Крутой Уокер для Сети
Речь идет о приобретении группой компаний LETA 50% фирмы по расследованию компьютерных преступлений Group-IB. Сумма сделки партнерами не раскрывается, но каким-то ориентиром может служить то, что в 2009 году оборот Group-IB составил, по данным самой компании, 43 млн руб. Суть же вопроса в том, что впервые предпринята внятная попытка объединить разнонаправленные усилия по борьбе с киберпреступностью – превентивную защиту (LETA) и расследование уже состоявшихся инцидентов с доведением дела до суда (Group-IB). То есть формируется некая комплексная структура противостояния киберпреступлениям. Очень небольшая в сравнении с масштабами страны или рынка, но создающая интересный прецедент. «Клиенты сегодня, – убежден президент LETA Group Александр Чачава, – хотят не только строить безопасную инфраструктуру, но и привлекать преступников к ответственности».
Неотвратимость наказания
Дополнение систем защиты расследованием преступлений в киберсфере – логичный шаг. Практика показывает, что простое наращивание доли бюджета, направляемого на ИБ, не ведет к сокращению количества инцидентов. Более того, и тот, и другой показатели идут вверх почти параллельно. Сравнить это можно только с гонкой вооружений, когда все более могучему оборонительному оружию тут же противопоставляется еще более мощное наступательное, и так без конца.
В подобной ситуации решающим фактором, способным склонить чашу весов в пользу «хороших парней», может и должна стать неотвратимость наказания как главный фактор сдерживания криминальной активности. А с этим в России дела обстоят не лучшим образом. По данным доклада Symantec Intelligence Quarterly за апрель–июнь 2010 года, наша страна занимает в регионе EMEA (Европа, Ближний Восток и Африка) четвертое, а не первое место по доле криминальной киберактивности (7% против 13% у находящейся на первой строчке Германии). Но это говорит скорее не об успехах в борьбе с криминалом, а о том, что слишком многие злоумышленники остались невыявленными и от наказания ушли.
«Основное средство производства – это скромное серое вещество весом приблизительно 1,3 кг. Это человеческий мозг».
Кьелл Нордстрем, преподаватель в Стокгольмской школе экономики (СШЭ),
и Йонас Риддерстрале, бизнес-консультант в Центре изучения лидерства при СШЭ
По оценкам гендиректора Group-IB Ильи Сачкова, в России ежегодно к реальной ответственности за преступления в киберпространстве привлекаются 5–7 человек, а в США счет идет на тысячи. В нашей стране существует только один сертифицированный центр экстренного реагирования на инциденты CERT (Computer Emergency Response Team), а в Америке их свыше 50. А ведь злоумышленники в Сети действуют здесь и сейчас, в режиме реального времени, не дожидаясь, пока инцидент будет зафиксирован и уже тем более бюрократическая машина провернется, и будет начато расследование.
К этому стоит добавить во многом еще сырое законодательство в данной сфере. Хороший пример приводит Илья Сачков: один из самых распространенных на сегодня видов киберпреступлений – DDoS-атаки, а доведенных до суда таких дел – меньше десятка. (DDoS-атака – от англ. Distributed Denial of Service, когда на сервер-жертву обрушивается лавина ложных запросов со множества компьютеров в разных концах света, владельцы которых могут и не подозревать о том, что их «машина» участвует в атаке. Подвергшийся нападению сервер тратит ресурсы на обслуживание ложных запросов и не отвечает обычным пользователям.) «Рост киберпреступности сдерживать достаточно сложно, так как с момента возникновения новых угроз до разработки средств защиты и их внедрения проходит некоторое время, – считает менеджер по работе с корпоративными заказчиками компании Aladdin Денис Калемберг. – Кроме того, ситуацию усугубляет отсутствие многих необходимых отраслевых регламентов по обеспечению ИБ, а также слишком мягкая ответственность за компьютерные преступления».
Шерифы кибермира
Здесь сразу следует оговориться, что, как напоминает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев, «согласно законодательству России, расследованием преступлений имеют право заниматься только правоохранительные органы. В случае необходимости они могут привлекать к расследованию независимых экспертов-консультантов, от которых требуется проведение различных экспертиз, например, определяющих наличие в коде программы вредоносного функционала и так далее». «Лаборатория Касперского», в частности, проводит десятки подобных экспертиз в год.
«Взломаем почту анонимно, качественно и конфиденциально. Сроки – от 1 до 5 дней. Помните, что взлом почты не может стоить дешево! Стоимость взлома почты – 10 000 рублей. Стоимость взлома корпоративной почты – 40 000 рублей. Не ищите дешевле, Вас могут кинуть!»
Реклама нелегальных услуг в Сети
Group-IB экспертизами не ограничивается. Алгоритм ее действий можно проследить по совсем свежему и нашумевшему делу. 31 августа в Москве была задержана группа хакеров, распространявшая через популярные новостные ресурсы и социальные сети блокировавший работу компьютера вирус. На мониторе появлялась порнографическая картинка, избавиться от которой можно было, только получив пароль, а для этого требовалось послать платное (от 300 до 1000 руб.) SMS на некий короткий номер. Примерно за год злоумышленники получили таким образом свыше 500 млн руб. Количество зараженных сайтов, по данным следствия, измеряется сотнями, а то и тысячами, а число пострадавших пользователей – десятками тысяч, причем не только в России, но и на Украине, в Белоруссии, Молдавии, странах Балтии.
Цена на информацию на черном рынке.
Троянская программа для кражи информации 980 – 4900$
Номер кредитной карты с PIN-кодом 490$
Номер кредитной карты 6 – 24$
Аккаунт системы электронных платежей 6$
Паспортные данные, водительское удостоверение 147$
Источник: Group-Ib
Group-IB, опираясь на свои, во многом пока уникальные для нашего рынка возможности (например, в компании есть лаборатория компьютерной криминалистики), активно принимала участие в расследовании этой преступной схемы. Притом что все оперативно-розыскные мероприятия осуществляли сотрудники соответствующих служб, работа специалистов фирмы состояла в том, чтобы получать, закреплять, анализировать доказательства, понять, кто, что и как делает, отследить цепочку оплаты. Эксперты Group-IB участвовали и в некоторых обысках, помогая правоохранителям не повредить доказательства и получить их в нужном объеме. В результате по подозрению в мошенничестве и распространении вредоносных программ были задержаны 10 человек. Речь идет о составе преступления, предусмотренного статьями 159 и 273 УК РФ, предполагающими от 7 до 10 лет лишения свободы и штраф до 1 млн руб.
«Вас могут кинуть!»
По экспертным данным, основу криминальной киберактивности в России сегодня составляют бот-сети (рассылка спама, кража конфиденциальной информации) и DDoS-атаки на интернет-ресурсы. Наибольшим рискам, как показывает практика, подвергаются крупные, вертикально интегрированные организации, банки, что понятно: преступники оседают там, где обильнее финансовые потоки. «Сейчас самым частым преступлением стала кража электронных ключей у клиентов банков. В таких случаях злоумышленники зарабатывают в день до 20 млн руб.», – рассказывает Илья Сачков. Но очень скоро в зону массового риска попадет средний и малый бизнес. «Индивидуальные пользователи интересуют преступников как с точки зрения своих финансовых средств (вымогательство денег, например за разблокировку зараженного компьютера, кража аккаунтов доступа к системам онлайн-банкинга), так и с точки зрения использования мощностей зараженного компьютера – рассылка спама, организация DDoS-атак, распространение вирусов, – считает Александр Гостев. – Для организаций это все тоже типично, но для них еще вероятен промышленный шпионаж, включающий кражу корпоративной информации или совершение киберпреступлений с использованием служебного положения самого преступника или его жертвы».
Стоимость криминальных киберуслуг в России.
