Зашейте «дыры», пока вас не взломали

Как защитить информресурсы своей компании и свои собственные от хакерских атак? Что предпринять бизнесу, чтобы обезопасить свои данные и данные своих клиентов в текущей экономической ситуации? Какие шаги предпринять, чтобы обеспечить стабильную работу корпоративного сайта?

Об этом в рамках прямого эфира Свердловского областного фонда поддержки предпринимателей рассказал Борис Фадичев — ассистент кафедры интеллектуальных информационных технологий Института фундаментального образования УрФУ и создатель курса «Кибербезопасность и противодействие социальной инженерии».

Взломать сайт легко

— Сейчас участились хакерские атаки и сбои в работе сайтов как крупных, так и небольших компаний. Что делать?

— Хакерские атаки происходили и прежде, и даже в больших масштабах. Просто раньше информация о них не попадала в публичную плоскость. Сейчас на фоне общей паники новости о них чаще попадают в открытые источники и СМИ.

Для хакеров, которые профессиональных занимаются нелегитимными действиями, взломать сайт не представляет труда. У нас есть достаточно большой опыт в исследовании киберпреступлений, мы постоянно мониторим этот процесс, в том числе в сотрудничестве с отделом «К» ГУВД, и по своему опыту можем сказать, что очень многие сайты просто «дырявые» в плане защиты. Существует большое количество интерне-ресурсов, которые находятся по мнению их администраторов или владельцев бизнеса в якобы закрытом формате, а на самом деле открыты. Их «вскрывают» с помощью Google dork, то есть используя специальных операторов при работе с поисковой системой как в Яндексе, так и в Google, которые позволяют легко зайти на FTP, в вашу серверную и посмотреть выложенную там документацию.

Как только злоумышленник получил «закрытую», как вы думали, информацию с вашего сайта, подключаются методы социальной инженерии, ведь человек — самое слабое звено, через него проводится более 70-80% атак. Это может быть фишинг — атака через электронное письмо или мессенджер с использованием, казалось бы, безобидных ссылок. Они либо ведут на сайт, где вам предлагают заполнить форму обратной связи и внести свои персональные данные, которые уходят затем злоумышленнику. Либо происходит интеграция какого-то вредоносного программного обеспечения на компьютер пользователя.

Письмо может прийти с подменой отравителя — якобы от одного из сотрудников вашей компании. Ведь в открытых источниках достаточно просто найти электронные адреса и телефоны сотрудников.

Так, например, выглядит быстрореализуемая атака: ваш сотрудник открывает электронное письмо, пришедшее якобы от бухгалтера с просьбой предоставить по ссылке или в скаченном документе необходимую информацию для начисления премий. Чаще всего «инфицируют» стандартные документы Microsoft Office (Word, Excel), а также PDF. Из скаченного документа происходит установка вредоносного программного обеспечения. К примеру, вирусов-шифровальщиков, которые сегодня наиболее распространены. Они шифруют все ваши документы в сети и не позволяют вам оперативно работать пока вы не заплатите злоумышленнику деньги. Либо идет установка трояна, который интегрируется в сеть компании, позволяя хакеру удаленно наблюдать за всем, что у вас происходит и творить в вашей компании любые чудеса — начиная от кражи бухгалтерской документации.

Причем, среднее время от момента, когда был атакован какой-то средний или крупный бизнес, до обнаружения атаки — почти полгода! Это подтвержденная статистика.

Последний пример — Wildberries. Официальное заявление компании говорит о том, что все у них нормально. Но есть специальные форумы, в том числе в Telegram, в Darknet, в которых есть доказательства, что на самом деле в результате атаки на этот бизнес были выгружены достаточно большие базы данных, говорят о 100 тыс. банковских карт. Информация не подтверждена на 100%, но об этом стоит говорить и это стоит обсуждать. Тот же СДЕК предупреждал своих клиентов о том, что им лучше заменить карту. Конечно это крупный бизнес и крупная компания. Но принцип один.

— Почему так происходит?

— Мы проводим аудиты и видим, что в компаниях очень часто попросту не используют такие инструменты киберзащиты, как экранирование, файерволы. Так, в 2021 году из двенадцати проверенных нами компаний малого и среднего бизнеса только одна имела высокий процент защищенности своих информресурсов и высокий уровень грамотности того персонала, который занимается именно киберзащитой.

— Как защитить себя и своих клиентов малому, среднему бизнесу? С чего начать?

— С малого. Защита сайтов малого и среднего бизнеса происходит на уровне программного обеспечения и провайдеров, услугами которых пользуются предприниматели. Первое — поддерживать версионность программного обеспечения, регулярно обновлять все, что касается информационных систем и серверного программного обеспечения. Если вы на каких-то критических узлах, например, компьютер, к которому есть удаленный доступ внешнего персонала, используете Windows 7, то нужно понимать, что данная операционная система очень уязвима, так как не поддерживает обновления. Значит здесь как минимум нужно установить антивирусное программное обеспечение, и оно должно централизованно администрироваться. Например, если говорить про крупную компанию, то в среднем около 40% ее сотрудников могут самостоятельно управлять настройками антивирусника. Так нельзя. Управление должно быть централизованно — с помощью администраторов. Иначе вы просто машинально отключите антивирусник, который не пускает вас на нужный, как вам кажется, сайт и нахватаете оттуда проблем. Это второе.

Третье — не игнорировать услуги вашего провайдера по мониторингу атак на ваш информресурс. Нужно постоянно обновлять систему управления сайтом, потому что хакеры непрестанно следят за различными «дырами», которые публикуются на всевозможных форумах. Нужно регулярно мониторить, администрировать этот процесс и уделить этому большое внимание.

Если вы будете выполнять хотя бы эти три не сложных правила, то снизите риск проникновения и атаки злоумышленника в разы и решите большую часть проблем, так как малый и средней бизнес не так сильно подвержен кибератакам, как крупный. Но многие не делают даже этого!

Осенью 2021 года мы проводили с коллегой исследование и выявили около 230 компаний, у которых достаточно большие проблемы с обновлением программного обеспечения, открытый доступ к удаленному рабочему столу и в том числе к объектам критической инфраструктуры.

— У знакомого в 2020 году взломали сервер с помощью вируса через удаленный рабочий стол — антивирус не помог.

— Здесь несколько вопросов. Во-первых, обновлялся ли антивирус. Второе, был ли настроен файервол. Третье, когда включается функция удаленного рабочего стола, антивирусники по умолчанию ее не блокируют. И если вы запустили систему, например, из дома, то злоумышленнику нужно только понять, через какой порт можно зайти к вам на удаленный рабочий стол, а затем просто запустить перебор паролей. По статистике, из более чем 40 млн паролей самые популярные у пользователей — это 12345, имя кошки или что-то подобное. Поэтому пароль должен быть не менее 9-12 символов. В этом случае подобрать его будет гораздо сложнее и меньше вероятности, что вас взломают. Считается, что пароль свыше 20 символов вообще нельзя подобрать.

— То есть «удаленка» — самое слабое звено?

— Мы начали создавать курс по информбезопасности для бизнеса еще в 2020 году, когда появилось большое количество пользователей, ушедших на «удаленку», а это обширный канал для деятельности хакеров-злоумышленников.

Работа администратора компании в случае удаленки подорвана, так как он не может следить за тем, какие настройки ноутбука вы изменяете. Можно, конечно, регламентировать этот процесс и выдавать сотрудникам рабочие ноутбуки. Это позволит вести мониторинг настроек и вовремя пресекать ошибки. Но многие этот момент игнорируют и домашний компьютер может стать слабым местом для атаки.

Письмо, которого не ждали

— На что сегодня обратить внимание предпринимателям?

— На фишинг — фишинговые атаки сейчас выросли на порядок. Приходят они с совершенно разных ресурсов и направлений: подделка писем, шаблонов документов от налоговой, с подделкой адреса отправителя, что не так сложно сделать через различные сервисы почтовых рассылок. Хорошо распознает такие сообщения почта на Яндексе, но иногда и через него проскакивает, хуже Google распознает, что удивительно, в Mail.ru вообще подобные письма приходят в общую почтовую ветку, этот сервис даже не пытается сортировать их в папку «Спам».

Фишинг сегодня стал качественный — письма приходят от мнимых госресурсов и коллег. Компании сегодня достаточно часто подвергаются атакам именно социальных инженеров, так как в открытом доступе полно документов, в которых указаны электронные адреса, телефоны, ФИО сотрудников, филиалы и где они сидят. С помощью такой информации легко провести DDoS-атаку на компанию и ее руководителя, отправляя письма между сотрудниками. И если вы не тратите средства на информационную безопасность сегодня, потом расплачиваться придется гораздо больше.

— Спасает ли от фишинга обычный антивирус?

— Да, конечно. Тот же «Касперский» видит фишинговые ссылки и оповещает о них. Самое главное обращать на структуру письма. Есть так называемый персональный фишинг, который нацелен на то, чтобы персонально испортить настроение руководителю компании. Такая атака прорабатывается более тщательно — может прийти письмо от липового Сбербанка или Росгостраха на действующем шаблоне, который полностью поддерживает все фирменные стили компании в данный момент. Есть примеры, когда использовался массовый фишинг с рассылкой писем якобы от сайта Госуслуг, шаблон которого было практически не отличить от официального. Смотрите на адреса, по которым вам предлагают перейти, даже если это гиперссылка из текста. Мы нашли более сотни различных IP-адресов, которые пытаются быть похожими на Госуслуги, в том числе с использованием разных доменных зон. Просто есть достаточно большой процент людей, которые не обращают никакого внимания на такие нюансы. Это категория людей «60+», которые плохо работают с компьютером. Но и молодежь достаточно часто попадается на эту удочку. Незначительное изменение доменного имени — и вот вы уже регистрируете ваши данные на странице подставного сайта.

— Через сообщения в виде файлов и картинок в мессенджерах возможно заражение вирусами?

— Конечно! Во-первых, если говорить про мессенджеры, то есть специальные называемые сервисы фингерпринтинг: когда вы переходите по ссылке или открываете изображение, делается слепок вашей системы — какое программное обеспечение у вас установлено, какая операционная система, какой браузер. И если оно не обновлено либо используются старые версии, под него сразу же подбирается пакет эксплойтов, которые используют уязвимости вашей системы. С ними атака будет производится намного проще. Также с их помощью можно найти координаты человека. До сих пор, в частности, не устранена проблема WhatsApp, когда ссылка или картинка загружается в систему автоматически — вам даже открывать ее не нужно, о вас уже получают всю необходимую информацию. В других мессенджерах такого нет.

И еще один момент — крупные маркетплейсы, вроде LaModa и Wildberries, не делают рассылки в мессенджерах никогда. Они информируют своих клиентов либо через сайт, либо через приложение. Все остальное — на 99,999% фишинг.

Менять ли ПО

— Часто при попытке зайти на сайт госоргана появляется сообщение «Подключение не защищено». Не заходить на него или сменить браузер?

— Скорее всего вы можете зайти на этот ресурс, но он не так защищен, как сайты, имеющие более защищенный протокол «https». Действительно, очень большое количество сайтов государственных структур в России сегодня не имеют SSL-сертификатов. Даже ФСБ.

— Нужны ли какие-то дополнительные меры безопасности среднему и малому бизнесу? Может быть пользоваться одновременно услугами двух провайдеров, заводить по три сервера для большей надежности, для создания резерва?

— Резервное копирование может делать и один провайдер, этого достаточно, главное обговорить с ним, что вам это нужно — эта услуга как правило или входит в пакет или предоставляется дополнительно. Но если атака или неполадки происходят непосредственно у провайдера, то от этого, к сожалению, никто уже не застрахован.

— Какие есть альтернативы корпоративному программному обеспечению, которое попало или может попасть под запрет из-за западных санкций в отношении России?

— Да, ушли крупные игроки, такие как SAP. Но они не остановили обновление ПО, насколько я знаю. Если обновления будут приостановлены, это будет уже похоже на международный терроризм, так как в этом случае будет остановлено обновление ПО объектов критической инфраструктуры — больниц, атомных электростанций, например. На такой шаг точно никто не пойдет. И я в принципе не верю, что история с блокировкой программного обеспечения, в том числе такого распространенного как Oracle и Microsoft, будет длиться долго. Они не пойдут на такой шаг. Это скорее эмоциональная история.

Но замена им есть. В качестве альтернативы Oracle можно использовать MySQL, MongoDB. Что касается документооборота, в России полно для этого программных продуктов. Например, Битрикс24. У «1С» также много продуктов, которые можно использовать для этих целей. Я уже не говорю о свободно распространяемых ПО.

— Что вы советуете тем, у кого в компании установлен Microsoft?

— Подождать. Во-первых, обновите программное обеспечение. Во-вторых, потратьте деньги на обычную лицензию антивирусника, стоит она около 2 тыс. рублей в год. Так мониторить рынок вирусов, как разработчики антивирусных программ, вы не сможете. Таким образом вы хоть как-то себя обезопасите, если какое-то время не сможете обновлять операционную систему.

— На что заменить операционную систему Windows, какой вариант лучше?

— На уровне ядра вы можете использовать Mac, Windows, который сейчас немного под санкциями или открытое программное обеспечение Linux. Там громадное количество дистрибутивов. Наиболее подходящее для обычного пользователя можно посоветовать Ubuntu. Но перевести компанию на Linux очень сложно, болезненно и не быстро. Хотя я знаю несколько бизнесов, которые уже несколько лет полностью работают на ней. Но текущая ситуация — очень хороший толчок для российской IT-отрасли. Для того, чтобы не допустить такого прецедента в будущем, думаю, что у нас появятся в скором времени программные продукты на более качественном уровне.

— Что с использованием пиратских версий программного обеспечения, о котором в последнее время говорят все чаще?

— Я не понимаю, зачем это делать. На рынке достаточно альтернативных ПО, совершенно легальных, продвинутых и не дорогих, которыми можно спокойно пользоваться. Используя неофициальное и взломные программы и операционные системы, вы ставите себя под удар. Вы думаете они просто так распространяются? Туда часто зашиваются какие-то вредоносные строчки, которые будут либо забирать ваши данные, либо каким-то образом дискредитировать вашу операционную систему. Вот и всё. Я еще раз повторюсь — не думаю, что ситуация с блокировкой импортных продуктов будет длиться долго. Это все сделано было скорее на эмоциях, ведь это очень большой рынок. И те, кто вроде бы захотел ограничить использование своего программного обеспечения, сегодня начинают потихоньку откатывать свои решения обратно.

— Сервисы VPN все-таки безопасны или нет?

— Это тонкая грань — советовать то, что сегодня законодательно ограничивается. У «Касперского» есть абсолютно официальный vpn-сервис. Можно использовать что-то еще, но опять же на свой страх и риск.

— Что делать с работой в запрещенных соцсетях?

— Если вы на какое-то время решили заморозить отношения с запрещенными Роскомнадзором соцсетями, советую поменять там пароли, используя как минимум 12 символов. Это существенно защитит ваш аккаунт от взломов, потому что, если вы месяц не будете туда заходить, вас могут использовать для той же агрессивной пропаганды или как-то дискредитировать ваш аккаунт в глазах ваших друзей или спецслужб, а вы даже знать об этом не будете.

Посмотреть видеозапись эфира с экспертом можно на сайте СОФПП по ссылке.