Как ломали Нью-Йорк Таймс (и почему не работают антивирусы)? Евгений Золотов

Как ломали Нью-Йорк Таймс (и почему не работают антивирусы)?

Евгений Золотов

Опубликовано 04 февраля 2013

Эти выходные западная пресса провела без сна — и тому есть хорошая причина: всю минувшую неделю, один за другим, всплывали факты проникновения таинственных взломщиков в святая святых американской журналистики. New York Times, Wall Street Journal, Washington Post пострадали, насколько можно судить сейчас, от одной и той же команды чёрных хакеров, орудовавших в их внутренних сетях на протяжении трёх с лишним месяцев. Следы ведут в Китай, что, конечно, добавляет красок этой мрачной картине, но в случившемся есть и ещё одна интересная деталь, связанная с поведением защитных инструментов. Впрочем, давайте по порядку.

Начала шумиху New York Times, опубликовав 30 января пространный материал, в котором описывала, как на протяжении последних 4 месяцев редакция противостояла интернет-атаке на свои системы. Нападение не было полным сюрпризом, его ждали, однако в какой-то момент ситуация вышла из под контроля и то, что начиналось как занятный эксперимент, превратилось в маленькую войну. NYT привлекла сторонних специалистов по компьютерной безопасности и ФБР, с чьей помощью в конце концов сумела вычистить оставленные взломщиками «закладки» и предположить, кто организовал налёт.

На китайцев указывает совокупность улик. Начало атаки совпало с публикацией NYT результатов скандального расследования, посвящённого состоянию, скопленному родственниками китайского премьер-министра Вэня Цзябао. Первый удар был направлен на компьютеры сотрудников, непосредственно занимавшихся подготовкой той публикации. Кроме того, манера заметать следы и некоторые другие характерные приёмы также заставляют предположить китайское вмешательство.

Если верить NYT и её секьюрити-партнёрам, китайские хакеры работают по расписанию. Начинают в 8 утра по пекинскому времени и трудятся весь день, иногда задерживаясь до ночи

Вломившись в NYT, злоумышленники крали пароли, переписку, контакты, прочие документы сотрудников, очевидно, надеясь обнаружить имена информаторов, помогших американцам вскрыть финансовую подноготную семьи китайского премьера. Такие атаки не новость: вот уже лет пять, как западные журналисты периодически становятся объектами подобных нападений. Предполагается, что так китайская государственная машина пытается предвосхитить критические статьи в иностранных СМИ и упредить «удар буржуазной пропаганды». Вот почему хоть уровень доступа и позволял взломщикам причинить серьёзный вред издательской машине NYT, вредить они не стали. Та же история и с другими вышеназванными изданиями: целили в сотрудников, занимавшихся Китаем, данные только крали, но не стирали и т.д.

Всё вместе это позволяет предположить, что взлом газет — дело рук не просто китайских кракеров, а кракеров, находящихся на государственной службе. Mandiant, одна из security-фирм, работающих на NYT, даже дала им название: «группа A.P.T. number 12?. Понятно, что дальше должен был произойти скандал — и он, конечно, случился: МИД Китая, другие официальные лица выступили с заявлениями, смысл которых сводится к недопустимости подобных обвинений без твёрдых доказательств. Что ж, китайскую сторону поддержал и кое-кто из западных журналистов (мол, даже если следы действительно ведут в Поднебесную, это ещё не значит, что виноваты китайские власти), но я предлагаю на этом остановиться и обратиться к другому аспекту истории.

Атаку на NYT, повторюсь, ждали, за ней следили, она вышла из-под контроля, а когда контроль над компьютерами издательства удалось восстановить в полном объёме, специалисты обнаружили почти полсотни экземпляров различных шпионских и атакующих программ. При этом защита — основанная в данном случае на инструментах Symantec — среагировала только на один (!) из образчиков заразы. Из этого популярная пресса немедленно сделала малоприятный вывод: если вами заинтересовались профессионалы, обычная защита вас не спасёт. Сама Symantec попыталась этот вердикт смягчить: мол, только антивируса действительно недостаточно, чтобы жить спокойно в постоянно меняющемся мире, следует использовать весь комплекс защитных средств. Компания не заявляет прямо: купите! Но это читается между строк. New York Times, очевидно, поскупилась, полагаясь лишь на один из компонентов защитного пакета Symantec. А скупой платит… ну, вы помните.

Собственно, в грызне между популярной прессой и антивирусными вендорами нет ничего нового: первая грешит на несовершенство программных продуктов, вторые рекомендуют не жмотиться, и длится это уже бог знает сколько. Но случившееся с NYT и её коллегами по цеху заставляет поставить вопрос ребром. Насколько вообще полезны стоковые защитные продукты — и антивирусы, как их основа?

Реалисты говорят так: если вы знаете каждую программу в корпоративной сети, антивирусы вам не нужны. А если не знаете — они не помогут

Двадцать лет назад антивирусы были устроены просто: сличали кусок кода из программы с образцами известной заразы и при совпадении поднимали тревогу. Такой — сигнатурный — подход и поныне остаётся краеугольным камнем защитных механизмов, но вирусы не стояли на месте, и соответственно не стояли на месте технологии защиты. Вирусы научились шифроваться, мутировать на ходу, маскироваться в системе, внедряясь в ядро или критически важные программы. Самые современные, вроде Stuxnet и Red October, взяли манеру делиться на модули и подгружаться по частям. В свою очередь, защита освоила многогранный поведенческий анализ и — писк моды — анализ репутационный: безопасность каждой контент-единицы определяется комплексной оценкой по десяткам критериев (наличию цифровой подписи, источнику, дате создания и модификации и т.д. и т.п.).

Это то же самое соревнование щита и меча, что и в случае с военными технологиями, и — увы! — атакующие здесь также на шаг впереди. Для нового вируса или шпионской программы всегда можно подобрать новую уязвимость нулевого дня, протестировать на предмет незаметности той или иной защитой — и таким образом гарантировать проникновение в подзащитный периметр. В результате чем дальше, тем менее эффективен цифровой щит: статистика здесь приводится разная, но, к примеру, уже упоминавшаяся Mandiant пару лет назад показала, что антивирусными программами обнаруживается лишь каждый четвёртый образец вредоносного софта на персоналках.

Понятное дело, Mandiant не хуже и не лучше других игроков: она тянет одеяло на себя, предлагая пользоваться своими сервисами и продуктами. Но те немногие эксперты, что рискнули ответить на поставленный выше вопрос беспристрастно, дают парадоксальный ответ. Чтобы сделать домашнюю, корпоративную или национальную защиту эффективней, стоит перераспределить защитный бюджет. Вместо акцента на покупных инструментах следует использовать свободный антивирус и свободные же средства обнаружения проникновений (ClamAV + Snort, к примеру), а высвободившиеся деньги потратить на кастомизацию, подстройку защиты для индивидуальных особенностей ваших систем. Это даст лучший эффект и, возможно, будет дешевле, чем постоянное обновление билета на комфортабельное место в догоняющем составе.

В статье использована иллюстрация Jonathan Kos-Read

К оглавлению

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Московская Биржа проводит IPO: почему в этом нужно участвовать вам? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 159 (full) автора Журнал «Компьютерра»

Московская Биржа проводит IPO: почему в этом нужно участвовать вам? Евгений Золотов Опубликовано 08 февраля 2013 15 февраля Московская Биржа — главная биржевая площадка России — проводит своё IPO. Попросту это означает, что параллельно с акциями


Кто обидел The Pirate Bay — и почему информация не обязана быть свободной? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 161 автора Журнал «Компьютерра»

Кто обидел The Pirate Bay — и почему информация не обязана быть свободной? Евгений Золотов Опубликовано 21 февраля 2013 В мире информационных технологий, словно в политике или религии, есть своего рода леворадикальное течение, сторонники которого свято веруют в максиму:


Мрачные итоги Pwn2Own: почему браузеры так легко взломать и почему линуксоидам можно волноваться меньше? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 164 автора Журнал «Компьютерра»

Мрачные итоги Pwn2Own: почему браузеры так легко взломать и почему линуксоидам можно волноваться меньше? Евгений Золотов Опубликовано 11 марта 2013 В английском айтишном жаргоне есть словечко «pwned», перевести которое на русский можно таким же коротким «поимели». Грубо,


Почему Google уничтожает свой Reader — и почему это хорошо? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 167 автора Журнал «Компьютерра»

Почему Google уничтожает свой Reader — и почему это хорошо? Евгений Золотов Опубликовано 15 марта 2013 Когда в среду руководители Google ставили точку в истории одного из своих многочисленных веб-сервисов, едва ли они могли вообразить, какая реакция за этим последует. Согласно


Как Тим Кук перед китайцами извинялся и почему нам стоит Китаю позавидовать Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 176 автора Журнал «Компьютерра»

Как Тим Кук перед китайцами извинялся и почему нам стоит Китаю позавидовать Евгений Золотов Опубликовано 03 апреля 2013 Китайцы любят и умеют извиняться. Если в русском и английском языках на все случаи демонстрации вины предусмотрено одно-два взаимозаменяемых слова,


