Add to Flipboard Magazine.
30.06.2017 10:30
Кибeрвoйны нaбирaют мoщь, aтaки xaкeрoв стaнoвятся всe чaщe, зaxвaтывaют стрaны и кoнтинeнты, пoтeри кoмпaний и гoсудaрств рaстут, пo oцeнкaм экспeртoв гoдoвыe убытки ужe прeвышaют $400 млрд. и дaжe $500 млрд. Стрaшнo, чтo пoд прицeлoм oкaзывaются ужe цeлыe oтрaсли экoнoмики и oбъeкты критичeскoй инфрaструктуры. Oчeрeднaя мaссирoвaннaя кибeрaтaкa с пoмoщью вирусa-вымoгaтeля Petya, зaблoкирoвaвшeгo кoмпьютeры крупнeйшиx кoмпaний пo всeму миру, сдeлaлa aктуaльным вoпрoс: ужe нaчaлaсь кибeрвoйнa? И eсли дa, тo кaк выжить в этoй вoйнe? O сoбытияx пoслeдниx днeй и o будущeм мы пoгoвoрили с Ильeй Сaчкoвым, oснoвaтeлeм и гeнeрaльным дирeктoрoм кoмпaнии Group-IB.
Илья, кaк Вы считaeтe, чтo жe в итoгe прoизoшлo вo втoрник? Нaскoлькo oбширнa гeoгрaфия aтaк? Скoлькo кoмпaний пoстрaдaли? Мoжнo ли гoвoрить o какой-то закономерности?
— Во вторник произошло распространение обновленного вируса-шифровальщика, он никак не связан с WannaCry, который был до этого. Но модель логики работы злоумышленников та же самая. Вирус распространяется, шифрует компьютеры, портит информацию, просит за ее расшифровку выкуп. Отличие от предыдущего раза – упор на объекты критической инфраструктуры, целью были крупные компании в странах СНГ. Поразительно, что за месяц с момента атаки WannaCry люди мало что сделали для улучшения защиты, отсюда огромное количество пострадавших компаний.
Есть версия, что это группировка ИГИЛ, запрещенная в России, но за атакой не стоят террористы. Стиль ИГИЛа — сделать все тоже самое, только на заблокированных компьютерах еще распространять пропагандистскую информацию. Когда они взламывают сайты, они обычно пишут там лозунги какие-то. Тут у нас нет никакой политической подоплеки, хотя она могла быть очень хорошо доставлена средствам массовой информации с учетом такой большой медийности этой истории.
Атаки, подобные недавним WannaCry и Пете-вымогателю, вполне могут быть тестированием некой технологии массового распространения вируса для удара по объектам энергетической инфраструктуры. Какие факты позволяют делать экспертам подобные выводы?
— Простые граждане пострадали в ходе этих атак?
— Да, простые пользователи тоже пострадали, но их число мы не можем посчитать. Если говорить о корпоративном секторе, то только на территории России пострадали более 150 предприятий. Причем злоумышленники не так много денег собрали. Сумма за расшифровку небольшая – $300 в биткоинах, но мы не рекомендуем платить. Нет никакой гарантии на данный момент, что злоумышленники дают ключи для расшифровки. Кроме того, надо понимать, что деньги, которые отправлены кибервредителям, инвестируются в создание новых технологий нападения.
— Каким должен быть «джентльменский набор» для защиты персонального компьютера? Достаточно ли штатных средств операционной системы или нужно устанавливать что-то дополнительно?
— Прежде всего каждый пользователь должен знать, что такое компьютерная преступность сегодня, без мифов. Надо просто читать об этом, в интернете огромное количество полезных ресурсов. Кроме этого, понимать, какие риски являются критическими, перед тем как начинать защищаться. Это то же самое, что вооружить солдата. Нормальный военный спросит: «А что этот солдат делать будет? Нападать или сидеть в окопе? В пустыне он воюет или в горах? В холодное время суток или нет?». И в зависимости от ответов на такие вопросы меняется «джентльменский набор». То же самое с информационной безопасностью: в зависимости от того, что для вас является риском, что вас больше всего беспокоит, от этого и нужно защищаться.
