Исследователи кибербезопасности сталкиваются с реальными угрозами

Man

Professional
Messages
2,965
Reaction score
488
Points
83
Расследования как киберпреступников, так и государственных субъектов могут иметь последствия. Некоторые исследователи улучшили свою физическую безопасность.

Исследователи кибербезопасности усердно работают над тем, чтобы цифровой мир был в безопасности, но время от времени их собственная физическая безопасность оказывается под угрозой. Любой, кто работает в этой области достаточно долго, сталкивался с историями о том, как специалисты по информационной безопасности получали угрозы или сами сталкивались с инцидентами.
Эксперт по безопасности, пожелавший остаться анонимным, чтобы защитить свою семью, говорит, что «несколько человек, занимающихся киберпреступностью, получили угрозы смерти» за последние несколько лет, и некоторые из них даже решили скрыться или заняться другими делами. Они не хотят подвергать своих близких риску, «потому что папа — исследователь в области безопасности и привлекает плохих парней», — говорит он.

В Twitter и на конференциях по информационной безопасности исследователи делятся инцидентами и говорят о способах защиты себя в таких ситуациях. Они говорят, что вызов полиции или ФБР вряд ли поможет. «Я хочу сказать вам, чтобы вы связались с федеральными правоохранительными органами, я хочу сказать вам, чтобы вы связались с местным полицейским управлением, но из того, что я видел, это ничего не дает», — говорит эксперт по безопасности Мэтт Смит из Citadel Lock Tools. «Могут потребоваться месяцы, чтобы арестовать человека за один инцидент, не говоря уже о том, чтобы этот человек находился на свободе довольно долго».

В то время как некоторые исследователи носят эти угрозы как знак чести, большинство из них делают все возможное, чтобы оставаться в безопасности. Они минимизируют свой цифровой след, проверяют биографию каждого неизвестного человека, который обращается к ним через социальные сети, используют почтовые ящики вместо адресов и воздерживаются от публикации в сети чего-либо, что могло бы связать их с их семьями.

С недавним ростом числа программ-вымогателей и эскалацией геополитической напряженности между Россией, Китаем, Северной Кореей и НАТО работа по крайней мере некоторых специалистов по информационной безопасности становится опасной. «Я не знаю, стало ли хуже, но могу сказать, что лучше не стало», — говорит Ронни Токазовски, главный советник по угрозам в Cofense.

Растущая угроза исследователям со стороны группировок, занимающихся вымогательством​

Киберпреступные группировки переживают потрясающий год. Количество атак с использованием программ-вымогателей достигло рекордно высокого уровня, а средний размер выплат превысил $900 000. Более того, робкое сотрудничество между США и Россией по борьбе с этим явлением, похоже, прекратилось после того, как Россия вторглась в Украину, а Запад ответил санкциями. Несколько недель назад дело против предполагаемых членов хакерской группировки REvil «зашло в тупик», сообщает российская газета «Коммерсант».

«Многие из этих группировок, занимающихся программами-вымогателями, живут с чувством безнаказанности», — говорит Аллан Лиска, аналитик разведки Recorded Future. «Пока они не покидают Россию, за все их плохие поступки буквально не будет никаких последствий. Поэтому они могут быть смелее и наглее и иметь прикрытие в виде Кремля, который их защищает».
Как выразился Лиска, такая защита позволила бандам делать «довольно жестокие вещи» с экспертами по безопасности на протяжении многих лет. Хотя он лично не получал прямых угроз, он слышал о таких инцидентах, особенно когда специалисты по информационной безопасности общались с преступниками на личном уровне. «Я знаю, что по крайней мере в одном случае группа вымогателей угрожала ребенку исследователя», — говорит он.

Были ситуации, когда киберпреступники узнавали, где живут эксперты по безопасности, и собирали информацию о каждом члене семьи. Затем они размещали эту информацию на подпольных форумах, приглашая других людей из своего сообщества атаковать их.

Лиска отмечает, что банды, как правило, работают вместе и обмениваются информацией больше, чем несколько лет назад. «У них есть сайты для вымогательства; они могут не только размещать информацию о жертвах, но и выплескивать все, что у них на уме», — добавляет он.

В последние месяцы киберпреступники также стали более агрессивными, что может иметь последствия для безопасности исследователей. Одним из примеров является группа Conti, которая атаковала десятки организаций в Коста-Рике и вынудила президента Родриго Чавеса объявить чрезвычайное положение в стране. Хакеры заявили, что их цель — свержение правительства, что является необычной целью для банды вымогателей.

Эта беспрецедентная атака «знаменует собой новую эскалацию активности программ-вымогателей», — говорит Лорен Забиерек, исполнительный директор киберпроекта в Центре Белфера Гарвардской школы Кеннеди. «Если они поймут, что могут держать в заложниках целую страну и безнаказанно вымогать выкуп, это сделает среду более допустимой».

