"Пятый этаж": киберугрозы и кибербезопасность

Всемирное антидопинговое агентство ВАДА заявило, что российская группировка, занимающаяся кибершпионажем, незаконно получила доступ в систему антидопингового администрирования и менеджмента. Тех же хакеров подозревают во взломе систем Демократической партии США. Пресс-секретарь российского президента Дмитрий Песков категорически отмел обвинения со стороны ВАДА. Размах кибератак в последние годы растет как на дрожжах - виртуальных взломщиков не останавливают практически никакие системы безопасности. Насколько актуальна угроза кибершпионажа в современном мире? Ведущий программы "Пятый этаж" Михаил Смотряев беседует с директором Департамента сетевой безопасности компании Group-IB Никитой Кислицин ы м и старшим вице-президентом компании Clear Swift Максимом Щипко. Михаил Смотряев: Разговор у нас с вами сегодня пойдет не столько про Всемирное антидопинговое агентство, сколько про сам кибершпионаж в самом широком его значении. С одной стороны, надо понимать, что киберпреступность, как таковая, существует уже достаточно давно, с распространением интернета, наверное, но сейчас набирает обороты все более и более активно вторая составляющая - этопромышленный шпионаж, военный шпионаж, это взломы всевозможных баз данных, в том числе и очень чувствительного свойства - военных, государственных. Это мне представляется, наверное, гораздо более важным. Никита Игоревич, с вас начнем: насколько масштаб этого несанкционированного вмешательства на государственном, полугосударственном уровне, - поскольку, разумеется, ни одно государство не признает, что содержит шпионов, электронных или обычных, - насколько он увеличился за последние 15 лет? Никита Кислицын: Понятно, что он, конечно, колоссальные масштабы носит, особенно если говорить не про какой-то там государственный уровень, а вообще посмотреть на проблему, потому что здесь выделить именно что-то санкционированное государством или несанкционированное очень сложно, всегда бездоказательно и очень часто это носит какие-то такие политизированные жесткие оценки, которые не очень интересны. А если с технической стороны смотреть, не выделяя, функционирует там государство или нет, то сама проблема кибершпионажа и целевых атак, целью которых часто является не только информация, но, например, и деньги, применительно к финансовым институтам, к финансовым организациям, - эта проблема носит колоссальный характер. Она за последние годы, - вы сказали про окно в 15 лет, - выросла на порядки. Это точно. М.С.: Максим Владимирович, согласны с такой оценкой? Максим Щипко: Что я могу добавить? 15 лет назад, честно говоря, кибершпионажа со стороны различных стран практически не существовало. Приблизительно в 2003-2005 годах Китай начал пробовать свои силы и, как совершенно верно мой коллега из Group-IB сказал, собственно доказать, что определенная атака проведена определенными людьми, достаточно сложно. Есть определенные маркеры, но это достаточно сложно. В случае с Китаем, допустим, один из маркеров, например, - строки в определенной программе, которую писали злоумышленники, - на каком языке они написаны. То, что они написаны по-китайски, конечно, же не значит, что за этим стоит китайское правительство. Однако, как я уже сказал, существует довольно много различных маркеров, и по этим маркерам видно (один из самых основных маркеров - это цели атак), что начиная приблизительно с 2003 года и до сегодняшнего времени, множество стран разработали свои подходы и свои методы кибератак. Если говорить про Россию конкретно, то даже военная доктрина России 2010 года подразумевает интенсификацию киберактивности как часть современной войны. Конечно же, я не исключаю из этого списка США, ту же Великобританию, допустим. Все эти страны, конечно же, разрабатывают и имеют свои команды, которые занимаются кибершпионажем. Разница в чем? Разница между кибершпионажем, который спонсируется странами или приватными организациями, очень понятна. Одно делается для денег, другое делается для совершенно других целей. М.