Итоги-2016 от Positive Technologies: угрозы и прогнозы

Беспокойство вызывает не сам факт наличия уязвимостей и атак — это, конечно, тоже, согласитесь, неприятно — а оценки самого рынка информационной безопасности (ИБ). По мнению Positive Technologies, он в России как минимум не вырос. Даже банки, которых вроде бы всерьёз должны беспокоить вопросы защиты, по объёму капиталовложений в безопасность остались на том же уровне, что и год назад. Более того, среди них защитой озаботились лишь крупные игроки. Государственные структуры, в свою очередь, осознают важность ИБ, но сталкиваются с бюрократией — и ничего толком сделать не могут.

В целом и в корпоративном мире, и у частных пользователей, к сожалению, пока работает лишь один принцип: «Пока гром не грянет…». Всего за год специалисты Positive Technologies изучили более сотни инцидентов по всему миру, в процессе расследования которых было найдено около 350 уязвимостей. Специфика работы компании такова, что её сотрудники предварительно занимаются легальными взломами разнообразнейших продуктов и систем — по сути, примеряют на себя личину хакеров, а уж затем создают защиту от этих уязвимостей для данных конкретных продуктов. О наиболее интересных и важных событиях компания поведала в своём отчёте. Здесь же постараемся кратко рассказать о том, что происходило в 2016 году, чего ждать в 2017-м и как со всем этим жить простому пользователю.

По клику доступна полноразмерная версия

⇡#Хит-парад угроз

Главный «хит сезона» — это, конечно, ботнеты Интернета вещей. Строго говоря, тема сама по себе не нова. Однако осенью прошлого года произошла крупнейшая в истории человечества DDoS-атака с участием примерно 100 тысяч устройств по всему миру. Каких устройств? Роутеров, веб-камер, умных домов и так далее — всего того, что стоит в наших с вами домах, а также позволяет умным городам называться умными. Для обычного пользователя последствия этой атаки выглядели так, будто часть Интернета просто перестала существовать.

Впрочем, состоявшаяся атака — всего лишь «цветочки». Исходный код вредоноса Mirai, ответственного за неё, был выложен в открытый доступ, так что есть все предпосылки к тому, что атака в дальнейшем будет тиражироваться. В целом IoT-ботнеты наглядно показали то, про что и так давно все знали, — в телекоммуникациях до сих пор используются устаревшие практики, технологии и подходы.

Нюанс в том, что все эти «умные» вещи являются хорошей возможностью для любого оператора увеличить свою абонентскую базу. При этом клиентские устройства далеко не всегда защищены. На презентации, в частности, упоминалось, что хакеры научились внедряться в прошивки 3G-модемов банкоматов. В том же ботнете Mirai участвовали домашние роутеры абонентов Deutsche Telekom — этот провайдер впоследствии пересмотрел отношения с их производителем. Кое-где борьбу с дырами в прошивках выносят на уровень государства, где-то операторы сами занимаются этими вопросами, но в целом ситуация далека от идеальной. А с ростом числа беспроводных устройств, использующих уже устаревшие технологии, она вряд ли исправится.

Пожалуй, все помнят нашумевшую историю про взлом операторов мобильной связи с использованием, скажем так, особенностей применения одного из древних протоколов связи SS7. Спешим расстроить — его наследник Diameter для сетей LTE местами ничем не лучше. С другой стороны, есть и позитивные моменты: операторы начали активно внедрять защитные механизмы; сервисы, использующие SMS для подтверждения подлинности запросов, добавили дополнительные этапы проверки. Ну а сама Positive Technologies присоединилась к ассоциации GSMA — то есть теперь ей будет несколько проще рассказывать операторам и производителям устройств о том, что происходит с сотовой связью с точки зрения безопасности.

Вторая важная тема — взлом аккаунтов мессенджеров и социальных сетей, который опасен с точки зрения сохранности конфиденциальности и утечки данных. Последствия взлома разнообразны — это и банальная утечка архива переписки, и гораздо более серьёзная опасность информационного вброса. Собственно говоря, примеров взлома аккаунтов крупных изданий и политиков более чем достаточно. Именно поэтому Positive Technologies, в частности, принимает участие в создании госмессенджера. Проблема даже не столько в самих мессенджерах, сколько в том стеке технологий, которые используются в мобильных ОС, и, как обычно, в самих пользователях (автор имеет в виду принципы "удобство превыше безопасности", "мне лень" и "сто раз так делал, все нормально". — прим. ред.).

