Хорошо крякать не каждому хакеру по силам


Жизнь хакера не так романтична. Фишинг, использование кейлогинов, скимминг, хакинг — будни сообщества, которое все время находится под прицелом служб безопасности. Киберпреступления сегодня привычное дело, поэтому говорят много и громко лишь о тех, что неуправляемы и которые не поддаются нейтрализации. Новая волна интереса к теме связана с атакой WannaCry, дело о которой расследует Европейский центр киберпреступности Европола, затронувшей 150 стран мира, в том числе и Россию

Гениальный первопроходец или преступник

Первый, о ком заговорили как о компьютерном преступнике, ныне известный консультант по информационной безопасности — Кевин Митник. Первым его опытом стало телефонное мошенничество (фрикинг — прим. ред.). Для этого он исследовал телефонные сети, использовал приемы манипулирования людьми, которые он называл социальной инженерией. Самое главное в социальной инженерии — это сбор информации о компании, фирме, проникновение в святая святых отделов, понимание того, как работает конкретное служебное подразделение, их основная сфера деятельности, специализация сотрудников, основные аспекты процедуры подачи запросов, изучение терминологии и сленга, которые широко распространены в компании. Применяемые им методы эффективны, потому что люди обычно доверяют тем, кто обладает харизмой либо представляет собой весомую фигуру в обществе, в конкретных случаях — руководители отделов и служебных подразделений. Знания психологии людей позволяют хакерам добывать необходимую информацию для взлома с помощью обычного телефонного звонка

Примерная схема такова: звонок одному из контактных представителей телефонной компании с фразой: «Здравствуйте, это N из отдела конфиденциальной информации. Мне нужно поговорить со старшим оператором» позволяла Митнику получать необходимый минимум информации, который в дальнейшем он использовал для получения доступа к основным базам данных компании. В то время, когда он занимался фрикингом, ему были необходимы лишь телефонные номера. Схема работала безотказно: он мог получить телефонный номер кого угодно. Для тех, кого интересуют детали: Митник звонил технологу в нужный ему центральный отдел, где его принимали за электромонтера и переключали на менеджерскую линию с помощью трубки-тестера и набирали продиктованный номер. Вызов переадресовывался с менеджерского телефона на линию обратной связи (особый канал с двумя номерами, во время звонка на эту линию между абонентами устанавливалась связь, подобная звонку друг другу), действовавшей в телефонной компании. Митник звонил на канал обратного вызова и переадресовывал на третий номер. В какой-то момент из отдела конфиденциальной информации звонили на линию уполномоченного менеджера, звонок переадресовывался на линию обратной связи. Звонивший слышал лишь гудки, а Митник получал от сотрудника любую необходимую конфиденциальную информацию. Затем он звонил технику и отключал переадресацию.+

В средней школе Монро он стал головной болью преподавателя курсов по информатике: Кевин узнавал все пароли к мини-компьютеру их школьного округа, хотя отчаявшийся преподаватель шел на различные ухищрения в попытке предотвратить взломы.

Fortran — первый язык программирования высокого уровня, облегчивший написание кода. Фотография:Flickr, CCBY 2.0

Первое его киберпреступление, вошедшее в историю, началось с изучения операционной системы RSTS/E, разработанной компанией Digital Equipment Corporation для языков программирования Fortranи Basic. Спустя несколько недель после начала занятий по информатике он создает программу для получения паролей пользователей, внедряя ее в ОС. Сегодня используемый им метод назвали бы фишинговой атакой. Тогда в Соединенных Штатах Америки еще не было законов, позволяющих обвинить его в преступлении, и его деяния оставались безнаказанными. Охотничий азарт, охватывавший его все больше, заставил его приложить много усилий для взлома системы COSMOS (Computer System for Mainframe Operations). Эта система являлась основой работы компании Pacific Telephone, которую Митник ранее уже взламывал. Но, если ранее он просто ограничивался получением доступа к данным, то в данном случае этот взлом был сопряжен незаконным проникновением в здание COSMOSа и кражей мануалов. В своей книге Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker («Призрак в сети: мемуары самого разыскиваемого в мире хакера») он напишет, вспоминая события тех лет: «Поскольку это было первое в истории дело о хакинге, чувствовалось явное недопонимание того, в чем именно должен меня обвинить окружной прокурор»

В то время хакинг являлся синонимом краж с использованием компьютерных сетей, но взлом ради получения различных данных для удовлетворения собственного любопытства казалась невозможной и бессмысленной

В 1982 году он создает свой личный скрипт для взлома и тестирует его на сети Пентагона. Этот взлом является самым громким хакингом того времени

Цутома Симомура напишет книгу «Взлом» в соавторстве с журналистом The New York TimesДжоном Маркоффом, в котором Митник будет изображен как аутичный социопат. Фотография: Flickr, CCBY — NC 2.0

В 1994 году, когда его искусство вышло на новый уровень, Митник попадает в списки ФБР, и громкие процессы, связанные с ним, были на первых полосах «The New York Times». После инцидента 25 декабря со взломом домашнего компьютера Цутому Симомуры (ведущий американский специалист по кибербезопасности) Митника заключают под стражу. После освобождения он издает несколько книг, в которых описывает истории со взломами и разъясняет методику применяемых им методов. Сегодня он возглавляет компанию Defensive Thinking Inc, специализирующуюся на сетевой безопасности, а также консультирует по вопросам безопасности

Последствия логической ошибки

Ущерб от червя Морриса, или «Великого червя» (в хакерской среде), принес ущерб в 96,5 миллионов долларов. Причиной тому — незначительная логическая ошибка в коде программы. Принцип действия червя заключался в том, что программа сканировала компьютер на инфицированность, дабы обезопаситься от уловок с поддельными копиями, созданными для защиты системными администраторами. С заданной периодичностью программа перезаписывала свою копию. Периодичность, запрограммированная Робертом Моррисом, оказалась слишком маленькой. Многократная перезапись кода сетевого червя уничтожала ресурсы компьютера практически полностью, тем самым получая возможность записаться и в другие компьютеры. В том числе пострадали и компьютеры исследовательского центра NASA.

Молодой аспирант Корнельского университета Роберт Тэппэн Моррис и сам до конца не осознавал, к каким последствиям может привести его любопытство

3 ноября 1988 года крайне испуганный Моррис звонит в 2 часа 30 минут Эндрю Садуфу (серебряный призер по гребле на летних Олимпийских играх в Лос-Анджелесе 1984 году и талантливый хакер, который работал в составе технического персонала в Гарвардском университете вычислительной технологии) и просит его опубликовать анонимное сообщение с извинениями за причиненный вред и объяснениями, как защитить компьютеры от дальнейшего распространения червя. Спустя час на доске объявлений Usenet в 3:34 появляется анонимное сообщение с фразой «There may be a virus loose on the Internet. Here is the gist of message I got: I’m sorry» (В интернете свободно бродит вирус. Далее прилагаю суть сообщения, которое я получил: «Извините») и объяснениями, как остановить распространение сетевого червя. Но это сообщение заметили только в субботу, два дня спустя, когда уже ничего нельзя было сделать

Мир никогда не услышал бы о Моррисе, если бы не его отец, компьютерный эксперт АНБ, решивший, что сыну лучше сознаться. Фотография: Flickr, CCBY — NC — SA 2.0

Распространение червя выпало на дни заседаний ежегодного семинара Unix Калифорнийского университета в Беркли. Часть студентов и преподавателей университета занялись изучением червя и поняли алгоритм программы, с помощью которой составили рекомендации о том, как остановить распространение вируса. Итоги исследования они изложили на финальном заседании семинара Unix. Еще одной значимой фигурой в изучении алгоритма червя был Юджин Спаффорд, доцент кафедры компьютерных наук в Пердью. Проснувшись рано утром 3 ноября, он зашел в сеть, чтобы проверить свою электронную почту, используемую им для переписок со своими друзьями и коллегами с различных научных учреждений по всей стране. Обычно он получал огромное количество сообщений, но в то утро он не получил ни одного. Сервер был перегружен. Спаффорд в срочном порядке едет в кампус и собирает команду из восьми человек. Исследования показывают, что проблема не только с почтовым сервером кампуса Пердью, но и во всех компьютерах по всей стране. К концу рабочего дня появилась идея, как остановить сетевого червя. Спаффорд стал именно тем человеком, который координировал действия совей команды с командами Беркли, Университета штата Юты, Массачусетского Института Технологии. Субботним утром The New York Times публикует новость о Роберте Моррисе-младшем, 23-х летнем аспиранте, создавшем «работу скучающего аспиранта», как сказал об этом происшествии Моррис-старший репортеру Times Джону Маркову

