Дайджест событий ИТ-безопасности
Ноутбук стоимостью в миллиарды долларов всплыл на блошином рынке
База данных двух миллионов пользователей WebMoney всего за 10 долл.
В этой статье рассматриваются наиболее важные инциденты ИТ-безопасности, случившиеся за последний месяц в российских и зарубежных организациях. Так, в США отыскался украденный ноутбук с приватными данными 30 млн. военнослужащих, однако правительство США по-прежнему теряет сотни миллионов долларов на этой утечке. Далее в российском сегменте Интернета появилась база почтовых адресов пользователей системы WebMoney. И наконец, неутешительную статистику представили ведущие компании. Оказалось, что 100% всех банков и 50% всех ИТ-компаний за прошедший год пострадали от утечки конфиденциальной информации. В результате сотрудники отделов ИТ-безопасности хотели бы вернуться к тем временам, когда самой опасной угрозой для организации являлись вирусы, а утечки были не столь распространены.
Ноутбук стоимостью в миллиарды долларов всплыл на блошином рынке
Предыдущий выпуск нашего дайджеста открывался сообщением о самой крупной и дорогой утечке современности — по вине инсайдера в руки злоумышленников попали персональные сведения о почти 30 млн. бывших и нынешних военнослужащих США. Минувший месяц принес новые подробности этого необычайно громкого инцидента.
Как оказалось, еще 3 мая преступники выкрали ноутбук и дополнительный жесткий диск к нему, на которых содержалась приватная база данных. Однако уже в начале июля пропавшая техника всплыла на одной из радиотолкучек под Вашингтоном. Обычный гражданин купил этот ноутбук с винчестером прямо с багажника автомобиля. Затем этот человек совершенно случайно наткнулся на бумажную рекламу в одном из супермаркетов. В ней сообщалось об утечке конфиденциальной информации, а также были указаны серийные номера пропавшего оборудования. За возврат техники полиция обещала выплатить вознаграждение — 50 тыс. долл. Недолго думая, новый владелец столь ценного ноутбука позвонил в правоохранительные органы, и уже через несколько часов эксперты ФБР обследовали мобильный компьютер и жесткий диск1. Вердикт был однозначен: это то самое оборудование, которое было украдено из дома инсайдера 3 мая. По мнению компании InfoWatch, специализирующейся на предотвращении утечек и защите от инсайдеров, американцам очень повезло, что пропавшая техника отыскалась. По статистике, вернуть удается лишь 3% украденных ноутбуков. К тому же на подобных радиотолкучках промышляют немало темных личностей, которые, обнаружив в своих руках десятки миллионов персональных записей, могли бы и не соблазниться суммой в 50 тыс. долл., а продать приватную информацию в Интернете своим иностранным «коллегам» за миллионы долларов.
Отметим, что до сих пор совершенно неизвестно, что именно делали злоумышленники с конфиденциальными данными в течение почти двух месяцев. Другими словами, утечка все равно произошла, поэтому правительству США придется выложить миллиарды долларов на урегулирование ее последствий. Напомним, что если суд удовлетворит иск ветеранов, чьи приватные данные были скомпрометированы, то американский бюджет не досчитается 26 млрд. долл. Хотя, по оценкам аналитического центра InfoWatch, последствия утечки в любом случае обойдутся налогоплательщикам, как минимум, в 4 млрд. долл. Эти прогнозы уже начинают сбываться. Прежде всего, Джордж Буш запросил у Конгресса 160,5 млн. долл. из чрезвычайных фондов только на покрытие первоначального ущерба. Помимо этого на то, чтобы оповестить всех пострадавших об утечке, было потрачено 14 млн. долл. из бюджета страны. Вдобавок, для того чтобы жертвы инцидента могли задать вопросы о краже их личных данных, власти организовали работу call-центра, функционирование которого обходится американским налогоплательщикам в 200 тыс. долл. ежедневно. Эта горячая линия действует уже около двух месяцев, так что на нее уже было потрачено 12 млн. долл.
