Ловушка для хакера

“Если кто-то начнет стрелять в вас из пистолета, то самым последним, что вас будет заботить при этом – это калибр оружия” – начинает Джордж Куртц, глава CrowdStrike, молодой IT-компании. Сидя за кофейным столиком на Black Hat – конференции по кибербезопасности, проводимой в Лас-Вегасе, господин Куртц разъясняет фундаментальную ошибку, которую, как ему кажется, совершают фирмы, сталкивающиеся с кибератаками. Большинство, по его словам, тратит чересчур много времени на то, чтобы понять, что случилось с ними - и слишком мало внимания уделяет пониманию мотивов атакующих, а также тому как противостоять им в будущем.

Ловушка для хакеров

CrowdStrike является большим сторонником технологий “активной обороны” - сейчас о них говорят очень много в отрасли кибербезопасности. Сторонники этих технологий доказывают, что те, кто полагают, что файрволов, антивирусов и других программ, обеспечивающих безопасность компьютера, - достаточно, чтобы сети стали безопасными – обманывают сами себя. Вместо того, компаниям следует допускать, что их системы ненадежны и самим навязывать борьбу хакерам. Методы, через которые они предлагают делать – это размещение ложной информации в системах, чтобы запутать воров, а также создание серверов-приманок, там. где будет собираться информация о вторгшихся в систему.

Существует опасение, что подобные разговоры об активной обороне могут поощрить компании идти и дальше, и “взламывать в ответ ” своих врагов, даже, несмотря на то, что во многих странах запрещено подобное. Согласно исследованию, в котором принял участие 181 участник конференции Black Hat в прошлом году, только треть опрошенных заявили, что они уже задействовали некоторые виды контрударов по хакерам.

Беспокойство по поводу интернет-мстителей не останавливают «денежные мешки» от инвестирования в технологические компании, которые ищут прибыль в активной обороне. Взять хотя бы случай Endgame – фирмы, специализирующейся на адаптации технологий, разработанных спецслужбами, под коммерческое использование. В марте при повторном привлечении финансирования, фирме удалось собрать 23 миллиона, а также заманить Кеннета Минихана, бывшего директора Агентства Национальной Безопасности. Endgame уже разработала программу под названием “Bonesaw” – она определяет, что за программное обеспечение используют подключившиеся к сети. Этим могут воспользоваться компании – для определения уязвимостей у себя самих, однако, нельзя забывать о том, что воспользоваться этим ПО можно и в обратных целях.

Бред и белиберда

Так же как и другие фирмы, специализирующиеся на IT, фирмы, работающие над активной обороной используют облачные вычисления. И вычислительные данные огромных размеров. CrowdStrike разработала облачный сервис, который анализирует информацию об атаках по всей Сети, а затем совмещает его с аналитикой от собственной команды исследователей. Со своих клиентов сервис взимает плату от 25000 до нескольких сотен тысяч долларов за год. На конференции Black Hat разработчики из Endgame продемонстрировали систему под названием “BinaryPig”, которая изучает массивы данных как раз, чтобы помочь опознать и понять поведение хакеров через поиск шаблонов в зловредном ПО, которое они используют для проникновения в другие системы.

Некоторые компании сосредоточились на технологиях экранирования ПО, которым пользуются хакеры для проникновения на сайты для “выуживания”, или же, по-другому – извлечению контента. CloudFare – один из подобных стартапов, разработал сервис под названием Maze, который они сами гордо описывают “виртуальным лабиринтом бреда и бессмыслицы ”. Этот сервис обнаруживает похитителей контента и направляет их не на нужный материал, а на всякий шлак на сайте.

Джон Стрэнд, эксперт по активной обороне в Институте SANS – фирме, специализирующейся на обучении компьютерной безопасности, говорит, что целью всех этих технологий является увеличение затрат, которые делает хакер в надежде, что это обогатит его в будущем. Но это не для того, чтобы опустошать чужие сервера. “Мы работаем с атомом, а не ядерным оружием”, - заявляет он.

Защита или преступление

Но некоторые эксперты по кибербезопасности оспаривают точку зрения, что компаниям должна быть дана законная свобода для апробирования этих серверов. Стюарт Бэйкер, бывший служащий министерства внутренней безопасности США, сейчас работающий в Steptoe & Johnson – юридической фирме, полагает, что компаниям должна быть предоставлена возможность “ответного расследования ” в особо исключительных случаях. “Существует разница между героем-мстителем и частным сыщиком”, - настаивает он. Он также предлагает, чтобы правительства задумались над лицензированием специализированных фирм, проводящих расследования в соответствии с жесткими правилами, а не просто полагаться на собственных кибердетективов.

Другие голоса, доносящиеся из индустрии, предупреждают, что наделение частных компаний правом взламывать чужие сервера, даже в интересах обеспечения собственной безопасности может привести к серьезным проблемам. “Это идиотская стратегия - взвинчивать ставки – когда не знаешь, с кем ты связался”, - говорит Джеффри Карр из Taia Global – консалтинговой фирмы по проблемам безопасности. Карр отмечает, что спровоцированные хакеры могут ответить еще больнее, что развяжет в итоге войну.

Даже некоторые из приемов, используемые такими фирмами как CrowdStrike могут привести компании к беде. Например, компании может показаться весьма умным попробовать «поставить» хакеров на деньги – оставив где-нибудь в системе фальшивые аккаунты, которые могут продемонстрировать, что финансовое состояние организации хуже, чем кажется. Но если вместо того, чтобы воспользоваться информацией в собственных целях – для заключения нечестных сделок – хакеры выкинут информацию на рынок, то фирме придется столкнуться с финансовыми регуляторами.

Несмотря на подобные риски, которые можно минимизировать через совместную с другими компаниями координацию усилий в сфере IT и законодательства, эксперты по безопасности предсказывают, что популярность приемов активной обороны возрастет. Одной из причин этого является то. что компании все в большей степени задействуют облачные вычисления и смартфоны – так что становится еще сложнее установить границы защищаемой зоны IT-систем.

“Если вы не знаете где начинается и заканчивается ваша территория, то построить ограду вокруг нее и выкопать ров у вас вряд ли получится”, -

объясняет Нильс Пульман, бывший глава безопасности в Zynga, компании, занимающейся играми для соцсетей, а ныне основатель промышленной группы Cloud Security Alliance.

И он прав. Но это не просто менталитет IT-команд, который нужно менять. Сегодня многие менеджеры полагают, что то, что находится в пределах корпоративных файрволов – отлично защищено. Но сегодня киберпреступники перебираются даже через самые высокие преграды и безнаказанно, так что бизнесменам следует разъяснить бинарную структуру современной безопасности. Неважно где хранятся данные – потребуется сильная и умная защита, чтобы уберечься от хакерских атак.