Две недели, поставившие компьютерные сети на колени

Стоит отметить, что червь Морриса не является одним из первых, его особенность в том, что он побил все рекорды по распространению, которые наблюдались у ранее созданных экспериментальных червей. «Великий червь» после запуска начинал свою работу независимо от человеческого участия: сканировал интернет на наличие доступных для заражения хостов. Червь был ориентирован на ЭВМ с операционной системой Unix, впервые разработанной в подразделении Bell Labs компании AT&T. Особенность Unix-системы заключается в том, что это многопользовательская и многозадачная система. В арсенале червя было несколько типов атак, направленных на эту операционную систему. Первая и, пожалуй, основная — использование службы «finger», установленной на огромном количестве Unix-машин. Программа предоставляла список пользователей, которые работали в тот момент на компьютере. Именно этот список пользователей использовался вирусом для взлома какого-либо конкретного компьютера. Другая атака была связана с наиболее часто используемыми словами в паролях (в коде червя их 400), паролями — именами пользователей в обратном порядке. Червь систематически подбирал пароли к именам пользователей и пытался получить доступ к другим серверам, связанным с этими пользователями. Третья уязвимость в безопасности — распространенная утилита Моррис видел свой проект не просто как червя, в его мыслях было создание ботнета — сети, которая объединяла бы тысячи компьютеров, взаимосвязанных друг с другом и ждущих команды от своего создателя. Разработка червя началась 15 октября 1988. Запуск был произведен через две недели. Нереализованными остались командная система управления для передачи команд зараженным машинам, сбор глобальной базы данных этих компьютеров. Механизм самоуничтожения лишнего червя, записанного на компьютер (для предотвращения записи копий червя на одном и том же компьютере) из-за программной ошибки не сработал. Это привело к росту копий червя на одной машине в геометрической прогрессии, что и стало причиной исчерпания ресурсов компьютеров

Хакерские атаки меняют свой ориентир

После повального заражения компьютеров в США от червя Морриса встал вопрос о разработке четкого регламента способов защиты от кибератак. Взломы отслеживались по подозрительным активностям на различных серверах. Защита систем безопасности выходит на новый уровень с помощью самих же хакеров: для компаний становится обыденным нанимать хакеров для взлома собственных систем безопасности, чтобы выявить слабые места. Новым витком развития безопасности крупных компаний стало появление на хакерской сцене «Бездомного хакера» Андриана Ламо. С завидной периодичностью из мест публичного доступа он взламывал корпоративные сети таких крупных компаний, как Bank of America, Citigroup, Cingularи других. Ламо можно назвать одним из сообщества «белых шляп» (хакеры, занимающиеся легальным взломом — прим.ред.), но он никогда не работал по найму, а лишь сообщал компаниям ошибки, позволившие ему проникнуть в их сети. Возникает необходимость жесткой постановки вопроса о кибербезопасности. В нулевых годах становится модным блокировка определенных ресурсов или DDoS–атак. Первый случай произошел в 2000 году. Канадский хакер Mafiaboy организовывает атаку в пять дней, от которой пострадают eBay.com, CNN.com, Amazon.comи Yahoo.com на общую сумму в 1,7 миллиарда долларов.

Учащаются взломы банковских систем. Атаки становятся более ухищренными и трудноотслеживаемыми. Это уже не взломы 1994 года, когда хакеры под руководством Владимира Левина взломали сеть АО КБ «Ситибанка» — российского коммерческого банка, входящего в финансовую корпорацию Citigroup, и перевели с его счета 12 миллионов долларов

