Аналитики в области информационной безопасности (ИБ) констатируют: киберпреступность сформировалась как бизнес, у которого есть и своя индустрия, и свой рынок. На этом рынке можно приобрести инструменты для взлома под разную квалификацию взломщиков, кстати, не так уж и дорого. По оценкам ведущего специалиста компании Check Point Software Technologies по ИБ Томера Теллера, любой желающий всего за 500 долл. может купить сегодня хакерский набор хорошей функциональности.
Компания StoneSoft предоставила нескольким российским журналистам и ИТ-специалистам возможность лично опробовать один из таких наборов в практике взлома. Сразу следует оговориться: это была лабораторная работа, и атаковали российские практиканты учебные ресурсы StoneSoft, на которых были развернуты серверы и средства защиты гипотетической компании по производству продуктов питания быстрого приготовления. Целью атаки был назначен рецепт фирменного бургера.
В распоряжении начинающих хакеров из России находилось следующее программное обеспечение двойного назначения: Nmap — утилита для исследования сети и проверки ее безопасности; Metasploit — утилита для создания и тестирования эксплойтов в системах обнаружения вторжений (IDS); John The Ripper — программа, предназначенная для восстановления паролей по хеш-суммам; netcat — утилита, позволяющая устанавливать TCP- и UDP-соединения, принимать и передавать данные по этим протоколам.
На основании опыта, полученного при выполнении этой увлекательной лабораторки, хочется сказать, что заявления о том, будто взломщиком может стать всякий желающий, подключенный к Интернету и обзаведшийся подходящим инструментарием, являются преувеличением. С таким же успехом можно утверждать, что любой человек с упомянутым оснащением способен стать специалистом по информационной безопасности. За отведенные для “взлома” три часа автору этой статьи удалось (и то с помощью наставника — руководителя отдела технических решений компании StoneSoft Дмитрия Ушакова) добраться только до файлов с паролями нескольких ключевых пользователей и администратора веб-сайта атакуемой компании.
Взлом, как и поиск уязвимостей (например, при проведении тестов на проникновение), помимо технических знаний всегда требует еще и чутья, трудно формализуемых экспертных знаний, которые накапливаются только опытным путем или передаются от учителя к ученику и использование которых сродни искусству.
Как выяснилось по окончании занятия, имея одинаковый набор инструментов, разделенные на несколько команд участники лабораторной работы шли разными путями, каждый из которых, как нам сообщили организаторы, мог привести к заданной цели. Ну а выбор пути каждая команда делала исходя из личного опыта.
Однако вывод, что взломщиком может стать далеко не всякий школьник, посещающий уроки информатики, никоим образом не должен никого успокаивать. Согласно данным, полученным компанией Check Point и институтом Ponemon Institute в ходе проведенных ими недавних исследований, самые разрушительные из современных киберугроз — целевые атаки (APT) — испытали на себе более трети участников исследования. Собранные одной только аналитической сетью Symantec Global Intelligence Network данные показывают, что в конце 2011 г. ежедневно регистрировалось больше восьмидесяти APT-атак. Это немало, особенно если учесть, что их организаторы зачастую стараются сохранять APT нераспознанными максимально долго.
Высокоэффективным способом проведения кибератак (в том числе и APT) в StoneSoft считают динамические техники обхода защиты (AET). По мнению ИБ-экспертов этой компании, если в атакуемой ИТ-инфраструктуре есть какая-либо уязвимость, то используя AET, ею практически всегда можно воспользоваться. Разработанный в StoneSoft программный инструмент Predator является средством доставки вредоносного кода через имеющиеся в защите дыры: атакующим нужно только узнать, какие уязвимости (хотя бы одна!) остались незакрытыми в ИБ-системе атакуемого; Predator можно заставить перебирать некоторый заданный набор уязвимостей до тех пор, пока не будет достигнута желаемая цель — заражение атакуемого.
Predator наглядно демонстрирует эффективность AET. Однако назначение его заключается не в этом. Данная утилита разработана для тестирования сетевых устройств на предмет поиска в них уязвимостей. Она реализует на нескольких уровнях сетевых протоколов постоянно пополняемый набор техник обхода, содержит эксплойты, которые, по мнению специалистов StoneSoft, на момент тестирования уже должны обнаруживаться и блокироваться сетевыми устройствами.
Когда участники лабораторной работы поинтересовались, почему среди инструментов взлома они не получили Predator, им ответили, что сделано это было по морально-этическим соображениям: Predator хоть и “хищник”, но агрессия его должна быть, по замыслу разработчиков, нацелена на защиту. К тому же если бы он оказался в руках практикантов, их задача сильно упростилась бы, поскольку в ИТ-системе гипотетической компании, объявленной мишенью атаки, были смоделированы как раз известные уязвимости, которые утилита быстро обнаружила бы.
По оценкам StoneSoft, ИБ-специалисты, в первую очередь ИБ-вендоры, не уделяют должного внимания AET-техникам, главной целью которых являются известные, но неисправленные уязвимости, что не может не сказываться на надежности защиты. Так, согласно результатам исследований, опубликованным центром по сетевым угрозам SANS Internet Storm Center, среднее время до заражения от известной, но неисправленной уязвимости ИТ-системы составляет 4—8 минут.
Кстати, Финляндия, где располагается штаб-квартира компании StoneSoft, по данным последнего отчета Microsoft Security Intelligence Report, на протяжении нескольких последних лет входит в число стран, лидирующих по низкому уровню компьютерных заражений, наряду с Австрией, Германией и Японией.