Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности

Повышение привилегий

Каждый хакер использует один из методов проникновения, описанных в предыдущих разделах, чтобы получить доступ к целевой системе. Единственный вопрос – это тип доступа, который он получает. Если хакер использует программное обеспечение или службы, запущенные в собственном контексте безопасности пользователя, он изначально имеет только те же права доступа и разрешения, что и авторизованный пользователь. Или он может открыть cвятой Грааль и получить полный доступ к административной системе. Если злоумышленник получает только обычные, непривилегированные разрешения доступа, то он обычно выполняет вторую атаку для эскалации привилегий, чтобы попытаться получить более высокий доступ. Атаки эскалации привилегий охватывают весь спектр, по существу, дублируя те же подходы, что и для проникновения, но они начинаются с более высокой начальной точки, уже имеющей некоторый доступ. Атаки с повышением привилегий обычно проще выполнить, чем первоначальные эксплойты. И поскольку начальные эксплойты почти всегда гарантированно будут успешными, эскалация привилегий намного проще.

Упрощение доступа в будущем

Затем, хотя это необязательно, после получения первоначального доступа, злоумышленник работает над реализацией дополнительного метода, чтобы убедиться, что сможет легко получить доступ к тому же ресурсу или ПО в следующий раз. Многие хакеры размещают «прослушивающий» бэкдор, с помощью которого можно подключиться вновь. В других случаях это означает взлом паролей или создание новых учетных записей. Злоумышленник всегда может использовать те же эксплойты, которые успешно отработали в прошлый раз, чтобы снова взломать систему, но обычно применяет другой метод, который будет работать, даже если жертва исправляет уязвимость.

Разведка системы

Чаще всего, как только хакер проник в систему, он начинает выполнять команды или программы, чтобы узнать больше о цели, к которой получен доступ, и о том, что с ней связано. Обычно это означает поиск в оперативной памяти, файлов на жестком диске, сетевых подключений, общих ресурсов, служб и программ. Эта информация используется для лучшего понимания цели, а также для планирования следующей атаки.

Перемещение

Это редкая разновидность атаки или вредоносного воздействия, применяемого для взлома определенной цели. Почти все хакеры и вредоносные программы хотят подчинить себе как можно больше. Как только они получают доступ к первоначальной цели, распространение их влияния в пределах одной сети или объекта упрощается. Методы проникновения хакеров, перечисленные в этой главе, суммируют различные способы, которыми они могут это сделать, но, сравнивая их с первоначальными усилиями, последующее перемещение облегчается. Если атакующий движется к другим подобным целям, это называется боковым перемещением. Если злоумышленник переходит с устройств с одной привилегией на более высокую или более низкую, это называется вертикальным перемещением.

Большинство атакующих переходят от низких уровней к высоким, используя методы вертикального перемещения (опять же, реализуя методы хакерского проникновения, с которыми мы познакомились). После проникновения они ищут пароли от учетной записи локального администратора. Затем, если эти учетные данные совместно используются несколькими компьютерами (что часто бывает), они перемещаются горизонтально и повторяют процесс, пока не смогут получить доступ к самым привилегированным учетным записям. Иногда это делается во время первого взлома, так как авторизованный пользователь или система уже имеет очень высокие привилегии. Затем они перемещаются на сервер аутентификации и считывают учетные данные каждого пользователя. Это стандартный алгоритм для большинства современных хакерских атак, и переход от первоначального взлома к полному овладению сетью может занять менее часа.

Как хакеру средней руки, мне обычно требуется около часа, чтобы проникнуть, и еще час, чтобы захватить централизованную базу данных аутентификации. Так что на захват сети компании в среднем уходит около двух часов. Самое долгое проникновение заняло у меня три часа.

