Статті

Эксперты заявляют об угрозе глобальных кибервойн

11 августа, 2014. 05:08 Олег Пилипенко
По мнению многих специалистов в области безопасности, третья мировая война будет проходить в киберпространстве. Однако такая война, конечно же, очень не похожа на обычную. Ее специфические особенности связаны, во-первых, со средствами нанесения ударов, во-вторых, с выявлением неприятеля (ведь кибервойны официально не объявляются, в отличие от обычных) и, собственно, с целями самой кибервойны. Ведь в результате кибератак не захватывают физически чужую территорию, не убивают солдат чужой армии, да и вообще – эффект такой войны, как правило, только временный.

Средства нанесения удара

Для ведения кибервойны злоумышленники располагают тремя действенными инструментами. Первое, что можно упомянуть: DDoS-атаки, цель которых сделать недоступными какие-либо веб-сайты или интернет-сервисы, как приватные, так и государственные. Но есть также еще два принципиально разных направления: хакерские атаки и атаки с помощью вредоносного ПО.

Хакерская атака — когда специально подготовленные специалисты (назовем их хакерами) изучают информационную систему (сайт, сервер, сеть), сканируют порты, ищут уязвимость, подбирают пароль, производят непосредственный взлом сети или сервера.

По словам Олега Сыча, руководителя антивирусного проекта «Zillya!», обычно такие атаки носят точечный характер. Их массовость возможна только в том случае, если есть ряд жертв с унифицированными (однотипными) системами, в которых хакеры нашли уязвимость и теперь готовы воспользоваться ею сразу на ряде серверов/систем.

Однако «хакнуть» подобным образом современный сервер, при условии, что его администрирует грамотный и ответственный специалист – задача очень сложная. Ведь правильно настроенный узел можно взломать только при помощи уязвимости самой операционной системы или системного программного обеспечения. И эта уязвимость должна быть новой, по возможности никому не известной (иначе она будет устранена), что бывает редко, а обнаружение ее стоит очень дорого.

Целью взлома сервера может быть похищение секретных данных, удаление служебной информации, размещение на сайтах госорганов или крупных приватных компаний провокативной информации.

«Отследить такого вида атаки вполне возможно, так как атакующая сторона в конечном итоге действует с какого-либо физического узла»,– отмечает Олег Сыч. – И даже если злоумышленник использует анонимные прокси-серверы – распутать такой клубок не очень сложно, особенно при поддержке правоохранительных органов страны, на территории которой расположен компьютер хакера».

Атаки, организованные троянскими программами, как правило, рассчитаны на массовость. Если есть хороший троян-бот, то можно инфицировать массу компьютеров, превратить их в «зомби», управлять ими, проводить с их помощью атаки на целевые ресурсы. Допустим, хакеры пытаются заразить 10 тысяч ПК, на 9 тысячах из них атаку удаётся отбить (там установлен хороший антивирус), а оставшаяся тысяча – это компьютеры, на которых нет защитного ПО. В результате эта тысяча ПК станет частью армии ботнетов, превратится в кибер-оружие (существует, правда, частный случай — внедрение специально разработанных троянов в критически важные промышленные сети, с целью выведения из строя какого-либо оборудования (речь идет о таких вирусах как Staxnet).

Методики выявления неприятеля

При помощи вышеописанных ботов-зомби хакер выполняет атаку на заказанные серверы. Отследить командный центр такого ботнета сложно. А даже если это и удастся – не факт, что поможет решить проблему, поскольку сервер может поменять своё местоположение (адрес) и снова будет управлять сетью зомби-ПК.

К сожалению, интернет действительно анонимен для тех, кто знает, как не оставлять следы. И, тем не менее, если получить контроль над одним из компьютеров, который контролируется трояном-ботом, и отслеживать его действия (анализировать к какому серверу он обращается за командами, какие обновления и команды получает), то можно отследить центр управления и потенциально даже хакеров в момент их работы с сервером.

«Сложность такого расследования в том, что для хакеров границ нет, а вот для правоохранительных органов они есть, – рассказывает Олег Сыч.– Злоумышленник, находясь, например, в России, может через VPN-туннель выходить в интернет-сегмент Великобритании, арендовать сервер в Бразилии, зарегистрировать домен в Украине на правах практически анонимности (так как при регистрации доменов реальность данных не проверяется никем) и, управляя ботнетом, заразившим множество компьютеров в США, проводить атаку на IT-ресурсы Германии».

Какова в этом случае будет видимая сторона: множество компьютеров из США атакуют Германию, получая команды с бразильского сервера с украинским доменным именем. Что тут указывает на местоположение самого хакера? Сколько запросов и взаимодействий необходимо выполнить правоохранительным органам разных стран, что бы распутать этот клубок максимально быстро? А ведь через 3 дня хакер может свернуть деятельность, замести следы и его уже не найдёшь.

Зачем ведут кибервойны?

Цель любой кибер-войны – влияние на информационное пространство противника. Речь идёт о перехвате и подмене информации, нейтрализации информационных источников (сайтов, СМИ, телевидения), блокировании сервисов, связанных с ИT-инфраструктурой страны (прежде всего, речь идёт о связи). Сама по себе кибервойна не даст возможность одной стране победить другую. Но нанести урон (финансовый), или замедлить какие-то процессы, посеять смуту, распространить дезинформацию, и тем самым выиграть время для действий на другом поле битвы (военном, экономическом) – вполне возможно.

Вспомним историю войны между Россией и Грузией 2008 года. За несколько дней до начала военных действий в Грузии по её IT-инфраструктуре был нанесён мощный хакерский удар, ослепивший и дезориентировавших некоторые службы. Атака привела к временному блокированию международных межбанковских платежей с Грузией в тот период и блокировке банкоматов по системе VISA. Само по себе это событие не очень страшное, но вместе с военными действиями оно привело к панике населения и деморализации (началась война, а банкоматы не работают и снять деньги нельзя).

Для противодействия кибератакам государство и частные компании должны уделять должное внимание информационной безопасности, как на образовательном, так и на сетевом уровне. Известно, что Эстония пережила кибернападение 2007 года намного более легко, чем Грузия годом позже, именно по той причине, что небольшая прибалтийская страна оказалась лучше подготовленной с точки зрения информационной защиты. Украина также должна уделить пристальное внимание безопасности в киберпространстве, тем более, что тревожные сигналы, побуждающие к решительным действиям, уже прозвучали этой весной.

Комментарии: