Вот горшок пустой: как работают ханипоты для хакеров
Операторы уже перестали быть теми, кто просто предоставляет сотовую связь. С развитием концепций «умный дом», «умный город» через них стал проходить огромный поток данных, что превратило их в ключевую мишень для хакеров. В среду, 4 декабря, стало известно, что «Ростелеком» предложил телеком-компаниям активнее использовать ханипоты, или ловушки для киберпреступников. В том, какие существуют угрозы и как с ними предлагают бороться, разбирались «Известия».
Деньги и информация
Интернет позволяет коммуницировать не только людям. Бытовая техника, системы освещения, отопления, кондиционирования, банкоматы и терминалы — все эти предметы можно соединить через сеть и управлять ими из единого центра. Всё определяется как концепция «интернет вещей», или IoT (от английского Internet of things).
Перспективы этого рынка увидели и телекоммуникационные компании. Операторы связи начали предоставлять инфраструктуру для подключения IoT-сервисов, коммуникации для их запуска, а иногда и заниматься самостоятельной разработкой таких сервисов.
Передвижение и время прибытия общественного транспорта, ситуация на улицах города, уровень шума, уровень воды и загрязнения в водоемах — всё это автоматически фиксируется датчиками, камерами и другими устройствами, чтобы делать жизнь горожан комфортнее и безопаснее.
«Умные города, умные квартиры, умные подъезды — все они подключены к интернету, эти данные идут через сети телеком-операторов, — объясняет Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». — Бремя защиты тоже ложится на плечи операторов, потому что в противном случае всё это обернется против нас».
Цели атак на операторов могут быть разными. Чаще всего хакеров интересует или информация, или мощности операторов, которые можно использовать для заработка.
В первом случае хакеры могут прослушивать разговоры пользователей, перехватывать их сообщения, во втором — их интересует инфраструктура телеком-операторов, чтобы «майнить» криптовалюту или устроить DDoS-атаку (и, возможно, требовать с оператора деньги за ее прекращение).
В результате всех этих действий проблемы будут и у конечных пользователей. В 2016 году из-за атаки хакеров на уральского сотового оператора «Мотив» пользователи на несколько часов лишились и голосовой связи, и мобильного интернета.
Специалисты отмечают, что это не самые печальные из возможных последствий. Кроме временных проблем со связью атака может привести к заражению устройств, в результате оно может быть сломано, или использовано для шпионажа за владельцем, или же включено в ботнет — сеть компьютеров, которые управляются хакерами удаленно. Тогда оно пополнит «армию», с помощью которой хакеры проводят масштабные атаки и совершают другие противозаконные действия.
В целом стать участником хакерской атаки против своей воли не так уж сложно. Достаточно открыть сайт или файл, содержащий вредоносный код.
Иногда атаки применяются и в политических целях. Представители «Ростелекома» ранее сообщали, что защищались от атак при реализации масштабных национальных проектов — организации системы видеонаблюдения за ходом выборов президента РФ в 2012 году и при проведении ежегодных прямых линий с президентом. Для того чтобы бороться со взломщиками, компании используют разные средства.
Приманка
Распространенное средство борьбы с киберпреступностью — ханипоты. За сладким названием (от англ. honeypot, горшочек с медом) скрывается специальный софт, который имитирует работу уязвимого сервера или устройства. Злоумышленник видит «идеальную точку входа» в систему, подключается, применяет свой набор инструментов, а программа всё это фиксирует. Так специалисты по безопасности не только выигрывают время на отражение атаки, но и получают больше данных о своем противнике.
При этом подразумевается, что «настоящим» ресурсам оператора ничего не угрожает.
«Ловушки не ставятся во внутрикорпоративные сети, это отдельный изолированный сегмент, так что, даже если что-то пойдет не так, злоумышленник не может пройти дальше», — объясняет Юрий Наместников.
Преимущество ханипотов здесь заключается и в том, что выявить «след» преступника становится значительно проще. «Все прочие системы постоянно генерируют огромный поток событий, выделить из них именно действия атакующего — не всегда тривиальная задача. С ханипотами же не работает никто, кроме злоумышленника, поэтому практически все события, регистрируемые ханипотом, — это исключительно история попытки взлома», — объясняет в беседе с «Известиям» технический директор в АО НИП «Информзащита» Вячеслав Максимов.
Всё равно в плюсе
Создать хороший ханипот, по мнению специалистов, не самая простая задача. «Профессиональные Honeypot — это достаточно сложная тема, поскольку специалистам нужно не просто создать «абстрактную» ловушку, а создать ее так, чтобы злоумышленник не понял, что это ловушка, и считал ее легитимной системой, — уверен Зафар Астанов, ведущий пресейл-инженер компании Group-IB. — Ее надо хорошо встроить в инфраструктуру организации и при необходимости кастомизировать. Таких хороших Honeypot на рынке не так много».
Во сколько операторам обойдется реализация проекта — пока не ясно, но специалисты полагают, что огромных средств это все-таки не потребует. Даже не самый высокоинтерактивный ханипот может принести пользу.
«Конечно, шанс определить, что это ловушка, у хакера есть, но для этого злоумышленнику всё равно нужно сначала что-то загрузить на нее, попробовать что-то поделать — тогда уже он может догадаться. Но в любом случае безопасники уже получат информацию об инструментах хакера, о том, какого рода была атака, какие первичные вредоносные программы использовались. Значит, они смогут улучшить защиту, и, когда хакер в следующий раз найдет настоящие системы и попробует загрузить на нее тоже самое, у него ничего не получится», — рассуждает в беседе с «Известиями» руководитель исследовательского центра «Лаборатории Касперского».
Главное, полагает специалисты, чтобы дело не ограничилось простым внедрением системы. «Важно не только установить ловушки, но и посадить тех, кто будет анализировать результаты, принимать решение, что делать с выявленными угрозами, как их блокировать, — уверен Наместников. — Сейчас много проектов, которые развивают ханипоты, в них вкладываются европейские операторы. Работа должна идти постоянно. Это всё время гонка между броней и снарядом».
Акцент на том, что нужно работать с информацией, делают и в «Ростелекоме». В пресс-службе «Ростелеком-Солар» «Известиям» подтвердили, что на инфраструктуре компании планируется создание сети ханипотов, и отметили, что взаимодействие между операторами — еще одна не менее важная часть их инициативы. «Обмен информацией о новых методах кибератак между операторами позволит создать единый информационный хаб, который будет агрегировать такие данные максимально быстро. Сейчас некоторые операторы, возможно, используют ханипоты, но не в больших объемах и без организации информационного обмена с коллегами по рынку».
