Как пережить цифровой апокалипсис
Как защититься от вредоносных программ и понять, что за вами следят спецслужбы, могут ли хакеры лишить связи и электричества целые страны прямо сейчас, почему спасти Украину от обесточивания проще, чем США, и что делают государства, чтобы противостоять атакам, разбирался Indicator.Ru.
Ахиллесова пята трех гигантов IT-индустрии
Май 2017 года стал неспокойным для многих пользователей сети Интернет и сотовой связи. Боязнь, что хакеры взломают компьютеры, телефонная связь отключится, а затем мир ожидает информационный коллапс, с каждым новым происшествием все меньше напоминает бред параноика. Первый скандал месяца был связан с тем, что стали известны технические подробности об «уязвимости десятилетия» в технологии Intel ME – баге процессора, благодаря которому хакеры получали возможность следить за компьютерами, даже если они выключены и не подсоединены к Интернету. Больше всего это могло напугать руководителей крупных компаний: данные на рабочих компьютерах тоже оказались под угрозой, причем для удаленного доступа к компьютеру достаточно было, чтобы он работал от аккумулятора или был подключен к розетке. Сами представители Intel узнали об уязвимости в марте, но публика узнала об этом случае только сейчас.
Не отстал и Microsoft: в операционной системе Windows тоже обнаружилась уязвимость, позволяющая получить удаленный доступ к компьютеру. Чтобы стать жертвой, пользователю не нужно делать совершенно ничего: ни открывать ссылки, ни загружать файлы или программы. Достаточно просто получить письмо. Производитель выпустил обновление, которое помогало «залатать» эту брешь в системе защиты, но загрузили его не все пользователи. О чем многие чуть позже серьезно пожалели.
Наконец, скандал разразился вокруг компании HP, в коде которой и вовсе оказался кейлоггер (программа, с помощью которой организуют слежку за нажимаемыми клавишами). Компания от комментариев отказалась, сделав патч (обновление-«заплатку», которая блокирует вредоносный код), однако не удалила его, чем вызвала бурю негодования в свой адрес.
Иногда за нами следят, потому что нам это нужно
Причины такого поведения производителей прокомментировал консультант по компьютерной безопасности Cisco Systems Алексей Лукацкий: «Давайте себе представим, что мы едем на собственном автомобиле и попали в ДТП. У нас помят бампер, крыло и, возможно, дверь. Будем ли мы менять весь автомобиль или проведем косметический или чуть более глубокий ремонт? Так и с производителями ПО и железа. Нельзя просто взять, отказаться от всего и написать что-то с нуля. Обычно ставятся заплаты, которые в зависимости от закрываемой дыры или множества дыр называются либо патчами (для одной уязвимости), либо сервис-паками (для множества уязвимостей).
Учитывая, что по статистике на 1000 строк кода приходится 10-15 ошибок, из которых 5% критических, то можно себе представить число возможных дыр в современных системах, насчитывающих десятки миллионов строк кода».
Алексей Лукацкий
Консультант по компьютерной безопасности Cisco Systems
Но уязвимости могут быть и неслучайны. Эксперт по безопасности Испытательной лаборатории ООО «Код Безопасности» Александр Немошкалов, делится: «Существует мнение, что производители осознанно внедряют импланты в свое программное обеспечение (ПО) и оборудование под давлением правительственных спецслужб, и Сноуден это мнение подтвердил документально. Но есть и ошибки в разработке ПО, небезопасные алгоритмы или просто человеческий фактор. Если первое, то понятно, почему производитель не закрывает такие дыры до тех пор, пока информация о них не станет известна общественности. Технологии тоже не стоят на месте, с появлением новых возможностей появляются новые угрозы и векторы атак».
В случае с уязвимостью в технологии Intel убрать код, в котором крылась «брешь», в которую потенциально могут проникнуть злоумышленники, было нельзя. В нем записан, функционал, который изначально был заложен в процессоры. «Он используется для удаленного администрирования компьютеров – в частности, в data-центрах или больших корпорациях, – пояснил Юрий Наместников – руководитель российского исследовательского центра «Лаборатории Касперского». – Соответственно, если просто взять и выключить его, множество системных администраторов просто потеряет эту возможность, что не есть хорошо для них.
