06 ноября 2017 11:44

Хищные вещи века. Готовы ли мы к потенциальным киберугрозам?

Хищные вещи века. Готовы ли мы к потенциальным киберугрозам?

Угрозы с каждым годом становятся все серьезнее, изощреннее и масштабнее.

Бурное развитие технологий таит в себе не только дополнительные возможности в развитии общества, но и новые идеи для заработка киберпреступников. Несколько лет назад эксперты по кибербезопасности готовили мир к новым направлениям кибератак, описание которых звучало как главы фантастических киберпанк-романов. Но лишь за последние пару месяцев Украина пережила несколько кибератак и по прогнозам их число в будущем будет только расти.

Сегодня уже мало кого удивляют целенаправленные атаки киберпреступных группировок (Advanced Persistent Threads, APT) с использованием многошаговой логики. С заражением огромного количества пользовательских устройств через доверенные каналы, такие как веб-ресурсы и обновления лицензионных программ, столкнулись многие предприниматели и госструктуры. Атаки на e-commerce проекты и масштабные эпидемии шифровальщиков-вымогателей стали буднями. Как, впрочем, и утечки информации, взломы личных устройств сотрудников компаний (Bring Your Own Device, BYOD) или используемых ими на рабочих местах некорпоративных ИТ-инструментов (например, "облачных" хранилищ данных — dropbox, google drive и т.д.).

Согласно последнему отчету "Annual Cybersecurity Report", на сегодняшний день всего лишь 10% компаний инвестируют в свою кибербезопасность до того, как становятся жертвами злоумышленников. В Украине даже горький опыт не всегда является стимулом для организаций обеспокоиться кибербезопасностью. На основании последнего исследования Института программных разработок при Университете Карнеги-Мелона "2017 Emerging Technology Domains Risk Survey" проанализированы потенциальные киберугрозы недалекого будущего, к которым следует готовиться заранее.

321

Блокчейн. Технология, которая еще пару лет назад была "игрушкой" андеграунда — шифропанков и криптоанархистов, гордо и громко шествует по планете. О криптовалютах не слышал только глухой, а "майнить биткоины или эфиры на домашней ферме" — уже не звучит бредом горячечного больного. Капитализация криптовалют достигает сотен миллиардов реальных, а не виртуальных долларов, что привлекает к этой индустрии повышенное внимание любителей поживиться за чужой счет. Взломы криптовалютных бирж и кошельков уже привели к потерям, исчисляющимся в сотнях миллионов долларов, а элементарные приёмы социальной инженерии позволяют злоумышленникам выманивать криптомонеты у их владельцев без особого труда. Повышенный интерес к этой индустрии привлекает все больше людей, которые не являются ИТ-специалистами и могут стать легкой мишенью для киберпреступников. Сама же технология позволяет создать надежные децентрализованные реестры хранения данных, включая финансовые, но слепая вера в абсолютную безопасность блокчейна может не позволить увидеть новые, пока неизвестные уязвимости.

Интернет вещей (Internet of Things). Уже не первый год в кругу экспертов по кибербезопасности популярна шутка, что буква "S" в аббревиатуре Интернета вещей "IoT" означает "Security", т.е. безопасность. И в этой шутке слишком много правды — отношение разработчиков устройств Интернета вещей к безопасности абсолютно наплевательское. Подавляющее большинство IoT-устройств абсолютно беззащитны для хакеров. И если взлом интимных игрушек с беспроводными интерфейсами вызывает провокационно повышенный интерес и улыбки, то взлом кардиостимуляторов и возможность удаленного управления ими вызывает у полумиллиона их обладателей обоснованную обеспокоенность за собственную жизнь. 

Угон дронов-квадрокоптеров стоимостью в несколько тысяч долларов США — уже настоящее. Также миллионы взломанных IoT-устройств позволяют проводить масштабные DDOS-атаки на различные веб-ресурсы. И эти атаки уже реальность — зомби-сеть (ботнет) Mirai из устройств Интернета вещей (видеокамер) уже наносила вред десяткам миллионов пользователей атаками на DNS оператора в США, а также популярные интернет-ресурсы (Twitter, Etsy, Github, Soundcloud, Spotify, Heroku, и другие). На сегодняшний день активно формируется новая зомби-сеть из взломанных IoT-устройств, которую исследователи окрестили Reaper, и ее размер уже больше, чем у предыдущих…

"Умные" здания. Множество датчиков, сенсоров и других устройств Интернета вещей уже автоматизируют и упрощают обслуживание как коммерческих, так и частных зданий. Управление освещением и видеонаблюдением, поливом лужаек, складами, лифтами, пожарно-охранной сигнализацией — это реальные удобства, которые могут обернуться нереальными проблемами. Халатное отношение создателей этих IoT-устройств ставит под угрозу не только приватность, но и жизни людей. Чем, например, может закончиться удалённый взлом систем видеонаблюдения, управления лифтами, кондиционированием, жизнеобеспечением? Размер ущерба органичен только квалификацией и фантазией злоумышленников.

