Всемогущество взломщика. Оцениваем реальную степень угрозы хакерских атак

Double exposure of businessmen and power lines

В каждую эпоху были свои сказания о рыцарях и драконах, героях и злодеях. Сегодня их место заняли хакеры в белом и черном. О них слагают легенды, им посвящают книги и называют новыми властителями техногенного мира. Давай вместе разберемся, какие из страхов перед хакерами оправданны, а для каких пока нет подтверждений.

Подглядывание через камеры и публикация интимных фотографий

Пожалуй, ни один современный фильм не обходится без эпизода взлома камер наблюдения. Кажется, что это занимает секунды и позволяет иметь глаза повсюду. Мы уже писали подробную статью о том, как в действительности перехватывают доступ к веб- и IP-камерам. Если кратко, то это две совершенно разные технические задачи. Складывается впечатление, что сейчас становится все популярнее другое направление — взламывать смартфоны, чтобы жертву фотографировать и записывать на видео, особенно в интимные моменты жизни.

В прошлом году специалисты Palo Alto Networks обнаружили троян SpyDealer, который (в добавок к стандартному набору функций) снимает своих жертв, используя обе камеры смартфона, а заодно делает скриншоты. Такие зловреды обычно относят к инструментам для продвинутых целенаправленных атак (APT). Поэтому шанс заразиться им у звезды телешоу очень высокий, а у какого-нибудь Васи из Нижнего Гадюкино — минимальный. Скорее он станет жертвой «пугача».

Есть целый класс угроз под названием scareware. Они берут на испуг, часто не представляя реальной опасности. Например, вот такое замечательное письмо заставило преждевременно… поседеть многих парней из Австралии. В нем утверждалось, что жертву засняли встроенной веб-камерой во время просмотра сайтов для взрослых. Если в течение суток вымогателю не перечислить энную сумму в биткойнах, то всем контактам из его адресной книги будет отправлено занятное видео. Конечно, никакого подглядывающего трояна не было, но если мы считаем что-то реальным, то оно становится реальным по своим последствиям. Особо впечатлительные отправили выкуп.

Утечки приватных фото непосредственно со смартфонов и из облачных хранилищ происходят настолько регулярно, что им посвящены специальные разделы на порталах с «клубничкой». Однако целенаправленные атаки в этих случаях скорее исключение, чем правило.

В случае известных людей всегда есть подозрение о контролируемой утечке как пиар-акции. Например, бразильская модель Жизель Бюндхен на «слитых хакерами» фотографиях выглядит откровенно позирующей, да и сам стиль этих кадров мало отличается от ее привычных фотосессий. Такие «секретные» снимки — хороший способ подогреть интерес публики к своей персоне.

Однако бывают и сливы, очень похожие на настоящие. К примеру, интимные фото Аманды Сайфред — это именно любительские кадры, где актриса часто представлена не в лучшем амплуа. Подобные снимки могли сделать ее (бывший) парень или (завистливая) подруга, чтобы затем использовать их в качестве порномести. Так или иначе, пикантные снимки превратили Аманду в одну из самых обсуждаемых актрис в прошлом году, и тут интересен итоговый результат.

Если раньше подобное считалось несмываемым позором и концом карьеры (в монастырь или в петлю), то сегодня это дает хайп на короткое время и быстро смывается волной других скандальных событий. Уже через неделю-две всем будет безразлично, кто там мелькнул в кадре голым задом.

Кража данных с мобильных девайсов

Интересно проследить за тем, как развивались угрозы для смартфонов и планшетов. Поначалу мы встречали довольно примитивные зловреды для гаджетов, действовавшие аналогично своим десктопным собратьям: они воровали пароли, показывали навязчивую рекламу, блокировали устройства и вымогали деньги.

Однако вскоре смартфоны породили новые векторы атак: вирусные подписки на платные услуги, дозвон и рассылку SMS на короткие номера и, наконец, подглядывание через камеры с последующим шантажом. Впрочем, это все тоже были цветочки.

Сейчас мобильные устройства стали для хакеров приоритетной целью, поскольку их память содержит уйму конфиденциальных данных о самой жертве и ее окружении. Появляются трояны столь высокого уровня, что их разработка явно велась по заказу спецслужб.

Например, ряд очень характерных функций есть у зловреда Skygofree, заражающего мобильники с ОС Android. В частности, он отправляет копии переписки в соцсетях, контролирует перемещения смартфонов и автоматически включает прослушку, когда их географические координаты соответствуют заданным. Например, когда один смартфон оказался в комнате переговоров или рядом со смартфоном другого собеседника, за которым ведется слежка.

