Как украсть все деньги у компании.
12 декабря 2017

System Hacking

Защита компьютера бухгалтера: или как украсть все деньги.
Вместо эпиграфа:

Дмитрий открыл глаза и посмотрел на часы. 4:47.
- С чего бы это? - подумал он. За окном была ночь, ребенок и жена мирно сопели. Он огляделся в поисках причины своего пробуждения, осторожно встал с кровати, прошелся по квартире. Дверь заперта, в доме никого.
- Заработался. - подумал он, направляясь к кровати. Ребенок почмокал и повернулся во сне, краем глаза Дмитрий заметил потухающий свет экрана телефона. Осторожно подойдя к столику, он поднял его и удивленно увидел 23 непрочитанные смс. -Ничего себе! - подумал Дмитрий, набирая код разблокировки. Это были последние минуты его спокойствия.
22 смс принадлежали банку. Все они сообщали о снятии денег со счета и их переводы на совершенно разные и не знакомые ему счета.

Служба технической поддержки банка ответила лишь через 15 минут и сообщила, что переводы все легальные и подтверждены его подписью, что они конечно-же отправят заявку в службу безопасности для рассмотрения, но так как подписано его ключем, то оснований для отзыва платежей нет.

На счету компании Дмитрия оставалось 4 рубля 11 копеек. До выплаты зарплаты сотрудникам оставалось 6 дней, два из которых приходились на выходные.

Утром в 8:10 в кабинет к Дмитрию вошла бледная бухгалтер, за е? спиной, нервно переминался помятый системный администратор.

- Что случилось, Анна Сергеевна?
Анна Сергеевна, обернулась в сторону системного администратора, тот выступил вперед…
- Дмитрий Анатольевич, компьютер бухгалтера взломали. Я сейчас отключил его от сети, но он…
- Что?!
- Он среагировал на отключение от интернета и зашифровал часть документов на нем, прежде чем я его вырубил по питанию.
- Что за документы? - спросил директор, переводя взгляд на бухгалтера
- Договоры, учредительные и все кадры…
- И вся локальная база 1С. - Вставил системный администратор.
- А ты куда смотрел? У нас есть бекапы?
- Да. Ночь с воскресенья на понедельник.
- Сегодня среда!

В дверь постучались и зашла начальник отдела продаж.
- Дмитрий Анатольевич, я коротенько, у нас база не открывается.
Директор перевел взгляд на побледневшего системного администратора.

---


Жуткая картина для любого владельца бизнеса, правда?
К сожалению, это не такая уж редкость. Работая на IT рынке, к нам в среднем раз в 10 месяцев обращается компания, которая пережила такую или аналогичную атаку. Состояние владельца бизнеса можно понять. Обязательства компании перед контрагентами, сотрудниками, государственными фискальными органами никакие катаклизмы не отменяют. А бизнес парализован.

Кражи денег со счетов с использованием мобильных банков, онлайн банков не редкость. Вы замечали, что общественность это уже не воспринимает, как какую то аномалию. Подобное к сожалению, стало обыденностью. В сети легко раздают советы, что надо строить безопасную систему. Но как е? строить?

Средний и малый бизнес "защищены" своей малостью, непривлекательностью и массовостью. Низкая вероятность "попадания" в прицел хакеров, создают у владельцев иллюзию защищенности. Этим пользуются обслуживаиющие компании системные администраторы. Пока не случится непоправимое.

Построение защищенной системы начинается с инфраструктуры. Это то, как организованы ресурсы вашей компании, как они положены на информационные технологии. В месте с этим, не менее, важным фактором является осведомленность пользователей о правилах информационной безопасности. Это понимание, что можно делать, что делать нельзя и что делать в подозрительных случаях.

В команде должен быть как минимум один, а лучше два, компетентных в вопросах информационной безопасности специалиста.
Без них, это игра на авось.

Отдельно хочу отметить про антивирус.
Антивирус не панацея. И в общем случае, как рубеж защиты может рассматриваться, только при наличии других.
Если вся ваша защита - это антивирус,которому Вы доверяете, ну или доверяет ваш системный администратор, то пожалуй, вы в опасности большей, чем предполагаете. Давайте задумаемся, на чем основано доверие антивирусу вашего системного администратора?
- Он может оценить, что может антивирус поймать, а что нет?
- Он проводил анализ на защищенность и на чувствительность антивируса к неизвестным вирусам?
- Он сам, без антивируса, руками, сможет вычислить и нейтрализовать вирус, чтобы адекватно оценить возможности антивируса?

Если у вас три ответа "нет" или "хм, не уверен", значит, уверенность построена на маркетинговых материалах антивирусных компаний, "общественном мнении" и "мнений различных гуру". Понимаете, в чьих руках безопасность вашего бизнеса?

Нельзя терять из внимания организационные меры.
А именно то, как и где хранятся ключи доступа и как они защищены.

