Сколько стоит взломать страну?

В Москве показали техники взлома банкоматов, систем онлайн-банкинга, сетей операторов сотовой связи, транспорта и промышленных предприятий
02 июня 2015, в 15:25
OW Debug — Notice
Message: Undefined variable: end
File: /var/www/mryabchenko/data/www/testing.i-business.ru/ow_smarty/plugin/modifier.cbaselink.php
Line: 95

Люди привыкли к цифровым устройствам, не подозревая об их скрытой функциональности. Оптимисты доверяют им все свои деньги, конфиденциальные сведения и даже жизни. И лишь редкие специалисты понимают, как это опасно. Наше «цифровое общество» слабо и беззащитно перед растущими угрозами. Особенно уязвимы устройства, подключенные к интернету и сетям мобильной связи. Но их упрямо встраивают в самую разную технику — от кассовых аппаратов до автомобилей, и проблем становится все больше.

Эти факты подтвердили на прошедшем в Москве V международном форуме по практической безопасности Positive Hack Days, организованном компанией Positive Technologies. Здесь подробно обсудили сложившуюся ситуацию. Многие уверены, что она вышла из-под контроля. Шпионские закладки, подменяющие информацию, могут быть повсюду — в смартфонах и банковских серверах, в прошивках домашних роутеров и флешек, в банкоматах и бортовых компьютерах транспортных средств.

Где могут обчистить ваши карманы

1. Мобильная связь. Ущерб от кибератак измеряется миллиардами долларов, но цена каждого отдельного взлома невелика. По данным Positive Technologies, любой желающий, потратив на оборудование меньше $10 тыс., может удаленно получить доступ к чужой SIM-карте — а значит, и к трафику абонента, SMS, его звонкам и данным о местоположении. Злоумышленники могут подключаться и прямо к базовым станциям операторов сотовой связи. Стоимость доступа к терабайтам конфиденциальной информации — около $1 тыс., для этого требуется только компьютер и сеть SS7.

2. Банкоматы. Не менее проблемной сферой остаются корпоративные информационные и банковские системы. По итогам 2014 года наиболее распространенными уязвимостями в сетевом периметре являются: интерфейсы управления оборудованием, доступные любому пользователю интернета (93%), слабые пароли (87%), открытые протоколы передачи данных (80%) и баги в ПО (67%), то есть ошибки программистов. Россия занимает второе место в мире (после Пакистана) по числу банкоматов, которые можно обнаружить с помощью специальных поисковых систем и дистанционно перепрограммировать, используя небезопасные протоколы и многочисленные уязвимости в ОС Windows XP, чаще всего установленной на таких устройствах. В одном банкомате может оказаться более 10 млн рублей, а затраты на его взлом могут сводиться к покупке Raspberry Pi за $60.

3. Веб-приложения ДБО. На форуме сообщили об исследовании 28 систем дистанционного банковского обслуживания, выявившем, что 78% из них содержат уязвимости высокого уровня риска. Большая часть из них связана с ошибками реализации механизмов защиты, кодирования приложений и недостатками конфигурации. Доли уязвимых клиентских мобильных приложений, необходимых для доступа к вашему счету, — около 70% для Android и 50% для iOS.

Для большей убедительности факты исследований подтверждались на форуме практикой. Эксперты по кибербезопасности со всего мира продемонстрировали различные техники взлома банкоматов, цифровых электроподстанций, систем онлайн-банкинга, сетей операторов сотовой связи, информационных систем транспорта и промышленных предприятий.

Дело в шляпе

Эксперты сходятся во мнении, что для полноценной работы в сфере информационной безопасности необходимо срочное создание правового международного сообщества «белых шляп», действия которых юридически не будут расцениваться как угрозы.

«Белыми шляпами» в сфере ИБ называют экспертов, которые ищут уязвимые места в компьютерных системах, чтобы узнать, как защитить их от взлома. Исследуя в интернете различные системы безопасности, испытывая их на проникновение извне, они выполняют действия, аналогичные действиям мошенников, похищающим деньги. С правовой точки зрения, суд может причислить к атакующим всех подряд — хакеров, кракеров, фрикеров, «черных шляп» и «белых шляп», вне зависимости от мотивов взлома в каждом конкретном случае. Поэтому организаторы ведущих профильных конференций из разных стран мира предлагают провести четкую правовую грань между «белыми шляпами» и преступниками, между исследователями и мошенниками. Экспертов уже сейчас не хватает, а без либерализации законодательства их может стать еще меньше.

Дешево — значит ненадежно

Уитфилд Диффи — один из самых известных американских криптографов, получивший мировую славу после создания концепции криптографической системы с открытым ключом. По видеомосту он участвовал в московском форуме и поделился с российским ИБ-сообществом своим видением будущего сферы информационной безопасности. По мнению Диффи, проблема ИБ решается очень просто — полноценным финансированием. «Мы могли уже сейчас строить настоящие цифровые крепости и поднять методы защиты информации на новую высоту, если бы на оборону тратили столько же денег, сколько на нападение. Необходимо учиться расставлять приоритеты, ведь безопасность — это платформа, на которой мы возводим наше современное общество», — сказал эксперт.

На словах все просто. Но на деле многие бизнес-модели в сфере интернет-услуг рентабельны только при условии использования относительно простых и дешевых цифровых устройств. Чтобы сделать эти бизнес-модели безопасными, пришлось бы полностью заменить все оборудование на многократно более дорогое — как у компаний-провайдеров, так и у клиентов.

Звездные войны?

Потенциально уязвима любая техника, управляемая по радио, — от Wi-Fi-игрушек до космических аппаратов. Падение межпланетной станции «Фобос-Грунт» по одной из версий связывают с внешним воздействием. «Заглушить любые сигналы между центром управления и космическим аппаратом — вполне реальная задача, причем все необходимое оборудование можно приобрести на любом радиорынке, за исключением разве что антенны: ее придется сделать самостоятельно», — отметил радиолюбитель Дмитрий Пашков. Электронные компоненты для создания сложных приемников и передатчиков общедоступны даже для частных лиц, не говоря уже о компаниях и госорганизациях всего мира. Сам молодой ученый с помощью самодельной аппаратуры недавно смог получить снимок солнечного затмения, транслируемый спутником Роскосмоса «Метеор-М2».

Телефонные мошенники

Чтобы защитить бизнес от хакеров, использующих психологические методы, нужно всерьез обучать всех сотрудников — так считает Крис Хаднаги, основатель первой в мире тематической интернет-площадки Social-engineer.org. Каждый год его команда проводит конкурс, участники которого стараются узнать по телефону конфиденциальную корпоративную информацию. Выяснилось, что с помощью «социальной инженерии» (то есть обмана по телефону) можно получить нужные сведения у 95% сотрудников крупных компаний по всему миру.

Главная проблема ИБ — не в плохих компьютерах, а в недостатке образования их пользователей. «Основная уязвимость корпоративных информационных систем — это человеческий фактор», — сообщил Крис участникам форума. Он привел пример из своей практики, как защититься от подобного рода атак: «В одной из компаний на корпоративном сайте каждое утро стали размещать изображение с «цветом дня». В случае когда злоумышленник выдавал себя за сотрудника IT– или HR-отдела с целью выяснить конфиденциальную информацию, работнику достаточно было вежливо поинтересоваться сегодняшним «цветом дня». Мы используем пропуска для входа в офис, но своеобразные пропуска должны быть и у других каналов доступа, в этом нет ничего плохого».

Инвестиции в стартапы

В открытом конкурсе инвестиционного фонда Almaz Capital среди стартап-проектов в области ИБ приняли участие 18 команд. На форуме объявили победителя — команду разработчиков сервиса для проверки подлинности документов, фотографий и видеозаписей, используемых в бизнесе. Среди других интересных решений стоит выделить проект банковской системы для финансовых микроопераций, а также ряд программ для выявления и устранения подозрительной активности на мобильном устройстве и в корпоративных сетях.

В этом году форум Positive Hack Days посетили более 3500 специалистов, что сравнимо с ведущими мировыми хакерскими конференциями.

Текст подготовила Екатерина Гордеева.

Комментарии

Вы должны зарегистрироваться или войти под своим аккаунтом, чтобы написать комментарий
Без комментариев

Также читайте

На заметку

Компании стали серьезнее относиться к вопросам этики

Дело техники

Для отслеживания интернет-трафика стоит использовать сразу несколько решений

Стоит знать

Как продать спонсорство мероприятия

Есть мнение

Тренды современного общества, которые превращают жизнь в ад
OW Debug — Notice
Message: Undefined index: knowledge
File: /var/www/mryabchenko/data/www/testing.i-business.ru/ow_smarty/template_c/%%4646A^46AEB85D%%general.html.php
Line: 382