Ошиблись IP-адресом: Штирлиц живет этажом выше

c0ctimyxgae-lr

Страны Запада, среди которых США, Германия, Франция, Дания, выдвинувшие в адрес России обвинения в кибератаках и вмешательстве в свою внутреннюю политику хакеров, так и не смогли предоставить ни одного доказательства. Все словоблудие по этому поводу, априори не являющееся доказательством, не только выставляет обвинителей в неприглядном свете, но и способствует возникновению критически-недоверчивого отношения среди международных IT-экспертов. Эксперты единодушны в мнении, что нынешний уровень технологий в сфере IT делает невозможным определение источника атаки даже для специальных служб.

Непонятно, чем руководствовалась и что ожидала услышать американская журналистка Мегин Келли, втягивая президента РФ Владимира Путина в диалог о «возможных» кибератаках российских хакеров на серверы Демократической партии США, ссылаясь на отчеты 17 агентств по разведке. Российский президент оказался более компетентен, чем она ожидала: «Я читал эти отчеты. В них нет ничего конкретного, только предположения.

Нелепость этих обвинений настолько очевидна, что словосочетание «русские хакеры» стало мемом, а хештег #RussiansDidIt (#ЭтоСделалиРусские) стал своеобразным символом абсурда среди пользователей интернета. Несмотря на то, что спецслужбы США обладают передовыми техническими возможностями для кибершпионажа, определение источника кибератаки является недоступным даже для них.

По словам директора центра компетенции Positive Technologies Алексея Новикова, проблема определения артибуции (источника компьютерных атак) впервые встала перед специалистами примерно в середине 2000-х годов, после первых целевых атак (АРТ). А в полный рост с проблемой столкнулись в 2010 году, после обнаружения вируса Stuxnet, при помощи которого, через блоки управления, был нанесен урон иранским газовым центрифугам, предназначенным для получения обогащенного урана. Именно после той атаки стало очевидным, что из хулиганства и незаконного метода обогащения, кибератаки стали политическим оружием и проблему авторства подобных вирусов необходимо решать.

Как пояснил Алексей Новиков: «Атрибуция предполагает присвоение компьютерных атак какой-либо стране, организации или группе лиц. Это не доказательства в том смысле, в котором этот термин понимается в Уголовном кодексе РФ. Когда мы говорим об атрибуции в сфере информационной безопасности, то предполагаем поиск различных технических аспектов атаки, которые можно приписать определенной стране или группировке». Такими аспектами являются: место регистрации IP-адресов и доменов, участвующих в атаке, анализ программного кода, трассировка до источника атаки и временные параметры.

Принципиально в атрибуции можно выделить три части.

Самым сложным является поиск таких следов нападающего, как IP-адреса, учетные данные, устройства. Сложность этой части заключается не только в сборе исходных следов злоумышленника, но и в координации и оперативном обмене информацией с правоохранительными органами. По мнению руководителя департамента Solar JSOC компании Solar Security Владимира Дрюкова, этот путь является самым уместным.

Вторая часть атрибуции заключается в исследовании совокупности инструментов, используемых при атаке – исходный код вредоносного ПО, данные промежуточных серверов или центров управления атакой и поиск соответствий с кибератаками, по которым атрибуция была успешно проведена. По сути, если провести аналогию с криминалистикой – поиск по почерку. Эта часть, в случае ее успешной реализации, способна дать одни из самых сильных доказательств для атрибуции.

К третьей части атрибуции относятся получение косвенных признаков – время проведения атаки, принадлежность программного обеспечения использованного хакерами, язык общения атакующих и графика активности. Но, так как эти признаки являются косвенными, все заключения, сделанные только на их основании, будут, мягко говоря, неубедительными.

Из всех обвинителей Москвы в кибератаках, только правоохранительные органы США и Дании не ограничились заявлениями в прессе, а выпустили отчеты с обоснованием обвинений. В качестве доказательств в отчетах фигурируют IP-адреса российских операторов Yota и «Ростелеком», а также программ X-agent и PAS Tool PHP Web Kit, которые рекламируются на русскоязычных форумах. Нелепость этого обвинения в том, что программное обеспечение, упомянутое в отчетах, доступно всем желающим в любой стране мира, а из 876 IP-адресов Yota и «Ростелекому» принадлежат около 5% – всего 49.

В вышеперечисленные «доказательствах», предоставленными спецслужбами США в качестве «русского следа», при желании, можно разглядеть чей угодно «след». В том числе и США. Если у американских спецслужб есть данные оперативных источников, то они вряд ли рискнут предоставить их широкой публике.

Центр компьютерной безопасности Дании тоже не стал утруждать себя доказательствами причастности России к взлому электронной почты датских военных и не привел никаких технических подробностей атаки, ограничившись аморфным: «за атакой на Министерство обороны Дании, весьма вероятно, стояла группа APT28», а «оценка основывается на ряде факторов, не все из которых описаны в настоящем докладе». То есть, по сути, датчане предлагают просто поверить на слово.

Резюмируя вышесказанное, можно сказать, что на данный момент не только у спецслужб США, но и в мире, не существует способа, при помощи которого можно со стопроцентной точностью провести атрибуцию и привязать источник кибератак к какой-то конкретной стране, если кибератака осуществлена не малоопытным одиночкой, а группой специалистов. В особенности, если их курирует государство.

Поэтому, все бездоказательные обвинения Москвы в организации хакерских атак, предъявленные по большей части со страниц СМИ, это не более, чем очередная попытка запада очернить Россию, главным эффектом которой стало появление мемов и хештегов, обозначающих абсурд.


Обращаем ваше внимание что следующие экстремистские и террористические организации, запрещены в Российской Федерации: «Свидетели Иеговы», Национал-Большевистская партия, «Правый сектор», «Украинская повстанческая армия» (УПА), «Исламское государство» (ИГ, ИГИЛ, ДАИШ), «Джабхат Фатх аш-Шам», «Джабхат ан-Нусра», «Аль-Каида», «УНА-УНСО», «Талибан», «Меджлис крымско-татарского народа», «Мизантропик Дивижн», «Братство» Корчинского, «Тризуб им. Степана Бандеры», «Организация украинских националистов» (ОУН).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Правила использования материалов

Информационные тексты, опубликованные на сайте jpgazeta.ru могут быть воспроизведены в любых СМИ, на серверах сети Интернет или на любых иных носителях без существенных ограничений по объему и срокам публикации. Цитирование (републикация) фото-, видео- и графических материалов ЖП требует письменного разрешения редакции ЖП. При любом цитировании материалов на серверах сети Интернет активная ссылка на газету «Журналистская Правда» обязательна. 18+

© 2020 ЖУРНАЛИСТСКАЯ ПРАВДА 18+