Информбезопасность: страхи нынешнего лета

Начало нынешнего лета принесло затишье во многие отрасли IT-индустрии. Но только не в отрасль информационной безопасности. Хакерская активность не снижается, как не снижают свою активность и правоохранительные органы. Вечное противостояние продолжается, не обращая внимания на сезон отпусков.

Хакерские атаки: новое

Хакерская группировка Lulz Security заявила о взломе внутренней сети Сената США. Сообщение об этом появилось 13 июня на сайте группировки. Хакеры опубликовали длинный список файлов, предположительно, похищенных с сервера Сената. При этом в Lulz Security отметили, что это лишь малая часть внутренних данных с сайта, которые им удалось получить.

«Нам очень не нравится американское правительство. Их корабли слабы, их шутки не смешны и их сайты не очень хорошо защищены», – заявили хакеры в своем пресс-релизе. Представитель Сената подтвердил, что в выходные хакеры действительно проникли во внутреннюю сеть Сената, и добавил, что служба компьютерной безопасности американского конгресса проведет расследование инцидента. Как подчеркнули в службе кибербезопасности, ущерб от действий хакеров минимален, и данные, хранящиеся во внутренней сети Сената, достаточно защищены.

Ранее хакеры из Lulz Security совершили успешные атаки на сервер подразделения ФБР – организации InfraGard, а также на сайт подразделения корпорации Sony. Кроме того, хакерская группировка взломала сайт американской телекомпании PBS в ответ на то, что на канале был показан фильм, критикующий создателей ресурса WikiLeaks.

А вот другое проявление хакерской активности. Хакеры вторглись в специализированный новостной источник, чтобы внедрить сфабрикованную историю о том, что исследователи Микко Хиппонен и Брайан Кребс якобы были арестованы после того, как их поймали на продаже данных украденных кредитных карт.

Мошенническая «новостная статья», опубликованная на fraud-news.com, содержит информацию, что Кребс и его «boyfriend» Хиппонен, позиционирующие себя как уважаемые исследователи безопасности, продали 1.5 млн взломанных аккаунтов, нанеся ущерб в $75 млн. Статья включала отфотошопленный скриншот подпольного форума, содержащий сфабрикованный диалог между Кребсом (он же BlazinKrabz) и Хиппоненом (он же WhiteHippo), в котором представлено обсуждение продажи украденных номеров кредитных карт.

Все эти заявления – полная ложь. В действительности данная фейковая статья представляет собой модифицированную версию реальной статьи Кребса, которую он написал четыре года назад для Washington Post. Поддельный снимок основан на модифицированном отрывке из подлинного форума киберпреступников, omerta.cc.

«Позвольте мне официально заявить, что я не арестован и никак не связан с продажей украденных кредитных карт», – сказал Хиппонен, добавив, что намеки на его романтические отношения с Кребсом также чепуха. «Мне нравится Брайан, но не с этой точки зрения», – пишет он.

Фейковая новостная статья была индексирована Google, и в результате ее прочли некоторые интернет-серферы. Несмотря на неправдоподобность заявлений, Кребсу и Хиппонену пришлось восстановить истинное положение вещей для отдельных личностей, принявших историю за чистую монету. Тот факт, что киберпреступники изо всех сил старались дискредитировать Хиппонена и Кребса, наводит на мысль, что дуэт наносит ущерб черному рынку хакеров, публично обнародуя их стратегии и темные дела. Это может иметь действенное влияние на операции киберпреступников.

Например, ранее Хиппонен сообщил, что власти заморозили швейцарский банковский аккаунт двух распространителей поддельных антивирусных программ: Сэма Шайлешкумара и Бьерна Сундина. Обоим преступникам предъявили обвинения и поместили в список разыскиваемых Интерполом в связи с scareware- операцией под названием Innovative Marketing Ukraine. Шайлешкумар имеет американский паспорт, в то время как Сундин является шведом. Кребс недавно назвал имена и представил дополнительную информацию о деле, связанном с двумя подозреваемыми в преступлениях с использованием ботнета Rustock, Владимиром Шергиным и Дмитрием Сергеевым. Эти двое являются подозреваемыми, потому что Webmoney-аккаунты, зарегистрированные на их имена, применялись для аренды серверов, используемых как командные и контрольные узлы для распространяющего спам ботнета Rustock, а также оказались в просочившейся базе данных пресловутого спамового инструмента SpamIt.

И еще один прецедент. Международный Валютный Фонд стал жертвой компьютерной атаки, которую эксперты назвали масштабной и сложной даже по современным меркам, когда хакеры буквально ежедневно сообщают о новых нападениях и новых украденных данных.

Фонд по своей природе является огромным хранилищем конфиденциальной информации о финансовых операциях по всему миру. Ряд источников в МВФ, знакомых с деталями инцидента, говорят, что атака была одновременно сложной, целевой и «очень серьезной». «Это был очень серьезный взлом», – заявил в интервью The New York Times источник, просивший не разглашать его имени. Он отметил, что данная атака была впервые проведена еще несколько месяцев назад и к последним скандалам, связанным с директором МВФ Домиником Стросс-Каном, она никакого отношения не имеет. Источник говорит, что хакеров интересовали некие конфиденциальные финансовые сведения.

По заявлению экспертов, Фонд оказался в центре программ помощи экономикам Португалии, Греции и Ирландии, кроме того, сейчас различные структуры здесь занимаются и рядом сторонних финансовых программ, информация о которых могла бы сказаться на мировых финансовых рынках. Помимо того, МВФ ведет переговоры о предоставлении помощи странам, поэтому такая информация напрямую оказывает влияние на стоимость гособлигаций данных стран. По данным источников, опасения, связанные с атакой, оказались столь значительны, что Всемирный Банк, международное агентство, связанное с экономическим развитием, чей главный офис находится в Вашингтоне неподалеку от МВФ, физически отключил сеть, связывающую два финансовых института.

Противодействие: хакеров из Anonymous серьезно прижали

В Испании, в городах Барселона, Аликанте и Альмерия, задержаны трое членов группы Anonymous, причастные к хакерским атакам на правительственные и корпоративные серверы, в том числе на сервис PlayStation Network. По данным испанской полиции, хакеры использовали для координации атак сервер, который находился в частном доме в городе Хихон на севере Испании.

За последний год группой Anonymous были атакованы серверы испанских банков BBVA и Bankia, итальянской энергетической компании Enel, а также сервисы PlayStation Network и Sony Online Entertainment. Кроме того, хакеры участвовали в масштабных атаках на правительственные сайты Египта, Алжира, Ливии, Ирана, Чили, Колумбии и Новой Зеландии. Представители полиции заявили, что хакеры использовали для атак системы ботнетов. Ранее поступали сообщения о том, что спецслужбы США и Великобритании также расследуют атаки, организованные группой Anonymous.

20 апреля после масштабной хакерской атаки был отключен один из самых крупных игровых сервисов в мире – PlayStation Network. Подозрения пали на группу Anonymous, которая до этого не раз делала заявления угрожающего характера в адрес Sony. Anonymous отвергла все обвинения, но многие аналитики считают, что отдельные члены группы могли начать атаку самостоятельно. Только 1 июня работа PSN была полностью восстановлена. В сети PSN зарегистрировано около 78 млн учетных записей; в ней также содержится около 10 млн записей о банковских картах. Атака на PlayStation Network стала одной из самых масштабных в истории.

Спамеры: найдена их ключевая уязвимость

Согласно исследованию, проведенному группой независимых экспертов из Университетов Калифорнии в Сан-Диего и Беркли, а также Университета Будапешта, для того чтобы подорвать экономику спамеров, не нужно прилагать титанических усилий, а достаточно обратить внимание всего на три банка, которые обрабатывают платежи от 95% спамовых транзакций.

Исследователи говорят, что с целью эксперимента сделали около сотни заказов через сайты, рекламирующие услуги спамеров, и выяснили, что более 95 заказов принимали и проводили платежи через три банка.

Исследователи сообщают, что не только заказали услуги по рассылке спама, но и попытались купить товары, рекламируемые при помощи спама. В результате исследования было установлено, что на рынке активно присутствуют как минимум 45 аффилированных торговых сетей. Авторы отчета совершили 120 покупок через разные сети, чтобы отследить ход денег до продавцов. Из всех платежей 76 были успешно одобрены банками и проведены, 56 платежей были завершены и заказ был подтвержден продавцом. 49 продуктов были реально доставлены по ранее сделанным заказам.

Несмотря на все разнообразие продуктов, услуг, аффилированных сетей и поставщиков, бэк-энд архитектура здесь оказалась на удивление узкой. К примеру, известная спам-сеть Rustock, которая некогда отвечала за рассылку до 30% глобального спама, переводила почти все платежи через один банк. Около 60% спамовых доменов регистрируются через пять основных доменных регистраторов, 50% DNS-серверов обслуживаются через 10 основных DNS- операторов. Регистрировать домены спамеры предпочитают всего в 10-12 зонах.

Когда дело доходит до денег, то бэк-энд становится еще уже. Из трех банков, помогающих спамерам, есть один явный фаворит: около 60% финансовых транзакций идет через азербайджанский банк Azergazbank, еще примерно по 20% – через Национальный банк островов Сент-Китс и Невис и через латвийский DnB Nord, принадлежащий норвежским акционерам.

Эксперты говорят, что проблема отказа в случае данных трех банков, конечно, не решила бы проблемы спама, но на какое-то время блокировала бы подавляющее число спам-платежей. В более долгосрочной перспективе они призвали к созданию межбанковского соглашения о блокировке спам-платежей. Нечто подобное уже применяется в США, когда банки отказываются проводить платежи в пользу онлайн-казино.

Юридические аспекты: безответственность узаконят

В юридической системе США может появиться новый правовой прецедент, согласно которому банк не несет ответственность за незаконные операции, проведенные с банковскими счетами, если этим банком были предприняты «разумные» меры безопасности для предотвращения мошенничества. Основой данного прецедента стало судебное дело, инициированное строительной компанией PATCO Construction Inc. против Ocean Bank, в котором у компании был открыт счет. В мае 2009 года счет компании был взломан злоумышленниками, которые в течение нескольких дней провели ряд мошеннических операций. В результате этих операций более полумиллиона долларов было переведено на счета мошенников. Обнаружив пропажу денег, компания известила банк, которому удалось остановить проведение некоторых транзакций и вернуть около $230.000.

По всей видимости, хакерам удалось похитить учетные данные компании с помощью специально разработанной троянской программы. В PATCO утверждают, что банк не обеспечил надлежащий уровень безопасности для защиты своих счетов и не заметил мошеннической деятельности вовремя.

Судья в этом деле принял сторону Ocean Bank. Решающими аргументами в пользу Ocean Bank стало использование стандартных методов аутентификации, а также наличие договора между Ocean Bank и PATCO Construction Inc, в котором оговорены политики информационной безопасности, применявшиеся банком.

Утечки данных: в России взялись за проблему

В России Роскомнадзор совместно с полицией начал серьезно преследовать продавцов компьютерных баз, содержащих персональные данные. Но отлов мелких торговцев не решит проблему с кражей персональных данных, предупреждают юристы.

