Хакер дырочку найдет
Никита Аронов — о том, почему кибербезопасность всегда под угрозой
"Огонек" отправился на съезд хакеров и убедился: окружив себя новыми технологиями, мы оказались очень уязвимы. Уже сейчас хакер может украсть деньги с вашей карточки, отследить ваше положение по мобильному телефону, угнать вашу машину и сжечь электроподстанцию в вашем городе
На хакерском форуме Positive Hack Days организаторы презентовали сборник исследований по состоянию информационной безопасности на 2015 год. Если вкратце, то все страшно. Уязвимости найдены в 90 процентах систем дистанционного банковского обслуживания, половину мобильных телефонов можно прослушать на расстоянии, а львиная доля промышленного оборудования беззащитна против атак злоумышленников.
— Бизнес всегда в первую очередь думает об эффективности, об услугах, а не о безопасности. Поэтому первый ход всегда за хакерами,— уверен руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов.— Серьезно повысить безопасность можно, только понизив удобство: хранить информацию на бумажках, передавать файлы на дискетах. В некотором роде вернуться в каменный век.
Фактически с развитием технологий мы все попали в ловушку. Они делают жизнь удобнее, но оставляют массу лазеек для злоумышленников. Обилие гаджетов сводит на нет усилия специалистов по безопасности. Люди начинают читать корпоративную почту с планшета — ведь так гораздо удобнее. Можно разрешить просмотр секретных файлов только на суперзащищенном компьютере, с которого ничего нельзя скопировать. Но ведь ничто не помешает сотруднику просто сфотографировать экран. Не обязательно в шпионских целях — просто, чтобы потом почитать в спокойной обстановке. Все чаще причиной всех бед становится обычное разгильдяйство.
— Недавний пример: из коммерческого банка украли серьезную сумму денег. Мы посмотрели распорядок рабочего дня человека, который его администрировал. Оказалось: он одной рукой администрирует, а другой сидит в "В контакте" и ходит по ссылкам на посторонние сайты, где легко можно подхватить вирус,— рассказывает Никита Кислицын из Group-IB.
Даже добросовестный пользователь не способен держать в голове несколько паролей от почты, гаджетов и аккаунтов в социальных сетях. Кончается все тем, что пароли хранят в текстовом файле на рабочем столе компьютера. Да что там пользователи — исследование информационных систем 17 крупных российских и зарубежных компаний показало, что в четверти из них обнаружились админские аккаунты, открывающиеся паролем "Admin".
Под угрозой не только корпорации, но и простые смертные.
— Раньше считалось, что прослушивание сотовых телефонов — прерогатива спецслужб, но оказалось, что это не так,— рассказывает руководитель отдела безопасности телекоммуникационных систем Positive Technologies Дмитрий Курбатов.— Всех мобильных операторов объединяет спроектированная 40 лет назад проводная сеть SS7 (в российской терминологии — ОКС-7). В некоторых странах доступ к ней можно купить за 3,5 тысячи долларов. И у мобильных операторов в этой сети до недавнего времени не было никаких средств защиты. И даже систем мониторинга безопасности.
Таким способом можно взломать чужой телефон, находясь на другом конце земного шара. Об угрозе просто не задумывались до скандала с прослушкой Ангелы Меркель, осуществленной, по мнению специалистов, именно так.
Но чтобы пострадать от хакеров, необязательно быть главой государства. В 89 процентах сетей можно перехватить входящие СМС. Например, подтверждающие банковские платежи. Так что тут прямой денежный интерес.
Но хуже всего дело обстоит с промышленным оборудованием. С каждым годом там все больше мобильных технологий, а о кибербезопасности зачастую не думают вовсе. Оценить это наглядно можно было прямо на форуме Positive Hack Days. В одном из конференц-залов московского Центра международной торговли установили несколько макетов: железной дороги с поездом, "умного дома", а также целого города с гидроэлектростанцией, плотину которой можно было открыть и вызвать потоп. Участникам форума, хакерам и специалистам по компьютерной безопасности, предлагалось подключаться и выводить из строя всю эту инфраструктуру. Что они и делали, устроившись на удобных пуфиках. Кстати, большинство хакеров — обычного вида айтишники в толстовках с капюшонами.
Этажом ниже взламывали автомобиль. Оказывается, современные машины очень легко вскрыть, подключившись к камере парктороника. Собственно, тут та же проблема, что и с мобильными устройствами: чем больше удобств, связанных с современными технологиями, тем больше прорех в безопасности.
Не прошло и двух часов, как игрушечный город затопили, а один 17-летний школьник вызвал короткое замыкание и сжег трансформаторную подстанцию ГЭС. Макет "умного дома" не избежал печальной участи.
— В блоке управления светом "умного дома" уже кто-то взломал пароль и поменял на свой,— признавался дежурящий у макета Александр Лифанов.
Сам он работает в компании, производящей аппаратуру для "умных домов", и возит макеты на хакерские форумы, чтобы проверить ее на прочность.
— Надеюсь, что сегодняшние результаты заставят разработчиков оставлять меньше "дырок",— рассуждает он.
Собственно, хакерские слеты для того и проводят, чтобы люди, ответственные за безопасность, могли потренироваться и узнать о вновь выявленных слабых местах. Но хакеры все равно каждый раз находят новые.
Брифинг
Дмитрий Евтеев, технический директор компании HeadLight Security
Предположим, администраторы взяли лучшие практики, закрыли все файерволами, предусмотрели антивирусные системы — все круто. Но появляются пользователи этой системы и начинают ходить по непонятным сайтам и жаловаться, что их не устраивает такая сложная политика безопасности. Потом бухгалтеру нужно установить какой-то интернет-банк, который не умеет работать через прокси-сервер. Так в системе защиты начинают появляться бреши.
Пол Викси, один из создателей интернета
Можно сказать, что в мире уже и не существует понятий "приватность" и "сохранность личных данных". При этом во многом это вина спецслужб, ведь они также взламывают данные или предустанавливают в продукцию дополнительные опции для получения информации. Покупая любое устройство, вы должны помнить, что хакерской атаке могли быть подвергнуты и его производитель, и продавец. А еще то, что в ваше устройство изначально могли предустановить шпионское ПО.
Максим Эмм, эксперт в области информационной безопасности
Злоумышленники очень грамотно используют несовершенство законодательства именно в части взаимодействия разных стран. То есть в большинстве случаев преступления совершают на территории других стран, находясь при этом, например, в России либо в странах СНГ. Найти их там достаточно сложно ввиду того, что взаимодействие между правоохранительными органами Евросоюза и России, США и России в этом плане налажено очень слабо.