Проблема в том, что пользователи могут сами устанавливать приложения из недоверенных источников, в которых может быть все что угодно. Но запретить им это — не панацея: даже в ПО от известных разработчиков могут быть уязвимости, которые откроют полный доступ злоумышленникам к вашему смартфону. Смартфон — устройство очень личное: с его помощью люди управляют не только банковскими счетами, но уже и автомобилями, и бытовой техникой. Также смартфоны часто имеют доступ в локальную сеть — и дома, и на работе. Вот в 2016 году и обрисовался новый вектор атак — проникновение в сети организаций путём заражения мобильных устройств сотрудников.

Ещё один тренд — реальные кибератаки на критически важные объекты в реальном мире. В 2015 году в результате комплексной атаки на энергосистему на несколько часов без света остались более 200 тысяч человек. Похожий инцидент произошёл годом позже. Собственно говоря, более половины заказов исследования АСУ ТП (автоматизированных систем управления техническим процессом — проще говоря, это такие специализированные компьютеры, которые заточены под то, чтобы управлять каким-либо промышленным оборудованием) у Positive Technologies пришлось именно на область электроэнергетики. Впрочем, всё равно во всех исследованных АСУ ТП были найдены критические уязвимости, позволявшие вмешаться в технологические процессы. Причём подавляющее большинство заказчиков было категорически против публикации любой информации об уязвимостях, вплоть до отказа передавать данные производителям ПО и оборудования самих АСУ ТП.

Одной из основных проблем является возможность доступа к ним из Интернета. Исследователи нашли 150 тысяч устройств и компонентов АСУ ТП, которые были доступны извне. Около 43 % из них расположены в США. Многие из них относились к системам электропитания, водоснабжения и управления зданиями. При этом пользователи этих АСУ ТП не соблюдали банальных правил безопасности — например, даже не меняли пароли по умолчанию. Впрочем, пока что, по словам исследователей, все атаки на них носят «образовательный» характер — злоумышленники изучают возможности и слабые стороны оборудования. Тем не менее Positive Technologies разработала продукт для защиты АСУ ТП фирмы Bombardier. Кроме того, компания выявила серьёзные уязвимости в продукте Siemens SICAM PAS.

Атаки через функциональность аппаратных платформ — область, о которой хорошо знают профессионалы, но широкая публика обычно не в курсе. Речь идёт о различных особенностях работы «железа», которые, строго говоря, далеко не всегда являются уязвимостями в привычном смысле этого слова. Хороший пример — современные процессоры Intel, которые в целях удобства разработки оснастили возможностью глубокой отладки через интерфейс USB 3.0. Фактически потенциальный злоумышленник может работать напрямую с «железом», в обход ОС и стандартных средств защиты вроде антивируса, которые становятся просто бесполезными. Аналогичные проблемы возникают и при наличии Intel Management Engine.

Наконец, в ушедшем году произошёл ещё один важный сдвиг — эксперты всерьёз заговорили о кибервойне. Если раньше атаки так или иначе делались для явного получения прибыли в том или ином виде, то сейчас участились инциденты, которые сами по себе не прибыльны (а порой, наоборот, весьма затратны), но могут иметь последствия, например в области политики. Впрочем, где проходит тонкая грань между обычным криминалом и военными действиями — вопрос спорный. Здесь важна не техническая часть, а мотивация участников.

⇡#Особенности атак

Среди всех изученных Positive Technologies инцидентов в 2016 году 62 % атак оказались целевыми, то есть хорошо спланированными и подготовленными и, самое главное, направленными на конкретную организацию. Чаще всего целью этих атак было получение информации или денег. В первом случае это были и обычный шпионаж, и получение инсайдерской информации о крупных сделках (для последующей игры на бирже), и просто продажа данных заинтересованным лицам. Пожалуй, все помнят, сколько раз в прошедшем году всплывали новости об утечках из одних только социальных сетей и почтовых сервисов.

Через последние, к слову, осуществляется немало атак путём банального фишинга. Например, злоумышленник может от имени директора отправить бухгалтеру письмо с просьбой срочно перевести деньги на некий счёт якобы для оплаты услуг. Либо же через почту распространяются обычные трояны, которые в дальнейшем помогают получить доступ к внутренней сети организации. Что интересно, преступники всё чаще после получения такого доступа используют для дальнейшей работы легитимные инструменты: встроенные в ОС средства вроде WMI, командных оболочек, утилит удалённого администрирования; облачные сервисы; VPN-подключения.

