На минувшей неделе в сфере информационной безопасности вновь «отметились» депутаты Госдумы России, которые в очередной раз попытались осложнить жизнь международным интернет-компаниям. В это же время в России подсчитали DDoS-атаки, а также раскрыли новые международные интриги в области интернет-слежки.

24 июня в Госдуму РФ был внесен законопроект, согласно которому операторам обработки персональных данных российских граждан вменяется в обязанность хранить их только на территории России. Проект предлагает внести поправки в законы «О персональных данных» и «Об информации, информационных технологиях и о защите информации». Авторами законопроекта стали депутаты от фракции ЛДПР Андрей Луговой и Вадим Деньгин.

В частности, закон «О персональных данных» предполагается дополнить статьей: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации, в базах данных, расположенных на территории Российской Федерации». Сюда относятся, в частности, данные из учетных записей в социальных сетях и электронной почты. Одновременно авторы законопроекта предлагают предоставить Роскомнадзору полномочия требовать от операторов связи ограничения доступа к тем интернет-ресурсам, которые не обеспечат хранение персональных данных внутри страны.

В свою очередь, в закон «Об информации, информационных технологиях и о защите информации» предлагается внести нововведения, которые позволят создавать реестры компаний, нарушающих права субъектов персональных данных. В тексте поправки сказано: «В целях ограничения доступа к информации в сети интернет, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных»». В этот реестр предлагается включать доменные имена, указатели страниц сайтов и сетевые адреса, содержащие информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных. Также в реестре должен вестись учет судебных постановлений относительно каждого ресурса и содержаться информация об устранении нарушений.

Один из авторов законопроекта Вадим Деньгин так пояснил свою инициативу агентству «Интерфакс»: «В настоящее время персональные данные россиян хранятся в основной массе за границей. Такой информацией оперируют поисковики, она хранится на серверах. Наш закон направлен на то, чтобы такая информация не могла попасть в руки мошенников. … Планируемые изменения заставят такие иностранные компании, как Facebook и Twitter, открыть представительства на территории России».

Если законопроект обретет статус закона, то уже в 2016 году таким международным интернет-гигантам, как Google, Yahoo, Twitter или Facebook придется либо размещать в России часть своих серверов, либо рисковать подвергнуться блокировке доступа для российских пользователей к их сайтам. Понятно, кто выиграет при таком раскладе: «Яндекс», «ВКонтакте», «Одноклассники»… и ФСБ.

Также на минувшей неделе компания Qrator Labs, специализирующаяся на защите сайтов от DDoS-атак, опубликовала свой отчет. Из него, в частности, следует, что в январе-мае 2014 года основной целью хакеров в российской доменной зоне стали сайты платежных систем – в среднем 6,2 атаки на один интернет-ресурс. В ходе исследования экспертов проанализировали опыт порядка 400 корпоративных сайтов.

За прошедший год приоритеты киберзлоумышленников изменились: в январе-мае 2013 года чаще всего DDoS-атакам подвергались сайты биржевых компаний – в среднем 10,7 атак на одну компанию в месяц. За ними следовали купонные сервисы – 5,4 инцидента, а также сайты по недвижимости – в среднем по 5 атак на каждый.

Однако в нынешнем году главной целью хакеров стали сайты платежных систем – выявлено по 6,2 атаки на один ресурс ежемесячно. Продолжаются, даже более интенсивно, атаки на сайты сектора недвижимости (5,37 атаки на один ресурс). А вот биржевые сайты стали атаковать заметно меньше (4,37 атаки). Значительно реже регистрируются DDoS-атаки на правительственные ресурсы (0,9 атаки в месяц), игровые интернет-сервисы и корпоративные сайты-«визитки» (по 1,49 атаки на ресурс).

В свою очередь, эксперты компании Trend Micro утверждают: за последние несколько лет услуги хакеров в России заметно подешевели. То есть их становится больше. Больше внимания они уделяют компаниям, в результате атаки которых можно получить материальную выгоду.  Число кибератак на интернет-магазины за первые пять месяцев 2014-го выросло за год более чем в три раза – сегодня оно составляет 3,7 DDos-атаки в месяц.

