О том, почему “Мистер Робот” – пожалуй, главный сериал этого лета. Судя по всему, так считаем не только мы. Ведущие специалисты Kaspersky Lab, Сергей Ложкин, Александр Гостев и Сергей Голованов рассказывают, чем так интересен «Мистер Робот» и почему не стоит беспокоиться о том, что сотни школьников станут хакерами после просмотра этого сериала.

О реалистичности того, что происходит
на экране

Сергей Ложкин, ведущий антивирусный эксперт Kaspersky Lab:

Все предыдущие фильмы о «хакерах» на мой взгляд, выглядели скорее нелепо и весело. Бегущие по экрану непонятные символы, трехмерные эффектные схемы и различные «спецэффекты взлома» - все это смотрится интересно для обывателя, но у специалиста по безопасности - того, кто знает, как это происходит на самом деле, - вызывает лишь снисходительную улыбку. А вот в сериале «Мистер Робот» все показано на удивление правдоподобно, программное обеспечение, методика, команды - практически все как в реальной жизни за исключением некоторых огрехов, и, пожалуй, все равно присутствует элемент излишней простоты, с которой главному герою удается проникать в сети.

На удивление, откровенно наивных сцен почти не было, только чересчур быстро происходил взлом и получение информации, - в реальности это все гораздо дольше.

Ну и, наверное, слишком слабая информационная защита в такой серьезной корпорации. Не так-то просто заддосить или взломать компанию такого масштаба.

Александр Гостев, главный антивирусный эксперт Kaspersky Lab:

С точки зрения экспертов по информационной безопасности, пока в фильме слишком большой уклон сделан в сторону DDoS-атак, хотя на практике таким видом деятельности занимаются в основном малопрофессиональные киберпреступники. Настоящие специалисты, взламывающие сети корпораций, DDoS не жалуют.

Сергей Голованов, ведущий антивирусный эксперт Kaspersky Lab :

Тут действительно нет этих типичных голливудских приемов, вроде проецирования формул на лицо героя, когда он вводит код и что-то взламывает. Все как в реальной жизни. Эллиот действительно вводит существующие команды. Даже в первом эпизоде, когда он совершает DDoS-аттаку, все показано верно. Это действительно работает так: на сервере обнаруживают руткит (rootkit – набор вредоносных приложений, скрывающих свое присутствие на компьютере и позволяющих хакеру делать свои дела незаметно), его нужно найти и уничтожить.

В реальной жизни злоумышленники редко оставляют сообщения в коде самого трояна. Но я даже помню один троян, содержащий цитаты Шекспира.

Очень реалистично показана ситуация, когда главный герой, вместо того, что бы уничтожить руткит, создает chmod (программу для изменения прав доступа к файлам и директориям) и говорит, что он единственный, кто сможет его прочитать. К тому же в дополнение к трояну ему оставляют файл readme.txt. В реальной жизни злоумышленники редко оставляют сообщения в коде самого трояна. Но я даже помню один троян, содержащий цитаты Шекспира.

О непонятной терминологии

Сергей Ложкин: Для целевой аудитории этого сериала термины, такие как Tor, DDoS-атака и тому подобное, безусловно, знакомы. Все-таки те, кому интересен данный сериал, достаточно продвинутые пользователи.

Александр Гостев: При этом не стоит забывать, что для широкой аудитории термины все-таки не столь важны. Представьте себе любой фильм, где рассказывают о работе врачей, да хоть тот же «Доктор Хаус». Многие ли зрители, даже после сериала, знают что такое волчанка или интубирование? На популярность и смотрибельность это не влияет».

О том, почему людям это интересно

Сергей Голованов: Когда я узнал, что вышел новый сериал про хакеров, меня это нисколько не заинтересовало. Честно говоря, для меня «Игра Престолов» является единственным сериалом, достойным внимания. Но однажды я случайно наткнулся на «Мистера Робота» и решил все-таки посмотреть. Я не ожидал увидеть что-то экстраординарное, но стоит признаться, был удивлен, в первую очередь реалистичностью.

Создатели использовали несколько беспроигрышных приемов: шизофрения, как в «Бойцовском клубе», хакеры-аутисты и внешний мир, как в «Девушке с татуировкой дракона», и главный герой, который противостоит всему обществу и «людям в черном», что напоминает «Матрицу».

Сразу после пилотного показа сообщили о втором сезоне, что свидетельствует о большом интересе к этой теме. Почему? Возможно, потому что он рассказывает о том, что окружает нас каждый день. Что касается способов взлома, все показано абсолютно достоверно. Главный герой успешно использует социальную инженерию, взламывает электронные ящики и профили в социальных сетях психоаналитика, своей одноклассницы и ее бойфренда. Последний даже использует пароль «123456Seven», и когда Эллиот это обнаруживает, воспринимает его как полного дурака. Порой сериал можно использовать в качестве учебника того, как не надо делать.

О роли соцсетей в работе хакеров

Сергей Ложкин: Сбор данных о человеке в соцсетях может быть очень эффективным для проведения последующих атак, например, с помощью элементов социальной инженерии. Можно составить социологический, а возможно, и психологический портрет человека, его друзей, увлечений и т.д. и на основании этой информации отправить письмо с вредоносным вложением, которое не вызовет у него подозрений и которое он действительно запустит.

Александр Гостев: Достаточно вспомнить информацию из материалов Эдварда Сноудена, где описано, насколько американская система безопасности, созданная спецслужбами, основывается на данных из социальных сетей. По сути дела, для государства это сегодня является самым важным источником информации о любом человеке.

О субкультуре хакеров

Сергей Ложкин: Сейчас, наверное, уже нет признаков хакерской субкультуры как таковой. Реальный хакер может обладать любой внешностью, быть приверженцем любых стилей, музыкальных направлений и т.д. Современные хакеры в основном интересуются исключительно деньгами, поэтому романтического ореола, коробок с пиццей и полутемных комнат с несколькими компьютерами где-нибудь в подвале уже не встретишь. Единственное, что, возможно, по-прежнему объединяет хакеров-одиночек, - это антиглобализм.

Об опасности хакерских групп в реальной жизни

Сергей Ложкин: Все зависит от того, кто производит атаку. Если это простой хулиган, подросток, мошенник, то взломать серьезно защищенную сеть ему вряд ли удастся. «Анонимусы» и прочие, как мы их называем, хактивисты не являются такими уж страшными и профессиональными с точки зрения их навыков. Подобные группировки в основном берут своей многочисленностью, но действительно крутых специалистов, обладающих уникальными знаниями, среди них единицы. Другое дело, если за атакой стоят подразделения кибернаемников или спецслужбы государства, тогда подобные атаки в большинстве случаев могут быть успешными.

Александр Гостев: Многие критические системы в интернете действительно слабо защищены или основаны на неправильных принципах безопасности. Осуществление кибератак, способных парализовать работу финансовых рынков или элементов транспортной инфраструктуры, вполне реально - более того, различные инциденты (пока без серьезных последствий) уже были. Худший сценарий - мы вернемся в век паровых двигателей и лошадей.

Сергей Голованов: Насчет опасений, что после этого популярного сериала целая толпа вдохновленных подростков пойдет взламывать крупные компании, скажу, что корпорации в силах защитить себя от любителей. Конечно, найдется и несколько одаренных гениев, как Эллиот, но они настолько оторваны от всего мира, что вряд ли шоу на ТВ способно повлиять на их мировоззрение. Зато школьники могут начать ставить Linux, учиться работать в терминалах, изучать методы социальной инженерии. Все это может быть к лучшему: поколение защитников информации вырастает именно на таких сериалах.

Читайте нас у
Telegram

Для кибернападения на сайт RT злоумышленники использовали DDoS-атаки, или, иначе говоря, распределённые атаки типа «отказ в обслуживании» (Distributed Denial of Service). Как объяснил эксперт, подобные атаки хакеры проводят с помощью особых ботов, имитирующих массовые запросы со стороны пользователей.

«Представьте сайт в интернете. Вы пытаетесь получить к нему доступ, но когда вы пытаетесь это сделать со своего браузера — вы просто не можете его открыть. Вы просто видите белый экран или сообщение о технических работах, но не содержимое сайта, которое вам нужно. Это как раз атака типа «отказ в обслуживани», которая обычно предпринимается киберпреступниками, атакующими сайт с помощью огромного количества запросов. Все эти запросы кажутся вполне обычными, но на самом деле это похоже на шторм — как будто тысячи людей в одну секунду одновременно пытаются получить доступ к сайту. Но это не люди, это всё компьютерные боты, которые стремятся перехватить доступ к ресурсу. Провайдер или сервер просто оказывается перегруженным этими запросами, и обычные пользователи не могут открыть страницу», — рассказал Сергей Ложкин.

По словам эксперта, проведение подобных атак требует серьёзной предварительной подготовки.

«Чтобы предпринять действительно эффективную атаку, вы должны иметь в распоряжении большое число заражённых компьютеров, с которых будут действовать боты. До начала атаки хакеры пытаются заразить компьютеры обычных пользователей. Когда их количество достигает необходимого уровня — нескольких сотен, нескольких тысяч, или даже больше, — они начинают кибернападение», — сообщил эксперт.

Подобные действия затрагивают не только сервера жертвы преступников, но и компьютеры обычных пользователей, которые преступники начинают использовать в своих интересах. Они отдают часть своей мощности на проведение атаки и работают медленнее.

Для борьбы с DDoS-атаками применяются специальные программные комплексы, которые способны отфильтровать запросы ботов или же перенаправить эти запросы, чтобы защитить сайт и оборудование от перегрузки.

Как отметил Сергей Ложкин, существует развитый рынок хакеров, работающих по заказу. Тот, кто заинтересован в кибератаке, может разместить свой заказ в сети и ждать, когда «наёмники» его выполнят.

«Заказчиками могут выступать кто угодно, однако, когда нападению подвергаются новостные агентства, общественные организации, журналисты и иные подобные цели, обычно организаторы действуют из политических интересов», — сообщил эксперт.

Подобные атаки могут длиться днями, если не позаботиться заранее о должных мерах предосторожности. Выяснить, откуда было произведено нападение или кто был его организатором очень сложно, а иногда и просто невозможно. Хотя иногда правоохранительным органам удаётся добиться успеха.

Самая крупная из серии атак на RT произошла в ночь на 9 августа — DDoS-атака смешанного типа (UDP-amplification и SYN-flood) на сайт RT.com состояла из двух этапов. Первый этап — атака на американский и европейский дата-центры — начался в 00:00 мск. На втором этапе произошло кибернападение на оборудование, размещённое в дата-центре RT в Москве. Полное прекращение DDoS-атаки было зафиксировано в 02:20 мск.

Ранее сайт RT.com неоднократно подвергался кибернападениям. В июле 2016 года масштабная атака на ресурс совпала по времени с попыткой государственного переворота в Турции. В сентябре 2014 года произошла самая мощная DDoS-атака на сайт RT за всё время его существования, которую удалось отразить благодаря усилиям технических специалистов.

Антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин рассказал The Village, как хакеры могут остановить лифты в офисах, запустить порноролик на рекламном щите или блокировать работу видеокамер

• Олеся Шмагун 17 января 2014
• 3863
• 2

Полиция в Подмосковье до сих пор не может восстановить работу поражённых вирусом камер видеофиксации нарушений. По данным «Газеты.Ру», несмотря на официальные заявления пресс-службы ГИБДД, около 20 камер из 140 по-прежнему не работают: напомним, 11 января неизвестные хакеры вывели из строя почти весь комплекс видеофиксации в Подмосковье. The Village поговорил с антивирусным экспертом «Лаборатории Касперского» о том, как устроены городские компьютерные системы и как их можно взломать.

Сергей Ложкин

Антивирусный эксперт «Лаборатории Касперского»

Сейчас всё контролируется с помощью электронного кода - начиная от умных домов и офисов, где компьютеры управляют всей инфраструктурой, системами кондиционирования воздуха и автоматическим затемнением стёкол в зависимости от освещённости, и заканчивая транспортными структурами городов - дорожным движением, объектами водоснабжения и так далее.

Но у любого компьютера, где бы он ни находился - в вашей спальне или в центре управления дорожным движением, -

существует одна проблема: он может быть заражён вредоносным программным обеспечением. Ведь разница между домашним компьютером и компьютером, управляющим камерами, - только в наборе программ. Если у простого пользователя это интернет-браузер, офисные программы или игры, то у администратора сети, управляющей камерами, это специальные интерфейсы для контроля, настройки, записи.

В остальном это тот же компьютер с операционной системой, и если он слабо защищён, то точно так же может стать жертвой вируса, как и домашний ноутбук, вот только, к сожалению, последствия могут быть гораздо тяжелее.

Создатели компьютеризированных систем управления городской инфраструктурой при разработке в первую очередь задумываются о том, чтобы сделать систему устойчивой, работоспособной при любой нагрузке, 24 часа в сутки в любую погоду. И, к сожалению, зачастую не уделяют должного внимания сетевой защите. Такие системы могут управляться устаревшими ОС с не обновлёнными версиями программного обеспечения, а антивирус часто вообще отсутствует.

Мы постоянно говорим нашим пользователям - обновляйте программное обеспечение, используйте последние версии браузера, это поможет вам защититься от заражения. Тот же самый подход требуется и к индустриальным системам. Киберпреступники прекрасно осведомлены об опасности устаревшего программного обеспечения и постоянно ищут в нём уязвимости. Вредоносное ПО, которое они разрабатывают, может использовать эти уязвимости для взлома и проникновения. Зловреды могут распространяться в интернете через социальные сети, программы обмена сообщениями, они записывают себя на флеш-карты и даже проникают в мобильные телефоны. Поэтому сейчас даже изолированные от интернета ресурсы могут быть под угрозой.

Активная деятельность хакеров приводит к тому, что мы становимся свидетелями всё более частого взлома индустриальных систем. Мы помним историю с трансляцией порнографии на рекламном видеоэкране на Тверской. Особенно часто подобные случаи происходят в США, так как там много объектов управляется компьютерными системами. Например, большую огласку получила история, когда были взломаны системы управления электроснабжением и целый район города остался без света. Также известен случай, когда был осуществлён взлом умного офиса: хакеры блокировали работу лифтов, и люди несколько часов не могли из них выбраться.

Кибератаки могут попытаться совершить и террористы. Если они наймут киберпреступников для атаки на важный объект государственной инфраструктуры или узел транспортной системы, последствия могут быть катастрофическими. Но пока мы с такими случаями, к счастью, не сталкивались в глобальных масштабах. К тому же по-настоящему важные государственные объекты защищены на порядок лучше, чем системы видеофиксации камер ГИБДД.

В 2015 г. произошло более 24 млн кибератак на сайты и информационные системы органов власти России, сообщил президент Владимир Путин, выступая 26 февраля на коллегии ФСБ. Уровень защищенности ресурсов государства нужно повышать, считает президент. Число кибератак растет ежегодно, говорит пресс-секретарь президента Дмитрий Песков: это и попытки сорвать работу, перехватить контроль и снять информацию. Но бюджет на борьбу с ними увеличиваться не будет, обещает он.

Предупрежден – значит вооружен

В России с 2012 г. работает госцентр реагирования на инциденты безопасности Gov-CERT, говорит сотрудник этого центра. Поскольку государственные информационные системы постоянно растут, увеличивается и число инцидентов. Но пропорционально растет и количество атак, отбитых благодаря Gov-CERT.

Вероятнее всего, под кибератаками понимаются попытки подбора паролей и неправомерного доступа в IT-системы, вирусные заражения, эксплуатация известных уязвимостей, письма с вредоносными вложениями, рассуждает гендиректор компании Group-IB (расследование компьютерных преступлений) Илья Сачков. По его мнению, злоумышленники могут атаковать государственные IT-системы для кибершпионажа, а также из пропагандистских или хулиганских целей. Государственные ресурсы обычно атакуют с политическими целями, чтобы получить и разгласить информацию или сделать ресурс недоступным, соглашается заместитель гендиректора InfoWatch (защита от утечек информации) Рустэм Хайретдинов.

По данным Solar JSOC (центр реагирования на инциденты информационной безопасности), в 2015 г. общее число кибератак в России выросло на 45%, атаки на государственные системы росли чуть быстрее, чем на коммерческий сектор, говорит гендиректор компании Solar Security (разрабатывает системы информационной безопасности) Игорь Ляпунов. По его наблюдениям, число кибератак на госсистемы близко к 24 млн, о которых говорил президент. С тем, что число кибератак на госсектор растет, соглашаются Сачков, Хайретдинов и антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин. Он добавляет, что «Лаборатория Касперского» также отмечает усложнение методов, которыми пользуются киберпреступники. Технически эти атаки не отличаются от нападений на коммерческий сектор, говорит Ложкин.

В IV квартале 2015 г. 41,2% всех атак (не только на государственные, но и на коммерческие системы) пришлось на веб-приложения, 28,3% – попытка компрометации учетных записей, следует из материалов Solar JSOC.

В госсегменте, как и в коммерческом секторе, снижается число успешных DDoS-атак, отмечает Сачков, однако прогнозирует, что к думским выборам в сентябре 2016 г. их число снова возрастет: это будут атаки на СМИ, блоги, сайты конкурентов. Хайретдинов не согласен, что число DDoS-атак снижается: по данным компании Qrator Labs (занимается защитой от таких атак), в 2015 г. их число возросло вдвое.

Для борьбы с кибератаками нужно в первую очередь выстраивать системы мониторинга атак и обмениваться информацией по киберугрозам, полагает Ляпунов. Сейчас уже недостаточно установить стандартные средства защиты (такие как антивирус) и ждать результата, уверен Хайретдинов. По его мнению, нужно устранять уязвимости стандартного ПО, благо информация о них появляется быстро. Хайретдинов отмечает также недостаточную квалификацию служб защиты госучреждений. Он советует закупать наборы средств защиты у разных вендоров. Ложкин из «Лаборатории Касперского» тоже советует обучать персонал, обновлять ресурсы и создавать комплексную систему защиты.