Ищу адрес: Почему так трудно проследить кибератаки хакеров

Мой оригинальный перевод свежей статьи в ведущем американском еженедельнике Scientific American.

Ищу адрес: Почему так трудно проследить кибератаки хакеров

Ларри Гринмаер

Sony, Google, RSA и теперь Citigroup это лишь некоторые из известных жертв кибератак и нападающие пока ускользнули от обнаружения.

Кибератаки – не новое явление. Но последние успехи хакеров против таких известных компаний, как Citigroup, Google, RSA и государственных подрядчиков, таких как Lockheed Martin были проведены через интернет особенно дерзко. Хакеры против крупнейших компаний использовали те же технологии, которые позволяют им атаковать компании онлайн банкинга, развлечений, интернет-магазинов, осуществлять кражу пользовательских данных, включая номера кредиток,  идентификационные коды, а затем успешно заметать следы. Один из самых распространенных на практике методов кибератак заключается в том, что злоумышленники для того, чтобы избежать обнаружения атакуют плохо защищенные компьютеры и прокси-сервера, а затем через них производят атаки по всему миру. Они научились осторожно тестировать защиту компьютеров и серверов так, чтобы это не было обнаружено системами безопасности и, найдя уязвимости, атакуют. Такие атаки практически всегда носят международный характер, но пока нет никаких международных ответных мер, что напрягает правоохранительные органы. Поэтому они стремятся к сотрудничеству со странами, где обычно находятся прокси-сервера, через которые происходят международные кибератаки.

Адрес неизвестен

Каждый день приносит новые вести о кибератаках. «Мы видим все больше отчетов о дерзких атаках на все более регулярной основе», – говорит Крис Бронка, бывший  дипломат Госдепартамента США, а ныне известный эксперт в области информационных технологий.

Самая трудная проблема в поиске источников кибератак состоит в атрибуции. Каждый пакет данных, передаваемых через интернет, содержит информацию о ее источнике и пункте назначения. «Хакеры научились изменять источники при передаче пакетов данных и, в результате, принимаемая информация поступает  из поддельного источника» – говорит Сами Сайджари, Президент консультационного агентства по кибербезопасности и бывший работник знаменитой DARPA.

«Если ваша сеть находится под атакой, и вы пытаетесь выяснить, кто это делает, чисто техническими мерами вам не обойтись» – говорит Дэвид Никол, Директор института Информации Университета штата Иллинойс. – «Основная проблема состоит в том, что  уже на этапе создания сложных компьютерных сетей и тем более их эксплуатации, мы не соблюдаем стандартов требований безопасности».

К примеру, Никол указывает, что лично он использует виртуальную частную сеть, которая в свою очередь подключена к прокси-серверу, через который происходит выход в сеть интернет. Это дает ему возможность шифрования данных, а также обеспечивает защиту идентичности собственного IP адреса. «Я делаю это, чтобы помешать краже информации, что делают обычно коммерческие веб-сайты» – добавляет он. – «Мне нечего скрывать, но это не значит, что я дам возможность собирать о себе информацию для последующей продажи».

Кибер-злоумышленники используют вирусы, черви и другие вредоносные программы, чтобы взять под контроль интернет-сервера и персональные компьютеры. Помимо кражи информации они создают из них, так называемые бот-сети или сети «зомби», которые используют в своих атаках. В результате атаки могут происходить с множества конкретных серверов или компьютеров. Но это не означает, что атаку осуществляли их владелльцы. Никол также говорит, что в кибератаки вовлекается сеть прокси-серверов, расположенных в различных странах, что «значительно усложняет судебный процесс, требуемый, чтобы вынести все необходимые решения и собрать, в конечном счете, доказательства».

Копье фишинга

Одним из основных методов создания сети «зомби», получивших особенно широкое распространение буквально в самые последние месяцы и  недели стало заражение вредоносными программами не только веб-страниц, но и электронной почты. «Если вы посмотрите на то, как бал атакован RSA, то это был не очень сложный способ, на порядок более простой, чем знаменитый Stuxnet. Вот это была самая сложная атака, которую мы видели в последнее время» – говорит Апир Гош, профессор по информационной безопасности Университета Джорджа Мейсона. – «Большинство кибератак исполняется с использованием уже привычных приемов. Отличаются они тем, что эти приемы компонуются в новой конфигурации и хакеры задействуют гораздо более мощные сети и ресурсы».

В случае с RSA хакеры использовали так называемое «фишинг-копье» электронной почты, чтобы прорваться сквозь системы безопасности внутри компании, говорит Гош. Часто в качестве «фишинг-копья» используются  документы, связанные с наймом персонала.  Обычно спам-фильтр компании автоматически ловит их. Но сотрудники, зная, что в спам попадает и много нужной информации, зачастую достают электронную почту из спама, если в компании не действуют жесткие регламенты. Электронная почта в этом случае содержит вложенный файл, например, с документом exel и как только он открывается, автоматически устанавливается вредоносная программа на компьютере сотрудника. А затем по компьютерной сети компании она распространяется и на все другие компьютеры и сервера. «Пораженная машина – это не цель, это плацдарм для атаки» – говорит Гош.

Что еще хуже, как ранее заявил генеральный директор RSA, это то, что информация, которая была похищена киберпреступниками из RSA в марте позволила организовать более широкую кибератаку на Lockheed Martin.

Возможная оборона

Сейчас нет недостатка в программном обеспечении и услугах, направленных на предотвращение кибератак. Многие подходы включают сканирование входящих данных для обнаружения возможного вредоносного ПО с интернет-страниц, а также скрининга спама в электронной почте, нагруженной вирусами или содержащей подозрительные файлы.

Помимо программных решений «нам нужна система коллективного обнаружения вторжений и отслеживания кибератаки от объекта к ее источнику между различными странами» – говорит Сайджари, – «Это не решает проблему, но несколько упрощает ее. Сейчас мы можем проследить движение и выйти на конкретную страну, откуда началась атака, но очень трудно определить, где и кто конкретно в стране эту атаку начал».

«Еще одним важным компонентом киберзащиты является повышение надежности программного обеспечения. Здесь наблюдается некоторый прогресс. Например, Windows каждый месяц распространяет десятки обновлений, устраняющих обнаруживающиеся уязвимости. Такая работа будет способствовать затруднению превращения компьютера в «зомби» и перехвата контроля над ним» – говорит Сайджари.

Пожалуй, наиболее эффективная защита для пользователей компьютеров – это их собственная осторожность и ум. «Вы никогда не знаете, какой в этот раз будет тактика нападающих, особенно, когда речь идет о «фишинг-копье» – говорит Гош. В результате, обычно бывает трудно удержать людей от того, чтобы они все-таки залезли в спам, если в нем находится сообщение, пришедшее от их собственного банка или от  компании, которая оказывала им услуги, и  которой они доверяют. Другое дело, они же не знают, что киберпреступники научились направлять почту от любого имени. «Вы, конечно, можете тренировать, обучать корпоративных и частных пользователей. Но не надейтесь добраться до стопроцентной безопасности» – добавляет он.