четверг, 5 ноября 2009 г.

О мотивации и демотивации

Одна моя знакомая недавно подключилась к Интернету. То есть до того она о нем только слышала, да и не нужен ей он был. Но возможность пообщаться с друзьями дества, которых жизнь разбросала по всему земному шару - штука заманчивая. Как всегда в подобных случаях, произошел стандартный диалог.

- Послушай, год твоего рождения - не самый лучший выбор для пароля от почтового ящика.
- А что, разве моя почта может кому-то понадобиться? Зачем?

Наивно? Конечно наивно - но только когда речь идет о личной переписке. А когда подобные вопросы задает специалист по информационной безоопасности - какой эпитет использовать?

Честно говоря, я устал объяснять айтишникам, что нужно защищаться не только от вирусов, но и от внешнего проникновения. Казалось бы, соглашаются, что и с патчами у них плохо, и с конфигами файрволов не идеально, и с паролями пользователей беда. Но на эту угрозу они старательно закрывают глаза. Нарушитель, считают они, не будет заморачиваться атакой на их сеть, потому что ему это, дескать, не выгодно.

Ну что ж, давайте посмотрим, уместно ли к внешним атакам применять слово "выгода".

Мотивация

Присутствует ли в атаках меркантильный интерес? О да, еще бы. Но является ли этот мотив единственным? Давайте посмотрим на примере все того же Гонзалеса.

С мая 2006 г. Гонзалес с подельниками "выкачивают" из TJX дампы пластиковых карт и продают их через кардерский форум. Операция приносит неплохой доход - только один аплоад (40 000 000 дампов) принес ему $400 000. Вполне себе неплохой доход. И тем не менее, осенью 2007 он начинает атаку уже на следующую жертву.

Что им движет? Явно не отсутствие денег - на момент ареста только на его банковском счету было больше полутора миллионов долларов. Денег много не бывает? Так ведь опять же, не похоже. Смотрите сами: по отчету Symantec, выручка от продажи дампов составляет от 6 центов до 30 долларов за дамп. Ну, допустим, в среднем - около 10 долларов за дамп. Поставьте себя на место Гонзалеса: как бы вы распорядились сорока миллионами дампов? Я бы разбил их на сравнительно небольшие партии (тысяч по 10) и продавал по-отдельности, без ажиотажа, ориентируясь на минимальный порог в 1 доллар за дамп. Гонзалес же такими мелочами не заморачивается - он продает их разом по цене 1 цент за дамп. Сколько он недополучил? Для алчного типа - ну очень нелогичное поведение.

Собственно, на это я и хотел обратить внимания: разрабатывая модель нарушителя, мы часто оперируем критериями выгодно/невыгодно, разумно/неразумно, логично/нелогично. Но нарушитель - живой человек, со своими желаниями, эмоциями, комплексами и прочими тараканами. Разум, логика и выгода - не единственные критерии принятия решения.

Что двигает нарушителем кроме выгоды? Навскидку можно назвать еще минимум два мотива: самореализацию и самоутверждение. Самореализация - вообще мощнейший мотиватор, едва ли не второй двигатель прогресса (после лени), а самоутверждение... Ну, скажем так: это две стороны одной медали - эти два мотива трудно разделить.

Хакер, как и любой художник, хочет признания, но идет к нему по-своему. Кому-то достаточно осознания собственной крутизны. Кто-то развивает и публикует методы эксплуатации уязвимостей, или новые типы уязвимостей, или просто практикуется в том, чего еще не умеет. Кто-то дефейсит сайты известных личностей и компаний, ломает аккаунты друзей и недругов в почтовых ящиках и социальных сетях. Методы самореализации бывают самыми разными, но все они одинаково иррациональны. Кто-то утверждает, что взлом "just for fun" уже не в моде? Мягко говоря, необоснованное утверждение.

И тут появляется элемент самоутверждения. Взлом интернет-сайта - занятие довольно рутинное, но оно становится гораздо более заманчивым, если взламывается ресурс достойного соперника. Причем критерии достойности, опять-таки, иррациональны и сильно варьируются: кто-то гордится сложностью проделанной работы, кто-то - извеcтностью взломанного ресурса и т.п. Недавно появилось сразу несколько статей про уязвимости на Securelist.com. Собственно, сайтов, которые можно использовать как образец "вот так делать нельзя" - каждый третий. Но  посамоутверждаться на бренде Касперских гораздо заманчивее, чем на каком-нибудь "Клубе гольяновских гопников".

