mikaprok (mikaprok) wrote,
mikaprok
mikaprok

Уровень доступа. Словарный запас



Выборы прошли, русские хакеры на время покинули первые полосы газет. Тем не менее на смену заступили их китайские коллеги. Эти уж совсем какой-то дикой удали – вламываются ежеминутно во все засекреченные уголки «виртуального Вашингтона» и выносят всё подчистую. Ужас! Верните русских!
А собственно, что мы о них знаем? Кроме богатого подтекста и 7-8 имен на поверхности и нет никого. Медведь, балалайка и ushanka вот наши документы.

А масштабы поистине впечатляют. Если верить статистике, любезно предоставляемой госдепартаментом Соединенных Штатов, ущерб от кибератак оценивался в 2014 году в 23 млрд. долларов. Пара авианосцев с полным боекомплектом.

Красная кривая количества взломов взмывается к небу вертикально: каждый год  рост на 65-72%.

И это всё те же два с половиной калеки?

Я провел небольшое лингвистическое расследование и выводы показались мне любопытными. 
Интерес к «russian hackers» выплескивается на страницы газет каждый раз, когда отношения между США и Евросоюзом опускаются до локального минимума. Если брать хорошо наблюдаемый и документируемый период с 2003 по 2013 годы, то мы увидим следующее. На протяжении 10 лет русскими хакерами называли всех русскоязычных. В общем, это было расхожим выражением. Везде, где можно обозначали это «Russian-speaking hackers».  Разница на слух среднестатистического жителя Кентукки небольшая, но для нас существенная.

СМИ редко поясняли какая именно страна имеется в виду. Чаще всего использовали объединительное «пост-советское пространство».
Однако, если почитать материалы тех лет внимательно, то аналитика будет такой: в 30% случаев явно называлась страна и это (барабанная дробь) Украина.
В 10% случаев – Казахстан или Прибалтика.





Там, где ни явно ни косвенно прописка не указана, может быть всё что угодно. Если это вдруг оказывается РФ, то сразу речь идет о населенном пункте, откуда стреляли.
Как именно определить национальную принадлежность «русскоязычных» даже в случае их дислокации на территории РФ непонятно. Я посмотрел на два случая, один раз речь шла о Екатеринбурге, а второй – о Саратове. Оба преступника – не местные. 

Это без учета игр с динамическим IP, Tor'ом и прочего, когда вообще не ясно о чем речь.

После 2013 года тон сменился и «Russian-speaking» сократили до «Russian». Страну тоже перестали обозначать – вроде бы как всё ясно.
Если брать самые громкие преступления: в 2007 году появилась вредоносный червь ZeuS. Как любой уважающий себя вирус, он терпеливо ждал, иногда по нескольку недель, ввода пароля для online-banking на зараженном компьютере. Затем тихонечко отсылал его своим владельцам. В случае операции ZeuS киберпреступники знали кому и что нужно высылать, следили за своими жертвами и не спешили вытаскивать из кошелька деньги даже имея на руках все козыри. Т.е. продемонстрирован профессиональный подход к делу.
Итогом стала кража больше 79 млн. долларов со счетов 390 жертв.

Расследование длилось 2 года и всю шайку удалось накрыть. По крайней мере, так отчитались в ФБР. Весь состав был с Украины.

В отличие от истории с Citigroup, никакой двусмысленности не наблюдалось – пацаны шли к успеху сознательно.






Не все могут этим похвастаться – деньги тут экзотическая мотивация.

По статистике до 2012 года большая часть хулиганских действий в отношении аккаунтов частных лиц и компаний совершалось тинейджерами на территории самих США. В 40% случаев сами правонарушители пытаются скрыть, прячась за IP с другого конца света.
Если сводить всю статистику, не очень понятно, как отделить мух от котлет. Сие возможно только в случае явного дезавуирования. Другими словами, в считанных процентах от общего количества взломов.   

Зададимся другим вопросом, не менее важным, – а насколько сложно совершить киберпреступление?

Кратко – очень просто.





Не важно насколько сложен пароль  – он никого уже не защищает.

1) Сейчас используют всю имеющуюся персональную информацию, полученную из социальных сетей поисковиков и т. д. Достать данные на любого человека очень просто. Если вас нет в соцсетях – не беда, ваши данные есть в базах операторов сотой связи, пенсионных фондах, автодилерах, авиаперевозчиках. Ломают же абсолютно всё. Дальше в буквальном смысле – дело техники. 20 минут и вы в дамках.

