знаниями, среди них единицы. Другое дело, если за атакой стоят подразделения кибернаемников или спецслужбы государства, тогда подобные атаки в большинстве случаев могут быть успешными.
Многие критические системы в интернете действительно слабо защищены или основаны на неправильных принципах безопасности. Осуществление кибератак, способных парализовать работу финансовых рынков или элементов транспортной инфраструктуры, вполне реально -более того, различные инциденты (пока без серьезных последствий) уже были. Худший сценарий - мы вернемся в век паровых двигателей и лошадей.