С.: Надо заметить, что в странах Западной Европы, в США управления кибербезопасности начали появляться действительно в середине нулевых годов. По всей видимости тогда масштаб этой угрозы был более или менее осознан. Но сами по себе попытки подобного рода взлома, наверное, датируются более ранним временем. Другое дело, что в середине нулевых годов они вышли на некий новый уровень. Интересно понять, почему это произошло. Никита Игоревич, это потому что наш мир становится все более компьютеризированный, все больше всевозможных сведений складывается в базы данных, до которых при желании квалифицированному специалисту можно добраться, или причины в чем-то еще? Н.К.: Причин было очень много, тут нет какой-то одной причины. Во-первых, сама отрасль информационной безопасности очень сильно развилась за это окно в 15 лет. На порядки больше людей стало заниматься этой темой. Сам рынок в деньгах вырос очень существенно. Если, например, посмотреть на капитализацию, на обороты ведущих компаний, кто в этой отрасли работает, с 2003 года изменения колоссальные, рост очень-очень большой. Это притягивает людей в эту отрасль, и люди занимаются этим в разных плоскостях. Кто-то идет и занимается, работает в какой-то такой "серой" зоне, кто-то откровенно в "черной". Есть большая проблема компьютерной преступности. Наверное, сильнее всего с такой жесткой преступностью, которая не санкционирована ни одним государством, сталкивается именно финансовый сектор, о чем я начинал говорить, - банки. Например, в России это огромная проблема - целевые атаки на финансовые организации, которая носит просто миллиардные объемы. Только за прошлый год больше 20 подтвержденных кейсов хищений денег именно непосредственно из финансовых организаций. Эта проблема носит мировой характер. Европейские и западные банки сталкиваются с этими хищениями, когда со счетов целых государств исчезают десятки миллионов долларов. Выясняется, что технически это было сделано довольно примитивно, по крайней мере, это не сравнимо с задачей честного зарабатывания этого же объема денег. Такая возможность, чисто техническая, к сожалению, привлекает много людей. То же самое касается и этих политизированных взломов - это может финансироваться государствами и кем угодно. В конечном счете, это тоже вопрос денег, это вопрос денежной мотивации для людей, которые очень квалифицированно это делают, но в общем и целом, когда эти атаки разбираются в технической плоскости, оказывается, что очень часто там какой-то сложной технической составляющей в общем-то и не было: эти конкретные деньги довольно легко лежали, их было довольно легко украсть; эти конкретные файлы, которые утекли, - то же самое: не было каких-то очень сложных вещей проделано. Поэтому здесь проблем много, они и в технологической области лежат, в том, что софт и те процедуры разработки софта, особенно его использования, …. в организациях, - все эти процессы настоящей безопасности выстроены с организациях очень плохо. Во всем мире эта проблема есть. Оказывается, что атаковать средней руки банк, не важно, где он находится, не так уж сложно, много людей может это сделать. Учитывая, что награда очень существенна, то результаты понятны, вполне предсказуемы. М.С.: Надо сказать, что воровство, как я себе представляю, - это довольно древний род деятельности человеческой и появился еще задолго до банков, и в обозримом будущем никуда не денется. Н.К.: Появилось новое обстоятельство: без всякого риска для жизни и всего такого можете, просто сидя с клавиатурой, украсть 200 миллионов долларов, например. Такой технической возможности никогда на существовало. М.С.: Если мы заговорили о китайских хакерах, как сейчас наиболее, может быть, активных или одних из наиболее активных хакерских группировок, то еще, по-моему, в 2013 году был большой доклад компании "Мандиенс" (в свое время его перепечатали, выдержки из него и американские газеты, он до сих пор активно цитируется) по поводу того, что уже в то время, скажем, китайские хакеры (собственно тогда и стали открыто подозревать, что за этим стоит официальный Пекин) начали интересоваться не только секретными рецептами кока-колы, потому что промышленный шпионаж тоже существовал всегда, но и, скажем, как функционируют электрические сети или сети водоснабжения в США, то есть информацией стратегического характера. Это, наверное, в среднесрочной, долгосрочной перспективе представляет для государства гораздо большую угрозу, чем кража, пусть даже нескольких миллиардов долларов со счетов, в общем-то, частных банков. Максим Владимирович, что скажете? М.Щ.: И то, и то представляет угрозу для государства, поскольку украденные, по крайней мере, как вы знаете в Великобритании, деньги со счетов невинных граждан должно компенсировать государство по здешним законам. Но дело не этом, дело в том (вы очень интересный момент подметили), что атаки, которые спонсируются официально или неофициально странами, различными правительствами этих стран, и атаки на банки, кардинально отличаются. На самом деле, если смотреть совсем уж глобально, - 30 тысяч футов, скажем так, над Землей, - атаки на банки проводятся кем угодно: и группировками, и отдельными людьми. Как правило, это довольно слабо связанные между собой люди, которые используют сервис, предоставляемый друг другом. Мой коллега из Group-IB совершенно прав: технически подобные атаки довольно просты. Их проходит довольно много, и украсть деньги можно, этими деньгами можно поживиться и даже сложить их куда-то можно: через так называемых "муллов" вывести в наличку или купить машину за них. Официальные, скажем, официально подтвержденные, атаки из Китая характеризуются тем, что они фокусируются на индустриальном шпионаже: украсть секрет, как сделать определенный двигатель, более эффективный и так далее и тому подобное. Там довольно много денег тоже, конечно же, на этом, но совершенно практическая польза от подобной кражи существует. Те же атаки, за которыми стоят государства, они не столько шпионаж, сколько война - кибервойна. Та группа, которую вы раньше упомянули, Fancy Bear: известно, что эта группа, во-первых, связана с Россией, потому что русскоговорящие люди, приблизительно в московской временной зоне, приблизительно в рабочую неделю, то есть в восьми утра до пяти вечера или с десяти утра до шести вечера, если мне не изменяет память, работают люди в московской временной зоне в рабочую неделю и делают эти всякие "зловреды". Эти "зловреды" гораздо сложнее, чем то, что используется для атак на банки. Все же, конечно, относительно они просты, но они гораздо сложнее. Допустим, та же Fancy Bear использует систему, двойную систему - два "зловреда", которые смотрят друг за другом. Если один "зловред" задетектировался, то второй "зловред" скачает новое обновление и поставит, - они друг за другом так смотрят. Но самое главное, что цели атак там совершенно другие. Это не коммерческий шпионаж. Допустим, та же Fancy Bear: с 2007 года существует эта группа, стоит за атаками на польское правительство, Венгрию, страны Прибалтики, Украину, Грузию, НАТО, немецкий парламент, французское телевидение, Белый дом и так далее. Кому это надо, какие там деньги? Если это и не группа, которая напрямую спонсируется правительством, по крайней мере, это группа, которая какую-то связь с правительством имеет, потому что только правительству подобная информация интересна. Более того, если взглянуть глубже на некоторые детали этих атак, очень-очень детально посмотреть на те же атаки на Украину, там совершенно четко видно: произошло определенное военное действие где-то на Украине, стиль атаки меняется, чтобы найти больше информации, допустим, о передвижении войск Украины. Кому еще эта информация нужна? Задайте себе этот вопрос, и он приведет вас к правильному ответу. Но, конечно же, как мой коллега из Group-IB не один раз сказал, доказать "железобетонно" это очень трудно, поэтому правительство России совершенно резонно может сказать: "Это бездоказательно". Есть какие-то такие побочные маркеры, но "железобетонного" доказательства действительно не существует - кроме намерений. М.С.: Это правда. Мы здесь, с одной стороны, не в зале суда, с другой стороны, жесткие редакционные правила Би-би-си обязывают нас не клеветать, во всяком случае, неоправданно, неподтвержденно о государствах и даже отдельно взятых хакерах. Никита Игоревич, насколько, по-вашему, можно говорить о разнице в уровне подготовки таких идейных хакеров, которые борются с глобализацией, взламывают (не знаю, ребята, которые WikiLeaks устроили, тот же Сноуден до определенной степени, хотя, как я себе представляю, он не столько хакер, сколько... Н.К.: Клерк такой... М.