Как взломать хакеров: человеческая сторона киберпреступности

1. СЛУШАТЬ
2. Знай свою аудиторию
3. Топ 10 самых распространенных паролей 2015 года
4. Время перемен
5. Атаковать нападавших

Иллюстрация Себастьяна Тибо

Скажите, что вы о киберпреступниках, говорит Анжела Сасс, «их жертвы в восторге от обслуживания клиентов».

Сасс говорит о вымогательстве: схеме вымогательства, при которой хакеры шифруют данные на компьютере пользователя, а затем требуют денег на цифровой ключ, чтобы их разблокировать. Жертвы получают подробные, понятные инструкции для процесса оплаты (принимаются все основные кредитные карты) и как использовать ключ. Если они сталкиваются с техническими трудностями, есть круглосуточные колл-центры.

СЛУШАТЬ

Ноа Бейкер разговаривает с учёным-компьютерщиком о попытке остановить спамеров

Вам может потребоваться более свежий браузер или установить последнюю версию плагина Adobe Flash.

«Это лучшая поддержка, чем у их собственных интернет-провайдеров», - говорит Сасс, психолог и ученый из Лондонского университетского колледжа, который возглавляет Научно-исследовательский институт по науке о кибербезопасности. Это, добавляет она, в двух словах: сегодняшняя проблема кибербезопасности: «Злоумышленники так далеко впереди защитников, что меня это очень беспокоит».

Давно прошли те времена, когда компьютерные взломы были областью искателей острых ощущений среди подростков и студентов: с середины 2000-х годов кибератаки стали значительно более изощренными. Сегодня теневые группы, спонсируемые государством, запускают эксплойты, такие как взлом Sony Pictures Entertainment в 2014 году и кража миллионов записей из Управления по управлению персоналом США, предположительно спонсируемых Северной Кореей и Китаем, соответственно. «Хактивистские» группы, такие как Anonymous, совершают идеологические атаки на известных террористов и знаменитостей. И огромное криминальное подполье трафик во всем, от контрафактной виагры до корпоративного шпионажа. По одной из оценок, киберпреступность обходится мировой экономике от 375 до 575 млрд долларов в год. 1 ,

Исследователи и эксперты по безопасности все чаще понимают, что они не могут решить эту проблему, просто построив более высокие и прочные цифровые стены вокруг всего. Они должны заглянуть внутрь стен, где человеческие ошибки Например, выбор слабого пароля или щелчок по изворотливому сообщению электронной почты приводят к возникновению почти четверти всех сбоев кибербезопасности. 2 , Они также должны смотреть наружу, отслеживая подпольную экономику, которая поддерживает хакеров, и находя слабые места, которые уязвимы для контратаки.

«У нас было слишком много компьютерных ученых, занимающихся кибербезопасностью, и недостаточно психологов, экономистов и людей, занимающихся человеческими факторами», - говорит Дуглас Мохан, руководитель исследования кибербезопасности в Министерстве внутренней безопасности США.

Это меняется - быстро. Агентство Maughan и другие американские исследовательские фонды увеличивали свои расходы на человеческую сторону кибербезопасности в течение последних пяти лет или около того. В феврале в рамках своего запроса бюджета на 2017 финансовый год в Конгресс президент США Барак Обама предложил потратить более 19 миллиардов долларов на федеральное финансирование кибербезопасности - на 35% больше, чем в предыдущем году - и включал план исследований и разработок, который впервые делает исследование человеческих факторов явным приоритетом.

Такое же мышление внедряется в других странах. В Соединенном Королевстве институт Сассе имеет многолетний грант правительства Великобритании в размере 3,8 млн. Фунтов стерлингов (5,5 млн. Долл. США) для изучения кибербезопасности на предприятиях, в правительствах и других организациях. Работа с общественными науками обеспечивает беспрецедентное представление о том, как киберпреступники организуют свой бизнес, а также предоставляет лучшие способы помочь пользователям выбрать непробиваемый, но запоминающийся пароль.

Исправления не легки, говорит Сасс, но они не невозможны. «На самом деле у нас есть хорошая наука о том, что может и не помогает в изменении привычек», - говорит она. «Применение этих идей для кибербезопасности является границей».