Между тем Министерство по делам ветеранов продолжает «радовать» общественность все новыми утечками. Так, помимо инцидента с кражей приватных данных почти 30 млн. военнослужащих, ведомство зафиксировало еще две утечки. Во-первых, пропала резервная лента с приватными данными 16,5 тыс. военнослужащих. Во-вторых, украден бумажный документ с персональными сведениями 66 ветеранов. В результате всех этих инцидентов директор по информационным технологиям министерства подал в отставку. Стоит ли говорить, что его прошение было немедленно удовлетворено?
База данных двух миллионов пользователей WebMoney всего за 10 долл.
В начале июля в Интернете прошла рекламная рассылка, предлагающая всем желающим приобрести «уникальную базу пользователей WebMoney всего за 10 долл.». Продавец сообщил, что база содержит почти 2 млн. адресатов и что в нее вошли абсолютно все пользователи этой системы электронных платежей. В качестве источника данных автор спама указал сайт аттестации http://passport.webmoney.ru/. Также продавец предложил за 100 долл. разослать рекламные сообщения по адресам в базе данных.
В связи с тем, что возникло подозрение об утечке конфиденциальной информации пользователей системы WebMoney, к расследованию инцидента подключилась компания InfoWatch. Эксперты вступили в переписку с продавцом и приобрели копию базы данных, которая представляет собой текстовый файл размером примерно 6 Мбайт, где на каждой строчке содержится один адрес электронной почты пользователя системы WebMoney. Таким образом, специалистам InfoWatch удалось выяснить, что речь идет лишь о базе почтовых адресов, которые сами по себе не являются конфиденциальными. Тем не менее продавец базы указал, что это адреса абсолютно всех пользователей WebMoney, так что некоторые подозрения все же остались.
Анализ сайта аттестации, на который ссылался автор рекламного сообщения, показал, что любой желающий может ввести 12-значный WMID (идентификатор пользователя WebMoney), чтобы проверить аттестат пользователя системы электронных платежей. Было также установлено, что в результате такого запроса сервер WebMoney возвращает персональные сведения владельца WMID, многие из которых скрыты от проверяющего. Однако почтовый адрес чаще всего доступен для просмотра. Можно предположить, что продавец базы данных написал программу-сценарий (script), в задачи которой входит перебор абсолютно всех WMID и вычленение из полученных страниц почтового адреса пользователя. При этом программист оптимизировал технику запросов таким образом, чтобы получать адреса только по тем WMID, которые используются системой.
Вступив в переписку с экспертами InfoWatch, продавец представился Александром и сообщил, что на сбор всех адресов его серверу потребовалось около 40 дней. Он также выразил недовольство пропускной способностью своего сервера (всего 34 Мбит/с). По мнению Александра, продаваемая база «способна увеличить продажу цифровых товаров», так как пользователи системы WebMoney являются самыми платежеспособными. Другими словами, база предназначена для профессиональных спамеров, которые теперь могут направить рекламу на конкретную целевую аудиторию. Продавец сообщил, что не имеет связей с другими спамерами и все заказы выполняет сам (например, производит рассылку рекламы по базе пользователей WebMoney за 100 долл.). Отметим, что свои письма с предложением купить базу Александр разослал именно по базе пользователей WebMoney.
