Хакеры за несколько десятков лет из мифических персонажей и «анонимусов» стали официальными взломщиками с соцпакетом. Компании всё чаще обращаются к помощи специалистов по проникновению, чтобы защититься от мошенничества, кражи информации и денег. Хотя недавно хакеры украли внутреннюю переписку НВО и сценарий «Игры престолов». Кого называют русскими хакерами, где их учат и зачем взламывают даже бытовую технику, корреспонденту Сиб.фм рассказал директор департамента информационной безопасности новосибирской IT-компании «Axxtel» Максим Прокопов.
Кто и как взламывает компании?
Корпоративные взломы компаний совершают бывшие сотрудники из-за обиды, конкуренты, мошенники и вымогатели, а также любители использовать чужие мощности в интернете. Популярны массовые взломы с использованием ботов или роботов, снабжённых механизмом автоматической атаки по заданным скриптам или атакующих пользователей, заходящих на заражённые сайты. С этим бороться более или менее просто, так как у ботов нет конкретной цели. Но если работает человек, он ориентирован на конкретную цель. Кроме того, распространённые способы взлома компаний — это социотехническая инженерия и перебор паролей на доступных сервисах.
Фотография Веры Сальницкой из архива Сиб.фм
Какие способы взлома чаще используются при социотехнической инженерии?
Если мы говорим о социотехнической инженерии, то это, как правило, три способа взлома компаний — классическая рассылка писем, вброс флешек и фишинг.
Хакеры даже могут представиться журналистами, попросить согласовать текст публикации
и выслать письмо с «битой» ссылкой.
Она уже позволит получить пароли от рабочего места.
На территории предприятия делается вброс флешек с заражённым файлом, способным заинтриговать сотрудника и вызвать желание его открыть, например, документ с именем «Премии сотрудникам». Можно пойти дальше и для повышенной вероятности в качестве вирусного носителя использовать более дорогие носители, такие как смартфоны. Эта практика больше распространена в центральной части России.
Фотография Романа Брыгина из архива Сиб.фм
Фигура Glider из игры «Жизнь» принята в качестве эмблемы хакеров
Достаточно популярен фишинг. Можно открыть популярный сайт и находить сайты с похожим url и содержимым. Роскомнадзор начал блокировать такие сайты: теперь можно отправить им заявку, правовая база под это уже есть. Если сайт не находится в России, то его автоматически блокируют. К тому же пользователи стали внимательнее.
Какие компании чаще всего взламывают?
Тематика корпоративных взломов стала актуальной в последнее время. Два года назад мы делали один-два теста на проникновение для компаний, сейчас уже — по несколько тестов в месяц.
Никакого деления на малый, средний и крупный бизнес нет. Все компании подвержены угрозам в равной степени.
Большинство атакующих систем автоматизированы: они не разделяют компании — атаки могут идти каскадом с разных серверов в любых точках мира.
Как хакеры снимают деньги со счетов компаний?
Злоумышленники сначала заражают персональный компьютер в компании, затем выводят средства на счета фирмы-однодневки, начисляют зарплату подставным физическим лицам и выводят средства. Кроме того, для взлома похищают номера телефонов сотрудников, подделывая SIM-карты для доступа к банковским данным. Проблему не решить, пока государство законодательно не обяжет операторов мобильной связи предупреждать банки о замене SIM-карт.
По данным «Лаборатории Касперского», средняя сумма похищенных средств за одну операцию взлома составляет около 700 тысяч рублей.
12% всего мирового спама в 2016 году было разослано из США, по данным «Лаборатории Касперского»
Какие правила безопасности должны соблюдать компании?
Наша задача — не писать инструкции, а сформировать систему защиты от взломов под конкретную компанию. Мы проводим аудит, сканируем уязвимости, делаем тест на проникновение, ищем следы атак и поведение сотрудников. На основании этого мы пишем техническое задание и проектируем систему защиты.
Пользоваться браузером Tor и даркнетом опасно для компании?
Браузер Tor, мессенджер Telegram и некоторые другие решения позволяют скрыть факт передачи той или иной информации. Есть существенный риск того, что через эти сети будут общаться преступные группировки или террористические организации.
В использовании Tor и Telegram опасности нет либо она минимальна.
Есть ли чёрный рынок хакеров, например в даркнете?
Мы с «чёрными взломщиками» никак не взаимодействуем. Наша задача — защищать компании от их посягательств. Однако можем сказать, что только спрос порождает предложение, а значит, заказные взломы на данный момент — это обычная ситуация, с которой приходится считаться.
А зачем взламывать бытовую технику?
Это возможность шантажа людей и быстрого заработка. Когда мы установили систему «умного дома», а её взломали — нельзя попасть в подъезд, проехать во двор. Злоумышленник просит за устранение небольшую сумму от 3 тысяч рублей, а домов с интеллектуальными системами миллионы — можно легко оценить выгоду.
Фотография Сергея Мордвинова из архива Сиб.фм
Возможно ли вывести смартфоны из строя, взломав их?
Думаю, да, но мы на практике с этим не сталкивались. Мы работаем с корпоративным сектором, а не с частными пользователями. У большинства из них нет финансовой возможности заказать взлом, а у нас нет тех решений и услуг, которые нужны частному сектору.
Последняя нашумевшая история произошла с вирусом Petya, от которого пострадали десятки тысяч пользователей. Есть ли рейтинг вирусов по опасности для пользователей?
Смысл другой. Все вирусы пользуются существующей уязвимостью операционных систем в программном обеспечении коммутаторов и маршрутизаторов. Кто-то обнаружил уязвимости и направил данные в общедоступные базы уязвимостей, типа www.cve.mitre.org, для того, чтобы мировая аудитория смогла обезопасить свои информационное системы.
Но, к сожалению, злоумышленники тоже пользуются этой информацией для написания вирусов под свежие уязвимости.
Есть мошенники более высокого уровня, которые сами ищут уязвимости, — с ними бороться намного сложнее. Проблема в том, что большинство организаций не знают о своих уязвимостях, не пользуются дополнительной защитой от угроз. Без этих мер даже крупные компании с большими IT-департаментами могут быть абсолютно беззащитными.
Фото с сайта realist.online
Более 500 тысяч компьютеров в 150 странах были заражены вирусом WannaCry в первой половине 2017 года
Вирусы снабжаются модулями оповещения, там указан QIWI-кошелёк, куда отправить деньги, инструкция, что делать после отправки денежных средств. Нужно писать систему шифрования и обратной расшифровки — не все взломщики так делают: где-то есть обратная связь, где-то нет. В том же самом WannaCry, который останавливал много IT-систем по всему миру, была обратная связь. Новый вирус Petya остался без обратной связи: IP-адреса были найдены и заблокированы в самом начале атаки, отчего функционал расшифровки у вируса был уничтожен.
Два года назад СМИ писали о русских хакерах, которые якобы взломали украинскую электростанцию и обесточили город. Возможно ли такое на практике?
Мы работали с большим списком компаний, в том числе из энергетической отрасли. Наши тесты на проникновение проходили в 100 % случаев. А это полный контроль над управлением IT-инфраструктурой.
Если это сделали мы,
может сделать и кто-то другой.
За рубежом вас воспринимают как «русских хакеров»?
Мы не работаем на международном рынке. Но у нас есть товарищи — разработчики системной защиты: они жалуются, что наши системы стали хуже продаваться в Европе и за рубежом. Все говорят: «Это же системы от русских хакеров!» Мы шутим между собой, что нужен новый слоган:
«Только системы от русских хакеров
могут остановить русских хакеров».
Как законодательно отличить взлом от проникновения?
Есть статьи уголовного кодекса 271, 272, 273, которые связаны с разработкой вирусов и нанесением ущерба IT-инфраструктуре: они несут реальные сроки и наказания. Заниматься этим нельзя. Есть отдельные категории защищаемых данных — персональные, государственные, специальные структуры, автоматизированные системы управления производством и технологическим процессом. Это отдельный раздел законодательства. Есть отдельные законы и приказы в ФСТЭК России и ФСБ России.
Сколько у специалистов уходит времени на проникновение?
Это вопрос компетентности специалиста и комбинации методов. Примерно уходит одна-две недели или месяц. Плюс в нашей работе написание отчётов, согласование моментов проникновения занимают ещё две-три недели. Всё нужно делать поэтапно. Например, нам нужно проникнуть в периметр инфраструктуры сети.
Фото с сайта cyberswachhtakendra.gov.in
До 1 000 000 000 000 долларов оценивается ФСБ России сумма ущерба от хакерских атак за последние годы
Это можно сделать, получив удалённый доступ с помощью социального инжиниринга. Используя уязвимость внешнего периметра, можно попасть внутрь, либо с помощью подбора паролей к внешнему сервису зайти от имени пользователя и с использованием VPN-технологий попасть внутрь. Внутри мы начинаем использовать дальнейшие атаки, сканируя уязвимость. Пытаемся воссоздать периметр инфраструктуры заказчика — по аналогии с фишингом — делаем внутренний ресурс и собираем с сотрудников логины и пароли, либо перехватываем трафик с их рабочих станций.
Какое «железо» нужно взломщикам для шантажа и незаконных проникновений?
Большинство взломов происходит с использованием ноутбука, который можно купить за 30–70 тысяч рублей.
Больше ничего не надо.
В отдельных случаях, когда требуется взлом wi-fi, нужны направленные антенны и точки подмены доступа. Если используется перебор паролей по хешу, нужны мощные центры обработки данных. Однако в интернете есть сервисы, которые позволяют за 80–100 долларов направить хеш на взлом.
Много ли компаний, которые занимаются корпоративными взломами в Новосибирске?
Около пяти-шести лет назад был принят закон о защите персональных данных, что послужило серьёзным толчком к развитию направления информационной безопасности. Появились компании-лицензиаты, которые стали выходить на коммерческий рынок, например, «Атлас», Softline, «СИБ». Но региональных компаний, которые хоть сколько-нибудь серьёзно занимались тестами на проникновение, мы не встречаем. Наши клиенты в данной области — это первая десятка компаний региона либо активы федеральных компаний в регионе.
Фотография Сергея Мордвинова из архива Сиб.фм
Портрет хакера сейчас изменился: как их берут на работу?
К сожалению, взять на работу уже готового специалиста сейчас возможности нет, поэтому приходится брать сотрудников и долго обучать, потом апробировать их знания на практике. Хорошо показан портрет хакера в рекламе — это успешный человек с машиной, квартирой и заграничным отдыхом.
А затем идёт слоган:
«Чтобы хакеру хорошо не жилось,
поставьте систему защиты».
Это верно и для специалистов по проникновению — это редкие, но успешные люди. Они много учатся, как минимум три-четыре года, чтобы успешно взламывать компании. У нас есть институты с факультетами информационной безопасности. Там есть CTF-соревнования, московские курсы, сертификации. Когда человек потратит на это один или два года после института, у него появляется понимание. Затем нарабатывается практика под руководством наставника. Это долго. И нужен специфический склад ума, чтобы заниматься взломами. Вероятно, скоро всё изменится: это будет популярная профессия, как программист, и овладеть навыками взлома будет легче.
Подпишитесь на нас в Telegram
