Автор: Анастасия Антонович

Тема информационной безопасности, пожалуй, самая щепетильная и непростая. С одной стороны, компания подвержена внешним угрозам — вирусы, вредоносный спам, DDoS и фишинговые атаки. С другой стороны, ее подстерегают внутренние угрозы — случайные или умышленные утечки конфиденциальных данных, промышленный шпионаж. На кону может стоять репутация, финансовое благополучие, а в некоторых случаях и доступность ресурсов самой компании. Чтобы понять, в какие средства защиты вложить деньги, необходимо определить перечень потенциальных угроз и их значимость.

В Красноярске в  2016 году стартовал курс «Этичный хакинг. Тестирование на проникновение». Он включает в себя 18 модулей, и все они посвящены безопасности. Слушатели изучают оборонительные практики и рекомендации по защите от взлома информационных систем. В основе авторского курса — реальные методы и техники, которыми пользуются хакеры. Любопытно, правда? Своими знаниями делятся четыре преподавателя — все они специалисты по защите информации. Мы пообщались с Данилом Бородавкиным и Вячеславом Золотаревым о том, как повысить уровень защиты от внешних и внутренних угроз «с помощью хакеров» и метода социальной инженерии.

— Почему этот курс ведет несколько специалистов?

— Вячеслав: У каждого из нас своя специализация, а это значит, что мы даем больше полезной информации. Это и сетевая безопасность, и веб-безопасность, и безопасность операционных систем, программного обеспечения. У каждого преподавателя свой модуль, и мы не пересекаемся в темах. Около двух месяцев мы готовили программу. Курс оригинальный, он не повторяет другие предложения на рынке.

Я занимаюсь защитой информации в Сибирском государственном аэрокосмическом университете на кафедре безопасности информационных технологий. Моя тема — управленческие риски. Это социальная инженерия — воздействие на персонал с целью получения информации.

— Это как?

— Вячеслав: Это очень интересно. Так или иначе большая часть угроз завязана на человеке, на его невнимательности или неаккуратности, на его жадности или чувстве ненависти. И когда мы начинаем работать с человеком, мы фактически можем обойти все эти механизмы утечки информации. Например, системный администратор может очень много поведать о своей работе. Главное понять, его слабые места, как войти к нему в доверие, как получить от него желаемое. К сожалению, такие слабые места есть у каждого сотрудника. Поэтому на курсе мы про это подробно рассказываем и объясняем, как этого избежать.

— Вячеслав, приведите примеры.

— Сотрудник собирается уволиться или попадает под сокращение и начинает передавать информацию сторонним лицам. С помощью него можно получить доступ к ценной информации предприятия, и никто от этого не застрахован. Вариантов развития событий много. Тут еще зависит, как сработает отдел безопасности. Например, один злоумышленник прокололся на форуме. За деньги пытался передать информацию своему же отделу безопасности… Обнаружить его после фиктивной сделки не составило труда.

Или случай в рекламном агентстве. Системный администратор собирает весь коллектив менеджеров и предупреждает, что сейчас вирусная эпидемия в интернете и надо быть особенно внимательными к сторонним ссылкам и документам. Предупредил, показал, что к чему. И потом решил проверить с помощью рассылки, как сотрудники уяснили его призыв. И что вы думаете? К его словам не прислушались! Больше половины сотрудников открыли вредоносную ссылку.

— Как добиться баланса: чтобы бизнес-процессы и коммерческая тайна оказались в безопасности, но при этом без излишнего давления на персонал?

— Много раз обсуждали этот вопрос. Получается следующее: мы воздействуем на сотрудников, чтобы они не распространяли информацию. То есть убеждаем персонал, что так и надо, что это норма и основа культуры. Уровень защиты от внутренних угроз растет вместе с ростом корпоративной культуры компании.

