06.01.2019

Вирус беспечности

Интернет давно стал неотъемлемой частью нашей жизни и с каждым годом проникает в неё всё глубже, охватывая новые сферы. Сегодня без интернета невозможно представить работу банков, компаний, госучреждений. Помимо этого, каждый из нас также является пользователем сети, осуществляя бронь гостиниц, покупку билетов или других товаров, пользуясь электронной почтой и просто общаясь в соцсетях. Но появление новой формы взаимодействия требует обеспечения её безопасности. Кибербезопасности. Что это такое, в чём специфика этого направления и какие базовые принципы должен знать рядовой пользователь, чтобы обеспечить свою кибербезопасность, «Вестнику Атомпрома» рассказал начальник лаборатории АО «ФЦНИВТ «СНПО «Элерон» и доцент кафедры криптологии и кибербезопасности НИЯУ МИФИ Сергей Журин.

Сергей Игоревич, что такое кибербезопасность и какие задачи это направление призвано решать?
Кибербезопасность – это комплекс мер по защите программ, сетей, компьютерных и сетевых ресурсов от кибер-, или компьютерных, атак, то есть цифрового преднамеренного воздействия для нарушения целостности, конфиденциальности и доступности информации. Например, если компания имеет информацию, нужную злоумышленнику, и он захочет получить к ней доступ и похитить, то нарушится конфиденциальность информации.

Чтобы защититься от таких нападений, применяется специальный комплекс мер, которые можно разделить на организационные меры, направленные на обучение персонала правилам поведения в информационной среде и последующую проверку того, как эти правила выполняются. Также это программно-технические меры, предполагающие применение программ для обработки и фильтрации поступающей информации, комплекс научных мер, направленных на анализ методов проведения кибератак и разработку мер ответного противодействия, а ещё меры нормативного обеспечения: так, Банк России последовательно обновляет требования по противодействию компьютерным атакам в отношении финансовых учреждений. Разберём пример возможной кибератаки на банк.

Злоумышленники, проникнув во внутреннюю сеть банка, могут убрать лимиты на снятие средств из банкомата для конкретных карт, потом перевести на их счета большие суммы денег, после чего обналичить их в России или за рубежом. Подобный вид мошенничества можно предотвратить, только обнаружив наличие вредоносной программы в среде банка, что и является одной из функций кибербезопасности, когда специальное программное обеспечение анализирует все цифровые активы на предмет вредоносной активности, отслеживает и контролирует точки входа в закрытое информационное пространство, предотвращая проникновение вредоносных программ.

Получается, что можно провести аналогию с квартирной кражей, объект извне в виде программы должен проникнуть внутрь системы, и задача киберзащиты – эту программу увидеть и не пустить, а если она прошла – идентифицировать и нейтрализовать.
Да. Можно провести аналогию с работой системы физзащиты. Например, инфракрасное средство обнаружения в помещении можно настроить на высоту перемещаемых объектов. Если движется собака, то сигнал тревоги не выдаётся. Если человек – подаётся сигнал тревоги с последующим выездом тревожной группы – в нашем случае включается антивирус, который блокирует
работу обнаруженной программы.

Есть ли какой-то сигнал «свой-чужой» у программ, которыми пользуется предприятие, как отслеживается приход новой программы во внутреннюю сеть?
Наличие используемых программ прописано в реестрах того же Windows, есть так называемый белый список программ, но его наличие само по себе не даёт гарантий безопасности. Например, программа может быть бестелесной или она может быть модифицирована под другую программу, из того же белого списка, с тем же именем, но по сути это уже будет другая программа. Как будто я надел маску, делающую моё лицо похожим на ваше, и консьержка может подумать, что я – это вы, и пропустить меня в ваш подъезд. Или бестелесная программа.
Она не пишется на жёсткий диск, не прописывается в реестр, просто входит в оперативную память. Чтобы её нейтрализовать, необходимо выключить компьютер. И в большинстве случаев она другим способом не ловится. Попадание сторонних программ также может произойти с помощью внешнего носителя, которым может послужить вставленная в компьютер флешка. Также вредоносная программа может прикрепляться к телу другой, белой программы, ведь программа – это не очень плотная структура, в ней есть пустоты, которые можно заполнить вредоносным ПО. И когда такая программа заходит в банк и активируется, то запускается одновременно и содержащийся в пустотах вирус.

Как происходит эволюция систем, обеспечивающих кибербезопасность, появляется новый вирус и специалисты ищут способ его обнаружения и нейтрализации? Или существуют стратегии работы на опережение?
Когда появляется новая разновидность известных вирусов, то под них в антивирусных программах прописывается в словарь его код (сигнатура), и если в теле файла обнаруживается похожая часть кода, то этот файл отправляется в карантин. Также применяется эвристический анализ сканируемых файлов на заложенные или выполняемые им функции. Согласитесь, если программа-калькулятор содержит команду форматирования жёсткого диска или запрашивает доступ к веб-камере, то это будет подозрительно.

