Текст книги "Ценность ваших решений: Как современные технологии и искусственный интеллект меняют наше будущее"

Информационная безопасность – важнейшая уязвимость технологий работы с данными и искусственного интеллекта

Помимо целенаправленного военного использования инноваций, что может привести к невероятным открытиям в узком сегменте военной науки за счет мобилизации усилий в ограниченном спектре технологий, возможна конверсия их в различные гражданские сегменты, как, например, получилось с использованием нитрата аммония, появлением интернета и других технологий, имеющих военные корни. В основном же военные инновации остаются в сегменте ограниченного использования и зачастую не получают должной оценки.

Говоря о технологиях работы с данными и все большей алгоритмизации нашей жизни, требующей постоянного сетевого присутствия, нельзя не затронуть вопрос информационной безопасности, возможности обезопасить себя в широком смысле слова от использования «чувствительных» данных в мошеннических целях, а по мере увеличения объемов данных, которыми оперируют различные приложения, их незаконное использование может иметь довольно печальные последствия.

Также существует опасность обучения нейронных сетей без учета требований национальных и международного законодательств, морально-этических и религиозных основ, устоявшихся в человеческом обществе, когда искусственный интеллект в погоне за эффективностью не будет иметь рамок дозволенного, в том числе по отношению к своим создателям. Здесь необходимо отметить, что глобальный интерес политиков к искусственному интеллекту растет, так, количество законов, содержащих слова «искусственный интеллект», выросло с 1 в 2016 г. до 37 в 2022-м.[174]174
  https://aiindex.stanford.edu/wp-content/uploads/2023/04/HAI_AI–Index-Report-2023_CHAPTER_6-1.pdf


[Закрыть] В качестве одного из негативных примеров, законодательно неограниченных возможностей искусственного интеллекта, можно привести ситуацию, когда наравне с невероятно эффективными и неожиданными стратегиями решения боевых задач беспилотник военно-воздушных сил США, управляемый искусственным интеллектом, в ходе имитационных испытаний принял решение «уничтожить своего оператора – человека, который в рамках выполнения сформированной ранее миссии отменил боевую задачу», что, по мнению нейронной сети, являлось препятствием для выполнения его миссии[175]175
  https://www.theguardian.com/us-news/2023/jun/01/us-military-drone-ai-killed-operator-simulated-test


[Закрыть]. Конечно, с учетом того, что этот инцидент произошел на имитационных учениях, никто не пострадал, но подобные случаи говорят о необходимости формирования политики по встраиванию в нейронные сети обязательного этического слоя с наивысшим уровнем приоритета, что позволит избежать даже гипотетического использования искусственного интеллекта против человека.

Вместе с тем существуют многочисленные решения, позволяющие на законных основаниях проводить исследования информации из общедоступных источников, более того, подобные решения поддерживаются на государственном уровне и демонстрируют свою высокую эффективность. Одной из дисциплин, обобщающих решения данного класса, является то, что скрывается под аббревиатурой OSINT[176]176
  OSINT (Open Source Intelligence) – разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также ее обработку и анализ.


[Закрыть]. В этом классе решений уже работает довольно много компаний, и некоторые из них мы упомянем в дальнейшем.

В этой связи значимость вопросов информационной безопасности, защиты данных, программного обеспечения будет возрастать с каждым днем по мере все большей алгоритмизации нашей жизни. Сейчас последствия действий хакеров ограничиваются зачастую прекращением функционирования тех или иных сайтов, приложений, сервисов, что также несет существенные убытки и неудобства, или незаконным использованием тех или иных платежных средств, кражей каких-либо значимых данных, что также крайне неприятно и требует затрат для восстановления финансовых и репутационных потерь. Завтра же, когда алгоритмы на основе данных будут управлять целыми индустриями, а цифровые данные для каждого человека станут самым значимым его накоплением, позволяющим пользоваться всеми благами человеческой цивилизации в цифровую эпоху, важность решений в области информационной безопасности станет определяющей. Именно эти решения будут оберегать мир от техногенных катастроф индустриального, национального, континентального и глобального масштаба, не позволят «сойти с ума» всем цифровым устройствам, которые нас окружают, – беспилотным автомобилям и другим видам транспорта (самолетам, поездам, дронам, квадрокоптерам и т. п.), аварии которых могут привести к человеческим жертвам; различным сервисам, обеспечивающим нас разнообразными медицинскими, образовательными, социальными услугами, работой всевозможных магазинов и платформ доставки, коммуникационными решениями и облачными услугами как для работы, так и для развлечения. Одним словом, создание комфортного современного мира, основанного на использовании невероятных объемов данных, безграничных вычислительных возможностях, технологиях сетевого присутствия и революционных по своим возможностям алгоритмах, – это то, к чему стремятся технологические инновации современного мира, но сохранить и защитить эти достижения – не менее важная задача, решение которой лежит в плоскости информационной безопасности. Учитывая критическую важность этого направления и все возрастающее влияние технологического развития на нашу жизнь, по мнению автора, необходимо уделить этому особое внимание и начнем с вредоносных вмешательств в разнообразные информационные системы, целью которых является получение выгоды от подобного воздействия, включающие в себя целые классы решений, объединенные единым названием – хакерские атаки.

Существует очень много видов хакерских атак, ниже приведем основные. Все это множество просто описывает разные способы достижения трех возможных целей:

 получение полного контроля над информационной системой, сетью, компьютером или смартфоном;

 добыча информации;

 дестабилизация или полный отказ работы информационной системы / сайта / сети / компьютера / смартфона / телефона.

Не претендуя на полноту (эта книга не по информационной безопасности, но обойти этот момент нельзя), хотелось бы познакомить читателя с основными видами хакерских атак.

1. APT-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, чаще всего комбинация нескольких видов атак для достижения поставленной задачи. Таргетированные атаки – атаки, направленные на конкретные коммерческие организации или государственные ведомства. Как правило, такие атаки не носят массового характера и готовятся довольно продолжительное время. Изучаются информационные системы атакуемого объекта, используемое программное обеспечение. Вредоносное программное обеспечение для атаки разрабатывается специально, чтобы штатные антивирусы и средства защиты объекта атаки не смогли обнаружить угрозу. Чаще всего это уязвимости «нулевого дня» и особые алгоритмы связи с исполнителями/заказчиками атаки.

2. Веб-уязвимости. Атака на сайты с использованием слабых мест в программном обеспечении. Это, пожалуй, наиболее распространенный вид, и условно такие атаки можно разделить на несколько подвидов.

 Инъекции – самый распространенный вид веб-уязвимости. Уязвимости подобного класса начинаются SQL-инъекциями в различных их вариантах и заканчиваются RCE – удаленным выполнением кода[177]177
  RCE (Remote Code Execution) – компьютерная уязвимость, при которой происходит удаленное выполнение кода на взламываемом компьютере, сервере и т. п. RCE – максимальная угроза класса А1 по классификации OWASP, это гарантированный способ взлома сайтов и веб-приложений. RCE – одна из самых опасных уязвимостей.


[Закрыть]. Изучается сайт и протокол его общения между клиентом (Client) и сервером (Server), на котором работает сайт. Составляется список всех запросов Client/Server, затем последовательно, запрос за запросом, начинают проверять защиту сайта на устойчивость к чужому коду. Например, в случае SQL-инъекции, если вдруг находится хоть один запрос, в котором имеется возможность дописать свой код, – это говорит о получении доступа злоумышленника к базе данных сайта. То есть это фактически говорит о доступе ко всем данным, хранящимся на этом ресурсе (учетные записи, пароли, персональные данные клиентов, балансы, транзакционные данные, платежные и банковские данные, социальные связи, истории болезней и многое-многое другое в зависимости от ресурса). В случае RCE-инъекции этот способ позволяет исполнить свой код на стороне сервера (Server). Например, это предоставляет возможность изменить уровень доступа к файлам на данном сервере, что позволяет атакующим получить пароли подключения к серверу, что, в свою очередь, дает полный контроль над ресурсом. При этом можно изменить данные, скачать их, а можно и удалить, только в отличие от SQL-инъекции здесь идет речь не только о данных сайта, а еще и о самом сайте, то есть можно после всего удалить, изменить либо скачать сам сайт.