Совокупная статистика впечатляет еще больше: на протяжении 2013 года компания Qrator Labs зафиксировала 6,6 тысячи DDoS-атак на своих клиентов. В 2012-м эта цифра составила 3,7 тыс. инцидентов. По словам основателя и гендиректора Qrator Labs Александра Лямина, одна из причин происходящего – то, что произвести DDoS-атаку становится все легче. «Мы наблюдаем четкую тенденцию уменьшения длительности атак на наших клиентов, – говорит он. – Если раньше исполнители атак подолгу пытались преодолеть защиту, то сейчас речь идет в основном о кратковременных пробах прочности, за которыми следует отказ от намерений либо смена методики или технологии атаки».

Это подтверждается и данными «Лаборатории Касперского». По утверждению «ЛК», весной 2014 года средняя мощность DDoS-атаки составляла 70-80 гигабит в секунду, а в пиковые моменты – 100 гигабит в секунду. Но еще год назад самая мощная DDoS-атака в Рунете не превышала 60 гигабит в секунду.

В информационной справке «Лаборатории Касперского» говорится: «Быстрый рост мощности DDoS-атак стал следствием распространения среди киберзлоумышленников метода NTP Amplification. Атаки этого типа имеют коэффициент усиления (к числу задействованных в атаке компьютеров) до 556 раз, что позволяет хакерам быстро достичь высокой мощности при минимальных усилиях. Помимо этого, такой метод дает злоумышленникам возможность скрыть свой настоящий адрес, что затрудняет их идентификацию».

«По итогам 2014 года ситуация с DDoS-атаками в Рунете будет зависеть от того, как отреагирует сообщество операторов на вызовы киберпреступников. Если не будут предприниматься согласованные меры всех участников межоператорского взаимодействия по противодействию угрозе, с высокой вероятностью можно ожидать устойчивого роста и мощности, и количества атак», – резюмирует Александр Лямин.

Между тем, на минувшей неделе «Лаборатория Касперского» также обнародовала отчет, в котором анализируется масштабная глобальная инфраструктура, которая используется вредоносными модулями, входящими в состав Remote Control Systems (RCS). RCS – это «легальный» инструмент для слежки, разработанный итальянской компанией HackingTeam. Его инфраструктура также известна под названием Galileо, в нее входят модули с функциями мобильных троянцев, которые работают как на Android, так и на iOS.

«Лаборатория Касперского» совместно с Citizen Lab провела своего рода расследование, определив, что в список объектов внимания Remote Control Systems почему-то попали общественные активисты из разных стран, борцы за права человека, а также журналисты и политики. В ходе расследования специалисты «ЛК» определили размещение управляющих серверов Galileo. Как выяснилось, более чем 320 серверов, управляющих инфраструктурой RCS, находятся более чем в 40 странах. Большинство серверов работают в США, Казахстане, Эквадоре, Великобритании и Канаде.

«Наличие серверов инфраструктуры RCS в той или иной стране еще не свидетельствует о том, что местные спецслужбы причастны к использованию Galileo, – считает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. – Однако разумно предположить, что организации, которые работают с RCS, должны быть заинтересованы в том, чтобы их сервера располагались в местах, где у них был бы полный контроль над ними – это позволяет нивелировать риски вмешательства правоохранительных органов других стран и изъятия серверов».

По информации «ЛК», система Remote Control Systems постоянно совершенствуется. Сейчас операторы RCS формируют индивидуальные вредоносные модули для каждой из целей (то есть конкретных персоналий из списка). Такой модуль устанавливается на мобильное устройство жертвы – для этого обычно используются методы социальной инженерии либо локальное заражение смартфона во время его синхронизации с компьютером по USB.

И напоследок еще одна цитата из отчета «ЛК»: «Мобильные модули RCS разработаны так, чтобы жертва не замечала их присутствия. В частности, особое внимание уделено потреблению энергии батареи устройства. Для этого шпионские функции включаются только при наступлении заранее установленных событий: например, звук начинает записываться только тогда, когда жертва подключится к определенной Wi-Fi сети, или при смене SIM-карты, или во время подзарядки устройства. … Эти мобильные троянцы имеют широкие возможности для выполнения различных функций наблюдения, включая передачу данных о местонахождении жертвы, выполнение снимков, копирование данных о встречах из календаря, регистрацию новых SIM-карт, которые вставляются в телефон, а также перехват вызовов и сообщений, включая те, что передаются посредством программ VIber, WhatsApp и Skype».

Виктор Демидов