Недоверенные и взломанные приложения
Наверное, самый распространенный путь проникновения на компьютер вредоносного программного обеспечения, способного красть данные пользователя, – недоверенные приложения. Это касается не только сомнительных приложений неизвестных разработчиков, но и популярного софта, разработанного софтверными гигантами. В последнем случае программы могут собирать пользовательские данные в интересах своих разработчиков или рекламных компаний (например, браузеры или операционная система), а также попутно фаршировать устройство вредоносными модулями, если используется имеющая уязвимости версия программы (см. пример, касающийся FinFisher, упомянутый выше в этой главе).
Нередко инфицирование компьютеров пользователей (да и корпоративных устройств) происходит из-за использования версий программ, взломанных для обхода ограничений, которые лицензии накладывают на их использование (например, взломанного платного софта или игр, отвязанных от систем защиты либо предполагающих использование читов). Как правило, хакеры, взламывающие программное обеспечение, редко занимаются этим ради благотворительности. Под видом «софта без ограничений» они распространяют версии программ, в которые внедряют инструменты, крадущие пользовательские данные или предоставляющие удаленный доступ злоумышленникам. Такое ПО изначально может и не содержать вредоносного кода и только после установки инициировать скачивание обновления, в которое внедрены инструменты для перехвата данных.
Антивирусное программное обеспечение
Антивирусные программы[827], позиционируемые как полезные для владельца компьютера инструменты, без сомнения, необходимы для предупреждения чрезвычайных ситуаций, вызываемых вредоносными приложениями. Современные антивирусные утилиты способны не только обнаруживать известные вирусы по сигнатурам, имеющимся в базах данных, но и определять неизвестные формы зловредов, используя модули эвристического анализа. Тем не менее в некоторых случаях установка антивирусного программного обеспечения может быть противопоказана, так как согласно условиям лицензионного соглашения и для корректной работы антивируса последнему предоставляется доступ ко всем файлам, хранящимся на компьютере. Иными словами, антивирусное программное обеспечение, например модифицированное или разработанное со злым умыслом, потенциально способно анализировать и скачивать на сервер разработчика антивируса или хакера любые файлы, якобы цель отправки файлов – проверить, нет ли в них вредоносного кода. Так, злоумышленник может внедрить в антивирусный сканер инструменты для поиска по определенным ключевым словам (например, для поиска банковских реквизитов) и передачи на свой сервер найденной информации (или содержащих ее файлов). Такое двуликое антивирусное программное обеспечение может быть не только разработкой сомнительного происхождения. Также оно может оказаться взломанной версией какой-то известной программы, поскольку многие стараются бесплатно использовать платное высококачественное антивирусное программное обеспечение.
Итак, если вы опасаетесь утечки конфиденциальной информации, то подумайте: действительно ли вам необходимо антивирусное программное обеспечение?
КЕЙС В январе 2020 г. компания Avast, разработчик популярных антивирусных решений, была уличена в сборе и продаже пользовательских данных, вплоть до адресов посещенных сайтов и кликов. Хотя, по заверениям компании, вся информация анонимизируется, но записи позволяют идентифицировать пользователей. Например, данные о том, что пользователь щелкнул мышью на странице интернет-магазина, указывают, в какое время сделана покупка и какой товар заказан. Если соотнести эти данные с информацией о транзакциях в интернет-магазине, можно точно определить личность того, кто щелкнул, а значит, сведения, собираемые компанией Avast, уже нельзя считать обезличенными[828].
Корпоративные инструменты для контроля над сотрудниками
Мы уже упоминали об инструментах для анализа трафика и телефонных переговоров и сообщений. Они используются в корпоративном секторе для повышения эффективности деятельности сотрудников и предупреждения утечек информации в случае инсайдерских атак. Для тех же целей применяются и программные средства, такие как Kickidler (https://www.kickidler.com/ru/) и «Стахановец» (https://stakhanovets.ru), следящие за работой сотрудников на компьютерах. Они логируют адреса посещаемых сайтов, запуск приложений, длительность простоя, нажатие на клавиши, ведут фото– и видеосъемку изображения на экране и т. п. Кроме того, программы для контроля над сотрудниками могут делать фотографии сотрудника с помощью веб-камеры, записывать окружающие звуки, следить за любыми процессами и блокировать их[829], а также фиксировать геопозицию сотрудника и записывать историю его передвижений[830]. Согласно исследованиям, проведенным в 2018 г., 29 % российских компаний читают электронные письма работников; 20 % следят за тем, какие сайты они посещают и какие файлы записывают на внешние накопители; 11 % следят за перепиской в мессенджерах[831].
