Из Украины со взломом. Страна становится эпицентром киберпреступности

Сергей, отказавшийся назвать Фокусу свою фамилию и даже город проживания, не понаслышке знает, что бывает с людьми, наплевательски относящимися к компьютерной безопасности. "Профессия" обязывает: Сергей – хакер. Прекрасно знает он и о том, какое наказание предусматривает украинский Уголовный кодекс для киберпреступников. Поэтому ответил на вопросы по электронной почте, которую создал специально для этой цели и которая была активна всего несколько дней.

– Сергей, сколько времени у вас уйдет на то, чтобы попасть в мой компьютер?
– Несколько минут.
– Какие мои данные вам для этого нужны?
– Ваших данных достаточно в интернете. Вы неосмотрительно ведете страницу в Facebook, где рассказываете много лишнего.

Из разговора с Сергеем становится понятно, что почти все мы уязвимы перед людьми, способными достать о нас любую информацию. По крайней мере ту, что мы выкладываем в интернете, – в социальных сетях или беззаботно общаясь в чатах. И если вы думаете, что в 2011 году не сталкивались с кибератаками, то, скорее всего, только потому, что не заметили этого.

По данным спецслужб, за последний год украинские хакеры украли с кредитных карт во всем мире около сотни миллионов долларов. При этом поражают не только суммы, но и сложные схемы махинаций. По количеству попыток заражения компьютерными вирусами Украина опережает страны Восточной и Западной Европы, а также Центральной Азии, показало исследование "Лаборатории Касперского". С большим отрывом мы обгоняем и США. 48% отечественных интернет-пользователей заявили о росте числа кибератак в этом году. А доля спама в почтовом трафике, по оценкам экспертов, осенью 2011 года составила 79,2%. Можно утверждать, что 2011 год ознаменовал для Украины эпоху расцвета профессионального хакерства.

Набрав в строке поиска Google нехитрое словосочетание "DDOS-атака заказать" можно узнать, что и в этой сфере существуют демпинг и горячие предложения.

"У нас наилучшее соотношение цены и качества! Цены – от 50 долларов в сутки. Надоел сайт конкурента? Закажите DDOS-атаку", – призывают интернет-объявления. Полную анонимность гарантируют все. Деньги перечисляются через PayPal, WebMoney.

За 250 грн. киберхулиганы готовы взломать страничку "ВКонтакте" или добыть пароль ICQ. Хакер по имени Николай такими мелочами не занимается. Ему немногим более 40. Недавно он открыл консалтинговую фирму, но пристрастия к хакерству не утратил. Говорит, для него это стиль жизни. "Интересно побывать там, где никто, кроме таких же профи, как ты, побывать не может", – делится он по специально созданной для нашего разговора аське (ICQ).

Недавняя гордость хакера – по заказу службы безопасности одного люкс-бренда добыл смету расходов на продвижение портала крупной корпорации. Проблем с правоохранительными органами Николай не боится: "Обеспечение собственной безопасности важнее результата проникновения. Иногда на получение нужного доступа можно потратить 6 месяцев".

Телефон под прицелом
Серьезно задуматься об интернет-безопасности стоит и владельцам смарт-фонов.
"Где вы пользуетесь компьютером? На работе, дома. А как часто при вас мобильный телефон? Всегда", – эмоционально рассказывает аналитик отдела IT-безопасности одной из крупнейших украинских компаний Владимир Безмалый. Информационной безопасностью он занимается с 1989 года, начал карьеру еще в рядах Совет- ской Армии. Сегодня у Безмалого вся семья IT-специалисты: он, дочка, сын.

Используя возможности смартфонов, киберзлоумышленники могут не только воровать деньги, но и отслеживать местоположение пользователя. Поэтому у Безмалого на телефоне антивирус, а подробную раскладку движения средств на счете он запрашивает в телефонной компании каждый месяц. Слова IT-специалиста подтверждает статистика. По данным отчета компании Juniper Networks, только в октябре 2011 года вредоносного ПО для Android стало на 110% больше, чем было в сентябре.

А 2 декабря основатель WikiLeaks Джулиан Ассанж выступил с очередным компроматом и посоветовал держать ухо востро владельцам iPhone. По его словам, около 160 организаций во всем мире могут отслеживать местоположение мобильных телефонов, прослушивать их и перехватывать текстовые сообщения. Есть такие организации и в Украине.

IT-специалисты считают, что бороться c подобными проблемами поможет интеграционный подход.

"Сегодня компаниям мало обезопасить себя – им необходимо позаботиться о том, чтобы их сотрудники тоже не стали жертвами хакеров", – делится наблюдениями Глеб Пахаренко, менеджер по информационной безопасности компании "Инфопульс Украина" и идеолог ежегодных конференций Ukrainian Information Security Group. Дело в том, что, взламывая аккаунты сотрудников, киберпреступники находят данные, необходимые для взлома сетей компании. В Украине это особенно легко. Многие пользователи привязывают все аккаунты к одному электронному адресу, используют везде один пароль, доверчиво переходят по ссылкам, присланным даже от незнакомых людей.