"Умные" города. Добавьте к вышеперечисленным устройствам Интернета вещей системы управления "умными" светофорами и другими элементами интеллектуальной транспортной системы мегаполисов, например, шлагбаумами на ж/д переездах, разводными мостами, автоматизированными системами коммунального хозяйства. Размер потенциального ущерба может быть колоссальным…

"Умный" транспорт. Автономные автопилоты — это сбывшаяся места автомобилиста. Теперь унылое рассматривание впередистоящей машины в пробке можно заменить интересным времяпрепровождением или решением рабочих вопросов в качестве пассажира. А главное, при покупке автомобиля с автопилотом, можно экономить время на поиск и деньги на оплату услуг такси. Снижение роли человеческого фактора при длительных и утомительных поездках, ускорение и удешевление грузоперевозок и авиаперевозок, уменьшение количества правонарушений и дорожно-транспортных нарушений — все это плюсы таких авто. Но когда "безопасники" подключают подходы риск-менеджмента и в частности расчёты киберрисков, получение несанкционированного удаленного доступа к управлению автопилотом уже не выглядит положительной особенностью "умного" транспорта. А удаленное управление функциями современного автомобиля, включая тормозную систему, уже сегодня демонстрируют хакеры на специализированных мероприятиях. 

Машинное обучение (нейросети). Все больше отраслей промышленности и сфер человеческой жизни доверяют свое будущее нейросетям, которые еще иногда называют искусственным интеллектом. Пока полноценным искусственным интеллектом эти системы машинного обучения сложно назвать, однако скоро от их решений будут зависеть целые секторы экономики, если не человеческие жизни. И представьте, что на эти решения смогут влиять хакеры… 

Виртуальные персональные ассистенты-помощники. "Окей, Гугл", "Привет, Сири", "Алекса!" — эти фразы, сказанные смартфону или колонке, уже не вызовут у окружающих желания записать вас на прием к психиатру. Управление смартфоном или "умным" домом при помощи голосовых команд персональному виртуальному ассистенту — не только модно, но и очень удобно. Так удобно, что "посвящать" виртуальных помощников в личные секреты, давать им доступ к различным персональным данным (соцсетям, финансовой информации, распорядку дня, маршрутам перемещений и т.п.) и управлению различными IoT-устройствами станет обыденным делом. А что, если киберпреступники "заставят" виртуальных персональных помощников выдать всю вашу информацию?

Автономные роботы. "Вкалывают роботы, а не человек…". Эти слова песни может и не знакомы современным детям, но отражают ближайшее будущее человечества. Роботы-курьеры, роботы-охранники, роботы-консультанты — это уже реальность. В октябре 2017 года первый робот (андроид София) стал гражданином Саудовской Аравии. Мечта многих генералов — армия человекоподобных, неутомимых и беспристрастных роботов, которых можно отправлять в бой, не жертвуя человеческими жизнями. Тесное взаимодействие роботов с человеком, а также их огромная сила несут реальные угрозы здоровью и жизни людей при случайных или намеренных сбоях в их системе управления.

Роботы-хирурги. Отдельно хотелось бы выделить роботов, проводящих хирургические операции. Идеальные помощники — неустанные, точные. Безошибочные, по крайней мере, пока ошибку не заставят сделать. И в данном случае цена такой ошибки максимальная — здоровье и жизнь человека. 

Квантовые компьютеры. Новый тип компьютеров, использующих квантовую логику для вычислений. Пока реализация квантовых компьютеров находится на начальной стадии, но исследования идут семимильными шагами, и не за горами тот день, когда ученые представят нам работающий экземпляр. В теории невероятная скорость разложения чисел на простые множители перевернёт современную криптографию — пароли, на подбор которых сейчас потребовались бы сотни или тысячи лет, смогут быть подобраны за считанные часы или дни. Грядёт квантовая криптографическая революция и будем надеяться, что вместе с угрозой быстрого подбора наших паролей мы получим новые алгоритмы шифрования, которые устранят эту угрозу или сделают её реализацию намного сложнее.

Как мы видим угрозы с каждым годом становятся все серьезнее, изощреннее и масштабнее. До сих пор украинцам удавалось избежать существенных потрясений, но новые технологии приходят в нашу жизнь куда стремительнее, чем новые системы безопасности. Уверены ли мы, что огромные массивы данных, которые хранят наши госорганы, под надежной защитой, можем ли мы положиться на системы безопасности наших банков или налоговой службы? Уменьшение потенциального ущерба новых типов кибератак возможно только при условии системного профессионального подхода, а также ответственного отношения и безопасного использования этих продуктов пользователями.
Автор
Зеркало Недели
Источник