mikaprok (mikaprok) wrote,
mikaprok
mikaprok

Category:

Уровень доступа. Словарный запас



Выборы прошли, русские хакеры на время покинули первые полосы газет. Тем не менее на смену заступили их китайские коллеги. Эти уж совсем какой-то дикой удали – вламываются ежеминутно во все засекреченные уголки «виртуального Вашингтона» и выносят всё подчистую. Ужас! Верните русских!
А собственно, что мы о них знаем? Кроме богатого подтекста и 7-8 имен на поверхности и нет никого. Медведь, балалайка и ushanka вот наши документы.

А масштабы поистине впечатляют. Если верить статистике, любезно предоставляемой госдепартаментом Соединенных Штатов, ущерб от кибератак оценивался в 2014 году в 23 млрд. долларов. Пара авианосцев с полным боекомплектом.

Красная кривая количества взломов взмывается к небу вертикально: каждый год  рост на 65-72%.

И это всё те же два с половиной калеки?

Я провел небольшое лингвистическое расследование и выводы показались мне любопытными. 
Интерес к «russian hackers» выплескивается на страницы газет каждый раз, когда отношения между США и Евросоюзом опускаются до локального минимума. Если брать хорошо наблюдаемый и документируемый период с 2003 по 2013 годы, то мы увидим следующее. На протяжении 10 лет русскими хакерами называли всех русскоязычных. В общем, это было расхожим выражением. Везде, где можно обозначали это «Russian-speaking hackers».  Разница на слух среднестатистического жителя Кентукки небольшая, но для нас существенная.

СМИ редко поясняли какая именно страна имеется в виду. Чаще всего использовали объединительное «пост-советское пространство».
Однако, если почитать материалы тех лет внимательно, то аналитика будет такой: в 30% случаев явно называлась страна и это (барабанная дробь) Украина.
В 10% случаев – Казахстан или Прибалтика.





Там, где ни явно ни косвенно прописка не указана, может быть всё что угодно. Если это вдруг оказывается РФ, то сразу речь идет о населенном пункте, откуда стреляли.
Как именно определить национальную принадлежность «русскоязычных» даже в случае их дислокации на территории РФ непонятно. Я посмотрел на два случая, один раз речь шла о Екатеринбурге, а второй – о Саратове. Оба преступника – не местные. 

Это без учета игр с динамическим IP, Tor'ом и прочего, когда вообще не ясно о чем речь.

После 2013 года тон сменился и «Russian-speaking» сократили до «Russian». Страну тоже перестали обозначать – вроде бы как всё ясно.
Если брать самые громкие преступления: в 2007 году появилась вредоносный червь ZeuS. Как любой уважающий себя вирус, он терпеливо ждал, иногда по нескольку недель, ввода пароля для online-banking на зараженном компьютере. Затем тихонечко отсылал его своим владельцам. В случае операции ZeuS киберпреступники знали кому и что нужно высылать, следили за своими жертвами и не спешили вытаскивать из кошелька деньги даже имея на руках все козыри. Т.е. продемонстрирован профессиональный подход к делу.
Итогом стала кража больше 79 млн. долларов со счетов 390 жертв.

Расследование длилось 2 года и всю шайку удалось накрыть. По крайней мере, так отчитались в ФБР. Весь состав был с Украины.

В отличие от истории с Citigroup, никакой двусмысленности не наблюдалось – пацаны шли к успеху сознательно.






Не все могут этим похвастаться – деньги тут экзотическая мотивация.

По статистике до 2012 года большая часть хулиганских действий в отношении аккаунтов частных лиц и компаний совершалось тинейджерами на территории самих США. В 40% случаев сами правонарушители пытаются скрыть, прячась за IP с другого конца света.
Если сводить всю статистику, не очень понятно, как отделить мух от котлет. Сие возможно только в случае явного дезавуирования. Другими словами, в считанных процентах от общего количества взломов.   

Зададимся другим вопросом, не менее важным, – а насколько сложно совершить киберпреступление?

Кратко – очень просто.





Не важно насколько сложен пароль  – он никого уже не защищает.

