20 апреля, 2017
Прогноз кибер-погоды 2017.
Так устроен homo sapiens, что ему постоянно и отчаянно хочется хоть одним глазком заглянуть за горизонт — увидеть какое будущее нам уготовано, как выглядит завтра? Да простится ему сие неразумное любопытство, поскольку homo sapiens «уготавливает» своё будущее сам, каждый божий день, своими собственными делами. Ну, если, конечно, не принимать в расчёт циклы Миланковича и другие силы природы :)
А по-научному заглянуть в будущее можно внимательно проанализировав настоящее. Это, кстати, относится и к кибербудущему, а особенно безопасности этого кибербудущего. Именно таким анализом мы занимаемся каждый год на киберслёте лучших секюрити-умов планеты — Security Analyst Summit (SAS):
Ой, не то. Вот:
Опс, вернее как-то так :)
В общем, каждый год я не перестаю удивляться как оно хорошо получилось и недоумеваю как это можно превзойти. И таки в следующий раз мы превосходим и улучшаем, делаем мероприятие «быстрее, выше, сильнее», привлекая всё больше экспертов по кибербезопасности и наглядно улучшая качество контента в том числе эксклюзивными материалами.
Вот о материалах сейчас и пойдёт речь. Предлагаю топ-5 на мой вкус самых-самых презентаций. Это не значит, что остальные были «соу-соу»: во-первых, все презентации, особенно происходящие в разных залах, посетить невозможно. А во-вторых, на вкус и цвет все фломастеры разные (c)
Ну, поехали!
1. Кое-что о безопасности банкоматов.
Производственный роман в исполнении С.Г. и И.С. о долгих днях и ночах расследований преступлений, связанных с кибер-грабежом банкоматов. Неспециалисту сложно представить, насколько эти коробочки с наличными уязвимы для мошенников с компьютерами. Что больше всего расстраивает — как-то за последние годы фирмы-производители, да и сами банки не особо озаботились решением этой проблемы, хотя масштаб краж в глобальном масштабе исчисляется миллиардами.
Вот один из способов как кибернегодяи потрошили банкоматы: в корпусе делается небольшое отверстие, через него через коннектор к шине присоединяется специальный девайс, который позволяет контролировать всё-всё, включая выдачу наличных. Такое возможно по причине отсутствия сколько-нибудь приличного шифрования и авторизации в системе. Впрочем, мы этот способ изучили и его уважаемые авторы и пользователи уже отбывают заслуженное наказание.
Долгие годы производители банкоматов боролись с физическими способами грабежа и вполне в этом преуспели. Что ж, пришло время задуматься о кибере тоже.
2. Пингвин в полнолуние.
Что мне особо понравилось на этом SAS’е — это обилие совместных исследований. Совместных — это разных секюрити-экспертов (иногда даже конкурентов), разработчиков, полицейских. На первый взгляд может показаться, что секюрити-индустрия — это этакий серпентарий, где каждый спит и видит как придушить ближнего своего, чтобы занять его рынок. На самом деле (и SAS тому подтверждение), эксперты прежде всего заботятся о безопасности пользователей. Не хватает своего ума — спроси коллегу, это не зазорно и даже поощряется. Видно, как в индустрии постепенно стираются национальные и корпоративные границы. И это очень радует: только будучи вместе мы сможем победить кибер-криминал, который уже «вместе».
Одно из таких совместных исследований на SAS было посвящено первой известной кибершпионской операции Moonlight Maze (1996) и её связи с современными кибератаками. Здесь мы работали вместе с Королевским колледжем Лондона.
Не буду грузить подробностями, да и не получится изложить историю «кратенько». Лучше читайте сами — не пожалеете. Исследование — просто готовый сценарий для блокбастера.
3. Большая Банковская Афера.
Ещё одно совместное исследование наших экспертов с BAE Systems и SWIFT. Помните прошлогоднюю историю с хищением $80+ млн. у ЦБ Бангладеша?
Мы начали копать этот случай и постепенно, шаг за шагом, накопали огромный пласт других киберпреступлений, принадлежащих той же группировке. Более того, мы вышли на вполне вероятный источник атаки: все улики указывают на Северную Корею! Однако это лишь наиболее вероятный вариант — 100% подтверить эту версию могут, наверное, только сами заказчик и исполнитель :( К тому же в истории остаются кое-какие нестыковки и двусмысленности, которые допускают вероятность «подставы». Если же это действительно дело рук северокорейской кибервоенщины, то, увы, надо признать, что они очень круты и мы сильно недооцениваем их способности и потенциал.
4. Белогривые лошадки.
Знаете сколько на чёрном рынке предлагают за уязвимость в iOS? Миллион долларов. Сколько стоят три такие уязвимости? Учитывая, что это штучный и весьма редкий товар, то не меньше трёх миллионов — оптовые скидки здесь не действуют. Шпионская программа Pegasus для ай-девайсов использует как раз три такие уязвимости, чтобы заползать для телефоны жертв.
Атака происходит следующим образом: на телефон приходит SMS со «вкусным» текстом и ссылкой на некий ресурс. Если туда кликнуть, то на Айфон через эксплоит загружается вредонос, который незаметно получает админские права и выполняет удалённые команды атакующего. Страшно? Расслабьтесь: во-первых, дыру в iOS уже пропатчили (чего и вам желаю как можно быстрее), а во-вторых, эта кибератака использовалась очень точечно, только против конкретных целей.
5. Угнать за 11 миллисекунд.
Что угнать? Зачем угнать? Почему так быстро?
Отвечаю по порядку: дрон, для прикола или наживы, вот такая безопасность у нынешних дронов. Вот видео насколько быстро и просто это происходит:
Дроны нынче сильно подешевели, завести себе такого питомца по карману многим, да и вложения быстро отбиваются за счёт заказных съёмок. Как часто случается, в пылу гонки вооружений и удешевления конечного продукта производители совсем забыли про безопасность. В большинстве современных дронов нет надежного шифрования каналов передачи данных, так что при помощи программно-определяемого радио и микрокомпьютера злоумышленник может за 11 миллисекунд перехватить управление. Ну, а что дальше — это на что фантазия горазда. Прикиньте, если от вашего лица этого дрона запустят в какой-нибудь режимный объект? Или сядут на толпу людей в центре города?
На самом деле это исследование интересно и показательно не столько из-за дрона как объекта атаки. Оно показывает уязвимости «умных» девайсов в целом. Всякие смарт-холодильники и микроволновки, роутеры, даже детские игрушки — эта многомиллиардная армия уже подключилась к Интернету, уже принимает команды и отдаёт отчёты. Только большинство из них — не только потенциально опасно для их владельцев из-за отсутствия простейшей безопасности, но и для всех окружающих тоже. Как говорится, «спички детям не игрушка».
На этом у меня всё. Позднее вы сможете посмотреть все (ну, почти все) презентации в записи на нашем YouTube-канале.