ITunes

«Храните деньги в почтовом ящике, и вы поймете, как данные лежат на серверах в интернете»

«Храните деньги в почтовом ящике, и вы поймете, как данные лежат на серверах в интернете»

На этой неделе были зафиксированы атаки вируса-шифровальщика Bad Rabbit на российские электронные СМИ, в результате чего некоторые из них были вынуждены приостановить работу на несколько часов. Кроме того, сообщалось о неудачных попытках заражений вирусом банковских инфраструктур. Помимо России, атакам подверглась Украина и другие страны. В эфире радио СОЛЬ специалист по кибербезопасности Андрей Масалович объяснил, почему в ближайшее время стоит готовиться к нашествию новых вирусов, а также дал советы по защите данных компаний.

Андрей Масалович — специалист по кибербезопасности

Общее впечатление — начинает воплощаться тезис Владимира Ильича Ленина, что каждая кухарка может написать троян. Троян Bad Rabbit состоит, условно говоря, из 3 частей. Атакующая часть взята из арсенала, который весной опубликовали WikiLeaks. Это арсенал кибероружия ЦРУ, ФБР и АНБ. Самая трудная часть трояна — атакующая головка, их пишут редко, их писать дорого. В данном случае хакеры получили царский подарок — им в руки попало кибероружие. Я думаю, подобных атак будет много. Так вот, первая часть взята из арсенала спецслужб США.

Вторая часть — доставщик. Сделан по-дурацки. Доставка в той версии, что я видел, делалась через обновление, по-моему, Adobe Flash. Его очень легко отлавливать и пресекать. Собственно, это помогло спасти банки от атаки. То есть второй волны атаки не последовало, когда изучили первую, этого хватило, чтобы ее фактически остановить.

Третий — шифрующий хвостик, сам вредонос. Его писали явно не суперпрофессионалы. Там куски кода взяты из предыдущего трояна под названием Petya. Но это не значит, что писали те же авторы. Может быть, другие разобрались в чужом коде как могли, вот и приставили. Но и с точки зрения модели атаки, и с точки зрения оформления монетизации сделано это не очень грамотно. Хакеры работали не очень высокого класса

То, что напали на информагентства и компании России и Украины, это либо из-за того, что предыдущие атаки были такие успешные, и [новые] сделали по подобию, либо из-за того, что у хакеров российские корни, они знают некоторую специфику региональную. Хотя ни за то, ни за другое не поручусь. Если резюмировать, мы видим одну из атак, не первую, но очень-очень не последнюю. В ближайший месяц число их будет измеряться десятками, потому что в руках у хакера появилось много таких опасных игрушек. Если сейчас правильным образом организуются те, кто стоит на стороне защиты, на стороне безопасности, то уже примерно понятно, как делать такие «трояновакцины». Можно придумывать, «добрые» трояны, которые бы бегали и заранее определяли уязвимые компьютеры.

Антивирусники хвастаются, что им хватает иногда 4 часов, иногда часа, чтобы сделать вакцину. Но вакцина сработает только на том компьютере, где стоит антивирус. А я бы эту вакцину делал с «ножками», чтобы ее можно было запускать снаружи. Чтобы, допустим, министерство проверило свои серверы, этот «добрый» троян нашел среди них уязвимые и в это же министерство наябедничал, что здесь вот админы мышей не ловят. Это какой-то новый взгляд на безопасность. В общем, надо массовую защиту сейчас делать совершенно по-другому. Антивирус — это история 10-летней давности. В прошлом десятилетии они выручали, сейчас не спасут.

Каждому участнику процесса нужно собрать все свои деньги, пойти и сложить их в почтовый ящик в подъезде и хранить их там. Проделав это денек-другой, вы поймете, что происходит сейчас с вашими компьютерами и данными. Данные нельзя хранить на компьютерах. Шифровальщик может зашифровать только то, что лежит на компьютере, соединенном с интернетом. По букве 8-го центра ФСБ, по защите гостайны, любой предмет за пределами контролируемой зоны мы считаем скомпрометированным. Считайте, что ваш компьютер или ваш сервер уже захвачен злоумышленниками. Это значит, что на нем не должно лежать ничего, кроме сегодняшнего сеанса. Все остальное надо хранить где-то не в интернете.

Должна появиться новая фирма [для борьбы с хакерскими атаками], должны появиться инвесторы, которые в это поверят. Потому что это другой взгляд. Антивирусники сами это делать не будут, потому что это угроза традиционному рынку. Сейчас должны появиться новые игроки, которые сделают принципиально новые средства безопасности, так сказать, «умных», «добрых» ботов, которые будут ходить по интернету, находить «больных» и «слабых» и делать им «прививку» до того, как к ним придет настоящий «злой» троян.

Последующих атак будет много. Сейчас народ дозревает до понимания, что каждая кухарка может собрать троян. Потому что самые сложные куски появились, которые сдерживали развитие этого рынка. А простых кусков можно надергать как из конструктора и попытаться их собрать. Условно говоря, если какой-нибудь старшеклассник решит сколотить хакерскую банду, то через год эта банда старшеклассников уже будет работоспособна. А теперь представьте, сколько по миру таких оболтусов-старшеклассников. Почему я употребляю термин «старшеклассник» — потому что хакеру-профессионалу есть чем заняться, он нормально зарабатывает, он решает точечные дорогие задачи. Он вот так по площадям не бьет, некоторые характерные ляпы не делает.

Не надо трястись, надо себе сказать: «Завтра мы будем атакованы. Что у нас произойдет?». На американском английском это называется action plan — план действий. И если об этом хоть раз подумать… Вообще головой думать прикольно. Если подумать головой, то станет понятно, что важные данные надо с компьютеров убрать в архивы. Архивы защитить от интернета. Важные данные надо продублировать на однократных носителях. Например, на CD-ROM стареньких, чтобы гарантировано архивы не терять. Текущие версии надо снабдить как минимум парой разных антивирусов с хорошим, быстрым обновлением. Нужно посадить молодого парня, который бы следил за вот этими тусовками, где это обсуждается — и со стороны защитников, типа Group-IB или Positive Technologies, и со стороны нападающих. Чтобы тусовались на тех форумах, где тусуются правонарушители, и видели зарождение атак.

Более того, если атака началась вчера, а ваш сервер еще цел, значит, есть время то, что не нужно — отключить, то, что нужно — сдублировать, то, что можно пролечить — пролечить, а также повесить в интернете вопросы типа «ребята, подскажите, что еще можно сделать?». У всех были как минимум часы на реакцию. Эту инструкцию каждый должен написать для себя.

В отчетах McAfee обычно фигурирует цифра — 15% компаний неадекватно относятся к защите своих данных. В отчетах InfoWatch фигурируют другие цифры — данные порядка 2% компаний реально защищены. Я больше доверяю InfoWatch. Еще раз — возьмите 5 тысяч рублей, положите их в почтовый ящик. Он же ведь закрыт у вас, подъезд тоже закрыт, видеокамера есть — все безопасно. Просто подержите деньги в почтовом ящике. Вы поймете, что происходит, когда у вас данные лежат на серверах в интернете.

Не учи отца!

Понравилась статья? Поделись с друзьями!

comments powered by HyperComments