Хакерская атака Bad Rabbit: что известно специалистам и какие прогнозы они дают

Эксперты прогнозируют новые атаки, так как хакеры «получили царский подарок — им в руки попало кибероружие», а написать троян «может каждая кухарка». Также узнали, велики ли шансы отыскать злоумышленников, и что могут сделать российские компании, чтобы себя обезопасить.
Эксперты: Алексей Шляпужников — шеф-редактор медиапроекта СОЛЬ; Андрей Масалович — специалист по кибербезопасности.

*Техническая расшифровка эфира

Валентина Ивакина: Здравствуйте, уважаемые радиослушатели. Это программа «Угол зрения». У микрофонов Валентина Ивакина и Мария Цыганова. Сегодня в рамках этой программы мы обсудим атаки, которые поступили от хакеров на сайты российских изданий и некоторых важных инфраструктурных объектов Украины. Произошло это накануне. Как сообщали СМИ, объектами атаки стали агентство «Интерфакс», «Фонтанка.ру», «Новая газета» в Санкт-Петербурге. Также атакам подверглось министерство инфраструктуры Украины, киевское метро и аэропорт Одессы. Этот тот список, которые у всей на слуху.

Сегодня в рамках программы будем разбираться, что именно произошло, какие последствия могут быть после этой атаки. У нас будет несколько спикеров — Алексей Шляпужников, шеф-редактор медиапроекта СОЛЬ и Андрей Масалович, специалист по кибербезопасности.

Атаки произошли накануне. Некоторые специалисты говорят о том, что новый вирус Bad Rabbit был выявлен. Он атаковал редакции и требовал выкуп в биткоинах. Пересчитали журналисты, сколько это будет в рублях, получилось 14−16 тысяч рублей примерно.

Мария Цыганова: Причем была такая информация, что если моментально не поступит оплата для расшифровки файлов, которые были травмированы этим вирусом, то эта плата может еще и возрасти.

В.И.: Накануне писали некоторые ресурсы, что Bad Rabbit пошел грабить российские банки. Например, «Газета.ru» об этом писала. «Глава Group-IB Илья Сачков рассказал ТАСС, что зараженные файлы поступали в компьютерную инфраструктуру банков в период с 13:00 до 15:00 по московскому времени. Сачков добавил, что среди потенциальных жертв могли оказаться крупнейшие банки России, но не сказал какие именно».

М.Ц.: Во многих СМИ указывается, что это была целенаправленная атака именно на корпоративные сети.

В.И.: Некоторые говорят о том, что это родственник так называемого Pety, о котором мы слышали буквально в июне. И это далеко не первая атака. Буквально в мае был гигантский список атакованных объектов. Wanna cry — это же вообще было нечто, говорили, что это чуть ли не самая крупнейшая кибератака в истории. В частности, в России тогда были заблокированы внутренние компьютеры МВД, компьютерная сеть СК. Сегодня попытаемся выяснить, к чему это привело, чем закончилась вот эта майская атака.

М.Ц.: Были ли предприняты какие-то меры, чтобы это предотвратить в будущем. Как мы видим сегодня, такое снова повторяется.

В.И.: На связи с нами Андрей Масалович, специалист по кибербезопасности. Здравствуйте.

Андрей Масалович: Здравствуйте.

В.И.: Сегодня обсуждаем атаку на сайты российских изданий и нескольких важных инфраструктурных объектов Украины. Последние новости, которые публикуются в СМИ, говорят о том, что Центробанк зафиксировал атаку вируса Bad Rabbit. Что вам известно об этой атаке, что можете сказать?

А.М.: Общее впечатление, что начинает воплощаться тезис Владимира Ильича Ленина, что каждая кухарка может написать троян. Троян Bad Rabbit состоит, условно говоря, из 3 частей. Атакующая часть взята из арсенала, который весной опубликовали WikiLeaks. Это арсенал кибероружия ЦРУ, ФБР и АНБ. Самая трудная часть трояна — это вот атакующая головка. Их пишут редко, их писать дорого, их заказывают через так называемую уязвимость нулевого дня. В данном случае хакеры получили царский подарок — им в руки попало кибероружие. Я думаю, подобных атак будет много. Так вот, первая часть взята из арсенала спецслужб США.

