Микко Хиппонен (Mikko Hyppönen) — ИБ-эксперт из Финляндии. Он является авторитетным специалистом по вопросам компьютерной безопасности, много лет публично комментирует и пишет о вредоносных программах, хактивистах и ​​правительствах. Он также является членом консультативного совета по интернет-безопасности в Европоле. В отрывке из его новой книги «Умное, значит уязвимое» вы сможете узнать несколько интересных подробностей о вредоносном ПО и методах борьбы с ним.

Вредоносное ПО для правоохранительных органов

Идея о том, что правоохранительные органы используют вирусы и другие вредоносные программы для заражения компьютеров граждан, может показаться надуманной. Тем не менее, это вполне обычная практика для всех государств.

В конце концов, всё сводится к тому, какие права мы, граждане, хотим предоставить властям. Если мы чувствуем, что достигнут наилучший компромисс между безопасностью и конфиденциальностью, мы будем готовы предоставить им особые права. С другой стороны, если компромисс будет односторонним, мы не захотим это делать. Когда стационарные телефоны стали обычным явлением, правоохранительные органы захотели получить возможность прослушивать их. После появления мобильных телефонов — прослушивать мобильную сеть. 

Затем появились разрешения на отслеживание текстовых сообщений и электронных писем. Однако, когда повсеместно стали использоваться мощные системы шифрования, отслеживания трафика стало недостаточно, поскольку почти весь онлайн-трафик, перехватываемый полицией, был зашифрован. Потребовалось право устанавливать вредоносное ПО на устройства подозреваемых. Эта хитрость позволяет обходить шифрование, поскольку сообщения читаются до их шифрования или после их расшифровки.

Но как установить вредоносное ПО на устройство подозреваемого, даже если правоохранительные органы имеют право использовать такой софт? Существует много методов, но большинство из них сильно отличаются от тех, которые используются киберпреступниками. 

Например, полиция может запросить ордер на проникновение в дом подозреваемого и физическое заражение устройств или добиться сотрудничества с местным интернет-оператором для изменения программного обеспечения, которое подозреваемый загружает из интернета.

Кажется немного странным, что полицейские, которым представители инфобеза помогают ловить киберпреступников, используют в своей работе вредоносное ПО. Я обсуждал это с офицерами, каждый раз подчёркивая, что понимание необходимости использования ими своего вредоносного ПО не помешает ИБ-специалистам тратить силы на защиту и от этих вредоносов. Я также говорил, чтобы правоохранители не ожидали нашей помощи, если они используют вредоносное ПО. Мы не можем игнорировать вирусы, написанные властями, какими бы благими намерениями они ни руководствовались. Если правоохранительные органы хотят использовать вредоносное ПО, это их дело.

Дело R2D2

В октябре 2011 года моя команда впервые столкнулась с вредоносным ПО, созданным государственными органами. Это вредоносное ПО, известное как R2D2 или 0zapft, было создано федеральным правительством Германии. 

Когда мы публиковали информацию об этой вредоносной программе, я осторожно упомянул в блоге, что нам прислали образец «с мест». Теперь я могу раскрыть правду. Со мной связался Chaos Computer Club (CCC), немецкая ассоциация, продвигающая свободу слова в отношении технологий. Их специалисты помогали человеку, которому грозило обвинение в нарушении таможенных правил. Обвиняемый подозревал, что его ноутбук был заражён немецкими пограничниками в аэропорту Мюнхена по прибытии в Германию.

Технические специалисты CCC обнаружили сложное вредоносное ПО, работающее в фоновом режиме компьютера, и отслеживающее работу четырёх программ: Skype, Firefox, MSN Messenger и ICQ. Представители CCC не были уверены в том, что случится, если дело станет достоянием общественности. Например, сможет ли антивирусное программное обеспечение идентифицировать вредонос, который создавали не хакеры, а вовсе даже наоборот. 

Ребята из Chaos Computer Club позвонили мне, потому что ранее я публично утверждал, что наших пользователей нужно защищать вне зависимости от того, откуда исходит вредоносное ПО. Наше определение вредоносного ПО является техническим, а не политическим или социальным. Вредоносное ПО — это программное обеспечение, которое пользователь не хочет использовать на своём компьютере, и R2D2 явно соответствует этому определению. CCC хотел гарантировать, что, при обнародовании информации о R2D2 самые популярные антивирусы без колебаний добавят его в базы, чтобы и другие компании последовали их примеру. Мы смогли добиться этого. 

