Бизнес без-опасности (1 часть)
Недавно, я разговорился с менеджером Одной Довольно Крупной Компании. Эта компания — одна из моих любимых: я постоянно что-нибудь у них покупаю через Интернет. При этом я пользуюсь кредитной карточкой, которая хранится в базе данных этой компании. Я попросил менеджера рассказать, как в Довольно Крупной Компании обстоят дела с защитой данных клиента. Вопрос вдохновил его и он долго мне объяснял разницу между «секретно» и «совершенно секретно», как хранятся ключи и сертификаты, какой уровень шифрования (encryption) используются, как проверяют сотрудников и в общем и целом берегут данные клиента, как зеницу ока.
Я тоже вдохновился и, перехватив его восторженный тон, спросил: «И вы наверное сканируете ваши веб страницы в реальном времени, чтобы распознать iframe injections или заметить наиболее часто эксплуатируемые слабости?»
Менеджер был весьма удивлен. И я был удивлен его реакции. Согласно данным компании Sophos, iframe лидировал среди всех взломов веб-сайтов в 2007-м году. Первые две строчки ее — не вирус, не бот, а следовательно не замечается никаким антивирусным софтом. Это вообще ничто. Это небольшое изменение веб страницы с потенциально разрушительными последствиями.
Ваша компания использует FTP для обновления содержания веб-страниц?», — продолжал спрашивать я. Оказалось, что кажется да, использует, а какое это имеет отношение к безопасности? А вот какое: «Недавно ИфтахАмит, директор исследований в области безопасности компании Аладдин, обнаружил базу данных, содержащую 200 000 FTP credentials (Источник: http:// www.aladdin.com/forms/airc-news-entries/form. aspx?CID=Neosploit). Эта информация использовалась для модификации 80,000 вебсайтов. Мощно не сомневаться, что там была регистрационная информация пользователей Вашей компании. А каков шанс того, что воспользовавшись ими мощно было каким-то образом изменить содержи сайта?»
Этот разговор довольно типичен. На несколько другом уровне, но также по сути, можно поговорить и с любым пользователем интернета, который сидит за своей скоростной связью и в ус не дует. Ему говорят, что его антивирус, фильтр спама, фильтр фишинга, фильтра spyware и бог знает какой еще фильтр, защищают его от всех угроз также как Довольно Крупную Компанию защищают их строгие проверки, ключи, кодирование.
Мы относимся к безопасности на интернете как к чему-то неприятному, раздражающему, но в общем не слишком угрожающему. Мы знаем, что комары это часть нашей реальности, но, если отправляясь в поход, положить в рюкзак репеллент, то на этом беспокойство заканчивается. И вот мы набираем много-много репеллента и отправляемся в поход по бескрайним и вполне безопасна (как нам кажется) просторам интернета. Также мы поступаем и придя на работу, в качестве руководителей Больших и Довольно Больших и даже Не Очень Больших компаний. Разница в том, что мы знаем: на работе нас могут укусить не обычные, а злобные тропические комары, укусить гораздо больнее и последствия будут хуже. Поэтому и арсенал наш тоже должен быть грознее, например.вдобавок к репеллентам включать еще и пушки. Но уж если есть пушки, то бояться точно нечего! Компания Юнисис ежегодно измеряет отношение людей в Западных странах к безопасности: национальной, личной, финансовой и компьютерной. В их отчете публикуется как общий индекс, так и отдельные его упомянутые выше составляющие. Индекс нормализуется в число от 0 до 300, чем он выше, тем более напуганными чувствуют себя опрошенные. В США за последний год люди почувствовали себя увереннее и спокойнее на интернете. Эта составляющая индекса упала до 127 в ноябре нынешнего года (со 135 в октябре прошлого), а индекс общей безопасности упал до 145, (http://www.unisyssecurityindex.com/).
Пейзаж во время битвы.
Поглядывая на приходящие ежедневно новости с поля боя, очевидно одно: любого рода «нелегальная» активность на интернете — дело очень прибыльное. И для продавцов и для покупателей.