С другой стороны, действительно, если у вас есть личный компьютер, и кто-то пытается использовать эту технологию и администрировать его за вас, это тоже нехорошо. Поэтому производителям не остается ничего другого, кроме как выпустить блокирующий патч, защитив тех пользователей, которые не знали, что у них вообще есть такая возможность на компьютере, но и при этом оставить возможность для администраторов пользоваться этой технологией».
Похожий случай произошел несколько лет назад с технологией Computrace, с помощью которой можно отследить потерянный ноутбук. Другой пример – гипервизор, вшитый в BIOS (Basic Input/Output System — базовая система ввода-вывода, которая определяет ход процесса загрузки компьютера). Операционная система или антивирус его «не замечают», зато гипервизору доступна вся оперативная память и все аппаратные ресурсы. Поэтому оттуда можно извлечь самые защищенные данные – даже криптографические ключи (секретную информацию, которую используют для шифрования). «И что самое печальное, – добавляет Александр Немошкалов, – такие технологии становятся доступны обычным хакерам, и они применяют их массово против обычных пользователей».
Вне зоны доступа
Скандал с Microsoft действительно не прошел незамеченным для хакеров. Закономерным итогом стало распространение вируса WannaCry, который с быстротой эпидемии поразил сотни тысяч компьютеров с операционной системой Windows по всему миру. Вирус, который зашифровывает данные компьютера и потом вымогает деньги за их восстановление, был скомбинирован с программой американских спецслужб eternal blue (российские СМИ уже окрестили ее «неисчерпаемой синевой»), которая, скорее всего, досталась им после утечки данных Агентства национальной безопасности США в августе прошлого года.
На этом майские киберугрозы не закончились: 19 числа абоненты сети «Мегафон» столкнулись с серьезными проблемами со связью. В то время как сама компания скромно оповестила о том, что «успешность дозвона снизилась на 30%», потребители Москвы и Поволжья жаловались на полное отсутствие сигнала сети, что при нормальной скорости Интернета на тех же сим-картах выглядело как минимум странно. Продлилось это несколько часов в разгар рабочего дня. В тот же день, 19 мая, СМИ сообщили о неполадках «Билайн» и «Yota», хотя и в меньших масштабах.
Причиной этого эксперты называют все ту же глобальную кибератаку вирусом WannaCry, которой на прошлой неделе поверглось 150 стран по всему миру. В России жертвами нападения вредоносной программы стали не только простые пользователи, но и все банки, а также многие компании («Мегафон», «Вымпелком», МТС) и государственные ведомства (Минобороны, Минздрав, МВД и другие). И хотя 15 мая «Мегафон» писал, что последствия кибератаки полностью устранены, сбои связи, возникшие четыре дня спустя, эксперты считают связанными именно с ней.
Оружие спецслужб: «обычные хакеры применяют такие инструменты массово»
Казалось бы, использовать мощное кибероружие против рядовых пользователей – стрелять из пушки по воробьям. Скорее можно предположить, что хакеры применят его против каких-то государственных структур или корпораций. Но эксперты опровергают эту мысль. «Утечки такого кибероружия – суперэффективных эксплойтов (программа или фрагмент программного кода, которые используют уязвимость в ПО и применяются для атак на компьютерные системы, — прим. Indicator.Ru), которые позволяют с симки преступников проникнуть на тысячи компьютеров мира, – конечно же, дают им возможность обогатиться. Простым пользователям это грозит либо потерей денег, либо потерей данных», – подчеркивает Юрий Наместников.
«Такие утечки грозят тем, что спецслужбы применяют инструменты выборочно, против целей высокой важности, правительственных учреждений, например, или отдельных лиц, для получения секретных данных, – отмечает Немошкалов. – А обычные хакеры применяют такие инструменты массово, против обычных пользователей, с целью извлечения прибыли разными путями».
Эксперты напоминают, что почти каждый человек работает в какой-то компании, и большинство из нас использует свои телефоны и ноутбуки в служебных целях. «Вполне возможно, что эти слежки очень даже интересны, – предполагает Наместников. – Кроме шпионов вредоносные программы пишут и киберпреступники, у которых основная задача – заработать денег с помощью атак на пользователей, требования выкупа за данные, доступа к интернет-банкам и так далее».
