Василий: Есть огромное количество классификаций киберпреступников, я для себя использую достаточно простой подход. Первая группа — энтузиасты. Это действительно ребята, «пацаны» в капюшонах, которые либо пытаются доказать себе, что они могут сделать что-то в интернете, либо занимаются каким-то довольно мелким мошенничеством — пишут «трояны», пытаются украсть деньги с кредитных карточек. Это так называемая шпана. И к сожалению, ее становится меньше и меньше.
Этот бизнес переходит в разряд «братвы». Если шпана пытается заработать на каких-то уязвимостях, то сейчас растет пласт организованной киберпреступности, которая не просто живет в интернете. Она очень тесно связана с физическим миром, часто кибергруппы поддерживаются стандартной организованной преступностью. Связано это с тем, что в современном мире «отжать» кошелек в подъезде — очень опасно, поскольку везде видеокамеры, и физическая безопасность со времен Бронзового века очень сильно продвинулась. Люди действительно чувствуют себя физически намного более безопасно.
Однако в кибермире, когда ты не видишь свою жертву, когда она может находиться на другой стороне океана, на сегодняшний день этот бизнес стал безнаказанным. В кибермире практически невозможно доказать, кто фактически сделал ту или иную атаку, если человека действительно не поймали сидящим за компьютером. Даже в этом случае есть способы скрыть информацию, поэтому вместо того, чтобы приходить с автоматами и «отжимать» бизнес, как это было в лихие 90-е, организованная преступность использует хакеров, группы хорошо оснащенных энтузиастов. Это делается для того, чтобы заниматься воровством в больших масштабах. Мы говорим о том, что, например, люди могут украсть базу данных какого-нибудь большого предприятия или банка, то есть задача стоит не в том, чтобы украсть деньги или пин-код от карточки, а, например, обчистить расчетные счета банка — оттуда выводятся миллионы и миллионы рублей, долларов и всевозможной другой валюты.
Владимир: Тем не менее интернет-технологии развиваются, законодательные акты начинают присутствовать, но все равно становится больше организованных преступников. Так?
Василий: Да, совершенно верно, и это на самом деле абсолютно нормальный процесс. Плохих людей в мире всегда есть определенный процент. Чем больше людей подключаются к интернету, тем выше процент людей, которые хотят зарабатывать нечестно деньги, а та самая безнаказанность позволяет им делать это достаточно успешно.
Владимир: О том, кто это делает, немного разобрались. Поговорим о способах, которые используют киберпреступники. Все мы слышали про WannaCry, все мы слышали про «Петю» и так далее. Это такие вирусы, которые заражают компьютер и вымогают у людей деньги. Так будет развиваться и дальше? Почему они появились и что за этим стоит?
Василий: Наш прогноз довольно удручающий. Этого будет становиться больше и больше, атаки будут проходить все чаще и иметь все больший эффект. Связано это с тем, что хакеры обладают не только техническими знаниями, но и очень хорошо знают психологию человека. В любой системе безопасности самое слабое место — человек. Если он на своем рабочем месте сидит на каких-то сайтах, ищет, например, предновогодние подарки, хакеру, для того, чтобы взломать его систему, достаточно прислать человеку на заинтересовавшую его тему email. Человек кликает ссылку и фактически происходит заражение.
Это действительно некая тенденция, и шифровальщики показали себя самым простым методом монетизирования киберпреступности. Здесь надо понимать, что до сих пор непонятно, кто же стоял за WannaCry и «Петями». Один заработал около $160 тысяч, другой поменьше, это небольшие деньги для киберпреступников. Есть ощущение, что это была проба пера и некая рекламная акция некой кибергруппы, которая показывала, что она может. Возможно, следующие волны будут не такими широкомасштабными, а направленными на конкретное предприятие с целью заработать больше денег и получить плату от заказчиков этой волны.
Владимир: А что за история с киберпреступными группами, которые себя называют, о себе заявляют? Похоже на граффитчиков, которые пишут свой никнейм на стенах и поездах, никто их не видит, но все знают, что они занимаются противоправной деятельностью. Они ищут заказчиков? Для чего это происходит?
Василий: Совершенно верно. Это некий брендинг. Люди создают некий миф или бренд, под который люди, желающие совершить какое-то преступление, платят деньги. Хакер не заинтересован лично в том, чтобы взламывать предприятие. Его могут просто нанять, а вот люди, которые стоят за идеей, могут быть совершенно разными. Сейчас DDoS-атаку можно организовать в интернете за $10, в поисковике будет миллион таких предложений. В Dark Web’е такие предложения — огромный бизнес. Там существуют свои банки, которые переводят деньги между заказчиками и хакерами. С появлением криптовалют это стало еще и достаточно анонимно, почему, собственно, криптовалюты и получают такое большое развитие. С одной стороны, они обеспечивают определенный уровень открытости, а с другой — довольно большую анонимность и работу вне правового поля во многих государствах. Вы не сможете наказать преступников, укравших биткоины, потому что они находятся вне правового поля. Они хорошо и уверенно себя там чувствуют.
Владимир: Хакерам часто предлагают работу в компаниях, которые обеспечивают безопасность в государственных органах и так далее. Насколько это распространено и имеет ли место быть?
Василий: Есть общепринятая классификация. Есть белые хакеры, есть серые хакеры и есть черные хакеры. Белые — те, кто работает на стороне добра, ищет уязвимости в программном обеспечении, и эти уязвимости либо бесплатно, либо за деньги продает или отдает разработчикам для того, чтобы мир становился лучше.
Владимир: Совсем недавно была история с White Hat Group, которая уберегла несколько десятков миллионов долларов, увела их из одного небезопасного кошелька, а потом вернула деньги людям, и те их поблагодарили. Такая «белая» история.
Василий: Белые истории достаточно типичны. Еще есть группа серых хакеров — эти люди находят уязвимость и смотрят, где ее выгоднее продать — на белом рынке или черным хакерам. Такие никогда в жизни никому не расскажут, что нашли уязвимость. Этой уязвимостью они будут пользоваться сами либо продавать другим группировкам. Сейчас это хорошо демонстрируется на рынке мобильной безопасности. Политика компаний Apple и Google довольно интересная.
Мы не видим огромного количества «зловредов» для мобильных. Дело в том, что если вы найдете уязвимость нулевого дня в iOS’е — такую, которая позволяет получить полный контроль над системой и о которой никто, кроме вас, не знает, — то вы придете в офис Apple и расскажете о ней. Вам сразу на стол положат $100 тысяч и медаль за то, что вы нашли эту уязвимость. Пока такая политика сохраняется в Apple и Google, мы не увидим в ближайшее время большого наплыва взлома мобильных платформ. Наверное, это больше будет связано с примерами социальной инженерии, когда ваш телефон будет использоваться через установку какого-либо приложения. Зачем ломать систему, если можно установить приложение, которое перехватит все, что телефон делает.
Владимир: В этом плане Android гораздо более уязвим…
Василий: Вы знаете, нет. Здесь я не соглашусь. Есть пример приложений, которые одинаково работают как на Android, так и на iOS. Дело в том, что 99,9% пользователей, устанавливая приложения, дают им разрешения ко всему, что они запрашивают. Люди даже не задаются вопросом, зачем флеш-плееру иметь доступ к микрофону. Сейчас именно этим пользуются хакеры, они просто устанавливают вам то, что хотят.
Владимир: Какие еще есть примеры использования мобильных приложений с недобрыми намерениями?
Василий: Из ярких недавних примеров. Несколько десятков миллионов человек скачали приложение, которое выглядело снаружи как Pokemon Go. На самом деле приложение крало пароли, которые по SMS приходили от онлайн-банка, и отправляло эту информацию куда-то в Китай. Пользователь сам разрешал доступ к SMS, к контактам, к экрану. Люди настолько хотели установить Pokemon Go, что устанавливали, не глядя, приложения, фактически воры получали полный доступ к телефону, камере, микрофону — они понимали, что делать с данными пользователя. Были примеры, когда тот же Pokemon Go использовался для очерчивания карт внутри помещений, куда Google пока добраться не может. У приложения есть доступ к камере и микрофону — оно может понимать, в каком помещении оно находится, и, соответственно, что с этими данными делалось, непонятно. Сам Pokemon Go, скорее всего, этого не делал, но приложения, которые под него маскировались, действительно этим занимались.
В корпоративной среде это может привести к огромной утечке информации, поскольку часто люди относятся к телефону именно как к телефону — они не понимают, что у них в руках супермощный компьютер, который десять лет назад стоил бы сотни миллионов долларов. Он бы производил вычисления запуска на Луну. А сейчас все это лежит в кармане, вы ему доверяете больше, чем родным и близким.
В корпоративной среде мы видим, как компании часто тратят миллионы долларов, чтобы построить системы безопасности, но при этом сотрудники ходят с абсолютно незащищенными телефонами. Данные, которые пересылаются на эти телефоны, часто имеют многомиллионную стоимость, их не защищают, а хакеры это понимают. Сейчас мы видим огромное количество корпоративных «зловредов», которые нацелены на поиск этой информации, выуживание паролей. Люди часто используют на телефонах те же доменные пароли, что и на компьютерах, такие примеры взломов были.
Владимир: Вот почему недавно, будучи в одной из крупных нефтяных компаний в гостях на встрече, я увидел людей, которые ходили с самыми простыми Nokia, не имевшими доступа к интернету. Это просто политика их безопасности.
Василий: Совершенно верно. Во многих компаниях это есть, но, к сожалению, эта политика имеет обратный след. Дело в том, что сейчас в компании приходит поколение, которое не видит своей жизни без мобильного телефона. Если вы будете запрещать им пользование устройством в сети, то за бутылку пива системный администратор все равно рано или поздно даст вам доступ либо к корпоративному Wi-Fi, либо закроет глаза на то, что вы получаете почту на мобильный телефон.
Опять же, это люди, это социальная инженерия, от этого никуда не уйдешь. Сейчас есть технологии, позволяющие защитить данные, находящиеся на мобильном устройстве, надо к этому мобильному устройству относиться как компьютеру и защищать данные, которые на нем хранятся.
Владимир: Это приложения?
Василий: Да, это софт, который позволяет видеть, что приложение лезет туда, куда оно не может залезть, после чего блокирует его активность.
Владимир: Поговорим про новый тип устройств, который все шире используется в мире. Это устройства Internet of Things, смарт-часы, стиральные машинки, которые заказывают порошок, это холодильники, которые говорят, что нужно купить воды и так далее. Действительно ли они являются угрозой?
Василий: Да. Это то, что в ближайшие несколько лет изменит подход к безопасности в целом. Когда ваш утюг создается на заводе, который занимается производством утюгов, задача разработчиков этого устройства сделать его удобным. А когда люди добавляют в него некий функционал, забывают, что он может быть небезопасным сам по себе. Например, в устройстве, где присутствует Bluetooth-модуль или Wi-Fi-модуль используется тот же чипсет, что используется на компьютере. И когда в нем находят уязвимость, производитель делает некие заплатки, которые позволяют эту уязвимость найти. Соответственно, заплатки для утюгов никто не выпускает.
Недалек тот день, когда люди смогут воспользоваться объемом интернет-вещей для того, чтобы заставить утюги и холодильники постучаться на какой-то сервер. Весной была атака на корневые сервера интернета. Хакеры использовали уязвимость в камерах видеонаблюдения, которые установлены на каждом шагу, заставили эти камеры постучаться по нужному адресу в нужное время, фактически произвести обрушение системы. Это классическая DDoS-атака, но произведена она была не с помощью компьютеров, а с помощью видеокамер.