Немножко теоретической практики.
Если вы подтверждаете платежи в банке по смс, то у меня для вас невеселая новость. Оборудование для перехвата смс, стоит примерно 1500-2000 евро. Всего! Таким образом, если стоит вопрос о суммах превышающих 2000 евро на один, два порядка, это где-то от 1.5 миллионах рублей, забудьте об этом механизме защиты. Если на вашем счете больше 2-3х миллионов, подтверждение по смс - вообще можно не рассматривать, как инструмент защиты.

Еще один распространенный механизм упрощения себе жизни и одновременно подъем до предела риска краж - это хранение копий электронных ключей в памяти компьютере. Да, понимаю, что бухгалтеру удобно, что зашел в клиент-банк, нажал кнопку и всё подписалось. Проблема заключается в том, что вирусный комплекс, который не обнаруживается антивирусом - стоит на черном рынке около 100 тысяч рублей. То есть, если речь идет примерно о 10 миллионах, то компьютер бухгалтера становится мишенью, которую надо выводить с линии огня. Ваш IT'шник знает, как это сделать?

Рассмотрим группы риска.

Малый и средний бизнес, обычно обслуживается обычными админами, некоторые страдают паранойей, изобретая сложнейшие пароли, которые пользователи сразу же наклеивают себе на мониторы. Другие сильно повернуты на антивирусах, выкручивая им уровень параноидальности на максимум, активируя все мыслимые опции и надеясь, что теперь то они точно защищены, что зачастую, далеко от правды.
Ну и разумеется, есть широкая категория админов, которые защищают компанию рассуждением, а кто о нас знает?

Атака на компанию - это всегда риск для хакера. Нет, не риск своего обнаружения, а риск потери эксклюзивного и не дешевого инструмента в обмен на мизерную отдачу.

Поэтому, малый бизнес выпадает из прицела своей малой ценностью, большой бизнес тоже выпадает из прицела, потому что имеет квалифицированных специалистов, способных обнаружить прощупывание и аккуратно завлечь хакера в ловушку. Такие ловушки называются хонейпот (honeypot), будучи хорошо настроенными, в автоматическом режиме могут собрать достаточное количество информации, которую могут принять правоохранительные органы.

В группе максимального риска оказывается средний бизнес, где деньги уже большие, а обслуживание и уровень квалификации исторически тянется из низкоквалифицированного прошлого.
Еще один обезоруживающий фактор - это сложность переделки уже сложившейся IT инфраструктуры. Бреши в безопасности, изначально заложенные на ранних стадиях, становятся точками входа в случае целенаправленных атак.

Что же делать, чтобы не оказаться на месте нашего генерального директора из эпиграфа?
Действовать.

1. Оценить компетенции вашего системного администратора. Именно ему выстраивать защиту вашей компании. Вам не обязательно заниматься оценкой самостоятельно, на рынке существует ряд IT компаний, которые смогут вам помочь в этом вопросе.

2. Запросить разработку плана обеспечения информационной безопасности. Сюда обязательно должна войти разработка модели угроз, хотя бы в упрощенной форме, которая показывала бы узлы вашей инфраструктуры с оценкой вероятности их взлома, ранжированные по типам угроз и стоимости ущерба.

3. После разработки модели угроз, должен быть представлен план по минимизации угроз, на этом этапе согласовывается бюджет, подбираются исполнители или планируются собственные силы.

4. Заключаются договора с подрядными организациями или начинаются работы по внедрению собственными силами. Обязателен объективный контроль качества исполнения, который должен быть прописан на этапе планирования мероприятий.

По завершении работ делается приемка, повторная оценка угроз и если результаты удовлетворительные, то работы на текущем этапе, можно считать завершенными.

Как показывает практика, наиболее подходящий способ - это привлечение аутсорсинговой компании к производству работ. Преимущество этого подхода раскрывается с началом работ. Составление модели угроз требует большого опыта и погруженности в тематику. Это интеллектуально ?мкая работа. Сами работы по приведению должны производиться без остановки бизнеса. Это еще один ресурсоемкий этап. Зачастую, на время изменения, требуется дублирование IT подсистем.

Каждый этап работ - это серьезная дополнительная нагрузка на системного администратора сверх его обычной работы. Именно по этой причине, многие преобразования в компаниях, откладываются, а дыры в безопасности остаются незакрытыми годами. Любой переход на новый уровень качества - это дополнительная нагрузка не только на системного администратора, но и на сотрудников, которые должны изменить свои подходы к ведению дел. Необходимо эффективно преодолевать сопротивление сотрудников, а это нагрузка на руководителей отделов.

Таким образом, укрепление информационной безопасности - это многослойный и сложный процесс, результат которого всегда выражен отсутствием катастрофических последствий и поступательным развитием бизнеса. Мысль о том, что на безопасности можно сэкономить часто подпитывается российской "авось пронесет" и желанием сэкономить. Возможно это сработает. Ведь пока к вашему счету имеют доступ только доверенные вам люди.

Или нет?!

 

12>