ОПЫТ

ANONYM@RBCMAIL.RU

Этот вопрос, заданный мне одним журналистом, заставил меня задуматься. Неужели люди, пишущие об ИТ-преступности, считают, что преступность в области высоких технологий отличается от другой криминальной активности? И что хакеры нарушают закон из альтруистических побуждений?

Оставив в стороне голливудские сюжеты о взломе военных систем и угоне космических кораблей через Интернет, обратимся к тем областям компьютерных преступлений, уровень распространенности которых можно назвать промышленным.

Каждый сталкивался с ситуациями, когда программа "выполнила недопустимую операцию" или операционная система без особых причин отказывалась загружаться. Большинство пользователей привычно ругнется на Microsoft (или другого производителя) и позвонит в службу технической поддержки. Администратор сети устранит проблему или, возможно, объяснит сотруднику, какие действия ведут к появлению ошибки. После чего инцидент будет забыт как малосущественный.

Однако некоторые люди пойдут дальше и попытаются установить причину некорректного поведения системы. Довольно часто это приводит к обнаружению уязвимости, связанной с безопасностью системы. После достижения определенного уровня знаний и опыта работы с сетями такие ситуации начинают возникать сами по себе. Однако существуют группы специалистов (BUGTRAQers), целенаправленно ищущие уязвимости в системах. Нередко они работают в компаниях, специализирующихся на компьютерной безопасности.

В настоящее время методы поиска типичных уязвимостей в компьютерных системах недостаточно формализованы и предполагают значительные затраты ручного труда высококвалифицированных специалистов, хотя работы по автоматизации поиска уязвимостей ведутся постоянно и идентификация некоторых классов уязвимостей уже с большой степенью достоверности может быть проведена с помощью специализированных утилит [].

Уязвимость может быть найдена в любой системе, если искать целенаправленно. Заявление о том, что на 1000 строк кода приходится от 5 до 15 ошибок, еще никто не опроверг []. Несмотря на слабую формализацию методов поиска уязвимостей, методы их эксплуатации сегодня неплохо изучены, что позволяет человеку, поверхностно знакомому с предметом, довольно быстро собрать из готовых компонентов exploit [] для обнаруженной уязвимости []. Имеются и готовые продукты, подобные Metasploit Framework (www.securitylab.ru/47497.html), облегчающие разработку таких программ. Если за дело берется профессионал, то между получением сообщения "Программа выполнила недопустимую операцию" или "Segmentation fault" и появлением работоспособного PoC проходит около получаса.

И в этот момент возникает вопрос: что делать с обнаруженной уязвимостью? Вариантов на самом деле немного. Можно связаться с производителем и долго пытаться объяснить ему суть и потенциальную опасность уязвимости. Можно опубликовать ее в соответствии с одной из принятых политик разглашения []. Наконец, можно просто принять наличие уязвимости к сведению и никому ничего не рассказывать.

Однако очень часто возникает соблазн продать информацию об уязвимости третьей стороне. В большинстве своем производители не покупают данные об ошибках в собственных продуктах в буквальном смысле этого слова, предоставляя лицу, обнаружившему проблему, менее осязаемые бонусы. Однако есть ряд компаний-посредников, скупающих информацию об уязвимостях в различных системах.

Для человека, нашедшего уязвимость, преимущества последнего подхода очевидны: он получает вознаграждение за свою работу, ему приходится взаимодействовать не с разработчиками, а с экспертами в области безопасности из компании-посредника, зачастую он может сохранить за собой право публикации информации об уязвимости. У данного подхода только один недостаток - обычно компенсации, предлагаемые компаниями-посредниками, невелики.

От редакции

Материал, предлагаемый читателю, посвящен экономике хакерства и рынку уязвимостей и написан человеком, знающим эту предметную область изнутри. По понятным причинам автор статьи не пожелал раскрывать свое имя.

Уровень компетентности автора не вызывает сомнения у редакции, однако специфичность темы и наличие в тексте профессиональных "хакерских" терминов требовали внешней экспертизы и подтверждения достоверности изложенного. В качестве эксперта редакция привлекла Сергея Гордейчика, преподавателя УЦ "Информзащита", MCSE, MCT, CISSP. Его комментарии помещены в конце статьи.

Но есть и еще один путь. Человек, обнаруживший уязвимость, может зайти на подходящий форум в Интернете и оставить сообщение примерно следующего содержания: "Выполнение произвольного кода в Internet Explorer, XP SP2 и ниже. На продажу". Именно с этого момента он становится "хакером" []. Покупатель обычно не заставляет себя долго ждать.

Расценки "на дыру" колеблются в зависимости от продукта и характера уязвимости. В большинстве случаев уязвимость, приводящая к удаленному выполнению кода, стоит в районе $1000. Если проблема затрагивает недавно выпущенные продукты (такие, как Service Pack 2 для Windows XP), стоимость возрастает в полтора раза. Это в два-три раза выше, чем у легальных компаний-посредников. Кроме того, при продаже уязвимости на черный рынок хакер не связан моральными обязательствами и может продать ее нескольким покупателям одновременно.

После этого уязвимость идет в разработку. Первые и самые денежные клиенты - это кардеры []. По стилю работы их можно условно разбить на виртуальных и реальных. Многие мошенники не занимаются работой с реальными карточками, они тем или иным способом добывают информацию о карточке, достаточную для проведения операций через Интернет, а потом проводят массовые покупки различных товаров. Затем эти товары перепродаются и полученные деньги после соответствующей отмывки поступают взломщикам.

Это только один из способов мошенничества. Возможны варианты, когда для получения наличных денег используются системы online banking, обеспечивающие прямой доступ к текущему счету клиента и перевод с него денег. В дальнейшем масса переводов на небольшие суммы сливается вместе и обналичивается доверенными лицами.

Более серьезными операциями занимаются мошенники, получающие полную информацию о пластиковых карточках. Эта информация позволяет скопировать карточку и использовать ее параллельно оригиналу.

Зачем кардерам уязвимости? Для двух основных целей - получения информации о кредитных карточках и сокрытия своих действий.

Наличие уязвимости в Интернет-магазине зачастую открывает доступ к истории покупок, что дает возможность узнать номер карточки и информацию о ее владельце. Получив доступ к клиентскому компьютеру, специализированная троянская программа может собирать информацию о действиях ее владельца, сохранять нажатия клавиш, копии экрана браузера и других программ и пересылаться мошеннику.

Поскольку подобная деятельность большинством уголовных кодексов рассматривается как преступление, кардеры используют для своей работы специализированные компьютеры. Причем основной выделенный сервер обычно закупается почти легально, с помощью одной из украденных карточек, а дополнительные socks [] получают путем взлома. Эти машины служат посредниками между компьютером мошенника и основным сервером, а также между основным сервером и системой, с которой злоумышленник работает в настоящий момент. Выстраиваемая таким образом цепочка из нескольких компьютеров, нередко разбросанных по разным странам, позволяет сохранять высокую степень анонимности.

Подобной техникой владеют и рыбари []. Их цель - различные системы платежей через Интернет или те же пластиковые карточки. В данном виде мошенничества либо клиенту предлагается зайти на поддельный сервер платежной системы, либо используется уязвимость в Web-интерфейсе системы для "доработки" сервера таким образом, чтобы данные, необходимые для аутентификации, попадали мошенникам. Очень часто для этого применяются различные троянские программы, собирающие информацию о работе пользователя с той или иной платежной системой.

Причем взлом клиентов и серверов может происходить в связке. Например, после взлома популярного Web-сервера злоумышленник устанавливает на него дроппер [] для троянской программы. После того как клиент посещает сервер, ему автоматически устанавливается троянская программа, осуществляющая мониторинг его действий. Часто этот подход используется для мошенничества с платными звонками, когда атакуемый компьютер перенастраивается на дозвон к определенному платному номеру, прибыль с которого получает мошенник.

После одной или нескольких мошеннических операций работать как с закупленными, так и взломанными дедиками [] становится опасно, и они перепродаются следующей группе - спамерам. С одной стороны, рассылка спама является менее прибыльным бизнесом, чем мошенничество с пластиковыми карточками и платежными системами, но с другой - в большинстве стран она не является уголовно наказуемым деянием.

Современные технологии рассылки спама используют специализированное ПО, позволяющее распределять нагрузку между несколькими серверами и генерировать сообщения, обходящие различные фильтры против спама. В качестве узлов подобного кластера зачастую задействуются выделенные серверы, закупленные у кардеров. Однако если бы рассылка проводилась непосредственно с выделенных серверов, это быстро привело бы к занесению их в черные списки и, как следствие, невозможности дальнейшего применения.

Поэтому на рынке присутствуют базы данных socks-серверов, обновляющиеся практически в режиме реального времени []. Часто в эти базы попадают машины, уже задействованные в мошеннических операциях. Параллельно ведется активный взлом новых машин для использования в качестве посредников.

Индустрия спама гораздо быстрее, чем индустрия ИТ, перешла на продажу услуг и аутсорсинг. Большинство продавцов socks и выделенных серверов продают не просто IP-адреса взломанных машин, а подписку на определенное количество машин с заданными характеристиками. Также работает служба технической поддержки, система возврата денег в случаях технических сбоев. Многие продавцы предлагают (по более высоким ценам) машины, гарантированно не включенные в черные списки распространителей спама.

То же относится и к выделенным серверам, рассылающим спам. Зачастую продается не просто машина или ПО для массовой рассылки почты, а "учетная запись в кластере", которая предоставляет доступ к специализированному ПО, осуществляющему предобработку и рассылку почтовых сообщений. Причем применяемая grid-технология позволяет практически неограниченно повышать производительность, используя несколько выделенных систем и динамически распределяя нагрузку между ними. В зависимости от требований заказчика предоставляется различное количество воркеров [], а также необходимое для рассылки количество socks-серверов.

Стоимость аренды выделенного сервера, побывавшего в руках кардеров, колеблется в районе 100 долл. в месяц. Серверы, пока еще не участвовавшие в мошеннических операциях, стоят в два - два с половиной раза дороже. Взломанные компьютеры с серверами socks стоят около десяти центов за штуку, причем продается обычно не статический список, а постоянно обновляемая информация, учитывающая отключение, заражение новых. Машины, которые прошли предварительную проверку на отсутствие в черных списках распространителей спама, стоят в два раза дороже.

Минимальный тариф [] подключения к "кластерной системе для массовых рассылок Reactor Mailer компании Elphisoft" - $500 в месяц. Если вы не хотите самостоятельно заниматься поиском socks-серверов, сумма увеличивается до 700 долл.

В последнее время часто стали появляться предложения по рассылке спама в сетях GSM. Стоимость рассылки SMS на 10 000 номеров составляет около $250. Однако пока этот сервис не приобрел промышленных масштабов [].

Спамеры очень тесно связаны с кардерами. Во-первых, они используют схожие технологии и ресурсы, а во-вторых, осуществление некоторых операций кардеров, например фишинга или установки троянских программ, требует массовой рассылки электронной почты.

После того как socks-серверы и выделенные компьютеры стали непригодны для рассылки спама, они поступают на рынок DDoS []. Люди, занимающиеся DdoS, по сути - сетевые рэкетиры. Периодически они демонстрируют свои возможности, подвергая атаке выбранную систему, после чего приступают к шантажу. Обычно они выбирают для своих атак те компании, бизнес которых тесно связан с доступностью их ресурсов в Интернете. В случае, если компания не поддается шантажу, атаки продолжаются. Учитывая, что в распоряжении атакующих практически неограниченные ресурсы Интернета [], вторая атака заставляет шантажируемого либо заплатить деньги, либо прекратить свой бизнес. Обычно лица, осуществляющие атаки, не связаны непосредственно с шантажистами, а предоставляют сервис по выведению систем из строя по заказу.

Можно назвать следующие продукты и услуги, широко представленные на рынке:

- поиск и разработка методов использования уязвимостей в системах;

- разработка ПО для взлома систем, червей и троянских программ;

- взлом систем для сбора специфической информации (номеров пластиковых карточек, данных аутентификации в платежных системах и т. д.);

- взлом серверов и клиентских машин для установки socks-серверов и специализированного ПО;

- разработка специализированного ПО для рассылки спама и осуществления DDoS-атак.

Кроме того, широко развит рынок взлома защиты от несанкционированного копирования и использования различных программ. Здесь особый спрос на средства обхода защиты специализированных программных пакетов, применяемых в промышленности, и различных программно-аппаратных комплексов защиты.

Комментарии эксперта

1. Так, сканеры уязвимостей XSpider компании Positive Technologies (www.ptsecurity.ru) и WebInspect компании SPI Dynamics Inc. (www.spidynamics.com) довольно уверенно обнаруживают уязвимости Cross-Site Scripting (XSS) и SQL Injection в неизвестных разработчикам сканеров Web-приложениях.