Применяется и стратегия работы на опережение. Часто злонамеренное ПО разрабатывается на хакерских форумах, которые находятся в теневом интернете, так называемом даркнете. Существуют специальные компании, например, одна из них называется Group-IB, чьи сотрудники сидят на хакерских форумах и отслеживают онлайн, какое вредоносное ПО разрабатывается, оценивают вектор его атаки (например, банки) и заранее информируют организации, против которых это ПО разрабатывается. Это так и называется: киберразведка.

Какие предприятия чаще всего подвергаются кибератакам?
Первая и самая распространённая группа – это банки и другие организации, работающие с деньгами. Атака на них – прямой путь к получению незаконной выгоды. Второе, что интересует киберпреступников, – это компании, владеющие персональными данными. Например, операторы сотовой связи, всевозможные базы данных, компании, торгующие или оказывающие услуги через интернет, имеющие доступ к реквизитам платёжных карт.

Персональные данные можно продать или использовать в различных мошеннических схемах, получив доступ к аккаунтам в соцсетях, можно под различными предлогами выманивать деньги у «друзей», например, распространяя реквизиты якобы «благотворительных счетов», и так далее. Промышленные предприятия также могут подвергаться кибератакам, но больше с точки зрения конкурентной разведки и получения специфической информации, непосредственно связанной со сферой деятельности каждой конкретной компании.

То есть это конкурс на эрудицию? Не было сценария, когда одна команда пытается проникнуть в «условную» сеть другой?
Сценария такого в игре не было, хотя такое тоже бывает. Но уже в реальной жизни. Называется тестирование на проникновение. Очень сегодня популярно и актуально. Существуют компании, которые специализируются на оказании подобных услуг.
С ними заключается договор, согласно которому её представители в тестовом режиме пытаются проникнуть в сеть предприятия-заказчика. Её представители рассылают письма, имитирующие действия злоумышленников, сотрудникам компании, заказавшей тестирование, и проверяют: откроют или не откроют, кто как среагирует. Могут звонить, представляясь коллегами, и спрашивать: «Мы сейчас сидим за вашим компьютером, нам срочно нужен к нему доступ, чтобы решить важную проблему, скажите, пожалуйста, свой пароль или приходите на работу и введите его сами». И зачастую человек может предпочесть лучше сказать свой пароль, чтобы от него отстали рано утром в субботу, например, или вечером перед сном. Это проверка на устойчивость к так называемой социальной инженерии.

Вернёмся к игре: это командные соревнования или больше индивидуальные?
Игра, определённо, командная. Вся серия состоит из пяти игр, один раз в два месяца, мы приняли участие во второй игре и как победители выходим в следующую, третью, игру – 13 марта. Проигравшая команда выбыла, и на её место приходит новая команда. В финал выйдут команды с максимальным количеством очков. Наша команда называется Anti-APT-Group. Anti-APT переводится как противодействие постоянной компьютерной угрозе. В неё вхожу я, сотрудники из фирм по информационной безопасности, некоторые работали в российских федеральных структурах. Из атомной отрасли я один. Это был свободный набор желающих поучаствовать в игре, мне эта идея понравилась, и я, как эксперт, записался. Капитаны команд выбирали игроков из пула желающих экспертов, с учётом их опыта и знаний по информационной безопасности – так собралась наша команда.

Что игра даёт помимо эмоций? Способствует расширению кругозора, позволяет в тестовом режиме находить правильные решения?
Да. Перед этой игрой и перед предстоящей игрой я готовлюсь, много читаю. 18 декабря у нас была тема «Регуляторы». Мы всей командой изучали их историю, какие были хакерские атаки, всё, что с ними связано, каждый брал свою область и досконально её изучал. Это своего рода такой способ повышать собственную квалификацию. Помимо этого игра отличный способ пообщаться с коллегами и расширить круг профессиональных знакомств, благодаря которым мы постоянно узнаём что-то новое. С этой точки зрения можно провести некоторую аналогию с профессиональными конференциями, где знакомишься с новыми разработками, передовыми технологиями и программными продуктами. Необходимо быть в курсе всех трендов и новостей, потому что появляются новые виды угроз и типы атак и, как следствие, новые методы защит. Например, Ростелеком на последней конференции предложил защиту от кибератак на уровне своего сетевого оборудования, которое обнаруживает некоторые атаки до вашего оборудования. Например, атака типа отказ в обслуживании, когда на сервер посылается большое количество бессмысленных запросов, и он начинает тормозить, и клиент, например, ждёт вместо одной секунды несколько минут, пока его запрос выполнится.