Также Skygofree принудительно включает Wi-Fi и самостоятельно выполняет подключение к хотспотам типа «злой двойник», которые контролирует атакующая сторона. Общее число шпионских функций у Skygofree составляет почти полсотни. Предположительно за его созданием стоит итальянская фирма Negg International, разрабатывающая софт для NSA и GCHQ. Понятно, что им сложно противостоять, но «сложно» еще не означает «бесполезно».

Все могут короли?

Многие считают, что им нечего скрывать от всеведущих спецслужб, а известные методы защиты данных все равно от них не спасут. Отчасти такое отношение формируют сами ведомства, но IRL их возможности тоже далеко не безграничны. NSA, CIA, FBI и другие страшные трехбуквенные организации состоят из рядовых сотрудников, которые, простите за резкость, регулярно лажают.

Например, NSA случайно удалила разведданные за семь лет, а группировка Crackas With Attitude в 2015–2016 годах получила доступ к аккаунтам руководителей почти всех федеральных ведомств США. Только один ее представитель — Justin «D3F4ULT» Liverman лично поимел директоров ФБР и ЦРУ, как написано в обвинительном заключении: «…длительно терроризируя их и их семьи разглашением конфиденциальной информации, полученной в результате незаконного доступа к онлайновым аккаунтам потерпевших».

Это не Ливерман оказался сильнее спецслужб, а их главы наплевали на элементарные правила безопасности, пользуясь для работы публичными сервисами (вроде AOL Mail), которые не ломал только ленивый.

Еще бытует мнение, что шифруй не шифруй, а все равно получишь… доступ. Конечно, под пытками вспоминают даже те пароли, которые и не знали, но не всегда столь грубые методы доступны. Просто посмотри, сколько негодования каждый раз вызывает у ФБР очередной смартфон с функцией полного шифрования данных. К примеру, в ноябре 2017 года на допросе «техасского стрелка», убившего 26 человек, следствие застряло из-за того, что он отказался разблокировать свой смартфон.

Как же быть с историями о взломе? Все успешные «взломы» последних смартфонов достигались косвенными методами. Например, через бэкапы облачных копий, авторизацию с залогиненных в ту же учетку ноутбуков… или старым и совсем недобрым ректотермальным криптоанализом.

Когда бэкапов нет, а пытать некого, ФБР ищет профессиональных охотников за уязвимостями, поскольку само не располагает достаточно квалифицированными кадрами. Например, в 2016 году бюро заплатило 1,3 миллиона долларов за уязвимость нулевого дня. Она позволила вскрыть iPhone 5c, найденный у ликвидированного в ходе спецоперации террориста Сайеда Ризвана Фарука. Тогда Apple не смогла (или не захотела) помочь забраться в айфон, а в новых моделях закрыла эту уязвимость.

Директор ФБР Кристофер Рэй заявил, что из-за шифрования бюро не смогло получить данные почти с семи тысяч мобильных устройств, которые изъяло у подозреваемых в 2017 году. Может, шифрование и не панацея, но оно точно усложняет задачу сбора доказательств. Просто не все криптосистемы одинаково полезны, а принципиальные отличия в подходах к шифрованию данных на смартфоне описаны здесь.

Кража и стирание личности

По информации Javelin Strategy & Research, примерно 6,15% взрослых граждан США ежегодно становятся жертвой кражи персональных данных. Преступники совершают сделки от их имени, нанося финансовый и репутационный ущерб. Чаще всего они незаконно оформляют кредиты и оплачивают развлекательные услуги по чужой кредитке, но этим список не ограничивается.

К примеру, теоретически возможно стирание личности — удаление информации о человеке на всех электронных ресурсах. Если база данных централизованная, то речь идет об одной успешной атаке. Если же это БД в отдельных ведомствах, каждое из которых ведет свой реестр, то сложность атаки многократно возрастает. Поэтому самый эффективный способ стирания личности на сегодня не технический, а бюрократический. Достаточно инсценировать смерть или «удачно» оказаться в списках без вести пропавших, как бюрократическая машина сама переместит все записи о человеке в архив. Они не удалятся, а просто перестанут быть актуальными и позволят начать жизнь с чистого листа… или же вынудят долго обивать пороги, доказывая, что ты живой.