 XSS (Cross-Site Scripting) – межсайтовый скриптинг – уязвимость, встречающаяся на данный момент куда реже, чем раньше, но, несмотря на это, не менее опасная для веб-приложений и пользователей. Особенно для пользователей – атака XSS нацелена именно на них. В этом случае прописывается код, который срабатывает на компьютере каждого либо каких-то определенных пользователей, которые посетили ресурс, что предоставляет злоумышленникам доступ не только к серверу сайта, но и к компьютерам/телефонам посетителей. Риску подвергаются данные, хранящиеся на персональных устройствах (персональные и платежные данные, контакты, календари, заметки, переписка, фото, видео и прочее). Также этот способ в сочетании с уязвимостью «нулевого дня» дает возможность быстрого создания ботнета (огромная масса зараженных устройств, подчиняющихся владельцу ботнета, без ведома владельцев устройств).

 Подделка межсайтовых запросов (CSRF – cross-site request forgery) – это разновидность уязвимости, которая заставляет конечного пользователя выполнить нежелательное действие в веб-приложении, в котором он в настоящий момент проходит проверку подлинности. Нежелательным действием может быть изменение учетных данных пользователя, перевод средств или возможность получить полный доступ через учетную запись пользователя.

 JSON HiJacking-атака (перехват JSON-данных) в некотором смысле похожа на подделку межсайтовых запросов. При ней злоумышленник старается перехватить данные JSON, отправленные приложению с сервера:

■ Атакующий создает вредоносный сайт и встраивает скрипт в свой программный код, который пытается получить доступ к данным JSON от целевого приложения.

■ Пользователь, взаимодействующий с целевым веб-ресурсом, посещает вредоносный сайт (например, за счет приемов социальной инженерии).

■ Поскольку политика одинакового происхождения (SOP – Same-Origin Policy) позволяет включать и выполнять JavaScript с любого сайта в контексте любого другого сайта, пользователь получает доступ к данным JSON.

■ Вредоносный сайт перехватывает данные JSON.

3. Социальная инженерия[178]178
  Социальная инженерия (в контексте информационной безопасности) – психологическое манипулирование людьми, и в первую очередь их данными, с целью совершения определенных действий или разглашения конфиденциальной информации. Следует отличать от понятия социальной инженерии в социальных науках, которое не касается разглашения конфиденциальной информации и манипулирования ею. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа от традиционного мошенничества отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества (Ross J. Anderson. Security Engineering: A Guide to Building Dependable Distributed Systems. – John Wiley & Sons, 2008. – 1080 с.).