Если перейти к рядовому пользователю, вот у меня есть ноутбук, но миллионов у меня нет, я являюсь объектом, который может подвергнуться кибератаке?
Конечно. У вас есть банковская карта, вы используете онлайн разные программы для платежей, например с мобильного телефона. Это первое, на что направлено мошенничество. Злоумышленнику, специализирующемуся на мошенничестве в соцсетях, интересно получить логин и пароль от вашего аккаунта. Если у вас компьютер достаточно мощный, на него злоумышленник может поставить программу для майнинга – это использование ресурсов вашего ноутбука для генерации криптовалюты. Такая программа будет тормозить ваш компьютер и приносить выгоду злоумышленнику. Ваш ноутбук также может быть использован как источник для атаки на другие компьютеры, в частности, чтобы заблокировать работу сервера. Например, атака на банк: чем больше устройств участвует в атаке, посылает бессмысленные запросы, тем больше нагрузка на сервер, он «виснет» и перестаёт работать. Естественно, страдает репутация
банка, что выгодно конкурентам.

Какие базовые принципы мне, как рядовому пользователю, необходимо знать, чтобы защитить себя от подобных кибератак?
Первое – это обновление программного обеспечения, которое у вас стоит, по крайней мере системного (например, если это Windows, лучше использовать самую последнюю версию обновления). И с другими программами также: Word, Excel – ставить последние версии, в которых заделаны «дыры», выявленные в предыдущих программах. Обязательно использовать антивирусные программы и также регулярно их обновлять.

Далее необходимо быть крайне внимательным к письмам и сообщениям в соцсетях. Например, знакомый попросит в долг, а на самом деле это может оказаться человек, который взломал его аккаунт. Не переходить по подозрительным ссылкам. Бывает написано «распродажа», жмёте, а в результате может загрузиться вредоносное ПО. Или в письмо вложен файл с анкетой, которую надо заполнить, чтобы, например, выиграть приз, открываете файл, и вирус уже у вас в компьютере!

Допустим, я бронирую номер в гостинице через Booking.com, ввожу реквизиты своей карты, и сам Booking.com защищает мои данные?
Да, это самый простой механизм защиты для обычного пользователя. Но вы должны смотреть, чтобы в верхней строке было написано именно Booking.com, через двойное «оo». Если будет написано, скажем, через u, или будет написано Bookinng, или тире – то это будут фишинговые сайты злоумышленников. Злоумышленники подделывают сайты, создают полный дубликат, и, вводя свои авторизационные данные, вы отдаёте их мошенникам. То же самое с покупкой авиабилетов. Желательно всегда смотреть на то, как прописан адрес в адресной строке. И вообще, надёжнее пользоваться сайтами авиакомпаний. На сайтах-посредниках проще найти более удобный рейс, а потом перейти на сайт авиакомпании, которая его совершает, и там купить – чем меньше посредников, тем меньше шансов, что данные перехватят. Потому что злоумышленники могут загрузить вредоносное ПО и на обычный сайт посредников для считывания данных банковских карт.

Какие махинации наиболее распространены в интернете?
Наиболее распространённый способ, когда приходит письмо от мошенников, где всеми правдами и неправдами выуживают ваши персональные данные. Это если говорить об обычных пользователях. Если на уровне банков, то это может быть проникновение через сетевое оборудование к программам управления терминалами, после чего банкомат просто выдаёт все деньги. Такой пример мошенничества можно часто увидеть в остросюжетных фильмах. Новые махинации, которые прогнозируются в 2019–2020 годах, это подмена адреса в адресной строке на уровне роутера. У вас написан «Сбербанк точка ру», а на уровне программного обеспечения роутера, который вы себе дома поставили, будет подмена, например на «Сбербанк точка хакер точка ру».

Кибербезопасность – сфера, без которой уже невозможно представить современный мир. Каков ваш прогноз относительно роста объёмов услуг, которые оказывают компании, работающие в этой области?
Чем выше уровень цифровизации общества, тем больше возникает потребность в обеспечении цифровой безопасности информации. Растёт количество программных средств защиты услуг, тестирования, обучения персонала. Увеличивается количество статей уголовного кодекса, связанных с наказанием за нарушения в информационной безопасности, защитой персональных данных.

Часть преступного мира перемещается в сторону компьютерных технологий, потому что там есть много плюсов – тебя не видно, нет физического контакта. Количество IT-преступлений в среднем повышается, а физических немного понижается.

Происходит некая миграция. Есть люди, которые склонны к зарабатыванию денег незаконным путём. Они видят, что в сфере IT это выгодно и более безопасно, и они постепенно перемещаются в эту область. И такая тенденция будет сохраняться. Пока есть нападающая и защищающая
стороны, в рамках противоборства будут появляться всё более новые способы нападения и защиты. Так что кибербезопасность – неотъемлемая реальность нашего времени. И объёмы
услуг, которые оказывают компании, работающие в этой области, в будущем, конечно, будут только расти.