1) Сейчас используют всю имеющуюся персональную информацию, полученную из социальных сетей поисковиков и т. д. Достать данные на любого человека очень просто. Если вас нет в соцсетях – не беда, ваши данные есть в базах операторов сотой связи, пенсионных фондах, автодилерах, авиаперевозчиках. Ломают же абсолютно всё. Дальше в буквальном смысле – дело техники. 20 минут и вы в дамках.

2) Сколько волка не корми, а он все равно не накормлен. На 2015 год были доступны такие цифры: в произвольной выборке 100 000 паролей для аккаунтов Google (сейчас ключ ко всему рынку вообще) первый по популярности пароль был … правильно – «password», а второй – 12345678. Сейчас, вроде бы как запретили вводить такие комбинации букв на уровне интерфейса, но все равно кто-то умудряется «ломать систему».

«Cain and Abel» или «John the Ripper» такое подбирают примерно секунда 20-30 в лоб.

Длина пароля не имеет значения – даже 20 символов уже считается малым количеством.

Сама система безопасности, построенная на паролях ущербна. Сейчас модно говорить о сильных паролях, мол если всё сделать правильно, то это поможет. Не поможет.
Пароль это всегда компромис между удобством интерфейса и безопасностью. Современный рынок так устроен, что в 99% случаев побеждает удобство.
Если предположить, что кому-то в голову взбредет изобрести 256-символьный шестнадцатеричный пароль для входа в почту, то флаг ему в руки.

3) Гигантское количество людей использует одни и те же учетные данные для всех своих аккаунтов. За последние несколько лет в сеть утекло больше полумиллиарда хэшей  с различных ресурсов, начиная с LinkedIn и до Gmail. Одно из аналитических агентств приобрело две выборки по одним и тем же пользователям – пароли совпали в 49% случаев. 

4) Главная проблема – несовершенство человеческой памяти. Социальная инженерия – бич современных систем безопасности. Работа с народом очно занимает скромное 5 место в табели о рангах взломщиков и ответственно всего за 7% проникновений. Но вот количество данных, полученных таким способом впечатляет – это 37% всей утекшей информации.




5) Биометрия кажется ответом на все вопросы. Сложно что-то подделать или украсть. По крайней мере дистанционно. Есть, правда, два существенных НО:

- средствам безопасности основанным на чтении сетчатки глаза или отпечатках пальцев не хватает дешевых и надежных средств идентификации, той самой «железки», которая все счиывает и не ошибается каждый 8-й раз (официальные признания). Тут производители сталкиваются с типовой проблемой «курицы и яйца»: пока решения ненадежны, нет смысла педалировать их внедрение. А если не педалировать, то никто сам инициативы и не проявит;

- сетчатка глаза или отпечаток пальца хранятся точно также, как и пароль – длинной строкой из  I/O. Строку эту можно не угадывать, а просто забрать из места хранения. Тут уже у пользователя вариантов нет – речь идет о краже личности. В отличие от гибкого вербального пароля, нужно менять части тела, чтобы восстановить доступ к почте.

Какой выход предлагается из идеологического тупика?






Довериться провайдерам систем безопасности и тем самым корпорациям, которые уже не раз и не два всех сдавали :-)

Биометрия скорее всего будет стандартом на уровне носимых устройств для идентификации владельца. Тут риски сопоставимы – случае хранения данных в «облаке» потери будут небольшими. Само   доступа к данным будет основано на большом массиве социальной информации и некоторой привязке к реальности, не так важно географической, голосовой или взятой с портативной видеокамеры.

На самом деле Google и сейчас отправляет уведомление, если вы заходите в свой аккаунт с непривычного IP. Декларируется, что этот принцип будет развит вплоть для наблюдения за списком контактов и типовым содержанием беседы (если речь идет о соответствующем инструменте). Опознавать будут, таким образом, по родимым пятнам.
Еще хороший способ в стиле sharing economy: делать вашу фотографию с телефона и рассылать 3 наугад выбранным контактам с просьбой подтвердить личность. Контакты, само собой, время от времени обновляются, выявляются злокозненные нарушители спокойствия и всё такое прочее.

Как известно, при пользовании автоматической бритвенной установкой первый раз у всех лица разные, а потом …  

Так или иначе, но наши данные о безопасности устарели. «Russian hackers» кажутся в этом контексте какой-то избыточной сущностью. Стародавней пропагандисткой архаикой из 90-х.

Реальные проблемы у кибербезопасности, однако, действительно есть. Об этом вскоре и поговорим.


Продолжение воспоследует...
Tags: citibank, computer, hacker, levin, putin, russia, statistics, usa, wada, владимир левин, россия
3
Много кто этим занимается, пока все это кусочная история
Придумать можно много чего. Пароли это двадцатый век, их можно заменить на брелок с ключем любой длины - да хоть гигабит.

Вопрос, как мне кажется в:
1 Плохое качество человеческого материала (те кто делают) и менеджмента. Простые смертные просто не могут оценить с чем имеют дело. Если бы люди знали как плохо написаны программы которыми они пользуются, мы бы повсеместно наблюдали истерику в 10 раз хуже любого гмо. Например движение за отказ от автомобилей с электроникой. Наплевательское отношение "и так схавают"
2 ИТ-индустрия одновременно и старая (технологии 80-х годов мешают жить) и молодая(многое еще не ясно).
3 Отстутствии железной воли, которая бы взяла и сделала все "как надо". Каждому отдельному участнику рынка "и так хорошо", но все слишком завязаны со всеми чтобы что-то менять.

Мне кажется здесь мы наблюдаем, как человечеству уже не так легко дается прогресс как раньше, наступает интеллектальный предел, тут уже не сено-солома. Собрать 30 математиков - они все придумают как надо. Да уже придумали. Только человечество за ними не поспевает.
Брелок, кстати, если его брать отдельно -- XVII век :-)
Гигабит, коли он хранится централизованно, тоже украсть ничего не стоит -- не в этом там основная беда.

1. На самом деле всё делается плохо с точки зрения идеальных требований. Сферического гражданина в вакууме плохо лечат, кормят, спать укладывают и, конечно же, развлекают "техникой молодежи". Просто реальная жизнь всегда на 3-, было бы на 4+, мы бы жили в другом мире. Ну или платили дополнительно за поливку медом того, что 3- :-)

2. IT развивается такими темпами, что мы не замечаем радикальных перемен. Еще в начале 2000-х менялась одна парадигма в год, а теперь две. Люди очень сильно выросли за последние 10 лет. Другое дело наследуемость технологий. Это нужно по-другому решать, но криптография открытая область. Нет серебряной пули.

3. Если бы кому-нибудь интересны были пользовательские данные, их бы уже защищали. Народ как раз метит их защищать своим авторитетом.

А что придумали с методами защиты данных, так чтобы не работал ни social engineering, ни in the middle, ни brute force?
Против человеческого фактора ничего не предумаешь. Только надеяться на прогресс чтобы программы программы писали. По крайней мере сейчас они могут их хоть как-то проверять.

По отдельности-то все работает. Какие-то методы компроментируются, их быстро апгрейдят/находят замену.
Но все эти взломы заканчиваются "но ведь это было очевидно" и фыркающим смехом представителей определенных кругов. То есть проблемы начинаются когда простой смертный начинает из этих вывереных всеми возможными ГОСТами кубиков что-то лепить.
Да, туда стандартизация и идет потихоньку в сторону формальных процедур. Многое уже сделано в этом направлении. Проблема, что в отсутствие андроидов (на которых все и рассчитано) чрезмерная формализация не всегда представляет собой оптимальное решение.

В криптографии есть две фундаментальные проблемы, которые не могут пока быть решены ни на одном уровне. Одна из них звучит примерно так: что есть защищаемые данные?

Все сегодняшние поделки уже никого не спасают. Это факт.
Если плясать от англо-саксонского характера, то логично предположить, что 90% "взломов" сюжетно повторяют "Операцию Ы". В китайском варианте Никулина даже менять не надо (хотя можно и заменить на Джеки Чана).
Конкретно эпизод "Наваждение": аппаратура при нем!