Как киношные хакеры испортили жизнь ИБ-специалистам
Хакеры в кино — сверхлюди, которые по щелчку мыши могут взломать автомобиль, запустить «киберракету» и вычислить юрлицо через командную строку. Сцены взлома сопровождаются звуковыми и визуальными эффектами, которые вызывают если не смех, то ироническую улыбку у всех, кто в теме.
Меня зовут Артемий Богданов, я Chief Hacking Officer в Start X. Находил слабые места в приложениях Uber, Yahoo и ВКонтакте, участвовал в CTF и регулярно провожу пентесты. За годы работы убедился, что реальные кибератаки выглядят совсем не так красочно, как в кино. Никаких сирен и экранов с мигалками.
Этой статьей я бы хотел развеять миф о всесильности хакеров и объяснить, как этот миф мешает внедрению культуры кибербезопасности в компаниях.
Под катом — четыре сцены взлома из фильмов с подробным разбором их правдоподобности. В заключении порассуждаем, почему легенда о всемогущих хакерах мешает сотрудникам защищать свои данные в сети и как помогает организаторам кибератак.
«Касл»: битва хакеров, котики и киберъядерная бомба
В этой сцене прекрасно все: кубики Рубика с цифрами и рунами, индикаторы прогресса атаки, четкое количество файрволов, спам-видео с котятами, наводящая ужас озвучка взлома и даже киберъядерная бомба, уничтожающая систему. Поединок хакеров проходит на сверхсветовых скоростях и заканчивается в течение пары минут.
А что в реальности?
Увы, юзер-френдли атак не существует. Зрители привыкли к насыщенным спецэффектами сценам, где все сразу узнают о проблеме: звучат сирены, мигает свет, а на экране появляется огромное оповещение о хакерской атаке.
Если в компании есть SOC с процессами выявления и автоматизированного реагирования, похожие оповещения возможны. Конечно, никаких сирен не будет и оповещение появится только если на атаку настроен сценарий реагирования. В реальной жизни сотрудники SOC анализируют огромное количество подозрений на инциденты, сопоставляя данные из различных источников, и только малая часть из них переходит в категорию подтвержденных инцидентов.
Чаще всего взлом происходит незаметно для жертвы и узнать о ней могут спустя несколько месяцев. Хакеры изучают средства защиты компаний, IDS и IPS, проверяют вредоносное ПО на обнаружение антивирусами, чтобы они не сработали и не среагировали на атаку.
Если вторжение все-таки обнаружено, компоненты SOC могут визуализировать цепочку атаки, но только ее техническую часть — никаких черепов, пиратских флагов и прочей свистопляски. Давайте посмотрим, как атака может выглядеть для обычного пользователя.
Так выглядит экран браузера при популярной атаке «человек посередине» (Man-in-the-middle). Злоумышленник внедряется между компьютером и сайтом, к которому пользователь пытается обратиться по HTTPS. Если пользователь проигнорирует предупреждение и перейдет на такой сайт, хакер сможет перехватить введенные данные банковских карт, логины и пароли — и человек этого даже не заметит.
Еще одна любимая кинематографистами вещь — прогресс-бары, на которых жертва атаки с ужасом отсчитывает оставшиеся до взлома секунды. Такие сцены помогают создать напряжение, но не имеют отношения к реальности.
Прогресс-бары могут отображаться на стороне злоумышленника при работе с «конечными» процессами: брутфорсом, дирбастингом. Но и в этом случае индикатор будет показывать не оставшееся до взлома время, а количество паролей или каталогов, которые осталось попробовать.
Чаще всего картинка со стороны хакера выглядит примерно так:
Если все же очень хочется добавить в хакерские будни эпичности, можно использовать графический интерфейс Armitage:
Armitage — дополнительный инструмент для Metasploit
Обойти файрволы щелканьем клавиш не получится. В сцене хакер за секунды открывает все файрволы системы как замочки в игре. На экране написано, что каждую защиту хакер снимает с помощью загадочной расшифровки, хотя обход файрвола не имеет отношения к криптографии.
Хакер действительно может проникнуть в систему компании через внешний периметр, но обходить он будет не файрволы, а IDS, IPS и WAF. Потратить на это можно от пары часов до нескольких месяцев. «Обойти файрвол» в сценарии атаки будет означать найти уязвимость в каком-то сервисе, который не блокируется файрволом, и через него проникнуть дальше в сеть.
Отбить атаку мошенника в реальном времени тоже получается не всегда. Пока Кейт с напарником пытаются выследить взломщика по IP, хакер Хейли запускает и контратаку, чтобы усложнить жертве поиски. Называть это контратакой не совсем корректно, так как Хейли изначально была атакующей.
Если посмотреть на контратаку как на оборону со стороны жертвы, чисто теоретически использование обратного взлома (Hacking back) возможно. Я проводил небольшое исследование, где разбирал два инструмента анализа защищенности сайтов — искал в них уязвимости и делал сайты, которые при попытке сканирования взламывают того, кто их сканирует. Но сделать это по волшебной кнопке в момент взлома вряд ли получится.
Перегрузить систему хакера можно, но не так кинематографично. Перепробовав все уловки, напарник Кейт решат запустить в компьютер Хейли «кибербомбу», которая должна «поджарить систему». В сцене ракета приземлилась удачно и выкинула хакера из системы.
Трудно сказать, как работает киберъядерная бомба в этом сериале, но в реальности ее аналогом вполне могла выступить форк-бомба.
Форк-бомба — один из вариантов атаки на отказ в обслуживании (Denial of Service, DoS). После запуска программа начинает создавать свои копии, которые создают новые копии, и так до бесконечности, пока ресурсы системы не закончатся. Форк-бомба действительно помогает быстро вывести чужой компьютер из строя, но ни к каким серьезным последствиям это не приведет — все решается обычной перезагрузкой. Может, и к лучшему, что Хейли об этом не знала.
Если не зацикливаться на ассоциациях со взрывами, и предположить, что у Кейт с напарником уже был доступ к компьютеру Хейли, они могли бы очистить или отформатировать жесткий диск и, тем самым, вывести его из строя.
Единственное, что не вызывает вопросов в плане визуальной достоверности — видео с котиками. Их действительно можно запустить при взломе, если очень хочется.
Правдоподобность: 2/5 (за котиков)
«Возвращение Мухтара»: вычисляем данные через ipconfig
Базовый функционал любого кинохакера — вычислить кого угодно по IP. Самые продвинутые могут по IP-адресу выяснить юрлицо, которому он принадлежит. И все с помощью суперкоманды ipconfig.
Команда ipconfig или «шзсщташп» на русскоязычной раскладке — секретный код вычисления IP
А что в реальности?
В реальности получить информацию о постороннем IP-адресе с помощью ipconfig невозможно. Даже если предположить, что у следователя в руках была распечатка электронного письма, и паренек смог вытащить кое-какие технические данные из заголовков:
Если у локального почтового сервера постоянный IP-адрес и письмо отправляли с него, теоретически хакер может вычислить IP-адрес такого сервера, затем взломать его, найти в логе IP-адрес, с которого подключался отправитель, а затем попытаться определить город и провайдера. И тут появляется большое количество ограничений:
отправитель мог использовать VPN-или прокси, тогда IP-адрес в логах не даст информации о его расположении;
даже если отправитель не настолько продвинутый, чтобы добраться до IP-адреса устройства отправителя, нужно взломать его почтовик и добраться до логов — в заголовках полученного фигурирует только имя или IP-адрес почтового сервера отправителя, а не его устройства;
если реальный IP-адрес отправителя все-таки удалось узнать, какую-то информацию о нем получить можно, но не с помощью ipconfig, а с помощью whois. Только этой утилиты нет в стандартной установке Windows.
Полученные из whois сведения могут быть достаточно подробными, например:
az@Silenz:~$ whois 46.0.192.92
% This is the RIPE Database query service.
(…)
inetnum: 46.0.192.0 - 46.0.199.255
netname: ESAMARA-PPPOE-17-NET
descr: CJSC "ER-Telecom" Company" Samara
descr: Samara, Russia
descr: PPPoE individual customers network
country: RU
(…)
org-name: JSC "ER-Telecom Holding" Samara Branch
org-type: OTHER
descr: TM DOM.RU, Samara ISP
address: Partizanskaya str., 86
address: Samara, Russia, 443070
phone: +7 (846) 202-88-78
fax-no: +7 (846) 202-88-78
(…)
role: ER-Telecom Samara ISP Contact Role
address: AO "ER-Telecom Holding" Samara Branch
address: Nikitinskaya, 53
address: 443041 Samara
address: Russian Federation
phone: +7 846 277-88-98
fax-no: +7 846 277-88-98
(…)
% Information related to '46.0.192.0/22AS34533'
route: 46.0.192.0/22
origin: AS34533
org: ORG-CHSB3-RIPE
descr: CJSC "ER-Telecom Holding" Samara branch
descr: Samara, Russia
(…)
% This query was served by the RIPE Database Query Service version 1.109.1 (BUSA)
Выдача whois может показать, на какое юрлицо зарегистрирована автономная система с этим блоком IP-адресов — в данном случае это провайдер Эр-Телеком. Только использовать эту информацию для точного вычисления местоположения не получится — хакер может установить прокси на уязвимом роутере абонента Эр-Телеком.
Тратить время на «пробитие» IP-адреса нет смысла. Данные о человеке находят в открытых источниках с помощью OSINT-инструментов, сливов из сервисов доставки и кадровых баз. Хакеру достаточно вытащить из заголовков письма информацию об отправителе, сопоставить с данными из утечек, а оттуда взять все, что интересует — от ФИО и адреса до паспортных данных.
Правдоподобность: 1/5
«Человек из Рима»: волшебный набор команд для защиты от взлома
Хабр не пропустил ссылку с шортсом, поэтому прикрепили ссылку с таймкодом на полный фильм — для просмотра нужно перейти в Ютуб.
Здесь опять классика: всплывающие окна, заботливый UI с визуализацией защиты системы и возможность следить за взломом через терминал. Режиссер даже дал возможность подглядеть, при помощи каких команд ИБ-специалисты Папы Римского останавливают атаку.
А что в реальности?
Визуализация взлома здесь более щадящая, чем в «Касле», но к набору секретных команд есть вопросы. Разберем по порядку.
Первой команды не существует в принципе. Возможно, герои пытались куда-то подключиться, но у них ничего не вышло. Вторая команда — опять всемогущий ifconfig. Уверен, испанские режиссеры вдохновлялись «Мухтаром», но у них не было компьютера с Windows.
Атака в самом разгаре
Дальше ватиканские специалисты ИБ вводят команду traceroute, которая могла бы показать маршрут пакетов TCP/IP. Но только если бы ей передали правильный параметр, а не тот, что на экране.
В traceroute можно передать домен или IP-адрес, но параметр »vsp.src@172.168.105.1» на экране не относится ни к тому, ни к другому. Строка больше похоже на попытку скрестить UNC-путь из Windows (\server\folder) c SSH-подключением, когда в качестве параметра SSH передаются имя пользователя и адрес сервера через »@» (user@1.1.1.1 или user@server.com).
Вторая и третья команды даже не команды — их напечатали для зрителя, чтобы мы поняли, что у хакера все получается. А вот четвертая команда выглядит интереснее. Возможно, они написали скрипт, который проверяет сервер. Кроме того, программы в Linux действительно можно запускать через »./название_программы», если скрипт находится в текущей директории.
Видно и название выдуманного сервиса на якобы уязвимом сервере — vsSERVERd версии 2.2.4. Кажется, здесь пытались провести аналогию с vsFTPd версии 2.3.4. У этого сервера есть публичный эксплойт, который позволяет выполнить произвольный код на уязвимом сервере.
На основном экране хакера мы видим команду cat и какую-то пародию на сетевой интерфейс (/dev/eth0 или что-то типа). Режиссер пытается показать, что с помощью этой команды хакер подключился к секретному терминалу. Об этом зрителю говорит следующая после команды строка «You accessed…».
Только вот команда cat имеет совершенно другую функциональность — в таком виде она могла бы вывести содержимое файла с именем »173.140.167.1: TopSecTerminal000.dir» из поддиректории dev:
Могла бы, если бы не ключ -a, которого настоящая команда cat не знает:
Далее хакер вводит команду подключения SSH, и это выглядит вполне реалистично. Такой командой можно подключиться по нестандартному порту — 6350 в нашем случае. Обычно SSH находится на порту 22, но чтобы добавить псевдобезопасности, его иногда переносят на другой порт. Это позволяет защититься от массового сканирования стандартных портов сетевых сервисов.
Единственное но: пароль в такой ситуации мы бы не увидели. А еще мы почему-то не увидели результата подключения к серверу и остались там, где были. А дальше снова видим команду cat с несуществующим ключом -a. Но зачем она выполняется, нам не показали.
Правдоподобность: 3/5
«Форсаж 8»: страшный сон владельцев Теслы
Злоумышленникам удалось привести в движение сотни машин — от такси до новеньких электрокаров в салоне. При этом даже не понадобилось подключение к общей сети.
А что в реальности?
Теоретически это возможно, но чтобы добиться такого результата, хакерам бы пришлось провести много исследований и собрать огромную библиотеку уязвимостей по каждой марке, модели и году выпуска всех автомобилей в городе. Возможно, еще пришлось бы купить и протестировать некоторые автомобили, не превратив их в «кирпич» при неудачном анализе безопасности.
Представить себе программу, способную моментально взять под контроль транспорт целого города, сложно. Но единичные случаи были.
В 2009 году исследователи General Motors дистанционно управляли тормозами и двигателями машин.
В 2015 году Чарли Миллер и Крис Валасек дистанционно взломали джип Cherokee — в движущейся машине они включили музыку, кондиционер и дворники, а затем замедлили авто до 10 км/ч.
В 2016 году специалисты Tencent Keen взломали Tesla Model S. Для атаки они проэксплуатировали сложную цепочку уязвимостей, которая позволила скомпрометировать компоненты сети автомобиля и внедрить вредоносные CAN-сообщения. В 2017 году машину снова взломали даже после усовершенствования.
В 2018 году специалисты Tencent Keen продемонстрировали две атаки на автомобили BMW. Первая атака использовала удаленное выполнение кода в BMW ConnectedDrive через перехват HTTP-трафика. Вторая атака эксплуатировала уязвимости TCB через незащищенные SMS.
Правдоподобность: 4/5
Выводы
Давайте подведем итог и сформулируем, почему проникший в массовое сознание образ всесильных хакеров — это не просто безобидный стереотип, а настоящая проблема.
Помните, что такое выученная беспомощность? Ее еще называют «верой в собственное бессилие». Человек, переживший травмирующие события и не сумевший с ними справиться, бессознательно верит, что он не в силах изменить ничего в своей жизни.
Проблема в том, что такие события совсем необязательно переживать лично. В фильмах год за годом эксплуатируют образы непобедимых хакеров в капюшонах. Перед такими «спецами» заведомо опускаются руки — какой смысл забивать себе голову, если хакеры все равно все взломают?
И если на бытовом уровне такое отношение угрожает одному человеку и его семье, на уровне компаний ситуация гораздо опаснее.
Представьте: руководитель ИБ-подразделения приходит к директору утверждать бюджет на год. Директор, убежденный, что хакеры могут взломать что угодно, скептически рассматривает перечень закупок и вычеркивает их одну за другой. Зачем тратить деньги компании на обучение сотрудников и новые системы защиты, если хакеры все равно нас взломают? Лучше застраховать киберриски и выписать премию отделу продаж.
Легендами о хакерах успешно пользуются и сами киберпреступники, когда организуют атаки на компании. Самым эффективным методом взлома все еще остается социальная инженерия, а не взлом через технические уязвимости. Из-за небезопасного поведения взламывают 56% организаций и 83% частных лиц. Поэтому сотрудникам важно не признавать бессилие перед хакерами, а тренировать насмотренность в части фишинга, уметь выявлять атаки и правильно действовать, чтобы предотвратить их.
Научиться распознавать вредоносные действия и проверить знания на практике можно с помощью тренажера противодействия цифровым атакам Start AWR. В нем мы собрали десять практических заданий по актуальным схемам атак на людей и объяснили, что делать с подозрительными письмами.
