Секреты цифровых войн: на кого работают «белые хакеры»
21 июня 2018
Цифровая среда — это информация.
А информация — это оружие, которое в руках злоумышленника может быть чрезвычайно опасным. Война за цифровые данные идет постоянно. На одной стороне — хакеры и создатели вирусов, на другой — специалисты по кибербезопасности. По набору знаний и навыков они мало чем отличаются друг от друга, но работают на разных фронтах.
Сколько платят специалистам по кибербезопасности
Средняя зарплата специалистов по кибербезопасности, по данным HH.ru за март-апрель 2018 года, — 132 тыс. рублей, максимальная — 300 тыс. рублей. Эти профессионалы сейчас в дефиците: в среднем на одну вакансию приходится всего три резюме. Это очень низкий показатель. Норма на рынке IT — шесть резюме на одну вакансию.
Угроза внутри
В мае 2017 года владельцы более полумиллиона компьютеров и 200 тыс. IP-адресов по всему миру не смогли открыть свои файлы. На экранах светилось сообщение о том, что файлы зашифрованы и за расшифровку нужно перевести выкуп на электронный кошелек — речь шла о сумме от 300 до 600 долларов в биткоинах. Это был вирус WannaCryptor, который пользователи тут же переименовали в WannaCry («Хочу плакать»). На сегодняшний день атака вируса WannaCry считается одной из самых масштабных за всю цифровую эпоху.
Вымогатели (их до сих пор не поймали) получили не так уж много переводов — примерно на $1 млн, а вот проблем создали немало. Вирус заблокировал не только частные компьютеры, но и ПК различных организаций и ведомств по всему миру. В России пострадали Министерство внутренних дел, РЖД и «МегаФон», в Западной Европе оказались парализованными множество объектов: от больниц до железных дорог.
Есть версия о том, что истинная цель создания вируса заключалась не в шантаже простых пользователей, а в проверке, возможно ли вывести из строя компьютерную инфраструктуру в глобальном масштабе.
Похожим образом действуют знаменитые вирусы Petya (Петя) и NotPetya. От последнего в том же 2017 году на Украине пострадали компьютерные сети энергетических компаний, мобильных операторов, аэропорта Борисполь и киевского метро. Но все это цветочки по сравнению с целенаправленными атаками хакеров.
«Хотя современные вирусы достаточно „умные“, они все равно примитивнее, чем целенаправленная атака, — говорит Александр Неволин, преподаватель магистерской программы IT-центра МАИ „Кибербезопасность инфокоммуникаций“. — Любой вирус рассчитан на массовый охват и действует в автоматическом режиме. „Поймать“ его на свой компьютер или смартфон может как домохозяйка, так и топ-менеджер. А хакеры атакуют конкретные объекты вручную, с определенной целью, предварительно изучив, что и как в нем устроено, какие там есть уязвимости и как их можно использовать. Над этим всегда работают талантливые суперпрофессионалы».
По словам Неволина, самый типичный пример — это атаки на банковские системы. Известна даже такая атака, в которой хакеры не только похитили средства из банка, но и искусно подделали следы своего пребывания в системе так, что потом не удалось восстановить истинный масштаб ущерба.
Самым громким и масштабным банковским взломом сегодня считается атака Carbanak. В 2014-2015 годах она затронула около ста банков в 30 странах, в основном в России, на Украине и в Восточной Европе.
Из каждого банка кибербанде удалось похитить от $2,5 млн до $10 млн, в целом ущерб оценивается в $1 млрд. На первом этапе на банковские компьютеры через электронные письма сотрудникам рассылали вредоносную программу. Потом преступники в ручном режиме вели «разведку»: подключались с зараженных компьютеров к системе банковской безопасности и изучали ее уязвимости. Наконец, хакеры получили возможность отдавать команды на выдачу наличных из банкоматов.
Расследованием занимались спецслужбы нескольких стран с участием Европейской банковской федерации и экспертов «Лаборатории Касперского». Главаря кибербанды задержали весной 2018 года.
Поле для кибербоев
Хакеров интересуют не только банки, но и платежные сервисы, криптовалютные биржи, интернет-магазины, операторы связи, почтовые серверы, социальные сети, сайты государственных услуг, — любые цифровые системы, из которых можно извлечь деньги или получить ценные данные.
Охота идёт за персональной информацией, личной перепиской политиков и крупных медиаперсон, за государственными тайнами и журналистскими расследованиями. Конкуренты по интернет-бизнесу пытаются навредить друг другу, «обрушивая» сайты противников, а спецслужбы разных стран — разведать чужие секреты.
Компьютерные системы опасных и стратегически важных объектов — атомных станций, военных баз или диспетчерских служб — могут стать желанной мишенью для кибертеррористов.
И вирусы, и кибератаки становятся возможными благодаря уязвимостям в информационных системах — в компьютерных программах, сервисах, на сайтах, в локальных сетях.
«Уязвимость — это всегда чей-то недосмотр, — объясняет Александр Неволин. — Программисты и системные администраторы, как все люди, допускают ошибки или упускают какие-то риски».
«Конечно, в идеале разработчик, создавая систему, должен предположить всякую ситуацию, даже абсурдную. Но невозможно заранее представить сразу все возможные варианты», — рассказывает эксперт.
Например, один из старых вирусов, сломавший во всем мире много компьютеров на Windows XP, был создан благодаря уязвимости драйвера сетевой карты. В драйвере не была предусмотрена обработка такой ситуации, если в параметре «длина пакета» окажется отрицательное число. В норме оно там и не должно было появиться. Но хакеры как раз тем и занимаются, что пробуют нестандартные варианты.
«Оказалось, если проставить отрицательное число вручную, то драйвер „упадет“ и приведет к краху всей операционной системы, — говорит Неволин. — Компания Microsoft, конечно, срочно выпустила обновление, в котором эта проблема была исправлена, но если бы ее нашли раньше, то беды не случилось бы».
Уязвимость может возникнуть на любых этапах. Например, системный администратор, настраивая локальную сеть в организации, по невнимательности не заблокирует какие-то порты, создаст слишком простые пароли или не поменяет стандартные — и сеть окажется открытой для внешнего вторжения.
Светлая сторона Сети
Киберугрозам противостоят специалисты по информационной безопасности. Их главная задача — анализировать уязвимости, которые могут в своих целях использовать злоумышленники.
Чаще всего специалисты по кибербезопасности — универсалы. Но некоторые из них работают как «белые хакеры», то есть ищут в конкретной информационной системе лазейки, благодаря которым ее можно сломать снаружи. Главное — найти и устранить уязвимости до того, как до них доберутся киберпреступники.
На сетевом сленге таких «честных хакеров» называют еще «белыми шляпами».
Есть специалисты, которые отслеживают реальные попытки взлома системы (их называют «инциденты уязвимости») и противостоят им в онлайн-режиме. А есть и те, чья задача — расследовать уже случившиеся инциденты и составлять на будущее набор правил, как лучше писать код, чтобы недостатков получалось меньше. Это скорее методологическая работа.
«Каким бы из направлений ни занимался конкретный специалист по кибербезопасности, он в любом случае должен быть технически очень подкованным. Разбираться в программировании, устройстве операционных систем, отлично знать, какие вообще бывают уязвимости в веб-пространстве, мобильных приложениях и в „железе“, как их могут использовать злоумышленники, — рассказывает Александр Неволин. — Чтобы бороться с хакерами, нужно быть как минимум не ниже их уровнем».
Иногда на светлую сторону переходят настоящие бывшие «черные» хакеры.
«Если им предлагают равноценное вознаграждение, то почему нельзя заниматься тем же самым, но без криминальных рисков? А для работодателей ценен специфический опыт таких профессионалов, — объясняет эксперт. — Но на самом деле уже сложился и цивилизованный рынок кадров. Сейчас есть высококлассные специалисты по кибербезопасности, которые никогда не работали на темной стороне.
Методы взлома — не какая-то суперсекретная информация, они известны. Их изучают на специализированных образовательных программах. У нас в МАИ, например, давно существует такая программа для бакалавров и специалистов, и ее выпускники работают как в крупных IT-компаниях, банках, так и в силовых ведомствах, борющихся с киберпреступностью. А теперь открылась и магистерская программа „Кибербезопасность коммуникаций“. На ней мы тоже будем давать студентам базис, необходимый для работы в этой сфере».
Где работают «белые шляпы»
Сегодня специалисты по кибербезопасности особенно востребованы в трех сферах. Во-первых, в специализированных IT-компаниях, которые создают антивирусы и защищают компьютерные сети своих клиентов от кибератак. Например, в Positive Technologies, «Лаборатории Касперского», Infowatch.
Во-вторых, киберзащитники работают в правоохранительных органах, которые борются с киберпреступлениями. В МВД России для этого создано специальное Управление «К». И в-третьих, в крупных организациях, наиболее подверженных киберрискам, — прежде всего в банках и телекоммуникационных компаниях.
«Сфера деятельности специалистов по кибербезопасности в ближайшее время точно будет расширяться, потому что информационные технологии проникают в нашу жизнь все глубже и глубже, — прогнозирует Неволин. — Тренды на „умные дома“, цифровизацию производства — все это создаст огромную информационную среду. Строить эту среду будут люди, которые, естественно, иногда ошибаются, и, конечно, все больше и больше технически подкованных злоумышленников пожелает этими ошибками воспользоваться».
Для сравнения: в системе кибербезопасности маленького Израиля сейчас работает более 200 компаний, и эта страна считается одним из лидеров по надежности защиты от кибератак.
Из-за постоянной подверженности террористическим рискам и одновременно бурного развития технологий Израиль начал серьезно, на государственном уровне развивать национальное управление кибербезопасностью больше 20 лет назад. Сейчас там информационные системы транспорта, государственного управления, медицины, энергетики, армии под серьезной защитой. Основам цифровой защиты учат начиная со школьного возраста.
В России есть отличная возможность перенять этот опыт. Одним из партнеров новой магистерской программы IT-центра МАИ «Кибербезопасность коммуникаций» станет израильская высшая школа информационных технологий и безопасности HackerU.