Ловля хакера
Одна из главных проблем IT-безопасности в Украине – отсутствие не заангажированного и скоординированного подсчета и оценки хакерских атак. В результате страна не знает, как взламывают ее ресурсы, кто это делает и откуда.

По словам Андрея Шевцова, руководителя команды реагирования на чрезвычайные компьютерные происшествия Украины CERT-UA, занимающейся, среди прочего, реагированием на кибератаки против государственных ресурсов, составить общую картину мешает и отечественная ментальность. Сисадмины боятся рассказать работодателю, что систему взломали; частные пользователи стесняются сообщить о том, что в их компьютер попал подозрительный вирус.

Каждый раз, когда кто-либо атакует официальные web-страницы госучреждений, CERT-UA проводит расследование. Часто на правительственные сайты нападают новички – просто хотят "зарисоваться" перед друзьями. Недавно 16-летний парень пытался просканировать специальной программой сайт президента Украины. Вычислили его почти мгновенно. Если атакуют профессионалы, то их выявляют дольше. Так было, когда в октябре взломали сайт Верховной Рады.

В Национальном авиационном университете тоже горят идеей создать единую информационную базу хаков. Для этого в НАУ работают над всеукраинской вузовской сетью. Всю информацию таким образом охватить не удастся, но ее срез тоже поможет в построении общегосударственной защиты информации. А с заявлением о кибератаках следует идти в милицию.

Если вопрос касается государ-ственной безопасности – делом занимается Служба безопасности Украины. По словам начальника Управления контрразведывательного обеспечения информационной безопасности государства СБУ Виталия Хлевицкого, в ближайшем будущем управление расширят до департамента, который будет выполнять ряд функций: защита интересов государства и прав граждан в информационной сфере от разведывательно-подрывной деятельности зарубежных спецслужб, противоправных посягательств. Сотрудников станет больше (сколько их сейчас – военная тайна). Но мониторингом социальных сетей департамент пока что заниматься не будет.

Что же касается украинских хакеров, то, по словам начальника управления, в основном это люди до 35 лет.

"Все, как правило, с высшим техническим образованием. Хотя есть среди них и гуманитарии – всеобщая компьютеризация дает о себе знать", – говорит Хлевицкий. Но разговоры о том, что наши хакеры самые агрессивные в мире, он не одобряет. Хакерство сегодня не игрушки. В прошлом году страны – члены НАТО приняли стратегию до 2020 года, которая приравняла кибератаки к военной угрозе. То есть в случае сверхсерьезной кибератаки страны – члены НАТО могут применять военную силу.

Украсть миллион
Самые громкие преступления, совершенные при участии украинских хакеров и раскрытые СБУ совместно со спецслужбами других стран

Октябрь 2010 – похищение $140 млн.* Украинцев в международной группировке было около 20 человек. Они атаковали компьютеры вирусами и получали доступ к чужим расчетным счетам.

Июнь 2011 – похищение $70 млн.* Международная группировка работала под прикрытием легальной фирмы и якобы занималась созданием антивирусного ПО. На самом деле создавала вирусы, которые давали доступ к счетам. Спецслужбы провели 30 обысков в 11 странах, причем 19 из них в Украине.

Август 2011 – похищение $20 млн.* Операция называлась "Поставка". Арестовали четырех жителей Украины. Группировка изготавливала поддельные пластиковые карточки и снимала деньги с чужих счетов.
*По оценкам иностранных экспертов
По данным Службы безопасности Украины

Сколько дают
Какое наказание предусматривает для хакеров Уголовный кодекс Украины
Кибератаки, которые привели к утечке, потере, искажению информации – от штрафа в размере 600 необлагаемых минимумов доходов граждан до лишения свободы на срок до 3 лет.
Если те же действия совершены повторно или группой по сговору, или причинен значительный вред – лишение свободы на срок от 3 до 6 лет.

Создание компьютерных вирусов для их использования или распространения – от 500 необлагаемых минимумов до лишения свободы на срок до 2 лет.
Повторно или группой по сговору, или причинен значительный вред – лишение свободы на срок до 5 лет.

Рассылка спама, который привел к нарушению работы компьютеров – от 500 необлагаемых минимумов до ограничения свободы на срок до 3 лет.
Повторно или группой по сговору, или причинен значительный вред – ограничение или лишение свободы на срок до 5 лет.

Мошенничество, совершенное в крупных размерах или с использованием компьютеров – лишение свободы на срок от 3 до 8 лет.

Согласно Уголовному кодексу Украины, статьи 190, 363-1, 361-1, 361
Туда не ходи
Где пользователи чаще всего цепляют компьютерные вирусы

• посещение порносайтов
• переходы по рекламе
• поиск бесплатного ПО

По данным "Лаборатории Касперского"

Раз плюнуть
10 самых распространенных и ненадежных паролей
1. password
2. 123456
3. 12345678
4. qwerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon

По данным разработчика менеджеров паролей и приложений для защиты данных SplashData

Анна Устенко, Фокус