Киберпреступность пришла, чтобы остаться В наши дни большинство людей значительную часть своего времени проводят в Интернете. Этот виртуальный мир во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума , существует и в виртуальном мире. Растущий обмен информационными данными в Интернете и электронные платежи – это именно тот лакомый кусок, который более всего привлекает злоумышленников. Структура современной киберпреступности практически сформирована: уже существуют четко определённые взаимоотношения и бизнес-модели. Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози - первое, что приходит в голову. Однако современная киберпреступность – это не одна-две мафиозных организации во главе с Доктором No. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп. Например, отдельным лицам или группе лиц - владельцев ботсети, которая запускает DDoS атаки или распространяет спам, требуются адреса электронной почты. А у владельца ботсети есть знакомый, который готов раздобыть для него необходимые адреса и продать их. Такая бизнес-модель во многом отражает бизнес-модель законного бизнеса. Когда в регион приходит автомобильная компания, там появляются не зависящие от нее напрямую вспомогательные производства, такие как производство карбюраторов или болтов и гаек. Точно так же и связь между киберпреступниками может быть не организационной, а основанной на взаимной выгоде. Киберпреступность как бизнесСовременная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса Киберпреступность прибыльнаВажнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна! Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники.
Эти случаи – лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы – но без огласки. Результаты практически никогда не обнародуются. В диаграмме, взятой из отчета Института защиты информации в компьютерных системах, приведены причины, по которым организации предпочитают не сообщать о случаях компьютерного вторжения. Причины, по которым организации умалчивают об инцидентах с кражей данных:
Вторая причина роста киберпреступности как бизнеса – то, что успех дела не связан с большим риском. В реальном мире психологический аспект преступления предполагает наличие некоторых средств сдерживания. В виртуальном мире преступники не могут видеть своих жертв, будь то отдельные люди или целые организации, которые они выбрали для атаки. Грабить тех, кого ты не видишь, до кого не можешь дотянуться рукой, гораздо легче. Существует масса анонимных интернет-ресурсов, предлагающих все что угодно: от эксплуатации уязвимостей до троянских программ для построения ботнетов, а также готовые ботнеты «в аренду» (см. рис. 2 и 3). Уровень технической подготовки, необходимый для того чтобы запустить киберкриминальный бизнес, становится все ниже. Сейчас ботнетами вполне могут управлять недоучившиеся студенты и даже школьники. Киберпреступность использует возможности Web 2.0 Масса новых сервисов, доступных через интернет, и миллионы желающих этими сервисами пользоваться способствуют успеху киберпреступности. Области, наиболее уязвимые для атак:
У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии. В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки – задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль. Современные ботнетыСовременные ботнеты представляют собой управляемую сеть зараженных компьютеров, которая облегчает контроль за ботами и упрощает процесс незаконного сбора данных. Прибыль зависит как от числа жертв, так и от частоты, с которой требуются новые вредоносные программы. Чем дольше вредоносная программа «живет» в компьютере-жертве, тем больше денег зарабатывают хозяева зомби-сети. Технологии киберпреступниковСовременные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы. ДоставкаПервый шаг любого киберпреступления – доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) – это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов. Обеспечение работоспособности программыСледующая задача киберпреступников после доставки вредоносной программы – как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы. Первостепенная стратегическая задача, стоящая перед любым вирусописателем, – сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков. Во избежание обнаружения вредоносных программ вирусописатели широко используют технологию умышленного запутывания. Полиморфизм – одна из таких технологий, он был популярен в 90-х годах, но затем фактически исчез. Сегодня вирусописатели вернулись к полиморфизму, но они редко предпринимают попытки изменять код на компьютерах жертв. Вместо этого применяется так называемый «серверный полиморфизм» - изменение кода на веб-серверах с включением в него «пустых» инструкций, изменяющихся с течением времени, что существенно затрудняет обнаружение новых вредоносных программ, размещенных на веб-сервере. Атаки на антивирусное ПОДругая распространенная технология, используемая во вредоносных программах, - нарушение работы антивирусных программ для предотвращения обнаружения вредоносного ПО и продления его существования на компьютере. Такие действия часто направлены на прекращение обеспечения безопасности, удаление кода или модификацию хостовых файлов Windows для прекращения обновления антивирусных. Кроме того, вредоносные программы часто удаляют уже установленный вредоносный код, но отнюдь не в интересах пользователя, а лишь для того, чтобы подтвердить свое «право» на контроль над компьютером жертвы. Такое соперничество между вредоносными программами - говорит о неисчерпаемых возможностях вирусописателей и спонсирующих их преступников. Человеческий факторЛюбая система безопасности в конечном счете проверяется по тому, насколько эффективно работает ее самое слабое звено. В случае с IT-безопасностью самое слабое звено – пользователь. Поэтому технологии социальной инженерии являются ключевым элементом в процессе распространения вредоносных программ. Зачастую технические приемы очень просты: например, отправка ссылок по электронной почте или через службы мгновенного обмена сообщениями (IM) якобы от друга. Эти ссылки оформлены так, как будто по ним можно перейти к какому-то интересному ресурсу в интернете, хотя в действительности они ведут на зараженные веб-страницы. В наши дни электронные сообщения могут содержать скрипты, которые открывают зараженный вебсайт без всякого участия пользователя. Технология drive by download загружают вредоносную программу на компьютер таким образом, что даже грамотный и внимательный пользователь, который никогда не заходит на сайты по незапрошенным ссылкам, подвергается риску заражения. Упоминание актуальных событий включается в такого рода сообщения с молниеносной быстротой и оказывается удивительно эффективным. Основным способом заражения продолжает оставаться фишинг, несмотря на все меры, предпринимаемые банками и другими компаниями, занимающимися денежными переводами. Слишком много ничего не подозревающих пользователей еще могут поддаться на обман и зайти по ссылкам на интересные сайты или принять вполне официально выглядящие фальшивые сообщения за легитимные. От автораДля того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях. Я уже говорил ранее и повторяю опять, что помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательнопри нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер. И хотя я не верю, что нам удастся когда-либо положить конец киберпреступности, так же как не удается полностью победить преступность в физическом мире, у нас все-таки есть цель, к которой нужно стремиться: мы можем и должны сделать интернет более безопасным. Для этого нужны более широкомасштабные меры, чем те, о которых я уже упомянул, в них должны принимать участие не одна отдельная компания и не одно отдельное правительство. Нам нужно сообщество единомышленников, каждый из которых внес бы свою лепту в дело информационной безопасности, сообщество, которое может и обязательно добьется успеха. | ||||