18 сентября 1945 года в Англии на военной базе США родился Джон Макафи. Со временем, бегущая в его венах кровь шотландки и американца превратилась в адскую смесь. Вскоре после II Мировой войны семья перебралась в печально знаменитый городок Сейлем, где в конце XVIII века по обвинению в колдовстве казнили 14 женщин и 6 мужчин.
В 14 лет Джон испытал сильнейшее потрясение, узнав, что его отец на рабочем месте покончил жизнь самоубийством.
В 22 года в частном в салемском колледже «Роанока» парень получил степень бакалавра математических наук. В 1968 году он устроился на перспективную работу в НАСА и однажды попал в руки копов, покупая пакет «травки». Макафи повезло, что он был задержан в первый раз, а его языкастый адвокат смог убедить судью, что его подзащитный молодой перспективный ученый, который в будущем может сделать для США много полезного.
Другой после такой эмоциональной встряски взялся бы за ум, а Макафи перешел с конопли на психоделический наркотик ЛСД. Кто-то из коллег настучал руководству о его пагубном увлечении и небесталанный программист, словно пробка из бутылки вылетел из НАСА.
Первый профессиональный облом и панические атаки, возникавшие у него после приема наркотиков, поставили Джона на грань между жизнью и смертью. Случалось, что когда он обдолбанный валялся на диване к нему приходил самоубийца отец и говорил всегда одни и те же слова: «Сынок ты сам можешь вырваться из этого ада, просто прими убойную дозу зелья, и мы увидимся с тобой в Раю».
Макафи нашел в себе силы остановиться. Приведя себя в физический и психоэмоциональный порядок, он занялся поиском работы. В 1986 году работая программистом авиастроительной компании «Локхид» Джон прочитал статью о первой компьютерной вирусной программе «Brain» (Мозг).
«Мозг» породивший в 1986 году глобальную «дискетную» эпидемию создали пакистанские братья Базит и Амжад Фарук Альви. «Brain» предназначался для отслеживания распространения пиратских копий разработанного ими медицинского программного обеспечения, и не был изначально заточен на причинение вреда другим компьютерным пользователям.
«Brain» серьезно тормозил работу дискеты, но не трогал жесткий диск. «Мирный» вирус предоставлял пользователям номера трех телефонов, по которым они могли связаться с пакистанскими братьями. Когда счет звонков стал измеряться тысячами, создатели просто перестали на них отвечать.
Макафи естественным путем получил свою копию «Мозга» и заинтересовавшись действием этого мелкого пакостника разработал простенький антивирус. Джон сам искал клиентов и при помощи своего прорывного ПО за считанные минуты избавлял их компьютеры от явного или притаившегося «вирусёнка».
В 1987 году Джон, получив статус признанного компьютерного лекаря, создал компанию «McAfee Associates».
Бизнес развивалась ни шатко ни валко, пока в 1992 году не появился вирус «Michelangelo». Вредоносную программу назвали именем итальянского скульптора, так как впервые ее обнаружили 6 марта 1992 в день рождения маэстро. Только в ФРГ эта зараза полностью уничтожила информацию на 500 компьютерах.
Моментально оценив, какой для него представился шанс, Макафи ударил в компьютерный набат. В многочисленных интервью он пугал владельцев компаний что «Michelangelo» способен причинить им многомиллионные убытки, и только его новейший антивирус сможет защитить их бизнес от глобальных финансовых потерь.
После начавшейся в США паники акции «McAfee Associates» стали расти как на дрожжах, а ее владелец за считанные недели превратился в мультимиллионера. Заработав на хайпе 100 млн.$ он продал часть акций «McAfee Associates» компании «Intel» и зажил на широкую ногу.
Осенью 2009 года газета «The New York Times» проинформировала читателей, что взбалмошный миллионер профукал 96% своего состояния, оставшись с «жалкими» 4 млн.$.
Сам Джон, комментируя данную информацию, сказал, что его финансы не поют романсы, а он открывает новый бизнес в Белизе карликовом государстве на границе с Мексикой и Гватемалой.
