Противодействие на киберзаплахите

Според проучване на екпертите от Cybersecurity Ventures минимум 1 милион души по цял свят са жертва на киберпрестъпления всеки ден. А паричното изражение на щетите от киберпрестъпления представлява най-голямото прехвърляне на икономическо богатство в историята. По-голямо от щетите нанесени от природни бедствия и по-печелевшо от търговията с наркотици. Ако сръвним стойността им с икономиките на всички държави ще се получи третата по големина икономика в света. Затова в тази статия ще се опитаме да дефинираме какво представляват и как да противодействаме на киберзаплахите, които нанасят толкова много щети?

Дефиниране на киберзаплахите

Киберзаплахите са асиметрични, незаконни и силно наподобяват заплахите от класическия тероризъм. Т.е. отделно лице или малка група намираща се където и да е по света може без особени разходи да се опитат да проникне в системи, съдържащи жизнено важна информация или да предприеме разрушаващи атаки срещу критична инфраструктура.

Инструментите и ресурсите за такива атаки също са лесно достъпни през Интернет и уязвимостите на атакуваните системи са все по-лесно откриваеми и използваеми. Освен това, за разлика от класическия тероризъм, киберпрестъпниците използват за своите цели множество, нищо не подозиращи потребители на компютри и Интернет. Заразените компютри на тези потребители формират т.н. „бот-мрежи”, чрез които се организират атаки към важни източници на информация или се изпращат „спам-писма” и вредни програмни кодове към многобройни адресанти, а също така се разпространява забранено съдържание, например, детска порнография или реч на омразата.

Видове кибер престъпления

Първото поколение на престъплените действия в кибер-пространството се характеризира с бързото размножаване на червеи, които експлоатират разпространените уязвимости. Заплахи с голяма степен на въздействие от това поколение бяха червеи като Blaster, Netsky и Sasser, които в своята съвкупност повредиха милиони компютри по целия свят.     Мотивите за тези атаки преди всичко бяха придобиване на известност и егоцентризъм без да се цели печалба. Тези атаки са били предназначени да имат разрушителни последици, така че присъствието на хакерите в Интернет чрез предизвикване на безразборното увреждане на всеки уязвим компютър в Интернет да стане безусловно известно. За киберпрестъпниците от първото поколение приоритет № 1 е бил да ги забележат. Все пак, това дава възможност органите на реда сравнително лесно да идентифицират и арестуват нарушителите.     

Затова се появява т.н. второ поколение кибер престъници, чийто мотив е печалбата. Осъзнаването, че хакерство може лесно да бъде използвано за парична печалба, накара да се появят много хора, които искат да спечелят в Интернет.       Ботнетите – големи мрежи от заразени компютри – се превърнаха в предпочитано оръжие за кибер-престъпниците, позволявайки им да „изпомпват” милиони спам-съобщения или да извършат атаки от типа „разпределен отказ на услуги (DDoS)” върху бизнеса или администрациите. Въпреки че инструментите, използвани от това поколение са по-сложни от тактиката на своите предшественици, тези киберпрестъпници все още не умеят добре да покрият следите си и да избегнат тяхното откриване.

 Третото поколение кибер престъпления се отличава с организация и дискретност. Кибер престъпниците стават по-зрели, като осъзнават предимствата на съвместната работа за незаконни доходи. Освен това те си поставят по-високо цели. Методите (червеи, троянски коне, DDOS, ботнети и т.н.) са същите като в предишното поколение, но изпълнението се влияе от традицийте на криминалния свят.  Сформират се организирани хакерски групи, които се стремят към власт и влияние в подземните хакерски общности. Въпреки това, тази нова вълна от кибер гангстери има една цел: печалба. За тези банди киберпрестъпността е просто средство да осъществяват измами по лесен начин. Това поколение е насочено преди всичко към фирмите, които боравят с големи суми пари, като финансови институции и организатори на хазартни игри.    

Възниква нова дейност „C2C – criminal-to-criminal” която дава началото на четвъртото поколение кибер престъпност. Появява се силна и ефективна сива икономика, която предоставя възможности на киберпрестъпниците да купуват и продават стоки и услуги един на друг. Появиха се най-различни услуги, като:

  • Престъпни аукционните къщи, като WabiSabiLabi, които представлявят електронни пазари, където киберпрестъпниците купуват и продават изпълним код, включително зловредни програми за софтуерни уязвимости, които не са публично известни;
  • Услуги за разпространение на зловреден софтуер, като IFRAMES.BIZ,  специализирани в разпространение на злонамерен софтуер, който да зарази хиляди хостове. Тези услуги обикновено имат установена среда за разпространение, като например, мрежа от заразени уеб сайтове или заразени онлайн реклами. Те имат способността бързо да заразят голям брой компютри.
  • Ботнети под наем, като 5Socks.net, които поддържат един или повече ботнет, наемани от други киберпрестъпници. Наетия ботнет може да се използва за изпращане на спам, да хоства нелегитимни сайтове, да краде чувствителна информация, да изпълнява DDoS атаки и провежда много други престъпни дейности;
  • Продавачи на самоличност от ново поколение, като 76Service.com, които организират покупки и продажби на откраднати данни от документи за самоличност. Тези нови услуги дават на киберпрестъпниците „он-лайн” платформа за покупка, продажба и управление на портфейл от откраднати записи – това е нещо като нелегална „он-лайн” борса, която помага на хакерите да максимизират своите „инвестиции“;
  • Лицензиран зловреден код, като Storm Worm, който стана широко разпространен в това поколение. Авторите на злонамерен код приемат  лицензионни модели, принуждавайки по този начин други киберпрестъпници да плащат за техния зловреден софтуер. Това дава повече финансови възможности за авторите на злонамерен код да усъвършенстват своите разработки, също така  дава възможност на другите киберпрестъпници да закупуват зловреден софтуер от висока класа, вместо да се налага да се развиват свой.
  • Социалните мрежи за киберпрестъпниците също се развиват и предоставят  репутационна класация на купувачи, продавачи и партньори в престъпленията в кибернетичното пространство. Те включват „доверени“ лица, които извършват т.н. „escrow” функции, когато един или повече „ненадежден“ партньори участват в операции на престъпления в кибер-пространството.

Тъй като икономиката на кибер-престъпленията е вече зряла, това носи на киберпрестъпниците ползи от специализацията и разпределеният риск. Киберпрестъпниците, които са талантливи в намирането на нови уязвимости и писане на изпълними кодове, могат да се специализират в тази област и лесно да финансират работата си чрез продажба на техните разработки. Същата динамика се прилага за авторите на злонамерен код, дистрибутори, собственици на ботнет и други по веригата за доставка на престъпленията в кибер-пространствота. Като резултат на тази специализация, усъвършенстваността на кибератаките се увеличава и  ускорява. Инструментите стават все по-лесни за употреба от хора със значително по-малко опит.

В днешното пето поколение киберпрестъпниците продължават да усъвършенстват и донастройват всеки елемент от веригата за доставка на престъпления в информационното пространството. Днешните киберпрестъпници са по-предприемчиви и повече разбират от бизнес от миналите поколения. Те захранват развиващата се икономика на престъпленията в киберпространство с големи парични суми. В резултат – атаките продължават да растат по сложност и честота.    

Заплахите от петото поколение са все по-автоматизирани, което позволява на кибер престъпниците да бъдат по-продуктивни. Киберпрестъпниците започват да се ползват от предимството на инструменти и техники за писане на скриптове за автоматизиране на различни етапи на техните схеми. По-малко опитни хакери могат да закупят инструменти за лесно идентифициране на уязвими цели, за компрометиране на системи и за кражба на данни. По-напредналите киберпрестъпниците могат да купуват инструменти или да поръчват разработването на специални инструменти и скриптове като допълнение към техните продукти.

В някои случаи, в по-големите схеми за престъпления в киберпространството  се наблюдава интеграция в рамките на няколко комплекта инструменти, които изпълняват различни функции. При разследването на фалшификаторска верига, известна като „BigBoss” беше  разкрита автоматизирана система за измами, която обхваща:

  • Създаване на ботнет;
  • Кражба на пълномощия за „онлайн” услуги, в частност, за проверка на изображения;
  • Кражба на изображения, архивирани от тези услуги;
  • Отпечатване на подправени чекове, получени от откраднатите изображения;
  • Проникване в Уеб-сайтове за търсене  на работа и прихващана на е-мейл  адреси на лица, търсещи работа;  
  • Използване на тези адреси за набиране  на „мулета (money mules)“, които да  осребрят подправените чекове;
  • Инструктаж на мулетата относно  превеждане на средствата по сметки  на кибер-престъпниците;
  • Доставка на подправени чекове на  мулетата.     

Тази високата степен на автоматизация  е позволила на веригата „BigBoss” да  работи продължително време в голям  мащаб.

Друга характеристика на петото поколение са т.н. „Модерни настойчиви заплахи (APT – Advanced Persistent Threats)“, които станаха известни през 2010 г. като наименование за целенасочени атаки срещу конкретни организации от определени, добре координирани киберпрестъпници.    В общността на експертите, APT най-често се отнася до сложни атаки, насочени към правителства и корпорации, с цел да се събира разузнавателна информация или постигане на конкретни финансови цели. APT често се използва от държавни органи или техни агенти. В някои случаи, те са свързани с терористични и сепаратистки политически групи.

Противодействие на кибер престъпленията  

От технологична гледна точка противодействието на компютърните престъпления в повечето случай не може да се разграничи от действията срещу случайни или непреднамерени фактори. Всъщност, действията за постигане на информационна сигурност са насочени към т.н. “уязвимости„.

Според “Федералния план за киберсигурност” на САЩ: “Уязвимостта е сериозен недостатък или слабост в проектирането или изпълнението на хардуер, софтуер, мрежи, или компютърно базирани системи, включително процедурите за сигурност и контрол, свързани със системите. Уязвимостта може да се използва преднамерено или непреднамерено  за неблагоприятно въздействие върху организацията на операциите, информационните активи или персонала”.

В следствие на това можем да определим следните видве технологичните направления за борба с киберпрестъпленията:        

  1. Предотвратяване на грешки – как да не се допусне появяването или въвеждането на грешки;        
  2. Издръжливост на грешки – как да се осигури непрекъсваемост и правилност на услугата, въпреки появяването на грешка;       
  3. Отстраняване на грешки – как да се намали тежестта на грешките;       
  4. Прогнозиране на грешки – как да се прецени наличието, създаването и последиците от грешките.                      

Целта е да се запази конфиденциалността, интегритета и достъпността на ситемата.


[1] https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/