[Закрыть] – способ атаки, который рассчитан на человеческий фактор. В каждой информационной системе, ресурсе или приложении всегда присутствует человеческий фактор. Например, какая-нибудь компания Х (допустим, она занимается производством молочной продукции) очень переживает о своей информационной безопасности, нанимает хороших программистов, сайт свой вообще не делает либо делает одностраничным – так называемый сайт-визитка, чтобы нечего было оттуда забрать или нельзя было войти во внутренний контур. Свою производственную линию максимально автоматизирует и изолирует от внешнего мира с точки зрения информационных технологий (то есть всех роботов отключает от внешнего интернета), бухгалтерский учет ведет в своих компьютерах в офисе и данные в налоговую не отправляет через интернет, а приносит на USB-накопителях, то есть полностью изолируется от возможных внешних угроз со стороны информационных систем. Даже в такой почти невозможной ситуации в компании все равно находятся люди, которые имеют выход в интернет и могут совершать необдуманные действия. Например, секретарь директора может получить письмо на свой имейл со специальной ссылкой или картинкой, письмо будет оформлено таким образом, что секретарь обязательно его откроет и перейдет по ссылке. А если не откроет, то будет отправлено другое письмо… Таким образом будет получен доступ к компьютеру секретаря, а уже с компьютера секретаря по внутренней сети компании можно добраться до других, более защищенных компьютеров. Вообще, сложно представить себе универсальную и стопроцентную защиту любого ИТ-продукта или устройства. Благодаря этому способу атаки считается: чем больше цель (компания, банковское учреждение, государственный орган и т. п.), тем больше существует способов подобраться к желаемому.

4. Вредоносное программное обеспечение. Это не совсем способ атаки, а скорее автоматизированный набор инструментов, который используется и пишется для достижения цели как типовое решение. Если в случае APT-атаки злоумышленники изучают конкретную цель, пробуют различные подходы с разных сторон, то в данном случае пишется программа, которая выполняет какую-то задачу (в зависимости от вида вредоносного программного обеспечения) на всех устройствах одинаково. И здесь задача злоумышленника – запустить программу на тысяче компьютеров и получить готовый результат сразу на всей тысяче или на большинстве из них.

 Вирус – программа, которая заражает устройство, то есть сохраняется у жертвы и остается там в скрытом состоянии, выполняя какую-то функцию в интересах злоумышленника. Основная цель – закрепиться на устройстве.

 Вымогатель – разновидность вируса, которая требует от жертвы каких-либо действий, дестабилизировав работу устройства либо полностью ее заблокировав.

 Шифровальщик – разновидность вируса, которая шифрует информацию цели. Таким образом, удалять вирус или звать на помощь штатного администратора нет смысла, так как шифровальщик удалить можно, а информацию без него вернуть невозможно.

 Почтовые черви, рекламные черви и т. п. – это разновидность вирусов, которые распространяются одновременно на большое количество устройств и заражают их. В названиях заложены способы доставки данного программного обеспечения.

 Снифферы (от англ. to sniff – нюхать) – это программное обеспечение, которое позволяет перехватывать интернет-трафик и анализировать его. Оно способно анализировать входящий и исходящий трафик на любом устройстве, подключенном к интернету/сети, и позволяет определить, какие сетевые ресурсы / сайты / приложения вы посещаете, какие файлы загружаете и выгружаете. Например, в каком-то общественном месте можно на wi-fi-роутер установить такой сниффер и получить переписку со всех устройств, которые подключались к этому роутеру. В случае с большими информационными системами или сетями такой сниффер можно установить на какой-либо сервер, и тогда можно будет получать весь трафик всех клиентов, которые выходили в интернет через данный сервер (обычно в большой информационной системе есть главные сервера, а под ними – второстепенные и третьестепенные…). Таким образом, сниффер устанавливается на главный сервер, и с его помощью можно собирать весь исходящий и входящий трафик всей организации с одного компьютера.

 Шпионы – это набор программных решений, позволяющих удаленно запускать различные устройства – веб-камеры, микрофоны, смартфоны и разнообразные приложения на них, смотреть удаленно на мониторы, отслеживать и записывать набираемые пароли, вводимые с клавиатуры.

5. Атака «человек посередине» (MitM – Man-in-the-Middle) – это атаки посредника, которые происходят, когда перехватываются и изменяются электронные сообщения. Примером может служить поддельная точка доступа Wi-Fi, которая выглядит и работает как настоящая, но при этом перехватывает и изменяет информацию. То есть работает как тот же сниффер, но цель этого программного обеспечения не просто получить информацию, а еще и изменить ее (допустим, реквизиты). Вторым примером может послужить такая атака на имейл. Два собеседника могут общаться друг с другом со своих почтовых ящиков, и у одного из них из-за этой программы текст письма меняется после отправки, но до того, как письмо получил адресат. Естественно, оба собеседника этого не знают.

6. Реализация угроз Zero Day / «нулевого дня». Это атака, от которой практически невозможно защититься. Фактически это уязвимость, которая присутствует изначально в программном обеспечении разработчика/производителя. Например, появляется новая версия Windows Server или разновидности Unix, весь мир устанавливает эту версию, а злоумышленник знает, как работают все предыдущие версии этих продуктов, и, досконально изучив предыдущие версии, используя различные способы воздействия на них, нашел способ предоставить себе права администратора верхнего уровня, не используя пароль. Используя ту же самую уязвимость в новой версии программного продукта, можно обнаружить, что, возможно, все продолжает работать по-прежнему и указанные уязвимости не устранены. Получается, что с первого дня работы этих операционных систем есть «универсальная отмычка», а у системных администраторов, которые стоят на страже своих информационных систем, было ноль дней, чтобы подготовиться к такому виду атаки (отсюда и название). Как только устанавливается новая версия/релиз программного обеспечения, оно сразу же становится уязвимым. На сегодняшний день это один из самых опасных видов угроз.

7. Отказ в обслуживании (DDoS – Distributed Denial of Service) – это не отдельная атака, а результат атаки. Используется для вывода системы или отдельных программ из строя. Для этого особым образом пишется запрос к какой-либо программе, после чего она перестает функционировать. Требуется перезагрузка, чтобы вернуть рабочее состояние программы. Пишется сложный запрос к серверу (сложный не для человека, а для компьютера), чтобы поставить перед ним такую задачу, для решения которой понадобится максимальное количество времени и ресурсов, чтобы заставить его выполнить эту задачу огромное количество раз (десятки, сотни миллионов). При этом злоумышленника не интересует результат выполнения этой задачи, он даже не планирует дожидаться ответа, а продолжает постоянно наращивать свои запросы, количество которых может быть таким, что в определенный момент сервер/сайт/ресурс перестает справляться с нагрузкой и начинает пропускать запросы обычных пользователей либо вовсе перестает работать. Перезагрузка необходима, но она поможет только в случае, если хакеры перестали генерировать запросы, а если этот процесс продолжается, то ресурс перестает функционировать и перезагрузка возвращает его работоспособность на очень короткое время. Обычно цель такого вида атаки – не просто выключить сервер / ресурс / информационную систему, а вывести из режима работы на определенное время. Поэтому злоумышленники пишут сложный запрос, используют под эту задачу мощные сервера или ботнет (огромную массу зараженных, подчиняющихся владельцу ботнета устройств, использующихся без ведома владельцев этих устройств) и атакуют цель (сайт, сервер, ресурс и т. п.), поддерживая эту атаку столько времени, сколько необходимо для достижения результата (день, неделю, месяц). Конечно, существуют способы борьбы с подобными атаками. Администраторы атакуемых ресурсов начинают блокировать те устройства (компьютеры, серверы, смартфоны), с которых они получают слишком много заданий, и пытаются в экстренном порядке развернуть дополнительные вычислительные мощности/серверы для обработки существенно увеличившейся нагрузки. В этом случае использование ботнета нивелирует усилия администраторов. При тщательно подготовленной атаке технически владельцы ресурса не могут отличить своего обычного клиента от одного из «зомби-компьютеров». Блокируя доступ вредителям, администраторы ресурса одновременно сами же блокируют работу своих клиентов. При этом администраторы пытаются понять типовое поведение «зомби», а злоумышленники постоянно меняют условия задачи, источники и используемые для атаки решения и серверы. Если обобщить, то DDoS-атака – это длительный процесс, состязание атакующей и защищающейся сторон. Учитывая, что простой большой информационной системы стоит сотни тысяч и даже миллионы долларов потерянного дохода в час, подобные события могут стать очень чувствительными для компаний. В 2020 г. компания Google сообщила, что она подверглась DDoS-атаке мощностью 2,5 Тбит/с, что стало крупнейшей атакой на сегодняшний день и затронуло 180 000 веб-серверов.