В начале 2010 года Джон создал в Белизе компанию «QuorumEx» изучавшую способность высокоорганизованных бактерий общаться и координировать свое поведение с помощью секреции биохимических сигналов. Помимо лабораторных работ Макафи приторговывал кофе и сигарами. В свободное от работы время он боролся с мелкими наркоторговцами пытаясь очистить от них свой район.
В 2012 году наркобароны заказали Макафи местным полицейским и те нагрянули к нему с обыском. В итоге бизнесмена обвинили в незаконной торговле «биологически активными добавками» и контрабандным оружием. С помощью проверенной команды адвокатов Джону удалось отбиться от всех приписываемых ему преступлений.
Казалось бы, живи и радуйся, но в конце 2012 года неизвестные убили его соседа Грега Фолла. Вся округа знала, что погибший не раз ссорился с компьютерщиком и Джон несколько раз кричал в запальчивости, что когда-нибудь этот недоумок окончательно выведет его из себя, и он отстрелит его тупую башку.
Став главным, подозреваемым в убийстве, Джон не придумал ничего лучше как сбежать в Гватемалу. 67-летнего айтишника подвело тщеславие. Однажды неподалеку от своего тайного убежища он согласился дать интервью журналистам, а те взяли и выложили фотографию беглеца с указанием геолокации, благодаря чему богатенького янки оперативно задержала полиция.
Джону пришлось раскошелиться и за серьезную мзду купить себе свободу. Главный гватемальский полицейский отказался выдавать американца по запросу Белиза, и передал его дипломатическим работникам посольства США.
Вернувшись домой предприниматель женился на проститутке Дженис Дайсон и занялся спекулятивной торговлей криптовалютами. Дополнительный доход Джону приносила одна из популярных в то время соцсетей в которой у него было полтора миллиона подписчиков. За каждую статью Макафи получал от 100 до 500 тыс.$.
В октябре 2020 года по запросу властей США программиста задержали в Испанском королевстве, ему инкриминировали сокрытие доходов в размере 23 млн.$.
23 июня 2021 года даже за решеткой не унывавший мужчина неожиданно для всех повесился у себя в камере. Незадолго до смерти Джон предупредил подписчиков, чтобы они не верили в его спонтанное самоубийство, если такое произойдет.
Позже появилась информация, что Макафи имевший через свой антивирус доступ к компьютерам сильных мира сего насобирал на них терабайты грязи, поэтому его и повесили, за несколько дней до предполагаемой депортации в США.
Безопасность в сети. Мы все про нее слышали, какие-то правила соблюдаем, на что-то машем рукой — авось пронесет. Спросили пикабушников, как они защищаются от киберугроз, и задали вопросы Дмитрию Галову — руководителю Kaspersky GReAT (Глобального центра исследований и анализа киберугроз) в России.
По промокоду PIKABURU вы получите скидку 10% на комплексное решение Kaspersky Premium. Защищайте свои цифровые данные, оптимизируйте работу устройств, получайте уведомления в случае утечки конфиденциальной информации, проверяйте на безопасность домашнюю сеть Wi-Fi и не только! Промокод суммируется со всеми скидками на сайте и действует до 31 декабря 2024 г.
Использую сложные пароли и не повторяю их. Я создаю уникальные пароли для каждого аккаунта, сочетая буквы, цифры и специальные символы. Также я пользуюсь менеджерами паролей для хранения и генерации надежных паролей. Включаю двухфакторную аутентификацию (2FA).
— Это поможет? Как вообще работает 2FA?
— Д.Г. Сегодня двухфакторная аутентификация — действительно наиболее эффективный способ обезопасить аккаунт. В большинстве популярных приложений — банков, мессенджеров, социальных сетей — такая функция уже реализована, а в некоторых является обязательной.
Что такое 2FA: это способ аутентификации, при котором для входа в аккаунт нужно ввести сначала пароль, а потом еще один фактор. То есть двумя разными способами подтвердить, что в аккаунт заходит именно его владелец. Причем второй фактор может быть разным, не только привычными нам кодами из СМС или push-уведомлений. Это и одноразовый код из специального приложения (ТОТР), и отпечаток пальца, и даже аппаратный токен — устройство, похожее по внешнему виду на флешку.
