Калеб Барлоу: Откуда на самом деле берутся киберпреступления?

Киберпреступность вышла из-под контроля. Она повсюду. Мы слышим о ней каждый день. В этом году более 2 млрд записей данных были потеряны или украдены. А в прошлом году у 100 миллионов из нас, в большинстве своем американцев, были украдены данные о медицинском страховании, у меня в том числе. Самое тревожное в этой ситуации — то, что в большинстве случаев о похищении данных сообщали спустя месяцы после их кражи.

Если вы смотрите вечерние новости, вы можете подумать, что это в основном шпионаж или деятельность правительств. И отчасти это верно. Шпионаж — это принятая международная практика. Но в данном случае это лишь небольшая часть проблемы, с которой мы столкнулись. Как часто мы слышим о преступлении, о котором говорят: «Это результат изощренной атаки правительства»? Часто причины заключаются в компаниях, которые не хотят признать, что обладают слабыми системами защиты. Также существует распространенное мнение, что, обвиняя в атаках правительство, вы держите контролирующие органы на расстоянии, по крайней мере, на какое-то время.

Так откуда же все это берется? По оценкам ООН, 80% атак совершаются сложно организованными и очень изощренными преступными группами. На данный момент они представляют собой одну из крупнейших нелегальных сфер бизнеса в мире, с оборотом, доходящим, только вдумайтесь, до $445 млрд. Разрешите мне показать так, чтобы все вы поняли: $445 млрд — это больше, чем ВВП 160 стран, включая Ирландию, Финляндию, Данию и Португалию, например.

Так как это работает? Как действуют эти преступники? Я хочу рассказать небольшую историю. Около года назад наши исследователи безопасности наблюдали за обычной, но очень сложной банковской троянской программой Dyre Wolf. Dyre Wolf попадает в ваш компьютер, когда вы нажимаете на ссылку в письме-приманке, которого, вероятно, у вас не должно быть. Затем вирус сидит и ждет. Он ждет, пока вы зайдете в свой банковский аккаунт. Как только вы это сделали, плохие парни проникают в него, крадут ваши учетные данные и затем используют их для кражи ваших денег. Это звучит ужасно, но на самом деле в сфере безопасности такая форма атаки — обычное дело. Однако у Dyre Wolf были две абсолютно разных личности: одна — для таких небольших операций, но затем она становилась совсем другой личностью, если вы занимаетесь банковским переводом больших сумм денег.

Вот что может произойти. Вы начинаете процесс запуска банковского перевода, и в вашем браузере появляется экран от вашего банка, указывающий на то, что есть проблема с вашим аккаунтом и что вам нужно немедленно позвонить по определенному номеру в отдел банка по мошенничеству. Вы берете телефон и звоните. И после прохождения обычных голосовых подсказок вы попадаете на англоговорящего оператора. «Здравствуйте, Кооперативный банк «Алторо». Чем я вам могу помочь?» И вы проходите через обычный процесс, как и всякий раз, когда звоните в банк: называете свое имя и номер счета, проходите через проверки безопасности, чтобы подтвердить вашу личность. Многие из нас могут не знать, что многие банковские переводы больших сумм требуют присутствия двух человек для завершения процедуры перевода, поэтому оператор просит вас позвонить второму человеку и совершает такую же процедуру проверок и контроля.

Звучит хорошо, верно? Но есть проблема: вы говорите не с банком. Вы говорите с преступниками. Они создали англоязычный справочный центр, поддельный банковский сайт. И это было сделано настолько безупречно, что за один раз они переводили от $0,5 млн до $1,5 млн за одну операцию в свои преступные сундуки.

Эти криминальные организации работают словно упорядоченный законный бизнес. Их сотрудники работают с понедельника по пятницу и не работают по выходным. Откуда мы это знаем? Мы знаем это, потому что исследователи безопасности замечают повторяющиеся скачки в работе вредоносных программ в пятницу вечером. Плохие парни, после долгих выходных с женами и детьми, возвращаются, чтобы посмотреть на свои успехи.

Больше всего времени они проводят в Темной Сети. Этот термин используется для описания безымянного подполья Интернета, где воры могут работать анонимно и не быть обнаруженными. Здесь они торгуют своими атакующими программами и делятся информацией о новых техниках атаки. Вы можете там купить все: от атаки базового уровня до гораздо более продвинутой версии. На самом деле во многих случаях вы даже видите золотой, серебряный и бронзовый уровни обслуживания. Вы можете проверить рекомендации. Вы даже можете купить атаки с гарантией возврата денег, если атака была неудачной. Эти пространства, эти рынки, выглядят как платформы Amazon или eBay. Вы видите товары, цены, рейтинги и отзывы. Конечно, если вы собираетесь купить атаку, вы собираетесь купить ее у солидного преступника с хорошим рейтингом, да?

Это ничем не отличается от чтения отзывов на Yelp или TripAdvisor перед посещением нового ресторана. Вот один пример. Это реальный скриншот торговца вредоносными программами. Заметьте, это торговец уровня четыре, с уровнем доверия шесть. У него было 400 позитивных отзывов в прошлом году и лишь два негативных отзыва в прошлом месяце. Мы видим даже условия лицензирования. Вот пример сайта, который можно посетить, если хотите поменять свою личность. Они продадут вам фальшивый ID, фальшивые паспорта. Но взгляните на юридически обязывающие условия покупки фальшивого ID. Я вас умоляю! А что они сделают, если вы нарушите условия? Подадут в суд?

