Современные атаки и вирусы: лицом к лицу
- Подробности
- Обновлено 08 Июнь 2017
- Опубликовано 06 Июнь 2017
Сотрудники ГАУ РК «ЦИТ» побывали в Москве, где приняли участие в ежегодном Международном форуме по практической безопасности Positive Hack Days.
Двухдневная конференция организована компанией Positive Technologies для специалистов по информационной безопасности и хакеров со всего мира, а также для представителей профильных госструктур и крупных бизнесменов, молодых ученых и журналистов (вся информация о форуме: https://www.phdays.ru/). Наш Центр информационных технологий представляли на мероприятии заместитель начальника Управления по безопасности Кристина Осипова и начальник отдела технических методов и средств защиты информации данного Управления Денис Рычков.
«К началу прошлого года считалось, что проблема DDoS-атак исчерпала себя — настолько тривиальными выглядели сами атаки и меры по защите от них. Спустя год ситуация кардинально изменилась. В 2017-ом многие компании, предоставляющие услуги по защите от DDoS-атак, сталкиваются с проблемами противостояния массовым атакам. Почти каждый день появляется информация об уязвимых инфраструктурах. Поэтому участие в форуме было полезным с точки зрения рассмотренных мер реагирования на подобные инциденты информационной безопасности», - отметила по возвращению с мероприятия Кристина Осипова.
В частности, на форуме обсуждался ныне актуальный вид интернет-мошенничества под названием «фишинг» (в переводе с английского – «рыбная ловля»). Его цель – получение доступа к конфиденциальным данным пользователей: логинам и паролям.
Эксперты, выступавшие с докладами, классифицировали атаки в рамках этого направления. Это Fax-fishingattack – отправка email-письма от какой-либо госструктуры, которая просит предоставить конфиденциальную информацию по факсу. Keylogger – письма с простейшим программным обеспечением, считывающим нажатия на клавиатуре и передающим информацию злоумышленнику. Так называемые «письма счастья» – про то, что их получатели якобы стали победителями неких акций, но для получения приза следует перейти по ссылке. «Нигерийские письма» (чиновник/победитель по жизни) – он якобы получил много денег, но «коварное» правительство не дает возможности снять их и только адресат такого письма может помочь. Суть уловки: «просто перешли немного денег для оформления документов и открытия счета».
Еще один вид – это сообщения от адвокатов и юристов (иногда от Роскомнадзора) – якобы вы внезапно получили наследство и нужно оформить бумаги, для этого следует прислать сканы своих документов. И последний вид – «атаки клонов»: копии легальных сайтов (выглядят как настоящие).
«Инциденты информационной безопасности в последнее время подчеркнуто демонстрируют, что IT-системы даже в международных высокотехнологичных компаниях и крупных государственных учреждениях не имеют достаточной защиты. Широко распространенных мер тестирования IT может быть достаточно для защиты 99 процентов систем. Однако оставшийся один процент остается целью цифровых атак. Любой лазейки, какой бы незначительной она ни была, достаточно, чтобы хорошо защищенная по всем остальным параметрам IT-инфраструктура оказалась уязвимой в целом», - рассказал Денис Рычков.
На форуме были продемонстрированы взломы: компьютера с беспроводной клавиатурой и мышью; компьютера с презентатором; мобильного телефона на операционной системе Android (получение фотографий в режиме реального времени, записи разговоров, отправка смс на любой номер); автомобилей Tesla и BMW для получения доступа к консоли управления центральным компьютером. Также участники мероприятия обсудили тему ботнетов (от английских терминов robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами, то есть автономным программным обеспечением. Специалисты поделились опытом обнаружения ботнетов путем перехватывания сетевого трафика между ботом и командным сервером посредством Snort. Коллегам из регионов они указали, на что в трафике следует обращать внимание для эффективного выявления вредоносной активности. Поведаны истории о недавних случаях заражений крупных корпораций и приведены примеры реального трафика распространенных ботнетов, как: Neurevt, Andromeda, Fareit, Carberp, Tinba.
«Противостояние в сети сегодня — это не война между ботами и людьми, а, скорее, война между армиями «умных» ботов, действия которых скоординированы и почти не отличаются от поведения живых пользователей. Из примитивного инструмента для DDoS ботнеты превратились в мощное оружие, позволяющее хакерам, злоумышленникам и спецслужбам решать задачи информационного противоборства», - уточнила Кристина Осипова.
Технологии «Умных ботов» позволяют за полчаса подобрать пароли от миллиона почтовых ящиков, взломать код верификации (cvv) кредитной карты, перехватить управление десятками аккаунтов в Facebook, бороться с пиратами, мошенниками и вымогателями.
«Ну, и, конечно, не могли обойти на форуме стороной ситуацию, вызвавшую международный резонанс, - это атака WannaCry. Еще в 2004 году Microsoft объявила о критической уязвимости в модуле LSASS (отвечает за авторизацию локальных пользователей отдельного компьютера). Позже появился троян Sasser, эпидемия которого началась 30 апреля 2004 года. В течение нескольких дней червь «заразил» порядка 250 тысяч компьютеров по всему миру. Спустя пару лет появился протокол SMB (сетевой протокол для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессорного взаимодействия). Описание этого протокола было секретным со стороны США. А в марте 2017 года ресурс WikiLeaks опубликовал информацию про эксплойт операционных систем Windows. В мае, как мы все помним, совершена атака вируса WannaCry», - резюмировала Кристина Осипова.
Дарья Шучалина
Фото предоставлено Кристиной Осиповой и Денисом Рычковым.