Хакеры объединяются в банды, у них появляется своя субкультура, их дом — киберпространство. Это не спортивный азарт для проверки самого себя и своих возможностей, это преступления. Шпионаж — оружие хакера. Появляется их своеобразная классификация: в самом низу — те, кто занимается сетевым вандализмом (своеобразное «рисование на заборах» на страницах взломанных сайтов), затем грабители, взламывающие для кражи. На вершине иерархии — представители особой прослойки хакеров, представляющих элиту, способную вселить панический ужас, атакуя финансовые учреждения или разрушая энергетические системы. Из-за самых крупных атак за последние 20 лет к 2000 годам появляются команды интернет-наблюдения. Одной из крупных является «Global threat operations center», отслеживающая отклонения в корпоративных сетях на четырех континентах. Полиция начинает использовать электронный эквивалент дактилоскопии. Жесткие диски с компьютеров хакеров клонируются и изучаются службами безопасности для выявления общих закономерностей. На каждый код, написанный службами безопасности для защиты, хакеры создают новые. После 2000 года появляются международные хакерские сети. В 2008 году одна из таких сетей под руководством 18-летнего юноши Оуэна Тора Уолкера (псевдоним AKILL) взламывает около 1,3 миллионов компьютеров и крадет с банковских счетов внушительную сумму в 20 миллионов долларов. На суде он подозревался как руководитель крупной хакерской группировки A-Team, но было доказано, что он лишь написал код. Хакеры-одиночки получают доступы в сети Пентагона, министерства обороны США, системы NASA. Идет борьба хакеров против правительств государств, в попытке поймать их в фальсификации происходящих в мире событий и сокрытии различных данных. Они уже преследуют политические цели. В 2002 году Solo или Гэрри Макиннон получил доступ к компьютерам министерства обороны США, ВВС и NASA. Целью проникновения, как признался он после поимки, был поиск доказательств сокрытия информации о НЛО. Все больше хакеров стремятся участвовать в политической деятельности. Появляется движение «хактивизм», олицетворение которого — знаменитая хакерская группировка «Анонимус». В связи с массовостью хакерских атак возникает такое понятие как «информационная безопасность», а именно защита государственных тайн

«Анонимус»: легион без своего легата в масках Гая Фокса. Фотография: Flickr, CCBY — NC — ND 2.0

Вендетта Anonymous правительствам

Блокировка интернет-доступа в знак протеста против нарушений прав человека в 1988 году от американской хакерской группировки группировка Legions of Underground стало новой вехой движения. С появлением «Анонимуса» происходит расширение движения: политически активные хакеры объединяются в международные сети, атаки меняют свой ориентир. Способы проникновения в веб-сети дополняются кражей данных, взломом персональных аккаунтов в социальных сетях, искажением интерфейса, DDoS-атаками.+

Действия «Анонимуса» координируются методом так называемой do-ocracy, суть которого заключается в том, что все действия выполняет тот, кто предложил идею, а все те, кто может помочь и желает, помогают. Общение членов «Анонимуса» происходит на IRC-каналах, где они координируют свои действия. Легион, в большинстве случаев, реагирует лишь на те события, которые являются потенциальной угрозой свободе интернета. Журналисты Wired (ежемесячный журнал, специализирующийся на IT, инновациях, бизнесе, издается в Сан-Франциско и Лондоне) охарактеризовали Легион как «иммунная система интернета, которая мгновенно реагирует на любую угрозу организма».+

В 2011 году они поддерживали Occupy Wall Street (гражданский протест «преступлениям финансовой элиты» и движение за изменения в структуре экономики). После разгона движения и раскрытия причастности одного из членов группировки, лидера группы LulzSec Хектора Ксавьера Монсегура, к ФБР операции Легиона становятся еще более четкими и жесткими. 25 декабря 2011 года «Анонимус» объявляет о том, что ими была взломана сеть компании Stratfor (американская частная разведывательная компания). В руках группировки оказались списки клиентов компании с личной информацией, номерами кредитных карт, в том числе, компания Apple, крупные банки, ВВС. Члены Легиона перевели с кредитных карт средства на счета благотворительных организаций и отделений Красного Креста.+

Нарушения прав человека, цензура — возмутители спокойствия всех времен. Против них идет движение хактивистов, объявляя кибервойны правительствам стран. Anonymous имеет свой Twitter-аккаунт, в котором сообщает об атаках. Эта группировка хакеров в недавнем прошлом объявила войну Китайскому правительству из-за «не очень» хорошего отношения к свободе Интернета. Группировка взломала около 500 сайтов правительства Китая и вывесила на них информацию с разъяснениями, как обходить блокировку к ресурсам, запрещенным правительством.+

Запрещенная в России международная исламистская суннитская организация ИГИЛ тоже стала мишенью для Легиона. Хакеры этой группировки получили доступ к 5000 аккаунтам боевиков организации. Полученная информация была опубликована ими как предполагаемые цели для дальнейших действий террористов. В их числе значились Франция, Соединенные Штаты Америки, Ливан, Индонезия и Италия. Несколько членов Легиона тесно сотрудничают со спецслужбами вышеназванных стран для предотвращения возможных террористических атак

Киберпреступления для Советского Союза не новость

Право именоваться первым хакером в СССР получил выпускник МГУ Мурат Уртембаев. С его легкой руки на «АвтоВазе» в 1983 году было взломано программное оборудование, последствия которого «разгребали» в течение трех дней. В истории законодательства Советского Союза возникла ситуация, для которой не было предусмотрено наказание. Автоматическая система управлялась двумя категориями сотрудников: программистами, которые имели право вносить корректировки в программное обеспечение без каких-либо оповещений о своих действиях, и техниками, занимавшимися обслуживанием системы, не знавшими о компетенции программистов. Этим воспользовался Уртембаев: он разработал патч к программе-счетчику, отслеживавшей циклы подачи узлов на конвейер. Благодаря патчу, ритм счетчика изменялся, и происходила путаница с местом и временем подачи деталей. Мурат собирался запустить программу в день своего выхода из отпуска, но программа дала сбой и запустилась на несколько дней ранее. Уртембаев рассчитывал исправить ошибки в программном обеспечении и затем воспользоваться своим статусом спасателя для того, чтобы получить обещанную ранее Почетную грамоту, которую он не получил. Поступок Мурата Уртембаева не был первым. Программисты, у которых был свободный доступ к программному обеспечению «АвтоВаза» вносили свои коррективы в код программ, управлявших процессом производства машин, преследуя свои меркантильные цели. За исправление своих же ошибок они получали от начальства различные бонусы вплоть до автомобилей и квартир. Если бы программа Уртембаева не запустилась раньше срока, все это так бы и оставалось тайной

Процесс сборки был расписан по секундам, сбои в работе конвейера приводили к остановке работы всего завода. Фотография: Flickr, CC BY 2.0

Советская математическая школа вырастила лучших хакеров мира

Русскоязычные хакеры считаются наиболее опасными представителями киберпреступности. Согласно различным исследованиям и опросам, местные жители разных стран больше всего опасаются русских хакеров. Согласно итогам опроса английской компании MWR InfoSecurity, 34% респондентов считают, что российские хакеры обладают наилучшей подготовкой. «Лаборатория Касперского» считает, что кибератаки «наших» вызывают столь сильную озабоченность этим вопросом из-за изобретений новых технологий, кражей денег у банков, созданием сетей из зараженных компьютеров

В конце 50-х годов система образования СССР была лучшая в мире, что в США характеризировалось как угроза национальной безопасности США. Фотография: Flickr, CCBY-BY-NC-SA 2.0
Большинство русских хакеров находятся в списке самых разыскиваемых преступников ФБР

В их числе руководитель Gameover Zeus Евгений Богачев, похитивший у американских компаний и граждан США сумму в 100 миллионов долларов. Объяснением такого успеха русскоязычных хакеров на поприще криминального хакинга являются политическая нестабильность 80–90-х годов прошлого века, сильнейшая в мире школа советской математики и отсутствие в законах соответствующих статей, предусматривающих наказание за киберпреступления

Бессилие систем безопасности: когда в названии червя есть троллинг

К 6 июня 2017 г. заражены более 520000 компьютеров и 200000 IP-адресов. Фотография: Flickr, СС BY-NC-SA 2.0

Сегодня серьезные проблемы в системах безопасности из-за хакерских атак — это норма. Последним нашумевшим киберпреступлением стала атака WannaCry (WannaCrypt), от которой пострадали компьютеры в 150 странах мира. Шифровальщик WannaCry начал распространяться по миру 12 мая 2017 года.

Первые образцы шифровальщика были зафиксированы антивирусной лабораторией PandaLabs.

Шифровальщик шантажировал пользователей, угрожая зашифровать все находящиеся на компьютере файлы в случае неоплаты выкупа. В работе WannaCry принимают участие около 700 различных программ с различными расширениями. В них содержится код, направленный на использование брешей в ETERNALBLUE, для которой Microsoft выпустил патч 14 марта 2017 года

Вирус подключается к порту 445 и ищет компьютеры без последнего обновления ETERNALBLUE для их инфицирования, используя бэкдор (программы, устанавливаемые взломщиками для дальнейшего повторного доступа в систему — прим.ред.) DOUBLEPULSAR. Пострадали все подключенные устройства Windows, расположенные в одном сервере. От заражения одного компьютера к остановке работы всей корпоративной сети. WannaCry генерирует 128-битный уникальный ключ для каждого шифруемого файла. Ключ создается с помощью алгоритма шифрования AES. Псевдослучайный ключ разрабатывается с помощью Windows-функции «CryptGenRandom», поэтому невозможна разработка ключа для расшифровки. Эта кибератака демонстрирует, что кибербезопасность должна выходить на новый уровень. Ссылки с вирусом распространялись по электронной почте. За сутки вирус заразил крупную испанскую телекомпанию, больницы Англии и крупные корпоративные сети по всей Европе. Очагом заражения, в котором наблюдались первые случаи инфицирования, был Китай. Действия вируса получили широкий резонанс, о чем свидетельствует резолюция о совместной борьбе с киберпреступностью глав Центробанков «Большой семерки». К 17 мая исследования показали, что выдвинутая ранее версия о том, что вирус распространялся путем рассылки на электронную почту, не подтвердилась. Вирус сумел заразить компьютеры министерств России, в том числе МВД, пострадала компания «Мегафон», путем успешного реагирования были предотвращены серьезные последствия для информационных систем «РЖД», благодаря чему движение поездов не было остановлено. Французская автомобилестроительная корпорация Renault приостановила свое производство для проверки своей компьютерной сети. Большой урон был нанесен компаниям Испании: Telefónica, Gas Natural, Iberdrola, занимающейся поставкой электричества, Centro Nacional de Inteligencia, банку Santander и филиалу консалтинговой компанииKPMG

Квантово-безопасное шифрование

В ближайшем будущем ожидается создание квантовых компьютеров, против которых обычное шифрование будет бессильно. Агентство национальной безопасности США видит угрозу в прогрессе квантовых вычислений, от которых в первую очередь пострадают онлайн-транзакции банков. Для эффективного противостояния квантовому шифрованию необходимо подготовить компании к криптографической глобальной войне. Этим вопросом занимается компания Security Innovation, получившая лицензию на квантовую технологию шифрования NTRU. Всем известные Google и Microsoft увеличивают инвестиции в исследование квантовой криптографии. Microsoft тестирует квантовоустойчивое шифрование, способное противостоять взломам веб-страниц. Google, в свою очередь, проводит проверки постквантового алгоритма New Hope

Традиционная криптография, теория которой построена на математических моделях, демонстрирует свою уязвимость, подтвержденная последними крупными кибератаками. На ее место приходит новый метод защиты информации, построенный на основах квантовой физики

В данном методе информация распространяется при помощи объектов квантовой механики. Квантовая криптография может стать практически стопроцентной защитой зашифрованных данных от декодирования. Использование электронов в электрическом поле, фотонов в линиях оптоволоконной связи при передаче информации позволяет моментально отслеживать самые незначительные отклонения в канале из-за возникающих в них шумов. Любые изменения параметров переносчиков информации легко выявить, так как невозможно измерить параметры физических объектов, без их искажения. Технология квантового шифрования основана на принципе неопределенности Гейзенберга, который и позволяет фиксировать отклонения в поведении электронов или фотонов

Фотоны и электроны взвалят на свои «плечи» груз ответственности в киберпространстве. Фотография: Flickr, CCBY — SA2.0

Хакинг довольно молодое явление, оно постоянно развивается и является показателем моральных устоев общества. Ориентиром взломов являются банки и платежные системы, что свидетельствует о все большей «криминализации» хакерского движения. В большинстве своем случаев они гениальные программисты, но никак не преступники. Вопрос в том, кто за ними стоит и как подбивают их на совершение преступлений. Хакеры сегодня работают на правительства, службы безопасности, криминальные структуры, взламывают для них и идут против них же самих. Информация стала мощным оружием, за которое могут убить, продать, предать и посадить