Если вы следили за этой серией по информационной безопасности (часть 1 и часть 2), вы должны почувствовать, какие моменты в процессе общения оставляют вас открытыми, и какие виды инструменты покрывают их.
Так как угрозы категории 1 являются преимущественно пассивными (позволяя вам прийти к ним), вы можете использовать их на практике для выявления слабых мест. Вы точно знаете, что преследуют эти противники, и вы можете потратить время на то, чтобы настроить свою защиту, прежде чем проверять их.
Начиная с категории 2, вы должны участвовать в A-игре. Эти враги не ждут, пока вы будете готовы, и они располагают большим и разнообразным арсеналом. К счастью, начиная с этого момента, эта серия будет применяться к экспоненциально меньшим из вас.
Подавляющее большинство людей беспокоятся о том, чтобы стать жертвой злоумышленников 2-й категории, которых обычно можно отнести к категории хакеров в черной шляпе. Однако, факт в том, что страх быть взломанным в основном неуместен.
Более трех четвертей американцев обеспокоены тем, что они будут взломаны, и опросы показывают, что большинство людей считают хакерские атаки самой большой угрозой социальной стабильности.
В действительности, однако, только 36 процентов американцев сообщили, что их взломали хотя бы один раз.
Очевидно, что некоторые люди находятся в опасности — так как узнать, что вы один из них? Как и обычные преступники, преступные хакеры выбирают легкие и прибыльные цели.
Несколько целей соответствуют этому профилю. Одна группа в перекрестии состоит из компаний, которые располагают данными о миллионах пользователей, таких как организации частного сектора, присутствующие в Интернете. Зачем искать данные одного пользователя в то время, когда они уже собраны в одном месте?
Преступные хакеры также любят охотиться на небольшие организации, которые имеют скромный капитал, но слабую информационную безопасность. Ransomware, который свирепствует против этих целей, особенно разрушителен, потому что у них часто нет технического персонала для восстановления, и многие прибегают к выплате выкупа.
Как и в случае с аналогичным преступлением, криминальные хакеры окружают также очень влиятельных общественных деятелей, таких как знаменитости и политики.
Те, кто классифицируют себя как «обычных людей», в целом менее подвержены атакам из категории 2, но существуют исключения. Даже для тех, кто избегает внимания, чёрные шляпы разыскивают более состоятельных людей по понятным причинам.
Владельцы криптовалютного кошелька также являются излюбленным знаком, так как некоторые из них поспешно открыли кошелек во время золотой лихорадки криптовалюты, с дополнительной безопасностью.
За черными шляпами могут идти не только деньги — они тоже ищут очень секретную информацию. Журналисты, бизнес-лидеры, политики и военнослужащие, в частности, оказываются под угрозой категории 2, поскольку имеющаяся у них информация может оказать существенное влияние на распределение власти и материальных ресурсов.
Персонал информационной безопасности также может быть атакован черными шляпами, поскольку эти специалисты могут иметь доступ к отдельным лицам или организациям, подобным вышеперечисленным. Если вы управляете системами, на которых работают деловые титаны или политики, компромисс с вами так же хорош, как и компромисс с этими цифрами напрямую.
Что объединяет всех этих потенциальных жертв, так это то, что у них есть данные, которые особенно ценны для определенных мотивированных интересов. Если вам подходит какой-либо из этих целевых профилей, обратите внимание.
Содержание статьи
Black Hat Black Ops (и их снаряжение)
Кто конкретно стреляет по этим целям? Категория 2 включает в себя спектр актеров.
Здесь представлен архетипический хакер-одиночка, хотя у актеров в этой категории разные мотивы.
Одинокая черная шляпа, возможно, захочет причинить вред и обрести известность, скомпрометировав громкую жертву. Одинокий злоумышленник может легко заработать на краже фиатной валюты или криптовалюты.
Существует также подмножество хакерских армий, заинтересованных в специализированной информации, потому что они действуют в кругах, где она желана. Например, хактивист будет мотивирован на компромисс с идеологическим противником, чтобы подорвать его политическую активность.
Как и в большинстве случаев, хакеры могут добиться большего в группе, чем они могут сделать самостоятельно. Многие бригады «черной шляпы» разделяют вышеперечисленные цели, которые ставят перед собой одиночки, но они могут выполнять более сложные операции. Некоторые команды «черной шляпы» осуществляют корпоративный шпионаж, например, кражу коммерческой тайны.