В атаке WannaCry мишенью для вируса служила упомянутая выше уязвимость в ОС Windows. Для старых версий операционной системы устраняющие эту уязвимость обновления компания выпустила поздно, к тому же многие пользователи просто проигнорировали эти обновления.
«Можете еще веб-камеру заклеить лейкопластырем»
Азы защиты просты: чем больше вы вкладываете в свою безопасность, чем больше у вас слоев защиты, тем сложнее вас взломать, и тем дороже стоит взлом. «У киберпреступников есть понятие "стоимость взлома": если она начинает зашкаливать, проще переключиться на другую цель, – рассказывает Юрий Наместников. – В случае со спецслужбами [иначе]: у них часто бывает неограниченный бюджет и неограниченное время, и тут уже идет разговор о том, кто совершит ошибку».
В то же время эксперты считают, что рядовой пользователь вряд ли будет интересен спецслужбам. Если вам не дает покоя вопрос, следят ли за вами, это можно узнать. «Неплохой совет – смотреть, какой трафик исходит от вашего компьютера», – продолжает специалист. Так что если вы все-таки переживаете, установите дополнительный маршрутизатор в домашней сети, чтобы смотреть, куда совершались переходы с ваших устройств. И проверять, действительно ли вы сами переходите по этим ссылкам, или компьютер заходит туда без вашего ведома.
Но вернемся к более бытовым ситуациям. Для защиты от банальных и простых хакерских атак Александр Немошкалов советует принять следующие меры:
• использовать поддерживаемую производителем версию ОС, к которой регулярно выхоят обновления, или даже альтернативную, менее популярную ОС семейства Linux. По мнению эксперта, чем менее популярна ОС, тем меньше известно о ее уязвимостях и тем сложнее ее атаковать. Однако этот вариант вряд ли подойдет обычному пользователю;
• своевременно устанавливать патчи и обновления:
• использовать антивирус и своевременно его обновлять;
• использовать персональный межсетевой экран;
• использовать HIPS (проактивная технология защиты);
• избегать пересылки и открытия файлов в почте.
«Можно еще камеру заклеить лейкопластырем», – шутит Алексей.
Юрий Наместников подразделяет защиту на три уровня. Первый из них – ваша «интернет-гигиена» и привычки пользования Интернетом. Здесь выручают сложные пароли, причем разные на разных сайтах, двухфакторная аутентификация (когда, например, при оплате по карте пароль приходит вам на телефон).
Вторым важным пунктом является постоянное обновление ОС и всего ПО, которое вы используете. «Для киберпреступников эксплойты "нулевого дня" стоят сотни тысяч долларов на черном рынке, поэтому они, в основном, используют уже известные уязвимости, которые давно «закрыты». Но из-за того, что пользователи очень медленно обновляют свой софт, они легко проникают на компьютеры. Еще хуже ситуация в корпоративном секторе, где по каким-то причинам долго бывает нельзя обновить компьютеры, и они становятся суперуязвимыми», – подчеркивает он. Именно несвоевременное обновление операционных систем и сделало многих пользователей Windows беззащитными перед WannaCry.
Третий момент – антивирусы. «Все привыкли, что нужно устанавливать их на компьютер, но при этом, когда заходит речь о смартфоне, планшете, Mac’е, все об этом забывают, хотя вредоносные программы для них есть, причем в большом ассортименте. Киберпреступники об этом знают: не могут пролезть на компьютер – пролезают на смартфон», – предупреждает специалист.
Есть и совсем радикальные предложения. «Скрыться от всего этого можно, только отказавшись от современных инструментов прогресса», — считает Алексей Лукацкий. — Но готовы ли мы к этому?»
И мир погрузится во тьму: хакеры отключают электричество
Эксперты сходятся во мнении, что обесточивание и лишение мобильной и интернет-связи больших территорий и даже всей планеты через хакерскую атаку теоретически возможно уже сейчас, просто пока это не переросло в глобальные масштабы. «Достаточно вспомнить фильм "Крепкий орешек 4.0", чтобы понять, что это возможно уже сейчас, — пугает Алексей Лукацкий. — Специалисты говорят о возможностях атак на критические инфраструктуры (связь, транспорт, банки, ЖКХ, водоснабжение, электроэнергетика и другие) уже давно и в мире сейчас достаточно активно развивается это направление в области кибербезопасности».
