Взлом смарт-контрактов, умный фишинг и дипфейки: какими будут киберугрозы в ближайшие 5 лет

Искусственный интеллект

На 26-й крупнейшей в мире конференции хакеров DefCon сотрудник компании Endgame, занимающейся системами безопасности, показал программу, которую можно было настроить так, чтобы она самостоятельно создавала вредоносное ПО.

Изучив среду OpenAl Gym — платформу для тренировки ИИ, — программа научилась прятать вирус от систем защиты. Система вносила изменения в корректный код, «проводила» его мимо антивируса,  собирала данные и выпускала новую вредоносную версию. Обнаружить вирус не удалось.

А если вредоносная программа, используя ИИ, сможет автономно определять, как имитировать нормальное поведение или движение (например, с помощью локальных учетных данных), злоумышленникам не потребуется специальный сервер, а вредоносное ПО будет в разы труднее идентифицировать.

В исследовании компании Darktrace говорится о первых образцах программ, которые способны анализировать окружение. Это позволяет им понимать, где они находятся, и находить различия между виртуализированной и «голой железной средой» (bare metal), а также находить изъяны в операционной системе.

Такая программа сможет подобрать подходящий набор действий для каждой среды. Когда ИБ-специалисты будут анализировать «малварь», он будет маскироваться и может остаться незамеченным. А за дело вредонос возьмется уже в руках конечного пользователя и будет, например, красть коды доступа к банковским счетам или персональные данные.

Проанализировав ситуацию, ИИ сможет воспользоваться другой уязвимостью или, не дожидаясь человека, начать поиск альтернативных путей взлома. В итоге ИБ-шники могут банально не успевать отражать входящие атаки.

В том, что искусственный интеллект может стать хакерским кибероружием, уверены 62% опрошенных ИБ-специалистов. Механизмы защиты в ближайшие годы тоже должны строиться с применением ИИ — об этом стоит задуматься уже сейчас, ведь с каждой новой адаптацией машинное обучение будет все более гибким и легко сможет использовать найденные лазейки и уязвимости во вред добросовестным пользователям.

Умный фишинг и дипфейки

Искусственный интеллект изменит и фишинговые атаки. Благодаря ему целевой фишинг (спеарфишинг), направленный на обман конкретного человека или компании, станет еще эффективнее. Например, троян по примеру Emotet в дуэте с искусственным интеллектом сможет не только рассылать электронные письма, но и понимать их контекст и «вклиниваться» в настоящие цепочки электронных переписок.

Еще больше усилить фишинг смогут и дипфейки — фальшивые фото и видео, автоматически создаваемые алгоритмами с использованием лиц реальных людей. Хакеры смогут использовать их как «бонус» к рассылкам, либо как самостоятельную тактику.

Киберпреступники могут также использовать эту технологию для манипулирования ценами акций, например, разместив поддельное видео генерального директора, объявляющего, что компания сталкивается с проблемой финансирования или каким-то другим кризисом.

И совершенно точно для того, чтобы повысить эффективность фишинговых писем за счет, например, фальшивых изображений, сгенерированных на базе фото из фейсбука.

И если раньше все эти ухищрения требовали бы серьезных ресурсов, теперь они доступны любому, у кого есть компьютер с мощной видеокартой. Стартапы разрабатывают технологии для обнаружения глубоких подделок, но неясно, насколько эффективными будут их усилия. Единственная реальная линия защиты — тренинги по повышению осведомленности в вопросах безопасности, чтобы привлечь внимание людей к риску.

Опенсорсные атаки

В 2018 году можно было наблюдать, как растет количество компаний, пострадавших от цепочек атак через партнеров или поставщиков. Об атаках через третьих лиц (third parties) рассказали 59% опрошенных. Еще одним, пока что менее известным (но не менее опасным) подмножеством таких атак, становится использование уязвимостей ПО с открытым исходным кодом.

В 2019 его уязвимости будут использоваться еще активнее – если раньше ломали конкретный бизнес, то теперь будут взламывать опенсорс. По прогнозам компании Black Duck Software, изучающей опенсорс-проекты, количество таких атак вырастет на 20%.

