Глава Group-IB: как выжить в кибервойнах?
Add to Flipboard Magazine.
30.06.2017 10:30
Инфoрмaциoннoй вoйны, нaбирaют силу, aтaки xaкeрoв стaнoвятся всe бoлee и бoлee чaстo, зaxвaтывaют стрaны и кoнтинeнты, убытки кoмпaний и гoсудaрств рaстeт, пo oцeнкaм экспeртoв, eжeгoдныe убытки ужe бoлee 400 млрд и дaжe $500 млрд, oпaсaясь, чтo пoд oружиe ужe цeлыx oтрaслeй экoнoмики и oбъeктoв инфрaструктуры. Слeдующий мaссивнaя кибeрaтaкa с пoмoщью шaнтaжист Пeтя, зaблoкирoвaвшeгo кoмпьютeры крупнeйшиx кoмпaний в мирe, сдeлaл aктуaльным вoпрoс: ужe нaчaлaсь кибeрвoйнa? И eсли дa, тo кaк выжить в этoй вoйнe? O сoбытияx пoслeдниx днeй и o будущeм, мы гoвoрили с Ильeй Сaчкoвым, oснoвaтeль и гeнeрaльный дирeктoр кoмпaнии Group-IB.
Илья, Вы думaeтe, чтo тoт жe рeзультaт, прoизoшлo вo втoрник? Oбширнaя гeoгрaфия aтaк? Скoлькo кoмпaний пoстрaдaли? Вы мoжeтe гoвoрить o чeм-тo зaкoнoмeрнoсти?
— Вo втoрник, рaспрoстрaнeниe oбнoвлeния шифрoвaльщикa, oн нe связaн с WannaCry, кoтoрый был дo этoгo. Нo мoдeль лoгики рaбoты нaрушитeля. Вирус рaспрoстрaняeтся, склeп, кoмпьютeры, дoбычи инфoрмaции, пo прoсьбe eгo рaсшифрoвку выкуп. В oтличиe oт прeдыдущиx рaз aкцeнт нa oбъeкты критичeскoй инфрaструктуры, для тoгo, чтoбы были крупныe кoмпaнии в стрaнax СНГ. Удивитeльнo, чтo зa мeсяц с мoмeнтa нaпaдeния WannaCry люди мaлo сдeлaнo для пoвышeния бeзoпaснoсти, гдe oгрoмнoe кoличeствo пoстрaдaвшиx компаний.
Есть версия, что это группировка ИГИЛ, запрещенная в России, но атаки не стоят террористы. Стиль ИГИЛа сделать то же самое с компьютеров, заблокированных по-прежнему распространять пропагандистскую информацию. Когда они взламывают сайты, они обычно пишут там лозунги. Здесь мы не имеем никакой политической мотивации, даже если она может быть очень хорошо поставляется в средствах массовой информации в отношении этой большой медийности этой истории.
Подобных нападений в последние WannaCry и Пит-вымогателю, он может быть протестировать технологии распространения вирусов для удара по объектам энергетической инфраструктуры. Какие факты позволяют сделать эксперты такие выводы?
— Обычные граждане пострадали в ходе этих атак?
— Да, простые пользователи тоже пострадали, но мы не можем рассчитывать. Если говорить о корпоративном секторе, в то время как на территории России пострадали более 150 компаний. И нападающих не так много денег собрали. Сумма для расшифровки небольшой – $300 из расчета, но мы не рекомендуем платить. Нет никакой гарантии, в то время как хакеры дают ключи для расшифровки. Кроме того, надо понимать, что деньги, которые посылают кибервредителям, которая инвестировала в создание новых технологий атаки.
— Каким должен быть «джентльменский набор» для защиты вашего компьютера? Достаточно ли членов ос, или нужно установить что-то больше?
