автор: Евгений Касперский
29 сентября 2008
В наши дни большинство людей значительную часть своего времени проводят в Интернете. Сеть во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума, существует и в виртуальном мире. Растущий обмен информационными данными и электронные платежи — это именно тот лакомый кусок, который более всего привлекает злоумышленников. По словам экспертов, структура современной киберпреступности практически сформирована: уже существуют четко определенные взаимоотношения и бизнес-модели.
Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози — первое, что приходит в голову. Однако современная киберпреступность — это не одна-две мафиозных организации во главе с Доктором N. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп.
Например, отдельным лицам или группе лиц — владельцев ботсети, которая запускает DDoS-атаки (атака на сайт, которая блокирует его работу - ред.) или распространяет спам, требуются адреса электронной почты. А у владельца ботсети есть знакомый, который готов раздобыть для него необходимые адреса и продать их.
Такая бизнес-модель во многом отражает бизнес-модель законного бизнеса. Когда в регион приходит автомобильная компания, там появляются не зависящие от нее напрямую вспомогательные производства, такие как производство карбюраторов или болтов и гаек. Точно так же и связь между киберпреступниками может быть не организационной, а основанной на взаимной выгоде.
Киберпреступность как бизнес
Современная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса. Понимание механизмов работы Интернет-мошенников позволит лучше выстроить линию собственной сетевой защиты.
Важнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна. Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники. Вот самые яркие из них:
-
Декабрь 2007. Киберпреступники взломали компьютеры департамента энергетики Национальной лаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным, атаке подверглись также Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 тыс. номеров карт социального страхования и дат рождения посетителей ONRL за период с 1999 до 2004.
Эти случаи — лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы — но без огласки. Результаты практически никогда не обнародуются. Согласно отчету Института защиты информации в компьютерных системах, причины, по которым организации умалчивают об инцидентах с кражей данных, следующие:
- Нежелание негативной огласки 26%;
- Уверенность в том, что правоохранительные органы ничем не помогут 22%;
- Опасение, что конкуренты используют ситуацию в своих целях 14%;
- Решение проблемы в административном правовом порядке более эффективно 7%;
- Незнание того, что правоохранительные органы заинтересованы в этом вопросе 5%;
- Другое 29%.
Киберпреступность: минимальный риск и простота исполнения
Вторая причина роста киберпреступности как бизнеса — то, что успех дела не связан с большим риском. В реальном мире психологический аспект преступления предполагает наличие некоторых средств сдерживания. В виртуальном мире преступники не могут видеть своих жертв, будь то отдельные люди или целые организации, которые они выбрали для атаки. Грабить тех, кого ты не видишь, до кого не можешь дотянуться рукой, гораздо легче.
Существует масса анонимных Интернет-ресурсов, предлагающих все что угодно: от эксплуатации уязвимостей до троянских программ для построения ботнетов, а также готовые ботнеты "в аренду". Уровень технической подготовки, необходимый для того чтобы запустить киберкриминальный бизнес, становится все ниже. Сейчас ботнетами вполне могут управлять недоучившиеся студенты и даже школьники.
Масса новых сервисов, доступных через Интернет, и миллионы желающих этими сервисами пользоваться способствуют успеху киберпреступности. Есть целый ряд областей наиболее уязвимых для атак: Интернет-деньги и Интернет-банкинг, онлайн-игры, онлайн биржевые агентства, социальные сети, блоги, форумы, wiki-ресурсы, "MySpace", "YouTube" и многое другое.
Как реализуются атаки
У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты (компьютерные сети, зараженные вирусами и не подозревающие об этом, - ред.) для кражи паролей и конфиденциальной информации, проводят DoS-атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии.
В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки — задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль.
Современные ботнеты
Современные ботнеты представляют собой управляемую сеть зараженных компьютеров, которая облегчает контроль за ботами и упрощает процесс незаконного сбора данных. Прибыль зависит как от числа жертв, так и от частоты, с которой требуются новые вредоносные программы. Чем дольше вредоносная программа "живет" в компьютере-жертве, тем больше денег зарабатывают хозяева зомби-сети.
Технологии киберпреступников
Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы.
Доставка
Первый шаг любого киберпреступления — доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) — это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий "drive by download" при посещении пользователем инфицированных Интернет-сайтов.
Обеспечение работоспособности программы
Следующая задача киберпреступников после доставки вредоносной программы — как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить "срок службы" каждой части вредоносной программы.
Первостепенная стратегическая задача, стоящая перед любым вирусописателем, — сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она "выжила". Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков.
Атаки на антивирусное ПО
Другая распространенная технология, используемая во вредоносных программах, — нарушение работы антивирусных программ для предотвращения обнаружения вредоносного ПО и продления его существования на компьютере.
Такие действия часто направлены на прекращение обеспечения безопасности, удаление кода или модификацию хостовых файлов "Windows" для прекращения обновления антивирусных. Кроме того, вредоносные программы часто удаляют уже установленный вредоносный код, но отнюдь не в интересах пользователя, а лишь для того, чтобы подтвердить свое "право" на контроль над компьютером жертвы. Такое соперничество между вредоносными программами говорит о неисчерпаемых возможностях вирусописателей и спонсирующих их преступников.
Человеческий фактор
Любая система безопасности в конечном счете проверяется по тому, насколько эффективно работает ее самое слабое звено. В случае с IT-безопасностью самое слабое звено — пользователь. Поэтому технологии социальной инженерии являются ключевым элементом в процессе распространения вредоносных программ. Зачастую технические приемы очень просты: например, отправка ссылок по электронной почте или через службы мгновенного обмена сообщениями (IM) якобы от друга. Эти ссылки оформлены так, как будто по ним можно перейти к какому-то интересному ресурсу в Интернете, хотя в действительности они ведут на зараженные веб-страницы.
В наши дни электронные сообщения могут содержать скрипты, которые открывают зараженный вебсайт без всякого участия пользователя. Технология "drive by download" загружают вредоносную программу на компьютер таким образом, что даже грамотный и внимательный пользователь, который никогда не заходит на сайты по незапрошенным ссылкам, подвергается риску заражения. Упоминание актуальных событий включается в такого рода сообщения с молниеносной быстротой и оказывается удивительно эффективным.
Основным способом заражения продолжает оставаться фишинг, несмотря на все меры, предпринимаемые банками и другими компаниями, занимающимися денежными переводами. Слишком много ничего не подозревающих пользователей еще могут поддаться на обман и зайти по ссылкам на интересные сайты или принять вполне официально выглядящие фальшивые сообщения за легитимные.
От автора
Для того, чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях.
Помимо соответствующих стратегий защиты, успешная борьба с киберпреступностью требует совместных усилий. Должен действовать Интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в Интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер.
И хотя я не верю, что нам удастся когда-либо положить конец киберпреступности, так же как не удается полностью победить преступность в физическом мире, у нас все-таки есть цель, к которой нужно стремиться: мы можем и должны сделать Интернет более безопасным. Для этого нужны более широкомасштабные меры, чем те, о которых я уже упомянул, в них должны принимать участие не одна отдельная компания и не одно отдельное правительство. Нам нужно сообщество единомышленников, каждый из которых внес бы свою лепту в дело информационной безопасности, сообщество, которое может и обязательно добьется успеха.