Инфощит и кибермеч Глеб МОРДОВЦЕВ, IT-специалист
С массовым распространением персональных компьютеров рекомендации быть осторожным обрели новые формы. Например, не писать где попало пароли от своих аккаунтов, не реагировать на яркую кнопку «нажми меня», прыгающую по экрану. Но даже базовые правила инфогигиены не гарантируют полной безопасности: чем выше технологии, тем изощреннее люди, желающие навредить.
Не все компьютерные вирусы создаются с целью уничтожения данных. Программы, намертво шифрующие данные или стирающие их, весьма популярны у хакеров, но чаще вирусы нужны, чтобы что-то от жертвы получить. Например, данные банковского счета или пароли соцсетей, через которые можно выманивать деньги у знакомых. Иногда даже это не требуется: некоторым злоумышленникам нужно получить доступ к устройству, чтобы использовать вычислительные мощности, или притвориться его владельцем, чтобы замести следы при очередном преступлении.
Опасности в сети не ограничиваются вирусами. Есть множество других способов попасть в компьютер или телефон. Эта статья — обзор самых распространенных методов взлома, с реальными примерами крупных кибератак и практическими советами по защите в Интернете.
Цифровая эпидемия
К вредоносному ПО относятся вирусы, шпионские программы, программы-вымогатели и другие, устанавливаемые обманным путем. Особенно зловредные вирусы часто называют троянами, и не зря. В отличие от обычного, троян маскируется под безвредную программу, как волк — в овечью шкуру, чтобы обманом заставить пользователя установить себя. Тем самым он обеспечивает черный вход в устройство. Например, атака вируса NotPetya в 2017 году нанесла ущерб в размере более 10 млрд долларов. «Не Петя» маскировался под лицензионное ПО и навсегда уничтожал зараженные данные. В отличие от него, Wannacry распространялся по сети самостоятельно, используя уязвимости виндоуз. Данные на компьютерах «Хочу плакать» не удалял, а шифровал — и требовал у жертв денег за восстановление.
Есть и другие разновидности вирусов. Логической бомбой называют код, вставляемый в легитимную программу и вызывающий вредоносные действия при выполнении определенных условий. Такие часто используются для диверсий в крупных компаниях. А червь — это вредоносное ПО, распространяющееся путем эксплуатации сетей и брешей в системе безопасности вообще без участия пользователей. Червь оправдывает свое звание вируса: по аналогии с биологическим быстро распространяется путем самокопирования и заражения файлов и дисков. Попав в систему, может нанести значительный ущерб.
Поэтому важно использовать антивирусные программы, межсетевые экраны, сканеры вредоносных программ и вообще быть осторожным при загрузке и открытии файлов. Кроме того, требуется регулярно создавать резервные копии на случай необходимости удалить всю зараженную систему.
Kaspersky Lab, основанный в 1997 году, — лидер антивирусной индустрии в стране, разрабатывающий решения для защиты от киберугроз. Positive Technologies — один из лидеров на рынке тестирования сетей на проникновение. BI.ZONE — разработчик решений для мониторинга кибербезопасности и предотвращения утечек данных. Это лишь некоторые крупнейшие компании отрасли в России. Кроме них существует еще множество других фирм информационной безопасности.
Путь к сердцу компьютера
Доставить вирус на компьютер жертвы — задача нетривиальная, требующая особой изобретательности. Распространенным приемом является выдача себя за доверенную организацию, например, банк или онлайн-сервис. Такой метод называют фишингом, то есть «рыбалкой». Мошенники используют поддельные электронные письма и веб-сайты, чтобы заставить сообщить учетные данные, финансовую информацию или загрузить вредоносное ПО. Одной из крупнейших фишинговых схем была операция 3ve, действовавшая в 2014–2018 годах и имитировавшая сайты с миллионными аудиториями. За пять лет злоумышленникам удалось украсть более 36 миллионов долларов. Защититься от «рыбалки» можно, обращая особое внимание на подлинность сайтов, проверяя по символам написание адреса и наличие сертификатов безопасности.
