— Убытки от киберпреступлений в мире составляют 400–500 млрд долларов в год. Давайте разберемся, что такое 500 млрд. Это, чтоб вы понимали, более двух федеральных бюджетов РФ на 2016 год. Так, например, один очень крупный инфраструктурный национальный проект, включающий в себя строительство дорог, стадионов, новых жилых районов, обходится… в 50 млрд. То есть это зимняя Олимпиада в Сочи. Таким образом, за год мы теряем примерно 10 таких проектов. И у нас уже есть прогнозы на ближайшие годы, согласно которым эти цифры заметно вырастут.
Самое плохое, что может произойти, — это сложная целевая кибератака. За ней, как правило, стоит большая работа. Киберпреступники месяцами могут изучать архитектуру вашего предприятия, прежде чем нанести удар. Считается, что самая успешная сложная целевая атака — это та, про которую вы даже не знаете.
Вы слышали историю про иранскую ядерную станцию? На экранах происходил правильный технологический процесс, за которым следили лучшие специалисты. Но конечный продукт — обогащенный уран — работники станции получить не могли. Оказалось, что все это время они были жертвой кибератаки. Но понять это удалось только через два года.
Сложная целевая кибератака составляет всего 0,1% от общего числа. Поймать и раскрыть ее — настоящее искусство. Такие кибератаки нельзя автоматизировать.
| |
|---|
Три самых крупных атаки за последнее время — это ограбление Центрального банка Бангладеш, блэкаут на Украине и ограбление биржи биткоинов в Гонконге. Давайте более подробно остановимся на истории из Бангладеша — это история о самой дорогой грамматической ошибке в мире!
Киберпреступники хотели провести 35 поручений через систему международных платежей. Атака удалась — 81 млн растворился в системе биткоинов. Найти их тяжело. Сейчас это, наверное, уже невозможно. Но банку повезло: 31 поручение задержал их сотрудник, потому что заметил в приказе грамматическую ошибку (всего в одном слове). Когда наутро атака была обнаружена, банк смог вернуть себе оставшуюся сумму, потому что поручение не было выполнено.
До 12 мая мало кто знал термин ransomware. Это кибератака, при которой пользователю выдвигается требование заплатить выкуп в обмен на возвращение контроля над вычислительной техникой, приложением или документом. На самом деле WannaCry, по поводу которого в последнее время было много шуму, — самая тривиальная атака. Но на деле мы видим, что заражены оказались 300 тыс. компьютеров по всему миру, еще 200 тыс. получили сообщение с требованием о выкупе.
Злоумышленники начали действовать вечером в пятницу. Они специально выбрали время, когда все спешат домой. Это была атака не на конкретную компанию, не на конкретный финансовый или промышленный сектор. Это была атака на маленький шарик во вселенной, на планету Земля. Она была распределена равномерно по всей планете. Пострадали все континенты, кроме, наверное, Антарктиды. Но если разобрать эту атаку детально, с технической точки зрения, можно сказать, что она суперпримитивна. Просто пользователи, чьи компьютеры оказались заражены, не установили обновления для операционной системы, которые были доступны задолго до атаки, и нужное обновление антивирусных баз.
| |
|---|
Еще один интересный момент — это уязвимость «умного города». Не так давно мы начали изучать разные штуки, которые нас окружают: терминалы, в которых мы платим за телефон, регистрационные терминалы в аэропортах, планшеты, которые вы видите на заднем сиденье во время поездки в такси. На самом деле, если копнуть глубже, все эти умные штуки основаны на обычных компьютерах, которые прячутся там внутри, где-то за экраном. По сути система исследования безопасности таких штук заключается в том, можно ли хитро сбежать из режима киоска и добраться до начинки.
Вы обращали внимание на планшетики, которые стоят во многих такси? Они постоянно крутят какую-то рекламу. Мне всегда было интересно, что там внутри. Оказалось, что это обычное устройство на основе операционной системы андроид, из которой можно спокойно сбежать и получить доступ к системе файлов. В них есть встроенные камеры, и они могут отслеживать деятельность пассажира. При несанкционированном доступе можно получить улыбающиеся либо грустные лица пассажиров, а можно смотреть, кто куда поехал.
| |
|---|
В прошлом году мы делали доклад на одной международной конференции в Лас-Вегасе. Буквально за несколько часов до выступления мы решили потыкать один из терминалов в отеле. Нам сразу удалось вызвать экранную клавиатуру и уйти из режима киоска. После этого нам стало интересно, с чем же связан этот терминал. Как оказалось, все терминалы в отеле находятся в одном сегменте сети. Мы смогли добраться до папки под названием TVCP1. Оказалось, что это гигантский телевизор, 10 на 6 метров, который стоит перед входом в отель в самом центре Вегаса. То есть теоретически это довольно простая входная точка для последующей атаки. Теперь представьте, что можно было показать на этом экране...
В аэропорту Кольцово есть регистрационный терминал одной авиакомпании. Мы нашли в нем недоработку разработчиков. Стоит признать, что многие разработчики — ленивые, они оставляют после себя тестовые поля или тестовые данные. Так, оказалось, что если в регистрационном терминале набрать 000000, то он выдает посадочные талоны на несуществующий рейс, но в бизнес-класс. Довольно забавная штука.
| |
|---|
В другом международном аэропорту мы протестировали компьютеры, которые позволяют выходить в интернет за деньги. Сбежав из киоска, мы обнаружили, что на самом деле выходить в интернет можно совершенно бесплатно. Мы сообщили об этом разработчикам, и они вроде как уже устранили эту уязвимость.
На первый взгляд это все кажется баловством, но сейчас мы приведем более серьезные примеры вещей, которые нас окружают. Например, такая система, как «умный город». Часть этой системы — это умные дороги. На крупных трассах, например в Москве, вдоль Ленинградского шоссе, висят белые «таблетки» — это датчики движения. Они анализируют скорость и плотность потока, оценивают степень загруженности дороги и в соответствии с этим регулируют светофоры.
| |
|---|
Мой коллега провел исследование: он смог не только получать данные с этих датчиков, но и писать туда данные. Мне, например, удалось получить данные с камер, которые регистрируют нарушения на дорогах. К сожалению. Это значит, что любой человек может либо прятать людей в потоке, либо пытаться их отследить.
Мы хотели вам сказать, что кибербезопасность — это не дисциплина внутри отдела информационных технологий. Это те задачи и те новые риски, которыми должны заниматься члены совета директоров. Это касается не только персональных устройств, но и крупных промышленных агрегатов, стоимость которых — сотни миллионов долларов. Они могут быть уязвимы, и важно эти уязвимости раскрывать до того, как ими кто-то воспользуется.
Фото: скрин с видео Malina.am. Видео: Malina.am