Как только немецкая пресса узнала об этом деле, в течение часа это стало международной новостью. Мы заблаговременно подготовили обновление для обнаружения зловреда и опубликовали его одновременно с моим сообщением в блоге, где объясняли важность борьбы с вредоносными программами, даже если они написаны правоохранительными органами. Три часа спустя программное обеспечение Avast начало удалять вредоносное ПО. Через час то же самое сделал McAfee, а затем Kaspersky. К вечеру того же дня практически все другие разработчики антивирусов сделали то же самое. Тактика CCC сработала.

Взлом паролей

Когда подозреваемый арестован, а его устройства заблокированы неизвестным паролем, остаётся только один вариант: взломать пароли. Хотя трафик данных, защищенный современными алгоритмами шифрования, практически невозможно отслеживать, можно попытаться расшифровать файлы или файловые системы, перепробовав все возможные пароли. Часто это можно ускорить, распределив задачу между десятками или даже сотнями компьютеров.

Для этой цели у властей есть впечатляющие ресурсы. Например, в офисном здании в Гааге установлено оборудование для расшифровки размером с суперкомпьютер. Оно настолько большое и мощное, что ему требуется собственная электростанция. Такое решение позволяет тестировать миллионы вариантов пароля в секунду. Тем не менее, на открытие одного зашифрованного файла могут уйти месяцы.

Автоматизированные системы дешифрования используют умную тактику для ускорения этой операции. Если на жёстком диске подозреваемого обнаружен защищённый паролем файл, все файлы на диске индексируются, и из каждого файла собираются все отдельные слова для проверки в качестве паролей. Если ничего не работает, все обнаруженные слова проверяются в обратном порядке, а если это не работает, диск сканируется на наличие неиспользуемых областей и удалённых файлов, и пробуются слова внутри них. Удивительно, но во многих случаях это помогает в расшифровке.

Когда хакера заливают кофе

Опытные киберпреступники знают, когда за ними охотятся. Многие из них заранее готовятся к возможному аресту, выстраивая системы для уничтожения улик.

Например, один российский оператор ботнета управлял вычислительным центром в своей трёхкомнатной квартире в Санкт-Петербурге. Для большей безопасности входную дверь он заменил на более прочную металлическую, прикрепленную к тяжелой раме. Когда российская полиция прибыла, чтобы арестовать его, у Игоря было достаточно времени, чтобы приступить к удалению файлов со всех своих серверов. Не имея возможности пройти через дверь, полиция в конце концов проделала дыру в стене рядом с ней. Игоря обнаружили на кухне. На плите у него стоял чайник, а в чайнике — карты памяти и симки от мобильных телефонов. Их содержимое невозможно было восстановить.

Лучшая тактика — отвлечь преступника, не дав ему уничтожить или заблокировать свои устройства при задержании. В ходе ареста, координируемого Европолом, подозреваемый сидел в кафе с ноутбуком. Через несколько мгновений за тем же столом оказалась женщина-офицер под прикрытием, которая якобы ненарочно пролила свой кофе. Подозреваемый встал, и в этот момент прятавшийся сзади офицер-мужчина выскочил и смог изъять незаблокированный ноутбук для судебно-медицинской экспертизы.

Больше историй — в книге Микко Хиппонена "If It's Smart, It's Vulnerable". У него есть и подкаст на эту тему, между прочим.


Что ещё интересного есть в блоге Cloud4Y

→ Как открыть сейф с помощью ручки

→ OpenCat — создай своего робокотика

→ Как распечатать цветной механический телевизор на 3D-принтере

→ WD-40: средство, которое может почти всё

→ Изобретатели, о которых забыли

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.

Комментарии (2)


  1. holyx
    09.09.2022 13:33
    +1

    "офицер-мужчина выскочил и смог изъять незаблокированный ноутбук для судебно-медицинской экспертизы "

    Судебно-медицинская экспертиза ноута это весело, хотел бы я на это посмотреть)


  1. svob
    10.09.2022 20:18

    Вот, пароли ломать приходится.

    А биометрическая защита в таких случаях вскрывается гораздо проще.