апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2017 / Выпуск №05 (68) / Когда хочется плакать и кричать…

Рубрика: Тема номера /  Технологии безопасности

Алексей Лагутенков, MBA Kingston University UK, ITSM Manager, MCSE+I, MCSE:S:M, MCDBA, MCDST

Когда хочется плакать и кричать…

Недавняя эпидемия WannaCry¹ наглядно показала, к чему может привести всеобщая компьютеризация вкупе с единственным поставщиком закрытого программного обеспечения

Как вы думаете, может ли программное обеспечение, созданное компанией, принадлежащей бывшему студенту Гарварда, правнуку сенатора и внуку вице-президента Национального банка, не работать на Госдеп США? Хотя бы потенциально, гипотетически?

Может ли могучий как скала Госдепартамент США хранить свои секреты в тайне? WikiLeaks утверждает, что это ему почти удается. Можно ли предполагать, что секретные закладки, сделанные в программном обеспечении для удобства американских спецслужб, будут храниться в жесточайшем секрете и охраняться как зеница ока работниками спецслужб, присягнувшими американскому флагу? Чисто теоретически так оно и должно быть. Однако реальная жизнь уже не раз внесла в это утверждение свои коррективы.

Сколько себя помню, с самого начала своей ИТ-карьеры, с появлением Linux не стихали споры, какая система лучше: созданная программистами для программистов или же скреативленная компанией Microsoft для обычных пользователей. Тогда, в начале 2000-х, сравнение казалось некорректным. Ну, действительно, зачем голубоглазой блондинке-секретарше модельной внешности ростом от 175 см учить язык С или С++, чтобы по-быстренькому напечатать какой-нибудь приказ шефа? Да и на месте шефа я бы сильно задумался о том, все ли хорошо в моей компании, где на самом верху работает фотомодель с великолепным знанием объектно-ориентированного программирования и математики?

Конечно же, удобство установки, обслуживания и пользования Linux и Windows раньше были несравнимы, причем преимущество было не на стороне Linux. Сейчас ситуация иная. Многочисленные сборки Linux устанавливаются на компьютер почти автоматически. Несложные пакеты программного обеспечения бесплатны и по функционалу почти неотличаются от аналогичных продуктов Windows. Тем не менее массовый переход на Linux не только не ожидается, но замечены и обратные тенденции: в 2014 году правительство Германии решило избавиться от Linux, который так радостно внедряли в 2004-м [1].

Главная неприятность в том, что Linux требует умных ИТ-сотрудников c высокой квалификацией, а Windows до сих пор позволяет обойтись услугами мальчика-эникейщика. Пожалуй, стоимость поддержки так и осталась ключевой проблемой Linux, несмотря на прошедшие десятилетия. Открытые платформы многому научились и многое приобрели задолгие годы развития. Линуксоиды настаивали на преимуществах и безопасности детища Линуса Торвальдса, но редко, кто их слушал.

Однако ситуация может измениться. О безопасности сейчас не говорит только ленивый. Интересно, что «Лаборатория Касперского» предупреждала о нашествии вирусов-вымогателей еще в 2016 году [2]. Забавно, что и сумма, которую требуют злоумышленники в качестве залога, с 2016-го не изменилась – те же самые 300 долларов. Вообще этот секьюрити-бюллетень от Касперского следует прочитать хотя бы для общего развития тем, кто это еще не сделал. Продвижение не товаров, но услуг стало всеобщим трендом, даже вобласти компьютерного криминала.

«Модель “Вымогатель как услуга” (Ransomware-as-a-Service, RaaS) – это не новое явление, но в 2016 году эта схема распространения программ-вымогателей продолжала совершенствоваться, и все больше вирусописателей предлагали свой вредоносный продукт «по требова-нию». Такой подход оказался чрезвычайно популярным среди злоумышленников, которым не хватает специальных навыков, ресурсов или желания создавать собственное вредоносное ПО» [2].

Еще раз напомню, что это информация по итогам 2016 года. О WannaCry тогда еще никто не слышал. Заявление «Лаборатории Касперского» осталось гласом вопиющего в пустыне. Тем не менее вернемся к текущим зловредам². Что же произошло в середине мая 2017 года?

Хронология событий такова. Весь день 11 мая все было хорошо. Однако уже утром 12 мая многие информационные ресурсы запестрели сообщениями о массовом заражении компьютеров неким вирусом-вымогателем. Программа-вымогатель обращалась к пользователю на языке той страны, где она распространялась, и предлагала заплатить 300 долларов США (или аналогичную сумму в биткоинах) на некий кошелек в дипнете.

Первые случаи заражения наблюдались в Испании и Великобритании [3]. Чуть позже появилось сообщение об атаке на компьютеры МВД и СК России [4]. Пользователь популярного сайта Pikabu.ru под ником Carsers опубликовал фото, как WannaCry атаковал Сбербанк [5]. К концу дня ВВС опубликовали сообщение, что новый неизвестный вирус нанес вред компьютерам в 99 странах [6].

Смысл работы вируса довольно прост. Распространяясь через уязвимость в протоколе SMB первой версии, вирус поражал только те Windows-машины, на которых по какой-топричине не было установлено обновление от Microsoft 4013389 [7]. Если на компьютере была установлена любая другая операционная система, кроме Windows, опасаться неприходилось. Установленное обновление также полностью устраняло риск заражения.

13 и 14 мая вирус продолжал победное шествие по планете. Программистам @MalvareTechBlog вместе с коллегой Дарианом Хассом удалось временно приостановить распространение зловреда, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, к которому обращалась программа-вымогатель [8]. Зачем-то авторы этого вируса оставили в его коде триггер, останавливающий распространение, если домен с таким именем вдруг даст ответ. Регистрация домена задержала распространение вируса, впрочем, ненадолго. Новая версия вредоносного кода, уже без ссылки на странный домен, продолжила свое распространение.

В итоге с вирусом, конечно же, удалось справиться. Но каковы последствия? Согласно заявлению ВВС, больше всех пострадала Россия [9]. В нашей стране были атакованы такие организации, как РЖД, многие коммерческие банки, сотовый оператор «Мегафон», МВД России.

Во всем остальном мире ситуация не лучше. Многие страны Европы и Азии неожиданно распрощались со своими данными. К концу мая – началу июня пострадало около 500 тысяч компьютеров в более чем 150 странах по всему миру. По состоянию на 25 мая 2017 года злоумышленникам удалось собрать сумму выкупа в 126 742 доллара США [10].

14 мая представитель Microsoft официально заявил, что вирус использовал уязвимость, о которой знало и которой, по-видимому, пользовалось или предполагало воспользоваться Агентство национальной безопасности США [11].

Какие выводы для своей компании можно сделать на основании прецедента распространения WannaCry? Большинство российских экспертов по безопасности сошлись в следующих мнениях:

WannaCry – это не из ряда вон выходящее явление. Многие компании уже сталкивались с вирусами-вымогателями, или, как их еще называют, баннерами-шифровальщиками. Этоявление не новое. Новым был только механизм распространения – 445-й порт TCP. Сосредоточившись на защите http/https и почтовых протоколов, никто не ждал пакостей от старой доброй SMB версии 1.0 аж 1983 года.

Будут в дальнейшем происходить подобные атаки? Большинство экспертов по ИТ-безопсности уверены – да, будут. Во-первых, никто не знает, сколько еще секретов «надежно» хранится в АНБ, ЦРУ и ФБР, а также как быстро до этих секретов доберутся хакеры или другие заинтересованные лица.

Во-вторых, преодолеть факторы, препятствующие внедрению обновлений, все равно в ближайшее время не удастся. Дело даже не в том, что сисадмины в отдельных организация настолько глупы, что никогда не ставят обновления на ОС Windows. Дело как раз в других организациях, которые относятся к обновлениям очень серьезно и, прежде чем ихустановить, тратят некоторое время на их тестирование в изолированной среде.

В недавнем прошлом Microsoft не раз и не два радовал своих пользователей релизами дефектных апдейтов, которые рушили работающие системы. Грустно, что с какой бы точки зрения мы ни посмотрели на вопрос обновлений, виноватым всегда оказывается сисадмин, работающий с Windows.

Если он отправил обновление на тестирование и не успел его внедрить, а это стало причиной ущерба от вирусной атаки, – накажут.

Если же он срочно внедрил непроверенное обновление, которое обрушило компьютеры во всей организации, – тоже накажут. Сам Microsoft, по-видимому, улучшать каким-либо образом процедуру тестирования обновлений не собирается, так что ситуация с WannaCry явно не последняя. Точка не поставлена.

Помогут ли антивирусы избежать подобных проблем в будущем? Ответ: и да, и нет. Современный компьютер с Windows практически во всех случаях оснащен антивирусом, коих внастоящее время существует огромное количество – от платных до бесплатных. Трудно поверить, что на 500 000 компьютеров по всему миру они не были установлены. Таким образом, да, антивирус в какой-то мере способен противостоять уже известным методам атак, но для чего-то новенького на жестком диске вашей Windows-машины всегда найдется место.

Существует ли надежный способ избежать в ближайшем будущем подобных эпидемий «отказа в обслуживании»? Существует, конечно. Большинство вирусов написаны на Windows и для Windows (про Android сейчас не будем говорить). Стоит перейти на Linux, MAC или что-то совсем экзотическое, как проблема снимется сама собой.

Например, внутренние серверы МВД России не пострадали, поскольку они работают на полностью российском аппаратном и программном обеспечениях «Эльбрус». Да, этобольшая, тяжелая и дорогая задача поддерживать условно-бесплатное или экзотическое программное обеспечение.

Как уже говорилось в начале статьи, далеко не всем это по силам – немцы, например, сдались. Однако если хочется безопасности – создавайте штат собственных специалистов, поддерживайте, хольте-лелейте, и о любых вирусных атаках вы будете узнавать исключительно из лент новостей, попивая утренний кофе и удивляясь про себя: «Хм! Вон оно какбывает…»

Еще российские специалисты по безопасности рекомендуют отказаться от линейной системы хранения документов и данных. Если все документы хранятся в системе документооборота, а все остальные данные – в серверной БД, то нанести существенный вред вашей организации гораздо сложнее. К тому же бэкапы для централизованного хранения данных работают гораздо эффективнее, чем для спасения и поддержания версионности целого веера разобщенных, никак не связанных друг с другом файлов и документов на разных машинах.

Шифровальщики длиною в год

67% компаний полностью или частично потеряли свои корпоративные данные, а каждая пятая организация не сумела восстановить файлы даже после уплаты выкупа.

Таковы данные Аналитического отчета «Лаборатории Касперского», посвященного рассказу о том, как развивались самые проблемные зловреды 2016 года.

Прошлый год имеет все шансы войти в историю как год расцвета программ-шифровальщиков и вымогателей, которые «захватывали в плен» данные и устройства как отдельных пользователей, так и целых компаний.

«Лаборатория Касперского» выяснила, что интенсивность атак с использованием этих зловредов за последние 12 месяцев увеличилась как минимум вдвое, количество новых модификаций шифровальщиков выросло в 11 раз, а среди троянцев-вымогателей появилось 62 новых семейства. Кроме того, в киберпреступном мире все большую популярность набирает «сдача в аренду» вымогателей в виде услуги для тех злоумышленников, у которых не хватает опыта или желания разрабатывать программы самостоятельно.

В начале года решения «Лаборатории Касперского» блокировали атаки шифровальщиков на компании в среднем раз в две минуты, а на индивидуальных пользователей – каждые 20 секунд. К концу года эти показатели кардинально изменились: теперь бизнес сталкивается с программами-вымогателями приблизительно раз в 40 секунд (то есть в три раза чаще), а отдельные пользователи – раз в 10 секунд (то есть вдвое чаще).

Увеличение числа атак шифровальщиков на бизнес привело к тому, что 67% компаний полностью или частично потеряли свои корпоративные данные, а каждая пятая организация не сумела восстановить файлы даже после уплаты выкупа. И хотя от программ-вымогателей страдают практически все отрасли, некоторые индустрии в 2016 году приняли на себя больший удар: жертвой шифровальщиков стала практически четверть компаний, работающих в сфере образования, ИТ и телекоммуникаций, развлечений и СМИ, а также в финансовом секторе.

