2 ноября 2012 года хакерская группировка GhostShell опубликовала в интернете заявление, в котором угрожает развязать масштабные действия, направленные на взлом информационных ресурсов Российских государственных учреждений. Операция злоумышленников получила название «Project BlackStar» и обуславливается общим недовольством хакерами текущего положения дел в России и политикой властей.

Стоит сказать, что группировка уже реализовала часть плана, похитив и опубликовав в сети 2,5 миллиона аккаунтов и записей различных правительственных учреждений, включая крупные госкомпании, образовательные, научно-исследовательские и финансовые структуры.

Как же это стало возможным, если учесть, что данные организации располагают крупными бюджетами на средства информационной безопасности и комплексы защиты?

Некоторые специалисты сходятся во мнении, что в государственных структурах спустя рукава относятся к требованиям регуляторов и нормативной базе. Требования попросту не выполняются или выполняются не полностью. Кроме того, хакеры и сами в курсе требований к обеспечению безопасности и активно используют эту информацию в своей деятельности. Однако, если говорить о крупных компаниях, то в них, как правило, системы ИБ современны и вполне отвечают всем требованиям.

Некоторые специалисты полагают, что в создавшейся ситуации наиболее эффективным могло бы быть проведение регулярного аудита средств информационной безопасности на предприятиях и в организациях госсектора. Однако, что проверять, если даже самые популярные методы защиты несовершенны и, например, малоэффективны против угроз нулевого дня?

Взломы и утечки происходят с завидной регулярностью. С уверенностью можно сказать, что GhostShell преуспеет на фронтах этой кибервойны, так как эффективной защиты до сих пор никто предложить не может.

Давайте попробуем разобраться как это происходит. Причиной всему являются две вещи:

• Ошибки и уязвимости в ПО, которым управляются информационные системы предприятий и организаций
• Человеческий фактор, который в свою очередь подразделяется на:
  • преднамеренный
  • непреднамеренный

Человеческий фактор

Начнем с последнего: человеческий фактор. Вполне вероятно, что в атакуемой организации существует инсайдер – человек, который по каким-то причинам не желает работодателю добра и намеренно допускает утечки конфиденциальной информации. Если это системный администратор, то в его власти оставить открытым «черный ход», т.е. не закрывать обнаруженную уязвимость и сообщить о ней хакерам.

Кроме того, в организации существует достаточно много людей, не являющихся продвинутыми пользователями и слабо представляющих себе основы информационной безопасности. Таки люди могут случайно стать жертвами фишинговых писем, подключить к компьютеру флешку с вирусом, подцепить «заразу» из интернета или, не отдавая себе отчета в своих действиях, отправлять важную информацию в социальные сети, знакомым и т.п.

Ошибки в ПО

Но, пожалуй, главным, что эксплуатируют злоумышленники, являются ошибки и уязвимости в ПО. В любой софт на этапе проектирования и написания закрадываются ошибки. Многие из этих ошибок не выявляются на стадии тестирования и эксплуатации. Хакеры внимательно изучают объект взлома, находят не выявленные ошибки и проникают в сеть организации именно через них. Стоит сказать, что исправить все ошибки в программе, особенно если это сложная корпоративная система, невозможно.

Сегодня такие ошибки и уязвимости называют угрозой нулевого дня (zero day exploit). Суть заключается в том, что до того момента как хакер проник в сеть организации, используя уязвимость в ПО, никто про эту уязвимость не знает. Ни разработчики ПО, ни разработчики систем информационной безопасности. Такие бреши в обороне остаются неприкрытыми и активно используются хакерами, представляя из себя серьезную угрозу безопасности.

Хакер внимательно и досконально изучает объект взлома, находит ошибки и используя их, проникает внутрь. Для того чтобы такие ошибки найти необходимо проводить реверс-инжиниринг исследуемой программы дабы разобраться как она работает.

Существуют системы, призванные обнаруживать подозрительную активность злоумышленников и пресекать ее. Такие системы называются Intrusion Prevention System (IPS). Однако, судя по статистике взломов, работают они не достаточно хорошо и раз за разом дают сбои. Кроме того, и сами IPS системы имеют уязвимости, которые могут служить хакерам дополнительным подспорьем в их обходе. То же самое можно сказать и о DLP системах (Data Leak Prevention или Data Loss Prevention). Они призваны защитить конфиденциальную информацию, циркулирующую в организации, от утечек и неконтролируемого использования. Однако и они подвержены все тем же угрозам нулевого дня.

Откуда не ждали…

В любой корпоративной сети работают печатающие и сканирующие устройства. Сегодня такие устройства представляют собой сложные аппаратно-программные комплексы все-в-одном.  В крупной организации их могут быть десятки и сотни. Зачастую устройства эти управляются не просто программами-прошивками, а целыми операционными системами со множеством функций, таким как, например, отправка электронной почты. В последнее время хакеры активно используют уязвимости в ПО таких устройств для съема с них информации и проникновении в корпоративную сеть организации. Ведь через принтер может проходить значительный огромный объем конфиденциальной информации.

В университете города Вашингтона зарегистрирован случай, когда студент получил доступ и скачал вопросы экзаменационной сессии за несколько недель до ее начала. Вопросы направлялись преподавателями на принтер для печати. Используя ошибки в ПО, управляющем принтером, студент получил в системе высокие права и контролировал принтер удаленно. Он имел возможность отслеживать и скачивать все документы, отправляемы не печать и даже проник непосредственно в сеть университета.

Еще несколько месяцев назад подобный ход развития событий не мог предположить никто. Огромное количество разнообразных офисных устройств по всему миру, по сути, становятся черным ходом в корпоративную сеть. Компании производители принтеров выпускают обновления прошивок и заплатки для операционных систем. Но это не может помешать злоумышленникам открывать все новые и новые ошибки. По-прежнему остается немало уязвимостей о которых никто не знает. Защита ПО для многофункциональных устройств от исследования могла бы в значительной степени нейтрализовать проблему.

Выводы

Резюмируя вышесказанное, отметим, что на сегодня не существует систем безопасности, способных эффективно противодействовать угрозам нулевого дня. Государство и рынок нуждаются в инструменте, способном примитивно защищать программные системы от таких угроз в независимости от обновления антивирусных баз, черных и белых списков. Такой инструмент не должен зависеть от обновлений и способен противодействовать поиску уязвимостей и их эксплуатации хакерами.

Раз злоумышленник декомпилирует и исследует программу перед проникновением, следовательно, надежная защита кода программы от взлома способна осложнить хакеру жизнь и значительно осложнить процесс проникновения в охраняемую систему. При этом сама программа будет работать как обычно. Единственным побочным явлением может стать незначительное увеличение ресурсов, требующихся аппаратной системе для работы с защищенной программой. Однако при текущем уровне развития аппаратных компонентов это не представляется сколько-нибудь серьезной проблемы.

Защищаться должны не только прикладные программы, но и программы для обеспечения самой безопасности: антивирусы, сетевые экраны, модули и компоненты DLP, IPS, CMS систем, почтовые программы и др. Многофункциональные печатающие устройства, управляемые сложными приложениями, также нуждаются в защите. Они пропускают через себя важную информацию и могут стать “back door” в корпоративную сеть организации.