Кибербезопасность
«Грамотное выполнение разведывательного задания
одновременно обеспечивает безопасность разведчика».
Полковник Абель
        Подписанный Президентом РФ документ под названием «Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года» лишний раз подтверждает, что термин «кибербезопасность» имеет право на жизнь. Внедрение (а именно здесь этот термин наиболее точен) информационных технологий  во все сферы человеческого общежития повлекло, наряду с плюсами, немало минусов.
        Привычным минусом считают явление компьютерных вирусов и хакеров, «уводящих» деньги с различных счетов. Вот, например, что в интервью Российской газете сказал гендиректор компании Group IB И.К. Сачков:
«В ходе расследований ряда онлайн-краж мы обнаруживали, что компании-жертвы были защищены: закуплено нужное дорогостоящее ПО, работала служба инфобезопасности. Сначала это были единичные случаи, но уже в 2011 году счёт пошёл на тысячи. Тогда же нашли заражённую ботсеть в России, где было 1,5 миллиона компьютеров, на 86% которых был установлен антивирус. Мы поняли, что битва за конечный компьютер проиграна, и антивирусам нужны дополнения, чтобы предугадывать заражения».
        По его словам, конец 2014-го – начало 2015 года показательны в плане крупных хищений, особенно в компаниях, где сэкономили. Экономия 60-100 тысяч рублей привела в результате к хищению почти 240 миллионов рублей. Многие компании ещё слабо понимают, что такое инфобезопасность, а российские бизнесмены вообще не верят, что хакеры существуют. Они думают, что это миф. Или что вся безопасность сводится к вирусам-антивирусам. Это, к сожалению, не так. Ставить знак равенства между вирусом и компьютерной преступностью – всё равно что ПМ или АК считать синонимом обычной преступности. Вирусы – лишь один из возможных инструментов.
        Киберпреступнось опасна ещё и потому, что сейчас активно развивается индустрия лёгких инструментов для атаки.  Это, прежде всего, связано с ведущейся между государствами «мировой кибернетической войной». Всеми операциями по защите Америки на цифровых фронтах руководит Кибернетическое командование США, созданное в 2009 году. Возглавляет его адмирал Майкл Роджерс (Michael S. Rogers) – настоящий ветеран сетевых войн, руководивший киберударами по Ираку во время американского вторжения в 2003 году.  Кто именно угрожает Америке в киберпространстве, в стратегических документах прямо не говорится.
        Де-факто главный враг – это КНР, которая, уступая США в количестве кораблей и самолётов, изначально получила преимущество в цифровой сфере. Разработку стратегии кибервойн китайцы начали ещё в 1995 году, а собственное киберкомандование – Сетевые силы – создали на девять лет раньше американцев. В США началом открытой войны считают 2010 год, когда неизвестные хакеры нанесли удар по 35 крупным американским компаниям (в числе которых были Google, Northrop Grumman, Symantec, Yahoo, Dow Chemical и Adobe Systems), похитив ценную информацию военного и технического свойства.
        Долгое время в США недооценивали угрозу со стороны Пекина. Это пренебрежительное отношение к силам противника дорого обошлось американцам: в августе 2015 года китайские хакеры проникли в сеть Управления по персоналу администрации США, где хранятся данные обо всех когда-либо нанимавшихся на американскую гражданскую службу. Точный объём похищенных данных до сих пор неизвестен. Джон Макафи (John McAfee), разработчик систем защиты и один из известнейших экспертов в области кибербезопасности, заявил о краже данных более чем 14 миллионов человек, в течение последних 25 лет работавших на американское правительство, в том числе, об американских агентах влияния в иностранных правительствах.
        Такого рода война, естественно, вызвала свою, «кибернетическую гонку вооружений». В 90-х годах интерфейсы хакерских программ были очень сложными, требовали высокой технологической грамотности. Сейчас это интерфейсы web 2.0, прорисованные иконки, лицензии и службы поддержки... В 2000-е хакеры были высоко квалифицированы, их было мало, сейчас же достаточно элементарного владения информационными технологиями – большинство даже не понимают, что они делают, – скачали программу и выполнили определённые действия. Более того, Zerodium раскрыл закупочные цены на взлом ряда продуктов IT-компаний. Об этом сообщает Wired. Zerodium занимается скупкой у хакеров различных уязвимостей в программах и последующей перепродажей этих сведений разработчикам и государственным ведомствам.
        За взлом Safari и Internet Explorer компания готова заплатить хакерам 50 тысяч долларов, за Google Chrome80 тысяч долларов, а за неавторизованный доступ к системам на Android и Windows Phone100 тысяч долларов. Дороже всего оценивается брешь в защите iOSза неё хакер получит 500 тысяч долларов. Vupen также занимался приобретением подобных уязвимостей, которые затем перепродавались госструктурам стран-членов НАТО. По данным сайта Muckrock, среди клиентов Vupen было и Агентство национальной безопасности США. В начале ноября Zerodium сообщила, что некие хакеры успешно выполнили задание по удалённому взлому iOS 9, за что компания выплатит им вознаграждение в миллион долларов. В 99% случаев таких хакеров ловят, и они оказываются в тюрьме, зато их теперь много...
        Но, в конце концов, с тех пор, как существуют сейфы, существуют и «медвежатники»: защиту совершенствуют, снабжают сигнализацией, совершенствуются и взломщики – вечный «поединок брони и снаряда». По факту российские банки оказались гораздо лучше защищены, чем другие, именно из-за того, что в России уровень киберпреступной среды более высок (хакеры умнее). Однако, взломы банков лишь видимая часть айсберга, да и то не вся. К этой видимой части следует отнести и кибертерроризм. У кибертеррористов (прежде всего, исламских) нет цели украсть деньги или информацию, нарушение работы систем – вот главная задача, и Россия оказалась интересна для них: ИГИЛовцы атаковали порядка 600 разных российских ресурсов в течение месяца.
        Ничего принципиально нового в борьбе с ними нет: хищение денег рано или поздно будет обнаружено, «хакер-медвежатник» будет пойман и наказан, повреждённая система исправлена, а вот грамотное похищение «ноу-хау» или других производственных секретов гораздо серьёзнее. Именно поэтому намного опаснее хакеров внешне никак не проявляющиеся  «вирусы-нелегалы», «резиденты», тайно собирающие и пересылающие «заказанные» сведения с заражённого компьютера. И это не только пароли и номера банковских счетов. Такую высокотехнологичную преступность следует рассматривать в комплексе, лишь это даёт хороший результат. Снова процитируем И.К. Сачкова:
«... мы начали с компьютерной криминалистики: анализировали действия хакеров, собирали цифровые доказательства их преступлений для правоохранительных органов и клиентов. Потом стали применять криминалистику для любых высокотехнологичных преступлений, где используются компьютерные системы... Проводя где-то расследование, наши криминалисты приезжали в очень защищённые компании, где тем не менее происходили инциденты. Мы стали понимать, что чего-то не хватает, и конвертировали полученный опыт и понимание специфики современной киберпреступности в продукты, которые дополняют любой периметр защиты... Для этого нужно изучить, как вирус общается со злоумышленником, по каким протоколам отправляет пакеты управляющим серверам. Мы используем большую инфраструктуру  – ловушки, анализаторы, песочницы, сенсоры у операторов связи, позволяющие в режиме реального времени видеть коммуникацию вируса с сервером»...
        То есть, говоря проще, «кибершпионов», как и обычных разведчиков, ловят «на связи». И это даёт результат – в 2012 году компания И.К. Сачкова, используя накопленный опыт в расследованиях, стала разработчиком трёх продуктов по информационной безопасности: для защиты компаний от сложных вирусных заражений и целевых атак, защиты порталов и систем онлайн-банкинга, а также системы киберразведки, позволяющей предотвратить кибер-атаку на этапе подготовки. «Киберразведка» проявляют «кибершпионов», прорисовывает подводную часть «киберайсберга» и позволяет нащупать методы сбора конфиденциальной информации.
        Одним из таких полулегальных методов являются поисковики (программы поиска), собирающие, хранящие и обрабатывающие данные как о самих пользователях, так и о целях поиска. Так, Google в прошлом году пришлось заплатить десятки миллионов долларов, чтобы урегулировать иски в США и Европе о слежке за пользователями браузера Safari. Компания также признала, что за первое полугодие 2014 года частично или полностью раскрыла данные пользователей по 65 процентам (из 31,7 тысячи) запросов спецслужб.
        Наконец, Google грешит и работой с личной информацией пользователей без их ведома, а почтовая программа Gmail анализирует содержание писем пользователей (якобы для того, чтобы определить, на какую тему лучше показывать рекламу конкретному человеку!). Недавно Роскомнадзор направил в компанию Google запрос относительно проекта Street View. Он был вызван информацией о том, что при съёмках уличных панорам компания Google собирала данные о Wi-Fi, включая пароли, сведения о посещаемых сайтах и т.д. В Google ответили, что в России оборудование для сбора такой информацию не применяли (так ли это или нет, но оно есть!).
        Более серьёзным каналом служит вставка спецпрограмм в поступающие в продажу пользовательские ПО. Понятно, что никакой антивирус обнаружить такие вставки не может и поймать их можно только на отправке данных. Наконец, вредоносное содержимое можно засылать в графических файлах, модулируя «шум». Конечно, «киберразведка» сможет засечь сообщение «крота», но это может быть уже поздно, ведь «крота» можно запрограммировать на одно-единственное сообщение после сбора нужной информации с последующей самоликвидацией!
        Обычно такие «кроты» охотятся за «ноу-хау» или другой промышленной интеллектуальной собственностью – ведь о её хищении, в отличие от банковских вкладов, узнают далеко не сразу – такова специфика ИС! К сожалению, ничего утешительного по поводу защиты от них сказать нельзя! Нельзя отказаться от информационных технологий, компьютеров и сетей, но и уповать на «киберзащиту» тоже наивно, тем более, что изобретатель вряд ли станет тратиться на весьма дорогое ПО компании Сачкова или других разработчиков.
        Единственно надёжным способом защиты жизненно важной информации может стать «бумажная изоляция» ПК (или рабочей локальной сети). Суть её в том, что рабочий компьютер должен быть полностью изолирован от внешних электронных сетей (в том числе и сетевыми фильтрами по питанию), а для выхода вовне есть специальный компьютер (нетбук), информация с которого идёт на принтер. После её просмотра необходимые страницы (и текст, и чертежи) считывает сканер рабочего компьютера. При необходимости передать что-то вовне процесс идёт в обратном порядке.
        Способ громоздкий и не дешёвый (потому, что желательно иметь два принтера и два сканера, чтобы исключить передачу «кротов» через ПО этих устройств), но он надёжный, ибо тайно переслать вирус через бумажный носитель ещё никому не удавалось! И даже если уже сидящий в локальной сети «крот» выполнит задание по сбору информации, он не сможет её передать!


Для справки
1. Group-IB
        Group-IB – международная компания по предотвращению и расследованию киберпреступлений и мошенничеств. Имеет сертификаты CISSP, CISA, CISM, CEH, CWSP, GCFA и свидетельство государственного образца в области защиты информации. Компания создана в 2003 году в России. В 2010 году на базе Group-IB была организована «Лаборатория компьютерной криминалистики» (115088, Москва, ул. Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж, e-mail: help@group-ib.ru). Group-IB с 2003 года занимается специфическим разделом кибербезопасности – предотвращением и расследованием киберпреступлений: только в России продукты Group IB спасли более 22 млрд руб. в 2014 году, – буквально на днях стало известно о том, что с помощью Group-IB были задержаны братья-хакеры, похитившие со счетов российских банков более 11 млн руб.
        Основатель и гендиректор Group-IB Илья Константинович Сачков с отличием окончил МГТУ имени Н.Э. Баумана, кафедру информационной безопасности факультета информатики и систем управления. В области расследования инцидентов информационной безопасности работает с 2003 года. Занимается расследованием и разработкой методик по новейшим типам компьютерных преступлений. Автор технологии расследования распределённых атак на отказ в обслуживании (DDoS). Является членом следующих международных ассоциаций: Ассоциация компьютерной криминалистики информационных систем (The International Information Systems Forensics Association IISFA), Ассоциация сертифицированных специалистов по борьбе с мошенничеством (ACFE), Международного проекта Honeynet Project. Член экспертного совета премии ЗУБР и Ассоциации профессионалов в области информационной безопасности RISSPA. Автор более 30 публикаций.
2. Шпионские вирусы
        По сообщению Reuters АНБ США научилось прятать шпионское программное обеспечение в зонах жёстких дисков, защищённых от удаления и форматирования. Речь идёт о дисках крупнейших производителей, что теоретически позволяет спецслужбе незаметно считывать данные с большинства используемых в мире компьютеров. Новые шпионские программы были обнаружены российской «Лабораторией Касперского». Разработчик антивирусов утверждает, что выявил инфицированные подобным методом компьютеры в 30 странах. На первом месте в этом списке он назвал Иран, затем Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир. Целью слежки, как уточнила лаборатория, были правительственные и военные учреждения, телекоммуникационные и энергетические компании, банки, атомные исследовательские центры.
        Фирма прямо не назвала, какая именно страна ответственна за подобный шпионаж, однако уточнила, что эта схема тесно связана с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране. Бывший сотрудник АНБ подтвердил информагентству, что анализ «Лаборатории Касперского» является правильным. Согласно выводам исследования, вредоносное ПО внедряется в прошивку диска, что позволяет вирусу сохраняться на нём, даже если будут удалены все файлы и выполнено форматирование. По ценности для хакера такой метод внедрения вируса стоит на втором месте, уступая только заражению BIOS. Как отмечают исследователи, перед программой, внедряющейся в компьютеры подобным образом, уязвимы жёсткие диски более чем десятка ведущих компаний, охватывающих практически весь рынок. Речь идёт о таких известных брендах, как Western Digital, Seagate Technology, Toshiba, IBM, Micron Technology и Samsung Electronics.
3. Шпионская аппаратура
        Сейчас во многих рекламных проспектах широко пропагандируются разработки так называемых «очков дополненной реальности». Дополненная реальность (англ. augmented reality, AR – «расширенная реальность») – результат введения в поле восприятия любых сенсорных данных с целью дополнения сведений об окружении и улучшения восприятия информации. Дополненная реальность – воспринимаемая смешанная реальность (англ. mixed reality), создаваемая с использованием «дополненных» с помощью компьютера элементов воспринимаемой реальности (когда реальные объекты монтируются в поле восприятия). Существует несколько определений дополненной реальности: исследователь Рональд Азума (англ. Ronald Azuma) в 1997 году определил её как систему, которая:
     – совмещает виртуальное и реальное;
     – взаимодействует в реальном времени;
     – работает в 3D.
        Начало таким устройствам было положено авиационным шлемом F-35 с интегрированным дисплеем (в СССР подобные устройства также были разработаны и применялись в ВВС). В современных боевых самолётах и вертолётах часто используется индикация на лобовом стекле или на шлеме пилота. Она позволяет пилоту получать наиболее важную информацию прямо на фоне наблюдаемой им обстановки, не отвлекаясь на основную приборную панель, осуществлять целеуказание путём поворота головы или движения глазных яблок.
        В настоящее время подобные устройства уже получили применение в компьютерных играх, производящих обработку видеосигнала с камеры и накладывающих на изображение окружающего мира дополнительные элементы. Например, в 2004 году была выпущена игра для мобильных телефонов с названием Mosquitos, отображающая на экране телефона изображение с расположенной позади него камеры, с наложенными на это изображение прицелом и огромными комарами, от которых «отстреливался» игрок.
        В современном мире игры дополненной реальности получили широкое распространение на смартфонах и планшетах, а также игровых консолях. Существует множество программных продуктов для мобильных устройств, которые позволяют при помощи дополненной реальности получить необходимые сведения об окружении: браузеры дополненной реальности и специализированные программы для отдельных сервисов, компаний или даже единственных моделей.
        Глава Microsoft Cатья Наделла (Satya Nadella) рассказал, что первая версия очков дополненной реальности Hololens выйдет через год. В отличие от Samsung VR Gear, Oculus Rift и других подобных шлемов Hololens показывают не виртуальную реальность, а трёхмерные голограммы, встраивающиеся в реальный мир вокруг пользователя. Управлять голограммами, перемещать их или менять в размере предполагается с помощью жестов.
        Согласно концепции, очки Hololens являются самостоятельным компьютером без какой-либо привязки к PC, смартфонам или другим устройствам. HoloLens – устройство именно дополненной, а не виртуальной реальности. «Голограммы», по сути, встраиваются в реальный мир вокруг пользователя. Сами голограммы представляют собой трёхмерные световые изображения, передаваемые с учётом параметров окружающего пространства. Они могут быть закреплены на определённом месте либо следовать за пользователем, однако их положение не зависит от направления его взгляда или движений головы.
        Вполне очевидно, что для такого встраивания необходимы снимки окружающей реальности, то есть очки имеют встроенную оптику, программа очков фиксирует окружение и далее работает с ним. В этой работе Microsoft не одинок – корпорация Google работает над гарнитурой Project Glass, а Vuzix – над Smart Glasses M100. Аналогичные разработки ведут другие крупные компании (включая Canon с AR-очками для профессиональных дизайнеров MREAL), а также многие начинающие компании.

Рис. 1. Очки Glass корпорации Google
        Для нас наиболее интересны разработки Google потому, что эти разработки выглядят так, как на рис. 1. Эти «умные» очки для несведущего человека ничем не привлекательны, а между тем они снабжены процессором с памятью 4 Гбайта и работают на частоте 1 ГГц, снимая и фиксируя всё, что попадает в их поле зрения. Сейчас Global Look Google тестирует новую версию носимого устройства Glass – тоже «умные» очки, обладающие возможностью вести скрытую фото- и видеосъёмку, не привлекая внимания окружающих, но на более быстром процессоре, с аккумулятором бо'льшей ёмкости и работающие в самых современных беспроводных сетях.
        И пока автор изобретения будет любоваться симпатичной корреспонденткой (или его помощник играть в «продвинутую» игру) их «ноу-хау» окажется о-о-очень далеко!
В оглавление