С.: В общем, да. У него на флэшке завалялось, он взял это дело и, уж, в интернет вывесить не сложно, в том же интернете найти инструкцию, как это сделать), и соответственно людьми, которые работают кибершпионами. С одной стороны, вы говорите, что маленький или средний банк взломать технически не очень сложно, но все равно, думаю, вряд ли доступно любому, и, как мне кажется, систему "Норад" или систему запуска баллистических ракет, - эти штуки охраняются от взлома более, чем тщательно, и соответственно туда пробраться, нужен уже другой уровень хакерской подготовки, или я не прав? Н.К.: Что касается таких по-настоящему серьезных вещей, как система запуска какого-нибудь ядерного оружия, понятно, что там вообще не про информационную безопасность, там про физическую безопасность. Там процессы построены предельно консервативно, понятно, что через интернет не популять друг в друга хакерам. Это можно исключить сразу. Понятно, что там именно про физическую безопасность, про очень жесткие протоколы, которые продуманы сильно еще до того, как это было сделано еще, то есть первое, о чем думали, - о том, как сделать безопасно. Поэтому про оружие мы пока можем не волноваться. Это все лежит в области все-таки физической пока безопасности, конечно. М.Щ.: Это, с одной стороны. С другой стороны, вспомните апрель этого года и ядерную электростанцию рядом с Мюнхеном, в которой внутренние системы этой электростанции были заражены Conficker. То есть, с одной стороны, вы совершенно правы: то, что вы описываете, - так должно быть, - с другой стороны, есть реальность. М.С.: К реальности мы сейчас вернемся. Пока я хотел бы прояснить для себя вопрос квалификации хакеров. Никита Игоревич? Н.К.: Все-таки в чем ваш вопрос: в какой индустрии более квалифицированные хакеры? М.С.: Мне интересно: скажем человек, который занимался тем, что по мелочи воровал в банках, а потом вдруг решил идейно пойти или за очень большие деньги работать, скажем, в шанхайскую группу. Мы здесь вспоминали Китай, тоже про нее точно не известно, но с большой вероятностью считается подразделением Народно-освободительной армии Китая. Хватит ли у него подготовки, хватит ли у него навыков, насколько отличаются навыки хакеров, необходимые для...? Н.К.: Здесь нужно понимать, что в разных государствах это, конечно, имеет разный уровень и разную природу, откуда все это произрастает. Понятно, что США - это держава, которая больше всего денег в настоящее время инвестирует в область кибероружия, киберзащиты и кибернападения. Это очевидно. В США выстроено огромное количество предприятий, которые уже десятками лет занимаются этой проблемой, и там все это выстроено по-настоящему серьезно. Я думаю, целые поколения людей существуют, которые занимаются этим профессионально, чья работа с окончания университета до текущего сорока с чем-нибудь-летия прошла в каких-то подрядных организациях, которые для Пентагона, для всех этих организаций в США разрабатывают вредоносный код, какие-то общие подходы и так далее. Это то, что понятно. В Китае, я думаю, что, наверное, это носит какую-то такую схожую риторику. Там все это (по крайней мере, как это все освещается в СМИ и то, что просачивается) очень сильно находится под армией, под силовым блоком, который на государственном уровне выстраивает все это, начиная с образования, заканчивая тем, что люди просто работают там в каких-то военных частях. То, что освещено в том же отчете, вполне реалистично выглядит и, думаю, что не далеко от действительности они это описали. В России, понятно, что такого объема денег, как в США никогда в эту тематику не инвестировалось. Я думаю, что сложно здесь судить о настоящей природе того, как это устроено тут, но понятно, что любое государство, которое себя считает значимой великой державой, инвестирует деньги как в защиту своей инфраструктуры, своего государства, так и в возможности по нападению, по шпионажу. М.С.: Максим Владимирович, а по-вашему, кого следует больше опасаться - угрюмых профессионалов из разведслужб или идейных борцов за справедливость - самоучек? М.Щ.: Смотря кому. Нам с вами, конечно же, больше опасаться стоит самоучек, потому что это те самоучки, которые скорее всего доберутся до вашего банковского счета. Но странам и людям, которые защищают критические инфраструктуры этих стран, конечно, стоит бояться профессионалов. Однако, возвращаясь к вопросу, кто сильнее, - очень интересно: зависит даже от страны. Я в свое время имел привилегию запустить европейскую часть группы GreAT из "Лаборатории Касперского", которая не так давно разговаривала об определенном типе угроз, которые переписывают базовый код жестких дисков, который находится в каждой системе, в каждом компьютере. Когда этот базовый код переписан, убрать его оттуда практически никак без замены самого жесткого диска. Этот код может делать с вашей системой все, что угодно. Он может получить доступ к чему угодно на вашей системе. Конечно, это делается для кибершпионажа и для кибервойны. С другой стороны, насколько вероятно, что в вашем конкретном жестком диске это находится? Неизвестно. Уровень знаний, понимания и навыков, которые требуются для создания такого типа "зловредов", совершенно на другой ступеньке, если не на другом этаже, на другой планете от того уровня знаний, который необходим, чтобы написать банковский троян, например. Это говоря о навыках и скилзах. М.С.: Что касается навыков, более-менее понятно. Теперь еще хороший вопрос: обладают ли люди, которые по роду службы призваны защищать нас от всех на всех уровнях, начиная от банков и кончая ядерной безопасностью, насколько развиты у них навыки, позволяющие противодействовать хакерам? У нас, к сожалению, времени не так много остается, но думаю, что несколько минут мы успеем этому уделить. Никита Игоревич, с вас начнем: насколько защита в этом плане отстает или опережает нападение? Н.К.: Технологически понятно, что любой защитный механизм реагирует на угрозу, которая себя проявила, понятно, что разобраться в новых технологиях, которые детектируют и ищут неизвестную угрозу, - это щит и меч. Если оценивать чисто профессиональные навыки, понятно, что в этой индустрии работает очень много больших профессионалов. В любой компании, которая занимается безопасностью, есть как люди просто выполняющие какую-то очень узкую работу, так и люди действительно с большим кругозором, и люди с настоящими большими компетенциями, которые могут и анализировать очень сложные угрозы, и потенциально могли бы их создавать. Тем не менее, они для себя выбрали белый путь построения карьеры и работают в крупных компаниях. В любой компании, которая занимается безопасностью серьезно, такие люди, конечно, есть, поэтому я думаю, все хорошо здесь. М.С.: Профпригодность можно считать достаточно высокой. Максим Владимирович, а вы что скажете в оставшиеся у нас полторы минуты? М.Щ.: По поводу людей, которые нас защищают: "ломать не строить", говорят. Ломать всегда проще, чем строить, поэтому у тех людей, которые нас защищают, по определению выше уровень знаний, навыков, умений и так далее. Проблема в том, что, во-первых, этих людей недостаточно. Многие страны испытывают недостаток людей с нужными навыками. Во-вторых, эти люди должны знать все обо всем и должны защитить всех от всего, в то время как хакерам достаточно сломать одну единственную вещь, чтобы получить доступ к той информации, которую они хотят. Вот я приблизительно так отвечу на ваш вопрос. М.С.: По-вашему получается, что нападение опережает в этом случае защиту? М.Щ.: Нет, это не то, что я сказал. Я сказал, что людей, которые защищают найти гораздо труднее, чем людей, которые нападают. На самом деле существует множество очень про-активных отличных методов защиты, но злоумышленники всегда ищут и находят новые способы, просто потому что количество этих способов проникновения бесконечно. Всегда идет игра в "кошки-мышки", кто первый там окажется. Это не потому, что знания, не потому, что навыки, это потому что совершенно разный подход: одни - защищают, другие - атакуют. М.С.: Есть, конечно, достаточно простой, не требующий никаких специальных знаний способ для каждого конкретного гражданина защититься от хакеров мелкого разлива, которые воруют деньги на банковских счетах: просто проследите, чтобы на вашем банковском счету не было денег, потратьте их все сами, хакерам будет нечего украсть. Что касается критической инфраструктуры, здесь такой способ защиты, я боюсь, не походит, будем надеяться, что за ним действительно наблюдают подготовленные люди. Большое спасибо моим гостям, сегодня Никита Кислицын и Максим Щипко были на "Пятом этаже". ______________________________________________________________ Загрузить подкаст передачи "Пятый этаж" можно здесь.