На WikiLeaks опубликованы сведения о хакерском инструментарии ЦРУ

В результате утечки информации о инструментарии кибервзлома ЦРУ атаки хакеров станут многочисленнее и разнообразнее


16:55 13.03.2017   |   3891 |  Тим Грин |  Network World, США

Рубрика Индустрия



Документация, появившаяся в свободном доступе в результате утечки, может помочь злоумышленникам в разработке новых эксплойтов.

В связи с публикацией тысяч документов ЦРУ, описывающих методы взлома различных систем, в том числе iOS, Mac OS X, Android, Windows, Linux и Solaris, компаниям придется в очередной раз провести оценку рисков безопасности.

Массиву данных, попавших на WikiLeaks, дали название Vault 7. В нем нет кода самих эксплойтов, но описываются уязвимости, которые в них используются. А эти сведения могут иметь ценность как для специалистов по защите информации, так и для злоумышленников, подчеркивает Джон Пиронти, президент компании IP Architects, предоставляющей услуги по анализу рисков безопасности.

Опубликованные документы позволяют не только получить представление о возможностях и мишенях ЦРУ, полагает Михаил Шаулов, глава отделения Check Point по мобильным и облачным средствам безопасности: «Утечка дает возможность понять, насколько масштабной является деятельность любых подобных организаций в киберпространстве». Теперь корпоративным специалистам по безопасности предстоит оценить, способны ли применяемые ими сейчас средства защитить от всего спектра угроз, которые описываются в появившихся документах. «Важно выяснить, нет ли пробелов», — подчеркивает Шаулов. При необходимости нужно будет внедрить новые средства обнаружения угроз, добавляет Пиронти.

Сам код эксплойтов пока не опубликован, но, учитывая, что уязвимости, которыми они пользуются, возможно, еще не устранены, в компаниях стоит продумать вопрос о внедрении инструментов, рассчитанных на распознавание атак нулевого дня, полагает Шаулов.

В WikiLeaks обещают: сами эксплойты будут раскрыты «с должной ответственностью», так чтобы у разработчиков была возможность подготовить заплаты. Когда это произойдет, специалистам по безопасности нужно будет проследить, чтобы необходимые заплаты были установлены. Но, как показывает практика, этому правилу следуют не во всех компаниях, а значит, новые эксплойты, вероятно, будут использоваться еще долго. К примеру, брешь Heartbleed в криптографической библиотеке OpenSSL, о которой стало известно еще в 2014 году, до сих пор, по данным Check Point, не устранена примерно на 200 тыс. серверов, соединенных с Интернетом.

Как считает Пиронти, на основе описаний на WikiLeaks можно с помощью методов обратной инженерии подготовить атаки новых типов. По его словам, для злоумышленников появившиеся сведения — это «след из крошек, ведущий к мощным эксплойтам», и публикация в целом «значительно облегчает киберпреступникам исследовательскую работу».

В числе опубликованных документов есть один, озаглавленный «Секреты разработки: требования и запреты», которым, по мнению Пиронти, начинающие хакеры могли бы воспользоваться в качестве учебника. В частности, разъясняется, как затруднить жертвам реагирование на инциденты, как проводить криминалистическую экспертизу и как выяснять источник атаки.

Среди приведенных рекомендаций: сведение к минимуму размера двоичного файла, чтобы избежать распознавания, сокрытие похищенных данных с помощью стандартных протоколов, и прекращение сетевых соединений после их использования. Все это азы, но «новичкам в деле взлома они позволят повысить уровень знаний, а опытным хакерам информация из этого раздела поможет сделать атаки более действенными», полагает Пиронти.

В результате утечки атаки станут многочисленнее и разнообразнее, уверен Эрик О'Нил, специалист по вопросам стратегии безопасности государственной инфраструктуры из компании Carbon Black: «Хакеры умелы, но ленивы. Зачем разрабатывать что-то самостоятельно, если можно просто воспользоваться уже доступным и доработать для своих нужд».

Инструментами, описываемыми в документах Vault 7, попытаются воспользоваться не только киберпреступники, но и спецслужбы, добавил он: «Для последних важно разобраться в содержимом утечки».

Не все сведения в Vault 7 свежие, отмечают в «Лаборатории Касперского». Например, по словам специалистов компании, уязвимость heapgrd, упоминаемая в документах, была ранее известна, и ее исправили в продуктах «Лаборатории» еще в 2009 году. «В отчете WikiLeaks упоминаются устаревшие версии нашего ПО, уже несколько лет как не поддерживаемые», — добавили в российской компании.


Теги: Информационная безопасность Хакеры WikiLeaks ЦРУ
На ту же тему: