Недавно компания Symantec опубликовала любопытное исследование, результаты которого однозначно свидетельствуют: третья мировая война уже началась. Как и предсказывали многие война происходит в киберпространстве и отличается изощренностью применяемых приемов.

По утверждениям представителей Symantec хакерская группировка под названием Elderwood Project осуществляет целенаправленные атаки на организации, поставляющие предприятиям оборонной промышленности США электронные и механические компоненты для военных систем. Интересно что атаки осуществляются не на сами крупные корпорации типа Boeing или Lockheed Martin, а на более мелкие компании, входящие в цепочку поставок. Это обуславливается тем, что системы киберзащиты у последних слабее и их легче преодолеть. Целью киберпреступников являются планы работ, информация о разработках, контрактах и другая интеллектуальная собственность.

Наиболее занимателен тот факт, что группировка использует 8 «уязвимостей нулевого дня» (zero day exploit) в таких программах как Microsoft Internet Explorer 8 и Adobe Flash Player. То есть, кибертеррористы обладают информацией о 8 уязвимостях о которых не знает вся мировая индустрия информационной безопасности. Раздобыть такие данные возможно двумя путями: либо иметь исходные коды данных программ, либо долго и тщательно декомпилировать и анализировать программы с целью их изучения и нахождения уязвимостей.

В первом случае тень может падать на государства, обладающие в силу своих внутренних законов, исходниками данных программ, во втором прослеживается серьезная финансовая поддержка со стороны тех же государств или преступных группировок. Однако возможен вариант кражи исходных кодов у Google или Adobe (или других компаний), которые подвергались атакам ранее.

Как бы там ни было, Elderwood Project активно использует найденные уязвимости в своей деятельности. Сами атаки осуществляются двумя способами: стандартные фишинговые письма работникам компаний и тактика «водопоя», когда отслеживается активность работника компании-жертвы в интернете и выясняются сайты, которые посещает человек наиболее часто. Далее эти сайты взламываются и заражаются специальными эксплойтами. Когда человек заходит на сайт, срабатывает скрипт, заточенный именно на этого человека и на его компьютер проникает вредоносный код.

Если отбросить версию с кражей исходных кодов, то для того чтобы найти «уязвимости нулевого дня» в какой-либо программе хакерам необходимо внимательно изучить исходный код этой программы и проанализировать его на наличие ошибок. Именно программные ошибки помогают хакерам преодолевать защиту и проникать внутрь систем. Декомпиляция (или реверс-инжиниринг) – распространенный способ взлома и анализа программ. Он широко применяется хакерами всего мира. Декомпиляция незащищенной программы - задача сложная, но вполне выполнимая, особенно если действует группа опытных профессионалов.

Однако, если программа защищена от реверс-инжиниринга, анализа и взлома, то процесс декомпиляции может растянуться на очень длительное время и стать экономически невыгодным. В этом случае новые версии программ будут выходить чаще, чем хакеры взламывают старые.

Условно линию защиты можно разделить на 2 участка: 1) защита уже работающих в компаниях программ; 2) защита исходных кодов, находящихся у фирм-разработчиков ПО до их поступления к заказчику. В первом случае необходимо, чтобы наиболее критичные с точки зрения кибертерроризма программы были надежно защищены от реверс-инжиниринга и анализа в процессе их работы в организациях. Во втором случае следует убедиться, что исходные коды программ, находящихся в разработке, защищены от исследования в случае их кражи. Здесь следует отметить, что программист не может работать с защищенным исходным кодом и такой код должен быть предварительно расшифрован для возможности его редактирования. Однако хранения исходников в защищенном виде представляется относительно легкой задачей, могущей в значительной степени осложнить хакерам процесс похищения кода. Ведь для этого придется проникать напрямую на компьютер программиста и в реальном времени получать расшифрованный исходный код.

В любом случае, становится очевидно, что текущими методами борьбы с киберурозами эффективно им противостоять невозможно. Ошибки и «дыры» существуют в любом ПО, даже в ПО по безопасности. Угрозы нулевого дня будут обнаруживаться постоянно именно из-за того, что любое ПО содержит ошибки. Соответственно, необходимы превентивные методы борьбы, которые затруднят поиск уязвимостей и ошибок с целью их дальнейшего использования при кибератаках.

Сегодня атаки, в основном, идут на предприятия оборонной промышленности, а завтра это финансовый сектор, энергетика и так далее. В России ситуация с киберзащищенностью хуже чем в США. И если крупные отечественные министерства и госкорпорации располагают достаточными бюджетами для построения механизмов защиты, то более мелкие организации, работающие на аутсорсе чрезвычайно уязвимы.

То, насколько быстро мы сумеем положить конец разгорающемуся кибер-военному конфликту, под условным названием «Третья Мировая», зависит только от нас.