Средний размер выкупа за возвращение доступа к данным сегодня составляет $300, однако некоторые киберпреступники требовали и получали от пользователей гораздо больше. Большинство злоумышленников предпочитает оплату в биткоинах, наиболее «профессиональные» из них даже оказывали пользователям консультационную и техническую поддержку, помогая приобрести криптовалюту.

Эксперты «Лаборатории Касперского» отмечают, что шифровальщики становятся сложнее и разнообразнее. Так, появились вымогатели, меняющие тактику при встрече с финансовым ПО: к примеру, троянец Shade, попадая на компьютер сотрудника финансового департамента, вместо стандартного шифрования файлов устанавливает в системе шпионскую программу, вероятно, в целях возможной кражи денег в будущем. Помимо этого, все чаще стали встречаться зловреды, которые шифруют не отдельные файлы, а главные файловые таблицы или полностью жесткий диск.

Вместе с тем исследователи заметили, что многие впервые обнаруженные в 2016 году троянцы-вымогатели оказались довольно низкого качества – незамысловатые, с ошибками в коде и банальными опечатками в текстах требования выкупа. Эта тенденция говорит о том, что шифровальщики набирают популярность как средство быстрого и легкого заработка, что привлекает к ним внимание менее квалифицированных киберпреступников, не обладающих достаточными навыками для разработки ПО. Кстати, именно эта армия любителей и спровоцировала бурное развитие схемы распространения вымогателей как услуги – в 2016 году все больше вирусописателей предлагали подобных зловредов своим «коллегам по цеху» за определенную плату.

«Программы-вымогатели и шифровальщики – прибыльный киберпреступный бизнес. И противостоять ему можно только при объединении усилий экспертов по информационной безопасности, правоохранительных органов, бизнеса и общественности. Главная задача – сделать так, чтобы злоумышленникам было все труднее проводить свои атаки и получать от них прибыль. Именно на это, например, направлена инициатива No More Ransom, которую мы запустили в этом году совместно с Европолом, полицией Нидерландов и Intel Security, – за шесть месяцев этот проект помог почти 6000 пользователей восстановить свои данные и сэкономить в общей сложности более 1,5 миллиона долларов, которые не пошли на выкуп злоумышленникам. Так что 2016 год запомнится, пожалуй, не только как год расцвета шифровальщиков, но и как год, когда в мире началось организованное противостояние этой угрозе», – так считает Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

1. Муниципалитет Мюнхена избавится от Linux на рабочих станциях – https://habrahabr.ru/post/233813.
2. Kaspersky Security Bulletin 2016. Сюжет года. Программы-вымогатели: революция – https://kasperskycontenthub.com/securelist-russia/files/2016/12/KASPERSKY_SECURITY_BULLETIN_2016_Story_of_the_Year_RUS.pdf.
3. Sky: в Великобритании кибератаке подверглись объекты здравоохранения – http://tass.ru/mezhdunarodnaya-panorama/4248397.
4. Источники рассказали об атаке хакеров на внутренние сети СК и МВД – https://www.gazeta.ru/tech/news/2017/05/12/n_10040471.shtml.
5. Сбербанк. Просто, профессионально – http://pikabu.ru/story/sberbank_prosto_professionalno_5045398.
6. Massive ransomware infection hits computers in 99 countries – http://www.bbc.com/news/technology-39901382.
7. Microsoft Security Bulletin MS17-010 – Critical. Security Update for Microsoft Windows SMB Server (4013389) – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
8. Распространение вируса WannaCry было остановлено случайно – https://www.vedomosti.ru/politics/news/2017/05/13/689710-rasprostranenie-virusa-ostanovleno.
9. Кто в мире пострадал от компьютерного вируса WannaCry – http://www.bbc.com/russian/features-39928406.
10. WannaCry – https://ru.wikipedia.org/wiki/WannaCry#cite_note-45.
11. Правительства и спецслужбы виновны в атаке вируса WannaCry – Microsoft – http://www.profi-forex.org/novosti-mira/entry1008307753.html.

1 WannaCry – дословный перевод с английского – «хочу плакать» или «хочу кричать».

2 Слово «зловред» встречается в [2] и является синонимом «компьютерного вируса».

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи