20 декабря, 2016
Ай-да новости: маркетинг vs. кибергопники + перезагрузка Лайнера Мечты.
Снова в эфире уже традиционная рубрика про хрупкость нашего всемирного цифрового дома. Интересных новостей про киберзловредство накопилось много! Да что там, поток таких новостей постепенно переходит из режима горного ручейка в масштаб полноценной Ниагары.
Как ветеран киберобороны скажу, что раньше катаклизмы планетарного масштаба обсуждались по полгода. А сейчас поток сообщений как лососи на нересте — толком и поговорить не о чем. «Слышал, хакнули Мегасуперкорпорацию, украли всё, и даже хомячка гендиректора самоуправляемый дрон унёс в неизвестном направлении?» — «Вчера ещё! А вот ты слышал…?»
Обычно в этой рубрике было в среднем по три новости зараз. Но приходится подстраиваться под обстоятельства, и сегодня будет горячая семёрка по-своему важных и интересных историй из мира цифровой опасности.
«Зарази братуху — получи скидку»
Киберпреступники давно ведут свою криминальную деятельность как бизнес. До нас доходили истории про «партнёрские конференции», когда одни преступные группы собирали другие, чтобы обсуждать сотрудничество и стратегию. Не чужды, в общем, негодяи учебников по менеджменту и маркетингу. А о чём надо думать, строя бизнес? О продуктах и услугах, разработке, организационной структуре, каналах — да много о чём!
Вот некие вымогатели почесали голову и предложили сделать своих жертв прямыми соучастниками в деле распространения малвары. Злобный сетевой маркетинг в худшем виде: зарази двух знакомых и получи ключ от своих файлов бесплатно.
Наступив в какую-нибудь гадость, ты получаешь предложение: плати или подгадь двум людям из списка контактов — пусть они платят (или дальше распространяют). И каждый будет потом чесать голову, то ли сам кликнул не на ту ссылку или забрёл в глубокие и заразные дебри без адекватной защиты, то ли какой-то друг сволочь виновата. Хорошо, что о реальных заражениях ничего неизвестно — это пока полуфабрикат, найденный исследователями в мутных тёмных глубинах даркнета.
Эффективный хэдхантинг по-хакерски
Важная проблема любой организации: как найти правильных людей и мотивировать их эффективно работать? Организаторы DDoS-атак из Турции, не чуждые современных бизнес-тенденций, построили геймифицированную платформу для DDoS-атак, в которой участники соревнуются друг с другом и получают за активность всякие плюшки. Плюшки потом можно конвертировать в хакерские тулзы и софт для кликфрода.
Платформа эта патриотичная, и DDoSить предлагает тех, кого организаторы считают недругами Турции: от Рабочей партии Курдистана до Ангелы Меркель. Вербуются участники среди посетителей подпольных форумов в даркнете. Политически мотивированный краудсорс-DDoS уже случался, и не раз, теперь вот предприимчивые хакеры вывели процесс на удобную платформу с выстроенной системой мотивации участников. Так и представляю себе выпускника какой-нибудь школы MBA, который все это придумал.
Возвращение Shamoon-а и трудности атрибуции кибератак
Сообщают, что хакеры атаковали центробанк, а заодно ещё ряд госорганов и организаций в Саудовской Аравии с помощью старого-недоброго знакомого вайпера Shamoon. Пишут, что на несколько дней встала работа в саудовском агентстве гражданской авиации — впрочем, на работу аэропортов это не повлияло. Напомню, что эта малвара уже попортила крови как раз таки в Саудовской Аравии, когда в 2012-м году с её помощью некие негодяи стерли все данные и все бекапы у Сауди Арамко – крупнейшей нефтяной компании мира. Ущерб можно прикинуть как ГИГАНТСКИЙ. И вот теперь снова тот же зловред в той же стране. И снова показывают пальцем на Иран как на вероятного организатора нападения.
Но при этом, и это очень типичная история для мира продвинутых и не очень кибератак, доказательств виновности Ирана либо нет, либо они по каким-то причинам не представлены широкой публике. Например, в истории известной атаки на Sony Pictures в официальную версию о виновности Северной Кореи поверили не все :), и вполне серьезных альтернативных версий было больше, чем одна. И теперь отнюдь не все согласны, что в атаке Shamoon виноват именно Иран. Некое ближневосточное издание, например, размышляет (ну или высасывает некую субстанцию из пальца), не могла ли последняя атака быть организована Израилем, чтобы стравить Иран и Саудовскую Аравию. Что же там случилось на самом деле мы вряд ли когда-то достоверно узнаем.
Крайне сложно назвать виновника кибернападения с высокой степенью достоверности. Доказательств после атаки обычно остаётся немного, и их сравнительно легко фальсифицировать. Ответ на вопрос: «Кто виноват?» в киберпреступлении найти очень сложно. Кстати, именно поэтому мы в своих исследованиях пальцем по показываем, из-за чего, бывает, расстраиваем журналистов, охочих до сенсаций. А что делать? Если говорить, что кто-то сделал что-то – для этого нужны железобетонные доказательства.
Лайнер Мечты. Перезагрузка.
Дальше новости будут всё больше железячные.
Что будет, если неделями не перезагружать компьютер? Обычный ответ: он будет тупить. А если не перезагружать современный пассажирский Боинг-787, то он может на какое-то (короткое) время стать неуправляемым. В связи с этим американское агентство гражданской авиации выпустило указание: Дримлайнер надо перезагружать раз в 3 недели. Потому что если все три управляющие модуля будут включены 22 дня подряд, они могут перезагрузиться одновременно, и пилот в этот момент рискует утратить контроль над самолетом.
Волноваться тут не о чем — я лично с удовольствием летал и буду летать 787-м. Но забавно смотреть, как компьютерная магия сменяет традиционную механическую. Если раньше первая мера по исправлению поломки была постучать ногой по колесу, теперь верный первый шаг – «выключи и включи, дай перезагрузиться», и все снова нормально работает. Только теперь в киберфизической реальности, где от стабильности компьютеров зависит реальная безопасность. Добро пожаловать в новый мир!
Будни немецких сталеваров
Тот печальный случай, когда новость уже не воспринимается как важная: хакеры из группировки Winnti взломали немецкого гиганта ТиссенКрупп и украли данные инженерного подразделения. Ещё одна большая компания в списке хакнутых. Не первая и не последняя, отмахнется читаталь. Но! Когда крадут секреты организации производства у больших индустриальных компаний, это вызывает дополнительную тревогу. Потому что, возможно, это подготовка к другим, более разрушительным кибератакам. К тому же в СМИ циркулировали слухи, что именно крупповскую домну взломали и сломали некие злодеи, причинив «очень серьезный физический ущерб». Крупп это отрицал и отрицает. Не уверен, что когда-нибудь подробности всей этой истории сделают публичными. Но даже по долетающим из Германии сигналам можно понять, что кибербезопасность – это очень серьезная проблема для тамошних сталеваров. И не только сталеваров.
Как обмануть умный счетчик
И ещё про железяки и их уязвимости. Производитель домашних солнечных панелей выпустил апдейт к своим счётчикам. Без него негодяи могут перехватить управление системой, всячески манипулировать ею, сообщать неверные данные о количестве поставленной энергии в общую сеть. И, да, куда без этого — вербовать панели в ботнеты для участия в DDoS-атаках. Сценарий «солнечные панели DDoS-ят камеры наблюдения, а те отстреливаются из домашних роутеров» всё ближе к воплощению в жизнь.
В чём заключается уязвимость? Дефолтный админский пароль на все устройства один, и его можно подсмотреть в видеоинструкции к этим панелям на ютюбе. Такая вот нехитрая дыра.
Не забудьте перезагрузить счётчик после установки обновления!
Интернет вредных вещей снова на сцене
Пришло письмо от нашего постоянного радиослушателя Степана Степановича из деревни Глубокое, в котором он просит рассказать об «Интернете Вещей». С удовольствием выполняю его просьбу.
Продолжается печальное шествие по миру ботнета Mirai, который уже отметился в истории самыми мощными DDoS-атаками. Его отличительная особенность — он вообще не заражает персональные компьютеры, серверы и прочие планшеты. Эта часть компьютерной инфраструктуры его не интересует. Он, как хороший стартап, ориентируется на новую реальность – Интернет Вещей. На этот раз из-за малвары без Интернета остался почти миллион клиентов компании Дойче Телеком в Германии — Мирай заразил и «окирпичил» их роутеры. Затем ровно таким же образом он поступил с 100 тысячами пользователей в Великобритании. Червь использует торчащий в интернет WAN-порт, по которому можно дистанционно управлять устройством вообще без всякой аутентификации. Сколько таких устройств в мире? Уязвимых моделей, как минимум, десятки. Читаешь такое, и хочется ущипнуть себя. Как такое вообще возможно? Чтобы вообще без аутентификации. Даже пароля «12345678» нет.
И невольно задумаешься, сколько же надо усилий, чтобы все эти зияющие дыры законопатить? А если копнуть поглубже — ведь вскроются дыры скрытые, но не менее серьёзные. В общем, совет молодым: выбирайте в качестве карьеры кибербезопасность, работы в этой сфере – непочатый край.
Вот такие ай-да-новости принесли нам сети. Надеюсь, что всем понравилось и все от души ужаснулись за успехи цифровых технологий и торжество их шествия по жизни человека. Дальше будут ещё рассказы, оставайтесь на связи!