Кроме того, группа злоумышленников может действовать, чтобы саботировать уголовное или журналистское расследование, которое обычно является вспомогательным для других гнусных действий. Вредоносные хакерские отряды могут мобилизоваться по воле или по вдохновению национальных государств, объединяя цели в качестве доверенного лица или аффинити-группы.
Методы, которые используют эти противники, столь же разнообразны, как и их цели, и обычно смешиваются в любой конкретной операции. Тем не менее, это помогает познакомиться с основными вражескими ремеслами.
Как и любой хороший враг, противники категории 2 атакуют пробелы в вашей броне, самый большой из которых — пароли. Есть несколько способов взломать пароли. Первое — это угадывание грубой силы. Это включает в себя запуск программы, которая быстро угадывает несколько потенциальных паролей, чтобы увидеть, что-нибудь работает По умолчанию эти программы используют наиболее распространенные пароли, но опытные цели могут избежать этой ловушки.
Чтобы обойти это, злоумышленники будут собирать информацию об открытых источниках (OSINT) для своей цели, проверяя такие вещи, как профили в социальных сетях или публичные записи, чтобы получить представление о ключевых словах, которые может содержать пароль цели. Как только они обнаружены, злоумышленник настраивает программное обеспечение для взлома, чтобы смешивать эти ключевые слова с предполагаемыми паролями.
Второй метод атаки на основе пароля — использование ранее взломанных учетных записей. Учитывая, что средний американец имеет где-то от нескольких десятков до более чем ста учетных записей в Интернете — и опрос Pew Research, проведенный в 2017 году, показывает, что почти две пятых взрослого населения повторно используют идентичные или похожие пароли — вероятность того, что пароль для Взломанный аккаунт может открыть другой.
Хуже того, пользователи, которые перенаправляют пароли, находятся во власти самой слабо защищенной службы — если тот сайт, на который вы создали учетную запись на этот раз, становится владельцем, повторно используемый пароль может привести к краху вашей жизни в Интернете.
Другой любимый инструмент «черной шляпы» — социальная инженерия, которая заключается в манипулировании когнитивными искажениями, чтобы обмануть других. Социальная инженерия — это целая дисциплина сама по себе, но в двух словах она предполагает злоупотребление естественной человеческой склонностью принимать людей на слово.
Например, если вы работаете в организации, достаточно крупной, чтобы работать с практическими незнакомцами, было обычным делом, вы можете подумать, что кто-то, утверждающий, что он такой-то, из ИТ-отдела просит проверить ваш пароль. Злонамеренные хакеры все время выдают себя за то, чтобы обманывать не только своих целей, но и операторов, которым они пользуются.
Чтобы привести более конкретный пример, злоумышленники, как правило, связываются с поставщиком услуг сотовой связи жертвы, изображают из себя жертву и убеждают поставщика переключить SIM-карту жертвы на свою, зацепляя вызовы и тексты жертвы. Затем они используют это для дальнейшего компромисса. Следовательно, эффекты социальной инженерии столь же опасны, сколь и просты.
Если эти средства не разрезают, черные шляпы могут прибегнуть к троянам. Подобно трюку, который их тезка гигантская деревянная лошадь провела с греческими солдатами, трояны созданы для того, чтобы выглядеть законно, чтобы красться в программных подвигах. В этом смысле они имеют много общего с социальной инженерией.
Троянцы маскируются под безобидные программы, файлы или URL-адреса, которые цель, вероятно, будет искать или принимать вслепую. Цели, которые хотят, чтобы то, что кажется предложенным, часто понижали свою защиту.
Злоумышленники, желающие больше работать, могут использовать незащищенные уязвимости в программном обеспечении, которое установил их карьер. Если они верхнего уровня, они могут обладать уязвимостью нулевого дня — той, о которой разработчики программного обеспечения еще не знают — но большинство злоумышленников будут использовать уязвимость, которая, как известно, уже существует, но пользователи могут не иметь заделаны.
Последнее (по крайней мере, в этом обзоре высокого уровня), но не в последнюю очередь в черной шляпе, это атака «человек посередине» (MITM). Это одно из наиболее агрессивных, но более эффективных атак, которые могут совершать злоумышленники, потому что они буквально попадают между устройством своей цели и всеми каналами связи.
С этого места они могут не только читать все, что пользователь отправляет и получает, но и изменять передачи в любом направлении. Эту позицию трудно занять, но все черные шляпы жаждут: они контролируют все, что приходит или уходит с устройства, и пользователь никогда не узнает.
Как противники проводят атаку MITM? Открытые сети — лучший выбор, поскольку они оставляют сообщения видимыми для всех. Черные шляпы тоже в крайнем случае пойдут с сетями, защищенными паролем, особенно сети, которые принадлежат их добыче, так как они обычно тривиальны для взлома.
