29 сентября 2015

Ответный взлом: шесть оправданий и бессмысленность каждого из них

Бизнес

Если идея «ответного взлома» киберпреступников, которые навредили вам или вашей компании, кажется вам, вашим сотрудникам или вашему супругу/вашей супруге разумной, тогда читайте далее. Это невероятно рискованная стратегия (ссылка на предыдущий пост). Но если вы решительно настроены ей следовать, по крайней мере, примиритесь с рентабельностью (или её отсутствием).

Сначала давайте прикинем, по каким причинам мы вообще можем начать мечтать об этом: есть шесть вероятных мотивов или очевидных стимулов «ответного взлома». Вот они:

  • Чтобы остановить хакеров. Это можно сделать только двумя способами:
    • Уничтожив их ресурсы. Это очень маловероятно, так как злоумышленники достаточно умны, чтобы иметь резервные системы. Вдобавок, у них не уйдёт много сил на то, чтобы зарядить всё снова: нужен-то всего один ПК плюс вредоносная программа из подпольного интернет-магазина самообслуживания.
    • Запугав. Тоже маловероятно — у преступников такое преимущество, что застращать их нелегко.
  • Чтобы отвадить других хакеров. Для этого нужно, чтобы прочие хакеры узнали о контратаке, но это породит другую проблему. Любая компания, провозгласившая агрессивное преследование киберпреступников сама подставляется в качестве мишени (если не трофея). Фурия в аду — ничто в сравнении с высмеянным хакером.
  • Чтобы добыть доказательства кражи. Это возможно лишь в том случае, когда команде ответных взломщиков удалось найти украденную информацию в незашифрованном виде на компьютерах хакеров. И даже тогда «доказательство» должно присутствовать в такой форме, которая убедит правоохранителей в том, что улика не подброшена и не сфабрикована.
  • Чтобы вернуть украденную информацию. Это самое смешное из всех оправданий, при этом наиболее часто приводящееся в юридических блогах, законодателями и комиссиями в качестве основательного повода для ответного взлома. Трудно поверить, что кто-либо, обладающий хотя бы крупицей знания о том, как работают компьютеры, может подумать, что хакер станет воровать нечто ценное и хранить, не копируя и не шифруя, что они как раз и делали с преступно добытыми данными на протяжении многих лет. Даже самого низкого пошиба шантажисты вроде презренных секс-вымогателей умеют делать копии.
  • Чтобы возместить ущерб. Это первое обоснование, которое могло бы иметь смысл, будь у вас есть огромное количество ресурсов, которые можно бросить на решение проблемы. Начать с кражи у хакеров чего-то в равной степени ценного и затем:
    • Обменять это на деньги или активы, чтобы компенсировать кражу вашей информации.
    • Использовать для торга с нападавшими, чтобы устранить последствия нападения (вернуть украденное имущество, уничтожить копии, обеспечить компенсацию расходов на ликвидацию последствий).
  • Отомстить — нанести ответный, столь же болезненный удар. Это звучит заманчиво, но может и породить полномасштабный конфликт, который приведёт к огромным потерям, так как хакеры уничтожат всё, до чего доберутся. Вдобавок, это незаконно. Даже если какие-либо правоохранительные органы поддержат вашу инициативу, они уйдут в тень, как только дело станет достоянием гласности.
wide2

Кроме того, поскольку невинные третьи лица, чьи системы были заражены, могут пострадать в результате ответного взлома, мы должны быть уверены в том, что знаем, на кого в конечном счёте ляжет вся ответственность. Всё осложняется ещё и тем, что злоумышленники знают, какие инструменты используют специалисты кибербезопасности для установления авторства. Это означает, что хакеры могут их использовать для собственной маскировки. Например, они добавляют в код строки на чужом языке, запускают атаки от имени интернет-провайдеров в других странах и даже передают свои атаки другим хакерам на аутсорс. Из-за этого точное определение преступников ныне считается практически невозможным без письменного признания.

Наша общая позиция относительно ответных хакерских взломов проста: в них никогда не бывает смысла. Во-первых, это незаконно. Во-вторых, решения о действиях подобного рода почти всегда принимаются на эмоциях, при этом цена, которую придётся заплатить, имеет тенденцию расти по экспоненте. В-третьих, компании, которые решаются на подобное, подвергают дополнительным рискам не только себя (с потенциально катастрофическими последствиями), но и третьи стороны, которые вообще ни при чём. В случае «тотальной войны хакинга» компании, решившиеся на активные ответные действия, потеряют куда больше, чем хакеры — практически всегда.

Существуют несколько методик активной защиты, которые позволят предотвратить новые атаки, что сделает контр-удары ненужными.

В числе таковых:

  1. Защита внутренних сетей
  2. Методы отвлечения внимания, приманки и ловушки («honeypot»)
  3. Надёжные средства аудита, отслеживания и шифрования данных внутри инфраструктуры
  4. Регулярное изучение новых продуктов и новых методов в этой области

И, разумеется, надёжное защитное решение, позволяющие предотвращать вторжения, должно быть на месте и работать на всю мощность.