О Злых Русских Хакерах, халатности вендора и утечках информации
В связи с нашумевшим недавним взломом государственных органов и компаний в США (клиентов компании SolarWinds) так называемыми «Русскими Хакерами» хотелось бы поделиться некоторыми мыслями на эту тему.
Кто пострадал от хакеров
Американцы сообщают о масштабном вторжении хакеров в США через программное обеспечение фирмы SolarWinds. Власти США считают, что основными целями атаки были правительственные учреждения. В числе пострадавших называют министерства обороны, финансов, внутренней безопасности и торговли, а также госдепартамент.
Кроме того, могли пострадать Минэнерго США, Национальное управление по ядерной безопасности, и другие госорганы.
Сенаторы и члены правительства США горячо высказываются в том духе, что это «очень похоже» на очередную атаку Русских Хакеров™. Чуть более адекватные специалисты по информационной безопасности пишут, что атака такая изощренная, что «похожа» на атаку «уровня государства» - "state sponsored attack“.
Были предупреждения
Между тем, интернет-ресурс по информационной безопасности SaveBreach довольно подробно описывает, что атаке предшествовали неоднократные предупреждения независимого эксперта по безопасности Винота Кумара, который смог получить доступ к продуктам компании через логины и пароли, выложенные на GitHub. Заметил он это 19 ноября 2019, т.е. за год до взлома.
Дальше в статье говорится о том, как вредно иметь пароли типа <название компании123> и что надо лучше следить за своими данными для доступа. Это довольно очевидные соображения, хотя, как справедливо указывают авторы статьи, многие администраторы пренебрегают простейшими правилами информационной гигиены.
Мои дополнения к соображениям выше
Компания SolarWinds поставляет софт по управлению ИТ-инфраструктурой 85% компаний от всех компаний из списка Fortune 500, включая AT&T, Boston Consulting, Cable & Wireless, Cablecom Media AG, CBS, Cisco, Harvard University, ING Direct, Kennedy Space Center, Kodak, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, NCR, NEC, Nestle, New York Power Authority, Nielsen Media Research, Nortel, Procter & Gamble, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, также огромное число спецслужб и военных организаций.
Наверное, такие клиенты - это очень хорошо для данной компании, но это также хорошо и для хакеров, поскольку создаёт единую точку уязвимости. Хакерам не нужно взламывать каждого клиента SolarWinds по отдельности, достаточно один раз взломать их продукт (а этому «изощрённому» взлому очень способствует возможность просто получить пароли на GitHub). Кроме того, хотя программное обеспечение SolarWinds и имеет возможность установки в инфраструктуре клиента, оно получает удаленные обновления и техподдержку, а, следовательно, так или иначе может иметь удалённый доступ к ИТ-системам клиента компании.
Компания, конечно, оказалась не в лучшей ситуации и была вынуждена срочно придумывать объяснения такому феерическому провалу.
А вот и злые «русские хакеры»
Тут в голову сразу приходит мысль о злых хакерах и ужасных внешних угрозах. На сайте SolarWinds это сформулировано так: «This was a highly sophisticated cyberattack on our systems that inserted a vulnerability within our Orion® Platform products. This particular intrusion is so targeted and complex that experts are referring to it as the SUNBURST attack». Даже имя атаке придумали.
Признаться в том, что собственные админы – халатные разгильдяи, было бы слишком некрасиво. Вспоминается «Бритва Хэнлона» - принцип, согласно которому «не надо приписывать злому умыслу то, что вполне можно объяснить глупостью». Именно халатность и глупость сотрудников, как известно, являются основными причинами утечек данных и взломов.
Статистика и выводы
Так, согласно исследованию экспертно-аналитического центра InfoWatch, в 2020 году более 45% утечек в мире было спровоцировано именно внутренними сотрудниками.
Ну, и последний вывод, который напрашивается изо всей этой истории. Уж если ты облажался по полной, то вини во всём Русских Хакеров™. Они всё стерпят и не подадут на тебя в американский суд за диффамацию.
США – Россия: особенности утечек информации
Здесь стоит обратить внимание на интересные страновые отличия статистики сообщений об утечках. ГК InfoWatch исследует сообщения об утечках данных c 2007 года. И мы заметили одну забавную особенность. В США, где за утечку данных по вине компании могут ее засудить и буквально обанкротить, в большей части всех сообщений об утечках данных (65 %) винят внешних злоумышленников. А в России, где нет практики наказания компаний за утечку данных, утечки, согласно сообщениям допустивших их компаний, происходят в основном по вине внутренних сотрудников (80 % от всех утечек, согласно статистике экспертно-аналитического центра InfoWatch за 2020 год). Видимо, причиной отличий является вовсе не реальный источник утечки, а её трактовка субъектом, потерявшим данные.
Нужна другая причина
И тут на помощь приходят формулировки типа «highly sophisticated cyberattack», относящиеся к атаке, которой для убедительности желательно присвоить собственное уникальное название.
Ну, и Русские Хакеры (ТМ), как основная, всеми признанная угроза.