Вот горшок пустой: как работают ханипоты для хакеров

«Ростелеком» предложил операторам связи объединить усилия в борьбе с киберпреступниками
Мария Рубникович
Фото: Depositphotos

Операторы уже перестали быть теми, кто просто предоставляет сотовую связь. С развитием концепций «умный дом», «умный город» через них стал проходить огромный поток данных, что превратило их в ключевую мишень для хакеров. В среду, 4 декабря, стало известно, что «Ростелеком» предложил телеком-компаниям активнее использовать ханипоты, или ловушки для киберпреступников. В том, какие существуют угрозы и как с ними предлагают бороться, разбирались «Известия».

Деньги и информация

Интернет позволяет коммуницировать не только людям. Бытовая техника, системы освещения, отопления, кондиционирования, банкоматы и терминалы — все эти предметы можно соединить через сеть и управлять ими из единого центра. Всё определяется как концепция «интернет вещей», или IoT (от английского Internet of things).

Перспективы этого рынка увидели и телекоммуникационные компании. Операторы связи начали предоставлять инфраструктуру для подключения IoT-сервисов, коммуникации для их запуска, а иногда и заниматься самостоятельной разработкой таких сервисов.

Передвижение и время прибытия общественного транспорта, ситуация на улицах города, уровень шума, уровень воды и загрязнения в водоемах — всё это автоматически фиксируется датчиками, камерами и другими устройствами, чтобы делать жизнь горожан комфортнее и безопаснее.

«Умные города, умные квартиры, умные подъезды — все они подключены к интернету, эти данные идут через сети телеком-операторов, — объясняет Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». — Бремя защиты тоже ложится на плечи операторов, потому что в противном случае всё это обернется против нас».

Фото: Depositphotos

Цели атак на операторов могут быть разными. Чаще всего хакеров интересует или информация, или мощности операторов, которые можно использовать для заработка.

В первом случае хакеры могут прослушивать разговоры пользователей, перехватывать их сообщения, во втором — их интересует инфраструктура телеком-операторов, чтобы «майнить» криптовалюту или устроить DDoS-атаку (и, возможно, требовать с оператора деньги за ее прекращение).

В результате всех этих действий проблемы будут и у конечных пользователей. В 2016 году из-за атаки хакеров на уральского сотового оператора «Мотив» пользователи на несколько часов лишились и голосовой связи, и мобильного интернета.

Специалисты отмечают, что это не самые печальные из возможных последствий. Кроме временных проблем со связью атака может привести к заражению устройств, в результате оно может быть сломано, или использовано для шпионажа за владельцем, или же включено в ботнет — сеть компьютеров, которые управляются хакерами удаленно. Тогда оно пополнит «армию», с помощью которой хакеры проводят масштабные атаки и совершают другие противозаконные действия.

В целом стать участником хакерской атаки против своей воли не так уж сложно. Достаточно открыть сайт или файл, содержащий вредоносный код.

Иногда атаки применяются и в политических целях. Представители «Ростелекома» ранее сообщали, что защищались от атак при реализации масштабных национальных проектов — организации системы видеонаблюдения за ходом выборов президента РФ в 2012 году и при проведении ежегодных прямых линий с президентом. Для того чтобы бороться со взломщиками, компании используют разные средства.

Приманка

Распространенное средство борьбы с киберпреступностью — ханипоты. За сладким названием (от англ. honeypot, горшочек с медом) скрывается специальный софт, который имитирует работу уязвимого сервера или устройства. Злоумышленник видит «идеальную точку входа» в систему, подключается, применяет свой набор инструментов, а программа всё это фиксирует. Так специалисты по безопасности не только выигрывают время на отражение атаки, но и получают больше данных о своем противнике.

При этом подразумевается, что «настоящим» ресурсам оператора ничего не угрожает.

Фото: Depositphotos

Автор цитаты

«Ловушки не ставятся во внутрикорпоративные сети, это отдельный изолированный сегмент, так что, даже если что-то пойдет не так, злоумышленник не может пройти дальше», — объясняет Юрий Наместников.

Преимущество ханипотов здесь заключается и в том, что выявить «след» преступника становится значительно проще. «Все прочие системы постоянно генерируют огромный поток событий, выделить из них именно действия атакующего — не всегда тривиальная задача. С ханипотами же не работает никто, кроме злоумышленника, поэтому практически все события, регистрируемые ханипотом, — это исключительно история попытки взлома», — объясняет в беседе с «Известиям» технический директор в АО НИП «Информзащита» Вячеслав Максимов.

Всё равно в плюсе

Создать хороший ханипот, по мнению специалистов, не самая простая задача. «Профессиональные Honeypot — это достаточно сложная тема, поскольку специалистам нужно не просто создать «абстрактную» ловушку, а создать ее так, чтобы злоумышленник не понял, что это ловушка, и считал ее легитимной системой, — уверен Зафар Астанов, ведущий пресейл-инженер компании Group-IB. — Ее надо хорошо встроить в инфраструктуру организации и при необходимости кастомизировать. Таких хороших Honeypot на рынке не так много».

Фото: Global Look Press/Lisa Forster/dpa

Во сколько операторам обойдется реализация проекта — пока не ясно, но специалисты полагают, что огромных средств это все-таки не потребует. Даже не самый высокоинтерактивный ханипот может принести пользу.

Автор цитаты

«Конечно, шанс определить, что это ловушка, у хакера есть, но для этого злоумышленнику всё равно нужно сначала что-то загрузить на нее, попробовать что-то поделать — тогда уже он может догадаться. Но в любом случае безопасники уже получат информацию об инструментах хакера, о том, какого рода была атака, какие первичные вредоносные программы использовались. Значит, они смогут улучшить защиту, и, когда хакер в следующий раз найдет настоящие системы и попробует загрузить на нее тоже самое, у него ничего не получится», — рассуждает в беседе с «Известиями» руководитель исследовательского центра «Лаборатории Касперского».

Главное, полагает специалисты, чтобы дело не ограничилось простым внедрением системы. «Важно не только установить ловушки, но и посадить тех, кто будет анализировать результаты, принимать решение, что делать с выявленными угрозами, как их блокировать, — уверен Наместников. — Сейчас много проектов, которые развивают ханипоты, в них вкладываются европейские операторы. Работа должна идти постоянно. Это всё время гонка между броней и снарядом».

Акцент на том, что нужно работать с информацией, делают и в «Ростелекоме». В пресс-службе «Ростелеком-Солар» «Известиям» подтвердили, что на инфраструктуре компании планируется создание сети ханипотов, и отметили, что взаимодействие между операторами — еще одна не менее важная часть их инициативы. «Обмен информацией о новых методах кибератак между операторами позволит создать единый информационный хаб, который будет агрегировать такие данные максимально быстро. Сейчас некоторые операторы, возможно, используют ханипоты, но не в больших объемах и без организации информационного обмена с коллегами по рынку».