Сами придумывают сложные пароли и регулярно их меняют
Периодически меняю пароли к главным сервисам (почта, доступ к облакам и тд). Не храню пароли, есть личная система создания длинных и трудных к подбору паролей. Не пользуюсь генераторами, т.к. их я запомнить не могу и придется хранить.
- Различные пароли для развлекательных, рабочих и финансовых ресурсов.
- Пароли более 12 символов и содержат цифры, знаки и буквы в разном регистре и не несут смысловой нагрузки.
- Секретный пин-код, это секретный пин-код и не нужно его никому говорить.
- Ставить неизвестное ПО из неизвестного источника, это не очень хорошая идея.
- Хотелки по телефону, должны быть подтверждены документально/визуально, а лучше лично.
— Правильно ли придумывать пароли самим? Или все-таки лучше генерировать с помощью программ?
— Д.Г. По сути, не так важно — придумали вы сложный пароль сами или его сгенерировала за вас программа. Если в нем не менее 12 знаков с заглавными и строчными буквами, цифрами и спецсимволами, он не содержит осмысленные слова и даты, это надежный пароль.
Другой вопрос, что сложные комбинации нужно безопасно хранить и регулярно менять, а еще они должны быть уникальными для каждого вашего аккаунта. Придумать и запомнить пару-тройку сложных паролей можно. Но что делать, если речь идет про десятки учетных записей? Здесь нужен менеджер паролей.
Повторюсь, сложные пароли — важный элемент в защите аккаунтов. Наглядный пример: недавно наша команда Kaspersky Digital Footprint Intelligence проанализировала 193 миллиона паролей, обнаруженных в публичном доступе в даркнете. Почти половину из них злоумышленники потенциально могут подобрать менее чем за минуту.
Генерировать сложные пароли, надежно их хранить и быстро входить в учетные записи поможет Kaspersky Password Manager. А еще в приложении можно держать в зашифрованном виде важные файлы, чтобы они всегда были под рукой. Менеджер паролей и другие инструменты цифровой безопасности доступны в комплексном решении для десктопов и смартфонов Kaspersky Premium.
— А как часто менять?
— Д.Г. Как часто менять пароли каждый пользователь решает сам, главное, делать это регулярно. Это помогает защитить аккаунты в случае потенциальной утечки данных. Если в руках недоброжелателей окажется неактуальная комбинация, они не смогут получить доступ к аккаунту.
Приложение в телефоне указывает, что звонок нежелательный.
Если просят занять денег или перейти по ссылке для голосования за кого-то, связываюсь по телефону с контактом.
— Не отвечать на телефон — это выход?
— Д.Г. Совсем не отвечать на незнакомые номера — неудобно и не всегда возможно. Люди могут получать множество звонков: от курьеров, таксистов, потенциальных клиентов и так далее. Это можно сравнить с дверным глазком. Не открывать никому дверь, конечно, можно. Но это сильно усложнит жизнь — проще посмотреть, кто за ней стоит.
Современные технологии уже предлагают владельцам смартфонов удобное, компромиссное решение — определители номеров. Специальные программы подскажут, если на тот или иной номер поступали жалобы на мошенничество или спам. При этом финальное решение — брать трубку или нет — остается за пользователем.
Такое решение есть и у «Лаборатории Касперского». Kaspersky Who Calls на Android или iOS поможет узнать, какая организация звонит и поступали ли жалобы на неизвестный номер — на спам или мошенничество. Премиум-версия приложения также входит в тариф Kaspersky Premium.
— Какие схемы в ходу у телефонных мошенников?
— Д.Г. Мошенники, помимо обычных звонков, все чаще используют и мессенджеры. Они делают ставку на приемы социальной инженерии: представляются сотрудниками правоохранительных органов, финансовых учреждений, пугают потенциальных жертв, торопят и могут звучать весьма убедительно.
В последнее время встречаются и многоступенчатые схемы. Первым этапом может стать, например, сообщение в мессенджере — якобы от коллеги или знакомого. К тому же злоумышленники могут комбинировать приемы социальный инженерии и технические средства — различные троянцы (вредоносные программы).
Например, в одно время мошенники могли звонить абонентам под видом представителей правоохранительных органов или сотрудников финансовых организаций. Под разными предлогами убеждали людей установить на смартфон якобы приложения поддержки телеком-операторов или сервисы для получения медицинской помощи.
Если человек соглашался, атакующие присылали ему в мессенджере вместо полезной программы вредоносный APK-файл. Это мог оказаться, например, SpyNote и его разновидности — Spyroid, Craxsrat, Eaglerat.
— Как с ходу вычислить телефонного мошенника?
— Д.Г. Если во время звонка вам не дают времени подумать, сразу начинают запугивать и просят поделиться какой-либо конфиденциальной информацией, например, учетными данными от банковского сервиса, кодом из СМС или push-уведомлений, пошерить экран смартфона, перевести деньги на некий мифический безопасный счет — все это красные флаги. В таких случаях лучше сразу завершать звонок.
Не верят в халяву и не переходят по подозрительным ссылкам
Здравомыслие и личный опыт. Очевидно, что переходить по подозрительным ссылкам не стоит. А также не стоит вестись на неожиданную удачу, когда сомнительные люди пишут о твоем выигрыше в лотерее, а тебе, в свою очередь, нужно лишь зарегистрироваться на сайте.
Я никогда не кликаю на ссылки в письмах и не открываю вложения от неизвестных отправителей. Всегда проверяю URL-адреса сайтов перед вводом личной информации. Всегда проверяю, откуда пришло письмо или сообщение. Мошенники часто маскируются под известных отправителей.
Ни в коем случае не переходить по подозрительным ссылкам и стараться не пользоваться на сторонних (неподтвержденных сайтах) банковскими картами!
— Действительно, не ходить по подозрительным ссылкам — это база. Но как определить, какая ссылка надежная, а какая нет?
— Д.Г. Мы изначально не рекомендуем переходить по ссылкам из сомнительных сообщений в мессенджерах или почте. Но если так произошло, что вы перешли на некий сайт и хотите понять, можно ли вводить на нем, например, платежные данные, обратите внимание на адресную строку (там, где https). Если имя домена отличается от оригинального даже на одну букву (например, вместо «m» используется «r» и «n»), то это уже как минимум повод насторожиться. Можно проверить, работают ли на сайте кнопки — когда речь идет о фишинговых, поддельных сайтах, злоумышленники не копируют весь ресурс популярного бренда целиком, а создают одну или несколько поддельных страниц, похожих по дизайну.
При этом распространенный метод проверки на фальшивость — наличие зеленого замочка и «s» в «https» — вовсе не гарантирует, что сайт настоящий. Наличие https означает, что на сайте никто со стороны не сможет перехватить данные, которые вводит человек. Но эту информацию может украсть сам сайт, если он поддельный.
В любом случае эффективнее не гадать, а использовать защитное решение — оно подскажет, если пользователь попытается перейти на фишинговый или скам-ресурс.
Важно использовать комплексные защитные решения, эффективность которых подтверждается независимыми исследованиями. Например, в недавнем антифишинговом тесте от AV-Comparatives Kaspersky Premium для Windows получил наивысшую оценку среди 15 участников.
— Вдруг выигрыш или выгодное предложение — настоящие? Как проверить?
— Д.Г. Главное правило — не поддаваться на уловки злоумышленников. Чаще всего они играют либо на человеческом любопытстве, либо на страхе, либо на желании получить крайне щедрое вознаграждение.
Например, мы видели схемы, в которых злоумышленники под видом фотографий распространяли вредоносные программы. Они присылают файл и интересуются у потенциальной жертвы, не она ли это на фото. Но если приглядеться, то можно заметить, что имя файла заканчивается на .apk, а это значит перед человеком не картинка, а исполняемый файл, то есть программа.
Другой пример: злоумышленники рассылают пользователям сообщения с обещанием подарка — подписки Telegram Premium. На самом деле под таким предлогом людей заманивают на фишинговые ресурсы, мимикрирующие под страницу авторизации в мессенджере, и просят авторизоваться. Якобы, чтобы подтвердить, что подарок получит тот человек, которому он предназначается. Однако если ввести на фейковой странице учетные данные от аккаунта в мессенджере — номер телефона, пароль и код подтверждения — они уйдут злоумышленникам.
При этом ссылка, ведущая на поддельную страницу, может выглядеть правдоподобно, однако на деле в нее будет зашита фишинговая. Чтобы распознать «вшитую» ссылку с телефона, зажмите ее, тогда мессенджер покажет оригинальную ссылку. Если она не совпадает с тем, что изначально было в сообщении — не стоит по ней переходить.
Бережно относятся к персональным данным и заводят дополнительные аккаунты, симки и телефонные аппараты
В социальных страницах не публикую актуальных своих новостей и тем более планов, по моим публикациям нельзя точно выяснить, где я сейчас или где планирую быть. Там же в соцсетях нет отсылок или фотографий моих детей и родителей, за их безопасность я беспокоюсь больше всего. Крайне редко общаюсь по телефону, если номер не знаком, и, конечно, никогда не диктую ни своих данных (паспортных, снилс и тд), ни «пароль из смс».
Я предпочитаю не раздавать свои настоящие почты и номера. Да-да, у меня три симки. Вк аккаунтов у меня два. Еще у меня два телефона, и если сайт вызывает подозрения 🕵, то я захожу с старого телефона, которому уже 5 годиков.
Не оставляю никаких данных в сети. Адрес, паспорт и т. д. Не сохраняю пароли и логины в гугле. Не объединяю между собой разные устройства. На телефоне один аккаунт, на ноутбуке другой, на планшете другой. Не регистрируюсь на сайтах с указанием города и адреса, не оставляю данных своих карт. Ну что вы в самом деле, это же база…
Правило номер 1 — халявы не бывает вообще. Если предлагают деньги — это развод. Сомнительный софт юзаю только через виртуальную машину без личных данных. Данные карт не сохраняю, вообще никакие данные не сохраняю. Имею тетрадку с набором паролей из букв обоих регистров, цифр и нескольких специальных символов (^=_*+-). Пароли разные для всех аккаунтов.
— Разные аккаунты, симки, устройства — это необходимость или пикабушники перестраховываются?
— Д.Г. Завести отдельный адрес электронной почты, чтобы использовать его для регистрации на разных сайтах и в программах лояльности — действительно хорошая идея. Что касается устройств — здесь возникают разные вопросы с точки зрения удобства и функциональности.
Конечно, в идеальном мире лучше иметь разные устройства для работы и личной жизни, но в большинстве случаев это может оказаться неэффективно. К тому же обычно даже на разных устройствах человек пользуется одними и теми же учетными записями в одних и тех же сервисах, например, в мессенджерах. Поэтому большое количество устройств не поможет защититься, например, от попытки фишеров украсть аккаунт.
— А что насчет автозаполнения?
— Д.Г. Автозаполнение паролей для быстрого входа в аккаунты — удобная функция, но не всегда безопасная. Мы не рекомендуем хранить пароли в браузерах, так как в случае, если злоумышленник получит доступ к устройству — физический или удаленный — учетные данные также окажутся скомпрометированными. Кстати, по той же причине не стоит хранить пароли в виде скриншотов или текста на устройстве.
Более безопасный вариант — хранить пароли в зашифрованном виде в менеджерах паролей, т.к. получить доступ к ним возможно только по специальному мастер-паролю (его нужно будет запомнить). К тому же есть подобные программы, в которых уже реализована функция автозаполнения.
Нелишним будет напомнить, что хранить конфиденциальные данные в переписках, в мессенджерах (в том числе в «избранном») или в облачных документах тоже не стоит.
Следят за новыми видами мошенничества, предупреждают близких
Мое главное правило — рассказывать о правилах своим родным. Родители относительно недавно стали активными пользователями интернета. Сразу объяснила, что если что-то хочется установить / открыть / скачать нужно сначала спросить у меня, я помогу. Настроила им системы защиты на важные аккаунты, двухфакторку. Еще как только в телеграм, на Пикабу или в новостных каналах появляются сообщения о новых видах мошенничества, сразу делаю рассылку семье, чтобы они были в курсе. Берегите родных!
Узнаю о новых методах обмана и делюсь этой информацией с друзьями и семьей.
