Во второй части нашего обзора кибербезопасности за 2017 год мы мысленно возвращаемся к нескольким ключевым событиям, которые произошли в течение этого очень напряженного года. Если вы пропустили первую часть нашего обзора, это можно наверстать здесь.
(Не)безопасность данных
Недавние данные «Индекса уровня нарушений» компании Gemalto за первую половину 2017 года указывают на тревожную тенденцию и свидетельствуют о том, что нарушения в сфере данных становятся все более распространенным явлением, а объем атакованных записей растет в таком же темпе. Во всем мире в первой половине 2017 года в общей сложности 918 нарушений в сфере данных привели к повреждению 1,9 миллиарда записей данных, при этом количество потерянных, украденных или поврежденных записей увеличилось на 164% по сравнению со второй половиной 2016 года. Большинство нарушений в области данных по-прежнему происходят в Соединенных Штатах.
Можно с уверенностью сказать, что в этом году среди «индивидуальных» нарушений в области данных похищение данных в агентстве кредитной отчетности Equifax привлекло наибольшее внимание общественности. Взлом Equifax – поистине печальная история для всех его жертв, наряду с промахами компании в процессе «подбирания осколков» после обнаружения инцидента – высветил общие проблемы, связанные с обработкой и неприкосновенностью данных.
Инцидент 2017 года в Equifax, «мать всех нарушений», – пусть и не самый крупный с точки зрения объема поврежденных записей – примечателен именно видом информации, которая оказалась в публичном доступе. Действительно, нарушения в области данных могут быть грустным фактом цифровой жизни, но далеко не каждый день похищается такая информация, как номера социального страхования каждого второго американца.
Это так, если забыть о событии середины года, «матери всех утечек», когда аналитическая компания Deep Root Analytics случайно обнародовала личную информацию 198 миллионов американских избирателей, что считается самой большой в мире утечкой данных об избирателях. А всего лишь несколько дней назад выяснилось, что граждане США «подверглись» еще одной утечке конфиденциальной информации, на этот раз затрагивающей 123 миллиона американских домохозяйств.
Между тем, компания Yahoo, не новичок по части сенсационных заявлений, в октябре признала, что один из двух массовых взломов ее системы безопасности – в далеком августе 2013 года – затронул все три миллиарда учетных записей ее пользователей, а не один миллиард, как она сообщала ранее. Обнародованные параметры доступа могут быть использованы для широкомасштабных автоматических атак, называемых credential stuffing, в которых злоумышленники, используя имена и пароли, принадлежащие одной учетной записи, вторгаются в другие учетные записи того же пользователя, особенно в банках, опираясь на хорошо известную склонность «жителей» Интернета использовать одни и те же пароли для разных учетных записей.
Уязвимости
В этом году также стало понятно, насколько важно латать дыры в системах безопасности, поскольку многие катастрофические инциденты можно было предотвратить, если бы эти системы были исправлены и соблюдались бы надлежащие меры безопасности. В этом году тщательному анализу подверглось немало уязвимостей, но ни одна из них не имела столь долгосрочного воздействия, как те, что эксплуатировались создателями угроз, которые приспособили для своих целей комплекс программных инструментов, разработанный Агентством национальной безопасности США, а затем похищенный и обнародованный хакерской группировкой Shadow Brokers.
Еще одна фундаментальная уязвимость, приковавшая к себе внимание прессы в этом году – хотя и не потому, что получила широкое распространение – касается протокола шифрования WPA2. Уязвимость “KRACK” (Key Reinstallation AttaCK), которая с момента обнаружения в октябре была исправлена на всех основных платформах, позволяла третьим лицам, находясь в пределах диапазона Wi-Fi жертвы, перехватывать ее сетевой трафик. В результате, при определенных условиях некоторые частные разговоры отныне едва ли можно называть частными.
Различные реализации стандарта Bluetooth боролись со своими собственными потенциально серьезными системными ошибками, ставящими под угрозу пользователей практически всех операционных систем. В сентябре выяснилось, что практически любое Bluetooth-совместимое устройство, в которое не было внесено последних исправлений, может быть захвачено, даже если оно не подключено к устройству хакера.
Поскольку все больше и больше устройств, в основном из сферы «Интернета вещей» (IoT), подключаются к Интернету, поверхность атаки расширяется с угрожающей скоростью. То же происходит и с брешами в системах безопасности: количество уязвимостей, о которых сообщалось в 2017 году, увеличилось более чем в два раза по сравнению с 2016 годом.
Критическая инфраструктура в критической опасности?
Череда фундаментальных уязвимостей, обнаруженных в этом году, говорит о том, что экосистема критической инфраструктуры напоминает сад, в котором плоды висят очень низко. Актуальность угроз, с которыми сталкивается ключевая инфраструктура, полностью вскрылась уже в первые дни 2017 года, когда специалисты пришли к выводу, что перебои в электроснабжении, которые вызвали часовое отключение света в некоторых районах украинской столицы Киева и его пригородов 17 декабря 2016 года, были результатом кибератаки.
Некоторое время спустя исследователи ESET тщательно изучили образцы вредоносной программы, идентифицированной ESET как Win32/Industroyer, и пришли к выводу, что именно этот вредоносный код, скорее всего, и использовался в атаке, имевшей место в декабре 2016 года. Благодаря своей хорошей модифицируемости – наряду со способностью сохраняться в системе и предоставлять ценную информацию для тонкой настройки полезной нагрузки с гибко изменяемой конфигурацией – эта вредоносная программа может быть адаптирована для атак на любую среду, что делает его чрезвычайно опасной.
Атака в декабре 2016 года напомнило о подобном, но гораздо более масштабном отключении электроэнергии в результате кибератаки 23 декабря 2015 года. Последняя на несколько часов оставила без электричества около половины домохозяйств в Ивано-Франковской области с населением 1,4 миллиона человек – это была первая подобного рода атака, в которой использовалась вредоносная программа известная как BlackEnergy.
Старший исследователь в области вредоносных программ ESET Роберт Липовски выразил обеспокоенность в связи с тем, что Украина может служить полигоном для совершенствования атак на критическую инфраструктуру, которые могут быть предприняты и в других частях мира. «Относительно низкое влияние отключения электроэнергии в декабре 2016 года сильно контрастирует с техническим уровнем и изощренностью подозрительных вредоносных программ, стоящих за Industroyer», – заявил он.
В октябре правительство США издало редкое предупреждение населения о том, что «не позднее как с мая 2017 года создатели угроз нацелились на государственные органы, объекты энергетики, водного хозяйства, авиастроения, атомной промышленности и критически важные объекты обрабатывающей промышленности и в некоторых случаях использовали свои возможности для взлома сетей своих жертв».
В «эпохальной кибератаке», выявленной в начале этого месяца, создатели угроз применили вредоносную программу Triton, чтобы вывести из строя систему безопасности на одном ближневосточном промышленном предприятии, что привело к прекращению деятельности объекта. Хотя это и было первое сообщение о взломе системы безопасности на объекте критической инфраструктуры, этот инцидент напомнил об инцидентах Industroyer и Stuxnet.
Что касается киберзащиты, не лучшие времена переживает и сфера здравоохранения. Она уже долгое время является желанной целью, не в последнюю очередь и потому, что тут хранится множество конфиденциальных персональных данных, к которым нужен частый и быстрый доступ.
Какой хаос может быть вызван кибератакой на медицинские учреждения, независимо от того, было это сделано намеренно или нет, нагляднее всего продемонстрировал ущерб, причиненный вредоносной программой WannaCryptor Национальной службе здравоохранения Великобритании (NHS). Утверждается, что нападение остановило работу каждой третьей организации NHS в Англии. В результате было отменено 19 500 приемов, заблокированными оказались компьютеры в 600 хирургических отделениях больниц, а пять больниц были вынуждены передать свои машины скорой помощи на другие объекты.
Позднее было объявлено, что NHS получит финансирование в размере 20 миллионов фунтов стерлингов на повышение ее иммунитета от подобных вторжений. В каком-то смысле это представляет собой отход от долгосрочной тенденции в этой сфере, состоящей, в целом, в стремлении подключать все новые и новые устройства, каждое из которых связано с конфиденциальной информацией, а во многих случаях и с функциональными возможностями IoT, в то время как вопросы безопасности и неприкосновенности персональных данных, как обычно, остаются на заднем плане.
Развязка
Сегодня, на исходе 2017 года, мысль о том, что даже лучшую систему безопасности можно обойти за счет самого слабого звена в цепочке безопасности, по-прежнему сохраняет свою истинность и для киберпространства. Как уже повторялось бесчисленное количество раз – хотя это не обязательно может быть применимо во всех случаях, – ахиллесовой пятой обычно оказывается человеческий фактор. В чем на самом деле крупномасштабные атаки и нарушения помогают – это, среди прочего, в том, что они выявляют уязвимости в способах обработки нашей персональной информации. В более широком плане, нынешний спектр угроз проливает свет на опасности нашей зависимости от технологий, которые могут стать объектом нападения, и напоминает нам о том, насколько в условиях сближения наших цифровых и физических миров важна кибербезопасность.
Прежде чем подвести итоги 2017 года накануне, несомненно, напряженного 2018 года, можно извлечь много уроков из событий последних 12 месяцев. Поскольку мы все больше и больше времени проводим в онлайн-сфере – и часто едва догадываясь об этом, – необходимость защитить нашу цифровую жизнь сегодня актуальнее, чем когда-либо прежде. Прежде всего, мы должны быть на шаг впереди злоумышленников, которые неустанно придумывают что-то новое и всегда готовы воспользоваться любой нашей слабостью. Ошибочно думать, что «со мной такого не может случиться». Напротив, учиться на ошибках, допущенных другими – до того, как те же самые ошибки будут использованы против нас – это долгий путь к обеспечению и укреплению нашей линии обороны. Именно так мы уменьшаем вероятность того, что кибернебезопасность превратится в постоянную и не выявляемую проблему, которая может обернуться и против нас, подрывая ценность не только нашей цифровой жизни, но и нашего физического существования.
Источник: Welivesecurity
