Если хакер хитр, значит пользователь туп

10.01.2018
В КАТЕГОРИЯХ:
Conflicts 2018, Economics 2018, Europe 2018, RU, Russia 2018, Skepticism 2018, USA 2018
0 101 0
Если хакер хитр, значит пользователь туп
ЭТУ ПУБЛИКАЦИЮ ПРОЧИТАЛИ  88%  ПОСЕТИТЕЛЕЙ.

Если хакер хитр, значит пользователь туп

Europe       Russia     USA        World  

GEOMETR.IT   forbes.ru 

 

* Самые показательные кибер-инциденты  2017 года

Из года в год организации пытаются противостоять атакам и снизить риск потерь, но киберинциденты повторяются. Опрос российских предпринимателей показал, что в 2017 году ущерб от кибератак составил почти 116 млрд рублей. Около половины предприятий столкнулись с киберугрозами и около 22% из них понесли  финансовые потери в среднем на 300 тыс руб. Можно ли из этого вынести универсальные уроки?

Мы собрали пять наиболее интересных и разноплановых, по нашей версии, взломов и утечек информации уходящего года, чтобы показать потенциальные риски для организаций и лишний раз убедиться, насколько важным может оказаться даже незначительное нарушение правил информационной безопасности.

  1. Кража данных 143 млн клиентов Equifax

Equifax — бюро кредитных историй, агрегирующее и обрабатывающее данные более чем 800 млн человек из 24 стран, включая Россию. По иронии, сайт компании позиционирует ее как ведущего поставщика услуг в сфере защиты от утечек.

Несмотря на все эти громкие заверения, в ночь с 7 на 8 сентября 2017 года стало известно о том, что сервера Equifax были взломаны, а злоумышленники успели получить доступ к персональной информации более 143 млн человек (на минуточку – более трети населения США).

Утекло многое – ФИО, адреса, номера соцстрахования, водительские права и прочее, что хранилось у Equifax. Примерно у 209 000 пользователей оказались скомпрометированы еще и номера банковских карт.

Последующий анализ показал, что злоумышленники проникли в систему еще в мае, но вплоть до конца июля их следы на серверах не были обнаружены. Это произошло из-за инерции компаний в плане реагирования на оповещения об угрозах.

Уязвимость, из-за которой произошел взлом, считается довольно известной, а информация о ней стала общедоступна еще в марте 2017-го. К сожалению, даже в ведущих компаниях временной разрыв между обнаружением уязвимости и принятием мер может достигать нескольких месяцев.

Совет же в этом случае прост — при использовании любых библиотек и фреймворков необходимо регулярно их обновлять и следить за информацией о найденных в них уязвимостях.

  1. WannaCry, АНБ и NotPetya

Несколько атак программ-вымогателей, использующих эксплойт EternalBlue, якобы украденный у АНБ, прокатилось по интернету в 2017 году. Начало положил WannaCry, поразивший полмиллиона компьютеров по всему миру и нанесший ущерб в размере $1 млрд.

Жертвами шифровальщиков WannaCry и его последователей – New Petya, NotPetya, ExPetr и других – стали банки, энергетические компании и правительственные структуры разных стран, шифруя хранящуюся на дисках информацию. Microsoft пришлось в срочном порядке выпускать соответствующие обновления не только для актуальных версий своей ОС, но даже для Windows XP, поддержка которой уже давно остановлена.

В мире, где уже существует самое настоящее кибероружие, не обязательно становиться целью спецслужб, чтобы столкнуться с подобной атакой, ведь, как видим, даже сами спецслужбы становятся жертвами успешных хакерских атак.

  1. Почтовый архив Эммануэля Макрона

Единственный клик одного человека из предвыборного штаба по ссылке в письме может привести к катастрофическим последствиям.

5 мая 2017 года, в преддверии выборов Президента Франции, в политическом разделе форума 4chan был опубликован архив с письмами Эммануэля Макрона и членов его партии – всего 9 Гбайт переписки. Хештег #Macronleaks прокачали в Твиттере при помощи ботов, а журналисты и WikiLeaks опубликовали ссылки на архив.

Сценарий был не нов: хакеры разослали фишинговые сообщения сотрудникам штаба Макрона с адресов, похожих на настоящие адреса других партийцев.

Скандала можно было избежать, если бы все сотрудники штаба серьезно относились к информационной безопасности, соблюдая ее базовые правила, а не видя в ней досадную помеху.

  1. Смарт-контракт дает слабину

Создатели электронного кошелька Parity, служащего для хранения криптовалюты Ethereum, предупредили всех своих пользователей о факте компрометации программы. Злоумышленникам удалось не просто получить доступ к данным о хранящихся в ней средствах, но и похитить их, от чего пострадали миллионы владельцев криптовалюты. Через уязвимость в смарт-контрактах преступникам удалось присвоить криптовалюту, общая стоимость которой эквивалентна $30 млн. Но это далеко не все потери.

Атака была вовремя замечена, и члены организации White Hat Group сумели перевести еще не похищенные средства пользователей, эквивалентные $120 млн, на другие кошельки, не подверженные атаке, используя ту же уязвимость. Пока средства просто заблокированы.

По словам владельцев Parity, спасти ситуацию может хардфорк криптовалюты, который «откатит» все транзакции до момента, предшествующего краже. С таким вариантом решения, разумеется, согласны далеко не все держатели Ethereum.

В современном мире все больше востребована профессия «белого» или «этичного» хакера. Он обладает теми же компетенциями, что и злоумышленники, но применяет их для защиты и выявления слабостей информационных систем. Бизнесу пора проявить заинтересованность в специалистах подобного профиля.

  1. Под угрозой180 миллионов гаджетов

В ноябре специалисты Appthority объявили о том, что более 700 мобильных приложений (для iOS и Android примерно в равных пропорциях) используют доступ по API к сервисам компании Twilio, содержащего уязвимость Eavesdropper (Соглядатай).

Сама Twilio, по большому счету, была не при чем. Разработчики по халатности внедряли жестко закодированные данные учетных записей разработчиков сервиса прямо в своем программном коде, что позволило путем несложного анализа получить доступ к клиентской информации, включающей записи голосовых звонков, а также содержание текстовых сообщений.

Под угрозой по меньшей мере 180 млн мобильных устройств, причем решить проблему выпуском единого глобального обновления не получится – исправлять надо каждое приложение и привлекать к решению проблемы разработчиков каждого из них.

Усугубляет ситуацию то, что сервисы Twilio применяются в основном в ПО, предназначенном для организаций. Вывод таков:

если в структуре сложной технической системы есть хотя бы одно звено, ответственность за которое лежит на непроверенном подрядчике, дискредитирована может быть вся система. По лени или из-за низкой культуры программирования.

Олесья Горьковая — генеральный директор Высшей школы информационных технологий и безопасности HackerU

* Публикация не является редакционной статьёй. Она отражает исключительно точку зрения и аргументацию автора. Публикация представлена в изложении. Оригинал размещен по адресу:   http://forbes.ru

* * *

GEOMETR.IT

Рождественский Рассказ. Что это?  09.01.2018

Eine neue Ausrichtung deutscher Außenpolitik? 09.01.2018

Wie Orban Ungarn rettet  09.01.2018

Почему не были на работе?- Я праздновала,- сказала cпокойно  09.01.2018

С Праздником Рождества Христова!  09.01.2018

ИЕРУСАЛИМ. Английский Парк и Песок 09.01.2018

Views from the capitals for 2018 09.01.2018

РОЖДЕСТВО. Иным путем вернулись в страну их…  09.01.2018

GEOMETR.IT

, , , , , , , , ,

Добавить комментарий

Ваш e-mail не будет опубликован.