Кто защитит от кибератак на выборах
Знаменитый хакер Кевин Митник обучает компьютерной безопасностиВряд ли вы втыкаете какие попало флешки в свой компьютер – все уже знают, что так легко можно занести в него вирус. Но вызовет ли у вас подозрение USB-кабель? Кевин Митник дал провод для зарядки iPhone корреспонденту The Wall Street Journal (WSJ) и попросил вставить его в журналистский ноутбук. Потом немного поколдовал в своем компьютере – и получил полный доступ к ноутбуку гостя. В том числе незаметно включил камеру и вывел картинку с нее на свой компьютер.
Потом он объяснил. В USB-кабель внедрен небольшой чип с модулем Bluetooth. Внешне ничего подозрительного не заметно. Но с его помощью была загружена хакерская программа – и вот ваш собственный компьютер подсматривает за вами.
Митник владеет не только трюками с ПО и «железом», но и так называемой социальной инженерией – когда люди сами отдают доступ к данным, став жертвой обмана. Пример социальной инженерии – звонки якобы из банка с сообщением, что ваш счет взламывают, и просьбой продиктовать код из sms от банка. Пять лет назад в интервью «Ведомостям» Митник рассказывал, что проще всего взламывать японские компании. Он звонил и просил к телефону переводчика. А уже того просил соединить с нужным человеком и помочь в общении. Из-за особенностей менталитета японцы чаще, чем представители других наций, думали, что раз вы общаетесь через переводчика компании, то заслуживаете полного доверия. Так он получил данные для проникновения в сети Fujitsu и NEC. Ему принадлежит фраза «Для человеческой глупости не существует заплаток».
Стоит ли взламывать КОИБ
56-летний Митник в своих мемуарах назвал себя «самым известным хакером в мире», а ФБР в пресс-релизе окрестило его «самым разыскиваемым хакером». В 1995 г. агенты арестовали его после того, как два с лишним года охотились за ним по всей стране, и он оказался за решеткой. Сначала менее чем на год, но постоянно вскрывались новые эпизоды его преступлений, так что на свободу Митник вышел почти через пять лет. Это был не первый срок Митника, но он стал последним. Сейчас ему принадлежит компания Mitnick Security Consulting, которая проверяет ПО своих клиентов на уязвимости и защищает их от взлома.
В 2000 г. через два месяца после освобождения Митника с испытательным сроком и под подписку о невыезде в надзирающие органы пришла бумага из сената США с просьбой разрешить хакеру поездку в Вашингтон. Он свидетельствовал перед сенатом по вопросам компьютерной безопасности. Митник вспоминает, как убеждал развернуть информационную кампанию об опасности взломов и необходимости бережно хранить персональные данные. «Я пытался предупредить их тогда, 19 лет назад, но они ничего не сделали», – сетовал он в интервью WSJ.
С тех пор не раз происходили скандалы вокруг утечки данных у IT-гигантов, банков и госорганов. Вскоре после разговора Митника с WSJ американская финансовая корпорация Capital One Financial Corporation признала кражу личных данных 106 млн клиентов. А самый свежий случай – на этой неделе стало известно, что генпрокуратура Эквадора расследует утечку 20 млн паспортных данных, адресов, номеров банковских счетов и т. п. Это больше, чем население страны: в базе есть сведения об умерших людях и даже о Джулиане Ассанже, которому власти Эквадора предоставляли политическое убежище в 2012–2019 гг. «Хакеры вырвались вперед, а службы безопасности в положении вечно догоняющих», – констатирует Митник.
А как насчет кибервмешательства в выборы? Его фирма в 2013 г. защитила президентские выборы в Эквадоре от хакеров, пытавшихся вмешаться в подсчет голосов. Но Митник признает, что вряд ли выборы в Эквадоре привлекли внимание «серьезных игроков». И уверен, что «все может быть взломано, когда у вашего противника неограниченный запас времени, денег, ресурсов и терпения». Эквадор, кстати, намерен в следующем десятилетии перейти на электронное голосование. В 2014 г. на муниципальных выборах на некоторых участках тестировали системы электронного голосования, в том числе российского производства, – об этом рассказывал ТАСС Владимир Чуров, тогда возглавлявший ЦИК России.
Митник не исключает, что «электронную урну» можно взломать. Но это чересчур сложно технически, и высок риск обнаружения. Он считает, что самый простой способ хакерски повлиять на выборы в другой стране – тот, в котором американцы обвиняют Россию. В пример он приводит историю злоключений Джона Подесты, главы избирательного штаба Хиллари Клинтон. Сначала была взломана его электронная почта и опубликована через WikiLeaks. Потом взломан аккаунт в Twitter и опубликован твит с призывом голосовать за Дональда Трампа.