Еще один пример вреда от кибератак, нанесенного миллионам обычных граждан – «blackout» (буквально — «затмение»). Так в США и Канаде называют отключение электричества. Оно часто происходит и из-за человеческого фактора, из-за обрыва проводов в непогоду и разрушения подстанций во время снежных штормов или тайфунов. Однако некоторые «блэкауты» были вызваны именно проблемами с кибербезопасностью, например, поражающее своими масштабами отключение электроэнергии в 2003 году, когда дома 45 миллионов жителей США и десять миллионов канадцев погрузились во тьму.
Все это могло остаться в рамках локальной аварии, если бы не баг программного обеспечения, из-за которого оповещение соседних подстанций не было проведено своевременно. Подобный сбой может быть спровоцирован и кибератакой. Учитывая, что во многих государствах системы снабжения электричеством построены таким образом, что разрушение «узловых» подстанций может нанести серьезный ущерб, опасность атаки хакеров на системы электроснабжения различных стран трудно переоценить. По оценкам экспертов, в том же США отключение всего девяти из примерно 55 000 существующих промежуточных подстанций может разрушить всю энергосистему страны на целых 18 месяцев.
Жертвами подобной хакерской атаки в 2015 году стали жители Украины. В тот год хакеры взломали несколько компьютеров распределительных сетей, и из-за того, что система управления была выключена, несколько тысяч человек остались без электричества. Электрикам пришлось отправиться туда и включить рубильники вручную.
«Но на Украине еще хотя бы есть рубильники, которые можно включить руками, а в Европе-Америке этих рубильников просто нет, — поясняет Юрий Наместников. – Там уже все управляется из компьютеров».
Что может нас спасти
«Единственное, что пока спасает от такого страшного хака энергетических систем – то, что они сделаны "с защитой от дурака". Там достаточно много дублирования и защиты от неполадок, а спровоцированный сбой – это тоже неполадка», – продолжает Наместников.
Сейчас в электросетях установлено множество устройств, которые позволяют минимизировать ущерб. В итоге пока ни разу не отключалась целая страна: и при кибератаках, и при природных катаклизмах аварии охватывают только отдельные штаты или области. Несмотря на это, по мнению Наместникова, «все идет к тому, чтобы все-все системы жизнеобеспечения завязаны на IT-системы, и чем больше у нас подключенных вещей, тем проще взломать такие системы (потому что больше точек входа) и более серьезным может быть ущерб».
Последствия кибератак могут быть разными, даже не самыми очевидными – и отключение сети, и даже контроль над машинами с автоматическим управлением – тогда останутся безопасными «только те, что с рулем и педалями». В автомобилях на «автопилоте» есть куча электроники, их тоже можно взломать, чтобы управлять удаленно.
Что нужно делать, чтобы предотвратить массовые хакерские атаки и их вредоносное воздействие? Эксперты полагают, что это должно производиться на государственном уровне, через совершенствование законодательства, где прописаны требования об уровне безопасности, соответствующем разным системам.
Государства действительно уделяют этой теме много внимания. В России, например, есть два ведомства, которые занимаются защитой информации. Это ФСТЭК – Федеральная служба по техническому и экспертному контролю, которая контролирует деятельность в области защиты информации и лицензирует ее, и ФСБ, которая занимается криптографической защитой. «ФСТЭК выпускает законодательные акты, различные требования к системам (например, системе обработке персональных данных – ИСПДн), – рассказал Александр Немошкалов.– К ним предъявляются определенные требования, определяющие порядок защиты информации в этих системах (например, 17-й, 21-й приказы ФСТЭК). Другие требования применяются к государственным информационным системам (ГИС), к АСУ-ТП (система на предприятиях – ТЭК, электростанциях)».
«Главное — быть готовым к такому киберапокалипсису заранее. И конечно же не надо паниковать, — успокаивает Алексей Лукацкий. — Сегодня предпринимаются достаточные усилия для того, чтобы не допустить такого сценария развития событий».
Подписывайтесь на Indicator.Ru в соцсетях: Facebook, ВКонтакте, Twitter, Telegram.