Конспект лекції: Сучасні загрози інформаційної безпеки

Вітаю Вас шановні слухачі, сьогодні ми поговоримо про еволюцію загроз

інформаційної безпеки. Загалом, аналізуючи сучасні загрози інформаційної
безпеки потрібно розуміти вплив Інтернет на розвиток шкідливих програм.

Еволюція загроз інформаційної безпеки

Перш за все потрібно наголосити, що Інтернет це засіб для передачі та обміну

інформацією. Шкідливі програми почали створювати задовго до виникнення
Інтернету. Але яким чином розповсюджувались такі загрози тоді. Як ми вже
говорили, це були магнітні диски, всі розробки були одиночні, кустарні. Тобто автор,
який розробляв віруси міг опиратись лише на власний досвід, або на матеріали із
електронних секретних журналів, які часто містили досить застарілу і
широковідому інформацію. Крім того, така ізольованість не дозволяла
зловмисникам об’єднуватись у великі угрупування. Тобто організація могла діяти
лише в рамках певного міста. Їм у будь-якому випадку потрібно було зустрічатись
разом.

Що дав Інтернет? Перш за все, він дав можливість загрозам швидко

розповсюджуватись. Раніше, з моменту створення загрози до моменту появи її на
комп’ютерах користувачів, проходили дні, можливо місяці, потім ще стільки ж часу
потрібно було для оновлення вірусних баз і ще значний час для того щоб передати
це оновлення на комп’ютери користувачів. Зараз це відбувається миттєво, рахунок
йде на секунди: з’явилась загроза, буквально через декілька хвилин вона вже
атакує користувачів, за декілька годин на це реагує антивірусна компанія, випускає
оновлення вірусних баз, яке буквально за декілька годин потрапляє на комп’ютери
користувачів. Ситуація повторюється коли зловмисник створює нову модифікацію.
Інколи зловмисники створюють нові модифікації вірусів кожну годину чи навіть
частіше. Так, нам відомі сімейства шкідливих програм, для яких нараховується
більше півмільйона модифікацій, при тому що вперше така програма була
розроблена рік тому, тобто всього за рік було створено понад 500 тисяч
модифікацій однієї загрози.
 Це відбувається саме завдяки швидкості обміну інформацією в глобальній
мережі. Інтернет продукує не просто швидке створення загроз, але й масовість їх
розповсюдження. Крім того, зловмисники мають можливість об’єднуватись у
кіберугруповання, знаходячись у абсолютно різних частинах світу на різних
континентах, наприклад, в США, Європі, Австралії, Росії, а атакувати когось у
Японії, при цьому робити це досить ефективно.

Є ще одна сторона проблеми. Уявіть собі ситуацію, що всі комп’ютери не

мають можливості швидкої передачі даних та інформація передається за
допомогою зовнішніх накопичувачів. Яку шкоду може завдати шкідлива програма?
Вона може щось знищити на Вашому комп’ютері, але не має можливості
шпигунства при такій схемі, навіть якщо ціллю буде викрадення інформації,
виникне питання як це зробити?

Якщо зловмиснику потрібно змінити логіку поводження з програмою, то такої

можливості не буде. Інтернет усі ці можливості надав, тобто якщо зловмисна
програма потрапляє на комп’ютер збирає інформацію, одразу передає її
зловмисникам, які швидко її аналізують та виконують додаткові дії, нові команди.
Все відбувається у режимі реального часу за лічені хвилини, максимум години.
Таким чином швидкість Інтернету безпосередньо позначилась на якості роботи
шкідливих програм, на здатності до модифікацій, підлаштувань.

Знову наголошуємо, що у сучасному світі будь які дії кіберзлочинців

направлені на заробіток коштів, будь-то показ додаткової реклами, крадіжка
персональних даних, блокування комп’ютеру.

Але є окремий вид загроз, коли у користувачів крадеться пряма інформація

пов’язана з фінансами: доступи до електронних платіжних систем, дані кредитних
карт, клієнт-банків. Насправді, троянські шкідливі програми еволюціонують разом
із засобами захисту, які проти них застосовуються. Спочатку вони були досить
простими. Кейлогери перехоплювали натискання клавіш на клавіатурі, звичайно ж
банки почали з цим боротись, наприклад блокували управління клієнт-банком з
незнайомих ІР-адрес – це дуже розумних хід. Але що зробили зловмисники? Вони
перетворюють комп’ютер користувача на «зомбі», крім крадіжки Ваших логінів,
вони проводять дії з Вашим гаманцем - прямо з Вашого комп’ютеру виконують
операції по переводу коштів.

Наступним етапом захисту платіжних систем було введення даних для входу
не з фізичної клавіатури, а з віртуальних клавіатур. У даному випадку троянські
програми можуть перехоплювати мережеву інформацію, якою обмінюється
комп’ютер та клієнт-банк. Можуть відслідковувати поведінку мишки і кліків, можуть
робити скрін-шоти екранів. Механізми перехоплення фінансової інформації дуже
розвинені зараз.

Банківські троянці – це окремий клас шкідливих програм, всіх їх можна

розділити на дві категорії. Перша – це програми розраховані на крадіжку дрібних
фінансів, роблять ставку на масовість. Це ті троянські програми які крадуть дані
кредиток, платіжних систем, по типу PayPal і WebMoney. І крадуть по 100-1000
доларів з кожного. В результаті зловмисники можуть розжитись мільйонами саме
за рахунок масовості. У 2013-14 році в Україні дуже широко розповсюдження
набули програми які орієнтовані на клієнт-банки компаній, тобто розраховані не на
окремі маленькі суми а на великі рахунки. Так, по аналітичним оцінками лише від
юридичних осіб в Україні було викрадено декілька десятків мільйонів гривень за
останній рік. При цьому, постраждали в основному великі компанії. Дуже часто
шкідливі програми створюються під конкретні клієнт-банки. Тобто ми говоримо про
точкові атаки, направлені на крадіжку коштів від вузького кола користувачів.

Цілі та прийоми сучасних шахраїв

Які ж цілі та прийоми сучасних шахраїв?

Шахраї – це дуже правильний термін, будь-то шахрайство у реальному житті

чи у Інтернет має одні й ті ж самі корені. Отримати певну вигоду – нажитися. Як і у
реальному житті шахраї працюють продумано. Ситуації коли хтось думав написати
навмання просто зловмисну програму, а вже потім зрозуміти, що з нею робити вже
давно пішли у минуле, це робили кіберпанки. Зараз же, як правило, якщо хтось так
робить то він не є небезпечний. Як ми вже говорили, сучасні кіберзловмисники
об’єднуються у добре організовані кіберугруповання, у яких дуже добре
розподілені ролі. Хочу ще раз наголосити, що сенс у тому, що це добре
організовані злочинні угруповання, в яких є всі необхідні спеціалісти. Звичайно ж
їхня задача заробити гроші, при чому багато і швидко. Якщо б мова йшла про
повільний заробіток, то звичайно ніхто б не ризикував займатись злочинною
діяльністю. Розглянемо схеми роботи зловмисників загадані у першій лекції дещо
ширше.

Вся специфіка в тому, що у всього є своя ціна, про яку ми інколи можемо
навіть не замислюватися. Наприклад, елементарна база електронних адрес, яка
містить інформацію про їх володарів: вік, регіон проживання – вже є товаром, який
можна продати, а по адресам провести СПАМ-розсилку, і вона буде достатньо
ефективною, оскільки зловмисники попередньо оберуть цікаву для цільової
аудиторія тему, попередньо відслідкувавши чим цікавляться користувачі.

Часто буває так, що група зловмисників не знає спочатку як саме буде

монетизувати своє підприємство і часто розроблюються троянські програми, як
певний конструктор. Спочатку користувача заражає лише частина всієї програми,
яка по суті ще не несе в собі шкоди, вона просто заражає комп’ютер,
підключається до командного центру і чекає команду, а вже сама команда може
бути різною: чи передати інформацію зловмисникам, чи то виконання певного
запиту у мережі, чи дозавантажити певні додаткові модулі. Ось така базова
троянська програма відслідковує чим Ви займаєтесь, чи користуєтесь платіжними
системами, яку інформацію шукаєте, які ресурси відвідуєте, яка швидкість Вашого
Інтернету, де географічно Ви перебуваєте.

Будь-яка така інформація корисна. Далі ця інформація аналізується і

зловмисники приймають рішення, що, наприклад, Вам потрібно дозавантажити
модуль для крадіжки гаманців WebMoney а також модуль для крадіжки інформації
з клієнт-банку певного українського банку і по-третє програму для розсилки
СПАМУ. Оскілки у Вас швидке Інтернет з’єднання, Ваш комп’ютер постійно
включений і Ваша ІР-адреса відсутня у чорному списку. Тобто приймається
рішення про те, як Ваш комп’ютер використати максимально ефективно,
ставляться конкретні задача, як можна заробити гроші конкретно на Вас.

Варто згадати що існує два шляхи потрапляння шкідливих програм на Ваш

комп’ютер чи телефон. Перший це вразливости у самій системі, у цьому випадку
Ви нічого не зможете зробити, шкідлива програма просто потрапить на Ваш
комп’ютер. Однак, такі вразливості розробники операційних систем намагаються
виправляти з кожним оновленням системи і тому їх досить мало. Тому
зловмисники шукають інші способи заразити наші комп’ютери і тут
використовується людський фактор, а даний спосіб отримав назву соціальна
інженерія.

Соціальна інженерія

Соціальна інженерія – це одна із технологій управління людьми. Тобто якщо

інженер займається розробкою певних технічних рішень, наприклад, приладів, то
людина, яка займається соціальною інженерією займається технологіями, які
мають вплинути на поведінку людину. Які найяскравіші приклади соціальної
інженерії? Наприклад, створити таке повідомлення, яке буде спонукати
користувача до певної дії, там де зловмисники не можуть уразити систему
технічним способом, вони застосовують способи соціальної інженерії, адже
людина є невід’ємною частиною інформаційною мережі і тому є одним із
найважливіших елементів системи інформаційної безпеки. Спеціалісти по
інформаційній безпеці кажуть, що найслабкішою ланкою у інформаційній безпеці є
людина. Можна поставити надскладні паролі чи суперсучасне програмне
забезпечення: антивіруси, фаєрволи, системи обмеження та розмежування прав
доступу, однак людина, яка працює за комп’ютером може всі ці системи відключити
або обійти іншим способом і допомогти зловмиснику потрапити у систему.

Наразі соціальна інженерія є одним із основних методів атаки на персональні

комп’ютери, сервери та мережі. Більшість заражень відбувається шляхом обману
користувачів з використанням методів соціальної інженерії.

Найбільш розповсюджені методи, які використовують зловмисники:

Створення електронного листа, з використанням соціальної інженерії. Зміст

листа буде спонукати користувача запустити прикріплений до листа файл і таким
чином активується троянська програма. Подібні атаки використовуються уже 16
років. Перші поштові хробаки використовувались саме так. Наприклад, Ви
отримали листа із випискою від банку, у якому Вас просять уточнити деталі,
повідомляють про проблеми з рахунком. До листа додається файл, він має іконку
Word чи PDF- документа, однак, насправді він не є документом, це програма, яка
запускається і заражає ПК користувача. Багато поштових сервісів намагається
захистити користувачів від таких хитрощів, наприклад, блокують листи, до який
прикріпляються файли, які можна запустити. Зловмисники в свою чергу навчились
додавати до листів архіви, у які запаковуються троянські програми. І ми маємо
яскравий приклад саме соціальної інженерії, коли користувач вважаючи
повідомлення від банку дуже важливим сам розпакує архів і запустить шкідливу
програму, при цьому обійшовши систему захисту поштових сервісів.

Фішинг – дуже популярний вид шахрайства. Мова йде про створення сайтів,
які дуже схожі на справжні. Фішинг часто базується на некоректно введених
адресах у браузері, на підміні пошукових запитів. Наприклад, користувач хоче
відкрити сайт вконтакте ру, а замість цього набирає вконракте ру. Як показує
статистика такі помилки при введені адреси користувачі роблять досить багато.
При цьому відкривається сторінка абсолютно схожа на сторінку авторизації
популярної соціальної мережі. Користувач намагається авторизуватися, вводить
свій логін і пароль, а оскільки сайт підроблений він не авторизується, а просто
повідомляє свій пароль зловмисникам.

Часто працює симбіоз – сайт + фішингові листи. Користувачам розсилається

лист чи повідомлення у самій соціальній мережі із вмістом і лінком, на який
пропонується перейти, щоб побачити деталі. Але, насправді, посилання веде на
підроблений сайт, який буде називатись дуже схоже, а користувач може і не
помітити різницю. Наприклад, можуть просто помінятись місцями дві літери в назві.
І що цікаво, сайт знову попросить Вас увійти у свій акаунт. Ви введете свій логін та
пароль і його отримають зловмисники.

Дуже часто зловмисники, атакуючи користувачів розраховують на емоційну

реакцію – на потужну коротку емоцію. Я сам потрапляв у ситуацію, коли отримував
такі повідомлення, які складені настільки добре і вдало, що просто дуже хочеться
одразу відкрити файл. Але мені вистачало досвіду не зробити цього. Нажаль,
часто користувачі спочатку запускають файл, а вже потім розуміють, що зробили
помилку. Головне в такій ситуації не поспішати. Наприклад, рольова ситуація у
Facebook. Від одного із Ваших друзів Ви отримали повідомлення: «Вау, яке відео,
ну ти і даєш! Як же тобі не соромно» і в кінці йде посилання. Ваша перша реакція:
що ж там таке? Ви намагаєтесь запустити посилання, і тут Вам ще пропонується
завантажити відео, відкриваючи його просто із цікавості Ви заражаєте комп’ютер.
Але ж достатньо просто зупинитись і витримати паузу 10 секунд і подумати: У чому
сенс повідомлення, яке це може бути відео? Хто мені це прислав, наскільки часто
ми спілкуємось? Чому текст такий загальний? Нічого конкретного? У крайньому
випадку можна зв’язатись з відправником листа, можливо запитати в нього що це
таке, якщо він не відповідає ще раз подумати, якщо є можливість зателефонуйте
йому. Але не поспішайте відкривати і тим паче закачувати і запускати на ПК те що
Вам пропонують. Намагання зловити користувача на емоційній реакції дуже легко
нівелюється простою зупинкою і думкою про те, що не варто поспішати і просто
подумати, що це і для чого…

Скімінг – це вид кіберзагроз, який не має відношення до програм, чи

Інтернету. Мова йде про крадіжку даних з кредитних карт шляхом фізичного зняття
інформації. Відбувається умовна троянізація банкомату фізичних шляхом.
Фактично на картридж для прийняття картки встановлюється спеціальна
накладка, яка виглядає досить гармонійно і у стилі банкомату, а на клавіатуру
банкомату зловмисники ставлять додаткову накладку, яка пропускає через себе всі
натискання і звичайно ж при цьому зчитує їх. Тобто Ви вставляєте свою карту в
банкомат і скімер на карто-приймачі знімає дані карти, після чого фіксується пін
код, який Ви вводите на клавіатурі. І зловмисники отримують дані про Вашу карту
або миттєво або через певний проміжок часу, коли знімуть свій пристрій. Таким
чином у зловмисників є можливість створити копію Вашої карти і знаючи Ваш пін
код вони можуть вільно розраховуватись або знімати готівку з Вашої карти. Метод
захисту достатньо простий: перш за все варто уникати підозрілі банкомати, у
малолюдних місцях, на вулиці, в них зловмисникам дуже легко встановити свої
шахрайські прилади. Банкомат, встановлений у відділеннях банків чи принаймні у
торговельних центрах, мають значно меншу вірогідність стати ціллю таких атак,
хоча були в Україні випадки коли скімер-шахраї використовували банкомати в
торговельних центрах і ніхто нічого не підозрював. Навіть був досвід коли в одному
із торговельних центрів встановили фальшивий банкомат, який видавав себе за
банкомат маловідомого банку. Звісно, коли користувачі намагались ним
скористуватись, він не видавав кошти, показував помилку з’єднання з банком, але
при цьому фіксував всю інформацію про картки. Тобто скімінг – це крадіжка даних
про платіжні карти шляхом створення троянізованих накладок на банкомати.

То ж зараз Ви розумієте що загрожує Вашим персональним комп’ютерам. У

наступній же лекції ми розглянемо загрози для мобільних пристроїв.