Чтобы вас не взломали, можно просто выработать «иммунитет от хакеров» Как это сделать?
Чтобы вас не взломали, можно просто выработать «иммунитет от хакеров» Как это сделать?
Мир полон умных гаджетов. Умнеет все — от лампочек и чайников до автомобилей и больших информационных систем. Некоторые промышленные предприятия используют так много подобных устройств, что функционируют будто бы сами, как единый организм. Но у этого явления есть и обратная сторона. Умные устройства можно взломать и превратить безобидные на первый взгляд гаджеты в реальное оружие для масштабных атак. Специалисты по кибербезопасности «Лаборатории Касперского» рассказывают, как решают эту проблему (в том числе — с помощью собственных технологий). А еще — предлагают присоединиться к их команде.
Почему взлом гаджетов — реальная проблема
Григорий Сизов, руководитель направления по развитию бизнеса KasperskyOS:
Мы сами не заметили, как оказались в мире IoT. Почти каждое устройство стремятся снабдить не просто микросхемой, а полноценным маленьким компьютером. Но маленькие компьютеры ведь можно взломать. Цели злоумышленников могут быть разные: от простого хулиганства и кражи данных до промышленного шпионажа и остановки больших предприятий.
Теоретически любое умное устройство, которое стоит у вас дома — холодильник, чайник и другую бытовую технику, — можно превратить в прокси-сервер, ботнет, узел сети Tor. Незаметно для вас на умных гаджетах можно майнить криптовалюту. Злоумышленник может удаленно взломать тысячи холодильников и кофемашин по всему миру — тогда в руках у него оказывается мощное кибероружие.
Можно, конечно, испугаться и не покупать такие устройства вовсе, но это тупиковый путь. Во-первых, даже если вы не пользуетесь умными гаджетами сами, они могут быть установлены в вашем многоквартирном доме или даже в парке, где вы обычно прогуливаетесь. Во-вторых, развитие умных устройств — естественная часть прогресса. Мы же не перестаем пользоваться электричеством, боясь короткого замыкания.
В погоне за прибылью компании стремятся быстрее разрабатывать и внедрять новинки, а безопасность IoT-решений отходит на второй план. Киберпреступникам достаточно знать одну-единственную уязвимость драйвера или прошивки, чтобы взломать миллионы устройств, в которых они используются. В итоге защита ложится на плечи специалистов по кибербезопасности.
Утечки из аквариума и армия «боевых» лампочек
Александр Шадрин, руководитель группы разработки KasperskyOS:
Последствия взлома могут быть очень серьезными, особенно если речь идет об атаке на крупные организации. Теоретически, взломав определенные гаджеты, можно получить доступ к управлению целой компанией, заводом или даже городом. Цели могут быть как коммерческие (борьба с конкурентами), так и политические (остановка стратегически важных производств влияет на экономику государства).
Наглядный пример атаки в корпоративном секторе — факсплойт (faxploit), то есть проникновение в корпоративную сеть через взлом умных принтеров. Современный факсимильный аппарат — это многофункциональное устройство, которое, как правило, имеет выход во внутреннюю сеть организации. Злоумышленнику достаточно послать факс специального формата, который активизирует в машине нужный код, а дальше по цепочке блокировать работу всех устройств компании.
Несколько лет назад хакеры получили доступ к внутренней сети казино в Лас-Вегасе через умный аквариум. Он не только радовал посетителей, но и контролировал график кормления рыбок, следил за уровнем соли и температурой. Через внутреннюю сеть термостат был подключен к внешнему серверу, чтобы предупреждать владельца о перегреве или чрезмерном охлаждении воды. Но однажды аквариум отправил куда-то в Норвегию 10 Гб данных — многовато для простого оповещения о температуре воды. Оказалось, кто-то украл данные о крупных игроках. Казино понесло большой репутационный ущерб.
А самая масштабная на сегодня атака на умные гаджеты — Mirai — задействовала около миллиона зараженных IoT-устройств по всему миру (роутеры, лампочки, кабели и т. д.). По сигналу они начинали синхронно отправлять колоссальное количество запросов и путем DDoS-атаки могли заблокировать любой сервер на Земле.
Как опередить хакеров, если преимущество всегда за ними
Марат Нуриев, менеджер по развитию бизнеса KasperskyOS:
У злоумышленников всегда есть преимущество перед разработчиками. Разработчики прежде всего думают о функциональности, а злоумышленники ищут в их конструкциях изъяны. Наши коллеги из отдела по тестированию систем на проникновение утверждают: за все время они не нашли ни одного устройства, которое нельзя было бы взломать. ПО без уязвимостей — пока нечто неосуществимое.
Если невозможно избавиться от уязвимостей, нужно сделать так, чтобы они хотя бы не мешали нам жить — выработать против них кибериммунитет. Этот подход стал основой нашей операционной системы KasperskyOS. Смысл кибериммунности в том, чтобы выстроить некую безопасную среду, при попадании в которую вредоносный код не сможет повлиять на работу самого гаджета. Код может продолжать активность, но результаты его работы никогда не выйдут наружу. Другими словами, умная розетка не сможет воспламениться, а злоумышленник — устроить пожар у вас в квартире.
Как работает KasperskyOS — объясняют сами разработчики
Один из важнейших принципов безопасной операционной системы называется MILS (Multiple Independent Levels of Security). Согласно ему, программное решение должно состоять из набора изолированных компонентов, а все взаимодействия между ними — контролироваться. Даже если один из компонентов скомпрометирован (взломан), система не даст ему подвергнуть опасности остальные части решения. То есть для каждого компонента достаточно задать его политику безопасности: определить, с какими компонентами и как именно он может взаимодействовать. Все остальные взаимодействия между компонентами должны быть запрещены.
Но в мире тысячи различных видов устройств, и модели, разработанные для одного класса задач, мало применимы к другим. Нам удалось решить эту проблему с помощью собственной разработки — Kaspersky Security System (KSS). Это мощный «вычислитель вердиктов», который проверяет все взаимодействия компонентов на соответствие заданным политикам и выдает системе вердикт — «разрешить» или «запретить».
Чтобы реализовать все возможности KSS, мы создали собственную операционную систему — KasperskyOS. Она построена на микроядерной архитектуре, где самая ответственная часть системы, ядро, очень компактна и содержит только самые необходимые функции. Ядро проще исследовать, и вероятностей возникновения уязвимостей меньше.
Для описания политик безопасности мы разработали декларативный язык. Используя его, разработчик компактно — в терминах самой задачи — описывает правила взаимодействия компонентов. На основе описания специальный компилятор генерирует код, вычисляющий вердикты. Этот код и будет встроен в KSS. Причем можно комбинировать самые разные условия и модели безопасности, вкладывая их друг в друга и, как конструктор, собирая именно ту политику безопасности, которая требуется для данной задачи.
Генерация кода, вычисляющего вердикты, дает подходу гибкость и универсальность, которых так не хватает многим безопасным операционным системам. Важно: коду, вычисляющему вердикты, можно доверять. Ведь он генерируется на основе хорошо изученных формальных математических моделей, процедура генерации многократно протестирована, и даже если компонентов и видов взаимодействий между ними будет много, для кода по-прежнему будет обеспечиваться очень высокий уровень гарантий безопасности.
Высокие гарантии безопасности относительно среды исполнения (ядро KasperskyOS) и методов контроля (KSS) позволяют строить доверенные, безопасные решения из недоверенных компонентов (принцип кибериммунности). С помощью кибериммунного подхода разрабатывать безопасные решения становится намного проще и дешевле.
Как выработать иммунитет у автомобиля
Александр Шадрин, руководитель группы разработки:
Одно из самых перспективных направлений, куда мы внедряем наш принцип кибериммунности, — автомобильная сфера. Грубо говоря, современный автомобиль — такой же гаджет, как умный тостер. Машины используют интернет (для навигации, обновления ПО, телематических сервисов для каршеринга) и обмениваются огромным количеством данных с внешним миром. А перехватить эти данные и получить полное управление над авто — например, когда оно на высокой скорости едет по автостраде — все еще довольно просто.
В 2015 году специалисты по безопасности Чарли Миллер и Крис Валасек в рамках эксперимента взломали бортовые компьютеры автомобилей марки Jeep. Они просто взломали магнитолу, но оказалось, что контроллер мультимедийной системы соединен с другим контроллером. А он, в свою очередь, с CAN-шиной — по сути, внутренней сетью автомобиля, которая объединяет двигатель, коробку передач и т. д. Миллер и Валасек внедрили туда свою прошивку и в итоге смогли дистанционно управлять другими машинами этого автопроизводителя: разгоняться и тормозить, поворачивать колеса, блокировать двери. В том числе — на высокой скорости. Похожий случай произошел с Tesla Model S: машину взломали через Wi-Fi и получили доступ ко всем ее подсистемам.
Звучит как страшилка, но ситуация, когда вы спокойно ехали по дороге и вдруг становитесь заложником авто, вполне реальна. Причем неважно, собственное это авто или взятое напрокат, например, в каршеринговом сервисе.
«Лаборатория Касперского» — одна из немногих компаний в мире, которая занимается технологиями защиты для автомобилей. На базе KasperskyOS компания разрабатывает безопасную программную платформу AUTOSAR Adaptive Platform для автомобилей будущих поколений.
Как работается в «Лаборатории Касперского»
Максим Юдин, руководитель отдела разработки безопасной платформы KasperskyOS:
В нашем московском офисе есть недостаток: нет холодильника с бесплатным пивом. В остальном условия работы в «Лаборатории Касперского» не отличаются от тех, что мы видим в топовых IT-компаниях. У нас прекрасный офис с тренажерным залом, сауной и массажным кабинетом, расширенный ДМС для сотрудников и их детей (со стоматологией), программы релокации из регионов. Мне самому компания помогла переехать из Питера в Москву. У нас есть курсы и митапы по развитию софт- и хард-скиллов. В компании можно бесплатно учить иностранные языки — их сейчас больше десяти.
В команду KasperskyOS мы ищем уже подготовленных разработчиков с крепкими знаниями С/C++, которые хорошо разбираются хотя бы в одном из аспектов работы современных ОС (Linux, Windows). Графика, сеть, звук, файловые системы — если в чем-то из этого человек чувствует себя специалистом, он нам нужен. В команду, отвечающую за нашу систему безопасности, требуются разработчики со знанием функционального программирования и формальных методов.
В целом, «Лаборатории Касперского» нужны не только разработчики, но и тестировщики, безопасники, продакт-менеджеры — всего в компании открыто более 100 вакансий. На время удаленки все этапы собеседований проводятся онлайн.
Доступ ко всему соцпакету сотрудник получает в течение первой же недели. А все необходимое для работы — от трудового контракта и оборудования до офисного кресла — мы доставляем с курьером прямо домой. Кстати, с начала режима удаленной работы к нашей компании присоединились уже больше 40 человек.
Этот материал мы сделали не только для того, чтобы рассказать про KasperskyOS, но и чтобы предложить работу в компании талантливым разработчикам. Проверьте себя с помощью этой задачки в блоке ниже. Если справитесь успешно, специалисты «Лаборатории Касперского» свяжутся с вами и пригласят на собеседование. Авторы лучших решений также получат бесплатные билеты на онлайн-конференцию Podlodka Teamlead Crew.