Эксперты InfoWatch посчитали интересным выяснить, каким спросом пользуется такая база в российском сегменте Интернета. Как оказалось, когда Александр разослал 30 тыс. своих рекламных сообщений с предложением приобрести базу, у него появился один покупатель. Всего же Александр продал базу 45 раз и осуществил 7 рекламных рассылок. Отсюда легко подсчитать совокупные доходы продавца на данный момент — 1150 долл. (45x10 + 7x100). Когда специалисты поинтересовались у Александра, считает ли он, что нарушает какие-нибудь российские законы, то он ответил: «Да, есть немного, но я взял то, что открыто у пользователей системы». С этим сложно поспорить, так как система WebMoney действительно оказалась уязвимой к атаке такого рода. Между тем тот факт, что речь идет действительно об атаке, сомнений не вызывает. Ведь вряд ли пользователям или владельцам системы WebMoney было приятно узнать, что адреса всех владельцев WMID могут быть собраны в одну базу. Александр же чувствует себя уверенно и не боится за собственную анонимность. Оплату за свой товар и свои услуги он принимает по той же системе WebMoney (а также Yandex.Money) и не волнуется, что его вычислят. «Proxy всегда помогают», — говорит Александр.
Таким образом, пользователи системы электронных платежей WebMoney в ближайшее время могут столкнуться с чрезвычайно интенсивным потоком спама. В целом же данный инцидент выявил гораздо более широкую проблему Интернета — крайне беспечное отношение к персональным сведениям со стороны организаторов живых журналов, блогов, форумов, различных регистраторов и т.п. Доступность почтовых адресов клиентов платежной системы наиболее отчетливо это продемонстрировала, так как WebMoney является финансовой системой и со своими пользователями связана именно денежными узами. Если бы спамеры обобрали почтовые адреса какого-нибудь футбольного форума, то это вряд ли получило бы такой резонанс. В описанном же случае держателям приватных баз данных клиентов придется сделать соответствующие выводы.
Неутешительная статистика
Очевидно, что инсайдеры и кража информации стали основной проблемой нашего времени. Как указывают аналитики компании Gartner2, утечки обходятся намного дороже, чем внедрение средств по их предотвращению. Эта экономия в среднем достигает 500%. Однако эксперты InfoWatch указывают на огромное количество утечек, на ликвидацию последствий которых компаниям приходится тратить десятки миллионов или миллиардов долларов. Очевидно, что в этом случае защита от инсайдеров обойдется им в сотни и тысячи раз дешевле.
Нельзя не упомянуть и о результатах исследования крупной международной аудиторской компании DTT (Deloitte Touche Tohmatsu). Как указано в отчете «DTT 2006 Global Security Survey»3, все 100% опрошенных финансовых компаний зафиксировали утечки за прошедший год, причем каждый из 72% респондентов потерял в результате утечек более 1 млн. долл. Таким образом, банки особенно уязвимы для утечек конфиденциальной информации.
Несколько лучше, по данным DTT, обстоят дела в сфере ИТ. Согласно последнему отчету, более 50% всех опрошенных ИТ-компаний зафиксировали утечки конфиденциальной информации за прошедшие 12 месяцев. Другими словами, каждая вторая фирма, занятая в области информационных технологий, лишилась своих коммерческих или приватных сведений всего за год4. Аналитики DTT пришли к выводу, что ИТ-бизнес недостаточно инвестирует в средства защиты от утечек. Между тем эксперты InfoWatch уверены, что в ближайшем будущем системы предотвращения утечек станут таким же стандартным и распространенным средством ИТ-безопасности, как антивирусы и межсетевые экраны.
Тот факт, что угроза утечек давно уже обогнала по актуальности проблему вредоносных кодов, получил очередное подтверждение совсем недавно. Последние опросы Infosurv Market Research и Palisade Systems показали, что служащие отделов ИТ-безопасности хотели бы вернуться к тем временам, когда вирусы являлись самой опасной угрозой для организации5. Сегодня же появился намного более серьезный враг — утечки. Они наносят еще больший ущерб, встречаются гораздо чаще, да и предотвратить их не в пример сложнее. Эксперты InfoWatch указывают, что компании уже осознали, что сегодня многие угрозы их благополучию исходят изнутри, и стараются взять инсайдеров под контроль. Реальных результатов в этом направлении получено пока не очень много, но положительная динамика — налицо.