КЕЙС Чтобы снизить расходы на медицинские страховки, крупные корпорации, в том числе Walmart и Time Warner, нанимают сторонние компании для сбора и анализа медицинских данных своего персонала. Проверяется вероятность серьезных заболеваний, например диабета (если сотрудник имеет к нему генетическую предрасположенность или ест много сладкого), и вероятность беременности (если сотрудница прекратила прием противозачаточных таблеток, ищет в интернете соответствующую информацию, обращается к врачу и т. п.)[832].
Следует отметить, что мониторинг корпоративного периметра ведется в любое время, в том числе и нерабочее, поэтому не следует обсуждать любые конфиденциальные данные, не касающиеся служебных обязанностей, с использованием корпоративных устройств и в пределах офиса, в том числе в обеденный перерыв, до и после окончания рабочего дня.
Помимо программных средств кражи конфиденциальной информации злоумышленники могут использовать и аппаратные. В начале этой главы уже говорилось о несанкционированном доступе к информации, но сейчас мы расскажем о способе похищения данных, не предусматривающем постоянного контакта злоумышленника с компьютером жертвы. Преступник может спровоцировать подключение аппаратуры, предназначенной для кражи данных, разными способами:
■ Кратковременный контакт с компьютером жертвы и установка аппаратуры (например, распространяющей вредоносное троянское ПО или являющейся независимым перехватчиком и передатчиком данных (голоса, изображения, трафика)).
■ Непосредственная передача жертве предназначенного для сбора данных устройства под видом доверенного. Это может быть накопитель с рекламными материалами или рабочими документами, содержащий ПО для слежки, либо шпионская закладка (например, микросхема, впаянная в плату[833]; закладка, замаскированная под сетевой фильтр[834], мышь[835] либо USB-кабель[836]).
КЕЙС В 2016 г. исследователи разбросали около 300 flash-накопителей на территории Иллинойского университета и подсчитали количество пользователей, подключивших их к своим компьютерам. В результате 48 % flash-накопителей пользователи не только подключили к компьютеру, но и запустили по крайней мере один файл на каждом из них[837].
■ Подкидывание или отправка по почте в качестве подарка[838] аппаратуры для перехвата данных в периметре нахождения жертвы. Согласно отчету[839], представленному в следующем кейсе, почти половина пользователей может пострадать от таких атак.
КЕЙС К своего рода метаданным стоит отнести желтые точки, которые наносят на бумагу многие цветные лазерные принтеры (Canon, Dell, Epson, Hewlett-Packard, IBM, Konica Minolta, Lanier, Lexmark, NRG, Okidata, Ricoh, Savin и Xerox). Такие точки позволяют определить серийный номер принтера, на котором был распечатан документ, а также дату и время печати. Точки печатаются по всей странице и едва видны невооруженным глазом (диаметр менее 1 мм). Их можно увидеть, если поместить отпечатанный лист под микроскоп или отсканировать его и рассмотреть увеличенное изображение на экране монитора. Именно благодаря желтым точкам в 2017 г. задержали Риалити Лей Виннер, сотрудницу компании-подрядчика АНБ Pluribus International Corporation, и обвинили ее в том, что она передала журналистам секретные данные[840].
Скрытая установка всякого рода прослушивающей аппаратуры в этой книге не обсуждается.
Отдельно стоит упомянуть игры, благодаря развитию доната (внутриигровых покупок) в которых появились случаи мошенничества, связанные с игровыми аккаунтами. Кроме того, вредоносное программное обеспечение распространяется через пиратские версии игр, а также читерские программы и дополнения (моды) для них. Моды могут содержать, к примеру, утилиты удаленного управления (RAT), такие как XtremeRAT, которая позволяет своим операторам извлекать документы из взломанных систем, перехватывать нажатия клавиш, делать снимки экрана, записывать звук и видео с помощью веб-камер и микрофонов и т. п.