То есть злоумышленники фактически «смешиваются» с остальными сотрудниками компании, что сильно затрудняет их обнаружение. По данным Positive Technologies, среднее время присутствия преступников внутри корпоративных систем составляет совершенно фантастические 3 года. Рекорд — 8 лет! При этом всего лишь 10 % компаний смогли самостоятельно определить, что они являются жертвами атаки, что говорит о неготовности к ним. В основном же атаки выявляются либо тогда, когда аудит проводит сторонняя организация, либо благодаря каким-то внешним факторам (иногда случайным).

Другой тип атак, получивший распространение в 2016 году, — это атаки с участием невольных «посредников». То есть хакеры предварительно атаковали веб-сайты, которые посещала жертва. Таким образом, например, был получен доступ к ряду банков — злоумышленники аккуратно внедрили код на сайты одного из крупнейших информагентств России и одного из старейших онлайн-СМИ. Они же получили доступ к сайту достаточно популярной утилиты и подменили инсталлятор, внедрив в него зловреда.

Впрочем, далеко не всегда целевые атаки являются технически сложными. В 99 % случаев для атаки использовались уязвимости в ПО, для которых патчи были выпущены более полугода назад. Использование уязвимостей нулевого дня (0-day, то есть таких уязвимостей, о которых не известно самому производителю программного обеспечения) всё ещё редко встречается — злоумышленники разумно полагают, что нет смысла напрягаться, если жертва все равно вовремя не обновляет ПО. Что удивительно, в 85 % случаев при атаках были сигналы от систем мониторинга и защиты, на которые, впрочем, вовремя и должным образом не отреагировали.

Всё это, в частности, позволяет очень легко автоматизировать атаки на сайты и веб-приложения. Правда, ставшие самыми лакомыми в ушедшем году для злоумышленников государственные сайты, интернет-магазины и финансовые онлайн-сервисы всё равно требуют более тонкой работы — их часто атакуют «вручную». К слову, рост числа атак на банки вообще и российские финансовые организации в частности — это ещё один тренд прошлого года. То есть число и масштаб атак значительно выросли по сравнению с прошлым годом. К сожалению, можно сказать, что банковская отрасль не слишком хорошо подготовлена к ним, — преступники как проводят длительные атаки с расчётом разом увести крупные суммы, так и не гнушаются понемногу, но регулярно воровать деньги со счетов клиентов.

В ушедшем году «выстрелил» и ещё один тип угроз — требование выкупа. Это и классические трояны-шифровальщики, и угроза DDoS-атаки, и вымогательство денег за предоставление информации о найденных уязвимостях или непубликацию украденных данных. В качестве примера можно вспомнить взлом метро Сан-Франциско или потерю бухгалтерских данных в одном из подразделений МВД РФ. Основными причинами взрывного роста такого типа атак исследователи называют распространение криптовалют, позволяющих анонимизировать злоумышленника, а также довольно низкий порог входа в этот «бизнес».

⇡#Пока гром не грянул

Все перечисленные в первой части угрозы будут актуальны и в 2017 году. Увы, одной из ключевых проблем как частных пользователей, так и корпораций остаётся низкая осведомленность о правилах информационной безопасности, несоблюдение простейшей «гигиены». Во всех областях будет всё так же применяться социальная инженерия, а истории, когда одно-единственное фишинговое письмо послужило ключом к полному контролю над банком со стороны преступников, будут повторяться. Пока что далеко не все организации строят системы защиты, которые сводят к минимуму потенциальный ущерб от неосторожных действий сотрудников и, как следствие, время присутствия злоумышленников внутри системы.

Как полностью обезопасить себя от подобных инцидентов? Да никак! Но некоторые банальные советы стоит повторить. Установка обновлений ПО, регулярная смена паролей, использование никогда не повторяющихся и сложных паролей, отказ от не слишком нужных приложений и устройств, применение двухфакторных систем входа, настройка прав доступа и разрешений — про всё это говорилось много-много раз. Чуть более сложный, но всё же возможный подход предполагает разделение и изоляцию систем: отдельный телефон для работы с мобильными банками, разные ПК для развлечений и для работы, отдельная среда для работы с критически важными данными и процессами и так далее. Впрочем, самый простой и в то же время сложный совет — всегда считать устройство или приложение, с которым работаешь, уже взломанным и подконтрольным злоумышленнику. И действовать исходя из этого предположения.