Взлом сайта или форума от 50$
Гарантированный взлом почтового ящика на Yandex, Mail, Rambler от 45$
DdoS-атака от 100$
Массовое внедрение троянского и шпионского софта 100$
Рассылка спама 55 – 200$
Источник: Group-Ib
Набирают обороты DDoS-атаки. Организация атаки до 20 Гб на 24 часа обойдется заказчику, по оценкам экспертов, в 200 – 500 евро, в то время как репутационный ущерб может оцениваться в сотни тысяч. Понятно, что широко известно о DDoS-терактах становится далеко не всегда, но и того, что мы знаем, достаточно, чтобы представить себе масштаб проблемы. Только за месяц в августе 2009-го было зафиксировано четыре случая таких DDoS-нападений на системы интернет-банкинга крупнейших российских компаний. В середине июля нынешнего года из-за DDoS-атаки клиенты «Аэрофлота» в течение недели не могли воспользоваться услугой по оплате авиабилетов через Интернет. В итоге авиаперевозчик, сообщал ресурс banki.ru, предъявил иск ВТБ-24, осуществлявшему интернет-эквайринг совместно с платежной системой Assist, и сменил банк. Широко известен на рынке инцидент, например, в «Сургутнефтегазе», когда атака сочетала собственно DDoS-нападение с компрометирующей спам-рассылкой и скупкой дешевевших на этом фоне акций. Сейчас, как рассказал Илья Сачков, Group-IB работает по DDoS-атаке на компанию Kaleva: нападение было отражено, ведется идентификация нарушителей, и к новому году даже возможно возбуждение уголовного дела.
Примечательно, что незаконная деятельность открыто рекламируется в Сети, то есть злоумышленники не только сами обнуляют чужие счета в банках, но и предлагают за определенную плату сделать это всем желающим. Есть сайты, на которых предлагаются услуги по вскрытию систем электронного банкинга или, скажем, электронной почты. Прямо так: «Взломаем почту анонимно, качественно и конфиденциально. Сроки – от 1 до 5 дней. Помните, что взлом почты не может стоить дешево! Стоимость взлома почты – 10 000 рублей. Стоимость взлома корпоративной почты – 40 000 рублей. Не ищите дешевле, Вас могут кинуть!» И ниже – предложение оформить заказ прямо сейчас.
В целом в мире, по расчетам Symantec Intelligence Quarterly, на предложения о краже данных о кредитных картах приходится 28% рекламных объявлений на черном рынке в Сети, а о краже сведений о банковских счетах – 24%, то есть всего более половины предлагаемых криминальных услуг.
Новая ниша
Все это заставляет экспертов говорить о том, что в России, по существу, сформировался рынок профессиональных услуг в области компьютерных преступлений со стандартизированными сервисами, каналами продвижения, расценками, инфраструктурой. Выявить его обороты практически невозможно даже приблизительно, поскольку здесь крайне высока латентность преступлений, состав участников преступного рынка быстро меняется и отсутствует приемлемая система оценки доходов кибермафии, однако консенсус-оценка экспертов – $1 млрд в год. Что же касается отечественного рынка ИБ, то, по мнению экспертов, он меньше, и намного. Так, в LETA Group в 2009 году его оценили в $561 млн. При этом спецслужбы по ряду причин обеспечить качественное раскрытие всех киберпреступлений не могут. Между тем спрос на такого рода услуги явно будет расти, и в этом смысле сделка между LETA Group и Group-IB – явная попытка опередить рынок и занять хорошие позиции во вновь открывающейся нише, предлагая клиентам комплексный сервис в сфере ИБ. Тем более что по большому счету принципиально новых технологий в ИБ нет, а если они и появятся, то тут же станут всеобщим достоянием. Так что конкуренция может идти исключительно за счет цен, которые нельзя снижать до бесконечности, и бизнес-модели. Эту карту и пытаются разыграть LETA и Group-IB.
TOP-10 стран региона EMEA по доле криминальной киберактивности.
Германия – 13%
Великобритания – 9%
Италия – 8%
Россия – 7%
Франция – 6%
Голландия – 5%
Испания – 5%
Польша – 5%
Турция – 3%
Саудовская Аравия – 3%
Источник: Symantec Intelligence Quarterly, april–june, 2010
Еще по теме
Кинг Кэмп Жиллетт, которому часто приписывают изобретение безопасной бритвы, на самом деле лишь довел до ума уже придуманную в конце XIX века модель. Зато как бизнесмен он реализовал стратегию «наживки и крючка», заставляющую покупателей приобретать товар вновь и вновь.
Как показали результаты исследования, проведенного агентством интернет-маркетинга Matik, 90% российских компаний готовы манипулировать интернет-медиа в своих интересах.