2. Недавно опубликованы результаты курса "Unix Security Holes", проводимого Д. Бернстайном в University of Illinois at Chicago (http://cr.yp.to/2004-494.html). Для сдачи выпускного экзамена каждому из слушателей необходимо было найти и описать методы эксплуатации десяти уязвимостей в операционной системе UNIX или ПО для данной платформы. В результате группа из 25 студентов обнаружила и опубликовала 44 новые уязвимости (www.security.nnov.ru/search/document.asp?docid=7361), что, несомненно, является неплохим результатом, однако недостаточным для получения зачета.

3. Термин exploit служит для обозначения программы, которая позволяет тем, кто не обладает специальными знаниями, использовать (эксплуатировать) уязвимость. Часто встречаемое сокращение PoC (Proof of Concept), означает по сути то же самое.

4. Вполне соответствует действительности. Не так давно в процессе проведения теста на проникновение мною был за несколько часов собран с помощью поисковой системы Google готовый PoC для новой уязвимости. И это несмотря на то, что отладчик ассемблера я не видел уже несколько лет.

5. В настоящий момент существует несколько политик разглашения. По роли они близки к моральным кодексам и в той же степени обязательны. Из них наиболее распространена RFPolicy (www.wiretrip.net/rfp/policy.html), предполагающая, что любая обнаруженная уязвимость должна быть обнародована после взаимодействия с автором.

6. Понятие "хакер", несмотря на его однозначную трактовку в средствах массовой информации, включает в себя не только нарушителей. В данном контексте больше бы подошел термин "black hat hacker", или устоявшийся русский вариант - злоумышленник.

7. Группы злоумышленников, занимающиеся мошенничеством с пластиковыми карточками.

8. Серверы-посредники (proxy), реализующие протокол Socks и не ведущие журналы обращений. Очень часто после взлома в системе устанавливается сервер Proxy, позволяющий в дальнейшем использовать ее для скрытия адреса злоумышленника.

9. Видимо, имеется в виду "фишинг" (phishing). Слово происходит от английского fishing (рыбалка) и обозначает мошенничество с использованием социотехники, заставляющее пользователя самостоятельно передавать конфиденциальную информацию злоумышленнику. Этот вид мошенничества известен довольно давно (ложные письма от службы технической поддержки и т. д.), но только в последние два года приобрел промышленный масштаб.

10. Специализированный код, по сути exploit, который ведет к получению повышенных привилегий в системе, после чего производит ряд автоматизированных действий, например установку троянской программы. От английского to drop - бросать, вбрасывать.

11. Выделенные серверы, постоянно подключенные к Интернету, через которые осуществляются мошеннические операции. От английского dedicated - выделенный.

12. Такая скорость сменных посредников обуславливается необходимостью обхода систем защиты от спама. Современные проактивные фильтры довольно быстро заносят в черный список адрес машины, с которой производится рассылка, и перестают принимать сообщения от нее. В последнее время начали встречаться специализированные серверы-посредники socks, совмещенные с exploit и работающие только до перезагрузки машины.

13. Копии программ, рассылающих спам. Процессы могут работать на одном или нескольких выделенных серверах.

14. В случае подключения по этому тарифному плану спамер получает возможность рассылать около 500-900 тыс. писем в час. Если такая скорость рассылки не устраивает клиента, к его услугам другие тарифные планы, повышающие скорость рассылки пропорционально количеству задействованных машин.

15. Большинство рассылок спама через SMS осуществляется с помощью взлома различных Web-интерфейсов или систем online-рассылки сообщений. Еще одно направление - подключение непосредственно к сетям операторов связи. Следующим этапом, по моему мнению, будет попытка переноса модели рассылки спама в Интернете на сотовую связь. То есть рассылкой будут заниматься троянские модули, установленные на сотовых телефонах пользователей. Причем весьма вероятно использование технологий peer-to-peer, когда получение одного управляющего сообщения будет порождать лавину спама. Интеллектуализация сотовых телефонов и, как следствие, снижение степени их защищенности открывают массу возможностей для злоумышленников.

16. Распределенные атаки "Отказ в обслуживании". Заключаются в отправлении на атакуемый компьютер огромного количества вполне легального трафика, что приводит либо к перегрузке канала связи машины, либо к снижению скорости обработки запросов пользователей.

17. Про DDoS-атаки большинство специалистов в области безопасности предпочитают не говорить, как о неприятной вещи, с которой приходится мириться. Дело в том, что адекватных превентивных мер защиты от распределенных атак сегодня не существует.

     Сергей Гордейчик

Версия для печати