Но есть проблема. Иногда людей не беспокоит то, что должно. А это зачастую совсем базовые вещи: для каждого онлайн-сервиса должен быть свой пароль: большой, длинный и безопасный. Везде должна быть включена двухфакторная аутентификация – дополнительный пароль, который приходит по SMS. Хоть это и не панацея, но злоумышленникам вы осложните работу. Крайне важно вовремя обновлять программное обеспечение. А люди обычно ленятся это делать. Особенно вечером, когда человек смотрит сериал, а компьютер вдруг ему говорит: «Вышло обновление. Установить сейчас, напомнить завтра или через 10 дней?» Мы нажимаем «Напомнить завтра». И завтра опять нажимаем «Напомнить завтра». А потом всё заканчивается вирусом-шифровальщиком на компьютере.
Необходимо периодически делать резервные копии. Эта необходимость связана даже не столько с информационной безопасностью, а с тем, что устройство может упасть, потеряться, на него можно кофе пролить. Поэтому если вы работаете с чем-то, где есть важная для вас информация, должна быть резервная копия файлов с этого девайса. Если у вас есть такой бэкап, то даже если вы столкнулись с вирусом-шифровальщиком, вы можете восстановить данные с резервной копии.
— Установленные антивирусы могут спасти?
— В основном крупные компании соблюдают базовую «технику безопасности», тратят время на обучение персонала. Но опять же в случае с вирусом Petya этого, очевидно, оказалось недостаточно. Сотрудник взял, открыл письмо. Он не знал, что в 2017 г. вирус может открываться в формате doc либо excel, не знал, что наличие на компьютере антивируса не обеспечивает 100%-ю защиту от всех угроз.
Представьте, злоумышленник проинвестировал миллион долларов в разработку вируса. Разве будет он его запускать, не проверив на самых последних антивирусных программах, которые можно купить, поставить на компьютер либо сделать определенную технологию проверки на всех современных антивирусах примерно за $10 тысяч? Конечно же, он это сделает. Он это еще проверит на межсетевых экранах, на спам-фильтрах, а потом отправит в продакшн. Поэтому на 86% поражаемых вирусом компьютерах, антивирус был установлен, но не сработал. Это не говорит о том, что он не нужен. Он нужен и от многого спасает. Но от новой волны угроз чаще всего антивирус не помогает.
— Ваша компания, в связи с усилением кибератак, планирует создать какие-то новые системы защиты?
— В этом году мы выводим на рынок еще 4 новых системы, связанных с проактивным обеспечением информационной безопасности. Детали о них мы расскажем чуть позже, при анонсировании. Также мы планируем до конца года купить несколько стартапов в области кибербезопасности. Важно, чтобы ни одна компания, которая занимается информационной безопасностью, не стояла на месте и максимально быстро адаптировалась к новым вызовам и угрозам.
Должен не без гордости сказать, что наши текущие решения – детекторы атак TDS и Polygon – не пропустили Petya внутрь сетей наших клиентов. Ни один наш клиент не пострадал. Безусловно, нельзя недооценивать киберпреступников – они постоянно совершенствуют методы атак. Благодаря тому, что мы уже 14 лет отслеживаем их деятельность, нами накоплена уникальная экспертиза, воплощенная в нашей системе threat intelligence. Она признана на международном уровне, регулярно входит в отчеты лучших аналогичных мировых систем, по оценке агентств Gartner, IDC, Forrester. Благодаря этой экспертизе наши решения и в дальнейшем будут получать своевременные обновления, способные отследить даже те атаки, где используется ранее неизвестный вредоносный код.
— Какие цели в этот раз могли преследовать хакеры?
— Есть версия, что, возможно, это была проверка технологии массового распространения вредоносного кода для удара по объектам критической инфраструктуры. Потому что, если бы у злоумышленников была задача заработать, атаку можно гораздо более эффективно организовать при помощи того же вируса-шифровальщика. Другая версия – что это спецслужбы организовали для шпионажа. Но это просто нелогично — шпионаж должен вестись незаметно. Этот же вирус мог бы также распространяться, только незаметно, не показывать никакое сообщение, зашифровать данные и просто искать информацию, которая бы потом оправлялась куда нужно.