Сравните: «Нам не разрешают переписываться с друзьями на работе» и «Мы не переписываемся с друзьями на работе». «Нам запрещено открывать подозрительные документы и ссылки» и «Мы не открываем подозрительные письма». Все зависит от того, как людям доносить эту идею. Если они понимают ценность информации и понимают последствия своего действия или бездействия, то с ними гораздо проще договориться. Воздействие на персонал с целью тестирования тоже может оказаться на грани закона, а последствия — серьезными вплоть до увольнения людей.

— Это вопросы психологии?

— Психологии конфликта и психологии взаимодействия. Я могу вас убедить открыть какую-то ссылку и получу контроль над вашим компьютером, и вы даже не будете об этом подозревать. Я могу просто собирать информацию про вас и потом случайно встретиться с вами где-нибудь и получить нужную мне информацию, вызвав у вас доверие. Вы можете не подозревать об этом.

— Действительно тема очень сложная и интересная. С технической точки зрения безопасность тоже не лишена запутанности. Данил, это же по вашей части?

— Данил: Да, моя часть действительно более техническая и касается уязвимости операционных систем, программного обеспечения. В рамках курса я рассказываю, откуда берутся уязвимости, какие инструменты используются, чтобы их эксплуатировать. Сейчас идет тенденция к автоматизации бизнеса, а взлом — тоже бизнес, и в нем автоматизация также имеет место быть. Существуют инструменты, воспользоваться которыми зачастую может человек без специальной подготовки (буквально каждый школьник). Наберите в интернете «Как взломать что-нибудь». Вы эти команды выполните без понимания процесса. И не исключено, что у вас получится — вы что-нибудь поломаете. Моя цель объяснить, как это работает не в терминах нажимания кнопочек, а с точки зрения понимания процесса взлома, и затем отработать практические инструменты. То есть, почувствовав себя немного хакером, вы понимаете, как это работает и как защититься от взломов и атак. Сам процесс исследования уязвимостей и выявления новых — вот это действительно сложная работа, которая под силу только узким профессионалам, в рамках курса получается только «прикоснуться к прекрасному», но понимание принципов и получение базовых практических навыков — это хороший старт.

Если сильно упрощать, у злоумышленника есть два пути для того, чтобы что-то взломать: первый — использовать ошибку разработчика или администратора программного обеспечения, второй — заставить конечного пользователя самому инициировать исполнение вредоносного кода на целевой системе (открыть ссылку, документ с вредоносным содержимым и т. п.). При этом описанные подходы зачастую комбинируются. Уязвимости — и есть те самые ошибки разработчиков и администраторов информационных систем. «Уязвимости людей» — это как-раз ниша социальной инженерии. С людьми вопрос тяжелый, а с техникой можно работать. Часть уязвимостей публикуются и закрываются разработчиками. Ну, а часть, увы, так и остается в арсенале злоумышленников. За примерами далеко ходить не надо: один из последних трендов, которые мы наблюдаем: использование вирусописателями то ли «бага», то ли «фичи» программы просмотра справки Windows — она исполняет javascript-код без ограничения доступа к файловой системе. И таких примеров можно привести немало.

— Данил, а чем вы занимаетесь в своей профессиональной деятельности?

— В информационной безопасности я с 2007 года, работаю на крупном предприятии, где есть большой пласт именно противодействия атакам. Мы ищем пути, как их выявлять, предотвращать. Сразу скажу: «учить людей не открывать ссылки» — это путь тупиковый. У нас, к примеру, этот момент автоматизирован. Мы сами разрабатываем систему бессигнатурной фильтрации контента. В режиме выходного дня также работаю в научно-учебной лаборатории «Информационная безопасность» Сибирского федерального университета.

Романтики в нашей работе мало, но когда получается поймать хулиганов за руку, от этого испытываешь удовольствие.

— Поделитесь историями из жизни, можно забавными.

— Самые смешные случаи про людей. У нас есть система, которая фильтрует почту. Письма приходят получателю с предупреждением: огромными красными буквами мы пишем примерно следующее: «Не открывайте это вложение, если 100% не уверены в его надежности!»

Сотрудник безопасности тоже получает уведомление об этом письме. Он тут же звонит менеджеру и предупреждает, что во вложении — шифровщик. Женщина из любопытства все равно нажимает на файл, наверное, в надежде, что ее спросят: «Зашифровать ваши файлы?». Но ничего не происходит, вирус тем временем фоном зашифровывает данные на компьютере. Тогда она отправляет это письмо своей коллеге, чтобы и та проверила этого «шифровальщика». У той тоже ничего не происходит… К концу дня они обе остались без данных. «Спасение» данных, к сожалению, возможно не всегда. С надежной ассиметричной криптографией бороться сложно, вернее, практически невозможно.

—  Подождите, а как же антивирусные программы?

— Антивирусные компании утверждают, что ловят 99,9% вредоносного содержимого. Я это мнение уважаю, конечно, но у нас есть система управления инцидентами, где мы фиксируем атаки и ведем статистику. По нашим данным, из того, что приходит на электронную почту лучший результат сигнатурного антивируса (отправляем хэши на Virustotal) — это 30% на момент доставки. Спустя неделю ситуация конечно улучшается — результаты совершенно другие. Но что нам толку от того, что очередной шифровальщик будет обнаружен антивирусом завтра, когда данные уже потеряны? Надо понимать, что антивирус — это инструмент противодействия известным угрозам, основной принцип работы которых это сигнатурный метод, этакий «отпечаток пальца» — поймали вирус, сняли с него отпечаток и дальше ловим его. Также стоит понимать, что реально оценить эффективность антивируса — очень трудно. Зачастую вирус — это паразит, который никак не будет выдавать своего присутствия. По моим данным, большая часть вредоносного потока — это троян, который будет тихо у вас сидеть и решать свои задачи, принося прибыль своим создателям.

Причин получить управление над вашим компьютером может быть очень много: украсть реквизиты вашей карты, аккаунт или какие-то виртуальные бонусы, использовать ваш компьютер для вычисления виртуальной криптовалюты «биткоин» или DDOS-атаки. Вы это даже не почувствуете.

Еще относительно антивирусов у обывателя есть такая позиция — «я по сомнительным сайтам не хожу, занимаюсь только работой, антивирус мне не надо». С точки зрения техники — получить управление над вашим компьютером можно, отправив вам любой файл. Распространенная техника — встраивание вредоносного кода в PDF или файлы Microsoft Office (структура данных в этих форматах файлов, вообще говоря, позволяет встраивать произвольное содержимое). Технически путей у злоумышленника много. К примеру, в документ PDF можно включить код JavaScript. Или же использовать уязвимости Acrobat Reader. Таким образом, вредоносный код вам обязательно доставят и работа для антивируса будет всегда.

— Какие вопросы волнуют ваших слушателей больше всего?

— Данил: Тема взломов. Эта тема, где ты руками можешь пощупать, почувствовать результат (мы практикуемся на известных уязвимостях). И на практике это полезные знания, ведь взлом серверов — тоже бизнес. Не исключено, например, что ваши серверы используют в качестве промежуточного звена для проведения другой атаки. Что делать? А главное, как это узнать? Как предотвратить?

— Вячеслав: В целом безопасность — выстраивание рубежей, проходя через которые злоумышленник-либо устанет и бросит, либо не возьмётся за это. И здесь важно научиться быстро выявлять — будь то внешние угрозы или внутренние. Вот обо всем этом мы и рассказываем.

Для справки: 

Что такое этичный хакинг?

Этичный хакер (white hat hacker) — хакер, который атакует собственные сайты и локальные сети с целью найти и исследовать уязвимости. В некоторых странах университеты готовят сертифицированных этичных хакеров, которые потом работают в том числе и на крупные компании — Cisco, Microsoft, Canon, Coca Cola и другие известные бренды.

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора.

Записаться на курс со скидкой 25%

«Этичный хакинг. Тестирование на проникновение»