Злоумышленники могут перевести атаки MITM на следующий уровень, взломав устройство в вашей сети. В этой модели они будут использовать постоянно включенное устройство, которое пользователь не будет настраивать или тщательно контролировать, например, беспроводной маршрутизатор или устройство Интернета вещей.
После того, как злоумышленники взяли управление на себя, они видят большую часть того, что вы делаете в сети, и часто могут попасть между вами и Интернетом с помощью таких уловок, как спуфинг ARP (Address Resolution Protocol), который обманывает ваш компьютер, пропуская ваш Интернет трафик через зараженное устройство. Единственный способ определить что-то подобное — это просмотреть таблицу ARP. Вы недавно проверяли свою таблицу ARP? Точно.
Снимаю шляпу перед инструментами безопасности
Как ни страшно, вы не беспомощны в этом.
Ваша лучшая линия защиты — укрепить ваши пароли с помощью менеджера паролей. Эта простая программа создает зашифрованный файл со всеми паролями вашей учетной записи и открывает его только после ввода мастер-пароля. Каждая учетная запись указана в файле «хранилище» с соответствующим паролем. Когда вы хотите разблокировать учетную запись, вы открываете хранилище паролей, копируете и вставляете помеченный (но неповрежденный) пароль из его записи в хранилище в поле пароля учетной записи.
Менеджеры паролей предоставляют огромные преимущества. С их помощью каждый пароль может быть уникальным, что не позволяет злоумышленникам повторно вводить пароли. Они также позволяют вам создавать очень случайные пароли для каждой учетной записи, избегая атак методом перебора по словарю. Поскольку вы только копируете и вставляете пароль, вам не нужно знать, что это такое.
Высокие энтропийные пароли действительно являются вашим единственным средством обращения с учетными записями в Интернете, поскольку остальное выполняет оператор службы. Менеджеры паролей — это самый прямой путь к таким паролям.
Еще один способ заблокировать свои учетные записи — использовать ключ 2FA. Чтобы понять почему, нам нужен ускоренный курс по теории аутентификации. Аутентификация — это предоставление доступа отдельным лицам путем подтверждения их личности, подтверждение которых принимает одну из трех форм. Люди могут аутентифицировать свои зубные протезы, производя что-то, что они знают (например, пароль), что-то, чем они являются (например, биометрический идентификатор), или что-то, что они имеют.
Традиционно большинство людей защищали каждую учетную запись только одним из них за раз, обычно «чем-то, что они знают». Двухфакторная аутентификация (2FA) основана на идее, что более безопасно требовать две формы аутентификации вместо одной. Как правило, 2FA принимает форму «ключа 2FA», физического ключа, который должен присутствовать при вводе пароля, чтобы «перепроверить» вашу личность.
Использование 2FA достаточно распространено сейчас, когда есть удобные опции для ключей 2FA. Если у вас нет физического ключа 2FA, вы можете настроить многофакторную аутентификацию (MFA) на своем мобильном устройстве. В соответствии с этой схемой для входа в систему требуется одноразовый PIN-код, который отправляется на ваше мобильное устройство. Поскольку предполагается, что вы являетесь единственным носителем вашего мобильного устройства, оно действует как второй фактор «что-то, что у вас есть».
Поскольку социальная инженерия эксплуатирует естественные человеческие тенденции, нет единого инструмента или когнитивной эвристики, которая победила бы ее. Однако вы можете практиковать высокий уровень скептицизма. Внимательно изучите все сообщения, которые вы получите. Прежде чем отвечать на сообщение или соблюдать его директивы, всегда выполняйте какую-либо проверку работоспособности, которая проверяет, что сообщение получено от стороны, от которой оно заявлено.
Диагностика будет выглядеть по-разному для каждого носителя, но эта проверка будет включать в себя подтверждение того, что он с правильного адреса, представлен в правильном устном или письменном тоне, и демонстрирует правильное поведение для человека или роли, которую предположительно представляет собеседник .
Ссылки — это наиболее распространенный механизм доставки эксплойтов для социальной инженерии, поэтому вы всегда должны относиться к ним с осторожностью. Как правило, независимо от того, считаете ли вы отправителя законным или нет, вам не следует переходить по ссылкам, если вы не уверены, куда они идут.
