IT NewsНовости рынкаБезопасность

Китай и США договорились не шпионить, но удержаться не могут

Ольга Блинкова | 21.10.2015

Китай и США договорились не шпионить, но удержаться не могут

США жалуются, что хакеры, связанные с китайским правительством, пытались проникнуть в системы как минимум семи американских компаний за три недели, прошедших с момента подписания между Вашингтоном и Пекином соглашения, согласно которому стороны не должны заниматься коммерческим шпионажем. Об этом сообщает агентство Reuters.

Американская компания CrowdStrike сообщила, что ПО, которое она разместила в пяти американских технологических компаниях, и в двух фармацевтических, позволило обнаружить атаки из Китая, и отразить их. Сооснователь CrowdStrike Дмитрий Альперович (Dmitri Alperovitch) уточнил: тот факт, что хакеры, которые атаковали эти семь компаний, работают на китайское правительство, подтверждается путем анализа ПО и серверов, которые они использовали. Отмечается, что целью атак было получение интеллектуальной собственности и коммерческой информации.

Китайская сторона уже официально отреагировала на обвинения, подчеркнув, что правительство КНР выступает против хакерства и кражи коммерческих секретов.

Из Белого Дома также отреагировали на новость, подчеркнув, что «будут судить Китай не по его словам, а по его делам».

Мы попросили экспертов ответить на наш вопрос.

Насколько вероятно определить по используемым хакерами серверам и анализу ПО, что они работают именно на китайское правительство.

Рустэм ХАЙРЕТДИНОВ,

Генеральный директор компании Appercut Security:

В сети довольно просто подделать любые свидетельства национальной принадлежности - добавить в код иероглифов или кириллицы, направить запросы через прокси-сервера в нужных странах. В тех случаях, которые удается расследовать и наказать виновных, цифровые доказательства подкрепляются оперативной работой: отслеживанием финансовых потоков, контактами с продавцом информации или шантажистом, сбором агентурных данных и т.п. Также можно действовать по принципу «кому выгодно», определить предполагаемого заказчика и сузить круг поиска. Поэтому не стоит уповать только на цифровые доказательства - они могут быть сформированы так, чтобы направить вас по ложному руслу.

Алексей ЛУКАЦКИЙ,

эксперт по ИБ компания Cisco:

Атрибуция атак – это достаточно непростое дело, требующее анализа большого количества разрозненных данных. Если не рассматривать вариант, что в данной ситуации атрибуция носила признаки политического заказа, то в качестве исходных данных для определения источника атак могут быть использованы:

·         Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки.

·         Трассировка атаки до ее источника или хотя бы локализация области, в которой источник находится.

·         ВременнЫе параметры.

·         Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке.

·         Помимо изучения фрагментов кода, отдельные исследователи пытаются даже изучать «почерк» программистов и определять по нему школу программирования - американская, русская, китайская и т.п.

·         С анализом почерка тесно связана и лингвистика, а точнее стилометрия, которая позволяет определить стилистику языка в тех же самых комментариях или сопутствующих текстах. 

·         Обманные системы или honeypot/honeynet.

·         Оперативная разработка.

·         Анализ активности на форумах и в социальных сетях.

К сожалению, одного универсального и стопроцентного метода не существует. Наверное, только полная перестройка архитектуры Интернета помогла бы решить эту проблему с технической стороны. Но это недостижимая, а может быть и вредная мечта. Остается только совершенствовать указанные технические рецепты, обильно сдабривая их правовыми и дипломатическими приправами, позволяющими с большей уверенностью утверждать, что правильная атрибуция инициаторов спецопераций в киберпространстве возможна.

Эльман БЕЙБУТОВ,

руководитель направления JSOC компании Solar Security:

Действительно, в ходе расследования и выявления «заказчика» атаки, аналитики ИБ проводят тщательное изучение используемого хакерами ПО и серверов, на которые уходят информационные потоки с хостов компаний-жертв. Очень часто дизассемблирование вредоносной программы позволяет выявить косвенные признаки, указывающие на страну, хакерскую группировку или даже на конкретного программиста. Например, китайский язык в комментариях к исходному коду или ссылки на файлы с китайскими названиями, или даже проявления тщеславия разработчика программы, составившего в теле программы приветствие словами известной китайской мудрости.

Что же касается серверов злоумышленников, то опрос таких хостов сканерами уязвимостей позволяет получить данные об установленных языках, о геолокации в настройках или именах пользователей операционной системы. Конечно, если такая информация содержит в себе намек на Китай, можно с высокой вероятностью говорить о стране происхождения произведенной атаки.

информационная безопасность, Хакер

Журнал: Журнал IT-News [№ 10/2015], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Можно ли, поняв, что половина информации не доходит до серого вещества, отсеиваемая «вратами сортировки», что-нибудь с этим сделать?
Уже довольно многие согласны с тем, что в крупных организациях необходимо создавать т. н. «службы заказчика», предоставляющие аутсорсинг ИТ-услуг.
На первой встрече по первому проекту, на котором я выступала в роли аналитика, я молчала, хмурила брови и писала что-то в блокнот. В общем-то, я и сейчас на встречах с бизнесом хмурю брови и пишу в блокнот. Но только раньше я это делала от неопытности, а теперь от неожиданности.

Компании сообщают

Мероприятия