А по-научному заглянуть в будущее можно внимательно проанализировав настоящее. Это, кстати, относится и к кибербудущему, а особенно безопасности этого кибербудущего. Именно таким анализом мы занимаемся каждый год на киберслёте лучших секюрити-умов планеты - Security Analyst Summit (SAS):
Ой, не то. Вот:
Опс, вернее как-то так :)
В общем, каждый год я не перестаю удивляться как оно хорошо получилось и недоумеваю как это можно превзойти. И таки в следующий раз мы превосходим и улучшаем, делаем мероприятие "быстрее, выше, сильнее", привлекая всё больше экспертов по кибербезопасности и наглядно улучшая качество контента в том числе эксклюзивными материалами.
Вот о материалах сейчас и пойдёт речь. Предлагаю топ-5 на мой вкус самых-самых презентаций. Это не значит, что остальные были "соу-соу": во-первых, все презентации, особенно происходящие в разных залах, посетить невозможно. А во-вторых, на вкус и цвет все фломастеры разные (c)
Ну, поехали!
1. Кое-что о безопасности банкоматов.
Производственный роман в исполнении С.Г. и И.С. о долгих днях и ночах расследований преступлений, связанных с кибер-грабежом банкоматов. Неспециалисту сложно представить, насколько эти коробочки с наличными уязвимы для мошенников с компьютерами. Что больше всего расстраивает - как-то за последние годы фирмы-производители, да и сами банки не особо озаботились решением этой проблемы, хотя масштаб краж в глобальном масштабе исчисляется миллиардами.
Вот один из способов как кибернегодяи потрошили банкоматы: в корпусе делается небольшое отверстие, через него через коннектор к шине присоединяется специальный девайс, который позволяет контролировать всё-всё, включая выдачу наличных. Такое возможно по причине отсутствия сколько-нибудь приличного шифрования и авторизации в системе. Впрочем, мы этот способ изучили и его уважаемые авторы и пользователи уже отбывают заслуженное наказание.
Долгие годы производители банкоматов боролись с физическими способами грабежа и вполне в этом преуспели. Что ж, пришло время задуматься о кибере тоже.
Подробнее.
2. Пингвин в полнолуние.
Что мне особо понравилось на этом SAS'е - это обилие совместных исследований. Совместных - это разных секюрити-экспертов (иногда даже конкурентов), разработчиков, полицейских. На первый взгляд может показаться, что секюрити-индустрия - это этакий серпентарий, где каждый спит и видит как придушить ближнего своего, чтобы занять его рынок. На самом деле (и SAS тому подтверждение), эксперты прежде всего заботятся о безопасности пользователей. Не хватает своего ума - спроси коллегу, это не зазорно и даже поощряется. Видно, как в индустрии постепенно стираются национальные и корпоративные границы. И это очень радует: только будучи вместе мы сможем победить кибер-криминал, который уже "вместе".
Одно из таких совместных исследований на SAS было посвящено первой известной кибершпионской операции Moonlight Maze (1996) и её связи с современными кибератаками. Здесь мы работали вместе с Королевским колледжем Лондона.
Не буду грузить подробностями, да и не получится изложить историю "кратенько". Лучше читайте сами - не пожалеете. Исследование - просто готовый сценарий для блокбастера.
3. Большая Банковская Афера.
Ещё одно совместное исследование наших экспертов с BAE Systems и SWIFT. Помните прошлогоднюю историю с хищением $80+ млн. у ЦБ Бангладеша?
Мы начали копать этот случай и постепенно, шаг за шагом, накопали огромный пласт других киберпреступлений, принадлежащих той же группировке. Более того, мы вышли на вполне вероятный источник атаки: все улики указывают на Северную Корею! Однако это лишь наиболее вероятный вариант - 100% подтверить эту версию могут, наверное, только сами заказчик и исполнитель :( К тому же в истории остаются кое-какие нестыковки и двусмысленности, которые допускают вероятность "подставы". Если же это действительно дело рук северокорейской кибервоенщины, то, увы, надо признать, что они очень круты и мы сильно недооцениваем их способности и потенциал.
Подробности.
4. Белогривые лошадки.
Знаете сколько на чёрном рынке предлагают за уязвимость в iOS? Миллион долларов. Сколько стоят три такие уязвимости? Учитывая, что это штучный и весьма редкий товар, то не меньше трёх миллионов - оптовые скидки здесь не действуют. Шпионская программа Pegasus для ай-девайсов использует как раз три такие уязвимости, чтобы заползать для телефоны жертв.
Атака происходит следующим образом: на телефон приходит SMS со "вкусным" текстом и ссылкой на некий ресурс. Если туда кликнуть, то на Айфон через эксплоит загружается вредонос, который незаметно получает админские права и выполняет удалённые команды атакующего. Страшно? Расслабьтесь: во-первых, дыру в iOS уже пропатчили (чего и вам желаю как можно быстрее), а во-вторых, эта кибератака использовалась очень точечно, только против конкретных целей.
Подробности.
5. Угнать за 11 миллисекунд.
Что угнать? Зачем угнать? Почему так быстро?
Отвечаю по порядку: дрон, для прикола или наживы, вот такая безопасность у нынешних дронов. Вот видео насколько быстро и просто это происходит:
Дроны нынче сильно подешевели, завести себе такого питомца по карману многим, да и вложения быстро отбиваются за счёт заказных съёмок. Как часто случается, в пылу гонки вооружений и удешевления конечного продукта производители совсем забыли про безопасность. В большинстве современных дронов нет надежного шифрования каналов передачи данных, так что при помощи программно-определяемого радио и микрокомпьютера злоумышленник может за 11 миллисекунд перехватить управление. Ну, а что дальше - это на что фантазия горазда. Прикиньте, если от вашего лица этого дрона запустят в какой-нибудь режимный объект? Или сядут на толпу людей в центре города?
На самом деле это исследование интересно и показательно не столько из-за дрона как объекта атаки. Оно показывает уязвимости "умных" девайсов в целом. Всякие смарт-холодильники и микроволновки, роутеры, даже детские игрушки - эта многомиллиардная армия уже подключилась к Интернету, уже принимает команды и отдаёт отчёты. Только большинство из них - не только потенциально опасно для их владельцев из-за отсутствия простейшей безопасности, но и для всех окружающих тоже. Как говорится, "спички детям не игрушка".
Подробнее.
На этом у меня всё. Позднее вы сможете посмотреть все (ну, почти все) презентации в записи на нашем YouTube-канале.