А теперь представьте, что у вас есть возможность безнаказанно, совершенно не рискуя, взломать корпоративную сеть известной компании, безопасники которой пиарятся на каждом втором мероприятии по ИБ. Да еще, пусть с призрачной, потенциальной возможностью чем-нибудь поживиться в результате успешной атаки. Заманчиво?

Конечно, ключевое словосочетание - "совершенно не рискуя". И вот тут российским безопасникам, что называется, "не судьба".

Демотивация

Опять-таки, можно выделить три фактора, способных снизить мотивацию нарушителя:

  • возможность наказания
  • техничекая сложность атаки
  • профилактические меры
Факторы, точно так же, взаимосвязанные.

Некоторые эксперты утверждают, что никакой хакер не пойдет на серьезное правонарушение без особой выгоды, опасаясь, что "его посодють". Давайте посмотрим на ситуацию глазами самого нарушителя. Если верить Нургалиеву, за год в РФ регистрируется 15000 нарушений в сфере высоких технологий. По скольким из них возбуждаются уголовные дела - неизвестно, в устных беседах несколько раз звучало число 2000. Сколько из них доходит до приговора - тайна сия великая есть. Все те же эксперты утверждают, что "ловят зарвавшихся, а на остальных машут рукой". Не знаю, не знаю, может быть, но с точки зрения нарушителя все выглядит совсем иначе. Он не читает сводок мингистерства, не интересуется отчетностью МинЮста, зато с интересом следит за прессой. И видит простой расклад: с одной стороны - 15000 инцидентов, с другой - десятка два публикаций об арестованных хакерах. Да каких хакерах!!!

Хакеру-ваххабиту предъявлено обвинение
Банда киберпреступников украла с чужих счетов 5,6 млн рублей (напомню: непосредственный исполнитель проводил атаки со своего домашнего компьютера, не утруждая себя маскировкой)
Программист отомстил экс-начальнику, уничтожив служебную информацию
За взлом страницы "Вконтакте" удмуртскому хакеру грозит 2 года тюрьмы (это тот недоделанный Ромео, который напакостил несостоявшейся Джульетте)
Жителя Прокопьевска судят за выход в интернет под чужими логином и паролем

Ну и так далее. Когда читаешь подобные публикации, создается впечатление, что поймать удаентся не столько "зарвавшихся", сколько неудачников, неумех или клинических идиотов. А наш нарушитель отнюдь не идиот, во всяком случае сам себя он таким не считает, и прекрасно понимает, что отследить человека, раобтающего через TOR, через подключение к публичной беспроводной точке доступа или из-за границы, практически нереально. Так что российская статистика раскрываемости не только не пугает его, но и создает впечатление безнаказанности.


Что касается техничекой сложности атак, то ее, этой сложности, и нет вовсе. Metasploit Framework, Cain & Abel, BackTrack, Rainbow Tables и куча другого необходимого инструментария вполне себе доступна, а главное - работала, работает и будет работать еще долго.


А почему? Во многом благодаря отсутствию противодействия со стороны российских безопасников. Вроде понятно, что профилактические меры намного эффективнее, чем попытки найти и наказать нарушителя (тем более - заставить заплатить за причиненный ущерб). Для средних, тем более - крупных западных компаний считается нормальным подписаться на любую из многочисленных рассылок о появлении критических уязвимостей. Во всяком случае для западной компании не является чем-то из ряда вон выходящим при появлении очередного критического патча от Microsoft разослать по подразделениям циркулярное распоряжение установить этот патч на рабочие места. Про более "продвинутые" процессы вроде управления уязвимостями я уже и не говорю. Российские же безопасники продолжают усиленно считать хакерскую атаку фантастическим сюжетом для очередного фильма с Брюсом Уиллисом.


Мораль

Конечно, глупо зацикливаться на хакерах, имея массу других, более актуальных проблем. Но пренебрегать элементарными мерами безопасности, такими как контроль уязвимостей в Web-приложениях, контроль настроек файрволов, патч-менеджмент, надеясь только на "авось" - все равно, что не мыть руки перед едой. Впрочем, подавляющее большинство моих знакомых руки перед едой не моет.

4 коммент.:

Dmitry Evteev 5 ноября 2009 г., 13:29  

ох и узнаю много знакомых оттенков по тексту:))) хороший материал/хорошая форма изложения

malotavr 6 ноября 2009 г., 1:27  

Дык, с кем поведешься...

Ригель 6 ноября 2009 г., 5:30  

> Но является ли этот мотив единственным?

Давайте посмотрим на примере все того же Маслоу))

malotavr 6 ноября 2009 г., 6:09  

Давайте посмотрим на примере все того же Маслоу

Потребность в самовыражении как вершина иерархии потребностей? :) Ну да, она самая :)

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP