Переклала Таша Ломоносова
Є всі шанси, що минулого року ви ледь не кожного дня чули слово «кібер». І на це є вагома причина. Це був рік витоків даних та хакерських атак, які суттєво вплинули як на публічний, так і на приватний сектор. У США Конгрес використав деякі з цих інцидентів, аби роздути паніку і просунути в корені хибні законодавчі ініціативи, передусім «Акт про кібербезпеку при обміні інформацією» (Cybersecurity Information Sharing Act, CISA), який навіть не торкається основної проблеми поганого підходу до інформаційної безпеки. Тож на початку 2016 року ми б хотіли згадати про кілька таких інцидентів, що трапилися за минулий рік.
Злам Агенції публічної служби США: одні витоки за іншими
Напевно, найбільшу увагу у 2015 році привернув до себе витік даних після зламу бази даних Агенції публічної служби США (Office of Personnel Management, OPM). Агенція стала жертвою витоку, який розкрив приватну інформацію 21 мільйона американців. Проте цей злам не тільки відкрив доступ до персональних даних, але й став прекрасною демонстрацією слабкості підходу самого уряду до інформаційної безпеки, а також неадекватності правового захисту осіб, які постраждали від витоку даних.
Протягом року відбулася й низка інших значущих інцидентів, жертвами яких стали компанії приватного сектору. Найбільш помітними серед них були злами Ashley Madison, Anthem, Experian, Hello Kitty, HSBC, Securus Technologies і VTech.
Android: «Страх перед публікою»
Наші особисті пристрої виявилися не надто безпечнішими. Дослідники відкрили масштабну вразливість в операційній системі Android, що зачепила мільйони мобільних пристроїв. Вразливість, відома як «Страх перед публікою» (Stagefright), містилася глибоко в коді, який обробляє та відображає світлини. Особливо жахливим є те, що цю вразливість можна активувати простим надсиланням жертві спеціально створеного текстового повідомлення. З часу виявлення цієї проблеми Google випустила патч для її виправлення, але багато пристроїв можуть все ще лишатися вразливими без відповідного програмного оновлення.
Ботнет речей
О, Інтернет! Він повсюди! Дедалі більше побутової домашньої (та недомашньої) техніки підключено до Інтернету — це явище відоме як «Інтернет речей» (Internet of Things, IoT). На жаль, паралельно з цим вибуховим поширенням пристроїв, постійно підключених до Інтернету, з так само вибуховою швидкістю зросла кількість вразливостей в Інтернет-безпеці. Так, хакери[1] продемонстрували можливість віддаленого контролю за транспортними засобами Jeep: вони здобули контроль над кермом і навіть вимкнули гальма.
Дослідниця безпеки Руна Сандвік з’ясувала, що «розумну гвинтівку» з підтримкою вайфаю можна «хакнути», змусивши її змінити мішень. Було знайдено численні бекдори[2] у захисті користувацьких маршрутизаторів, і навіть ваш холодильник може виявитися вразливим. Навіть ляльки Барбі, які ви придбали для своїх дітей на Різдво, не є безпечними. Можна лише сподіватися, що у 2016 році виробники приладів із можливістю під’єднуватися до Інтернету поставляться до питань безпеки більш відповідально.
Злам Hacking Team
Багато зловтіхи викликали новини про те, що Hacking Team, відома як постачальник інструментів для шпигунства деспотичним режимам, сама стала мішенню для хакерів. Сервери горезвісних постачальників шпигунського ПО, розташовані в Італії, були зламані. Нападникам вдалося отримати понад 400 Гб внутрішньої інформації та комунікації з клієнтами. Серед оприлюдненого — викриття співпраці з державними режимами, що відомі репресіями проти активістів та журналістів: Азербайджаном, Казахстаном, Узбекистаном, Росією, Бахрейном, Саудівською Аравією, ОАЕ.
«Група рівняння» (Equation Group)
Національні держави не лише використовують вже наявні на ринку шпигунські інструменти, що їх постачають Hacking Team та її «колеги», але й розвивають власні. Дослідники «Лабораторії Касперського» виявили сім’ю шкідливого програмного забезпечення, розроблену так званою Equation Group: ці програми можуть можуть записувати себе у вбудований код жорстких дисків низки різних марок. Це шкідливе ПЗ може з легкістю утримуватися на приладі, встановлюючи себе з секретного сектора на жорсткому диску, навіть якщо повністю перевстановити операційну систему. Через складність такого шкідливого ПЗ, досить ймовірним є припущення, що Equation Group отримує державне фінансування. Агентство Reuters процитувало анонімних колишніх співробітників Агентства національної безпеки США (АНБ), які стверджують, що це шкідливе ПЗ було розроблене безпосередньо в АНБ.
Були й інші приклади спонсорованих державами атак шкідливого ПЗ. Так, програму, виявлену на комп’ютерах аргентинського прокурора Альберто Нісмана, канадські дослідники з Citizenlab пов’язують із масштабнішою кампанією розповсюдження шкідливого ПЗ у Південній Америці. Фінансоване державами шкідливе програмне забезпечення та координовані кібератаки проливають світло на страхітливі можливості національних держав, а також вкотре підкреслюють важливість використання найкращих практик безпеки та відмови від бекдорів.
Ця стаття є частиною «Огляду 2015 року» від Electronic Frontier Foundation. Інші матеріали про боротьбу за права у кіберпросторі в 2015 році можна почитати на сайті організації.
Джерело: Electronic Frontier Foundation
Примітки:
[1] Тут ідеться не про розтиражований Голівудом образ кримінального хакера (так званих black hat hackers), а про незалежних дослідників у сфері інформаційної безпеки (white hat hackers). — Прим. ред.
[2] Бекдор (від англ. back door, чорний хід) у комп’ютерній системі — це метод обходу стандартних процедур аутентифікації, несанкціонований віддалений доступ до комп’ютера, отримання доступу до відкритого тексту тощо, залишаючись при цьому непоміченим. Бекдор може приймати форму встановленої програми або може проникнути у систему через руткіт. — Прим. ред.