Впрочем, иногда попасть в чужой аккаунт можно проще. Многие пользователи используют очень простые пароли, что позволяет хакерам перебирать разные варианты. Такой метод называют брутфорс (от англ. «брутальная, грубая сила»): в нем используется специальная программа для автоматического перебора популярных комбинаций символов. В результате взлома MyFitnessPal, мобильного приложения для отслеживания калорий, в 2018 году таким способом в сеть утекло 150 млн паролей пользователей. На основе слитых баз и работают программы для брутфорса.
Если включать двухфакторную аутентификацию и использовать уникальные сложные пароли для каждой учетной записи, можно защититься от атак подобного рода. Двухфакторная аутентификация — это метод подтверждения личности пользователя, который использует два способа подтверждения: что-то, что пользователь знает (например, пароль от аккаунта), и что-то, что пользователь имеет (например, телефон, на который придет одноразовый код). Таким образом, злоумышленнику нужно получить и пароль, и телефон пользователя, а это непросто.
Одним из хороших вариантов защиты является алгоритм мастер пароля, предложенный бельгийским разработчиком Мартеном Бильмонтом еще в 2012 году. Согласно его идее, пароль должен быть уникальным для каждого ресурса и состоять из имени пользователя, ключевого слова, названия сайта и числового счетчика. Используя разные комбинации этих значений и подстраивая алгоритм под себя, можно добиться очень высокого уровня устойчивости ко взлому. Пароль, состоящий из 8 букв, взламывается примерно за минуту. А пароль из 6 букв, 2 цифр и 2 спецсимволов — за четыре часа и более. Задумайтесь об этом, когда создаете пароль для очередного аккаунта.
Армия дроидов
Представьте, что вам опять 10 лет и вы с друзьями играете на детской площадке. Выстраиваетесь в ряд и по очереди спускаетесь с горки — все, как и должно быть. Но тут появляется ватага хулиганов, они всем скопом бросаются на горку, не дают возможности даже приблизиться к ней. Так работает DDOS-атака, где горка — это сайт или интернет-сервис, а хулиганы — тысячи зараженных компьютеров, которыми командует хакер. Он завладел компьютерами без ведома владельцев (например, с помощью вирусов) и заставляет их одновременно наводнять веб-сайт запросами. Из-за этого сайт не может отвечать на запросы от реальных пользователей.
Как защититься? Можно построить ограждение вокруг игровой площадки. В компьютерной терминологии — это брандмауэр, который отсеивает нежелательный трафик и останавливает все подозрительные запросы. Можно попросить взрослых последить за порядком — то есть использовать дополнительные системы мониторинга. Обратиться в полицию, чтобы они выяснили, кто главный хулиган, и привлекли к ответственности. То есть сотрудничать с интернет-провайдерами для выявления и блокировки злоумышленников. Впрочем, последнее не всегда приводит к положительному результату, если хакер хорошо умеет заметать следы.
Искусство войны
Вот некоторые из наиболее распространенных и опасных типов кибератак:
— Ransomware — программное обеспечение, шифрующее данные на устройстве и требующее оплаты за их расшифровку;
— RAT (Remote Access Trojan) — программа для удаленного доступа и полного контроля над компьютером жертвы;
— Joiner позволяет склеивать вирус с любым безвредным файлом;
— Drive-By Downloads — автоматическая загрузка вредоносного ПО на устройство просто при посещении скомпрометированного веб-сайта;
— DNS Tunneling — инкапсуляция и передача других протоколов внутри DNS для обхода брандмауэров.
Последнее объясняется более простыми словами. DNS расшифровывается как Domain Name System (система доменных имен). Это как телефонная книга Интернета. DNS сопоставляет имена сайтов, которые набирают в браузере, с их реальными цифровыми IP-адресами. Обычно компьютер спрашивает у DNS-сервера: «Какой IP-адрес у этого имени сайта?». Сервер ищет ответ в своей телефонной книге и сообщает соответствующий адрес. Это позволяет подключиться к нужному сайту.
Но хакеры могут общаться с DNS-серверами хитрым способом, кодируя сообщения внутри запросов. Таким образом, в DNS-туннеле хакер отправляет свои данные. Поскольку DNS-запросы выглядят невинно и обычно спокойно проходят через брандмауэры, это позволяет прокладывать путь вредоносным программам. Специалисты могут обнаружить DNS-туннелирование, только если достаточно глубоко проанализируют сетевую активность и найдут нелегитимный трафик.
Еще один популярный вид кибератак — Zero-Day Exploits. Эти атаки используют уязвимости, которые еще неизвестны производителю ПО и пока не имеют исправлений. По иронии судьбы, именно таким образом в 2020 году взломали FireEye, ведущую компанию США по кибербезопасности. Злоумышленники (подозревают, что россияне) использовали недостатки программного обеспечения для получения доступа к конфиденциальным данным государственных учреждений.
Особенно резонансным был случай с агентством кредитных историй Equifax. В 2017 году оно пережило одну из самых разрушительных в истории кибербезопасности атак, в результате которой были похищены персональные данные почти 150 млн человек. Хакеры использовали уязвимость в ПО с открытым исходным кодом. Несмотря на то, что о проблеме было известно заранее и ее решили за два месяца до этого, Equifax не обновила системы вовремя, тем самым предоставив сторонним пользователям возможность пробраться внутрь.
Для получения доступа злоумышленники сначала скомпрометировали учетные данные одного из сотрудников компании с помощью фишинговой рассылки. Это позволило выдать себя за авторизованного пользователя и получить доступ к внутренним системам. Использование многофакторной аутентификации и обучение сотрудников распознаванию «рыбацких» атак могло бы предотвратить взлом.
Хакеры также использовали сложные технологии, позволяющие скрыть обычные действия пользователей и обойти системы обнаружения вторжений. Это позволило им действовать незамеченными 76 дней и перехватить столь большой объем потребительских данных.
Обнаружив утечку, Equifax оповестила пострадавших слишком поздно, более чем через месяц после исправления уязвимости. Неэффективная коммуникация в кризисной ситуации привела к тому, что доверие к компании было подорвано.
Инцидент с утечкой информации из Equifax стал уроком для понимания важнейших принципов безопасности, таких как управление исправлениями, контроль доступа, мониторинг поведения и реагирование на инциденты. Реализация мер защиты требует особого усердия и ресурсов, но последствия слабого обеспечения безопасности и невнимательности говорят сами за себя. Будучи хранителями конфиденциальных данных, организации несут ответственность перед потребителями за соблюдение их цифрового доверия.
Человеку нужен человек
Какой бы могучей ни была антивирусная программа и сколько систем безопасности ни было бы установлено, главным уязвимым звеном сети был и остается человек.
Социальная инженерия, в отличие от технического взлома, основана на манипулировании психологией с целью получения конфиденциальной информации. Преступники могут выдавать себя за ИТ-специалистов или продавцов, чтобы заставить поделиться паролями.
Именно таким образом работал один из самых известных и опасных хакеров современности Кевин Митник. В 1988 году он взломал сети таких гигантов, как «Моторола», «Нокиа», «Фуджитсу». Для этого звонил сотрудникам компаний, представлялся системным администратором или техподдержкой и получал конфиденциальную информацию. Уже затем использовал весь комплекс своих технических знаний: чужой доступ, брутфорс, эксплуатацию уязвимостей, перехват трафика, чтобы добираться до запретной информации. В общем, Митник демонстрировал высочайшее мастерство во взломе и сочетал технические навыки с манипуляциями людьми. В 1995 году ФБР вычислило и арестовало его. После освобождения в 2000-м суперхакер стал консультантом по кибербезопасности и написал несколько книг.
Полностью статья была опубликована в журнале «Человек и мир. Диалог», № 4 (13), октябрь – декабрь 2023 г.