Согласно статистике, деньги пока остаются основным мотивом кибервредителей
— А может это спецслужбы каким-то образом тестировали новое современное кибероружие?
— Это возможно. Версия о том, что это тестирование кибероружия, допустима. Организаторами может быть теоретически какая-то киберармия или спецслужба какой-либо страны. Тем более что совсем недавно первый раз за историю России было подтверждение участия северокорейских войск в нападении на российские банки. Причем они маскировались под русских хакеров.
В случае с WannaCry нет оснований полагать, что организаторы – спецслужбы. Вирус, предположительно, утек из АНБ и выложен в открытый доступ. И так как коды вредоноса были публичными, ими мог воспользоваться кто угодно. Предполагать, что если какая-то атака похожа на другую атаку, то ее сделали одни и те же люди – нет, это неправильно. То есть квартирная кража, убийство, атака вирусом – это типы преступления, но их могут совершать разные люди.
Если рассматривать географию распространения этого вируса, можно ли говорить о том, какая страна более защищена, какая менее?
— География особо ни о чем не говорит. Она дает понимание, как и в какой очередности злоумышленники пытались отправлять вирус. И, может быть, теоретически чисто случайно Россия и Украина попали в этот список. Почему Россия и Украина – интересные объекты? Большая инфраструктура, большое количество компаний, достаточно низкий уровень компьютерной грамотности, большая вероятность успешного распространения. Другая версия — для кого-то эти территории могут быть полигоном для проверки того, как будет распространяться цифровое оружие. Ну, понятное дело, что не нужно драматизировать, но парализованная работа, допустим, энергетической компании плюс какие-то вброшенные сообщения в СМИ, в принципе, могут вызывать некие народные волнения. А это достаточно опасная ситуация.
Карта распространения вируса от компании McAfee
— Есть ли какая-нибудь информация, почему именно сейчас произошла атака? Можно ли оценить размер ущерба для компаний?
— У меня есть конспирологическое предположение. Сейчас сезон отпусков. Многие люди не в России сейчас. Обычно атаки проходят либо перед Новым годом, либо в сезон отпусков. Бдительность теряют. О работе никто не думает. Это просто версия, но она достаточно логичная, потому что количество людей, которые сейчас обеспечивают безопасность на местах, меньше, чем в обычный период.
Сейчас последствия атаки гораздо более ощутимые, чем от WannaCry. На предприятиях одномоментно заражалось больше количество компьютеров именно благодаря способу распространения уже внутри сети. И до сих пор сейчас большое количество моих коллег занимаются тем, что пытаются восстановить данные. Это крайне сложно, и ликвидировать последствия работы вируса пока не смогли. Поэтому многие компании, в том числе в Москве, не работают.
Опять же я надеюсь, что после освещения атаки WannaCry во всех СМИ компании усвоят урок, что нужно делать и чего не нужно. Этот вирус не чудо техники, для его активации от человека требуется какое-то действие. Поэтому в итоге самое слабое звено все равно человек. Если он сам не откроет файл – вирус не попадет. Приведу аналогию: за рулем наша безопасность во многом зависит от водителя. При этом почти неважно, какая машина. Но если мы целенаправленно на самой безопасной машине в мире врежемся в грузовик, который едет по встречке, вероятность того, что мы останемся в живых, крайне мала. И в информационной безопасности очень много зависит от нас, от каждого пользователя телефона, компьютера. Не нужно надеяться на то, что антивирусная компания вас спасет. Она не спасет.
— Но сотрудники предприятий, могут, например, возмутиться: «Я бухгалтер, я не хочу быть экспертом по кибербезопасности. Пусть специалисты обеспечат мне безопасность».
— Так можно было говорить в 2005-2008 годах. Сейчас кибербезопасность — это обязательные знания. Считаю, что, еще учась в школе, надо осваивать такие навыки. Современные войны с полей сражений перемещаются в киберпространство. Поэтому, если вы нанимаете бухгалтера, который говорит вам фразу: «Я бухгалтер, не хочу разбираться в кибербезопасности», то подумайте, лучше нанять его и увеличить шансы потерять потом все деньги со счета вашей компании или поискать другого специалиста?