Милого узнаю по геному: почему Америка так боится ДНК-отпечатков (и почему не боимся мы) Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 184 автора Журнал «Компьютерра»

Милого узнаю по геному: почему Америка так боится ДНК-отпечатков (и почему не боимся мы) Евгений Золотов Опубликовано 06 июня 2013 Биометрическая идентификация — штука замечательная, но непростая. В теории, по физиологическим особенностям, присущим


Порно, сэр! Почему Великобритания не cможет «выключить клубничку» Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 186 автора Журнал «Компьютерра»

Порно, сэр! Почему Великобритания не cможет «выключить клубничку» Евгений Золотов Опубликовано 01 августа 2013 С порнографией в Сети связано одно железное правило: не хочешь неприятностей — держись подальше. И справедливо оно не только для рядовых


На биржу с черного хода: как и для чего наши ломали NASDAQ? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 187 автора Журнал «Компьютерра»

На биржу с черного хода: как и для чего наши ломали NASDAQ? Евгений Золотов Опубликовано 29 июля 2013 Всякий раз, когда в очередном фантастическом произведении герой попадает в прошлое, я поражаюсь тому, какой ерундой он занимается, чтобы улучшить своё


Жива ещё моя старушка! Почему Windows XP до сих пор ТАК популярна Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 17 (170) автора Журнал «Компьютерра»

Жива ещё моя старушка! Почему Windows XP до сих пор ТАК популярна Евгений Золотов Опубликовано 16 августа 2013 В списке айтишных чудес есть одно, превосходящее любые другие своими размерами. Это Windows XP. Бывшая популярнейшей операционной системой для PC на


Как 3D-печать помогла скиммерам и почему это важно для нас Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 195 автора Журнал «Компьютерра»

Как 3D-печать помогла скиммерам и почему это важно для нас Евгений Золотов Опубликовано 23 августа 2013 Сегодня мы не мыслим жизни без двигателя внутреннего сгорания — и предложи кто-нибудь вернуться к паровой машине, рассмеёмся ему в лицо. Мало кто


Красное на звёздно-полосатом: почему Huawei уходит из США? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 201 автора Журнал «Компьютерра»

Красное на звёздно-полосатом: почему Huawei уходит из США? Евгений Золотов Опубликовано 26 апреля 2013Huawei Technologies покидает Америку. Один из крупнейших производителей телекоммуникационного оборудования на планете — а кто-то считает, что и самый крупный — «более не


Проклятье аккумуляции, или Почему не слышно про супермаховик? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 210 автора Журнал «Компьютерра»

Проклятье аккумуляции, или Почему не слышно про супермаховик? Евгений Золотов Опубликовано 17 октября 2013 Если позволите каплю эмоций, я не перестаю удивляться, какие страсти разгораются каждый раз, когда разговор в этой колонке заходит о «чистой


ТВ на заказ: как Intel строила главный ТВ-сервис Америки, почему не получилось и почему может получиться у нас Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 212 автора Журнал «Компьютерра»

ТВ на заказ: как Intel строила главный ТВ-сервис Америки, почему не получилось и почему может получиться у нас Евгений Золотов Опубликовано 29 ноября 2013 Нечасто, но случается, некоторое событие остаётся незамеченным несправедливо — потому только, что


«Любовь Орлова» и другие «призраки»: почему мы до сих пор теряем корабли? Евгений Золотов

Из книги Цифровой журнал «Компьютерра» № 225 автора Журнал «Компьютерра»

«Любовь Орлова» и другие «призраки»: почему мы до сих пор теряем корабли? Евгений Золотов Опубликовано 30 января 2014 Корабли-призраки — пожалуй, самые замечательные фигуранты морской истории и мифологии. Вид оставленного командой, подчиняющегося


Sony прощается с персоналкой. Но почему? Евгений Золотов

Из книги автора

Sony прощается с персоналкой. Но почему? Евгений Золотов Опубликовано 12 февраля 2014 За два года непрерывно падающих продаж ПК мы навидались всякого. Но пришедшее на днях известие из Японии всё равно стоит особняком: PC-бизнес покидает Sony. Тот чуть ли


Грязь в эфире: почему ошибается «навигатор» в птичьих головах? Евгений Золотов

Из книги автора

Грязь в эфире: почему ошибается «навигатор» в птичьих головах? Евгений Золотов Опубликовано 16 мая 2014 Став доминирующим видом на родной планете, Человек разумный так и не научился управлять своими отходами. Проблема пластика, распадающегося в