2) Сколько волка не корми, а он все равно не накормлен. На 2015 год были доступны такие цифры: в произвольной выборке 100 000 паролей для аккаунтов Google (сейчас ключ ко всему рынку вообще) первый по популярности пароль был … правильно – «password», а второй – 12345678. Сейчас, вроде бы как запретили вводить такие комбинации букв на уровне интерфейса, но все равно кто-то умудряется «ломать систему».

«Cain and Abel» или «John the Ripper» такое подбирают примерно секунда 20-30 в лоб.

Длина пароля не имеет значения – даже 20 символов уже считается малым количеством.

Сама система безопасности, построенная на паролях ущербна. Сейчас модно говорить о сильных паролях, мол если всё сделать правильно, то это поможет. Не поможет.
Пароль это всегда компромис между удобством интерфейса и безопасностью. Современный рынок так устроен, что в 99% случаев побеждает удобство.
Если предположить, что кому-то в голову взбредет изобрести 256-символьный шестнадцатеричный пароль для входа в почту, то флаг ему в руки.

3) Гигантское количество людей использует одни и те же учетные данные для всех своих аккаунтов. За последние несколько лет в сеть утекло больше полумиллиарда хэшей  с различных ресурсов, начиная с LinkedIn и до Gmail. Одно из аналитических агентств приобрело две выборки по одним и тем же пользователям – пароли совпали в 49% случаев. 

4) Главная проблема – несовершенство человеческой памяти. Социальная инженерия – бич современных систем безопасности. Работа с народом очно занимает скромное 5 место в табели о рангах взломщиков и ответственно всего за 7% проникновений. Но вот количество данных, полученных таким способом впечатляет – это 37% всей утекшей информации.




5) Биометрия кажется ответом на все вопросы. Сложно что-то подделать или украсть. По крайней мере дистанционно. Есть, правда, два существенных НО:

- средствам безопасности основанным на чтении сетчатки глаза или отпечатках пальцев не хватает дешевых и надежных средств идентификации, той самой «железки», которая все счиывает и не ошибается каждый 8-й раз (официальные признания). Тут производители сталкиваются с типовой проблемой «курицы и яйца»: пока решения ненадежны, нет смысла педалировать их внедрение. А если не педалировать, то никто сам инициативы и не проявит;

- сетчатка глаза или отпечаток пальца хранятся точно также, как и пароль – длинной строкой из  I/O. Строку эту можно не угадывать, а просто забрать из места хранения. Тут уже у пользователя вариантов нет – речь идет о краже личности. В отличие от гибкого вербального пароля, нужно менять части тела, чтобы восстановить доступ к почте.

Какой выход предлагается из идеологического тупика?






Довериться провайдерам систем безопасности и тем самым корпорациям, которые уже не раз и не два всех сдавали :-)

Биометрия скорее всего будет стандартом на уровне носимых устройств для идентификации владельца. Тут риски сопоставимы – случае хранения данных в «облаке» потери будут небольшими. Само   доступа к данным будет основано на большом массиве социальной информации и некоторой привязке к реальности, не так важно географической, голосовой или взятой с портативной видеокамеры.

На самом деле Google и сейчас отправляет уведомление, если вы заходите в свой аккаунт с непривычного IP. Декларируется, что этот принцип будет развит вплоть для наблюдения за списком контактов и типовым содержанием беседы (если речь идет о соответствующем инструменте). Опознавать будут, таким образом, по родимым пятнам.
Еще хороший способ в стиле sharing economy: делать вашу фотографию с телефона и рассылать 3 наугад выбранным контактам с просьбой подтвердить личность. Контакты, само собой, время от времени обновляются, выявляются злокозненные нарушители спокойствия и всё такое прочее.

Как известно, при пользовании автоматической бритвенной установкой первый раз у всех лица разные, а потом …  

Так или иначе, но наши данные о безопасности устарели. «Russian hackers» кажутся в этом контексте какой-то избыточной сущностью. Стародавней пропагандисткой архаикой из 90-х.

Реальные проблемы у кибербезопасности, однако, действительно есть. Об этом вскоре и поговорим.


Продолжение воспоследует...
Tags: citibank, computer, hacker, levin, putin, russia, statistics, usa, wada, владимир левин, россия
promo mikaprok февраль 20, 17:53 127
Buy for 20 tokens
Фейковый скандал с фейковыми новостями вызвал к жизни совсем не фейковую, а очень важную тему, которой, к сожалению, уделяется в повседневной жизни СМИ мизерное внимание. И понятно почему. Тема-то САМАЯ востребованная и такого слона не замечали на протяжении всех 15 лет активного развития…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments