«Мы все в зоне риска»: этичный хакер Александр Герасимов — о кибербезопасности, утечках данных и многомиллионном теневом бизнесе

Читать в полной версии →

Количество публичных утечек данных за последний год выросло в полтора раза по сравнению с предыдущим. О том, кто совершает кибератаки, почему это происходит и как можно обезопасить себя, рассказывает директор по информационной безопасности и сооснователь компании Awillix Александр Герасимов.

Что такое кибербезопасность

В узком смысле кибербезопасность — это способ защиты информационных систем от кибератак.

В широком смысле кибербезопасность — это состояние информационной системы, при котором достигается конфиденциальность данных, их целостность и доступность. Если система надежно защищена, информация не попадет в руки третьим лицам, останется неизменной и будет доступна всем, у кого есть разрешение на взаимодействие с ней.

Кибербезопасность — это один из видов информационной безопасности. Разница этих понятий в том, что первое отвечает за защиту информации на уровне приложений, серверов и IT-инфраструктуры, а второе — за защиту любой информации.

Как и в разработке, где есть бэкенд, фронтенд и много других сфер, в кибербезе есть свои направления. Вот, например, некоторые из них:

Почему утечек данных становится все больше

Первая и основная причина — это выгода. Кража данных и их вывод в интернет приносит злоумышленникам на теневом рынке сотни миллионов долларов. Это целый бизнес, у которого есть рабочая схема заработка:

  1. Когда преступники попадают в важную информационную систему компании, сначала они забирают эти данные себе.
  2. Потом злоумышленники шифруют данные и просят у компании выкуп. При этом, если она откажется от условий, преступники опубликуют на теневом рынке часть данных, тем самым показывая, что они ими владеют.
  3. Как правило, шантаж работает, и на последнем этапе компания платит выкуп. Иногда конечная сумма выкупа превышает начальную — организации готовы переплачивать, лишь бы их данные больше не трогали.

Вторая причина — это текущая ситуация в мире. Между странами происходят кибервойны. Существуют даже целые группировки, которые совершают кибератаки на сервисы и компании других стран, преследуя государственные цели.

Третья причина — это дефицит специалистов по информационной безопасности. В 2021 году аудиторская компания (ISC)² провела исследование и сделала вывод, что нехватка таких специалистов в мире составляет порядка двух млн человек. Из-за этого у компаний страдает защита IT-инфраструктуры.

Кто совершает кибератаки

  1. Хактивисты — это люди, которые взламывают по фану, преследуя свои личные цели. Как правило, таких людей быстро находят и наказывают.
  2. Группировки — это команды людей, которые либо работают на себя, либо на государство. У них есть расширенный инструментарий, подготовленные эксплойты — вредоносные программы. Группировки действуют более скрытно, аккуратно и выводят большое количество конфиденциальной информации.
  3. Конкуренты. Это люди, которые приходят на теневые рынки, заказывают услуги по взлому веб-сервисов компаний-конкурентов и используют их информацию в своих целях.

Читайте также: Топ-5 менеджеров паролей: как выбрать лучший

Кто чаще всего подвергается кибератакам

Прежде, чем ответить на этот вопрос, стоит поговорить о видах кибератак: они бывают массовые и целенаправленные, и у них разные жертвы.

Массовые атаки направлены на простых пользователей. Многие наверняка с ними сталкивались. Допустим, человек продает товары на «Авито». Ему пишет мошенник, замаскированный под покупателя. Для начала он попытается вывести человека из внутреннего мессенджера, например, в Viber и продолжит переписку там.

Далее злоумышленник оформит покупку и продавцу придет уведомление о том, что нужно отнести товар на почту. В этот же момент «покупатель» напишет в Viber что-то вроде: «Моя оплата прошла успешно, ты можешь получить деньги, если введешь данные своей карты» и прикрепит ссылку на фишинговую страницу.

Если продавец перейдет по ссылке, то увидит точную копию страницы «Авито», свой товар, цену на него и поле для ввода данных карты. Если человек их введете, то преступники смогут распоряжаться его картой. Это распространенная мошенническая схема, с помощью которой злоумышленники получают очень много денег — счет идет на миллионы рублей. Жертв таких массовых атак тоже много.

Целенаправленные атаки направлены на конкретную организацию. Там счет идет уже не на миллионы рублей, а на сотни миллионов долларов. Поводы для таких атак либо финансовые (заработать деньги), либо государственные (приостановить работу компании на какое-то время).

В мае 2022 года свою работу приостановил сервис Rutube. Скорее всего, это произошло не из-за обычной атаки, которую совершила группировка с целью вывести данные и расшифровать их. Атаку, вероятно, проспонсировал какой-то крупный человек или компания.

Целенаправленных атак гораздо меньше, чем массовых, но они бьют жестче. Исходя из сводок киберпреступлений в этом году можно сказать, что в зоне риска все: и компании, и их пользователи. Против хорошо подготовленных злоумышленников не смогли устоять даже такие гиганты, как «Яндекс», «СДЭК» и «Юла».

Какие бывают специалисты по кибербезопасности и чем они занимаются

Специалистов по кибербезопасности принято разделять на две группы: red team — красная команда, и blue team — синяя команда.

Специалисты красной команды (они же пентестеры и редтимеры) легально взламывают информационные системы вроде веб-сайтов, сетевых устройств, мобильных приложений, анализируют их и ищут плохо защищенные места. Главная задача «красных» — выявить максимальное количество уязвимостей, проэксплуатировать их и решить, что с ними можно делать.

Среди «красных» есть специалисты, которые занимаются:

Специалисты синей команды защищают информацию. Они мониторят инфраструктуру, смотрят за подозрительной активностью, обновляют ПО и реагируют на инциденты.

Внутри синей команды этим занимаются разные люди. Представим такую ситуацию: злоумышленник заходит на страницу и начинает перебирать форму логина и пароля. Веб-сервер это логирует, то есть «запоминает». А дальше ситуация развивается так:

К «синим» также можно отнести инженеров по информационной безопасности. Они настраивают средства защиты информации и занимаются патч-менеджментом — обновлением ПО и разных систем.

Кто такие хакеры

Если говорить простым языком, то хакер — это взломщик. Существует три типа хакеров: White Hat — белые шляпы, Black Hat — черные шляпы и Grey Hat — серые шляпы.

«Белые шляпы» — это этичные хакеры, то есть дружественные команды специалистов по информационной безопасности, которые взламывают системы, чтобы повышать уровень безопасности компаний. Они занимаются взломом легально: работают в компаниях по договору. Их работа очень похожа на то, чем занимаются редтимеры.

«Серые шляпы» — это хакеры, которые без разрешения и уведомления эксплуатируют уязвимости в организации, а потом либо сообщают им об этом, чтобы получить деньги, либо не сообщают и пользуются данными в своих интересах. «Серые шляпы» — ни хорошие, ни плохие, хотя их работа бывает незаконной.

«Черные шляпы» — это неэтичные хакеры, которые взламывают с целью собственной выгоды. Они шифруют данные компании, а потом выводят их с целью выкупа. Могут просто взломать организацию и распространить свое ПО внутри нее. Работа «черных шляп» направлена на деструктив, она незаконна. Неэтичные хакеры — виновники большинства кибератак.

Читайте также: Защищает от хакерских атак и повышает производительность: что такое обратный прокси

Как работать с данными, зная, что их можно использовать в своих целях

Работая редтимером иногда задумываешься, как до сих пор существуют крупные компании, если почти любая группировка при желании может их взломать и уничтожить. Этичные хакеры действительно имеют дело с очень серьезными данными. Но у адекватных хакеров соблазн перейти на «темную» сторону вряд ли возникает. Все понимают, к каким негативным последствиям это может привести.

Во-первых, это большой риск для самих себя. Если пентестер сольет данные в сеть, то в лучшем случае он отделается огромными штрафами, а в худшем — уголовной ответственностью. Во-вторых, это репутационный риск для компании, в которой работает специалист. Представьте, сколько шума может подняться, если компания, которая занимается пентестами, попытается слить данные. Скорее всего, после такого она потеряет всех своих клиентов, и никто ей больше не доверится.

Что о несанкционированных взломах говорит закон

Как правило, если организация заказывает тестирование на проникновение или анализ защищенности, все юридические аспекты описываются в письме, соглашении или NDA. При несоблюдении этих правил компания-исполнитель несет большие денежные потери.

Если мы говорим про ситуации, когда компания замечает, как группа лиц или отдельный человек проник в ее инфраструктуру, то последствия зависят от того, какой ущерб наносят злоумышленники. Если для проникновения внутрь сети и продвижения там, вывода и шифрования данных они используют вредоносное ПО, то это статья 273 УК РФ. Я назвал самую основную статью, которую неплохо знать, их еще много.

