Почему книгу "Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура", которую "Лаборатория касперского" презентовала в декабре прошлого года, нужно прочитать каждому.
Скажем, на условную корпорацию Y напали хакеры. Если ничего не предпринять, то компания лишится миллиардов рублей. Пострадают и миллионы клиентов компании, которые также останутся ни с чем. Один телефонный звонок. И в дело вступает киберрасследователь, он пакует в чемоданы ноутбуки, съемные накопители с различными прогами и примочками, летит через полмира, чтобы спасти мир от злоумышленников.
Наш герой на месте. Достаёт оборудование, загружает всю информацию с серверов пострадавшей компании и начинает моделировать различные ситуации, смотрит, как ведёт себя зловред в системе, восстанавливает по крупицам, как начиналось и распространялось заражение, изучает код заразы, ищет совпадения с уже известными ранее атаками. Вот, например, в коде одного из вирусов, атаковавших в 2017 году польский банк, антивирусные аналитики нашли такие названия параметров и функций, как vyzov_chainika, baba_Lena, horosh_spat и даже podgotovka_skotiny. Действительно ли код писали русскоязычные хакеры? Или может авторы атаки просто дали ложный след?
Показать рабочие будни антивирусных аналитиков через призму голливудских боевиков - идея, безусловно, интересная. Первый производственный роман о жизни российских специалистов по кибербезопасности "Вирьё моё" держит внимание на протяжении всего повествования. Вот как надо преподавать информатику в школе. Тут и про противостояние разведок крупнейших стран мира (в том числе и о том, как они тоже разрабатывают вирусы и шпионят за друзьями-врагами, попутно, конечно, зловреды попадают на компьютеры и смартфоны рядовых пользователей, обычные люди - не цель такой сложной атаки, но такие следы помогают киберрасследователям в поисках того, что запустил заразу), и про наделавшую много шума историю Эдварда Сноудена, и про многочисленные вирусы, которые атаковали жертв на протяжении последней четверти века, а то и больше. Помните ли вы Petya и ExPetr, который NotPetya?
При этом от кибератак страдают не только правительства, компании и обычные люди, но и сами антивирусники. Авторы книги на страницах своего романа вспоминают, как, исследуя заявку клиента, с ужасом обнаружили, что вирус, атаковавший заказчика, уже несколько месяцев, как живет во внутренней системе самой антивирусной организации. А "нулевым пациентом" стал сотрудник индийского офиса, которого, вероятно, заразили через фишинговое письмо, и уничтожили все следы вторжения: подчистили почтовый ящик, историю браузера. Попав в сеть, хакеры использовали уязвимости в продуктах Microsoft и добрались до компьютеров руководителей компании. А знаете почему антивирус не заметил атаки? Потому что одной из фич шпионской программы стала подмена процессов антивируса, то есть сам же антивирус одобрил действия злоумышленников. А так можно, спросите вы?
Оказывается, да. Знаете же детскую загадку: "Сидит дед во сто шуб одет?" Вот эти многочисленные слои и помогут в понимании сути архитектуры компьютерных программ. Схематично это выглядит так:
- Самый низкий уровень - прошивка. Это встроенное программное обеспечение, которое управляет "железом".
- Далее идет BIOS - базовая система ввода-вывода. Именно тут тестируются подсистемы компьютера, применяются всякие настройки, а далее загружается в оперативно память код загрузчика операционной системы и передаётся управление ему.
- Самый высокий слой - операционная система, привычный рабочий стол, папки и файлы. Такой функционал доступен благодаря многочисленным программа управления устройствами - драйверам.
И, чем глубже зарывается вирус, тем сложнее его обнаружить, так как он говорит более поверхностным слоям программного обеспечения, мол, ребят, не парьтесь, все ок, я свой.В общем, основы информационной безопасности - базовые умения, которыми сегодня должен обладать каждый. Ибо, даже отключение от интернета для хакеров не помеха. Червь попадает с флешкой в комп без доступа к сети. Он спокойно гуляет по зараженной машине, собирает данные и ждет, когда в системник снова вставят какую-нибудь флешку. Далее он скрытно записывает себя и украденные данные на этот съемный носитель, и далее, как только эта флешка будет воткнута в комп с доступом в интернет, программа-шпион автоматически отправит все украденные файлы на управляющий сервер. Вуаля.
Дело дошло до того, что сегодня компании не только обучают своих сотрудников кибербезопасности, не только устанавливают антивирусы, но и заводят в свое штате "белых", или их еще называют "этичных", хакеров. Это специальный человек, который постоянно тестирует внутренние системы компании и действия ее сотрудников на предмет слабых мест и уязвимостей. Пусть уж лучше свой штатный айтишник найдет, как взломать внутреннюю систему и быстренько закроет эту возможность, пока этм окном не воспользовались киберпреступники. Мой друг, кстати, этичным хакингом занимался на Красноярской ГЭС уже 12 лет назад.
P.S. Ах да, что за дятлы, которые бьют вирьё? Дятлами называют антивирусных аналитиков за характерный звук, когда они стучат по клавиатуре и "долбят" вирусы.
Текст Андрей Мужщинский