— А следить правда нужно? Или можно принять основные меры безопасности и расслабиться?
— Д.Г. По данным нашей статистики, в 2024 году почти 57% пользователей в России столкнулись с различными киберугрозами. Растет не только число атак с использованием зловредных программ, но и объемы фишинга и скама.
В таких условиях важно сочетать технические и нетехнические методы защиты от целого спектра киберугроз. К первым относятся различные защитные решения, а ко вторым — постоянное повышение цифровой грамотности и, что очень важно, развитие критического мышления.
Конечно, невозможно быть в курсе всех новых схем и знать все технические детали. Мы рекомендуем обращать внимание на новости от крупных компаний в области кибербезопасности и правоохранительных органов, которые стараются регулярно рассказывать на своих ресурсах и в СМИ о последних приемах злоумышленников. Если вы где-либо увидели описание новой схемы — обязательно расскажите о ней друзьям и близким.
Отказываются от банковских приложений, безналичных расчетов в интернете, голосовых сообщений
Пользуемся всей семьей только кнопочными телефонами, для банковского личного кабинета используем настольный обычный компьютер; покупки в интернете производим только там, где есть возможность оплаты курьеру.
Не перехожу по неизвестным/непроверенным ссылкам. С учетом развития ИИ принял для себя решение: не отправлять голосовые сообщения. На случай поступления «смоделированных разводов» на деньги от членов семьи — определили контрольный вопрос, о котором знаем только мы.
— Действительно, может, ну их? Деньги целее будут.
— Д.Г. Отказываться от современных сервисов — не выход. Это неудобно и неоправданно с точки зрения кибербезопасности. Например, современные банковские приложения в большинстве своем надежно защищены, во многих важных сервисах внедряют обязательную двухфакторную аутентификацию.
Если пользователь будет следовать базовым правилам цифровой безопасности, то он значительно снизит киберриски — даже больше, чем если откажется от использования отдельных приложений.
Что касается голосовых данных. Недавно мы проводили опрос в области современных цифровых суеверий, выяснилось, что большинство респондентов в России (84%) верят — говорить незнакомым по телефону «Да» или «Нет» нельзя, так как запись голоса могут использовать, например, для кражи денег.
С одной стороны, одного лишь голоса будет недостаточно для проведения операции со средствами на счетах или внесения важных изменений. Системы голосовой идентификации используются финансовыми организациями, но только в качестве одного из факторов. С другой — злоумышленники сегодня действительно могут использовать голос человека и сделать дипфейк, чтобы попытаться выманить деньги и данные у его знакомых, коллег.
В таких случаях рекомендация одна — не поддавайтесь на уговоры звонящего, перепроверьте, действительно ли он тот, за кого себя выдает. Сделать это нужно по другому каналу связи или с помощью проверочного вопроса, только лучше его обсудить вживую.
Будьте бдительны и не дайте мошенникам себя обмануть. Соблюдайте правила безопасности в сети и используйте эффективные решения для защиты своих данных. И не забывайте про скидку: с промокодом PIKABURU вы сэкономите 10% при покупке Kaspersky Premium. Акция суммируется с другими скидками на сайте и действует до 31 декабря 2024 года.
Недавно купил и установил антивирус "Касперский плюс" и честно уже замучился. То что компьютер тормозить стал и виснуть периодически это одно. Но бл он постоянно спрашивает какие-то разрешения. Я человек простой и к компьютерам отношусь по принципу, пришёл с работы включил поиграл, сериал посмотрел и баиньки. А тут такие вопросы. Мало того этот мудак блокирует любые действия пока я не поставлю разрешение но я не понимаю о чём он спрашивает! И это зачастую по несколько десятков таких запросов каждое включение. Гуглеж особо информации не даёт. Как сделать это более комфортным в использовании?
BitNinja — это аналог Dr.Web или Immunify, но в отличие от них специализируется не только на ловле вирусов, но и фильтрации входящего трафика. Для работы антивируса задействует AI, а управлять защитой всех серверов можно из одного окна.
Тестирование BitNinja я разделил на три фазы.
1. Пассивное — просто размещал BitNinja на серверах с разной конфигурацией и смотрим, на какие активности он реагирует.
2. Активное — планирую идти по публичной документации вендора и тестировать с помощью симуляции атак.
Важно. В России симуляция атаки на сервер приравнивается к киберпреступлению. Поэтому, если вы работаете из РФ и/или тестовые VPS находятся в РФ, не симулируйте атаки на серверах с белыми IP. Это уголовно наказуемое преступление. Тестировать продукт таким образом можно только в серой сети и только предупредив хостера. Если вы работаете из другой страны и/или тестовые VPS находятся в другой стране, изучите местное законодательство по этому вопросу.
3. Приближенное к реальности,— за BitNinja размещается какой-то реальный код, который пентестеры пытаются вскрыть.
В этой статье я расскажу об итогах пассивного тестирования. По его результатам я сгенерировал несколько гипотез:
Даже пустой сервер подвергается атакам.
WordPress привлекает больше внимания атакующих, чем Drupal.
Иногда атаки проходят по всей сети провайдера, без цели захватить какой-то конкретный сервер.
Больше всего атак и блокировок приходится на запросы, взаимодействующие с портами сервера.
Рассказываю подробности.
Инфраструктура для пассивного тестирования BitNinja
Взял 3 сервера с 2 ядрами, 4 ГБ RAM и 60 гб жесткого диска и разными операционными системами: Debian 11, Ubuntu 22 и AlmaLinux 8. Пользователь на сервере во всех случаях был один — root. Все серверы находятся в одном кластере и у одного хостинг-провайдера, на территории РФ.
ПО на сервере:
Ispmanager lite с рекомендуемым ПО;
BitNinja, устанавливался как stand alone версия;
WordPress на Ubuntu 22 и Debian 11 (далее WPU и WPD);
Drupal на AlmaLinux 8 (далее DA).
Сайты на CMS не создавал — это просто голые файлы CMS, даже без доменов. В ноябре задам домены и создам сайты. Посмотрю, как изменится ситуация.
При схожих вводных со стороны ПО и ТТХ я ожидал одинакового результата с точки зрения активности злоумышленников. Но ошибся.
Настройки BitNinja
Основная задача теста — проверить сколько атак отловит BitNinja с минимальными настройками. Поэтому никаких существенных изменений не было. Единственное, для DA и WPD был включен WAF, без каких-либо изменений в правилах.
Поскольку для всех CMS в качестве БД использовался MySQL, также можно было включить Database Cleaner — модуль проверяет базы данных на предмет заражения. Но в моменте это забылось.
Состояние модулей BitNinja
Malware detection. Включен, настройки по умолчанию
WAF. Включен для DA и WPD
Trusted Proxy. Включен, настройки по умолчанию
Port Honeypot. Включен, настройки по умолчанию
Web Honeypot. Выключен
DoS Detection. Включен, настройки по умолчанию
Log Analysis. Включен, настройки по умолчанию
Defense Robot. Включен, настройки по умолчанию
Site Protection. Выключен
Database Cleaner. Выключен
Sandbox Scanner. Включен, настройки по умолчанию
Vulnerability Patcher. Включен, настройки по умолчанию
Spam Detection. Включен, настройки по умолчанию
Advanced Modules. Включены, настройки по умолчанию
Результаты пассивного тестирования BitNinja
Сводка Период 17.08 — 29.10 (обновим по завершению октября)
Заблокировано пакетов. Много. На графике значения в тысячах заблокированных пакетов.
Из сводки видно, что по интернету гуляет множество парсеров и ботов, которые «щупают» ресурсы в поисках уязвимостей. На серверах нет абсолютно ничего, однако с завидной регулярностью их утюжат в поисках дырок. Даже несколько DoS-атак прошло.
На сводной инфографике хорошо видно, что основной удар пришелся на порты, часть инцидентов привели капчи, самая значительная среди них — веб-капча. Остальные на грани погрешности.
Скорее всего при появлении на ресурсах контента боты начнут отправлять запросы и пытаться вскрыть формы в админке или формы на сайте. Тогда увидим рост блокировок от WAF. Так это или нет, проверю за следующие три месяца — с помощью привязанных теперь к серверам доменов и созданных на них болванок сайтов с формами.