Выполнение запланированного действия

После формирования лазеек и установки прав собственности на файлы хакеры выполняют то, что намеревались сделать (если только действие взлома не выявило новые задачи). У каждого хакера есть цель. Официальный пентестер заключает договор на выполнение одной или нескольких процедур. Злоумышленник может распространять вредоносное ПО, читать или красть конфиденциальную информацию, вносить вредоносные изменения и причинять иной вред. Цель хакера, желающего скомпрометировать одну или несколько систем, – что-то с ней сделать. Давным-давно (два или три десятилетия назад) целью хакеров было просто продемонстрировать, что они взломали систему. Сегодня 99 % взломов криминально мотивированы, и хакер собирается сделать что-то вредоносное для цели (даже если единственный ущерб, который он наносит, это скрытное проникновение для потенциальных действий). Несанкционированный доступ без прямого ущерба – это все равно ущерб.

Заметание следов

Некоторые хакеры пытаются замести следы. Раньше это делали почти все, но в наши дни компьютерные системы настолько сложны и присутствуют в таком количестве, что большинство владельцев данных не проверяют хакерские следы. Они не проверяют логи, не ищут НИКАКИХ признаков незаконного проникновения, если те не бросаются в глаза. Каждый год отчет компании Verizon о расследованиях случаев несанкционированного доступа к данным (https://www.verizon.com/business/resources/reports/dbir/) сообщает, что большинство атакующих остаются незамеченными в течение нескольких месяцев или даже лет, а более 80 % атак были бы замечены, если бы специалисты по ИБ потрудились над анализом. Из-за такой статистики большинство хакеров уже не утруждают себя заметанием следов.

Хакеры сегодня еще меньше стремятся к этому, потому что используют методы, которые невозможно обнаружить традиционными способами. Или действия хакера настолько распространены в среде жертвы, что практически нельзя отличить легитимную деятельность от незаконной. Например, после взлома хакер обычно выполняет действия в контексте безопасности законного пользователя, часто получая доступ к тем же серверам и службам, что и последний. И они используют те же инструменты (например, программное обеспечение удаленного доступа и сценарии), что и администраторы. Кто может определить, что злонамеренно, а что нет? Области обнаружения вторжений рассматриваются в главе 14.

Взлом скучно успешен

Если вы хотите знать, как хакеры взламывают, то обратились по адресу. Единственное, что осталось сделать, это добавить инструменты, любопытство и настойчивость. Процесс взлома настолько успешен, что многие пентестеры после первоначального восторга от профессионального хакинга через несколько лет впадают в уныние и меняют сферу деятельности. Понимаете, насколько хорошо отработан процесс? Вот почему специалистам по ИБ нужно бороться с хакерами.

Автоматизированная вредоносная программа как инструмент взлома

Вредоносная программа может выполнять один или несколько шагов в автоматическом режиме или передать хакеру управление, как только цель достигнута. Большинство хакерских групп сочетают социальную инженерию, автоматизированное вредоносное ПО и действия самих хакеров для достижения целей. В больших группах отдельным хакерам могут назначаться роли и должности. Вредоносная программа может выполнить один шаг проникновения и достигнуть успеха, не пытаясь осуществить любой из других шагов. Например, самая быстрая вредоносная программа в истории, SQL Slammer, имела размер всего 376 байт. Она выполняла задачу по переполнению буфера на UDP-порте SQL 1434 независимо от того, был ли на целевом устройстве запущен SQL. Поскольку на большинстве компьютеров он не выполняется, можно подумать, что атака будет весьма неэффективна. Но нет, за 10 минут этот червь изменил мир. Ни одна вредоносная программа никогда даже не приближалась к заражению такого количества устройств за столь короткое время.

Примечание. Если я пропустил какой-то шаг в хакерской методологии или способ проникновения, прошу прощения. С другой стороны, я же предупреждал, что я ничем не примечательный хакер.

Этика взлома

Я хотел бы думать, что мои читатели – этичные хакеры, которые проводят взлом своих целей законным образом. Взлом сайта, на который у вас нет предопределенных и выраженных полномочий, неэтичен и часто незаконен. Также неэтично (и даже незаконно) взломать сайт и сообщить владельцам о найденной уязвимости бесплатно. Неэтично и часто незаконно найти уязвимость, а затем попросить владельцев сайта нанять вас в качестве пентестера. Последнее происходит сплошь и рядом. Если вы сообщите кому-то, что нашли способ взломать его сайты или серверы, и попросите работу, это будет рассматриваться как вымогательство. Могу вас уверить, что почти все владельцы сайтов, получающие такой непрошеный совет, не задумаются о вашей пользе и не захотят вас нанимать. Они увидят в вас врага и передадут дело адвокатам.

Остальная часть книги посвящена описанию конкретных типов взлома, методов проникновения и способов противостояния им со стороны специалистов по ИБ. Если вы хотите зарабатывать на жизнь хакерством или бороться с хакерами, следует понять их методологию. Люди, упомянутые здесь, – гиганты в своей области, и вы можете многому у них научиться. Думаю, лучше всего начать с Брюса Шнайера, речь о котором пойдет в следующей главе. Многие считают его отцом современной компьютерной криптографии.

3. Профиль: Брюс Шнайер

Брюс Шнайер обладает столь большим опытом и знаниями, что при его упоминании многие люди используют словосочетание «светило индустрии» или называют его «отцом современной компьютерной криптографии». Однако интерес Шнайера не ограничивается шифрами, он уже давно задается более глобальными вопросами о том, почему в сфере информационной безопасности за все эти десятилетия произошло так мало улучшений. Поскольку он имеет авторитетное мнение по широкому кругу вопросов, связанных с ИБ, его часто приглашают в качестве эксперта на национальные телевизионные шоу. Несколько раз он даже выступал перед Конгрессом Соединенных Штатов. Шнайер пишет книги и ведет блоги, и я всегда считал ознакомление с его работами получением неофициальной степени магистра в области информационной безопасности. Я и наполовину не был бы тем специалистом по ИБ, которым стал, без знаний, которые почерпнул у него. Он мой неофициальный наставник.

Шнайер известен тем, что говорит обезоруживающе простые вещи, которые заставляют пересмотреть старые догмы. Например, возьмем его фразу: «Если вы сосредоточены на SSL-атаках, значит, вы превосходите всех остальных экспертов в области ИБ». Это означает, что существует очень много других, часто более успешно эксплуатируемых уязвимостей, о которых стоит задуматься, поэтому, если вы действительно беспокоитесь об относительно редко используемом SSL-эксплойте, значит, уже устранили остальные, более вероятные и важные угрозы. Другими словами, мы должны расставить акценты среди мер обеспечения информационной безопасности, а не реагировать на каждую анонсированную уязвимость (которая, возможно, никогда не будет эксплуатироваться).

Он также говорил о том, что специалисты по ИБ часто расстраиваются, если сотрудники не относятся к парольной защите достаточно серьезно, используют слабые пароли (если это допустимо), применяют один и тот же на многих несвязанных веб-сайтах (словно умоляя о том, чтобы их взломали) и часто передают его друзьям, коллегам и даже незнакомым людям. Мы расстраиваемся по этому поводу, поскольку в отличие от рядовых сотрудников представляем возможные последствия для бизнеса. Согласно Шнайеру, конечный пользователь оценивает сложность паролей, исходя из степени риска лично для себя. Сотрудников редко увольняют за использование недостаточно надежных паролей. Даже если хакер украл деньги с банковского счета вкладчика, эти средства, как правило, немедленно возмещаются. Шнайер учит нас тому, что именно профессионалы в сфере ИБ не вполне адекватно оценивают риски. И пока вред не будет причинен конечному пользователю, они не изменят свое поведение. Каково это, быть специалистом по вопросам ИБ, а потом осознать, что рядовой пользователь оценивает риски лучше вас?

Шнайер написал более десятка книг, включая «Прикладную криптография. Протоколы, алгоритмы и исходный код на C», написанную в 1996 году и вышедшую на русском языке^[3]. Создав еще несколько трудов на тему криптографии (в том числе вместе с Нильсом Фергюсоном), он начал интересоваться причинами, по которым в сфере ИБ не наступало значимых улучшений. Результатом этого стала серия книг, каждая из которых посвящена причинам нетехнического характера, связанным с доверием, экономикой, социологией и т. д. Они наполнены простой для понимания теорией и подкреплены реальными примерами. Вот мои любимые книги Шнайера:

• Secrets and Lies: Digital Security in a Networked World^[4] (https://www.amazon.com/Secrets-Lies-Digital-Security-Networked/dp/0471453803);

• Beyond Fear: Thinking Sensibly About Security in an Uncertain World (https://www.amazon.com/Beyond-Fear-Thinking-Sensibly-Uncertain/dp/0387026207);

• Liars and Outliers: Enabling the Trust that Society Needs to Thrive (https://www.amazon.com/Liars-Outliers-Enabling-Society-Thrive/dp/1118143302);

• Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (https://www.amazon.com/Data-Goliath-Battles-Collect-Control/dp/039335217X).

Если вы действительно хотите разобраться в сфере ИБ и ее проблемах, вам следует их прочитать. Также подпишитесь на блог Шнайера (https://www.schneier.com/) и ежемесячную рассылку канала Crypto-Gram (https://www.schneier.com/crypto-gram/). Существует заметная разница между теми, кто регулярно читает Шнайера, и теми, кто этого не делает. Его манера письма понятна и интересна, и он рьяно борется с теми, кто продвигает неработающие методы обеспечения информационной безопасности. То, как он разоблачает криптомошенников, само по себе можно считать уроками по кибербезопасности. Он регулярно освещает самые актуальные вопросы в этой области.

На протяжении многих лет я несколько раз брал у Шнайера интервью, и иногда мне бывало страшновато. Не потому что он сложный или высокомерный собеседник (это не так), а потому что он часто позволяет интервьюеру рассуждать, опираясь на собственные убеждения и предположения. Если вы чего-то не понимаете или не согласны с ним, он не сразу отвергает ваш аргумент. Вместо этого Брюс задает вопрос за вопросом, позволяя вам самому прийти к выводу. В ходе интервью Шнайер всегда обучает собеседника. В процессе разговора становится ясно, что он обдумывал эти вопросы намного дольше, чем вы. Теперь я пытаюсь заимствовать кое-что из его техники самодопроса, когда обдумываю собственные глубоко укорененные убеждения.

Я спросил Шнайера о том, когда он впервые заинтересовался темой информационной безопасности, на что он ответил: «Я всегда интересовался математикой и секретными кодами – криптографией. Свою первую книгу, “Прикладная криптография”, я бы с удовольствием сам прочитал в свое время. Однако я понял, что технологии – это не самая большая проблема. Проблема в людях или интерфейсе, с которыми они взаимодействуют. Самые сложные проблемы ИБ связаны не с технологиями, а с социологическими, политическими и экономическими аспектами их применения. Я провожу много времени, думая о пользователях, склонных к риску. У нас есть технологии, чтобы защитить их, но можем ли мы создать такие решения, которые не помешают им делать свою работу? В противном случае мы просто не сможем убедить их использовать эти продукты».

Я спросил Шнайера, что он думает о недавних утечках информации из некоторых американских спецслужб. Он сказал: «В этих данных практически не содержалось того, о чем не знали люди, внимательно следящие за происходящим. Обнародованные сведения были скорее подтверждением. Удивили подробности. Удивила секретность. Я не думаю, что мы смогли бы как-то повлиять на методы спецслужб, если бы знали о них больше, потому что после событий 11 сентября 2001 года любые их методы были бы одобрены. Так что, к сожалению, это не привело к серьезным изменениям, по крайней мере, сразу. Был принят один незначительный закон [запрещающий АНБ собирать метаданные о телефонных переговорах американцев]. Однако утечка спровоцировала публичное обсуждение проблемы, связанной с правительственной слежкой, что привело к изменению общественного мнения. Теперь люди знают и беспокоятся об этом. Может потребоваться еще десять лет, чтобы ощутить все последствия, но в итоге ситуация улучшится».

Я спросил Шнайера, что он считает самой большой проблемой в сфере компьютерной безопасности, и он ответил: «Корпоративная слежка! Корпорации хотят шпионить за людьми даже больше, чем правительства. Facebook^[5] и Google следят за пользователями, нарушая их интересы, а ФБР может получить доступ к собранным ими данным, хотят того корпорации или нет. Следящий капитализм – вот фундаментальная проблема».

Я спросил Шнайера, над какой книгой он работает (он постоянно что-то пишет). Он рассказал: «Я обдумываю новую книгу, посвященную проблемам кибербезопасности, например связанным с Интернетом вещей и с тем, как все меняется, когда компьютеры действительно становятся опасными. Одно дело, если скомпрометированной оказывается уязвимая электронная таблица, и совсем другое, если речь идет о вашем автомобиле. Прорехи в системе защиты могут привести к человеческим жертвам. Это все меняет! В прошлом месяце я выступал в Конгрессе с докладом на эту тему. Я сказал, что игры кончились, и настало время для серьезной работы. Необходим контроль. На карту поставлены жизни людей! Мы не можем больше мириться со слабо защищенным и полным ошибок программным обеспечением. Но индустрия не готова осознать всю серьезность угрозы, хотя и должна. Как могут люди, работающие над улучшением системы безопасности автомобилей, на самом деле решить эту задачу, если нам до сих пор так и не удалось остановить хакеров и исправить все уязвимости? Необходимы перемены. И они произойдут».

Брюс Шнайер на протяжении нескольких десятилетий является одним из лидеров в области ИБ и остается ключевым участником самых важных дискуссий. Если вас интересует тема информационной безопасности, выберите его в качестве своего неофициального наставника.

Информация о Брюсе Шнайере

Более подробную информацию о Брюсе Шнайере смотрите по ссылкам:

• блог Брюса Шнайера: https://www.schneier.com;

• рассылка Брюса Шнайера Crypto-Gram newsletter: https://www.schneier.com/crypto-gram/;

• книги Брюса Шнайера: https://www.amazon.com/Bruce-Schneier/e/B000AP7EVS/.

4. Социальная инженерия

В компьютерном мире социальная инженерия – это методы побудить человека сделать что-то нехорошее для себя или других людей. Это одна из наиболее распространенных форм взлома, потому что часто успешна. И самая неприятная для специалистов по ИБ, потому что ее нельзя предотвратить только с помощью технологий.

Методы социальной инженерии

Социальная инженерия может быть реализована многими способами, в том числе через Интернет, по телефону, лично или посредством традиционной почты. Ее разновидностей так много, что нередко в списках, претендующих на полноту их перечисления, некоторые из видов или способов отсутствуют. Социальная инженерия, реализуемая с помощью компьютера, использует электронную почту или Интернет, а также службы обмена мгновенными сообщениями и компьютерные программы практически любого типа.

Фишинг

Распространенная цель социальной инженерии – перехват учетных данных пользователя в процессе так называемого фишинга. Фишинговые сообщения электронной почты или веб-сайты пытаются обмануть пользователя и заставить его указать свои реальные учетные данные для авторизации, имитируя легитимный веб-сайт или администратора-отправителя, с которым конечный пользователь знаком. Наиболее распространенная фишинговая атака – это электронное письмо якобы от администратора сайта, утверждающего, что учетные данные пользователя должны быть проверены, иначе доступ к сайту будет прекращен.

Целевой фишинг — это тип фишинга, который нацелен против конкретного человека или группы людей с применением непубличной информации, которой владеет цель атаки. Например, отправка сотрудникам документа по электронной почте якобы от участника проекта: при его открытии файл выполняет вредоносные команды. Целевой фишинг часто упоминается во многих самых громких корпоративных скандалах.