КРАСНЫЙ ЖЕЛТЫЙ ЗЕЛЕНЫЙ СИНИЙ
 Архив | Страны | Персоны | Каталог | Новости | Дискуссии | Анекдоты | Контакты | PDAFacebook  RSS  
 | ЦентрАзия | Афганистан | Казахстан | Кыргызстан | Таджикистан | Туркменистан | Узбекистан |
ЦентрАзия
  Новости и события
| 
Суббота, 24.06.2017
15:01  Оккупация Сирии и подготовка к новой фазе войны
14:05  Вождь вернулся: в Бишкеке "переименовали" улицу в честь Сталина
14:03  Узбекистан: Абитуриентов разделили на категории и установили размеры "суперконтрактов"
13:54  Перелом в войне: Карта фронтов в Сирии кардинально изменилась
12:53  Советы бывалого. Греф (глава Сбербанка РФ) рекомендовал Казахстану сократить число чиновников
12:49  На первые роли в руководстве ДАИШ выходят бывшие офицеры армии Саддама Хусейна - аль-Обейди и аль-Джумейли
12:46  В Улан-Баторе накануне президентских выборов введен запрет на продажу водки

12:38  США могут получить легитимацию своего военного присутствия в Сирии, - С.Тарасов
12:35  Президент Атамбаев отрицает, что обсуждал с Путиным отправку кыргызских солдат в Сирию
11:25  Индия – Китай – США: есть ли третий лишний? - Е.Пустовойтова
11:12  Сингапурский фундамент дал трещину. Потомки Ли Куан Ю не поделили между собой наследие отца нации
11:05  Обвинение не по IP-адресу. Почему русский след в хакерских атаках не может никуда привести, - "Къ"
11:03  С дном рождения, "Турецкий поток"! Как Владимир Путин опускал трубу в море, - репортаж А.Колесникова
09:43  Джихадисты в Ливии отступают, но не бросают оружия, - Р.Мустафин
09:35  В Саудовской Аравии сорвали атаку на главную святыню мусульман - Заповедную мечеть в Мекке
09:32  Сломают ли американские санкции хребет "Северному потоку-2"? - О.Никифоров
09:28  США продолжают в Сирии воздушную войну, - В.Мухин
00:40  Эксперты: Миграционное законодательство России жутко лицемерное
00:12  Наблюдатели порядка. Россия предложила Казахстану и Киргизии отправить военных в Сирию, - "Къ"
00:01  ЕС и Турция укажут беженцам на дверь. Брюссель и Анкара больше не могут терпеть нелегалов
Пятница, 23.06.2017
23:47  В афганском Лашкаргахе джихадисты взорвали банк - около 30 погибших
22:19  Бархатный госпереворот в Саудовской Аравии, - И.Панкратенко
21:49  Экс-начальник Ошского ГУВД Капаров, сжегший портрет президента, отправился в тюрьму
21:37  Как США стравливали суннитов и шиитов. Об истоках гражданской войны в Ираке. Ч. 1, - А.Веселов
20:51  8 принцесс из Эмирата Абу-Даби осудили в Бельгии за работорговлю
19:26  В турецких школах откажутся от изучения теории эволюции
19:23  Отправка кыргызстанцев в Сирию - большой опыт для бойцов, - депутат К.Иманалиев
16:29  Надо ли киргизским и казахским военным ехать воевать в Сирию?
16:27  Помни войну! - писатель А.Проханов, генерал М.Гареев
16:24  Кибероружие к руках неоконов погрузит в хаос Европу и США, - А.Никишин
15:41  "Всемирную ассоциацию казахов" де-факто возглавил матерый агашка З.Турисбеков
14:51  Путин на черноморском трубоукладчике Pioneering Spirit дал старт стыковке частей газопровода "Турецкий поток"
14:26  Турция отказывается сворачивать военную базу в Катаре вопреки давлению стран Персидского залива
13:16  Арабские страны ультимативно потребовали от Катара разрыва связей с Ираном
13:07  Назарбаев предложил создать "Электронную базу известных казахов"
12:59  "Чудо в действии". Узбеку-сыровару из Пскова А.Зуфарову дадут российское гражданство
12:54  США вползают в новое десятилетие вооруженных конфликтов, - Фарид Закария
12:46  Россия и Иран на грани изоляции: Китай и Турция убивают коридор "Север-Юг", - С.Цатурян
12:32  МИД Кыргызстана прокомментировал отправку кыр-аскеров на войну в Сирию
12:24  Европа бессильна перед наплывом афро-мигрантов, - Богуслав Хработа
10:46  Неопознанные вертолеты перебрасывают джихадистов к северным границам Афганистана
09:26  Аркадаг призвал деятелей искусств "с еще большей отдачей воспевать достижения отчизны"
09:14  В Киеве задержан "безпекой" глава популярного веб-сайта strana.ua Игорь Гужва
09:09  Российские фрегаты, подлодка и ВВС внезапно и мощно ударили ракетами по джихадистам в сирийской Хаме
09:00  Германия будет выплачивать "репарации" гомосексуалистам, сидельцам и страдальцам с 1949
08:49  "Национальный альянс бизнес-ассоциаций Кыргызстана" возглавил Улук Кыдырбаев
08:45  В ближневосточной колоде все козыри - у Путина, - Globe And Mail
08:37  Президенты Атамбаев и Хамитов (Башкирский) хотят покорить пик Путина
08:34  На юг Таджикистана вернулся "брюшной тиф"
08:32  США рискуют схлестнуться с Ираном. Пентагон укрепляет позиции на Ближнем Востоке, - А.Шерыханов
08:30  Исламисты, выехавшие из Европы в Сирию и Ирак, двинулись в обратном направлении, - В.Гулевич
Архив
  © CentrAsiaВверх  
    ЦентрАзия   | 
Обвинение не по IP-адресу. Почему русский след в хакерских атаках не может никуда привести, - "Къ"
11:05 24.06.2017

Чем правоохранительные и законодательные органы отвечают на рост мирового рынка средств кибершпионажа

Что такое качественная атрибуция кибератаки

В 2017 году около десятка стран, среди которых США, Германия, Франция и Норвегия, обвинили в кибератаках и вмешательстве в свою внутреннюю политику хакеров, якобы работавших на российские власти. Отсутствие неопровержимых доказательств причастности к атакам пророссийских киберпреступников не только позволяет отвергать все обвинения, но и рождает массу скепсиса в международном IT-сообществе. Эксперты сходятся во мнении, что уровень развития технологий сейчас в принципе не позволяет с достаточной уверенностью определить атакующего даже спецслужбам.

Диалог про возможные кибератаки российских проправительственных хакеров на серверы Демократической партии США, состоявшийся между президентом РФ Владимиром Путиным и американской журналисткой Мегин Келли в начале июня на ПМЭФ, моментально стал объектом шуток в социальных сетях. Все 17 агентств по разведке США сделали вывод, что Россия вмешивалась в выборы президента США, отметила журналистка. "Я читал эти отчеты. В них нет ничего конкретного, только предположения",- парировал президент.

Русских хакеров обнаружили в американской избирательной машине

За последние полгода мифических русских хакеров, якобы работающих на Кремль, обвиняли в кибератаках не только спецслужбы США, но и немецкая контрразведка, румынская служба информации, Минобороны Дании, норвежская служба безопасности, французские политики в ходе недавних выборов президента и источники The Guardian в правительстве Италии. Но столь серьезные обвинения вызывают все больше скепсиса не только со стороны российских властей, но и в международном IT-сообществе, где словосочетание "русские хакеры" стало мемом, а хештег #RussiansDidIt (#ЭтоСделалиРусские) стали добавлять даже к картинкам с крушением "Титаника" и выпадением снега в Сирии. Кажется, что спецслужбам США, по данным WikiLeaks обладающим огромным арсеналом средств для кибершпионажа, в теории не должно составлять труда представить неопровержимые доказательства источника атак. Но на практике все значительно сложнее. Определение источника кибератаки давно стало настоящей головной болью и для правоохранительных органов, и для компаний, занимающихся расследованиями киберпреступлений.

Что такое атрибуция

Говорить про атрибуцию, то есть определение источника компьютерных атак, начали примерно с середины 2000-х годов, хотя личности злоумышленников волновали специалистов и раньше, говорит заместитель директора центра компетенции Positive Technologies Алексей Новиков. Пристальное внимание на атакующих начали обращать после появления первых целевых атак (APT). Ключевым стало обнаружение в 2010 году вируса Stuxnet, способного физически разрушать инфраструктуру промышленных предприятий. Специалисты нашли его в Иране на блоках управления газовыми центрифугами, предназначенными для получения обогащенного урана. Многие сошлись во мнении, что Stuxnet был нацелен на приостановку иранской ядерной программы. Тогда стало очевидно, что кибератаки уже не только шалость или метод заработка для злоумышленников, но и политическое оружие, что и подстегнуло к активному поиску авторов вируса.

"Атрибуция предполагает присвоение компьютерных атак какой-либо стране, организации или группе лиц. Это не доказательства в том смысле, в котором этот термин понимается в Уголовном кодексе РФ. Когда мы говорим об атрибуции в сфере информационной безопасности, то предполагаем поиск различных технических аспектов атаки, которые можно приписать определенной стране или группировке",- объясняет господин Новиков. Такими аспектами могут быть место регистрации IP-адресов и доменов, участвующих в атаке, анализ программного кода, трассировка до источника атаки и временные параметры.

Microsoft призвала к киберразоружению

Принципы атрибуции можно разделить на три части. "Первая - поиск изначальных следов нападающего, таких как IP-адреса, учетные данные, устройства. Это один из самых сложных путей, требующий сбора исходных следов на всех точках работы злоумышленника и очень серьезного взаимодействия с правоохранительными органами. Тем не менее в случае успешного расследования он один из самых релевантных",- говорит руководитель департамента Solar JSOC компании Solar Security Владимир Дрюков.

Вторая часть, продолжает он, это исследование инструментария злоумышленника, такого как исходный код вредоносного ПО, утилиты, данные промежуточных серверов или центров управления атакой и сопоставление полученной информации с другими, более ранними кибератаками, где уже была проведена успешная атрибуция. В зависимости от потенциальной неосторожности злоумышленника эта информация может дать огромное количество сильных косвенных доказательств для атрибуции.

Наконец, третья часть атрибуции - получение вспомогательных признаков, таких как время проведения атаки, использование ПО, разработанного в определенной стране, наличие комментариев атакующих на определенном языке. Так, одним из доводов компании Crowdstrike, выпустившей отчет о связях с Россией хакерских группировок Fancy Bear и Cozy Bear, атаковавших серверы Демпартии США, был именно тот факт, что график активности хакеров совпадал с рабочим днем по московскому времени.

Спецслужбы на страже

Большинство стран, за последние полгода обвинившие Москву в кибератаках, ограничились заявлениями в прессе, но правоохранительные органы США и Дании выпустили отчеты с разъяснением обвинений. В отчетах Министерства внутренней безопасности США и Национального совета по разведке основные технические параметры, увязывающие атаку с "российскими хакерами",- это использование атакующими IP-адресов российских операторов Yota и "Ростелеком", а также программ X-agent и PAS Tool PHP Web Kit, которые рекламируются на русскоязычных форумах и обычно прочно ассоциируются с русскими хакерами, объясняет консультант по информационной безопасности Cisco Алексей Лукацкий. При этом и тот и другой софт, по его словам, доступен всем желающим в любой стране, а Yota и "Ростелекому" принадлежат только 49 IP-адресов из 876 перечисленных в отчете.

Россия предлагает изменить правила борьбы с киберпреступностью в мировом масштабе

"Американские спецслужбы в качестве гипотезы приводят версию о русском следе, и те немногочисленные и неверифицируемые доказательства, которые опубликованы, вроде как подтверждают эту версию. Если же взять за основу противоположную гипотезу, то есть о том, что за атакой стояла не Россия, то представленные доказательства вполне укладываются и в нее",- говорит господин Лукацкий. Он отмечает, что непреклонная уверенность США в русском следе может базироваться также на оперативных источниках, но они в обозримом будущем не будут представлены публике.

Один из собеседников "Ъ" на IT-рынке уверен, что "если бы у американцев было что предъявить, они бы сделали это, так же как и в случае с атакой на Yahoo!". Речь идет о выдвижении в марте 2017 года двум сотрудникам центра информационной безопасности ФСБ Дмитрию Докучаеву и Игорю Сущину, а также работавшим на них хакерам Алексею Белану и Кариму Баратову обвинений во взломе Yahoo! и краже данных 500 млн учетных записей электронной почты. "Если у органов есть реальные доказательства причастности спецслужб другого государства к кибератакам, они доведут расследование до установления конкретных личностей, а не ограничатся заявлениями вроде "нас взломало ГРУ"",- полагает он.

В то же время Центр компьютерной безопасности Дании, обвинивший пророссийских хакеров во взломе электронной почты датских военных в течение 2015–2016 годов, в своем отчете в принципе не привел технических подробностей атаки. Господин Лукацкий отмечает, что никаких доказательств, даже спорных, как у госорганов США, датчане не представили, просто сославшись на то, что "за атакой на Министерство обороны Дании, весьма вероятно, стояла группа APT28", а "оценка основывается на ряде факторов, не все из которых описаны в настоящем докладе". "По сути, мы вынуждены верить авторам отчета, что, может быть, и работает в межгосударственном или внутригосударственном пиаре, но не может быть использовано для обвинения какого-либо государства во вмешательстве во внутренние дела через киберпространство",- отмечает он.

Все можно подделать

Не существует релевантных признаков, позволяющих со стопроцентной гарантией определить атакующего, говорит гендиректор Digital Security Илья Медведовский и соглашается Владимир Дрюков. "Поскольку информация существует в цифровом виде, значит, ее можно как угодно специально подготовить, особым образом отредактировать для любых целей. Таким образом, все признаки оказываются несостоятельными, включая определение IP-адреса сервера, времени сборки программы, языковых строк в коде и др.",- говорит господин Медведовский. Например, любой из немного продвинутых пользователей может добавить в свою программу строчки кода на том или ином языке. "У ЦРУ есть проект UMBRAGE, с помощью которого возможно изменять файлы таким образом, чтобы оказывалось очевидным авторство каких-то группировок или принадлежность к той или иной стране",- продолжает он.

Методы подделки улик в виртуальном мире очень изощренны. Так, злоумышленники могут специально оставить комментарии в коде на нужном языке или купить часть инструментария у хакеров нужной национальности на черном рынке. IP-адрес, с которого проводится атака, может принадлежать вполне легальному ресурсу, который был предварительно взломан для целей проведения атаки. У преступников также есть возможность сослаться на компрометацию своего ноутбука, телефона или почты, а иногда и взлом квартиры для получения доступа к компьютеру.

"Атакующие не стоят на месте: они изучают исследования, публикуемые экспертами по безопасности, и придумывают новые способы обеспечения своей анонимности. Это обычное противостояние, которое было и будет всегда. С течением времени опыта по обе стороны баррикад становится больше",- объясняет сооснователь и руководитель сервиса киберразведки threat intelligence компании Group-IB Дмитрий Волков. Например, определение времени компиляции вредоносных программ - очень полезный инструмент и его обязательно надо использовать, говорит господин Волков, но о нем известно как исследователям, так и атакующим, которые могут специально указывать временные метки, характерные для определенной страны. "Очень многое зависит от опыта атакующих. Если, например, речь об атаке на государственный сайт, который провел какой-то малоопытный хактивист, то уже по анализу его сетевой инфраструктуры можно сказать, кто стоит за этой атакой. Если же речь о прогосударственной группе с хорошим опытом, то там все намного сложнее",- признает он.

Единственный точный метод атрибуции - применяемый правоохранительными органами и спецслужбами комплекс оперативно-технических мероприятий, где наибольший успех дают именно оперативные методы, категоричен господин Медведовский. "Эффективным чисто техническим методом точного определения атакующего, доступным кому угодно, является встречный взлом атакующего. Но его крайне редко используют на практике, так как расследование обычно проводится постфактум",- резюмирует он.

Мария Коломыченко

Газета "Коммерсантъ" №111 от 23.06.2017

Источник - kommersant.ru
Постоянный адрес статьи - https://centrasia.org/newsA.php?st=1498291500
Новости Казахстана
- Рабочий график главы государства
- Первый Президент Казахстана встретился с Президентом Кыргызской Республики Садыром Жапаровым
- В Мажилисе состоялась встреча Н.Нигматулина с Президентом Кыргызстана
- А. Мамин: свыше 4 трлн тенге инвестиций планируется привлечь в АПК РК до 2025 года
- Правительство рассмотрело меры по развитию первичной медико-санитарной помощи
- Н.Нигматулин: надо обеспечить доступность и открытость закупок квазигосударственного сектора
- А. Мамин провел переговоры с Президентом Кыргызстана С. Жапаровым
- Готовность госорганов к весенним паводкам обсудили сенаторы
- Кадровые перестановки
- Сенаторы рассмотрели представление Главы государства об освобождении от должностей судей Верховного суда РК
 Перейти на версию с фреймами
  © CentrAsiaВверх