Устранение конкурента без киллера, теракт в воздухе с земли – высокие технологии могут в одночасье уничтожить человечество.
Кибероружие сегодня является идеальным средством поражения противников – скрытым, относительно недорогим и очень эффективным, поскольку может вывести из строя любую систему. При этом доказать вину конкретных лиц в этом случае гораздо сложнее, чем при запуске ракеты с авианосца, рассказал Atameken.info эксперт в области кибербезопасности, региональный менеджер по каналам сбыта IntelSecurity. McAfee в Казахстане и Центральной Азии Виталий Ли. При этом расходы на кибероружие, применяемое некоторыми государствами, несопоставимы с бюджетами антивирусных компаний.
- Ваши данные после хакерских атак могут перестать быть конфиденциальными, после вторжения в операционную систему химического завода может произойти взрыв. Мишень представляет и любой вид транспорта. И хотя в недавней трагедии над Синаем я не склонен усматривать применение кибероружия, однако напомню, что результаты неоднократных экспериментов уже демонстрировали уязвимость электронных систем, когда с земли менялся маршрут самолета, – рассказывает Виталий Ли. – Были и реальные примеры: после «захвата» информационной системы автомобилей совершались заказные убийства. Самое известное произошло в Южной Корее, когда машина местного производителя вылетела с автострады, в результате погиб уважаемый человек. Когда страховая компания начала расследование причины автокатастрофы, выяснилось, что операционная система, управляющая автомобилем, была нарушена. Это позволило предъявить иск производителю, который в свою очередь нанял своих экспертов. Досконально изучив повреждения, специалисты пришли к однозначному выводу: система, подключенная к интернету, была взломана извне. Злоумышленники, которых так и не поймали, дали системе сигнал отключить тормоза и повысить скорость. В текущем году аналогично были взломаны системы крупнейших автомобильных производителей.
Вместе с усовершенствованием технологий развиваются и кибератаки.
Сегодня бичом для компаний становятся направленные атаки или APT – advanced precision threats.
- Об этом говорилось и на недавней встрече Клуба директоров по информационной безопасности в Астане. Это заточенные на конкретную организацию вредоносные коды, которые порционно забрасываются в операционные системы в течение длительного времени, успешно минуя систему безопасности. Если раньше атаки были массированными и напоминали большую армию, нападавшую на город с шумом, то сейчас под видом мирных торговцев вирусы проникают внутрь крепости, собираются в боевую группу и открывают ворота изнутри. Стражники-антивирусы, стоящие на башнях, не в состоянии разглядеть в них угрозу, – наглядно описывает ситуацию собеседник Atameken.info. – По нашим данным, в прошлом году в среднем каждая компания проводила расследования порядка 80 инцидентов, связанных с информационной безопасностью. 28 процентов из них – целенаправленные атаки. Но это данные только по тем фактам, в отношении которых проводилось расследование. На прошлогодней конференции в США профессионалам задали вопрос: была ли их сеть атакована за прошедшие 12 месяцев. 6 процентов опрощенных ответили отрицательно, чуть более 20 процентов – положительно, а больше 70 процентов сказали, что в не в курсе…
Проблема в том, отмечает эксперт, что практически во всех антивирусах и других средствах информационной безопасности, например, Firewall – защите сетевых подключений, используется сигнатурный анализ.
- Сигнатура – это набор цифр в определенной последовательности, которые являются кодом вируса (для удобства я предлагаю именовать все вредоносные программы вирусами). То есть у каждого вируса есть портрет, состоящий условно из ноликов и единичек. Задача антивирусных компаний – выявить этот набор, который является неизменяемой частью, и опубликовать его в базе данных обновлений – так называемых DAT-файлах обновления антивирусов. При каждом обновлении в антивирусе на несколько сотен сигнатур становится больше. Однако мир меняется, и сегодня хакеры – это целая индустрия с конвейерным производством роботов, которые пишут вирусы. Каждый день возникают сотни тысяч новых вирусов, к примеру, в нашей базе данных – больше трех миллиардов сигнатур вирусов. Но проблема в том, что при целенаправленных атаках не используются известные сигнатуры. Соответственно, антивирус пропускает вредоносный код – rootkit, который может маскироваться под элементы операционной системы. Даже если на него через день появится антивирус, за это время rootkit уже спрячется внутри системы и будет сидеть там до тех пор, пока не поступит команда извне или не сработает счетчик, – отмечает Виталий Ли.
Единственным разумным способом бороться с невидимыми угрозами эксперт называет запуск вируса в специальной лаборатории.
- Эта условная лаборатория получила название sandbox, что в вольном переводе означает «песочница». Когда к вам приходит неизвестный файл, вы помещаете его в «песочницу» и наблюдаете за тем, как видоизменяется файл, запускается ли при его открытии трафик. Но и здесь имеется проблема: многие антивирусные компании и все те, кто занимается информационной безопасностью, запускают «песочницы» в облачных сервисах. Но на территории Казахстана нет ни одного дата-центра крупной или мелкой антивирусной компании, который способен произвести глубокий анализ потенциально вредоносного кода. Все облачные сервисы находятся в США, России, Израиле и других странах. И это очень опасно – гипотетически спецслужбы или другие структуры, имеющие доступк дата-центру, могут видеть файлы с информацией о поправках к бюджету или коммерческих предложениях. Это недопустимо. Поэтому sandbox должны располагаться в Казахстане. Желательно иметь целую сеть «песочниц», чтобы никакой трафик не выходил за пределы сети, – подчеркивает эксперт в области кибербезопасности.
Еще одна проблема – разнородность «войск» в борьбе с вирусами.
- Внутри одной среднестатистической казахстанской компании отделы IT отвечают за разные участки: один – за сетевую безопасность, другой – за антивирусы. Это сродни отправке на войну разных подразделений – кыпчакских всадников, венгерских гусар, швейцарских копейщиков, английских бомбардиров и японских ниндзя. Даже небольшая, но четко слаженная армия с четкой тактикой может разбить ваши разнородные войска. То же самое происходит, когда вы покупаете антивирус у одной компании, а программу для защиты сетевых подключений – у другой. По этой причине в 2012 году произошел «Red October» – «Красный октябрь», когда в электронную систему казахстанских госорганов, кстати, имевших хорошую систему антивирусов, была запущена сеть зомби-вирусов. Они качали информацию в виде офисных файлов Excel и Word из казахстанских министерств и ведомств, в течение минимум трех лет. До сих пор не установлен конечный адресат, получавший информацию, – утверждает Виталий Ли.
Впрочем, определенный прогресс в сфере информбезопасности все же наблюдается:
- Радует, что в стране в скором времени будет принята сервисная модель информационной безопасности. Если раньше каждое ведомство выстраивало собственную модел, принимало соответствующие решения, несло затраты, то теперь госорганы будут нанимать в аутсорсинг единого оператора, который и будет отвечать за всю систему кибербезопасности.
Эксперт также рассказал нам, что большинство критически важных сайтов регулярно взламываются специально нанятыми хакерами.
- Это называется penetration test. Хакеров, которые проводят такие «исследовательские взломы», называют «белые шляпы». Если хакер выбрал темную сторону силы и зарабатывает с помощью криминала – это уже black hat, «черная шляпа». Есть и те, кто посередине – «серые шляпы», – дополнил наш собеседник.
Адель Нуреева