Вы можете понять это, наведя указатель мыши на ссылку не нажимая на нее . Ваш браузер будет просматривать конечный пункт назначения при наведении курсора в нижнем углу окна браузера. Еще лучше, если вам не нужно идти туда, куда ведет ссылка, просто не надо. Для ссылок, к которым вам нужно получить доступ, перейдите самостоятельно, введя URL-адрес или выполнив поиск по нему в Интернете.
Хотя файлы являются менее распространенным средством для троянов, они более разрушительны. Имея это в виду, будьте осторожны с файлами, которые вы обрабатываете. Один из самых простых способов получить троянский удар — это потоковая передача или загрузка контента из поверхностных источников. Я здесь не для того, чтобы читать лекцию по борьбе с пиратством, просто чтобы предупредить вас о главном пути для атаки. Когда вы отклоняетесь от официальных каналов, вы никогда не знаете, кто предлагает искомый файл или что на самом деле в нем. Охотно взаимодействуя с ним, вы приглашаете его в свою систему.
Как и со ссылками, не обрабатывайте файлы, которые вам не нужны, особенно от людей, которым вы не доверяете. Если обработка файлов неизбежна, сначала запустите их через сканер вредоносных программ. Это больше не требует антивирусного сканирования, но может быть выполнено с помощью быстрого сканирования с помощью веб-службы, такой как VirusTotal.
Эти веб-сканеры служат мета-репозиторием, содержащим «подписи» подтвержденных вредоносных программ: при загрузке файлов они проверяются на наличие всех подписей. Технически это работает, только если атака была предпринята где-то раньше. Если вы не очень ценный объект (один из тех, кто будет охотиться за угрозой категории 3), ваш противник почти наверняка перевернет атаку на вас.
Это может быть такой распространенной мудростью, чтобы быть банальной, но стоит повторить: всегда обновляйте устройство немедленно, как только обновление станет доступным. Если возможно, не используйте ваше устройство нигде, кроме домашней сети, пока не обновите его. Это уменьшает вероятность того, что ваше уязвимое устройство будет подвергнуто атаке.
Также помните о циклах поддержки безопасности вашего устройства. Это период времени, в течение которого разработчики своей ОС будут писать и развертывать обновления ОС на вашем устройстве.
Для мобильных устройств будьте особенно бдительны, поскольку циклы поддержки, как правило, длятся всего три-пять лет с даты выпуска. Как только ваше устройство перестает поддерживать, купите новое. Когда вы это сделаете, обязательно купите разблокированное устройство. Поскольку он не находится под влиянием оператора, он избегает вмешательства оператора, который приводит к задержкам между разработчиком ОС и вашим устройством, гарантируя, что вы сразу получите первозданные обновления.
Персональные компьютеры (например, настольные компьютеры и ноутбуки) также имеют цикл поддержки, который вы должны отслеживать, но обычно он дольше. Во многих случаях это функционально неопределенно, но требует ручного вмешательства для выполнения основных обновлений версии. Когда ваше оборудование станет слишком старым для поддержки последнего обновления операционной системы, купите новое. Если это невозможно с финансовой точки зрения, переключитесь на дистрибутив Linux для настольных компьютеров.
Для тех из вас, кто изучал предыдущую статью в этой серии, практика использования виртуальных частных сетей будет знакома. Если вы не уверены, что такое VPN, я рекомендую обратиться к части 2, прежде чем продолжить.
Наряду с разочарованием вашего интернет-провайдера, VPN препятствует атакам MITM, потому что гарантированно будет по крайней мере один зашифрованный слой поверх вашего общения, даже если вы находитесь в незащищенных сетях (например, в открытых беспроводных сетях).
Однако есть способ поднять VPN, используя прозрачное прокси-устройство. Это устройство с двумя радиомодулями — одно для подключения к устройству конечного пользователя (например, ноутбуку), а другое для подключения к точке доступа к сети (AP).
Это помещает прокси-устройство между вами и вашей сетью, чтобы ваше устройство конечного пользователя было на шаг удалено от потенциально опасной сети. Прокси-устройство автоматически подключается к вашей VPN и перенаправляет весь трафик вашего конечного пользователя через VPN. Для наблюдателей ваше устройство конечного пользователя отсутствует даже в сети, потому что точка доступа не может его видеть.
Куда идти дальше
К настоящему времени вы освоили несколько довольно грозных оборонительных приемов, которые, если практиковаться умело, ставят вас далеко впереди стаи. Более того, метод анализа, который необходим для противодействия этим угрозам, позволяет методично оценивать новые угрозы.
Относительно категории 3, это мышление будет вытеснено почти до неузнаваемости. А пока подведите итоги того, что у вас есть. Когда мы встречаемся снова, мы начинаем спуск в безумие. 
