Дайджест событий ИТ-безопасности
Кража личности ближе, чем представляется
Вирусописатели и хакеры становятся все более организованными
В статье рассматриваются наиболее серьезные инциденты в области ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Так, американские спецслужбы заявили, что основные игроки международного рынка приватных данных находятся сегодня в России и СНГ, а МВД не в силах им помешать. Тем не менее милиция рапортует о поимке вологодского хакера, которого за взлом баз данных «МегаФона» и МТС суд приговорил к штрафу в 30 тыс. руб. Наказание необычайно мягкое: за менее тяжкое преступление американка получила 10 лет тюрьмы и штраф в 250 тыс. долл. Между тем власти Японии ищут инсайдера, который скачал приватные данные клиентов NTT Data и с их помощью похитил 250 тыс. долл. со счетов клиентов. Еще одна опасность исходит от вирусописателей, которые выбрасывают в Интернет по 2 тыс. новых вредителей ежедневно. Одному такому преступнику удалось за три дня заработать с помощью своего троянца 100 тыс. евро.
Кража личности ближе, чем представляется
Задумывался ли уважаемый читатель, зачем современным преступникам нужны приватные данные граждан? За ними охотятся инсайдеры, программы-шпионы, хакеры и многие другие криминальные элементы или их автоматические помощники. На самом деле чужие персональные сведения нужны преступникам для того, чтобы совершить кражу личности. Другими словами, с помощью приватных данных злоумышленник может убедить третью сторону (чаще всего банк, кредитную или страховую фирму) в том, что он является ее полноправным клиентом и, следовательно, может распоряжаться финансовыми счетами, брать кредиты и т.п.
Тем не менее истории об американцах и европейцах, в одночасье потерявших десятки и сотни тысяч долларов в результате кражи личности, выглядят далекими от российской действительности. Возникает ощущение, что все эти проблемы коснутся нашей страны очень и очень нескоро, а пока мы можем лишь со стороны наблюдать за рождением электронного банкинга и за ростом популярности кредитных карт. Получается, что и приватные данные в России никому не нужны. Однако последнее заявление американских спецслужб заставляет думать, что кража личности ближе, чем мы думаем.
Оказывается, международный черный рынок приватных данных контролируется преступниками из России и стран СНГ. Так, на сайте Forum.TheftServices.com бывший студент питерского вуза организовал самый настоящий супермаркет персональной информации. Наравне с другими продавцами он предлагает номера кредитных карт, карт социального страхования и т.п. Как отмечают эксперты InfoWatch, на черном рынке действует самая настоящая конкуренция. Например, все тот же бывший студент пытается закрепиться в сознании покупателей следующей фразой: «Мои цены ниже, и я достаю информацию быстрее».
Однако это лишь верхушка айсберга. Секретная служба США утверждает, что наши соотечественники вербуют молодежь в Америке и Британии, объясняют, как надо красть и продавать приватные данные, а потом забирают большую часть прибыли. Именно этих неоперившихся хакеров удается ловить спецслужбам США и Интерполу, в то время как истинные руководители криминальных сообществ находятся на территории России и стран СНГ. Американские правоохранительные органы уже пытались добиться сотрудничества с российскими коллегами, но безрезультатно. Хотя отечественных следователей вряд ли в чем-то можно обвинить. Ведь чем они могут помочь, если перегружены делами о коррупции и организованной преступности, и вдобавок в глаза не видели кредитную карточку?
Правда, одного хакера из Вологодской области нашей милиции все-таки удалось обезвредить. Он, конечно, с международным преступным сообществом не связан, но и в своем родном Череповце бед натворил немало.
Антон Вишняков взломал базы операторов мобильной связи «МегаФон» и МТС, получил нелегальный доступ к приватным сведениям абонентов (номера мобильных телефонов с указанием места жительства и паспортных данных граждан), использовал чужие реквизиты для доступа в Интернет и т.п. Обвинению удалось доказать более 20 проникновений на чужие серверы, причем сами фирмы в это время были лишены возможности пользоваться Интернетом. В результате суд квалифицировал действия Антона Вишнякова по статьям «Незаконное получение и разглашение сведений, составляющих компьютерную, налоговую или иную банковскую тайну», «Неправомерный доступ к компьютерной информации», «Причинение имущественного ущерба путем обмана или злоупотребления доверием» и приговорил молодого человека к штрафу в размере 30 тыс. руб. с конфискацией компьютера (Подробнее: http://genproc.gov.ru/ru/news/news_current_print.shtml?2006/03/3653_print.html) .
По мнению экспертов InfoWatch, прокуратуре еще очень повезло, что телекоммуникационные компании типа «МегаФона» и МТС так серьезно относятся к проблеме безопасности. В частности, все приватные сведения абонентов были оформлены внутренними документами, как коммерческая тайна операторов сотовой связи. Если бы этой нормативной базы не было, то в отсутствие закона «О приватных данных» подсудимый мог отделаться штрафом в 2-3 тыс. руб. и спокойно вернуться к своему криминальному ремеслу.
Однако даже наложенный судом штраф в 30 тыс. руб. с учетом доказанных пунктов обвинения является очень мягким наказанием. Для сравнения можно рассмотреть недавний инцидент, в результате которого ФБР удалось поймать с поличным женщину-инсайдера, которая работала в госпитале и пыталась продать приватные медицинские сведения одного из пациентов. Роль покупателя сыграл осведомитель ФБР, предложивший 500 долл. за медицинскую карту нужного больного. Работница госпиталя согласилась и была арестована по завершении сделки. Суд приговорил ее к максимальному наказанию — 10 лет тюрьмы и 250 тыс. долл. штрафа (Подробнее: http://www.infowatch.ru/threats?chapter=150685169&id=182608214). Отметим, что здесь преступница не взламывала базы или серверы и не крала десятки тысяч приватных данных. Она попыталась продать медицинскую карту всего лишь одного пациента госпиталя.
Как бы то ни было, но наибольшие проблемы с компьютерными преступлениями в целом и кражей личности в частности сегодня, судя по всему, испытывают граждане Южной Кореи. Их приватные сведения настолько доступны, что некоторые корейские сайты предлагают бесплатно скачать базу данных, содержащую персональные сведения миллионов корейцев. Туда входят и гражданские идентификационные номера (аналог американских номеров социального страхования), необходимые для открытия счета и получения кредитной карты на чужое имя. Аналитический центр InfoWatch отмечает еще один показатель общедоступности приватных данных граждан Кореи — стоимость этой информации на черном рынке за последний год снизились в 100 раз.
Откуда взялись такие гигантские объемы персональных сведений в свободном доступе? Недавно полиция дала ответ на этот вопрос: провайдерами услуг Интернета (а в Корее высокоскоростным соединением пользуется практически каждая семья) собраны огромные базы приватных данных, к которым имеют свободный доступ инсайдеры, просто записавшие данные на компакт-диски, а потом продававшие фирмам, занимающимся электронным маркетингом. У одного из таких инсайдеров при аресте обнаружили болванку с приватными сведениями 7,71 млн. граждан. По оценкам экспертов InfoWatch, сегодня каждый гражданин Южной Кореи, имеющий кредитную карту или широкополосный доступ в Интернет, находится под угрозой кражи личности.
 |
|
Вирусописатели и хакеры становятся все более организованными
На только что прошедшей в Москве первой конференции «Информационная безопасность в современных условиях» ведущие эксперты рассказали очень много интересных историй. Прежде всего специалисты в один голос заявили, что каждый месяц в Интернете появляется около 50 тыс. новых вирусов. Другими словами, «плохие парни пекут их, как пирожки, — по 2 тыс. в день». Так, пока Евгений Касперский открывал конференцию, иллюстрируя примерами и образами свою «занимательную вирусологию», криминалитет успел выпустить на просторы Глобальной сети более 100 новых вирусов. Ведущий российский эксперт отметил, что компьютерные преступники подросли и стали изощреннее. Денежный эквивалент хакерской работы — прекрасная тому мотивация.
Согласно рассказу Евгения Касперского, некий итальянский хакер за три дня заработал более 100 тыс. евро. Арестованный ныне «комбинатор» зарегистрировал компанию на далеких кокосовых островах, «повесив» на нее платный номер, а после написал троянца. Машины, которые стали жертвой этого вредителя, как раз и «назвонили» за три дня эти 100 тыс. евро.
На возросшую организованность хакерского сообщества на Конгрессе по электронной преступности, прошедшем в Лондоне, указал директор по исследованиям SANS. Он также заявил, что нередки случаи, когда криминальные элементы, далекие от мира высоких технологий, заставляют хакеров совершать атаки на web-сайты, взламывать серверы и красть оттуда информацию под угрозой причинения вреда членам их семей.
Таким образом, преступный мир в Интернете изменился. Уголовники не только угрожают физической расправой с родственниками хакеров, но даже «заставляют их покидать семьи, чтобы они занимались своим ремеслом в пользу преступников». Другими словами, преступники похищают хакеров и эксплуатируют их в качестве рабов. Более того, эта деятельность приносит хорошую прибыль. По мнению представителя SANS, сегодня вымогать деньги с владельцев web-сайтов даже выгоднее, чем торговать данными о кредитных картах.
|
|
Инсайдеры наступают
Сегодня опасность подстерегает компании не только со стороны Интернета, но и изнутри. Все чаще инсайдеры, по ошибке или по злому умыслу, наносят работодателю серьезный вред. Например, в США проблема утечки конфиденциальной информации достигла таких масштабов, что потребовала государственного вмешательства.
Чтобы остановить волну утечек и хоть как-то воспрепятствовать незаконной торговле приватными сведениями, американские сенаторы одобрили ряд поучительных законопроектов. Первый из них позволяет государству наказывать компании, допустившие утечку персональных данных своих клиентов, штрафом в размере 5 млн. долл. (Подробнее: http://www.infowatch.ru/threats?chapter=150685169&id=183344888) Второй законопроект защищает только приватные телефонные записи, но разрешает наложить на нарушителей штрафы вплоть до 11 млн. долл. (Подробнее: http://www.infowatch.ru/threats?chapter=150685169&id=183394186)
Таким образом, если теперь какой-нибудь магазин допустит утечку приватных данных о кредитных картах или просто потеряет номера социального страхования своих клиентов, то он может автоматически лишиться
5 млн. долл. Если же это будет не магазин, а оператор сотовой связи, который не убережет список входящих и исходящих вызовов своих абонентов, то ему грозит штраф в 11 млн. долл. Как указывают специалисты аналитического центра InfoWatch, такие крупные штрафы могли быть наложены и ранее, еще до принятия новых законопроектов. Благо для этого существует целый ряд юридических лазеек. Однако именно таким незамысловатым способом — путем принятия новых законов — власти дают бизнесу понять, что пора бы позаботиться и об интересах клиентов.
Между тем серьезные проблемы с защитой своих секретов от инсайдеров обнаружились даже у ЦРУ. Оказалось, что журналисты с легкостью составили список из более чем 2,5 тыс. агентов, используя общедоступные сервисы в Интернете. Вдобавок репортеры отыскали секретные строения ЦРУ, размещенные по всей Америке и маскирующиеся под частные резиденции. Более того, можно с уверенность утверждать, что все это не «утка», так как ЦРУ само подтвердило секретность собранных сведений и попросило не публиковать список из 2,5 тыс. агентов, поскольку некоторые из них до сих пор работают под прикрытием (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=182256795). Журналисты выполнили просьбу разведчиков, которым теперь придется всерьез задуматься об инсайдерах. Благо есть с кого брать пример: как уже сообщалось в предыдущем дайджесте, ФБР планирует создать отдельный департамент для борьбы с инсайдерами и защиты от утечек.
При всем этом география утечек постоянно расширяется. Совсем недавно неприятная новость пришла из Японии: системный администратор компании NTT Data скачал конфиденциальные данные клиентов фирмы, а потом спокойно украл с их счетов более
250 тыс. долл. Когда об инциденте стало известно, инсайдера уже и след простыл. Теперь его объявили в федеральный розыск (Подробнее: http://www.infowatch.ru/threats?chapter=147151398&id=183390021). По мнению экспертов InfoWatch, это типичный сценарий инсайдерской атаки. Администратор обладал неограниченными правами в системе. Единственное, что он сделал, — воспользовался своими полномочиями.