Количество таких устройств растет миллионами в день. Все сейчас начинает быть подключенным к интернету, основная проблема — люди не думают при создании этих устройств о безопасности. Уже есть случай, когда в крупную корпорацию принесли кофемашину, подключенную к интернету, которая заразила все внутри периметра и, обойдя систему защиты, смогла получить доступ к конфиденциальной информации.
Владимир: Действительно так происходит? Звучит как сценарий фильма или просто как пиар компании безопасности.
Василий: Действительно так. Эти кейсы только начинают появляться, но это документированная вещь, которая может быть использована.
Владимир: Мы все понимаем, что все усовершенствуется. Люди в скором времени, наверное, не очень-то и нужны будут. Понятно, что все больше процессов автоматизировано. Какие три вещи людям ни в коем случае не нужно делать неправильно в цифровой безопасности?
Василий: Вопрос цифровой гигиены. Не доверяйте никому. Если в обычной жизни к вам кто-то подойдет и спросит, в каком подъезде вы живете, вы, скорее всего, не скажете. Вы понимаете, что это опасно. Но почему-то люди совершенно спокойно рассказывают об этом в социальных сетях, спокойно оставляют эту информацию на сайтах при регистрации, хотя никто реально не просит указать тот адрес, где вы живете. Всегда нужно думать, всегда смотреть и относиться к этому с той точки зрения, что вас обманули.
Владимир: Если у тебя маленький оборот, не думаешь о безопасности. Когда компаниям становится больно и когда возникает вопрос безопасности? Что компаниям надо знать, в какой момент задумываться об этом?
Василий: О безопасности лучше думать до того, как ты начинаешь что-то делать. Превентивные меры всегда лучше, чем лечение застарелых болезней. К сожалению, наш мир развивается так, что пока компании не стало больно, и она не потеряла, например, свой годовой финансовый отчет за день до сдачи его в налоговую инспекцию, люди не уделяют должное вопросам безопасности.
Однако сейчас понимание этого вопроса приходит, особенно у малого и среднего бизнеса, — они находятся под вниманием злоумышленников, потому что большие корпорации уже давно занимаются безопасностью. Они потратили огромные деньги на обеспечение как процессов, так и техническую безопасность своих систем. Но у них есть огромное количество подрядчиков, которые входят в их системы. Зачем ломать огромный сервер, который защищен десятью слоями файерволлов, если к вам в офис приходит доставка воды. С этой водой приходит человек с ноутбуком, который заключает с вами какой-то контракт. Намного проще сломать эту маленькую организацию и через нее уже внести то, что нужно. Были примеры взлома через пиццерию. Сломали пиццерию, в которой сотрудники крупной компании заказывали пиццу, и через нее проникли в периметр организации.
Владимир: Понятно, но неужели нужно закрыться десятью замками…
Василий: Нет, на сегодняшний день есть достаточное количество технологий, позволяющих жить достаточно спокойно — от базовых антивирусов до систем предотвращения вторжений. Мы занимаемся тем, что как раз производим некие решения, которые позволят вам не только вылечить то, что уже заразили, но производством и разработкой систем, которые позволяют не допустить проникновение вируса в систему, остановить его еще там, на подступах к вашей организации. Например, заблокировать email еще до того, как вы его прочитали, вынуть «зловред» до того, как вы скачали какой-то файл из интернета и отдать вам секьюрный контент, чтоб компания была уверена — то, что вы смотрите на экране компьютера, — безопасно. Технических средств сейчас много, надо их использовать.
Владимир: Безопасность бизнеса, компании, людей и грань с их приватностью — насколько эти два понятия живут друг с другом?
Василий: Это очень больной вопрос. Не всегда он юридически уравновешен. Мы призываем наших заказчиков строить системы по принципу рамки рентгена — то есть мы можем обнаружить, что человек проносит через рамку ренгтена металлический предмет, например, «зловред» или антивирус, но мы не «опознаем» этого человека по лицу, этим занимаются другие системы. Всегда большая грань между приватностью и корпоративными ценностями.