За последние 10 дней в рунете произошли сразу несколько крупных утечек информации через поисковые системы. Во всеобщем доступе появились сообщения абонентов сотового оператора «Мегафон», данные пользователей интернет-магазинов, анкеты, которые пользователи заполняли на сайте railwayticket.ru во время покупки электронных железнодорожных билетов, а также приватные фотоальбомы со streamphoto.ru. Публицист из США Михаэль Дорфман прокомментировал корреспонденту ИА REX проблемы компьютерной безопасности.
ИА REX: Насколько часто подобные случаи бывают в США?
Недавно я побывал на представительном корпоративном семинаре, посвящённом хакерам и компьютерной безопасности. Здесь обычно говорят то, о чём СМИ не сообщают. А с помощью СМИ мы и так немало узнаём на эту тему. Например, о том, что хакеры взломали сайт компании «Сони», сайт авиационного гиганта «Локхид-Мартин» (что наделало много шума в профессиональных кругах), сайт Сената США. А хактивисты из Анонимуса взломали даже сайт ЦРУ! Никто не знает, впрочем, действительно ли это организованная группа или отдельные люди, действующие под известным брендом. Анонимус борется за идеи. В знак протеста против преследований активиста ВикиЛики Джулина Ассанджа они «уронили» в прошлом году сайты основных кредитных компаний MasterCard, VISA, PayPal. Ещё есть Lulz Sec – эти, судя по всему, просто прикалываются. Их название происходит от популярной аббревиатуры LOL, которая по-русски передается «ржунемагу». Именно они и объявили о взломе сайтов американского Сената, радиостанции PBS, а совсем недавно и ЦРУ.
ИА REX: Наиболее опасными являются кражи денег с банковских счетов клиентов. Как хакеры крадут наши кредитки?
Легко винить хакеров. Но что делать с организациями, не позаботившимися о безопасности данных? В конце концов, это и наша безопасность. Миллион имён пользователей и паролей с сайта «Сони» мог попасть в руки злоумышленников. Вместе с ними и номера кредитных карточек, имена и другая чувствительная информация. Куда меньше шуму было вокруг взлома маркетинговой фирмы Эпсилон, занимающейся торговлей информацией. Они имеют информацию многих крупных учреждений и крупных фирм.
ИА REX: В знак протеста против преследований активиста ВикиЛики Джулина Ассанджа хакеры "уронили" сайты основных кредитных компаний MasterCard, VISA, PayPal. В чём смысл и цели этих хакерских атак?
Хакеры, кем бы они ни были, ищут известности и получают её. Если бы действовали только хакеры-энтузиасты, то беда была бы небольшой. Помимо хакеров в виртуальном мире действует ещё множество других деятелей, весь криминальный спектр – одиночки, группы, организованная преступность, национальные и международные банды. Да ещё спецслужбы тихой сапою крадут нашу информацию. Никто из них не заинтересован в рекламе. И по большей части, их работа не оставляет следов. Жертвы преступлений тоже не склонны разглагольствовать. Обычно жертва компьютерного взлома объявляет о случившемся лишь тогда, когда взломщики требуют этого.
ИА REX: В молодежной среде деятельность хакеров не вызывает осуждения. Хакеры сейчас в моде?
Прошлось недавно посетить сайт – что-то вроде биржи краденой информации. Очень похоже на E-bay, только наоборот. Фон чёрный, буквы белые. Анонимные торговцы выставляют здесь на продажу номера кредитных карт и другую информацию. У каждого продавца свой рейтинг «порядочности», выраженный количеством звездочек. Перед продажей надо предоставить потенциальному клиенту образец, скажем, десять-двадцать номеров. Их проверяют, и если они работающие, то переводят деньги и получают товар. Если продавец даёт фальшивую информацию, либо продаёт лежалый товар, его рейтинг падает. Специальный алгоритм постоянно определяет рейтинг продавцов. Цена зависит от рейтинга. Покупают информацию здесь оптом, большими блоками, потому что в большинстве случаев засвеченные кредитные карточки быстро блокируют и лишь некоторые из них работают. Специалисты утверждают, что буквально каждая кредитная карточка была взломана, не покидая нашего бумажника. Если не сегодня, то на прошлой неделе, или в прошлом году. Правда, экономический ущерб от этого небольшой. Кредитные компании обычно возвращают украденные деньги. Они в убытке никогда не останутся. Их убытки давно включены в цену, клиенты их уже с лихвой возместили. Знакомая девушка, студентка из Украины, побывала несколько лет назад в США по студенческой программе. Проработала здесь всё лето. Недавно она захотела приехать ещё раз, но с удивлением узнала, что её долг в Америке составляет 18 000 долларов. Она подозревает в мошенничестве посредника-армянина, устраивавшего её на работу, агента в Киеве и даже свою ближайшую подругу. Однако, куда более вероятно, что её кредитную информацию украли криминальные хакеры. Сейчас за 5000 долларов адвокат отмывает её доброе имя, хотя былое восхищение перед жизнью в Америке у неё пропало.
ИА REX: Как в США правоохранительные органы борются с кражами денег с кредитных карт клиентов банков?
Открою маленький грязный секрет правоохранительных органов. Они почти не занимаются индивидуальными случаями, как не занимаются, например, квартирными кражами. Их интересует «большая картина» – тенденции в мире криминальных хакеров, движение денег, новые приёмы. Ещё вопросы ответственности. Не так давно сайт одного крупного американского банка был взломан. В результате клиенты понесли ущерб на сотни тысяч долларов. Они подали в суд на банк, обвинив его в недостаточном обеспечении безопасности. Но суд принял сторону адвокатов банка, доказывавших, что банк не может нести ответственности за то, как преступники распорядились с информацией. Ещё бы! Ведь банкир – культурный герой, который кормит, поит, одевает и защищает американцев. Иное решение означало бы, что суд больше не защищает общественную систему США.
ИА REX: Хакеры при общении в блогосфере утверждают, что они делают для общества доброе дело, разоблачают неряшливость и недобросовестность в охране информации, и общество должно бы их только благодарить. В общем, исполняют роль санитаров интернет-леса. Так ли это? Как говорят на то и щука в пруду, чтоб карась не дремал?
Эксперты компьютерной безопасности в фирмах в этом не уверены. Скажем, если китайские хакеры, возможно, находящиеся на государственной службе, пытаются взломать сайт ЦРУ или другого государственного учреждения, то особой пользы для общества здесь не просматривается. Со своей стороны, эксперты по безопасности получают возможность заявлять, «а мы вам говорили». Скажем, сайт Ситибанка, взломанный хакерами из Lulz, был защищён так плохо, что, по словам эксперта, его могли взломать клиенты детского сада.
ИА REX: Как закладывают интернет-мины и что можно этому противопоставить?
Об этом хорошо написано в книге Ричарда Кларка "Кибер война", которая наделала много шуму. В 2005 году в США было создано Кибер-командование США, ответственное за охрану систем министерства обороны. За охрану гражданских ресурсов отвечает министерство внутренней безопасности. Наиболее уязвимым звеном эксперты считают систему электроснабжения США. Они указывает на угрозу логических мин, заложенных в мирное время. Такие мины способны обесточить противника в случае конфликта. Конкретных примеров таких атак не имеется. Либо их не было, либо не хотят публиковать информацию о них. Однако специалисты по безопасности считают такую угрозу весьма реальной. Мины могут быть задействованы не только противником в случае конфликта, но и в результате различных компьютерных и человеческих ошибок в самой системе, а также в результате хакерской атаки, когда хакеры могут случайно обнаружить такую мину. Интернет-мины могут парализовать жизнь целых регионов. Ричард Кларк, автор нашумевшей книги о пробелах в компьютерной безопасности США, требует общественного обсуждения этой проблемы. Не скупиться он и на критику президентских программ модернизации инфраструктуры. По мнению Кларка программы президента Барака Обамы, вроде «умной электросети», становятся «уязвимой электросетью». В систему модернизации американской электросети, стоимостью миллиарды долларов ради максимализации прибылей и «экономии бюджета» не заложены расходы на её защиту. Наращивание автоматизации и компьютеризации электросети США влечет за собой массовые увольнения. Всё больше уязвимых для атаки точек и узлов могут выйти из-под контроля. Из той же «экономии» в программе не предусмотрены расходы по компьютерной безопасности.
ИА REX: Почему специалисты по компьютерной безопасности сравнивают "Майкрософт" с фаст-фудом?
Мой друг, нью-йоркский программист Йоэль Матвеев, любит говорить, что «винда» – это разновидность попсы и джанк-фуд («мусорной» быстрой еды, вроде известной сети «МакДональдс»). Однако здесь безопасность вступает в мировоззренческий конфликт с официальной американской идеологией свободнорыночной экономики, ведь задача капиталистического производства сделать всё подешевле и с максимальной прибылью. К сожалению, не только «МакДональдс», но и Пентагон руководствуется этой идеологией снижения расходов ради максимизации прибыли. Если Гугл способен сам защищать себя, то многие компании и учреждения, отвечающие за жизненно важные функции американской жизни, часто даже не располагают необходимыми ресурсами. Другие не считают расходы на охрану данных необходимыми. В деловых кругах Америки как догму воспринимают, что «безопасность не продаётся». Этим «крылатым» выражением в Америке руководствуются и тогда, когда отказываются оснащать устройствами безопасности циркулярные пилы и автомобили, и тогда, когда занимаются обеспечением безопасности ядерных электростанций. Делается лишь тот минимум, который необходим по закону, да и то лоббисты Большого бизнеса постоянно стараются смягчить нормы, упирая на «саморегуляцию силами свободного рынка». Американские правительственные ведомства пользуются Microsoft Windows, несмотря на то, что Linux – бесплатный. За многие годы использования «винды» в ней накопилось огромное количество ошибок и уязвимых точек, которые многократно использовались для атак на американские государственные ресурсы в интернете. Из-за своей величины и политического веса, «Майкрософт» крайне не расположен к любым изменениям. «Майкрософт» – это страшно успешная империя, основывающаяся на доминировании на рынке и низкокачественных продуктах, – пишет в своей книге Ричард Кларк. – Годами оперативная система и аппликации «Майкрософт» как вездесущий интернет-браузер навязывались вместе с компьютерами, которые мы покупаем». «Винда» не предназначена для того, чтобы служить платформой важных систем. Проблема заключается в том, что «винда» есть везде «от боевых платформ до сердцевины банковских и финансовых сетей… После всего, ведь они куда дешевле, чем штучно созданные специализированные аппликации». Когда Пентагон покупает массовые продукты программного обеспечения, то вместе с ним он покупает «те же самые баги и уязвимые места, которые существуют и в нашем домашнем компьютере. Ведь за малую часть цены, требующуюся для разработки надежных систем можно купить кучу спикеров и лоббистов». Ричард Кларк призывает подключить к обсуждению компьютерной безопасности широкие слои общественности. Знаменательно, что «Майкрософт» отказывается открыть свои исходные коды даже своим крупнейшим деловым клиентам в США. В то же время «Майкрософт» передал копию этих кодов китайскому правительству. «Оказавшись под угрозой запрета своей продукции в Китае, Билл Гейтс предоставил китайцам копии секретных операционных кодов. Китайцы модифицировали версию и продают внутри страны версию Windows со своими собственными шифровальными кодами». Китайцы также разработали собственную оперативную систему Kylin, ставшей платформой аппликаций Народно-освободительной армии Китая. Кларк бьёт тревогу и по поводу того, что китайцы продают контерфит-копии роутера Cisco по демпинговым ценам. По крайней мере, одна американская компания Syren была уличена в продаже этих роутеров ВВС США, Корпусу морской пехоты и многочисленным подрядчикам оборонной промышленности США.
ИА REX: В США уже есть стратегия кибер-войны?
В США пока не создана эффективная и всеобъемлющая стратегия кибер-войны. В июле 2011 года Пентагон собирается опубликовать свою доктрину обороны. «То, что кажется преимуществом США в сфере компьютеризации, ставит нас под угрозу, куда большую, чем другие нации, – пишет Кларк. – Этот новый вид войны не является плодом нашего воображения. Далёкая от того, чтобы стать альтернативой традиционной войне, кибер-война лишь усиливает опасность конвенциональной войны с взрывами, пулями и ракетами. Если бы мы могли загнать джина назад в бутылку, мы бы это сделали. Но мы не можем». Говард Шмидт, координатор Белого дома по кибер-безопасности, отвечая своим многочисленным критикам, заявил: «Если ты руководитель крупной корпорации, и тебе говорят, что надо лучше защищать информацию и интеллектуальную собственность, а ещё тебе говорят, готовься к кибер-войне, то это не тот язык, на который ты как бизнес-лидер будешь реагировать». Все знают, что, с точки зрения бизнеса, безопасность не имеет ничего общего не только с рентабельностью, но и с эффективностью.
Как сообщало ИА REX, Генпрокуратура 27 июля инициировала проверку соблюдения законодательства в сфере защиты персональных данных и служебной информации госорганов ограниченного доступа.
В Генпрокуратуре отметили, что по результатам проведённого ею мониторинга информации в сети интернет «обнаружились свидетельства об имеющихся нарушениях законодательства в сфере защиты персональных данных». «Установлено, что в свободном доступе через поисковые системы "Яндекс" и "Google" оказались персональные данные покупателей нескольких десятков интернет-магазинов. Кроме того, по данным СМИ, в поисковой системе "Google" были найдены служебные документы ограниченного пользования ряда государственных органов», — сообщили в пресс-службе. В связи с этим Генпрокуратура поручила прокурору Москвы совместно с контролирующими органами проверить данные факты и принять меры прокурорского реагирования.
Напомним, 27 июля в результатах поиска «Google» обнаружились документы, размещённые на официальных сайтах органов государственной власти, некоторые из которых находились под грифом «секретно». Поисковик проиндексировал документы Федеральной антимонопольной службы, Федеральной миграционной службы, Счётной палаты, Минэкономразвития, главного управления специальных программ президента России, высшей аттестационной комиссии Минобрнауки, портала госзакупок, а также документы региональных отделений органов госвласти.
Комментарии читателей (0):