Выборы прошли, русские хакеры на время покинули первые полосы газет. Тем не менее на смену заступили их китайские коллеги. Эти уж совсем какой-то дикой удали – вламываются ежеминутно во все засекреченные уголки «виртуального Вашингтона» и выносят всё подчистую. Ужас! Верните русских!
А собственно, что мы о них знаем? Кроме богатого подтекста и 7-8 имен на поверхности и нет никого. Медведь, балалайка и ushanka вот наши документы.
А масштабы поистине впечатляют. Если верить статистике, любезно предоставляемой госдепартаментом Соединенных Штатов, ущерб от кибератак оценивался в 2014 году в 23 млрд. долларов. Пара авианосцев с полным боекомплектом.
Красная кривая количества взломов взмывается к небу вертикально: каждый год рост на 65-72%.
И это всё те же два с половиной калеки?
Я провел небольшое лингвистическое расследование и выводы показались мне любопытными.
Интерес к «russian hackers» выплескивается на страницы газет каждый раз, когда отношения между США и Евросоюзом опускаются до локального минимума. Если брать хорошо наблюдаемый и документируемый период с 2003 по 2013 годы, то мы увидим следующее. На протяжении 10 лет русскими хакерами называли всех русскоязычных. В общем, это было расхожим выражением. Везде, где можно обозначали это «Russian-speaking hackers». Разница на слух среднестатистического жителя Кентукки небольшая, но для нас существенная.
СМИ редко поясняли какая именно страна имеется в виду. Чаще всего использовали объединительное «пост-советское пространство».
Однако, если почитать материалы тех лет внимательно, то аналитика будет такой: в 30% случаев явно называлась страна и это (барабанная дробь) Украина.
В 10% случаев – Казахстан или Прибалтика.
А масштабы поистине впечатляют. Если верить статистике, любезно предоставляемой госдепартаментом Соединенных Штатов, ущерб от кибератак оценивался в 2014 году в 23 млрд. долларов. Пара авианосцев с полным боекомплектом.
Красная кривая количества взломов взмывается к небу вертикально: каждый год рост на 65-72%.
И это всё те же два с половиной калеки?
Я провел небольшое лингвистическое расследование и выводы показались мне любопытными.
Интерес к «russian hackers» выплескивается на страницы газет каждый раз, когда отношения между США и Евросоюзом опускаются до локального минимума. Если брать хорошо наблюдаемый и документируемый период с 2003 по 2013 годы, то мы увидим следующее. На протяжении 10 лет русскими хакерами называли всех русскоязычных. В общем, это было расхожим выражением. Везде, где можно обозначали это «Russian-speaking hackers». Разница на слух среднестатистического жителя Кентукки небольшая, но для нас существенная.
СМИ редко поясняли какая именно страна имеется в виду. Чаще всего использовали объединительное «пост-советское пространство».
Однако, если почитать материалы тех лет внимательно, то аналитика будет такой: в 30% случаев явно называлась страна и это (барабанная дробь) Украина.
В 10% случаев – Казахстан или Прибалтика.
Там, где ни явно ни косвенно прописка не указана, может быть всё что угодно. Если это вдруг оказывается РФ, то сразу речь идет о населенном пункте, откуда стреляли.
Как именно определить национальную принадлежность «русскоязычных» даже в случае их дислокации на территории РФ непонятно. Я посмотрел на два случая, один раз речь шла о Екатеринбурге, а второй – о Саратове. Оба преступника – не местные.
Это без учета игр с динамическим IP, Tor'ом и прочего, когда вообще не ясно о чем речь.
После 2013 года тон сменился и «Russian-speaking» сократили до «Russian». Страну тоже перестали обозначать – вроде бы как всё ясно.
Если брать самые громкие преступления: в 2007 году появилась вредоносный червь ZeuS. Как любой уважающий себя вирус, он терпеливо ждал, иногда по нескольку недель, ввода пароля для online-banking на зараженном компьютере. Затем тихонечко отсылал его своим владельцам. В случае операции ZeuS киберпреступники знали кому и что нужно высылать, следили за своими жертвами и не спешили вытаскивать из кошелька деньги даже имея на руках все козыри. Т.е. продемонстрирован профессиональный подход к делу.
Итогом стала кража больше 79 млн. долларов со счетов 390 жертв.
Расследование длилось 2 года и всю шайку удалось накрыть. По крайней мере, так отчитались в ФБР. Весь состав был с Украины.
В отличие от истории с Citigroup, никакой двусмысленности не наблюдалось – пацаны шли к успеху сознательно.
Не все могут этим похвастаться – деньги тут экзотическая мотивация.
По статистике до 2012 года большая часть хулиганских действий в отношении аккаунтов частных лиц и компаний совершалось тинейджерами на территории самих США. В 40% случаев сами правонарушители пытаются скрыть, прячась за IP с другого конца света.
Если сводить всю статистику, не очень понятно, как отделить мух от котлет. Сие возможно только в случае явного дезавуирования. Другими словами, в считанных процентах от общего количества взломов.
Зададимся другим вопросом, не менее важным, – а насколько сложно совершить киберпреступление?
Кратко – очень просто.
Не важно насколько сложен пароль – он никого уже не защищает.
1) Сейчас используют всю имеющуюся персональную информацию, полученную из социальных сетей поисковиков и т. д. Достать данные на любого человека очень просто. Если вас нет в соцсетях – не беда, ваши данные есть в базах операторов сотой связи, пенсионных фондах, автодилерах, авиаперевозчиках. Ломают же абсолютно всё. Дальше в буквальном смысле – дело техники. 20 минут и вы в дамках.
2) Сколько волка не корми, а он все равно не накормлен. На 2015 год были доступны такие цифры: в произвольной выборке 100 000 паролей для аккаунтов Google (сейчас ключ ко всему рынку вообще) первый по популярности пароль был … правильно – «password», а второй – 12345678. Сейчас, вроде бы как запретили вводить такие комбинации букв на уровне интерфейса, но все равно кто-то умудряется «ломать систему».
«Cain and Abel» или «John the Ripper» такое подбирают примерно секунда 20-30 в лоб.
Длина пароля не имеет значения – даже 20 символов уже считается малым количеством.
Сама система безопасности, построенная на паролях ущербна. Сейчас модно говорить о сильных паролях, мол если всё сделать правильно, то это поможет. Не поможет.
Пароль это всегда компромис между удобством интерфейса и безопасностью. Современный рынок так устроен, что в 99% случаев побеждает удобство.
Если предположить, что кому-то в голову взбредет изобрести 256-символьный шестнадцатеричный пароль для входа в почту, то флаг ему в руки.
3) Гигантское количество людей использует одни и те же учетные данные для всех своих аккаунтов. За последние несколько лет в сеть утекло больше полумиллиарда хэшей с различных ресурсов, начиная с LinkedIn и до Gmail. Одно из аналитических агентств приобрело две выборки по одним и тем же пользователям – пароли совпали в 49% случаев.
4) Главная проблема – несовершенство человеческой памяти. Социальная инженерия – бич современных систем безопасности. Работа с народом очно занимает скромное 5 место в табели о рангах взломщиков и ответственно всего за 7% проникновений. Но вот количество данных, полученных таким способом впечатляет – это 37% всей утекшей информации.
5) Биометрия кажется ответом на все вопросы. Сложно что-то подделать или украсть. По крайней мере дистанционно. Есть, правда, два существенных НО:
- средствам безопасности основанным на чтении сетчатки глаза или отпечатках пальцев не хватает дешевых и надежных средств идентификации, той самой «железки», которая все счиывает и не ошибается каждый 8-й раз (официальные признания). Тут производители сталкиваются с типовой проблемой «курицы и яйца»: пока решения ненадежны, нет смысла педалировать их внедрение. А если не педалировать, то никто сам инициативы и не проявит;
- сетчатка глаза или отпечаток пальца хранятся точно также, как и пароль – длинной строкой из I/O. Строку эту можно не угадывать, а просто забрать из места хранения. Тут уже у пользователя вариантов нет – речь идет о краже личности. В отличие от гибкого вербального пароля, нужно менять части тела, чтобы восстановить доступ к почте.
Какой выход предлагается из идеологического тупика?
Довериться провайдерам систем безопасности и тем самым корпорациям, которые уже не раз и не два всех сдавали :-)
Биометрия скорее всего будет стандартом на уровне носимых устройств для идентификации владельца. Тут риски сопоставимы – случае хранения данных в «облаке» потери будут небольшими. Само доступа к данным будет основано на большом массиве социальной информации и некоторой привязке к реальности, не так важно географической, голосовой или взятой с портативной видеокамеры.
На самом деле Google и сейчас отправляет уведомление, если вы заходите в свой аккаунт с непривычного IP. Декларируется, что этот принцип будет развит вплоть для наблюдения за списком контактов и типовым содержанием беседы (если речь идет о соответствующем инструменте). Опознавать будут, таким образом, по родимым пятнам.
Еще хороший способ в стиле sharing economy: делать вашу фотографию с телефона и рассылать 3 наугад выбранным контактам с просьбой подтвердить личность. Контакты, само собой, время от времени обновляются, выявляются злокозненные нарушители спокойствия и всё такое прочее.
Как известно, при пользовании автоматической бритвенной установкой первый раз у всех лица разные, а потом …
Так или иначе, но наши данные о безопасности устарели. «Russian hackers» кажутся в этом контексте какой-то избыточной сущностью. Стародавней пропагандисткой архаикой из 90-х.
Реальные проблемы у кибербезопасности, однако, действительно есть. Об этом вскоре и поговорим.
Продолжение воспоследует...
November 20 2016, 13:34:41 UTC 2 years ago