Для Лиски подобные инциденты доказывают, что границы между группами вымогателей и субъектами национальных государств становятся все более размытыми. Тем не менее, субъекты национальных государств гораздо более изобретательны, в том числе когда нацеливаются на исследователей безопасности, и их угрозы могут быть более тонкими. Например, были случаи, когда эксперты, которые ездили на конференции, проверяли свои комнаты или получали небольшие подарки с предложением прекратить свои расследования.

Лица, работающие на государственные структуры, также нацеливаются на специалистов по информационной безопасности в LinkedIn, Twitter, Telegram, Keybase, Discord, по электронной почте или на других каналах, иногда заявляя, что хотят предложить им работу консультантов или сотрудничать с ними в исследовании уязвимостей.

В январе 2021 года группа анализа угроз Google обнаружила, что северокорейские хакеры выдавали себя за блогеров по кибербезопасности и отправляли проект Visual Studio экспертам по безопасности. «В проекте Visual Studio будет… дополнительная DLL, которая будет выполняться через события сборки Visual Studio», — написал Адам Вайдеманн в блоге Google. «DLL — это вредоносное ПО, которое немедленно начнет взаимодействовать с контролируемыми субъектом доменами C2». Вайдеманн и его коллеги также обнаружили, что несколько исследователей были скомпрометированы после перехода по ссылке, отправленной этими северокорейскими хакерами.

«Если вы обеспокоены тем, что вас преследуют, мы рекомендуем вам разбить свою исследовательскую деятельность на отдельные физические или виртуальные машины для общего просмотра веб-страниц, взаимодействия с другими членами исследовательского сообщества, приема файлов от третьих лиц и собственных исследований в области безопасности», — написал Вайдеманн.
На этом история не закончилась. В ноябре 2021 года Google объявила, что северокорейские хакеры также выдавали себя за рекрутеров в Samsung, рассылая PDF-файлы с подробным описанием вакансий, а на самом деле они хотели установить бэкдор-троян на компьютеры исследователей.

Охота на жуков и получение юридических угроз​

Угрозы не ограничиваются профессионалами в области информационной безопасности, расследующими спонсируемые государством группы или банды вымогателей. Охотники за ошибками и эксперты по физической безопасности также могут стать мишенью, иногда со стороны тех же организаций, которым они пытаются помочь. Это случалось со взломщиком Мэттом Смитом пару раз. «В первый раз я работал над замком самостоятельно, и компания узнала об этом», — говорит он. «Они приложили все усилия, чтобы попытаться найти меня и подать на меня в суд, в том числе угрожая повесткой на онлайн-форум, чтобы он выдал мой IP-адрес».

Однако во второй раз все было гораздо хуже. Смит получил физическую угрозу. «Я работал над Abloy Protec II, и один из их американских дилеров очень разозлился, что его самый надежный замок мог оказаться уязвимым», — вспоминает он. «Поэтому он начал присылать мне оскорбительные электронные письма, требуя, чтобы я рассказал ему, что я делаю. Когда я не ответил ему теми ответами, которые он хотел, он пригрозил, что «разберется со мной» и «его не волновало, сколько это будет стоить»».
Некоторые из писем, которые получал Смит, были особенно жестокими. «Он присылал мне скриншоты моего лица из онлайн-выступлений и фотографии из Google Earth улицы, где, как он думал, я живу. Это было неправильно, но достаточно близко, чтобы вызывать беспокойство», — говорит он. Смит так и не ответил этому человеку и сменил адрес электронной почты.

Охотники за ошибками также должны научиться ориентироваться в угрозах. «Хотя реакции, которые вы получаете, обычно неприятны, чем дольше вы работаете в этой отрасли, тем больше вы к ним привыкаете», — говорит Том Ван де Виле, главный исследователь технологий и угроз в WithSecure. Работа в этой области сделала его «более осторожным», а также научила его «быть лучше подготовленным к выслеживанию и обнаружению еще более серьезных проблем, какой язык использовать с учетом целевой группы» и как согласовывать свои ожидания с компанией, с которой он имеет дело.

Часто охотники за ошибками запугиваются организациями, которые угрожают подать на них в суд. Один из способов обойти это — составить подробные отчеты. При описании последствий уязвимости исследователи должны начать с технического риска, затем перевести его в бизнес-риск и добавить, на кого она может повлиять. Ван де Виле говорит, что исследователи должны также показать, что в процессе не были нарушены никакие законы.

«Прежде всего: убедитесь, что вы можете предложить различные пути смягчения и рекомендации по исправлению того, что вы обнаружили», — добавляет Ван де Виле. «Легко закончить официальный документ или отчет словами «исправьте это» и прибегнуть к возмущению как услуге в социальных сетях. Лучше подумать вместе с компанией, которая пострадала, о том, как они могут смягчить удар прямо сейчас в краткосрочной перспективе, одновременно думая о более долгосрочных решениях, как снизить риск до несущественного».

Защита исследовательской группы по безопасности​

Работа в сфере кибербезопасности часто подразумевает определенные риски. «Это природа зверя или природа труда», как говорит Токазовски из Cofense. Некоторым экспертам по безопасности приходится балансировать на грани между защитой своих семей и публикацией исследований под своим именем. Вот почему компании, выполняющие деликатную работу, например, отслеживающие террористические организации, могут решить не включать имена исследователей в публикуемые ими отчеты.

Исследователи безопасности стараются учиться друг у друга и постоянно совершенствовать свою защиту. Однако, если смотреть реалистично, они мало что могут сделать. «Это сложно, потому что для отдельных лиц, похоже, нет особого выхода, кроме как обратиться в полицию или ФБР, чтобы сообщить о преступлении», — говорит Забиерек из Гарвардской школы Кеннеди. «Существуют такие группы, как Cybercrime Support Network, которые нацелены на помощь отдельным жертвам киберпреступности, и было бы здорово, если бы они могли получить институциональную поддержку для масштабирования своей деятельности, чтобы помогать людям по всей территории США».

Компании, которые хотят сделать это для защиты своих сотрудников, должны постоянно следить за тем, чтобы их внутренние методы безопасности были актуальными. Они также должны планировать худшие сценарии, имея процедуры на случай, если один из их сотрудников станет мишенью.

Они должны основываться на нескольких моделях угроз, принимая во внимание работу каждой внутренней команды. Команды могут получать контрольные списки для таких ситуаций, в которых перечислены действия, которые нужно и не нужно делать, и люди, которым нужно позвонить. Конечно, эти процедуры должны время от времени пересматриваться и тестироваться, когда это возможно.

Обеспечение безопасности домов и офисов​

Профессионалы в области информационной безопасности хорошо разбираются в цифровой безопасности и своем оборудовании. Некоторые из них идут дальше и избегают публикации личной информации в сети. Другие, как Смит, публикуют только фейковую информацию в своих профилях в социальных сетях. «Вам нужно убедиться, что вы принимаете все необходимые меры предосторожности, чтобы защитить свой дом и свою семью», — говорит Лиска.

Помимо сетевой безопасности, специалисты по информационной безопасности также должны уделять внимание физической безопасности. Смит предлагает иметь несколько колец безопасности: заборы, стены, прочные двери и даже запирающиеся изнутри двери. «Я использую замки, которые не могу взломать силой/отмычкой, двери, которые не могу обойти, и ключи, которые трудно скопировать», — говорит он. «Даже если кто-то может получить доступ к моим ключам, заготовки ограничены, поэтому их сложнее скопировать». Среди замков, которые он рекомендует, — ASSA Twin, EVVA MCS и Abloy Protec II, которые он считает самыми надежными. Тем не менее, даже их можно взломать. «Но если ваш противник способен открыть их без ключа, то у вас большие проблемы», — говорит он.

Сама дверь тоже должна быть прочной. Она должна иметь прочную раму без щелей внизу или скругленных краев, чтобы предотвратить попадание вещей внутрь дома. «Петли на двери — слабое место, поэтому лучше всего иметь их внутри», — добавляет Смит. Исследователь также рекомендует использовать внешний почтовый ящик вместо щели для почты, встроенной в дверь, поскольку это может дать злоумышленнику доступ к задней части двери.

В дополнение к прочной многоточечной запирающейся двери дома и офисы также должны использовать видеонаблюдение. «Убедитесь, что оно проводное, а не беспроводное, потому что глушение или просто отправка пакетов деаутентификации на устройства может остановить их работу», — говорит Смит. «То же самое и с системами сигнализации. Проводные, всегда. Датчики сигнализации должны быть правильно установлены, потому что многие компании, занимающиеся сигнализацией, оставляют слепые зоны».

По словам исследователя, проводка для видеонаблюдения и сигнализации должна быть недоступна снаружи, а блок записи видеонаблюдения должен делать резервную копию всего в облаке. «Если возможно, предоставьте доступ к видеонаблюдению более чем одному человеку, чтобы обеспечить избыточность в случае инцидента», — говорит Смит. Лучшие системы периодически проверяют связь и подают сигнал тревоги, если связь выходит из строя.

Еще несколько вещей, которые следует учесть: обратите внимание на освещение безопасности, которое должно управляться датчиками. Используйте почтовый ящик, чтобы ваш адрес было сложнее отследить, меняйте время выхода из дома, чтобы ваши движения были менее предсказуемыми, и будьте вежливы с соседями, чтобы они предупреждали вас, если кто-то входит в ваш дом.

Насколько далеко должен зайти исследователь, чтобы защитить свой дом, зависит от его работы и уровня риска, который он может себе позволить. «Каждый должен оценивать свой собственный риск и принимать соответствующие меры предосторожности», — говорит Лиска.

Тем не менее, необходимо сделать больше для поддержки специалистов по информационной безопасности и позволить им продолжать свою работу. Они «должны быть уверены, что правительство может помочь им защититься или помочь им оправиться от этих угроз», — говорит Заберек.

Источник
 
Top