— То есть сейчас при найме на работу обязательно наличие у соискателей определенного уровня грамотности в сфере кибербезопасности?
— Я могу сказать, что сейчас меняется поколение людей – компании молодеют в целом. Кроме того, очень много людей среднего возраста и даже пожилых могут безопасно работать на компьютере. Не нужно думать, что это какие-то сверхзнания. Это набор простых правил, их надо освоить.
Если мы хотим строить цифровую экономику, то безопасность является ее существенной частью. Если у нас не работают онлайн-сервисы, летят биржи, плохо с онлайн-транзакциями, то экономика будет развиваться плохо. Будущее такой экономики зависит от трех ключевых факторов.
Илья Сачков, один из наиболее известных специалистов в области киберкриминалистики, основатель и генеральный директор компании Group-IB, посвятил свою лекцию на форуме Vestifinance разбору мифов о хакерах.
Первое – простота технологий. Да, бухгалтер не должен быть антивирусным экспертом, но должен знать некие основы общеобразовательные. Все должно быть очень просто, прозрачно, удобно, интуитивно. Системы должны быть «невидимые». И они уже есть сейчас. Например, если вы с любого компьютера зайдете на сайт Сбербанка или еще нескольких банков, с которыми мы работаем, вы даже не заметите, как через нашу технологию на вашем компьютере пройдет проверка на наличие банковского трояна. Если там обнаружится какой-то вирус, вам не разрешат провести операцию. Вы даже об этом не знаете, вы об этом не думаете. Вы можете не разбираться в информационной безопасности, за вас банк отвечает на вопрос: можно ли вам доверить проведение операции.
Второй фактор — внедрение специализированных предметов в систему образования. У нас в школах уроки информатики – это не компьютерная гигиена и безопасность. А специалистов, которые этому учат, тоже пока нет.
И третий важный пункт — это повышение ответственности за совершение киберпреступлений. Когда киберпреступники чувствуют себя расслабленно, такими же членами общества, как добропорядочные граждане, и это считается каким-то позитивным видом деятельности, хотя преступление вписано в Уголовный кодекс, – это неправильно.
— В случаях с WannaCry и Petya преступники требуют выкуп в биткоинах. Вновь у криптовалюты, которая пытается завоевать себе место под солнцем, неприятное соседство с какими-то кибервредителями. Если бы злоумышленники требовали выкуп в деньгах, их транзакции было бы проще отследить?
— На самом деле, процент преступлений, финансируемых криптовалютой, ничтожно мал в сравнении с теми случаями – взятками, коррупционными сделками и т. д., — где фигурируют обычные деньги. Чем хорош блокчейн? Все операции видны: биржи, кошельки, обменники оставляют много цифровой информации. На самом деле, биткоин с точки зрения отслеживания – гораздо более понятная история, чем наличка. Поэтому, я считаю, что бояться криптовалют не стоит. И запрещать не надо по одной простой причине – это уже не запретишь, как интернет.
Эту технологию можно понятным образом легализовывать и контролировать. Сервисы обменников, вывод из биржи — государство с этого всего может получать налоги, как это делают другие страны, которые криптовалюту легализовали. Американские биржи Kraken, Poloniex аттестованы комиссией по ценным бумагам, платят огромные налоги государству. Люди из-за того, что это биржи сертифицированы, идут туда очень охотно. На этих сайтах онлайн всегда 300-400 тыс. человек. И вопрос: если российский гражданин хочет купить валюту, а возможности нет, то что он делает? Он идет в теневую экономику или в экономику другой страны. Если вы купили валюту на Coinmama, то сервис заплатит за вас налог в той стране, где зарегистрирован.
Поэтому либо мы легализуем криптовалюты и экономически получаем от этого пользу: налоги, сертификация бирж, лицензия – всё, как с банками. Либо мы это запрещаем, но это не исчезнет, просто будет в теневом обороте.
— Так как все атакованные ПК были с установленной Windows, возможно увеличение количества инициатив по разработке российского ПО, отечественных компьютеров, процессоров, госмессенджеров, операционок и т. д. Насколько это вообще может помочь?
Ссылки по теме
- Форум Vestifinance: Топ трендов кибербезопасности
- Cачков: как хакеры воруют деньги из банков (лекция)
- Как спастись от всемирной хакерской атаки?
- Ущерб от вируса WannaCry оценили в $1 млрд
— Что-то нужно иметь свое, безусловно. Но все нужно взвешивать. Либо проверять безопасность того, что сделали компании другой страны, вложив в это много сил и денег, либо попытаться сделать что-то свое только для того, чтобы заменить. Представьте себе, что в одном месте собрались одни из самых талантливых инженеров разных стран, в том числе русские. И на протяжении 30 лет делают операционную систему. Вокруг этого — культура безопасного «программирования, огромное количество инвестиций, отзывов от клиентов разных стран. Понятно, что есть угроза, что будут «жучки» и «закладки». Но российские специалисты умеют это все находить.
В каких-то областях можно заниматься импортозамещением: там, где у нас есть хорошая инженерная школа, возможность делать продукт не только для отечественного пользователя, но и для экспорта на внешние рынки. Если продукт экспортируется, это означает, что он хорош. Почему американцы продолжают летать на наших ракетах? Они могут создать свой продукт и очень хотят. Но они знают, что экономически это достаточно глупая история, а российские ракеты — классные.
Если ставить целью заработать, то надо делать такую систему, которая будет конкурировать с операционными системами в мире. Сейчас я не верю, что это может произойти. Мы подорвем нашу экономику, и это будет искусственная история. Здесь нет стратегии «голубого океана», которая была, когда сражались Mac OS и Windows. Apple делали совершенно другую ОС, очень удобную. И у людей появляется выбор. Расскажите мне, зачем третья операционная система с российскими корнями на международном рынке?
— Если не операционку, то что российская ИТ-инфраструктура может создать?
— Сервера свои нужны, «железки». Мы покупаем сервера Dell. В России никто не может сделать сервер такой же производительности и по такой же цене. У нас начинается следующее: тяп-ляп собрали из нероссийских комплектующих, сказали, что это русский сервер, и продали его в 6 раз дороже при гораздо более плохом качестве. Либо просто нет технологий – с электроникой у нас большая проблема. Сервера – это важная вещь. Я больше верю, что мы создадим хороший сервер, нежели операционную систему.
У нас такая проблема: когда хорошие разработки вдруг начинает поддерживать государство и заниматься импортозамещением, компания расслабляется: «Мы и так продадим, вариантов у заказчика уже нет». Это очень опасное состояние. Нужно всегда быть готовым к конкуренции: если ты сделаешь плохо, придет конкурент и сделает хорошо. Отсутствие реальной конкуренции русским технологиям мешает.
Можно ли назвать все, что происходило на этой неделе, месяц назад, началом третьей мировой кибервойны? Или это слишком громкие заявления?
— Я очень не хочу в это верить. С гуманной точки зрения. Третья мировая война, если она будет вестись такими методами, закончится крайне плохо. Потому что, в отличие от обычного оружия, цифровое оружие, в случае утечки, может быть дуплицировано и использоваться абсолютно ненормальными людьми, в этом главная опасность.
Цифровое оружие — это код, который каждый может скопировать. Как в случае с утечкой из АНБ – этой уязвимостью потом воспользовались тысячи разных хакеров. Ею же могут воспользоваться террористы. Если какое-то государство, не дай Бог, создает цифровое оружие, нужно всегда представлять: а если оно попадет к ненормальным людям из террористических группировок, что будет происходить после этого? Ведь это же оружие может быть использовано против его создателей. Поэтому слухи про третью цифровую мировую войну ходят, но я надеюсь, что ни один политик в мире даже не задумается о таком сценарии, потому что это закончится очень и очень плохо.
Подготовили: Алексей Бобровский, Александр Шаляпин