8. Brute-Force (взлом пароля, атака полным перебором). Подбор пароля – процесс очень простой, но достаточно долгий и сегодня уже малоэффективный, так как существует много видов защиты. Однако очень многие ресурсы пренебрегают простыми правилами защиты и по сей день остаются подверженными риску Brute-Force. Технически берется максимально большой словарь часто встречающихся паролей, и они подставляются по одному в автоматическом режиме. Так как люди для удобства предпочитают использовать простые и запоминающиеся пароли вроде «12345» и «qwerty», это часто срабатывает (не менее 50 % пользователей используют простые пароли даже в серьезных, защищенных структурах). Если же длина пароля превышает 10 символов, то на подбор могут уйти годы. К этому же способу можно отнести и перехват пароля, дешифровку и любой другой способ его добыть. Пароль не обязательно подбирать, его можно также обнаружить в записках, записях, контактах, получить с помощью средств социальной инженерии, программ-шпионов и других технологий.

9. Внутренняя атака – это атака, основанная на действиях сотрудника внутри компании. Одна из самых сложных задач – это не найти информацию, или ее скачать, или изменить, а оказаться программно на компьютере цели. В больших компаниях для этого зачастую пользуются самым простым, быстрым и проверенным способом, обеспечивающим половину успеха, – в компанию-цель устраивается на работу, на любую, самую неприметную должность сотрудник. Проработав какое-то непродолжительное время, например уборщиком, в удобный момент он вставляет заранее подготовленную флешку в любой компьютер и уже через несколько секунд может ее достать и уйти. Больше от «уборщика» ничего не требуется, флешка сама заставляет компьютер прочитать ее и заразиться, причем буквально в течение одной секунды. Дальнейшая работа выполняется удаленно, посредством описанных выше инструментов и способов.

10. Использование уязвимостей в установленном программном обеспечении. Данный вид атаки основан на известных уязвимостях и распространенных программных решениях. Дело в том, что большинство программ в мире так или иначе имеют свои уязвимости, которые быстро становятся известны. Разработчики выпускают новые версии программных продуктов, а пользователи продолжают работать со старыми уязвимыми версиями, потому что в постоянной череде обновлений не видят внешне никакой разницы между старым и обновленным программным обеспечением, а зачастую берет верх обычная человеческая лень. Подобные уязвимости существуют и в устаревших версиях таких популярных программ, как Skype, Facebook[179]179
  Деятельность Meta Platforms, Inc. (в т. ч. по реализации соцсетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.


[Закрыть], Viber, и многих других, а также распространенных «CMS[180]180
  CMS (Content Management System) – специальные системы по созданию и наполнению интернет-сайтов.


[Закрыть] -движков» интернет-сайтов (Joomla, WordPress, Drupal и др.). Таким образом, нередко можно встретить устаревшие версии программного обеспечения или новые, но довольно низкого качества разработки, что позволяет минимальными усилиями получить доступ к желаемому.

Все перечисленные выше виды хакерских атак работают как по отдельности, так и в комбинации друг с другом, и это лишь основные направления действий злоумышленников. Каждое из этих направлений может быть узкоспециализированным и выполнять более тонкую работу. Планируя подобные действия, хакеры, как правило, отталкиваются от задачи, выбирают цель, проводят глубокий анализ уязвимостей и всевозможных средств защиты, разрабатывают различные сценарии воздействия. На основе собранной информации формируется последовательность действий, необходимый для этого инструментарий, проводится требуемая подготовка, после чего осуществляется атака на цель.