Информация о краже персональных данных в России появляется с завидной регулярностью. В 1998-м стало известно о краже данных о 100.000 абонентов «Вымпелкома», в 2003 году – о 5,5 млн абонентов МТС. В 2004-м злоумышленникам удалось заполучить информацию о доходах 9,9 млн человек, хранившуюся в Министерстве по налогам и сборам. В том же году рассекреченной оказалась база Пенсионного фонда, содержащая сведения о 7 млн человек. В 2005 г. на рынке появились реестры акционеров «Лукойла», МТС и 800 других акционерных компаний, которые похитили у регистратора «Никойл», а в 2010-м – сводная база данных кадровых агентств (резюме 847.000 соискателей).

8 июня cсотрудники Роскомнадзора вместе с оперативниками ГУВД Москвы провели рейд в торговом комплексе «Горбушкин двор» и обнаружили, что в нем продаются CD, предположительно содержащие базу данных зонального информационного центра ГУВД за 2009 год. Об этом сообщила пресс-служба Роскомнадзора. Изъято около 40 дисков, сообщил замначальника управления Роскомнадзора Юрий Контемиров. Ведется доследственная проверка, решается вопрос о возбуждении уголовного дела, сообщил сотрудник одного из подразделений ГУВД. В этой базе – данные об адресах граждан и их судимостях. В России ответственность за распространение персональных данных предусмотрена Кодексом об административных правонарушениях (штраф от 300-500 руб. для граждан, до 5000-10.000 руб. для юрлиц) и двумя статьями Уголовного кодекса – 137-й (нарушение неприкосновенности частной жизни) и 272- й (неправомерный доступ к компьютерной информации), по которым максимальное наказание предполагает до пяти лет лишения свободы. Но по итогам предыдущего рейда, который состоялся в марте на Савеловском рынке Москвы, в отношении владельцев торгового павильона было возбуждено лишь дело об административном правонарушении (штраф до 2000 руб.).

Отныне Роскомнадзор будет систематически выявлять и пресекать незаконное распространение персональных данных, в том числе совместными рейдами с сотрудниками правоохранительных органов, обещает его представитель. По словам Контемирова, по требованию Роскомнадзора в судебном порядке уже прекращена работа 19 интернет-сайтов, незаконно распространявших персональные данные.

По оценке президента антипиратской ассоциации «Русский щит» Юрия Злобина, в Москве насчитывается около 50 стационарных торговых точек, торгующих дисками с базами данных. Их оборот составляет 50-85 млн руб. в месяц, оценивает он. Правда, большая часть баз продается с рук, сказал Злобин: в подземных переходах, на перекрестках и т. п.

Но на лотки попадают базы данных трех- или четырехлетней давности, информация на которых безнадежно устарела. Более свежую информацию можно получить в специализированных консалтинговых компаниях. Единичный запрос о паспортных данных конкретного лица, автомобиле или, к примеру, состоянии счета той или иной фирмы стоит 500-3000 руб., утверждает Злобин.

Практики привлечения к ответственности похитителей конфиденциальный данных практически нет из-за серьезных пробелов в законодательстве и отсутствия отраслевых стандартов экономической безопасности, отмечает заместитель гендиректора группы компаний «Генезис» Сергей Лялин. Из-за утечки персональных данных страховые компании, например, несут в первую очередь имиджевый ущерб: их клиенты раздражены и напуганы назойливыми звонками с предложениями «альтернативных» услуг, говорит Лялин.

Отлов мелких торговцев дисками не решит проблему с воровством баз данных, убежден начальник юридического управления Avangard Asset Management Эльдар Назмутдинов. По его мнению, привлечь к ответственности конечных продавцов по статьям УК, которые называет Роскомнадзор, практически невозможно. 137-я статья предполагает ответственность за передачу информации о конкретном лице без его согласия, а не базы данных, содержащей сведения о большом количестве людей, говорит Назмутдинов. А 272-ю статью можно применить лишь к хакерам или инсайдерам, непосредственно похитившим информацию, – она уже неприменима к третьим лицам, к которым впоследствии попадают эти данные, считает он.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 23 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета