Кибербезопасность. Основные угрозы и их нейтрализация

Кибернетическая революция в мире, о которой так много говорили в прошлом веке писатели-фантасты, свершилась. Мы уже не представляем свою жизнь без компьютерных систем. Но существуют и те, чья задача испортить работу этих систем с различными целями, от банального вымогательства до выполнения террористических задач. Эти угрозы и способы их нейтрализации мы рассмотрим в этой статье.

В предыдущих статьях я рассматривал противостояние различных изобретений человечества: брони и снаряда, болезней и лекарств, сейфов и взломщиков... Следующая пара: зловредное программное обеспечение (ПО) и антивирусные программы.

Типы вредоносных программ

Вредоносная программа – общий термин для обозначения любого типа вредоносного программного обеспечения. Рассмотрим основные типы таких программ.

Вирус

Вирус – это самовоспроизводящийся программный код. Он внедряется в установленные приложения без ведома пользователя. Вирусы разделяются по типу объектов, которые они заражают, по способам заражения и жертвам.

При этом вирус может выполнять действия, направленные на принесение вреда операционной системе. Сейчас вирусы довольно редки, так как их создатели стараются держать свои программы и их распространение под контролем. В противном случае вирус быстро попадает в базы антивирусных компаний.

Червь

Похож на вирус, так как образован на основе саморазмножающихся программ. Однако черви не заражают существующие файлы. Вместо этого червь вселяется в компьютер отдельным файлом и ищет уязвимости в сети "Интернет" или в системе для внедрения на другие машины сети. Черви также разделяются по способу заражения (электронная почта, мессенджеры, файлообменники и т.д.). Некоторые черви живут в виде сохраненных на жестком диске файлов, а некоторые поселяются лишь в оперативной памяти компьютера.

Троян

Загружается под видом законного приложения, однако вместо заявленной функциональности делает то, что нужно злоумышленникам. С увеличением вала информации и файлов в Интернете трояна стало довольно легко подцепить. Нынешние трояны эволюционировали до таких сложных форм, как, например, бэкдор (троян, берущий на себя администрирование компьютера) и троян-загрузчик (ставит на компьютер жертвы вредоносный код).

Руткит

Особая часть вредоносных программ, разработанных специально, чтобы скрыть присутствие вредоносного кода и его действия от пользователя и защитного ПО. Это достигается с помощью тесной интеграции руткита с операционной системой. Некоторые руткиты могут начать свою работу прежде, чем загрузится операционная система. Их называют буткитами. Однако, как бы ни развивался этот тип вредоносов, сложные современные антивирусы в состоянии обнаружить и удалить практически все существующие разновидности руткитов.

Бэкдор (средство удаленного администрирования)

Бэкдор, или RAT (remote administration tool), – это приложение, которое позволяет честному системному администратору или злоумышленнику управлять вашим ПК удаленно. В зависимости от возможностей конкретного бэкдора хакер может запустить на компьютере жертвы любое ПО и взять на себя полный контроль за компьютером.

Загрузчик

Этот вирус является небольшой частью кода используемой загрузки и установки полной версии вредоноса. После того как загрузчик попадает в систему путем сохранения вложения электронного письма или, например, при просмотре зараженной картинки, он связывается с удаленным сервером и загружает все вредоносное ПО.

История зловредных программ

Первые программы, созданные по типу вредоносных, вовсе не преследовали цель навредить пользователю.

Creeper

Программа была создана в 1971 г. сотрудником компании BBN Бобом Томасом. Creeper был создан как тестовая модель, чтобы проверить, возможна ли в принципе самовоспроизводящаяся программа. Заразив новый жесткий диск, Creeper пытался удалить себя с предыдущего компьютера. Creeper не совершал вредоносных действий, он только писал на экране сообщение: "I'M THE CREEPER. CATCH ME IF YOU CAN!" (Я CREEPER. ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ!)

Rabbit

Вирус был создан в 1974 г. с вредоносной целью и мог самовоспроизводиться. Оказавшись на компьютере, он производил множество копий себя, значительно ухудшал работу системы и далее приводил к отказу компьютера. Имя ("Кролик") было присвоено вирусу из-за того, что он очень быстро размножался.

ANIMAL

Первый троянец ANIMAL был разработан компьютерным программистом Джоном Уолкером в 1975 г. Уолкер написал одну популярную компьютерную игру. Чтобы было проще делиться ею с друзьями, он создал программу PERVADE, которая устанавливалась на компьютер вместе с игрой ANIMAL. Пока пользователь играл в игру, PREVADE проверял все доступные пользователю папки на ПК, а затем копировал ANIMAL во все директории, где этой программы не было. Цели причинить вред пользователю здесь не было, но ANIMAL и PREVADE соответствуют определению троянца: внутри игры ANIMAL была запрятана другая программа, которая выполняла действия без ведома пользователя.

Brain

Вирус загрузочного сектора Brain был первым вирусом для IBM-совместимых компьютеров, он появился в 1986 г. и заражал пятидюймовые дискеты. Вирус был написан двумя братьями – Баситом и Амджадом Фаруком Алви, владельцами компьютерного магазина в Пакистане. Им надоело, что клиенты незаконно копировали приобретенное в их магазине ПО, и они разработали вирус, который заражал загрузочные секторы дискет. Brain был также и первым вирусом-невидимкой: при обнаружении попытки чтения зараженного сектора диска вирус незаметно подставлял его незараженный оригинал. Он также записывал на дискету фразу "(c) Brain", но при этом ничего в ПК портил.

ILoveYou

С появлением Интернета способы доставки вредоносного ПО изменились. Теперь вирусы очень быстро распространялись через электронную почту, популярные веб-сайты, социальные сети и т.д. Началось формирование вредоносного ПО в нынешнем виде. Одна из самых крупных эпидемий новой эры была вызвана червем ILoveYou, появившимся 4 мая 2000 г. Червь распространялся по электронной почте. В теме письма было написано "I Love You" а в приложении к письму был прикреплен VBS-файл LOVELETTER-FOR-YOU-TXT.vbs, в котором и содержался сам червь. При открытии этого файла вирус уничтожал существующие файлы и поверх них записывал собственные копии и рассылал себя по всем адресам из списка контактов пользователя. Поскольку письма приходили со знакомых адресов, другие абоненты сети делали тоже самое.

Code Red

Червь Code Red был изначально так называемым бестелесным червем – он существовал только в памяти и не предпринимал попыток заразить файлы в системе. Затем, использовав брешь в системе безопасности Microsoft Internet Information Server, червь всего за несколько часов распространился по всему миру и вызвал хаос, внедряясь в протоколы обмена информацией между компьютерами. Как пишет сайт Scientific American, зараженные компьютеры в итоге были использованы для проведения DDoS-атаки на веб-сайт Белого дома – Whitehouse.gov.

Heartbleed

Угроза Heartbleed появилась в 2014 г. и сразу поставила под угрозу множество интернет-серверов. В отличие от вирусов и червей, Heartbleed – это уязвимость в OpenSSL, криптографической библиотеке универсального применения, широко использующейся по всему миру.

OpenSSL периодически рассылает соединенным устройствам специальные сигналы, подтверждающие актуальность соединения. Пользователи могут отослать некоторый объем данных и в ответ запросить такое же количество данных, например отослать один байт и получить в ответ тоже один байт. Максимальное количество данных, отправляемых за один раз, – 64 килобайта. Как объясняет специалист по безопасности Брю Шнайер, пользователь может объявить, что отсылает 64 килобайта, а по факту отправить только один байт – в этом случае сервер в ответ пришлет 64 килобайта данных, хранящихся в его оперативной памяти, в которых может оказаться все что угодно, от имен пользователей до паролей и криптостойких ключей.

Актуальные угрозы

Рост киберпреступности в мире обусловлен огромными деньгами, которые злоумышленники получают от этого вида деятельности. По данным аналитических агентств, доходы киберпреступности в 2021 г. составили 15 млрд долларов. Для наглядности можно отметить, что эта сумма составляет половину доходов всей мировой автомобильной отрасли. Преступники зарабатывают больше, чем компании инвестируют в информационную безопасность, и имеют возможность вкладывать немалые деньги в разработку более сложных способов взлома.

Рост киберпреступности также определяется тем, что для проведения массовых и скрытых атак чаще всего не требуется каких-то уникальных знаний и больших денежных вложений. В табл. 1 можно посмотреть, как стоимость организации хакерских вторжений меняется в зависимости от задачи атаки.

Таблица 1. Стоимость организации хакерских атак

Наиболее распространенные атаки совершают "шифровальщики": в компьютеры проникает вирус, который шифрует все данные, находящиеся на жестких дисках. Далее следует звонок с предложением заплатить выкуп за ключ к шифру. И большинство компаний платят. Потом поступает еще один звонок. Дело в том, что вместе с шифрованием данных происходит их кража. После чего следует предложение заплатить за уничтожение копий данных.
При этом никаких гарантий, что преступники выполнят свои обещания, нет. Даже при получении ключа процесс дешифровки может занимать недели, что отрицательно скажется на работе компании. Поэтому рекомендуется не платить выкуп и восстанавливать данные другим способом.

В связи с коронавирусом получила широкое распространение работа на удаленке с использованием RDP (удаленного рабочего стола).
Это, безусловно, удобно, но через RDP можно запустить вирус в главный сервер предприятия.

Помимо "шифровальщиков" существуют другие угрозы:

• шпионское ПО – кража закрытой информации фирмы: состояние финансов, технологии бизнес-процессов, штатное расписание с данными сотрудников;
• удаленный доступ: при проникновении в систему злоумышленник может затаиться и активизироваться в тот момент, когда сочтет нужным. Он может также продать доступ к системе третьим лицам или сдать его в аренду;
• утечка данных – незаконное получение конфиденциальной информации о компании, коммерческой тайне.

Для оценки интенсивности атак можно привести результаты опроса, проведенного "Лабораторией Касперского" среди ряда российских компаний в 2022 г. (табл. 2).

Казалось бы, применение защитных программ должно решить проблему кибератак. Но борьба продолжается бесконечно. На каждую новую систему защиты создается новый вирус, и наоборот.

Таблица 2. Интенсивность различных атак в 2022 г.

Способы борьбы с киберугрозами

Существуют три типа угроз:

1. Массовые угрозы. В них в основном используются распространенные типы вирусов, которые легко обнаруживаются и автоматически устраняются большинством защитных программ.
2. Скрытые угрозы. Эти атаки изначально подразумевают наличие у жертв антивирусных программ, поэтому в них заложены пути обхода защиты. Подобная атака может принести крупный ущерб компании. Они сложны в обнаружении, и для борьбы с ними используется защитное ПО более высокого уровня. Надо отметить, что для решения задачи борьбы со скрытыми угрозами недостаточно просто обнаружить и устранить "зловред". Необходимо провести расследование и выяснить, откуда он пришел и какими путями, после чего можно провести квалифицированное реагирование на угрозу.
3. Продвинутые угрозы, или целевые атаки.
   Целью подобных атак являются крупные компании и государственные объекты. Атаки очень сложны в обнаружении, поскольку отличаются устойчивостью и многовекторностью. За каждым инцидентом такого рода стоит хорошо профинансированная команда профессионалов, поэтому противостоять подобным атакам могут такие же профи, способные провести глубокое расследование и анализ происшествия, отреагировав должным образом.

Нельзя недооценивать значимость кибербезопасности. Если продвинутые угрозы имеют целью в основном государственные объекты, по определению имеющие повышенный уровень защиты, то скрытые угрозы бьют по предприятиям малого бизнеса. Для многих фирм последствия атаки оказываются фатальными, приводящими к закрытию предприятия. Поэтому основной совет: не экономьте на антивирусных программах, эта экономия обойдется слишком дорого, тем более что новые программы успешно борются с основными видами компьютерных вирусов. Поставьте защиту и живите спокойно.

Опубликовано в журнале "Системы безопасности" № 2/2023

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: phonoteka.org