Как исправить закон, чтобы предотвратить большинство киберугроз

Вряд ли исправление закона поможет предотвратить киберугрозы. Можно привлекать к ответственности, например, за отказ в обслуживании, нарушение работоспособности инфраструктуры. Но не уверен, что это сильно повлияет на количество кибератак. Когда злоумышленники получают данные и деньги за предоставленную информацию, у них просто срывает голову. После такого ощущения всевластия и безнаказанности вряд ли хочется смотреть в законы и переживать об ответственности.

Существует ли рычаг давления на хакеров

Все зависит от подготовки злоумышленников. Многие из них допускают оплошности и их вычисляют при расследовании кибер-инцидентов. Специалисты по кибербезопасности находят управляющие сервера группировок, ники.

Один мой знакомый работает в отделе расследований инцидентов. Он говорит, что собрать информацию о действиях злоумышленников — несложно. Возможно даже найти человека, причастного к киберпреступлению. Самое сложное — доказать его виновность и подтвердить все улики, которые к нему привели.

Неэтичные хакеры могут использовать разные техники сокрытия преступлений. Это, например, цепочки туннелирования сетевых запросов — из прокси, VPN или Tor. Так добраться до реального IP-адреса становится практически невозможно.

Как компании могут себя обезопасить от взлома

Слить данные компании может внутренний или внешний нарушитель. Первый — это сотрудник организации, который пытается вывести корпоративную информацию, а второй — это хакер.

От каждого из нарушителей есть свои средства защиты.

  1. Обучение сотрудников. 80% взломов работники совершают случайно, когда переходят на фишинговый сайт из почтовой рассылки. Чтобы этого не происходило, организациям нужно отправлять сотрудников на курсы по защите данных. Идеально, если после курсов работодатель создаст свои фишинговые рассылки и разошлет их сотрудникам, чтобы проверить и закрепить их знания.
  2. Использование программных средств для блокировки вредоносного ПО. Это могут быть различные антивирусы, файерволы, XDR-системы, средства мониторинга.
  3. Внедрение службы безопасности. Компании полезно иметь хотя бы специалистов из синей команды, которые будут мониторить инциденты и реагировать на них.

Как обычному пользователю обезопасить себя от утечки данных

  1. Использовать сложные и разные пароли. У них не должно быть общего паттерна, вроде «qwerty» на одном сервисе, «qwerty1» на втором сервисе и «qwerty2» на третьем. Иметь разные пароли важно, так как сейчас утекает много данных, которые злоумышленники могут смотреть в базах. Узнав из базы хотя бы один ваш пароль, они попробуют подобрать похожие комбинации чисел и цифр к другим сервисам, которыми вы пользуетесь.
  2. Использовать многофакторную аутентификацию. Для получения кодов подтверждения входа я рекомендую использовать push-уведомления или сторонние приложения. Не стоит использовать SMS-коды: злоумышленники их могут перехватывать.
  3. Установить PIN-код на SIM-карту. Многие пренебрегают этим правилом, а зря: часто происходят ситуации, когда преступники крадут телефон, вытаскивают SIM-карту, вставляют в другой смартфон и восстанавливают все аккаунты от банковских приложений, «Госуслуг». Потом они могут брать микрокредиты, ноутбуки — и все это реально сделать за несколько часов.
  4. Не оставлять свои личные данные — почту, номер телефона — на сомнительных и неизвестных ресурсах, потому что эти данные могут использовать другие лица.
  5. Используйте антивирусные средства для защиты информации на ваших ноутбуках и телефонах. Антивирусы нужно постоянно обновлять. Не стоит пользоваться бесплатными версиями — лучше купите лицензионную.
  6. Не устанавливать ПО из сомнительных источников на компьютер и телефон.

К последнему пункту могут относиться и полюбившиеся россиянам торренты. В них тоже бывают вирусы, через которые злоумышленник может проникнуть в устройство человека и украсть данные. Пользователи Android могут скачивать с сомнительных источников разные apk-файлы. В таких файлах тоже бывает вредоносное ПО, с помощью которого злоумышленники могут перехватывать звонки и SMS.

Не пренебрегайте перечисленными правилами и постоянно повышайте свою осведомленность в вопросах информационной безопасности. Чем выше осознанность, тем с меньшей вероятностью с вами произойдут неприятности.

Никогда не останавливайтесь: В программировании говорят, что нужно постоянно учиться даже для того, чтобы просто находиться на месте. Развивайтесь с нами — на Хекслете есть сотни курсов по разработке на разных языках и технологиях