Кто виноват в хакерских атаках

Очень вероятно, что компьютерная сеть вашей организации была или будет взломана — рано или поздно. И, даже если вы сохраняете бдительность и не забываете о безопасности, возможно, именно вы будете вы этом виноваты.

Подавляющее большинство компьютерных взломов — в том числе масштабная кража данных у Sony (NYSE: SNE) в 2014 году, недавнее проникновение в сеть Национального комитета Демократической партии США и, возможно, кража 81 млн долларов из банка в Бангладеш, указавшая на проблемы безопасности в сети межбанковских переводов SWIFT, — имеют общую черту: они начались с социальной инженерии, со старого доброго фишинга. По электронной почте, через социальные сети или мессенджер отправляется ссылка. Человек ее открывает — и хакер получает возможность внедрить в его сеть вредоносную программу, и тем самым получить доступ внутрь.

Организации не раз пытались минимизировать такие риски, обучая сотрудников. Например, в декабре прошлого года берлинская полиция отправила 466 полицейским поддельное сообщение, предлагающее им предоставить свои пароли «для безопасного хранения на сервере берлинской полиции». На ссылку нажали более 250 получателей, а 35 — ввели свои пароли.

Фишинг — общеизвестная техника, что не делает ее неэффективной. Это доказывает эксперимент, проведенный совсем недавно на конференции по кибербезопасности Black Hat, проходившей в Лас-Вегасе. Его автором была Зинаида Бененсон из немецкого Университета Эрлангена — Нюрнберга. Бененсон составила такое фишинговое сообщение:

Привет, ! Вот фотки с прошлой недели: http:// /photocloud/page.php?р = Пожалуйста, не пересылай тем, кто там не был :-) Увидимся!

Она отправила это сообщение студентам разных вузов: 240 в виде сообщений Facebook и 158 — электронной почтой. 56% получателей электронной почты и 38% пользователей Facebook нажали на ссылку, но, когда Бененсон их об этом спросила, признались лишь 17%. Потом она провела еще одно исследование, чтобы получить больше данных. В новом эксперименте она отправила аналогичное сообщение на 975 адресов электронной почты и 280 пользователям Facebook, но не использовала в них имена получателей. На этот раз на ссылку нажали 20% получателей писем и 42% пользователей Facebook: персонализация в фишинге работает!

Опять же, многие из перешедших по ссылке в этом не признались, но теперь у Бененсон было достаточно ответов. Более 80% ее респондентов сказали, что знают: нажимать на случайные ссылки может быть опасно — но, как оказалось, с поведением это знание не очень коррелирует. Из тех, кто нажал на ссылку, 40% обосновали свои действия любопытством, хоть ни на какую вечеринку на прошлой неделе не ходили — им просто хотелось посмотреть на чужие и, вероятно, забавные фотографии. Еще 20% хотели узнать больше подробностей об отправителе.

Среди тех, кто не стал нажимать на ссылку, половина поступила так, потому что им было не знакомо имя отправителя. Это правильно, но ни от чего не защищает, поскольку, если бы имя было распространенным, кликов было бы больше. Только 5% тех, кто не стал переходить по ссылке, объяснили, что подумали, что получили чужое личное сообщение, и не стали кликать из уважения к частной жизни отправителя — или просто из отсутствия интереса к чужим делам.

В своей еще неопубликованной работе с описанием экспериментов Бененсон пишет: «Так что этих людей защитила от потенциальной угрозы порядочность или отсутствие праздного любопытства». Она добавляет:

«При достаточно вдумчивом подходе для любого человека можно составить сообщение, которое заставит его нажать на ссылку — важно предоставить интересующее этого конкретного пользователя содержание или контекст. Неразумно ожидать от пользователей безошибочного принятия решений в таких условиях, даже если это подготовленный персонал».

Если так ведут себя продвинутые интернет-пользователи, знающие о потенциальных угрозах, получается, что выхода нет? Похоже, в любой системе самое слабое место — это обычный пользователь: он любопытен, и его легко запутать. С этим ничего не поделаешь. Как пишет Бененсон, «любопытство и другие человеческие качества делают нас уязвимыми для таких атак, и исправить людей не получится (я на это надеюсь)».

Бененсон, однако, не хочет, чтобы ее работу толковали как направленную против технологического прогресса. Она говорит:

«Компьютеры сделаны для пользователей. Если нет пользователей, не нужны компьютеры. Пользователей надо защищать от атак, конструируя защищенные компьютерные системы. Человек не должен быть постоянно начеку в ожидании подвоха».

Немецкая исследовательница уверена, что умный преступник почти всегда может обмануть даже эксперта по вопросам безопасности, не говоря уже об обычных пользователях, поэтому важно иметь готовый план обнаружения атак и устранения их последствий. Почти всегда эффективнее тратить ресурсы на смягчение последствий взлома, чем пытаться его предотвратить.

Я отчасти не согласен: пользователь должен быть настороже. Если в вашу домашнюю систему уже проникли, чаще всего атаку удастся обнаружить лишь тогда, когда уже слишком поздно, и ваш компьютер станет частью ботнета, участвуя в шантаже с требованием выкупа или в незаконных финансовых операциях. Если вам приходит неожиданное письмо или вы не уверены в его источнике — не нажимайте на ссылки.

Ведь не так сложно переспросить друга или коллегу: «Это ты мне прислал? Мне открывать эту ссылку?». Но и Бененсон права: в большой организации кто-то рано или поздно оступится — и не захочет в этом сознаться. Так что для профессионалов в области безопасности раннее обнаружение атак — приоритетная задача.