От магии к тюрьме
Митник родился в 1963 г. в Лос-Анджелесе. «В детстве я был очарован магией», – говорит он. Фокусы усложнялись и на каком-то этапе перешли в пранки. Навыки радиолюбителя он употребил, чтобы вмешиваться с дурацкими шутками в переговоры работников McDonald’s с водителями, делающими заказы через терминал. Когда за бургером приезжали полицейские, он кричал: «Быстро прячем кокаин!» Потом он научился взламывать телефонные компании. Излюбленным розыгрышем было присвоить домашним телефонам друзей статус таксофона. Они поднимали трубку, пытаясь позвонить, а автоматический голос велел бросить в аппарат 10 центов.
В те годы хакерство считалось скорее забавой, нежели преступлением. «Если вам удавалось взломать школьный компьютер, вас считали одаренным ребенком. Сегодня, если вы это сделаете, вас исключат из школы и вызовут полицию», – шутил Митник в интервью сайту CNET. Но со временем он стал выбирать более серьезные цели. Например, в 1980 г. ради интереса взломал сервер республиканской партии и даже добрался до аккаунта кандидата в президенты Рональда Рейгана (тот оказался пустым).
В 1981 г. Митник впервые попал в тюрьму. 90 дней в заведении для несовершеннолетних ему дали за кражу из телефонной компании Pacific Bell внутренних руководств по работе с их системой. Митника и его подельников сдала девушка одного из них. Но он не мог прекратить взламывать: «Это была навязчивая идея, зависимость». Первое, что он сделал, когда вышел, – отомстил надзирателю, отключив его телефон и удалив из базы данных телефонной компании все записи о нем.
В 1983 г. Митнику дали полгода тюрьмы за проникновение в компьютерную сеть Пентагона. А в 1989 г. он признал себя виновным во взломе американской компьютерной компании Digital Equipment и провел в тюрьме год.
К тому времени Митник стал виртуозом по взлому телефонов. Он постоянно учился, добывая новые знания путем взлома и кражи данных у телекоммуникационных компаний – таких как Motorola, Nokia, NEC. Им заинтересовалось ФБР, но Митник узнал об этом – он мониторил телефонные переговоры федералов – и ударился в бега. Когда силовики ворвались в его квартиру, увидели оставленные специально для них пончики. Хакер скрывался с помощью поддельных документов 26 месяцев. Один из них был на имя Эрика Вейсса, который больше известен миру под псевдонимом Гарри Гудини.
Заложники хакеров
Хакеры берут в заложники целые города в США и требуют выкуп. Главный способ атаки – массовая рассылка писем муниципальным служащим. Хотя интернет переполнен советами не открывать приложения и не ходить по ссылкам из почты, периодически кто-нибудь запускает вредоносный код. Например, в Ривьера-Бич (Флорида) в мае этого года это был полицейский, а зараженными оказались все компьютеры муниципальной сети.
Вирус зашифровывает все данные на компьютерах. Приходится служащим переходить на бумажный документооборот и личное общение: компьютеры отказываются работать. Более того, недоступными становятся все архивы – невозможно ни выставить счет за электроэнергию, ни выдать свидетельство о собственности. С властей Лейк-Сити (Флорида) в июне этого года потребовали 42 биткойна, т. е. около $420 000. Аналогичной атаке подвергся Балтимор (Мэриленд), которому выставили цену в 13 биткойнов.
В этом году в США было зафиксировано свыше 20 атак на города. Но жертвами подобного шантажа становятся и отдельные службы, и компании, и даже медицинские учреждения. В январе 2018 г. была атакована больница округа Ханкок (Индиана) на 100 коек. Новых пациентов пришлось направлять в другую больницу в 20 милях.
В июле этого года Конференция мэров США (организация объединяет более 1400 мэров городов с населением свыше 30 000 человек) приняла резолюцию: не платить киберпреступникам. Ну и глупо, считает Митник. Мэры исходили из того, что выплаты провоцируют новые преступления. «Но как владельца бизнеса меня не волнует, должны или нет окупаться преступления. Я просто хочу, чтобы данные были восстановлены, а бизнес снова заработал», – говорит Митник. Он предлагает оценить, что дешевле – выкуп или попытка восстановить работоспособность систем другими способами? В случае с Балтимором, например, ответ очевиден: восстановление работы и ущерб от простоя оценивались в $18 млн.
Подвела Митника гордыня. В 1994 г. он взломал домашний компьютер известного американского специалиста по компьютерной безопасности Цутому Симомуры, скопировал оттуда ряд файлов и оставил оскорбительное послание. Выследить обидчика стало для Симомуры делом чести. В феврале 1995 г. Митника арестовали. А Симомура заработал огромные деньги: вместе с журналистом Джоном Маркоффом (который с начала 1990-х публиковал статьи о Митнике в The New York Times и сделал его знаменитостью) он написал книгу «Взлом», по которой в 2000 г. сняли фильм. Первый год заключения Митник провел в одиночке, так как судью заверили, что он сможет запустить ядерные ракеты, с помощью обычного телефона и... свиста.
Важен процесс, а не результат
Сейчас Митник руководит собственной фирмой Mitnick Security Consulting. «Я этичный хакер, – говорил он CNET. – Я наслаждаюсь этой работой, ведь где еще вы можете взять криминальное мастерство, легитимизировать его и получать за него деньги? Этичное хакерство... Это не то же самое, что торговать наркотиками, а потом пойти работать в Walgreens». (Walgreens – крупная американская аптечная сеть.) Компании платят, чтобы он с коллегами взломал ее систему, показал, как это сделал, и исправил уязвимость. Он уверяет, что еще не сталкивался с системой, в которую не смог бы проникнуть. А еще он подрабатывает главным хакером (так официально называется его должность) фирмы KnowBe4, занимающейся тем же самым. «В KnowBe4 мы разрабатываем продукт на основе искусственного интеллекта, который подходит для хакерских атак и защиты от них», – говорил он в интервью сайту о технологиях VentureBeat.
Каждый год Митника зовут выступать на десятках компьютерных конференций. Например, Сбербанк приглашал его в этом году в Москву на Международный конгресс по кибербезопасности наряду с Илоном Маском, Павлом Дуровым и Биллом Гейтсом. Никто из них, впрочем, не приехал.
Правда, открыть собственный IT-бизнес Митнику удалось не сразу: некоторое время после освобождения в 2000 г. ему было запрещено пользоваться компьютером. Когда его попросили сыграть небольшую роль в сериале Alias («Шпионка», 2001–2006), пришлось усадить хакера за муляж компьютера.
Запрет был снят только в 2003 г. А через неделю сайт Митника DefensiveThinking.com взломал хакер, чтобы доказать, что слава Митника как компьютерного гения сильно раздута. С тех пор его ресурсы взламывали не раз, порой оставляя издевательские письма. Но Митник не склонен обижаться. Во-первых, как признавал он в интервью «Ведомостям», защитить намного сложнее, чем взломать: «Внутри нашей группы мы разрабатываем собственные вредоносные программы, и ни одна программа их не ловит». Во-вторых, он сам считает, что слухи о его хакерской квалификации во многом миф в автобиографии. Многие взломы он совершил не с помощью кода, а используя человеческий фактор, тем или иным способом заставляя людей предоставить ему доступ. А сейчас даже социальной инженерии не нужно. У корреспондента WSJ он спросил адрес личной почты его и нескольких знакомых. Покопавшись в интернете, Митник нашел один из паролей журналиста. В той же базе был чей-то чужой пароль «Адвокат1». Возможно, он устарел, задумчиво произнес Митник, но это не значит, что он бесполезен. На месте хакера стоило бы попробовать ввести «Адвокат2», «Адвокат3» и т. д.
Было бы гораздо безопаснее, если бы сайты генерировали длинные случайные пароли, а затем сохраняли их в менеджере паролей, защищенном целой «парольной фразой» – т. е. предложением, которое угадать, конечно, сложнее, чем одно слово.
Митник говорит, что в хакерстве его главным образом привлекали не деньги, а сам процесс, когда нужно решать одну задачу за другой. Еще подростком, взломав компьютерную сеть своей школы, он удовлетворился самим фактом и не стал исправлять свои оценки. Митник тоскует по «хакерам старой школы», у которых был свой этический кодекс: «Не взламывать, чтобы навредить другим или заработать деньги». Но когда компании ринулись вести бизнес онлайн, все изменилось: «Я не думаю, что хакеры превратились в преступников <...> Скорее это преступники научились взламывать». Сыграло роль и то, что компьютерные преступления становятся все более легким делом. Митник рассказывает, что для этого не нужно быть технически подкованным. По его словам, на рынке есть нечто вроде франшизы. Продавцы предоставляют вредоносное ПО, а их клиенты рассылают фишинговые электронные письма. Как только кто-нибудь открывает приложение с вирусом или кликает по ссылке, все данные на его компьютере зашифровываются и предлагается заплатить выкуп за пароль для расшифровки. Если жертва платит, клиенты делятся выручкой с продавцами вредоносного ПО. По данным фирмы кибербезопасности Coveware, в начале этого года с жертв требовали в среднем $13 000 выкупа.
Часто атаки идут из-за рубежа, что усложняет поимку преступников. Митник советует периодически делать резервные копии всей информации и хранить их там, где нет подключения к интернету. А главное – обучает сотрудников. В том числе с помощью провокаций. Он смеется над опасениями, что, если компания пытается поймать на фишинговые уловки собственных сотрудников, это подрывает моральный дух. Просто компании стоит почаще напоминать работникам, что ее цель – повысить эффективность «человеческого антивируса». KnowBe4 предлагает бесплатный тест на защиту от фишинга. По свидетельству Митника, руководители компаний испытывают шок, увидев, сколько их подчиненных попались на удочку.