Илья Сачков:
«Подстелите соломку заранее»
На вопросы «Системного администратора» отвечает генеральный директор компании Group-IB, специализирующейся на расследованиях компьютерных преступлений
Илья Сачков – основатель и генеральный директор компании Group-IB. С отличием окончил МГТУ имени Н.Э. Баумана, кафедра информационной безопасности, факультет информатики и системы управления. В области расследования инцидентов информационной безопасности работает с 2003 года. Занимается расследованием и разработкой методик по новейшим типам компьютерных преступлений. Автор технологии расследования распределенных атак на отказ в обслуживании (DDoS). Является членом Ассоциации компьютерной криминалистики информационных систем (The International Information Systеms Forensics Association IISFA), Ассоциации сертифицированных специалистов по борьбе с мошенничеством (ACFE), Международного проекта Honeynet Project. Член экспертного совета премии ЗУБР и Ассоциации профессионалов в области информационной безопасности RISSPA. Автор более 30 публикаций.
Group-IB является первой в России и в странах СНГ компанией, профессионально занявшейся расследованиями компьютерных инцидентов и преступлений. Group-IB разрабатывает методики расследования современных компьютерных преступлений, например, таких, как DDoS-атаки, мошенничество в ДБО. В составе компании Group-IB работает лаборатория компьютерной криминалистики. Компания входит в LETA Group.
Илья, каков сегодня спектр наиболее часто встречающихся угроз для российских финансовых организаций? Относятся ли эти угрозы к общемировым, или российская специфика есть и здесь?
В последние годы стали очевидны три основные категории угроз для финансовых организаций. Первая – мошенничество со счетами физических и юридических лиц, которые пользуются интернет-банкингом: кражи денег со счетов у клиентов, попытки взлома этого сервиса и DDoS-атаки, при которых он перестает быть доступным извне.
Вторая угроза – это инсайдеры и утечки информации, связанные с их деятельностью и наносящие серьезный урон бизнесу банков.
Третья весьма серьезная угроза – увеличение числа так называемых атак на бренд. Создаются поддельные сайты банков, на которых размещается оскорбительная или заведомо ложная, негативная информация об акционерах и событиях в кредитной организации.
Опасность таких ложных сайтов в том, что они, так же как и сайт организации, хорошо индексируются в поисковых системах. Кроме того, поддельные сайты используются для классических атак фишинга. Только теперь подобные атаки стали более «хитрыми». Появились вирусы, которые локально на вашем компьютере влияют на работу поисковых систем, заменяя настоящий сайт банка на поддельный.
Конечно, российская специфика угроз существует. В России в отличие от США гораздо проще отмыть деньги, похищенные виртуально. В Штатах невозможно представить ситуацию, когда похищенные деньги пройдут по счетам нескольких компаний и затем будут обналичены. У нас такое все еще возможно, немало компаний специализируется на обналичивании средств.
Кроме того, наше законодательство в области киберпреступлений несовершенно, зачастую многие вещи доказать просто невозможно. Слабое юридическое сопровождение киберпреступлений – одна из главных причин того, что в России сложилась благоприятная ситуация для развития всевозможных хакерских хищений денежных средств.
Системы мониторинга поддельных сайтов есть только в международных банках, которые работают на нашей территории. Но их можно пересчитать по пальцам одной руки. У них чаще всего глобальный центр безопасности находится не в России. В наших банках существуют системы мониторинга информационной безопасности внутри организации. А вот специальной системы, позволяющей мониторить поддельные сайты, домены которых могут быть зарегистрированы в самых разных странах, в большинстве наших банков нет.
Только половина из первой сотни российских банков имеет правильно выстроенную, действующую систему информационной безопасности. Говорить о передовых технологиях в области расследования и реагирования на угрозы можно лишь в десяти банках. Все остальные кредитные организации узнают о внешних инцидентах только уже после свершившегося факта.
Чаще всего наша компания получает запрос на расследование инцидента не тогда, когда увели деньги у клиента или обнаружен фишинговый сайт, а когда об этом стало известно акционеру банка, который выявил неэффективную работу собственной службы безопасности. Нашу команду приглашают не службы безопасности, а топ-менеджеры финансовой организации. Службы безопасности не хотят демонстрировать руководству, что они что-то недосмотрели. Но я хотел бы заметить, что это не совсем правильно.
Когда речь идет о расследовании сложных и современных технических преступлений, взаимодействовать необходимо со всем миром. Домен поддельного сайта может быть зарегистрирован в США, а сервер расположен в Китае, например. И у службы безопасности может просто не оказаться ресурсов для того, чтобы проводить расследование, взаимодействуя со всеми странами. Вот для таких случаев и существует аутсорсинг.
На Западе довольно часто работу по выстраиванию внешней защиты банка отдают на аутсорсинг. Самостоятельно банк просто не потянет все системы мониторинга. Ведь стоимость такой системы может составлять порядка $400 000. На нашем рынке сейчас услуга по мониторингу фишинга и атак на бренд на аутсорсинге стоит порядка 20 000 рублей в месяц.
Как сейчас банки реагируют в случае DDoS-атаки?
В прошлом году DDoS-атаке подвергалась практически каждая кредитная организация после того, как платежное поручение клиента попадало к операционисту и было проведено.
В чем смысл DDoS-атаки на банк? Просто атаковать кредитную организацию – никто на этом денег не зарабатывает. Типичное преступление – это когда у клиента – юридического лица крадут ключи, по ним формируют платежные поручения и отправляют в банк. Там, получив такое платежное поручение, обрабатывают его и отправляют деньги. Чтобы клиент не понял, что у него списана большая сумма со счета, на банк начинают DDoS-атаку, и клиент не может подключиться по интернет-банкингу к банку. Он пытается сделать выписку, у него это не получается. А спустя день денег на счету нет, они уже обналичены злоумышленниками, и вернуть похищенную сумму невозможно. Соответственно DDoS-атака в этом случае была маскировкой.
Банки стали предпринимать защитные меры, однако хакеры тоже поменяли тактику – теперь они «дидосят» не банк, а клиента. Они воруют ключи с помощью вредоносного кода и с его же помощью могут установить IP-адрес клиента, поэтому им ничего не стоит «забить» канал пострадавшего.
На практике это происходит так. В компьютер бухгалтера проникает программа, которая позволяет хакеру определить, можно ли заработать на этом компьютере. Технологии уже настолько совершенны, что хакер умеет удаленно управлять компьютером бухгалтера и отправлять с него платежное поручение самостоятельно.
Поэтому, чтобы избежать таких вещей, банк должен обязательно предупреждать своих клиентов, работающих с интернет-банкингом, чтобы они на профессиональном уровне заботились о своей информационной безопасности.
Самый простой вариант безопасного использования интернет-банкинга – создание отдельной виртуальной машины или загрузочного диска с защитной программой, в которую не может попасть вирус. Бухгалтер, когда хочет поработать с интернет-банком, вставляет этот диск либо загружает виртуальную машину. Смысл этой процедуры в том, чтобы бухгалтер со своей машины не мог выходить в Интернет вообще, а имел доступ только к интернет-банкингу.
Когда клиент подписывает с банком соглашение об использовании интернет-банкинга, ему должны давать буклет или устно ставить в известность о том, что необходимо жестко следовать определенным правилам. О них должны знать и руководство компании, и ее системные администраторы, и главный бухгалтер. Потому что после свершения инцидента, как правило, вся ответственность ложится именно на него в первую очередь.
Правила страховки очень простые. Это безопасный ключ – токин – от известного производителя. Это система одноразовых паролей. Это выделенный компьютер.
Если системный администратор не знает, как сделать виртуальный компьютер с интернет-банкингом, можно просто выделить специальный компьютер с единственным доступом к сайту банка, на котором, кроме бухгалтера, никто не имеет права работать. Должно быть жестко прописано правило, что бухгалтер может общаться только по этому протоколу, только с этим IP-адресом, только по этому порту.
Необходимы безопасный браузер, обновление операционной системы и контроль за подключаемыми к компьютеру устройствами. Понятно, что бухгалтер не может знать все о вирусах, но правила безопасности системный администратор должен регламентировать и следить за их исполнением.
В интересах всех сотрудников – от топ-менеджмента до бухгалтера – подумать о том, как сделать рабочее место финансиста компании безопасным. Затраты компании на эти меры не так велики. Если делать все на высоком профессиональном уровне, то для крупной компании они составляют порядка $5000, небольшой можно обойтись и 1500 рублями.
Приведите, пожалуйста, типичные примеры киберпреступлений против банка из вашей практики.
На каком-то доменном имени появляется сайт, который осуществляет фишинговые атаки, пытаясь украсть конфиденциальную информацию пользователей – клиентов банка, либо распространяет порочащую банк информацию. Визуально сайт может быть полностью похож на сайт банка по дизайну, более того, может быть воспроизведен и весь контент сайта банка, и лишь в каком-то месте, например в опции, где расположены новости, размещается информация о том, что банк испытывает финансовые сложности и будет продан.
Понятно, что подобная информация хорошо индексируется в поисковых системах, примерно 20 тысяч пользователей попадают на этот сайт. Если у меня есть вклад в этом банке и я вижу подобную информацию, может возникнуть желание деньги оттуда забрать.
Что делается в такой ситуации? В первую очередь, конечно, необходимо, чтобы этот сайт перестал работать. Причем прекращать его деятельность надо правовыми методами. Потому что, если, например, заказать DDoS-атаку на него за $200, не исключено, что люди, которые его создавали, используют этот факт против репутации банка в будущем.
Самый простой вариант – используя международные правила регистрации доменов, находить ошибки при регистрации. Чаще всего бывает, что лицо, которое регистрировало домен, предоставило заведомо ложные сведения о себе. Согласно российским правилам, если человек зарегистрировал домен по поддельному паспорту, это причина для того, чтобы снять домен с делегации. Если имело место неправомерное использование на домене товарного знака, а у банков, как правило, они зарегистрированы, то в течение одного дня домен будет закрыт. Но в некоторых государствах правила другие, поэтому надо обязательно знать законодательство той страны, в которой зарегистрирован домен.
Грамотно оформленный юридический запрос по заранее спланированной сети контактов такую проблему решает быстро. Если это фишинговый сайт, который приводит к реальным финансовым потерям – а это преступление практически во всех странах, – то реакция по его уничтожению очень быстрая. Его занесут во все антифишинговые фильтры во всех известных интернет-браузерах и закроют.
Вот одна из любопытных схем, с которой нам пришлось столкнуться. Была создана система, состоящая из 100 зараженных компьютеров, расположенных в разных странах. Каждый из этих компьютеров, который включался, становился веб-сервером, при его выключении зона DNS менялась, и сервером становился другой включенный в сеть компьютер. При расследовании было установлено, что сервер менял свое месторасположение каждый час. Этот метод называется Fast flux, его исследованию посвящен отчет ICANN – Корпорации Интернета по распределению адресов и номеров. Самый простой способ реагирования на эту угрозу – снятие делегаций с доменного имени.
Когда мы столкнулись с подобным случаем, мы доказали регистратору доменного имени, что, во-первых, сайт носит фишинговый характер, а это противоречит законодательству страны. Это был американский регистратор, в штате, где фишинг является уголовным преступлением. Во-вторых, мы доказали, что при регистрации человек ввел заведомо ложные сведения – в Российской Федерации гражданина с такими данными не существовало. Регистратор к концу дня снял домен с делегации.
Потом мы собрали необходимую информацию о том, кто регистрировал домен, передали ее банку, который в свою очередь написал информационное письмо в правоохранительные органы, а там оперативный сотрудник стал заниматься этим вопросом. Мы представили ему все собранные доказательства деятельности хакера, и он уже отправлял необходимые запросы к провайдеру и регистратору доменных имен. Полученная информацию носила юридический характер и была приложена к делу. То есть с момента подключения правоохранительных органов вся ситуация переводится в юридическую плоскость.
Через три месяца был суд, виновники понесли условное наказание. Затем банк подал иск в гражданское судопроизводство, и хакерам пришлось выплатить денежную компенсацию. И хотя она не покрыла убытки банка – за семь дней с момента начала работы поддельного сайта они составили порядка 1,5 млн рублей, – тем не менее банк вернул себе средства, затраченные на расследование.
Если говорить о России, то у нас есть координационный центр национального домена сети Интернет, у него существуют четкие регламенты работы с сайтами, которые носят фишинговый характер. Чтобы доказать, что сайт «неправильный», мы нотариально заверяем страницу и не боимся, что к вечеру она может исчезнуть. Есть нотариусы в Москве и даже в регионах, которые нотариально заверяют содержание интернет-страниц. Они подтверждают, что в такой-то момент времени на ресурсе с таким-то доменным именем содержание страницы было таким-то. И можно приложить диск с контентом на нотариально заверенный экземпляр.
Как реагировать в случае подобных инцидентов?
Процедура такая: обнаружение поддельного сайта, реагирование с минимизацией ущерба, дальнейшее расследование, если это необходимо.
Но очень важно прописать инструкцию или регламент действий в подобных ситуациях. Необходимо иметь определенный алгоритм реагирования – куда и как направлять письма, можно заранее подготовить определенные шаблоны обращений и писем в нужные инстанции. Если они будут под рукой, предотвратить последствия этих инцидентов можно быстро.
Но, если, например, банк, оказался перед фактом неожиданного нападения, ликвидация его последствий может затянуться на недели и месяцы, а потери вылиться в серьезные суммы. Поэтому рекомендация простая – надо заранее готовиться к такого рода угрозам. Как говорится, подстелите соломку заранее. Специалисты, которые занимаются рисками в банке, должны обязательно помнить, что подобный риск существует всегда.
Еще один важный момент: каким бы ни было компьютерное преступление, о нем надо ставить в известность правоохранительные органы. Чтобы у них не складывалось впечатление, что уровень компьютерной преступности в России низкий.
Именно поэтому, к сожалению, сейчас у правоохранительных органов нет единой информационной базы, в которой была бы отражена история киберпреступлений. Статистика ведется, но в каждом подразделении она своя. Бывают даже такие ситуации, когда, например, есть DDoS-атака на ресурс банка, а ее расследованием могут заниматься несколько подразделений, не зная друг о друге. Хакера уже привлекли к ответственности по доказательствам одного из них, а остальные могут об этом даже не знать и продолжать вести расследование.
Необходима единая система обмена информацией об этой категории преступлений. Поэтому банкам, с которыми работаем, мы рекомендуем вести собственные базы инцидентов. С помощью такой базы они могут классифицировать и систематизировать инциденты, а следовательно, число успешных расследований будет выше.
Правда ли, что российские суды при расследовании киберпреступлений не принимают во внимание аргументы служб безопасности банков?
Не совсем так. Суды принимают аргументы служб безопасности, только все доказательства, собранные самостоятельно, не имеют юридической силы. В процессе получения доказательств должна участвовать третья сторона – это могут быть правоохранительные органы или экспертное учреждение по компьютерной криминалистике.
Служба безопасности организации в делах против сотрудников является заинтересованной стороной, понятно, что нужно с осторожностью относиться к информации, предоставленной ею. Кроме того, часто бывает, что информация, собранная СБ, нарушает закон. Например, чтение переписки сотрудника – вещь очень неоднозначная.
Чтобы наказать хакера, не нарушая закона, доказательства должны быть собраны независимой стороной. При этом я не утверждаю, что СБ вообще не должна собирать какие-то факты неправомерной деятельности. Просто важно помнить, что при грамотной защите эти доказательства не будут иметь никакого смысла. Нужно подключить к этому вопросу корпоративных юристов, заранее спланировать стратегии реагирования на подобные инциденты не только в техническом, но и в юридическом плане.
Какие российские законы направлены на борьбу с киберпреступностью? Достаточно ли их? Какие уловки в наших законах облегчают жизнь хакерам? Какие доработки законодательной базы сейчас ведутся, какие необходимы?
Есть три основных закона – это статьи 272, 273, 274 Уголовного кодекса РФ. Их явно недостаточно, так как появилось огромное количество компьютерных преступлений, которые только с натяжкой можно связать с этими статьями. Например, DDoS-атака: ясно, что она происходит с помощью зараженных вредоносным кодом компьютеров. То есть можно говорить о 273-й статье – распространение вредоносного ПО. Но атакующий хакер скорее всего сам ничего не распространял, а заказал эту услугу. По DDoS-атакам нужна отдельная статья закона.
Если говорить о мошенничестве в дистанционном банковском обслуживании (ДБО), то почему-то сейчас почти всегда оно считается экономическим преступлением. Безусловно, экономическая составляющая присутствует, но в этих делах есть весь набор «компьютерных статей». Хотелось бы видеть расширение статей уголовного кодекса в плане увеличения и детализации конкретных преступлений.
Если говорить об уловках, то их море. Самые классические уловки вызваны причинно-следственной связью между IP-адресом, компьютером и человеком. Многие дела разваливались, потому что нельзя было доказать, что на конкретном компьютере в заданный момент времени присутствовал конкретный человек.
Есть и более красивые схемы, такие как незащищенная точка доступа у хакера дома или вирусы на его компьютере. В первом случае он заявляет, что его IP-адресом мог воспользоваться кто угодно. Правда, грамотная компьютерная экспертиза его компьютера доказывает все-таки, что это был он, но так бывает не всегда. Во втором случае он утверждает, что его компьютером мог управлять кто угодно – из-за вирусов на нем.
В целом, очевидно, что законодательство необходимо серьезно дорабатывать во всех направлениях – от законов до распространения конкретной судебной практики по всей России.
Беседовала Агунда Алборова