Этот случай произошел пару месяцев назад. Одна из наших специалистов по защите данных изучала новое вредоносное приложение для Android, которое мы обнаружили. Оно называлось Bilal Bot. В своем блоге она описала Bilal Bot как новый, недорогой и тестовый заменитель гораздо более продвинутому GM Bot, который был привычным в криминальном подполье.

Этот отзыв не понравился авторам Bilal Bot. Поэтому они написали ей письмо, защищая свое дело и приводя аргументы о том, что, по их мнению, она оценила более старую версию. Они вежливо попросили ее обновить свой блог более точной информацией и даже предложили провести интервью, чтобы описать ей в деталях, почему их программа атаки теперь намного лучше, чем у конкурентов.

Смотрите, вам не должно нравиться, что они делают, но вы должны уважать предпринимательскую натуру разработчиков программ.

Так как мы собираемся это остановить? Мы вряд ли узнаем, кто за это в ответе, — помните, они работают анонимно и за рамками закона. Мы, определенно, не сможем наказать виновных. Я считаю, что нам нужен совершенно новый подход. И этот подход должен быть сконцентрирован на идее о том, что нам нужно поменять экономику для плохих парней.

И, чтобы дать вам представление о том, как это может работать, давайте задумаемся о том, как мы останавливаем эпидемии болезней: ТОРС, Эбола, птичий грипп, вирус Зика. Что служит главным приоритетом? Знание того, кто заражен и как распространяется болезнь. Правительства, частные организации, больницы, врачи — все отвечают открыто и быстро. Это коллективные и бескорыстые усилия для остановки распространения болезни на месте и информирования всех незараженных о том, как защититься или сделать прививку.

К сожалению, это совсем не то, что мы видим в ответе на кибератаку. Организации имеют тенденцию не раскрывать информацию о таких атаках. Почему? Потому что они обеспокоены конкурентным преимуществом, судебными процессами или правовыми нормами. Нам нужно эффективно демократизировать данные о разведке угрозы. Нам нужно заставить все эти организации открыться и поделиться тем, что есть в их частном арсенале информации. Плохие парни действуют быстро, мы должны действовать быстрее. И лучший способ сделать это — открыться и поделиться данными о том, что происходит.

Подумайте о специалистах по безопасности. Помните, хранение секретов у них в крови. Нам нужно перевернуть это мышление с ног на голову. Нам нужно, чтобы правительства, частные организации и компании по безопасности захотели быстро делиться информацией. И вот почему: если вы делитесь информацией, это действует как прививка. А если не делитесь, вы на самом деле — часть проблемы, потому что вы повышаете шансы, что на других людях могут использоваться те же методы атак.

Но здесь есть даже бо́льшая выгода. Разрушая устройства преступников ближе к текущему моменту, мы разрушаем их планы. Мы информируем людей, которым они хотят навредить, намного раньше, чем они запланировали. Мы разрушаем их репутацию, мы обрушиваем их рейтинги и отзывы. Мы делаем киберпреступления невыгодными. Мы меняем экономику для плохих парней. Но чтобы сделать это, был необходим первопроходец — тот, кто поменяет мышление во всей индустрии безопасности.

Около года назад у меня и моих коллег появилась радикальная идея. Что, если IBM могло бы взять наши данные — у нас была одна из крупнейших баз данных по разведке угроз в мире — и сделать ее доступной для всех? В ней содержалась информация не только о том, что происходило в прошлом, но и что происходило почти в реальном времени. Что, если бы мы могли опубликовать это все открыто в Интернете? Как вы можете себе представить, это вызвало широкий отклик. Сначала спросили юристы: каковы правовые последствия? Затем спросили бизнесмены: каковы последствия для бизнеса? И это также нашло отклик у многих людей, просто спрашивавших, не сошли ли мы вообще с ума?

Но была одна тема, всплывавшая на поверхность в каждом диалоге: осознание того, что если бы мы этого не сделали, мы бы стали тогда частью проблемы. И мы сделали нечто неслыханное в индустрии безопасности. Мы начали публикацию. Свыше 700 терабайт актуальных баз данных об угрозах, включая информацию об атаках в реальном времени, которые могут быть использованы для остановки киберпреступлений на месте. И к настоящему моменту свыше 4 000 организаций предоставляют эти данные, включая половину списка Fortune 100. И наша надежда на следующем этапе — привлечь все эти организации присоединиться к нам в этой борьбе и делать то же самое: делиться информацией о том, когда и как их атаковали.

У нас у всех есть возможность остановить это, и мы все уже знаем как. Все, что нужно сделать, — посмотреть на ответ, который мы видим в мире здравоохранения, и на то, как они отвечают на эпидемии. Проще говоря, нам надо быть открытыми и сотрудничать.

Перевод: Катерина Хворова
Редактор: Алена Черных

Источник