Другая разновидность такой атаки называется подмена личности. Она заключается в том, что во всех онлайновых базах данных, до которых смогли дотянуться злоумышленники, сведения о каком-то человеке подменяются записями о другом. После этого он сможет действовать от имени жертвы и документально подтверждать правомерность своих действий. Самая частая ситуация — угон аккаунтов в соцсетях. Большинство из них допускают восстановление пароля при обращении в техподдержку, которая просит прислать фотографию с разворотом паспорта или водительским удостоверением в руках. Мастера фотошопа и hex-редактора успешно обходят такую верификацию, если наряду с фотографией заменяют в джепеге метаданные, удаляя строки Adobe Photoshop из EXIF.

SCADA

Все технологические процессы сегодня автоматизированы и часто имеют удаленное управление. Что будет, если его взломают? В 2001 году Эрик Байрес, Джастин Лоу и Дэвид Леверсаж стали вести базу инцидентов в сфере промышленной безопасности ISID, а с 2014 года она доступна онлайн.

Первым зарегистрированным в ней инцидентом стал хрестоматийный случай, относящийся к эпохе холодной войны.

Старший сотрудник Агентства национальной безопасности США Томас Рид в своей книге At the Abyss утверждает, что в начале восьмидесятых АНБ допустило контролируемую утечку ПО для управления насосами. Софт содержал троян, который активировался в июне 1982 года во время испытаний Транссибирского газопровода. Он удвоил давление газа и привел к разрушению сварных швов, сорвав поставки газа и вызвав мощный психологический эффект. Советская сторона не отрицает сам взрыв, но исключает его взаимосвязь с трояном. «То, что написали американцы, — это мусор», — сказал Василий Пчелинцев, возглавлявший в 1982 году отдел КГБ в Тюменской области.

Подобные истории всегда вызывают противоречивую реакцию, поскольку одна сторона может присвоить себе мнимый успех, а другая — скрывать провалы. Широкой общественности выборочно предъявляются доказательства разных версий, но никогда не открывается полная картина — это обычная манипуляция толпой. Факт в том, что факты можно получить только из тех расследований инцидентов, которые изначально велись открыто.

Например, в 2012 году в США произошла серия «веерных отключений» электроэнергии, причиной которых стали различные нарушения в сфере промышленной безопасности. Все началось с того, что работавший на аутсорсе техник принес на флешке вирус Mariposa. Вирус не был специально написан для порчи оборудования, как это было с трояном Stuxnet. Речь о банальном разгильдяйстве. Техник наплевал на должностные инструкции и подключил зараженную флешку напрямую к управляющему компьютеру. Он попытался скопировать с нее настройки, тем самым вызвав распространение инфекции. В тот же день как минимум десять других компьютеров системы управления турбинами на разных электростанциях США оказались заражены. Их пришлось остановить, а перезапуск, расследование и возврат к плановой мощности потребовали три недели.

Если сам вирус в промышленных системах отловить сравнительно просто, то полностью устранить последствия инфицирования зачастую не удается. Это не домашний компьютер, который можно выключить в любой момент, полностью очистить накопитель и переустановить ОС. Энергетическая сеть состоит из сотен взаимосвязанных узлов, работающих круглосуточно. Поэтому проблемы на одних узлах так или иначе затрагивают другие. Позже один из двух ядерных реакторов на АЭС «Саскуэханна» был отключен операторами вручную, потому что компьютерная система контроля уровня воды стала сбоить и возник риск перегрева активной зоны.

Атаки на SCADA затрагивают преимущественно промышленные системы. Если удается предотвратить аварию, они редко становятся достоянием гласности. Однако некоторые из них направлены на городскую инфраструктуру, где даже мелкие шалости могут быть очень заметными.

В том же 2012 году был опубликован бюллетень о множественных уязвимостях в популярной платформе Tridium Niagara AX. Она объединяет системы охраны, управления отоплением, вентиляцией и кондиционированием, лифтами, освещением и пожарной безопасностью зданий, предоставляя к ним единый доступ через веб-интерфейс. Просто идеальная цель для кул-хацкеров и скрипт-кидди.

После того как опубликовали детали уязвимости, в Нью-Джерси были зарегистрированы множественные случаи взлома Tridium Niagara AX. Позже кто-то написал удобный бэкдор, и десятки кул-хацкеров стали наперебой развлекаться с настройками разных зданий. Всего в мире было продано свыше 300 тысяч лицензий на Tridium Niagara AX. Сервис Shodan подсказывает, что многие клиенты до сих пор не установили патчи.

Еще одна чувствительная отрасль — управление транспортом. В 2013 году вся компьютерная сеть Департамента автомобильных дорог округа Кук была закрыта почти на две недели из-за вирусного инцидента. Неизвестный зловред атаковал около двухсот компьютеров. Для его ликвидации потребовалось пять техников и девять суток непрерывной работы. Механизм проникновения в сеть остается неизвестным. По основной версии предполагается целенаправленная атака.

В 2014 году странный сбой в программе управления самолетом-разведчиком U-2 привел к длительной задержке нескольких сотен рейсов в международном аэропорту Мак-Карран в Лас-Вегасе. Отдельные источники связывают это с деятельностью хакерской группы Dragonfly, чьи атаки преимущественно нацелены на подрядчиков DARPA и авиакомпании США. Официальных комментариев на этот счет также не поступало.

Торговля страхом

База ISID перестала обновляться в январе 2015 года. Все меньше компаний готовы рассказать о случавшихся у них инцидентах, поскольку боятся рисков для деловой репутации. Иногда такие сообщения просачиваются в прессу от «доверенных источников» или даже обретают лицо, но редко находят официальные подтверждения. Здесь открывается широкий простор для злоупотреблений и торговли страхами.

Например, у American Banker недавно возникли вопросы к основателю компании Groub IB Илье Сачкову. По словам издания, ни международная некоммерческая организация FS-ISAC, ни подразделение Центробанка FinCERT не находят подтверждения его словам о хакерской группировке Money Taker, якобы давно действующей и уже укравшей свыше десяти миллионов долларов из российских и американских банков. Аналитическое агентство Gartner тоже ставит под сомнение заявления Ильи. «FS-ISAC просто не может не узнать о нападении на шестнадцать банков», — сказала вице-президент Gartner Авива Литан.

Конечно, финансовые организации остаются одной из самых лакомых целей. Взломать их не так уж сложно, а вот сделать это незаметно и воспользоваться украденными деньгами без последствий — на грани фантастики. Протоколируется каждая транзакция, видны все перемещения денежных средств, постоянно генерируются сверки и автоматические отчеты. Для успешной кражи потребуется помощь инсайдера (и не одного), но это уже проблема доверия собственным людям, а не технике.

Антивирусы как кейлоггеры, антивирусы как…ботнеты?

Основная доля продавцов страшилок приходится на псевдоантивирусы. Они выполняют бесплатное «сканирование» (часто — онлайн), якобы что-то находят, а затем предлагают удалить это за деньги. Именно пугачи портят репутацию настоящим антивирусам. Впрочем, настоящие все меньше отличаются от фейковых.

Год назад мы протестировали десятки бесплатных антивирусов и заметили, что они все больше напоминают scareware. Запугивание пользователя начинается еще во время установки, а затем антивирус достает уведомлениями до тех пор, пока ты не купишь платную версию и не разрешишь ему делать что угодно на своем компьютере (или не удалишь его). Такая тактика агрессивного продвижения подрывает доверие ко всем производителям защитного ПО, затрагивая даже лидеров рынка.

Скандал с запретом использования продуктов ЗАО «Лаборатория Касперского» в США до сих пор не утихает, но выдвинутые обвинения можно предъявить любому разработчику антивирусов. Все они содержат средства облачной проверки и отправляют на свои серверы любые файлы, которые сочтут подозрительными. По заявлениям производителей, все происходит в автоматическом режиме и обезличивается, а сама технология непригодна для сбора информации с определенных компьютеров. Однако обратная задача (найти источник распространения какого-то зловреда или установить принадлежность файла конкретному компьютеру) в целом решаема.

Другая проблема состоит в том, что ошибки в любом популярном ПО часто используются для выполнения атак, и антивирусы здесь — одна из главных целей. Например, в Bitdefender Internet Security 2018 была обнаружена уязвимость, позволяющая удаленно выполнять произвольный код. Не лучше обстоят дела у Avast, AVG и многих других.

Современные антивирусы глубоко интегрируются в систему, и порой это создает больше проблем, чем решает. Они устанавливают собственные службы (в которых могут содержаться ошибки), перехватывают системные вызовы (нарушая работу других программ), словом — имеют слишком много прав и технически способны выполнять любые действия без ведома пользователя.

Еще настораживают модули антивирусов вроде «безопасных платежей». Ты заходишь на сайт банка с браузерным расширением антивируса и вводишь данные на его «защищенной от кейлоггеров» экранной клавиатуре. Все это вроде бы как идет по HTTPS, но антивирусу же надо проверять зашифрованный трафик, поэтому он давно установил собственный сертификат для его расшифровки. Круг замкнулся...

