Киберпанк-2020. Атака на всех

Киберпанк-2020. Атака на всех

Истории 09 января 2021 Константин Епифанов

Согласно отчёту ACR о совершённых в 2019 году киберпреступлениях, в мире каждые 14 секунд происходит утечка данных. Уже к следующему году интервал может сократиться до 11 секунд. Сообщения о кибератаках с разными целями появляются ежедневно, а обвинения того или иного государства в их организации становятся инструментом информационной войны. Чем больше данных копится в многочисленных базах, тем ближе к обывателю становится проблема.

Брешь в доспехах

Несколько дней назад вступил в силу приговор сотруднице «Альфа-Банка» из Омска Юлии Кузькаловой. Она признана виновной в продаже данных ВИП-клиентов банка. Просьба продать данные одного из клиентов пришла с анонимного аккаунта в Telegram, цена – всего 8 тыс. рублей. Юлия согласилась и отправила все сведения: фамилию, имя, отчество, номера счетов, данные о валюте, доступных остатках. В материалах дела сказано, что уже через минуту информацию об утечке конфиденциальных данных получили сотрудники Бюро специальных технических мероприятий (БСТМ) МВД РФ. Выйти на след инсайдера в омском «Альфа-Банке» оказалось нетрудно, и, вероятно, это была контрольная закупка.

Потенциальных преступников в сфере кибербезопасности правоохранительные органы нередко ловят на живца, говорит известный российский программист Дмитрий Артимович. Однако чаще подобные утечки баз данных происходят целенаправленно.

Три самых распространённых способа слива конфиденциальной информации – утечка внутри компании, взлом оборудования или массовая хакерская атака.

Первый путь крайне популярен из-за того, что за подобные преступления не предусмотрено суровое наказание, считает собеседник.

– Почему сотрудники сливают данные? Например, пойти на какой-то форум, даже чтобы пробить чей-то телефон, не составит труда. То же самое и с банковскими данными – наказания за это не такие большие. Если бы дали, например, публично 15 лет наказания за слив базы данных, то это сразу прекратилось бы, – рассказал Артимович.

Гораздо сложнее взломать систему, так как развитые компании по большей части готовы к атакам извне. Но даже крупные международные корпорации допускают ошибки и оставляют незащищёнными свои данные.

«Найти какую-то дырку в защите банка достаточно сложно. Но можно провести массовое заражение компьютеров, на андеграунд-форумах продают софт, трафик, который вставляет ссылку на ваш скрипт».

Дмитрий Артимович | программист Дмитрий Артимович
программист

– Полгода назад у Canon зашифровали таким образом винчестер, и много данных пропало. Это значит, что в компании не обновляют компьютеры, не ставят антивирус, а сотрудники на рабочих местах, наверное, ходят по сайтам для взрослых, ведь большинство вредоносных ссылок как раз находится на таких ресурсах, – продолжает Дмитрий Артимович.

О хакерских атаках программист знает из личного опыта – он фигурант самого громкого в России дела о киберпреступлении. В 2010 году Артимович со своим братом по заказу устроили атаку на сайт «Аэрофлота», в результате которой пользователи в течение девяти дней не могли заказывать на нём билеты. «Октагону» эксперт рассказал, что тогда это показало неготовность российских компаний к борьбе с киберпреступностью.

– Как был защищён «Аэрофлот»? Никак. На новый сайт они влили примерно 130 млн, а платёжный канал у них был 10 мегабит. Примерно неделю эту атаку пыталась отбить «Лаборатория Касперского», но у них не получалось. Делайте выводы, – говорит Артимович. Он всё ещё уверен в том, что осудили его по политическим мотивам, а настоящих доказательств вины найти не удалось.

Внутренний конфликт

Описанную Артимовичем ситуацию сейчас представить сложно, так как системы безопасности за последние десять лет сильно изменились. В новейшей российской истории немало случаев утечки персональных данных, последние инциденты – заслуга не хакеров, а халатных операторов баз данных.

В начале этого декабря в интернет попала база данных переболевших коронавирусом москвичей.В начале этого декабря в интернет попала база данных переболевших коронавирусом москвичей.Фото: Сергей Бобылев/ТАСС

В начале декабря в Сеть утекла база данных переболевших коронавирусом жителей Москвы. Пользователи интернета могли через поисковики найти Google-таблицы с Ф. И. О., адресом проживания, диагнозом пациентов. Сведения датированы апрелем – июнем 2020 года. По словам собеседника «Октагона», который одним из первых обнаружил утечку, даты в этом случае имеют важное значение:

– По самим базам видно, что они создавались наспех – просто на тот момент не было другого способа обрабатывать такие объёмы информации. Очевидно, что в апреле система ещё не была готова к таким нагрузкам. А к июню они лишь увеличились.

Впрочем, столичные власти не согласны с несостоятельностью самой системы в целом, на которую указывает источник. В то же время чиновники не стали заявлять о хакерских атаках, как это было в начале пандемии. Глава департамента информационных технологий Москвы Эдуард Лысенко считает, что причиной появления базы данных в открытом доступе стал человеческий фактор.

«В ходе проверки информации об утечках персональных данных москвичей, переболевших коронавирусом, было установлено, что взломов и какого-либо другого несанкционированного вмешательства в работу информационных систем правительства Москвы не было. Утечка произошла вследствие человеческого фактора: сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам».

Эдуард Лысенко | глава департамента информационных технологий Москвы Эдуард Лысенко
глава департамента информационных технологий Москвы

Всего в открытом доступе оказалось не меньше 60 таблиц, каждая из которых содержала до 100 тысяч строк – это больше полумиллиона пациентов.

Кому нужны наши данные

Мониторингом преступлений в сфере информационной безопасности занимаются профильные компании. «Октагон» связался с администратором популярного телеграм-канала In4security, который занимается поиском и расследованием крупных утечек баз данных. Например, в середине декабря канал обратил внимание на то, что в открытом доступе находится домашний FTP-сервер сотрудника компании ООО «Техмет» – на нём обнаружили прайс-листы, чертежи оборудования и другую информацию, которая может составлять коммерческую тайну. Причина утечки в том, что кто-то из сотрудников воспользовался рабочим флеш-накопителем дома, распространив таким образом его содержимое.

По мнению специалистов, зачастую утечка данных происходит из-за так называемого человеческого фактора – небрежности при настройке информационных систем или элементарной недобросовестности сотрудников.По мнению специалистов, зачастую утечка данных происходит из-за так называемого человеческого фактора – небрежности при настройке информационных систем или элементарной недобросовестности сотрудников.Фото: Донат Сорокин/ТАСС

– Анализ большинства публичных утечек информации за последние два года показывает, что значительное их число связано не со злонамеренными действиями атакующих, а с банальной небрежностью при настройке информационных систем или недобросовестным отношением сотрудников к вопросам обеспечения информационной безопасности, – рассказал изданию администратор канала.

Как отмечает собеседник, в даркнете свежие базы с персональными данными наших сограждан появляются практически ежедневно. Зачастую это базы клиентов какой-либо компании или интернет-магазина. Обычный набор для них – Ф. И. О., адрес, телефон. Чуть реже встречаются паспортные данные, ещё реже – пароли или их хеши.

– Несмотря на то, что Ф. И. О. и телефон не несут непосредственной угрозы, в то же время они активно используются в процессе OSINT, спам-обзвонов или обзвонов, которые совершают банковские мошенники. Если утечка содержит номер банковской карты, эта информация может быть использована для таргетированной атаки на клиентов какого-либо банка, – продолжает эксперт.

Администратор канала не исключает, что личные данные россиян могут быть использованы также и злоумышленниками из-за границы. Собеседник говорит об интересе к такой информации за рубежом – на первом месте криминальные структуры из сопредельных государств.

Не секрет, что многие банковские мошенники, например, работают не из России просто потому, что так безопаснее, уверяет источник.

– Кроме того, подобные оказавшиеся в открытом доступе сведения могут быть использованы (и наверняка используются) спецслужбами других государств. В целом же ежедневно в мире происходят сотни утечек информации, многие из которых оказываются в общем доступе. Часто данные дублируются, комбинируются пользователями, часто они содержат огромное количество различного мусора. В то же время вычленить из них важную информацию вполне возможно, – объясняет специалист.

Атаки снаружи

В МИД РФ заявили, что главный источник опасности в сфере киберпреступлений для России – США. Об этом сказал замглавы ведомства Олег Сыромолотов: «Что касается киберугроз в информационном пространстве в целом, то, по оценкам ведущих зарубежных и российских компаний в области информационной безопасности, большая часть вредоносной активности исходит с территории США».

Заявление было сделано на фоне очередного скандала с Алексеем Навальным и расследованием Bellingcat, в ходе которого якобы вычислили отравителей политика. Внимание стоит уделить методам, при помощи которых проводился сбор информации, – они заключаются в незаконном получении данных о передвижениях, телефонных биллингах, купленных авиабилетах.

Все эти сведения являются закрытыми, и рядовой гражданин не имеет к ним доступа. В узких кругах эта сфера услуг называется «пробив». По большей части предложения распространяются в даркнете или в анонимных мессенджерах. «Октагон» связался с одним из поставщиков таких услуг, по словам которого, из-за инцидента с Навальным они лишь выросли в цене.

На волне хайпа расследований об отравлении Навального подскочили цены на услуги по «пробиву».На волне хайпа расследований об отравлении Навального подскочили цены на услуги по «пробиву».

Собеседник предоставляет информацию по нескольким направлениям: мобильный «пробив», получение сведений о паспортных данных, авиаперелётах за любой указанный срок и даже местонахождении человека. Размер оплаты услуги в каждом случае рассчитывается индивидуально, в отношении мобильных данных это зависит от оператора сотовой связи, говорит источник. Стоимость получения детализации звонков за последний месяц может варьироваться от 1,5 тыс. до 15 тыс. рублей. Собеседник объясняет большую разницу тем, что некоторые операторы предоставляют данные самостоятельно, а другие делают это только через сотрудников МВД.

Также предоставляются сведения о передвижениях человека – через систему «Розыск-Магистраль». Стоит эта услуга относительно недорого – от 1,5 тыс. до 3,5 тыс. рублей за одну запись. Примерно такие же расценки при «пробиве» через систему «Российский паспорт», благодаря которой можно узнать данные по всем российским заграничным и внутренним паспортам.

Источник издания подчёркивает, что отследить, от кого приходят запросы на получение личной информации, невозможно. Таким образом, к данным россиян имеют прямой доступ как злоумышленники внутри страны, так и зарубежные преступники и спецслужбы.

Рынок «пробива» пользовался спросом давно, однако именно сейчас он становится популярным и таким образом в какой-то степени легитимизируется.

По его словам, сегодня и гражданам, и российским правоохранительным органам нужно быть готовыми ко всевозможным провокациям со стороны преступников, в том числе из-за границы.

Из-за кибератак, которые страны приписывают друг другу, и бездоказательных обвинений в адрес «русских хакеров» международные отношения будут только ухудшаться, считает политолог Малек Дудаков. Он приводит в пример так называемый «Рашагейт», когда Россию обвинили во вмешательстве в американские выборы и лоббировании интересов Дональда Трампа. Тогда не удалось найти прямых доказательств вины «российских хакеров», однако это привело к формированию устойчивого стереотипа о том, что отечественные программисты имеют отношение ко многим скандалам в области международной кибербезопасности.

– Вся вина возлагалась на «русских хакеров», и сейчас сформировался некий стереотип. Если происходит какая-то хакерская атака, то ответственность сразу падает на Россию, хотя нет прямых доказательств. Это очевидный подход, поэтому какого-то потепления отношений ждать не стоит, – говорит эксперт.