Знай свою аудиторию

Представьте, что это пик тяжелого рабочего дня, и в вашем почтовом ящике появляется законно выглядящая электронная почта: компьютерная команда компании обнаружила брешь в системе безопасности, и всем нужно немедленно запустить фоновую проверку на вирусы. их машины. «Существует тенденция просто нажимать« принять », не читая», - говорит Адам Джоинсон, социальный психолог, изучающий поведение в Интернете в Университете Бата, Великобритания. Тем не менее, электронная почта - фальшивка, и этот поспешный, раздраженный щелчок посылает вредоносное ПО, проходящее через сеть компании, для кражи паролей и других данных и превращения компьютеров каждого в зомби-ботнет, который запускает больше спама.

Похоже, что злоумышленники гораздо лучше разбираются в психологии пользователей, чем институты, предназначенные для их защиты. В приведенном выше сценарии успех атаки зависит от инстинктивного уважения людей к власти и их пониженной способности к скептицизму, когда они заняты и отвлечены. Компании, напротив, склонны устанавливать правила безопасности, которые катастрофически не соответствуют тому, как работают люди. принимать вездесущий пароль , безусловно, самый простой и самый распространенный способ для пользователей компьютеров подтвердить свою личность 3 , Одно исследование 4 , выпущенный в 2014 году Sasse и другими, обнаружил, что сотрудники Национального института стандартов и технологий США (NIST) со штаб-квартирой в Гейтерсберге, штат Мэриленд, получали в среднем 23 «события аутентификации» в день, включая повторные входы в систему на своих компьютерах, которые блокировались. их через 15 минут бездействия.

Такие требования представляют собой значительную потерю рабочего времени и умственной энергии сотрудников - особенно для тех, кто пытается следовать стандартным рекомендациям по паролям. Они настаивают на том, что люди используют разные пароли для каждого приложения; не записывать пароли; меняйте их регулярно; и всегда используйте трудно угадываемое сочетание символов, цифр и прописных и строчных букв.

Поэтому люди прибегают к подрывной деятельности. В другом систематическом исследовании использования пароля в реальном мире 5 Сасс и ее коллеги задокументировали способы, которыми работники крупной многонациональной организации обходили официальные требования безопасности, не будучи (они надеялись) полностью безрассудными. Методы сотрудников - например, запись списка паролей или передача файлов между компьютерами с использованием незашифрованных флэш-накопителей - были бы знакомы в большинстве офисов, но по сути создавали систему «теневой безопасности», которая обеспечивала непрерывность работы. «Цель большинства людей не в том, чтобы быть в безопасности, а в том, чтобы выполнить работу», - говорит Бен Лори, который изучает соответствие требованиям безопасности в Google Research в Лондоне. «И если им придется прыгать через слишком много обручей, они скажут:« К черту это »».

Топ 10 самых распространенных паролей 2015 года

Источник: SplashData

Исследователи обнаружили несколько способов облегчить этот тупик между работниками и менеджерами по безопасности. Лорри Крэнор руководит лабораторией CyLab Usable Privacy and Security в Университете Карнеги-Меллона в Питтсбурге, штат Пенсильвания - одной из нескольких групп в мире, которые ищут способы сделать политику паролей более совместимой с человеком.

«Мы начали это шесть или семь лет назад, когда Карнеги-Меллон изменил свою политику паролей на что-то действительно сложное», - говорит Крэнор, который в настоящее время находится в отпуске в университете и работает главным технологом в Федеральной торговой комиссии США в Вашингтоне. , Университет заявил, что пытается соответствовать стандартным правилам паролей от NIST. Но когда Крэнор провел расследование, она обнаружила, что эти руководящие принципы основаны на догадках. По ее словам, не было данных, на которых они могли бы основываться, потому что ни одна организация не хотела раскрывать пароли своих пользователей. «Итак, мы сказали:« Это исследовательская задача ».

Кранор и ее коллеги протестировали широкий спектр политик паролей 6 попросив 470 пользователей компьютеров в Carnegie Mellon сгенерировать новые пароли на основе различных требований к длине и специальным символам. Затем они проверили, насколько надежными на самом деле были полученные пароли, сколько усилий потребовалось для их создания, насколько легко их запомнить - и насколько раздражали участников системы.

Один из ключевых выводов 7 было то, что организации должны были забыть стандартный совет, что сложные слова gobbledygook, такие как 0s7G0 * 7j% x $ a, являются самыми безопасными. «Пользователям легче иметь дело с длиной пароля, чем со сложностью пароля», - говорит Кранор. Примером безопасного, но удобного для пользователя пароля может служить объединение четырех общих, но случайно выбранных слов - что-то вроде использования деревянного успешного плана. При 28 символах это более чем в два раза длиннее примера с бредом, но намного легче запомнить. По словам Кранора, пока система защищает людей от глупых выборов, таких как пароль-пароль, строки слов довольно сложно угадать и обеспечивают превосходную безопасность.

Время перемен

Другой ключевой вывод, говорит Крэнор, заключается в том, что, если нет оснований полагать, что безопасность организации была скомпрометирована, стандартная практика принуждения пользователей менять свои пароли по 30-, 60- или 90-дневному графику находится где-то между бесполезным и контрпродуктивно (см. go.nature.com/2vq6r4 ). Во-первых, по ее словам, исследования показывают, 8 что большинство людей отвечают на такие требования, выбирая для начала более слабый пароль, чтобы они могли его запомнить, а затем вносят наименьшее изменение, с которым они могут сойти. Например, они могут увеличить конечную цифру на единицу, чтобы пароль2 стал паролем3 и так далее. «Так что, если хакер угадает ваш пароль один раз, - говорит она, - им не понадобится много попыток угадать его снова».

Кроме того, по ее словам, одним из первых действий хакеров при взломе является установка программы регистрации ключей или другого вредоносного ПО, которое позволяет им украсть новый пароль и войти в него в любое время. Итак, еще раз, говорит Кранор, «смена пароля не помогает».

Сасс видит обнадеживающие признаки того, что такая критика услышана. «Для меня вехой стал прошлый год, когда GCHQ изменила свои рекомендации по паролям», - говорит она, имея в виду штаб-квартиру правительственной связи, ключевое британское разведывательное агентство. GCHQ выпустил публичный документ 9 Содержит несколько ссылок на исследовательскую литературу, в которой отказались от давно установившейся практики, такой как требование регулярной смены пароля, и вместо этого призвали менеджеров быть максимально внимательными к людям, которые должны соблюдать свои политики. «У пользователей есть целый набор паролей для управления, а не только ваш», - говорится в одном совете. «Используйте пароли только там, где они действительно нужны».

Источник: Реф. 11; Графика: Уэс Фернандес / Природа

Атаковать нападавших

Если исследование может выявить слабые места в поведении пользователя, возможно, оно также может найти уязвимости среди злоумышленников.

В 2010 году Стефан Сэвидж, специалист по информатике в Калифорнийском университете в Сан-Диего, и его команда создали 10 кластер компьютеров, чтобы действовать как то, что он называет «самым доверчивым потребителем за всю историю». Машины просматривали множество спам-писем, собранных несколькими крупными антиспам-компаниями, и нажимали на все ссылки, которые могли найти. Исследователи сосредоточились на нелегальных таблетках, поддельных часах и сумках, а также на пиратском программном обеспечении - трех линиях продуктов, наиболее часто рекламируемых в спаме, - и купили более 100 наименований. Затем они использовали специально разработанное программное обеспечение для сканирования веб-сайтов для отслеживания спамеров. Если незаконный поставщик зарегистрировал доменное имя, произвел платежи поставщику или использовал банк для приема платежей по кредитной карте, исследователи могли бы увидеть это. Исследование впервые выявило всю бизнес-структуру компьютерных преступников и показало, насколько она была удивительно сложной.

«Это была настоящая теплица новых странных предпринимательских идей», - говорит Сэвидж, - «самая чистая форма капитализма малого бизнеса, которую только можно представить, - потому что нет никакого регулирования». И все же был порядок, несмотря на это. «Скажем, у вас есть преступная деятельность, которой вы хотите заниматься», - объясняет Сэвидж, например, продажа поддельных лекарств. Вы настраиваете магазин, создавая веб-сайт и базы данных, заключая сделку с банком для приема платежей по кредитным картам и создавая отдел обслуживания клиентов для рассмотрения жалоб - все основные части бизнеса (см. «Запутанная сеть» ).

«Вы сами не рассылаете спам», - говорит Сэвидж. «Вы открываете это для партнеров» - специалистов, которые знают, как отправлять множество кликабельных сообщений, которые обманывают спам-фильтры людей. «Они получают 30–40% от покупной цены за любой заказ, который они вам приносят», - говорит он. И если блестящая идея оказывается глупой - хорошо, они просто идут и спамят для кого-то еще.