Разбивка по странам тоже не такая, как я ожидал. Да, там есть Индия и Тайвань, но.
Китай — с очень большим отрывом.
США.
РФ.
Кроме Китая, неожиданным для меня стали Танзания и UK
Уверен, что страны, из которых приходят атаки будут отличаться в зависимости от того, где сервер стоит. Наши тестовые VPS находятся в Москве.
Результаты по отдельным серверам
Моя гипотеза была в том, что объем атак будет равномерно распределен между серверами. Но нет, я ошибся. Больше всего атак пришлось на WPU, потом WPD и в конце DA.
Моя новая гипотеза в том, что причиной такого поведения стал WordPress.
У WordPress куча модулей, не все из них безопасны и это самая популярная в мире CMS — на WordPress самое большое число сайтов в мире. Даже сервера с голым WordPress без какого-либо контента или сайтов привлекают больше внимания ботов, чем сервер с Drupal.
Разница между WPD и WPU в том, что на WPD работает WAF, но могло ли это стать причиной такой существенной разницы в количестве атак — сейчас я сказать не могу. Смущает, что сам WAF заблокировал очень мало запросов. Но, возможно, боты как-то его определяют и даже не пытаются продолжать запросы. Если вы в курсе — расскажите, пожалуйста.
Port Honeypot
Никакой сезонности или одинаковых паттернов не обнаружилось. Серверы атаковали хаотично, без очевидной логики. Были странно похожие колебания для DA, но они повторились всего лишь раз. Этого мало, чтобы сделать какие-либо выводы.
Синий — DA, зеленый — WPU, красный — WPD
DoS Detection
Под DoS-атаки попал только сервер WPU. На остальных включен WAF, возможно дело в этом.
DoS-атаки на сервер WPU
WAF
Общее количество атак на DA было меньше, чем на остальные сервера, но WAF отразил больше подключений. Но запросов мало, поэтому это, скорее всего, случайность.
График частично совпадает между собой, что опять же показывает, что часть атак проводится ботами по всем сетям провайдера.
Синий — DA, Красный — WPD. Синий намеренно притушил, чтобы было видно совпадение пиков.
Blocked packets
Рackets или «пакеты» — это единица измерения трафика, который генерируется IP-адресом. Каждый инцидент или запрос могут содержать разное количество пакетов, в зависимости от размера запроса. В терминологии BitNinja речь идет именно о HTTPS- пакетах.
Почему-то на DA количество дней с атаками было больше, чем на других серверах. При том, что пик достался WPU. Также как и в случае с заблокированными подключениями к портам.
Синий — DA, зеленый — WPU, красный — WPD
Что дальше
Из результатов нашего тестирования атак за три месяца я сгенерировал несколько гипотез:
Даже пустой сервер подвергается атакам.
WordPress привлекает больше внимания атакующих, чем Drupal.
Иногда атаки проходят по всей сети провайдера, без цели захватить какой-то конкретный сервер.
Больше всего атак и блокировок приходится на запросы, взаимодействующие с портами сервера.
В планах посмотреть как изменится активность злоумышленников после того, как прикрутил к серверам домены и завел на них сайты с формами. А параллельно проведу вторую фазу — активное тестирование по документации вендора.
Разработчик антивируса Avast и утилиты CCleaner — чешская компания Avast Software — стал недоступным в РФ. В официальном заявлении IT-предприятие объяснило свое решение проведением специальной военной операции на территории Украины. Но тогда компания не блокировала работу приложений. Однако сейчас пользователи видят уведомление о том, что программа больше «не поддерживается в вашей стране или регионе».
"Avast — это как продажа сушеных экскрементов летучих мышек, подорожника от всех болезней. Он имитирует современный антивирусный пакет, который не работает, никакой защиты."
Чем его заменить?
Илья Вайцман:
«Могу порекомендовать набор из бесплатных версий Wise Disk Cleaner и Wise Registry cleaner. Из бесплатных антивирусов неплохо работают Comodo Free Antivirus и ClamWin Free Antivirus. Как вариант можно рассмотреть еще антивирусы Total 360 Security и Malwarebytes. Вообще, вариантов очень много», — отметил специалист.
