Вторник, 12 декабря 2017

Екатеринбург: -21°

$ 58,84 Стоимость продажи доллара Официальный курс ЦБ РФ на 12.12.2017 € 69,30 Стоимость продажи евро Официальный курс ЦБ РФ на 12.12.2017
Brent 53,03$ Стоимость барреля нефти, в долларах. По данным Finam.ru Квартиры 66 134₽ Средняя стоимость одного квадратного метра на вторичном жилом рынке Екатеринбурга. Данные: Уральская палата недвижимости / upn.ru
Ключевая ставка: 8,25% По данным ЦБ РФ.

Вторник, 12 декабря 2017

Екатеринбург: -21°

$ 58,84 Стоимость продажи доллара Официальный курс ЦБ РФ на 12.12.2017 € 69,30 Стоимость продажи евро Официальный курс ЦБ РФ на 12.12.2017
Brent 53,03$ Стоимость барреля нефти, в долларах. По данным Finam.ru Квартиры 66 134₽ Средняя стоимость одного квадратного метра на вторичном жилом рынке Екатеринбурга. Данные: Уральская палата недвижимости / upn.ru
Ключевая ставка: 8,25% По данным ЦБ РФ.

Вторник, 12 декабря 2017

Екатеринбург: -21°

$ 58,84 Стоимость продажи доллара Официальный курс ЦБ РФ на 12.12.2017 € 69,30 Стоимость продажи евро Официальный курс ЦБ РФ на 12.12.2017
Brent 53,03$ Стоимость барреля нефти, в долларах. По данным Finam.ru Квартиры 66 134₽ Средняя стоимость одного квадратного метра на вторичном жилом рынке Екатеринбурга. Данные: Уральская палата недвижимости / upn.ru
Ключевая ставка: 8,25% По данным ЦБ РФ.

Интеллекция Андрея Суворова и Владимира Дащенко

Нет времени читать всё — прочитайте краткий конспект лекции.

Андрей Суворов, директор по развитию бизнеса безопасности критической инфраструктуры «Лаборатории Касперского»: Давайте представим, что мы являемся лидерами стран или владельцами компаний. Что думают эти люди, далёкие от IT и тем более от кибербезопасности, про то, насколько важен фактор киберрисков?

Это результаты опроса гостей Международного экономического форума в Давосе. Они оценили кибератаки примерно на том же уровне, что и традиционные атаки, межгосударственные конфликты и очень серьёзные кризисы.

«Лаборатория Касперского» работает с крупными компаниями; если пару-тройку лет назад мы должны были рассказывать членам совета директоров, какую опасность представляют киберугрозы для их бизнеса, то сегодня руководители сами говорит: «Не надо пугать, давайте думать, что можно сделать, чтобы обезопасить предприятие».

Это достаточно свежие данные об уязвимостях, которые наша компания нашла в разных платформах. Чем больше экосистема тех, кто работает с платформой, тем больше уязвимостей и больше вредоносных атак происходит на эту платформу. Mac OS по уровню роста превышает остальные платформы. Это происходит из-за того, что многие её пользователи — достаточно обеспеченные люди. Они принимают бизнес-решения, они проводят финансовые трансакции, и это делает Mac OS привлекательной платформой для атак.

В 1994 году вирус появлялся раз в час. Сегодня в нашей компании есть специальная команда, которая работает в три смены. Когда заканчивается смена в Китае, заступают на дежурство ребята в российском офисе; когда их смена подходит к концу, в Штатах выходит похожая команда. На сегодня ловится как минимум 300 тысяч вредоносных файлов в сутки. Большая часть из них обрабатывается автоматически; какая-то часть требует работы аналитиков; и очень небольшая, но самая серьёзная часть является предметом рассмотрения и последующей работы целой команды.

По отчётам аналитиков, за 2016 год объём потерь от киберпреступности исчисляется от 400 до 500 миллиардов долларов. Что такое 500 миллиардов? Очень крупный национальный проект со строительством дорог, стадионов, районов обходится в 50 миллиардов. Таким образом, за год мы теряем примерно 10 таких проектов. Вот насколько масштабна проблема киберугроз. И это вызов для тех, кто находится по эту сторону информационных технологий.

10-15 лет назад корпоративная инфраструктура была довольно простой. Сотрудники работали с тем, что им давали на рабочем месте, и связь была ограничена. Сегодня крупнейшие компании мира борются за то, чтобы их сотрудники имели свои личные устройства. Концепция «bring your own device» — это существенная экономия для компании. Но она приносит не только безусловную пользу, но и уязвимость.

Четыре года назад за кибератаками стояло малое количество людей. Сегодня многие атаки — это результат работы серьёзных групп, которые не ограничены в бюджетах. И происходит сращивание крупных групп с государствами, которые иногда стоят за такого рода атаками.

Существует термин APT — advanced persistent threat, сложная целевая кибератака. Persistent, «настойчивый» — одна из главных тонкостей этого термина. В мире кибервойн считается, что самая успешная сложная целевая атака — та, про которую вы не знаете. Например, на иранской ядерной станции два года не могли понять, почему у них не получается конечный продукт, обогащённый уран, хотя работали лучшие специалисты, и на экранах отображался правильный технологический процесс. Только через два года была обнаружена постоянная кибератака.

На этом слайде — атаки, которые ловятся современным хорошим программным обеспечением. 0,1% от этого составляют сложные целевые атаки, которые каждый раз раскрываются и ловятся как state of art, их нельзя автоматизировать. При этом атаки, которые составляют 1% от общего числа, наносят достаточно серьёзный ущерб. Так, атака вируса Carbanak стоила одной компании 1 миллиард долларов.

Владимир Дащенко, старший исследователь угроз в критической инфраструктуре «Лаборатории Касперского»: Слово Carbanak состоит из двух терминов. Первый — это аннунаки, легендарный мифический народ из шумерской мифологии; второй — это car, от знаменитого вируса Carberp. Это была сложная, дорогая атака, которая утащила много денег. Если раньше злоумышленники похищали деньги с кредитных карточек, то теперь они решили переключиться на банки, потому что там больше денег, больше трансакций. В ходе расследования мы смогли реконструировать действия злоумышленников. Это было так: молодой человек стоит рядом с банкоматом. Он ничего не делает, просто в какой-то момент забирает деньги, которые выдаёт банкомат. Он достаёт мобильный телефон и отправляет эсэмэску о том, что транш получен. После этого он получает ещё одну порцию денег. Фокус заключается в том, что злоумышленники держали под контролем не отдельные счета, а именно банкоматы, то есть вредоносное ПО контролировало сам процесс выдачи денег, что является некоторой новинкой в мире киберпреступности.

Андрей Суворов: Ещё одна интересная история — это история самой дорогой грамматической ошибки, только в данном случае со знаком плюс. Атака была спроектирована так, чтобы через систему международных платежей провести 35 поручений и таким образом похитить серьёзную сумму. Четыре поручения были исполнены, и в результате 81 миллион долларов растворился в системе биткоинов. А 31 поручение задержал сотрудник банка, который обнаружил грамматическую ошибку в слове foundation. Деньги были возвращены банку. К чему я это? Учите гуманитарные науки. Если вы технари, это пригодится.

Идём дальше: ransomware. Немногие слышали этот термин до 12 мая, когда был совершён кибернабег на планету Земля. Я говорю о вирусе WannaCry. Это была очень примитивная компьютерная атака, но при этом 300 тысяч компьютеров были инфицированы. Владимир Дащенко с первой минуты занимался тем, чтобы раскрыть эту историю и проинформировать наших пользователей о том, как жить с WannaCry.

Владимир Дащенко: Я работаю в группе защиты критических инфраструктур, и основными нашими пользователями являются промышленные предприятия. Вечером пятницы мы получили информацию о том, что идёт массированная атака. В первые же часы атаки мы подготовили срочный alert для наших пользователей. По карте видно, что это была атака не на конкретную компанию и не на конкретный промышленный или финансовый сектор; это была атака на планету Земля. Она распределена равномерно по всей планете, пострадали все континенты, кроме Антарктиды.

Эта атака наделала много шума, но с технической точки зрения она суперпримитивная. В ней нет ничего необычного. Просто пользователи, во-первых, не установили нужные обновления для операционной системы, которые были доступны задолго до этой атаки, и не обновляли антивирусные базы.

Андрей Суворов: Удивительно, но личной гигиеной не занимаются даже люди на заводах.Эти три компании — примеры. Для нас это был профессиональный шок. Если хакеры останавливают конвейеры, то что-то не так на заводе Dacia в Румынии и в других уважаемых компаниях. Это серьёзный пробел в базовой безопасности этих команд.

Мы живём в мире киберфизических систем. Современные заводы состоят из очень дорогих физических активов и систем промышленной автоматизации, которые связывают информационные технологии с турбинами, печами, конвейерами, цифровыми подстанциями. Раньше считалось, что вся эта конструкция — изолированная, а значит, если через забор нельзя перекинуть мешок с деталями, то защита есть. Но теперь мы живём в парадигме цифрового завода, когда есть связь между физическим миром и системами.

Классика жанра серьёзных кибератак — случай на Украине. Все эксперты, от регуляторов до экспертов нашей компании, сходятся в мысли, что это была попытка тестирования, но она привела к тому, что в одной стране в пяти областях на шесть часов полностью пропал свет.

«Лаборатория Касперского» тестирует серьёзные промышленные объекты, чтобы избежать подобных случаев. Мы называем это CTF — Capture The Flag. Это что-то вроде игры «Зарница», когда идёт битва между теми, кто хочет найти уязвимость в системе предприятия, и теми, кто его защищает.

Владимир Дащенко: Два года назад у нас появилась идея: почему бы не организовать такое соревнование. Мы готовим модель реального технологического процесса. В прошлом году это была система микрогрида: ГЭС, солнечная подстанция и два потребителя энергии — город и завод. Это изолированная система, которая способна существовать автономно, без централизованного электроснабжения.

В соревновании участвовали четыре команды. Все ребята не имели никакого опыта ни в электроэнергетике, ни в автоматизированных системах управления технологическими процессами. Это были обычные исследователи информационной безопасности или, как их ещё называют, белые хакеры.

Мы дали им несколько точек входа — wi-fi, промышленный модем — и сделали одну лазейку через интернет. Когда мы устраивали такие соревнований в первый раз, ребятам потребовалось всего лишь три часа, чтобы произвести атаку. В прошлом году, когда система была более распределённая, более интересная и более защищённая, ребятам потребовалось порядка десяти часов, чтобы пройти все уровни защиты, снять запирающие блоки и в конце атаки опустить заземляющий нож, что привело к короткому замыканию.

Во время этих соревнований мы тестировали своё защитное решение; мы смотрели, насколько хорошо оно может отлавливать действия на каждом этапе развития атаки.

Андрей Суворов: Мы ведём большое количество проектов, где важно обезопасить владельцев киберфизических систем от возможных действий, которые похожи на легитимные. То есть сама по себе команда может быть нормальной, например изменить уровень промежуточного хранилища вакуумного газойля. Но если эту команду выдать на систему, а на систему, которая контролирует параметры, подавать подменённые данные, это приведёт к отложенной атаке.

Посмотрим, что ждёт нас завтра. Довольно скоро у каждого из нас будет порядка 16 устройств, собирающих и передающих или принимающих информацию, связанную с нашей жизнью или деятельностью. Для нас, «Лаборатории Касперского», это означает, что уязвимостей станет больше. Как правило, новое устройство с новой функциональностью разрабатывается в погоне за рынком, а безопасность приходит чуть позже.

Владимир Дащенко: В прошлом году я и мой коллега начали изучать различные штуки, которые нас окружают. Например, платёжные терминалы — в одном аэропорту нам удалось сбежать из такого терминальчика. Удалось сбежать и из системы регистрации билетов в другом аэропорту.

В прошлом году мы с коллегой делали доклад на международной конференции DEFCON в Лас-Вегасе. За несколько часов до выступления мы решили потыкать один из терминалов в отеле, в котором мы жили. Удалось вызвать экранную клавиатуру, сбежать из киоска, выйти в интернет. Google грузится, всё замечательно. Нам стало интересно, с чем связаны эти терминалы, и мы выяснили, что все они, во-первых, находятся в одном сегменте сети, а во-вторых, там была забавная штукенция под названием TVCP1 — оказалось, что это гигантский телевизор 10 на 6 метров, который стоит над входом в отель на высоте 20 с чем-то метров. Теоретически этот терминал является довольно простой входной точкой для развития последующей атаки — и потенциальный злоумышленник вполне мог внезапно начать показывать котиков.

И снова аэропорты. В Кольцово мы обнаружили, что если в регистрационном терминале набрать шесть ноликов, то он выдаёт посадочный талон на несуществующий рейс — но в бизнес-класс. В другом международном аэропорту мы нашли компьютеры, которые позволяют выходить в интернет за деньги, но «сбежав» из киоска, мы выяснили, что можно выходить в интернет бесплатно. Сообщили разработчикам; они вроде как уже устранили эту уязвимость.

Есть и более интересные примеры «умных» вещей, которые нас окружают. Например, «умные» дороги. В Москве вдоль Ленинградского шоссе висят белые «таблетки» — это датчики движения, которые анализируют скорость и плотность потока, количество автомобилей. У них есть паттерные шаблоны, по которым они понимают, насколько загружена дорога, и в соответствии с этой информацией могут регулировать светофоры — делать зелёный свет подлиннее или покороче.
Мой коллега Денис Легезо провёл замечательное исследование на эту тему. Он научился получать данные с этих датчиков и более того — научился писать туда данные.

Я решил сделать следующий шаг. Мне удалось получить доступ к видеопотоку камер, которые регистрируют нарушения на дорогах. Допустим, вы у вас 700 лошадиных сил под капотом, и вы решили немножко прижать педаль газа. Но бдительная камера зафиксировала вас, сфотографировала ваш номерной знак, отправила в нужное место, и вам по почте пришло уведомление о том, что вы обязаны заплатить штраф. Мне стало интересно, можно ли дотянуться до таких камер. Оказалось, что да. К сожалению.

Андрей Суворов: Мы в «Лаборатории Касперского» мгновенно сообщаем о таких уязвимостях и помогаем их устранять. Но их всё ещё очень много, и работы у нас тоже много.

Кибербезопасность — это не дисциплина внутри отдела информационных технологий. Кибербезопасность — это задачи, которыми должны заниматься все жители планеты Земля. Уязвимо почти всё, от персональных устройств до крупных промышленных агрегатов, которые стоят сотни миллионов долларов.

Наш сайт собирает ваши метаданные (cookie, данные об IP-адресе и местоположении). Это нужно для его работы. Если вы против этого, то вам нужно покинуть сайт.

Принять и закрыть
×
×
Наверх^^