Все остальные идентификационные данные уже есть у антивирусной компании — ты сам их указал при регистрации. Поэтому чисто технически ничто не мешает манипулировать твоими счетами, списывая все на проделки хакеров. Другое дело, что репутация компании стоит дороже и вряд ли такое происходит в реальности. Во всяком случае, нам о таких фактах неизвестно.

Шпионские функции ОС

Обсуждению следящей активности Windows 10 была посвящена не одна статья, и здесь дела обстоят примерно так же, как с антивирусами. Теоретически возможностей шпионить за любым пользователем предостаточно. Реализованы ли они фактически — трудно сказать наверняка. В наших изысканиях нам пока не удалось поймать операционку на краже данных. Да, она отсылает кучу статистической информации, которая наверняка используется для персонализированной рекламы и позволяет создать «цифровой отпечаток», идентифицируя устройство и пользователя уже без явной авторизации. Да, исходящий трафик просто огромный и не весь легко анализируется, но чего-то однозначно криминального в исходящих пакетах пока не обнаружилось. Все отсылается на серверы Microsoft и партнеров в соответствии с лицензионным соглашением, подписывая которое ты фактически сам разрешаешь следить за собой.

Выводы

Технически хакеры ограничены степенью своей осведомленности о внутреннем устройстве выбранной цели. Часто реальная цель имеет какие-то особенности, которые не учитывались в сценарии атаки. Поэтому обычно проще взломать человека, чем удаленный компьютер. Никто не будет тратить ресурсы на детальную проработку APT для Васи. Он просто попадет на раздачу для лохов, где его обманом заставят выполнить требуемые действия: «отключить антивирус, файрвол и запустить от админа».

Финансово хакеры ограничены слабо, поскольку часто действуют в интересах преступных группировок или спецслужб, но последние тоже не всесильны. Есть смысл использовать шифрование и соблюдать общие правила безопасности. При этом стоит помнить, что защитный софт может содержать уязвимости и часто сам становится средством проникновения на компьютеры жертвы. Как минимум его надо регулярно обновлять и проверять настройки.

Взлом SCADA может вызвать локальные сбои, но хакеры оказываются последней угрозой в списке реально значимых факторов промышленной безопасности. Возглавляют же его традиционно «человеческий фактор» и «износ технологических узлов».

Кибервойны вряд ли вызовут потоп из-за сбоя на ГЭС и взрыв реактора АЭС. Если бы это было возможно, то индустриальный апокалипсис уже давно бы наступил. Это кажется так дешево и эффективно — устроить противнику тотальный блэкаут и захватить парализованную страну! Однако пока приходится тратить уйму средств на подкуп должностных лиц и цветные революции, вновь предпочитая социальный инжиниринг технически продвинутым атакам.

На ключевых объектах инфраструктуры реализован многоступенчатый контроль состояния критических узлов и мониторинг живыми людьми. К тому же любое опасное изменение занимает время: насос мгновенно не прокачает тонны воды, а реактор не перегреется за секунды. В большинстве ситуаций оператор успеет заметить отклонения и вмешаться (что-то на АЭС в Бушере во время атаки Stuxnet они не успели вмешаться. 😉 — Прим. ред.), да и любая важная система изначально проектируется так, чтобы в ней не было единой точки отказа. Есть плачевный опыт «Чернобыля» и «Фукусимы», но хакеры никак с ним не связаны.

В обществе есть механизмы противодействия киберугрозам, не связанные с контролем над техникой. Бумажные документы все еще имеют приоритет над электронными. Подмененные записи во взломанной базе данных просто заменят информацией с оригинальных бланков. Правда, придется побегать и вспомнить главное изобретение Советского Союза — очереди. Банковские транзакции не выполняются мгновенно — их можно отменить при своевременном обращении, да и наличные крадут чаще, чем деньги с карточек. Удаленно вывести из строя промышленный объект помешает оператор и автономные аварийные системы. Авиалайнер не улетит в другую страну из-за подмены координат GPS — его курс скорректирует диспетчер, ну и пилоты сами не слепые.

Что до тайны личной жизни, то на нее по большому счету теперь всем наплевать. Да-да, именно «наплевать». Сам посуди, ведь еще несколько десятков лет назад те публичные унижения, которые известные люди испытывают во время скандалов со сливом интимных фотографий, могли закончиться отставкой («человек, похожий на генерального прокурора»), убийством или самоубийством. А что теперь? А теперь — «без комментариев».

Комментарии (2)

  • То есть как это...получается я даже анклу Бобу,из подвала брайтонбич,не интересен!?С кем тогда играть в прятки?Грусть,печалька...»я так не играю» Карлсон

Похожие материалы