Так, согласно статье в USA Today (http://www. usatoday.com/tech/news/surveillance/2008-11-11-thieves-cyber-corporate-data_N.htm) в 2000м году веб сайт компании Super Vision был взломан и волоконно-оптическая (fiber-optic) технология похищена. Китайский предприниматель Самсон By построил завод на основе этой технологии. «То, над чем мы работали 10 лет и во что вложили $10 миллионов, они сделали всего за шесть месяцев, вложив $1,4 миллиона», говорит Брет Кингстон, автор книги «Настоящая война против Америки» и основатель компании Supervision (сегодня — Nexxus Lighting).
Согласно Ифтаху Амиту, 5 — 6 % компьютеров на рабочих местах в финансовом мире заражено вредоносным ПО. Это огромное число машин. Фактически это означает, что злоумышленники имеют безграничный доступ к «секретам» этих компаний.
Спам все еще остается весьма прибыльным делом. Стефан Сэведж, исследовавший ботнет Storm Bot (http://www.cs.Licsd.edu/~savage/papers/ CCS08Conversion.pdf), замечает: несмотря на то, что для 28 успешных продаж по $100 необходимо было разослать 350 000 000 сообщений, доход от ботнетз составил примерно $3,5 миллиона за год.
Хакерство и вирусописэтельство превратилось в бизнес, приносящий огромные доходы. Никто больше не посылает вирусы только для того, чтобы где-то самовозгорелся принтер, эти времена в далеком прошлом. Поменялась культура хакерства, но не поменялось наше к нему отношение. Нам все еще кажется, что взломщики это какие-то неудачники, которых надо бы хорошенько отшлепать. И мы еще не хотим сознавать, что имеем дело с очень серьезными людьми, занятыми очень серьезным делом.
Серьезный Бизнес.
Мы все еще не можем оправиться от того, что восемнадцатилетний юноша от нечего делать, когда-то совсем недавно поставил на колени крупный бизнес, принеся ему миллиардные убытки. Сегодня эти юноши и девушки выросли и превратились в серьезных предпринимателей.
На организованной Майкрософтом конференции Blue Hat Ифтах Амит (директор исследований в области безопасности компании Аладдин) представил модель бизнеса взлома.
Финансируют его жертвы, т.е. мы с вами. В наше время личная информация (такая как отдельные номера кредитных карточек) приносит меньше прибыли, чем секретная информация различных компаний: их финансы, техническая документация будущих проектов, все то, что принято называть «промышленными секретами».
Техническую базу взломщиков обеспечивают специалисты по поиску слабостей, «брешей» в защите: будь то популярные интернет протоколы (например DNS), отсутствие элементарной защиты на десктопах пользователей или самое популярное: использование человеческого фактора (мы заплатим Вам, если вы поместите на своем веб сайте наш iframe, который обеспечит нам «установки») Установка — это не более чем загрузка «вредоносного» кода на десктоп ничего не подозревающего пользователя.
На конференции Ифтах Амит продемонстрировал программное обеспечение, позволяющее быстро и эффективно управлять ботнетом ZeuS.
Приложение это имеет совершенно профессиональный вид. Сервис модель позволяет сохранять профиль, группировать свои зараженные машины (например по скорости их связи), анализировать логи троянца, затребовать снимки с экрана (screen shots). Имеется замечательный пользовательский интерфейс, позволяющий настроить атаку в соответствие с вами заданными параметрами и тут же, по одному клику мыши, сгенерировать готовую троянскую программу. Антивирус такой троянец не заметит, потому что он не будет обладать четкой сигнатурой. Еще один клик — можно испытать на собственном компьютере, еще один — убрать тестируемую копию. Само вирусопроизводящее программное обеспечение является лучшим способом борьбы с его детищем.
Как и в любом серьезном бизнесе, также и в бизнесе взлома существует кооперация. Предположим, вы заинтересованы в трафике из Италии и Германии, но не из близлежащей Франции.
Тогда вы можете продать его тем, кто в этом заинтересован. http://robotraff.com — первая биржа, где можно покупать-продавать трафик, как ценные бумаги, опции или контракты на любой другой бирже.
Поскольку бизнес живет финансовыми вливаниями от нас с вами, пока эти вливания идут здоровым потоком, как и любой бизнес он будет продолжать действовать, и, как любой другой бизнес, бороться за свое выживание. Если сегодня я изобрету средство, которое перекроет какой-нибудь обильный источник финансирования, можно быть уверенным, что завтра найдется средство, чтобы либо этот источник вновь открыть, либо найти другой.
Продолжение статьи - читать.