— Во-первых, каждый пользователь должен знать, что такое компьютерная преступность сегодня, без мифов. Просто читать об этом в интернете огромное количество ресурсов. Кроме того, понять, какие риски являются существенными, прежде чем начать защищаться. Это то же самое, что вооружить солдат. Нормальный военный спрашивает: «что этот солдат будет делать? Атаковать или сидеть в окопах? В пустыне, он ведет войну или в горы? В холод на ночь или нет?». И в зависимости от ответа на эти вопросы отличаются «джентльменский набор». То же самое и с информационной безопасностью: в зависимости от того, что риск, что вас больше всего беспокоит, от этого и надо защищаться.
Но есть проблема. Иногда люди, не беспокоит то, что должен. И это часто совсем основные вещи: для каждой услуги должен быть ваш пароль: большой, длинный и безопасный. Везде должна быть включена проверка подлинности с двумя факторами – дополнительный пароль, который приходит по SMS. Это не панацея, но злоумышленники усложняете работу. Крайне важно, чтобы обновить программное обеспечение. Но люди обычно слишком ленивы, чтобы сделать это. Особенно вечером, когда смотришь серию, и компьютер вдруг ему говорит: «обновление. Установить сейчас напомнить, завтра или через 10 дней?» Мы нажимаем на «Перезвонить завтра». И завтра снова, нажмите на кнопку «Напомнить завтра». А потом все заканчивается вирусом-шифровальщиком на компьютере.
Вы должны регулярно делать резервные копии. Эта потребность связана не столько с безопасностью информации, и тот факт, что устройство может упасть и потеряться, это может быть кафе, клуб. Поэтому если вы работаете на что-то, где есть важная информация, должна быть резервные копии файлов с этого устройства. Если у вас есть резервная копия, даже если вы столкнулись с вирусом-шифровальщиком, вы можете восстановить данные из резервной копии.
— Установлен анти-вирус может спасти?
— В основном крупные компании уважают базы «безопасность», тратят время на обучение персонала. Но опять же в случае с вирусом, Петя это, конечно, не достаточно. Агент открыл письмо. Он не знал, что в 2017 году, вирус может открыть в формате doc или excel, я не знал, что наличие на вашем компьютере, антивирус не обеспечивает 100% защиты от всех угроз.
Представьте себе, злоумышленник инвестировал миллион долларов в развитие вируса. Разве это запустить, не проверял на последних антивирусных программ, которая поможет вам купить, установить на компьютер, или технологии проверки на всех современных антивирусах около $10 тысяч? Конечно, он это сделает. Он по-прежнему будет проверить на брандмауэр, спам-фильтры, а затем отправляет в производство. Таким образом, 86% поражены вирусом компьютеров, антивирус был установлен, но не работает. Он не сказал, что он не требуется. Необходимо много спасает. Но волна новых угроз чаще всего антивирус не помогает.
— Ваша компания, в связи с ростом кибератак, планирует создать новые системы защиты?
— В этом году мы выводим на рынок 4 новых систем, связанных с проактивной безопасности информации. Подробности о них мы расскажем немного позже, при анонсировании. Также мы планируем до конца года при покупке нескольких стартапов в области кибербезопасности. Важно, чтобы компания, которая занимается информационной безопасности, он не был на месте и быстро адаптируясь к новым угрозам и вызовам.
Должен не без гордости сказать, что наши нынешние решения – детекторы атак TDS и Polygon – не пропустили Петя внутри сетей наших клиентов. Ни один наш клиент не пострадал. Конечно, вы не можете недооценивать киберпреступники – они постоянно совершенствуют методы атаки. Благодаря тому, что мы уже 14 лет следуем своей деятельности, мы накопили уникальный опыт, воплощенный в нашей системе threat intelligence. Она признана на международном уровне, регулярно входит в лучшие отчеты о подобных глобальных систем оценки агентств Gartner, IDC, Forrester. Благодаря этому опыт, наши решения будут продолжать получать своевременные обновления, в состоянии отследить даже те атаки, где он используется ранее неизвестный вредоносный код.
— Какие цели на этот раз они могли бы преследовать пиратов?
— Есть версия, что, может быть, это была проверка технологии массового распространения вредоносного кода, чтобы поразить объекты критической инфраструктуры. Потому что, если злоумышленник была задача выиграть, атака может быть гораздо более эффективно, организовать, с помощью этого же вируса-шифровальщика. Другая версия – что это спецслужбы организовали за шпионаж. Но это просто нелогично — шпионаж должен быть незаметным. Этот же вирус может также распространяться, только молча, без отображения каких-либо сообщений, шифрование данных, и просто искать информацию, которая затем будет оправлялась, где вы хотите.
Согласно статистике, деньги остаются основным мотивом кибервредителей
— И, может быть, это спецслужбы, как испытал новое и современное кибероружие?
— Это возможно. Версия о том, что это испытания кибероружия ласки. Организаторы могут быть теоретически какой-то киберармия или специальные службы страны. Тем более, что недавно, впервые в истории России получил подтверждение участия северной кореи войска в атаки российских банков. И они маскировались под русских хакеров.
В случае WannaCry никаких оснований полагать, что организаторы – спецслужбы. Вирус, вероятно, утек от АНБ и открыли доступ. И как коды вредоноса общественные библиотеки, мог воспользоваться кто угодно. Предположить, что, если атака похожа на другую атаку, она делает одни и те же люди – нет, это неправильно. Это ограбление, убийство, нападение вируса, типы преступлений, но они могут сделать все виды людей.
Если учесть, география распространения вируса, можно говорить о какой стране более защищенным, какое меньше?
— География особенно ничего не сказал. Она дает понять, как и в каком порядке хакеры пытались отправить вирус. И, может быть, в теории чистая случайность, России и Украины попали в этот список. Почему в России и Украине – интересные объекты? Большой инфраструктурой, большое количество предприятий, достаточно низкий уровень компьютерной грамотности, большая вероятность успеха распределения. Другая версия — для кого-то эти территории могут быть полигоном для проверки того, как будет распространяться цифровое оружие. Ну, понятно, что не надо драматизировать, но парализовали работу, скажем, энергетические компании, а также вброшенные сообщения в средствах МАССОВОЙ информации, в принципе, могут вызвать народные волнения. И это не опасная ситуация.
Карта распространения вируса McAfee
— Есть ли информация, почему сейчас произошло нападение? Можно ли оценить ущерб для бизнеса?
— У меня есть конспирологическое предположение. Сейчас сезон отпусков. Многие люди не в сегодняшней России. Как правило, нападения происходят либо накануне Нового года или в сезон отпусков. Бдительность потерять. О работе никто не думает. Это просто версия, но она достаточно логично, потому что количество людей, которые обеспечивают безопасность на местах, по крайней мере, в обычный период.
Сейчас последствия атаки гораздо больше, чем WannaCry. В компании, как заражалось более количество компьютеров, что с помощью метода распределения уже внутри сети. И даже сейчас, многие мои коллеги занимаются тем, что пытаются восстановить данные. Это чрезвычайно трудно, и устранить последствия вирусов еще не удалось. Именно поэтому многие компании, в том числе в Москве, не работают.
Еще раз я надеюсь, что после освещения нападения WannaCry во всех СМИ компании усвоят урок, что делать, и то, что он не требуется. Этот вирус не чудо техники, чтобы активировать, это требует определенных действий. Таким образом, наконец, самым слабым звеном является человек. Если он не открывает файл – вирус не падает. Приведу аналогию: за рулем наша безопасность во многом зависит от водителя. С почти любой машины. Но если мы сознательно на безопасность машины в мире врежемся в грузовик, который едет на грани, вероятность того, что мы останемся в живых, крайне мала. И безопасности информации многое зависит от нас, от каждого пользователя, телефона, компьютера. Не нужно надеяться на то, что антивирусные компании спасет вас. Она не спасет.
— Но сотрудники компании, можно, например, возмущаться: «Я бухгалтер, я не хочу быть экспертом по кибербезопасности. Пусть специалисты обеспечат мне безопасность».
— Таким образом, можно говорить о 2005-2008 годах. Теперь кибербезопасность-это обязательное знание. Я считаю, что, еще учась в школе, необходимо освоить эти навыки. Для современной войны с полей сражений перемещаются в киберпространство. Таким образом, если вы нанимаете бухгалтера, который говорит вам фразу: «Я бухгалтер, я не хочу, чтобы понять кибербезопасности», думаю, лучше нанять и увеличить ваши шансы потерять потом все деньги со счета вашего предприятия или искать другого специалиста?
— Это сейчас, найма, наличие у кандидатов определенного уровня грамотности в области кибербезопасности?
— Я могу сказать, что смена поколений – компании молодеют в целом. Кроме того, много людей среднего возраста и даже пожилые люди могут безопасно работать на вашем компьютере. Не надо думать, что это какие-то сверхзнания. Это набор простых правил, их надо освоить.
Если мы хотим построить цифровой экономики, безопасности является неотъемлемой частью. Если у нас не работают онлайн-сервисы, войска биржи, онлайн-транзакций, экономика будет развиваться неправильно. Будущее экономики зависит от трех ключевых факторов.
Илья Сачков, одним из крупнейших специалистов в области киберкриминалистики, основатель и генеральный директор компании Group-IB, посвятил свою лекцию на форуме Vestifinance анализ мифов о пиратах.
Первое – простота технологии. Да, бухгалтер не должен быть антивирусный эксперт, но он должен знать некоторые основы общего образования. Все должно быть очень просто, прозрачно, удобно, интуитивно. Система должна быть «невидимым». И они уже сейчас. Например, если вы с любого компьютера, перейдите на веб-сайт Сбербанка или несколько банков, с которыми мы работаем, вы даже не заметите, как с помощью нашей технологии на вашем компьютере будет проходить проверка на наличие банковского трояна. Если там вы нашли какой-то вирус, вы не сможете выполнить операцию. Вы даже не знаете, вы не думаете об этом. Вы не можете понять, безопасность информации, для вас, банк отвечает на вопрос: можно ли вам доверить проведение операции.
Вторым фактором является внедрение специальных предметов в системе образования. У нас, в школах, на уроках информатики-это не ит-безопасности и гигиены. И специалистов, которые учили, тоже.
И третий важный момент-это увеличение ответственности за совершение киберпреступлений. Когда преступники чувствуют себя в расслабленном состоянии, такие же члены общества, как и добропорядочные граждане, и он рассматривается как что-то положительное деятельности, хотя преступление закреплено в Уголовном кодексе, это плохо.
— В случае WannaCry и Петя преступники требуют выкуп в расчет. Еще раз криптовалюты, которая пытается завоевать себе место под солнцем, неприятное соседство с немного кибервредителями. Если хакеры требовали выкуп в деньги, их сделка будет легче отследить?
— На самом деле процент преступлений, финансируемых криптовалютой, является крайне низким в сравнении с этих случаях – взятки, коррупционными сделок, etc, — где содержатся обычные деньги. Чем хороша блокчейн? Все операции будут видны: портмоне, кошельки, обменники, чтобы очень много цифровой информации. На самом деле, биткоин с точки зрения мониторинга является гораздо более ясна история, что наличка. Поэтому, я считаю, что страх криптовалют не стоит. И запрещать не надо по одной простой причине – это не запретишь, как интернет.
Эта технология может быть понятным образом легализовывать и контролировать. Услуги теплообменников, заключение фондовой биржи — состояние этот набор может получить налоги, как это делают другие страны, которые криптовалюту легализовали. Американские биржи Kraken, Poloniex, сертифицированные комиссией по ценным бумагам, платят огромные налоги государству. Люди, из-за того, что эта стипендия сертифицированы, идут туда с удовольствием. На этих сайтах всегда от 300 до 400 тысяч человек. И еще один вопрос: если гражданин россии хочет купить валюту, и не то, что он делает? Он идет в теневую экономику или в экономику другой страны. Если вы купили валюту на Coinmama, сервис будет платить за вас налог в стране, где зарегистрирован.
Так что, либо мы легализуем криптовалюты и экономически получаем от этого пользу: налоги, сертификации, торговли, лицензии, как и с банков. Или мы запрещаем, но это не исчезнет, просто будут установлены под удар.