Эта партнерская бизнес-модель была подтверждена в последующих исследованиях Savage и многими другими 11 и оказывается применимым к широкому кругу киберпреступлений, от продажи поддельных сумок до вымогателей, пиратства по кредитным картам и других форм кибер-кражи. Все они поддерживаются одной и той же подпольной экономикой партнерских сервисов, из которых генерация спама только одна. Другие варьируются от компаний в Индии, где люди проводят дни, набирая символы, от тестов на распознавание символов CAPTCHA - таким образом, «доказывая», что вредоносная программа является человеком, - до готовой альтернативы спаму, известной как отравление в поисковых системах, в которой люди, которые нажимают на законно выглядящие результаты поиска, перенаправляются на вредоносные веб-сайты.

К сожалению для правоохранительных органов, отслеживание структуры этой подпольной экономики редко помогает им арестовать причастных лиц; идентичности реального мира, как правило, тщательно охраняются за псевдонимами онлайн. И в любом случае криминальная киберинфраструктура удивительно устойчива. Например, в октябре 2013 года ФБР удалось закрыть Silk Road, сайт, похожий на eBay, который связывал покупателей и продавцов запрещенных товаров, включая тяжелые наркотики. Silk Road 2.0 появился в сети через месяц. И когда ФБР закрыло этот сайт в конце 2014 года, появились другие.

Тем не менее, исследователи раскрыли некоторые потенциально более эффективные способы нападения на подпольную экономику. Сэвидж и его коллеги нашли 12 На сегодняшний день самыми слабыми звеньями были банки, которые обрабатывали платежи по кредитным картам в центрах прибыли. Они были во власти компаний-эмитентов кредитных карт, в контрактах которых обычно говорится, что любой банк, представляющий торговца, должен гарантировать, что продажа является законной, и несет ответственность за возврат денег клиентам, если они пожалуются. Немногие банки были готовы пойти на такие риски. «Оказалось, что 95% контрафактного спама на планете проходило всего через три банка», - говорит Сэвидж: по одному в Азербайджане, Латвии, Сент-Китсе и Невисе. В ноябре 2011 года Microsoft работала с Visa, чтобы оказать давление на те банки, чтобы они уволили поставщиков, которые занимались пиратством своих продуктов. «И в течение 18 месяцев, - говорит Сэвидж, - никто не продавал пиратское программное обеспечение Microsoft в Интернете».

Однако это не было постоянным решением: банковская поддержка сомнительных поставщиков программного обеспечения в конечном итоге переместилась в Восточную Азию, где западные компании и правоохранительные органы имеют значительно меньше рычагов воздействия. Тем не менее, надежда на то, что продолжающиеся исследования смогут иметь большое значение в долгосрочной перспективе. «Впервые, - говорит Николас Кристин, компьютерный инженер, который изучает человеческую сторону кибербезопасности в Carnegie Mellon, - у нас огромные объемы данных о теневой экономике».

Попробуйте это в реальном мире, говорит Кристин: любой, кто хочет понять, скажем, уличную торговлю наркотиками в Питтсбурге, должен пойти под прикрытием и рискнуть быть убитым. И даже тогда они получат лишь фрагментарный, особый взгляд на всю картину.

Но в онлайн-мире каждая транзакция оставляет цифровой след, говорит Кристин, которая проводила исследования по Шелковому пути, особенно когда платежи осуществляются с использованием цифровые валюты, такие как биткойн , «А для экономиста это замечательно». Кристин и другие в этой области наблюдали, как криминальные системы развиваются, становятся зрелыми и разрушаются, а другие появляются на их месте. Они наблюдали, как формируются и распадаются коалиции, и отслеживали, как поток денег между преступниками помогает им укреплять доверие.

«Мы только начинаем царапать поверхность анализа», - говорит Кристин. Но он предвидит этот поток данных, который приведет к новому слиянию информатики с общественными науками и обычным правоприменением. «На самом деле это может быть очень плодотворной почвой для уточнения и проверки существующих теорий криминального поведения», - говорит он.

У Savage такая же надежда. Направлен ли он внутрь или наружу, он говорит: «В сфере безопасности столько змеиной нефти. Очень немногие решения основаны на данных ». Дальнейшие исследования могут помочь людям основывать больше этих решений на доказательствах, говорит он. «Но для этого нужно посмотреть на вовлеченных людей - их мотивы и стимулы».

Похожие

Комментарии