При этом, как отмечают эксперты, увеличивается доля программного обеспечения с открытым исходным кодом. По оценке экспертов, среднее количество используемых опенсорсных библиотек достигает 147 штук, а около 60% приложений включают в себя уязвимый код.

Так как подобные баги трудно отслеживать непосредственно в «продакшене», их постоянные обновления невозможны, а вот сведения о найденных уязвимостях активно публикуются и могут быть использованы мошенниками.

Показательный пример: в ноябре прошлого года было обнаружено, что хакерам стала доступна широко используемая JS-библиотека event-stream, благодаря чему они внедрили в нее вредонос. Разработчик передал права на редактирование злоумышленнику, который украл приватные ключи пользователей версий 5.0.2-5.1.0.

В результате эксплуатирования уязвимости под угрозой оказались электронные кошельки Copay. Компания попыталась минимизировать последствия атаки и выпустила обновленную версию, несмотря на это было украдено более чем 100 биткоинов.

С одной стороны, государство и (в меньшей степени) бизнес опасаются закладок в зарубежном ПО, с другой — правительство требует перевести органы власти и компании с государственным участием на отечественное ПО (с долей в 90% и 70% соответственно к 2024 году).

Этот процесс приводит к тому, что разработка проводится в спешке и часто с использованием опенсорсного кода. На тестирование программных продуктов практически не остается времени — а значит, формируется огромное поле для хакеров, которые будут использовать необнаруженные уязвимости.

«Лекарством» от этого может стать встраивание в процесс разработки автоматических сканеров, но пока их используют лишь единицы наиболее ответственных разработчиков.

Взлом смарт-контрактов

Эксплуатация смарт-контрактов – еще одна проблема безопасности, которая нас ждет. Они начинаются использоваться повсеместно: начиная от денежных переводов и заканчивая защитой интеллектуальной собственности.

Количество смарт-контрактов уже выросло более чем в два раза по сравнению с 2017 годом. Вместе с ростом увеличивается и количество уязвимостей. Находят их и хакеры, которые используют «дыры», чтобы красть крупные суммы криптовалюты, эквивалентные миллионам долларов.

Одной из самых громких историй стал взлом The DAO – цифровой децентрализованной автономной организации, краудфандинговой платформы. Хакер, используя «лазейку» в смарт-контракте, вывел 3,6 миллиона единиц криптовалюты Ethereum (около 60 миллионов долларов).

Гарантировать безопасность смарт-контрактам, можно лишь проанализировав все варианты его исполнения. Выполняя умные контракты на полных по Тьюрингу языках, нужна уверенность, что компьютерная программа не содержит багов, что почти невозможно. Поэтому, работая или создавая смарт-контракты, придется обязательно проводить их аудит.

Квантовые компьютеры

Множество данных шифруется на основе криптографии с открытым ключом (алгоритм шифрования RSA), в основе которой факторизация — разложения числа на простые множители.

Но вот квантовый компьютер в руках злоумышленников справится с такой задачей за минуты. Алгоритм Питера Шора (квантовый алгоритм разложения чисел на простые множители), запущенный на такой машине, приведет к тому, что любая информация в мире станет доступна. Компьютер сможет взламывать действующие системы шифрования и делать это на лету, представляя угрозу для всей корпоративной инфраструктуры и данных.

Этим уже озаботились ученые: например, в своем недавнем отчете группа американских экспертов по квантовым исследованиям из Национальной академии наук, инжиниринга и медицины США призвали компании внедрять новые типы алгоритмов шифрования, которые смогут противостоять квантовой атаке.

Над стандартами новой постквантовой криптографии уже работают и отраслевые институты — вполне вероятно, они появятся спустя недолгое время после квантовых компьютеров.

Да, этот риск может показаться менее актуальным и более далеким. Но когда дело доходит до кибербезопасности, компании, которые смогут противостоять угрозам завтрашнего дня, будут на шаг впереди своих конкурентов.