— Как и все атакованные ПК с Windows, то можно увеличить количество инициатив в области развития русского языка НА компьютеры, процессоры, госмессенджеров, операционок и многое другое, он может помочь?
Ссылки по теме
- Форум Vestifinance: Топ-тенденции в кибербезопасности
- Сачков: как хакеры воруют деньги из банков (лекция)
- Как избежать глобальной хакерской атаки?
- Ущерб от вирусов WannaCry оценивается в 1 миллиард долларов
— Нужно иметь свое, конечно. Но нужно взвешивать. Или проверить безопасность того, кто сделал бизнес в другой стране, вкладывать в это много усилий и денег, или пытаются сделать что-то просто заменить. Представьте себе, что в одном месте собрались одни из самых талантливых инженеров из разных стран, включая россиян. И в течение 30 лет, делают операционную систему. Вокруг этой культуры безопасности «программирования, большое количество инвестиций, отзывы клиентов из разных стран. Понятно, что есть угроза, что «жучки» и «избранное». Но российские специалисты в состоянии найти их.
В каких областях вы можете сделать импортозамещением: там, где у нас хорошая школа инженеров, возможность сделать продукт не только для домашних пользователей, но и для экспорта на внешние рынки. Если продукт идет на экспорт, что означает, что это хорошо. Почему американцы продолжают летать на наших ракетах? Они могут создать свой продукт и очень нетерпелив. Но они знают, что экономически это довольно глупая история, и российские ракеты — круто.
Если положить, чтобы заработать деньги, нужно сделать такую систему, которая будет конкурировать с операционными системами в мире. Теперь, я не думаю, что это может произойти. Мы подорвем нашу экономику, и было бы искусственным истории. Здесь нет стратегии «голубого океана», которая была, когда боролись с Mac OS и Windows. Apple сделали другую ОС, очень удобно. И что люди имеют выбор. Скажите мне, почему третья операционная система с русскими корнями на международном рынке?
— Если вы не операционку, то, что в россии ИТ-инфраструктуры может создать?
Сервера их нужно «железки». Мы покупаем серверы Dell. В России, никто не может сделать сервер такую же производительность и такой же цене. У нас начинается следующее: тяп-ляп собрали нероссийских компонентов, сказал, что это русский сервер, и продали в 6 раз дороже, гораздо более низкого качества. Или просто нет технологии с электроникой, у нас есть большая проблема. Сервер-это важная вещь. Я больше верю, что мы будем создавать хороший сервер, что операционная система.
У нас есть проблема: когда вдруг начинает поддерживать государство и сделать импортозамещением, компания расслабляется: «Мы продадим, тем больше вариантов, что клиент не имеет». Это очень опасные состояния. Нужно всегда быть готовым к конкуренции: если делаешь плохо, то он придет конкурент и сделает это хорошо. Отсутствие реальной конкуренции русский технология предотвращает.
Можно ли назвать то, что произошло на этой неделе, месяц назад, в начале третьей мировой войны кибервойны? Или это слишком громкие заявления?
— Я не хочу верить в это. С человеческой точки зрения. Третья мировая война, если она ведется такими методами, закончится очень плохо. Потому что, в отличие от обычного оружия, » цифрового оружия, в случае утечки, может быть дуплицировано и использовать абсолютно ненормальные люди, и в этом главная опасность.
Цифровое оружие-это код, который любой может скопировать. Как и в случае утечки NSA – это уязвимость, затем воспользовались тысячи и тысячи пиратов. Ей могут воспользоваться террористы. Если правительство, не дай Бог, создает цифровую оружия, необходимо предъявить: и, если оно попадает в ненормальные люди, террористических групп, что произойдет после? Ведь это же оружие может быть использовано против его создателей. Таким образом, слухи о третий цифровой войны идут, но я надеюсь, что ни один человек в мире даже не думать о таком сценарии, потому что это закончится очень и очень плохо.
Подготовили: Алексей Бобровский, Александр Шаляпин