Вторая часть — доставщик. Сделан по-дурацки. Доставка в той версии, что я видел, делалась через обновление, по-моему, Adobe Flash. Его очень легко отлавливать и пресекать. Собственно, это помогло спасти банки от атаки. То есть второй волны атаки не последовало, когда изучили первую, этого хватило, чтобы ее фактически остановить.

Третий — шифрующий хвостик, сам вредонос. Его писали явно не суперпрофессионалы. Там куски кода взяты из предыдущего трояна под названием Petya. Но это не значит, что писали те же авторы. Может быть, те же, часто бывает, что другие, которые разобрались в чужом коде, как могли, и вот приставили. Но и с точки зрения модели атаки, и с точки зрения оформления монетизации сделано это не очень грамотно. Хакеры работали не очень высокого класса.

То, что напали на информагентства и компании России и Украины, — либо из-за того, что предыдущие атаки были такие успешные, и сделали по подобию, либо из-за того, что у хакеров российские корни, они знают некоторую специфику региональную. Хотя ни за то, ни за другое не поручусь. Если резюмировать, мы видим одну из атак, не первую, но очень-очень не последнюю. В ближайший месяц число их будет измеряться десятками, потому что в руках у хакера появилось много таких опасных игрушек. Если сейчас правильным образом организуются те, кто стоит на стороне защиты, на стороне безопасности, то уже примерно понятно, как делать такие «трояновакцины». Можно придумывать, делать «добрые» трояны, которые бы бегали и заранее определяли уязвимые компьютеры.

В.И.: То есть такой антивирус своеобразный можно разработать.

А.М.: Антивирус с ножками, да. Когда атака началась, антивирусники хвастаются, что им хватает иногда 4 часов, иногда часа, чтобы сделать вакцину. Но вакцина сработает только на том компьютере, где стоит антивирус. А я бы эту вакцину делал с ножками, чтобы ее можно было запускать снаружи. Чтобы, допустим, министерство проверило свои серверы, этот «добрый» троян нашел среди них уязвимые и в это же министерство наябедничал, что вот здесь вот админы мышей не ловят. Это какой-то новый взгляд на безопасность. В общем, надо массовую защиту сейчас делать совершенно по-другому. Антивирус — это история 10-летней давности. В прошлом десятилетии они выручали. Сейчас они не спасут.

В.И.: А насколько это была предсказуемая атака? Потому что это далеко не первая атака, которая происходит, в том числе и на различные российские серверы.

А.М.: Как любая эпидемия, сам момент, размах и место непредсказуемы. Но общее число эпидемий предсказывать можно. Тем более, в феврале-марте все было понятно. И когда начали публиковаться трояны их арсенала американских спецслужб, быстро-быстро Microsoft начала публиковать уведомления об уязвимостях ровно тех, через которые атаковали американские спецслужбы. Уже тогда можно было сделать заключение, что хакеры — не дураки, им хватит месяца-двух на то, чтобы это все освоить и начать применять.

У меня, кстати, первый опыт такого предсказания был, не поверите, в 2004 году. Тогда через те же дырки, через те же порты 139 и 445 атаковал троян Sasser. За два месяца до этого трояна я его предсказывал. У меня тогда был семинар на Тайвани, я им рассказывал, что нашлась дырка у Microsoft, и пары месяцев не пройдет, как на нее появятся жуткие трояны, свалят полмира. И когда это произошло, надо отдать должное тайванцам, они вспомнили. Мы буквально в сентябре того же году получили контракт на Тайвани по безопасности. То есть они оценили российский взгляд на безопасность.

М.Ц.: А что нужно делать, если такое произошло? Новости же еще появляются. Центробанк вот зафиксировал атаку. Что нужно делать компании, если они такую активность замечают?

А.М.: Каждому участнику процесса нужно собрать все свои деньги, пойти и сложить их в почтовый ящик в подъезде и хранить их там. Проделав это денек-другой, вы поймете, что происходит сейчас с вашими компьютерами и данными. Данные нельзя хранить на компьютерах. Шифровальщик может зашифровать только то, что лежит на компьютере, соединенном с интернетом. По букве 8 центра ФСБ по защите гостайны любой предмет за пределами контролируемой зоны мы считаем скомпрометированным. Считайте, что ваш компьютер или ваш сервер уже захвачен злоумышленниками. Это значит, что на нем не должно лежать ничего, кроме сегодняшнего сеанса. Все остальное надо хранить где-то не в интернете.

В.И.: А защититься как же? Вы же говорите, можно придумать «трояновакцины».

А.М.: Должна появиться новая фирма, должны появиться инвесторы, которые в это поверят, и новая фирма с новым именем. Потому что это другой взгляд. Антивирусники сами это делать не будут, потому что это угроза традиционному рынку. Сейчас должны появиться новые игроки, которые сделают принципиально новые средства безопасности, так сказать, «умных», «добрых» ботов, которые будут «ходить» по интернету, находить «больных» и «слабых» и «делать им прививку», до того, как к ним придет настоящий «злой» троян.

В.И.: А если говорить про этих хакеров, которые получили царский подарок, им в руки попало кибероружие, — насколько реально их отследить?

А.М.: Их можно отследить, но в том случае, если это сопровождается взаимодействием спецслужб. К сожалению, чаще всего это не так. Если и объект атаки, и атакующий находятся в одной стране, то технически сейчас так называемые киберспециалисты — у них достаточно средств, чтобы с этим справиться.

Скажем, весной прошлого года по Штатам прокатилась волна телефонного терроризма. Террористы говорили о том, что заминированы еврейские центры в разных штатах. Когда террористов отследили, это заняло несколько месяцев, потому что атаки шли с территории Израиля, и спецслужбы разных стран между собой договаривались.

В.И.: По России последние 2 месяца ведь тоже катится волна звонков о заминировании объектов. Это то же самое?

А.М.: Да. Но там, если помните, ФСБ докладывало, что 4 зачинщиков они выявили.

В.И.: Но звонки при этом продолжаются.

А.М.: Эти звонки можно условно разделить на 3 части. Часть 1 — те, кто это начинает, через IP-телефонию их вычислить действительно трудно. Но, видите, спецслужбы говорят, что успехи уже есть. Вторая волна — это подражатели, которые звонят и говорят: «Ой, а моя школа тоже заминирована». Их вычисляют на раз. Это вопрос одного часа. И третья — это те, кто это раздувает в соцсетях — ах, нас атакуют, ах, мы все под прицелом. Если к этому относиться спокойно, если распространять истории о том, как в очередной раз мухобойка накрыла таких злоумышленников, то таких звонков будет становиться просто меньше. То есть это вопрос не только технический, но и организационно-пиарный.

В.И.: Как думаете, между этими звонками, которые прокатились по России, и этой атакой хакерской, которую мы сейчас можем наблюдать, есть какая-то связь?

А.М.: Нет, никакой связи не вижу, потому что звонки, которые прокатились по России, я воспринимаю как генеральную репетицию перед февралем. В месяц перед выборами в России будут самые разные сценарии дестабилизации. Их сейчас просто, как мне кажется, пробуют на зубок, что как работает и что к каким последствиям приводит. А то, что делает вот этот вирус-вымогатель, — это чисто воды коммерческий проект, причем не очень успешный. У него нет ни политического вектора, ни какого-то другого.

В.И.: Приходил запрос о том, что новый вирус требует выкупа в биткоинах. Я лично с трудом представляю себе такую ситуацию, что сидит редактор издания, ему приходит запрос, что — заплатите биткоинами, и мы вашу систему разблокируем, — и он побежал платить. Скорее всего, он побежал в IT-службу, и вряд ли кто-то кликнет «давайте-ка заплатим».

А.М.: Отчасти это так. Просто, к сожалению, есть очень болезненная пограничная зона. Например, американцы начали платить. И собственно, волна таких атак пошла после того, как пострадали данные одного госпиталя, и под угрозой реально были жизни и здоровье людей. И там действительно платили. После этого злоумышленники сказали: «Ага, поперло. Раз за это платят, давай плодить шифровальщиков».

Действительно, шансов мало. Но, если помните, в первой атаке, Wanna cry — сначала называли 75 тысяч долларов, потом 250 тысяч. Это не ахти какие деньги, но если злоумышленник получает даже 70 тысяч долларов, в той же самой юго-восточной Азии он очень сильно может изменить себе стиль жизни. Короче, с точки зрения злоумышленника — постараться стоит.

В.И.: А по этой нынешней атаке какие-то цифры известны? Правильно я понимаю, что информации-то немного?

А.М.: Пока неизвестны. Во-первых, это все началось только вчера. Обычно на это требуется неделя-другая, чтобы разобраться с тем, что происходит. Но думаю, что в этом случае улов злоумышленников будет минимальным. Не 0, но совсем маленький.

В.И.: Какой ваш краткосрочный и долгосрочный прогноз по этим направлениям?

А.М.: Последующих атак будет много. Сейчас народ дозревает до понимания, что каждая кухарка может собрать троян. Потому что самые сложные куски появились, которые сдерживали развитие этого рынка. А простых кусков можно надергать и как из конструктора, попытаться их собрать. Условно говоря, если какой-нибудь старшеклассник решит сколотить банду, то через год эта банда старшеклассников уже будет работоспособна. Хакерская бригада старшеклассников за один год сможет такого класса атаки делать. А теперь представьте, сколько по миру таких оболтусов-старшеклассников. Почему я употребляю термин «старшеклассник» — потому что хакеру-профессионалу есть чем заняться, он нормально зарабатывает, он решает точечные дорогие задачи. Он вот так по площадям не бьет, некоторые характерные ляпы не делает.

В.И.: Была вот эта майская атака, о которой вы тоже сказали, Wanna cry. Почему не подготовились? Довольно приличный срок времени прошел. Тогда были серьезные объекты атакованы.

А.М.: Да, с 6 марта было достаточно времени. И я тоже всем заинтересованным лицам шпыняю, что — ребята, недорабатываем, и мы, и вы. Обычное наше разгильдяйство. Пока по заднице не получил, ничего делать не буду.

В.И.: Предполагали, что сейчас масштабы бедствия не столь крупные, как при атаке Wanna cry?

А.М.: У Wanna cry на самом деле масштабы бедствия тоже были не ахти какие. Просто там это было ярко, болезненно, и подхватили журналисты. А на самом деле бывают гораздо более масштабные атаки, если брать по количеству компьютеров. Например, уже упомянутый Sasser, атака мая 2004 года — там свалилось вообще полмира. Там British Airways самолеты сажала, разворачивая карту на столах, прокладывали курс на планшетах, потому что сервера лежали. Сейчас не так страшно.

В.И.: Какой ваш совет для директоров фирм, учреждений, которые сейчас, может быть, трясутся в страхе, что тоже могут быть атакованы хакерами?

А.М.: Не надо трястись, надо себе сказать: «Завтра мы будем атакованы. Что у нас произойдет?». На американском английском это называется action plan — план действий. И если об этом хоть раз подумать… Вообще головой думать прикольно. Если подумать головой, то станет понятно, что важные данные надо с компьютеров убрать в архивы. Архивы защитить от интернета. Важные данные надо продублировать на однократных носителях. Например, на CD-ROM стареньких, чтобы гарантировано архивы не терять. Текущие версии надо снабдить как минимум парой разных антивирусов с хорошим, быстрым обновлением. Нужно посадить молодого парня, который бы следил за вот этими тусовками, где это обсуждается. И со стороны защитников, типа Group-IB или Positive Technologies, и со стороны нападающих, чтобы тусовались на тех форумах, где тусуются правонарушители и видели зарождение атак.

В.И.: Это те шаги, которые можно предпринять до того, как появились новые игроки?

А.М.: Более того, когда уже началась атака вчера, уже было понятно, что атака началась, а ваш сервер еще цел. Значит, уже есть время, чтобы то, что не нужно, отключить, то, что нужно, сдублировать, то, что можно пролечить, — пролечить, то, что нельзя пролечить, повесить в интернете вопросы типа «ребята, подскажите, что еще можно сделать?». У всех были как минимум часы на реакцию.

В.И.: Какой процент организаций, фирм в России соблюдает вот эту озвученную вами инструкцию?

А.М.: Эту инструкцию каждый должен написать для себя. В отчетах McAfee обычно фигурирует цифра уровня 15%, что 15% компаний неадекватно относятся к защите своих данных. В отчетах InfoWatch фигурируют другие цифры, что у порядка 2% компаний данные реально защищены. Я больше доверяю InfoWatch.

В.И.: Грубо говоря, почти 100% не защищены?

А.М.: Еще раз — возьмите 5 тысяч рублей, положите их в почтовый ящик. Он же ведь закрыт у вас, подъезд тоже закрыт, видеокамера есть — все безопасно. Просто подержите деньги в почтовом ящике. Вы поймете, что происходит, когда у вас данные лежат на серверах в интернете.

В.И.: Большое спасибо, что нашли время с нами побеседовать.

А.М.: Не за что.

В.И.: Мы продолжаем. На связи с нами Алексей Шляпужников, шеф-редактор медиапроекта СОЛЬ. Алексей, здравствуй.

Алексей Шляпужников: Привет.

В.И.: Обсуждаем сегодня хакерскую атаку, о которой стало известно накануне. Что тебе известно об этой атаке? И чем, возможно, она отличается от предыдущих?

А.Ш.: Сам я, к сожалению, эту атаку не изучал, потому что ни российские медиа, ни украинские компании в публичном доступе, как это водится, не разместили данные об атаке. Поэтому я вынужден довольствоваться тем, что рассказывает Тед Майкро и другие исследователи, которым они предоставили данные. Я вижу, что было 2, а может быть, даже 3 атаки, совпавших по времени. И не факт, что происходивших из одного центра. Как минимум, я вижу, что были использованы совершенно разные способы атаки на разные объекты. Если в случае с российскими СМИ мы видим, что атака была сделана через так называемую «ждущую дыру», то есть были заражены сайты, часто посещаемые сотрудниками, возможно, какой-то интросайт или сайт, на который они ходят часто, просто потому что так принято, и с этого сайта было загружено вредоносное программное обеспечение, шифровальщик, то в случае с некоторыми украинскими компаниями видно, что использовалась дыра в WMI, это система управления Windows. Явно, что операционные системы не были достаточным образом обновлены. Это разные способы атаки, и были использованы разные дырки в защите.

В.И.: Сам механизм — как это происходит? Всплывающее какое-то окно?

А.Ш.: В случае с атакой через «ждущую дыру» — просто заходит человек на сайт. Ему было всплывающее сообщение о том, что якобы необходимо обновить Flash-плеер для компьютера. Соглашаясь с этим, пользователь загружал программное обеспечение, которое через 3−4 файла, 2 из которых носили названия из «Игры престолов», кстати, использовались стандартные системные функции дискового шифрования, зашифровали диск и требовали выкуп за эти данные.

В.И.: А то, что в названии фигурируют элементы, связанные с «Игрой престолов» — это о чем-то вообще может говорить?

А.Ш.: Это говорит о том, что хакеры — это гики в массе своей, и это такое своеобразный хакерский юмор. Самое главное, о чем это говорит, — система защиты в редакциях была недостаточным образом проработана. И пользователь, работая за своим местом, имел права администратора и мог запустить вот эти системные файлы. Это, конечно, очень большая недоработка, в первую очередь, со стороны руководств изданий и их служб киберсекьюрити. Но, к сожалению, на цифровой безопасности, как и на безопасности в целом редакции, не только российские, мы видим, очень часто экономят. Недавний трагический случай на «Эхе Москвы», куда прорвался вот этот Борис Гриц и полоснул ножом Татьяну Фельгенгауэр, говорит о том, что и с обычной-то безопасностью не все хорошо у изданий, радиостанций. Просто их директора, владельцы не считают необходимым тратить на это достаточное количество средств. Поэтому мы видим и реальные, к сожалению, атаки, и вот такие, виртуальные, как было вчера.

М.Ц.: Россия уже сталкивалась с подобными проблемами в мае, в июне. Можно отметить между ними какую-т связь?

В.И.: В мае речь шла о том, что чуть ли не самая массовая атака за последнее время происходила. И тогда ведь многие социально значимые объекты были атакованы.

А.Ш.: Дело в том, что мы с вами пользуемся немножко разными словарями. «Атака» — в вашем понимании это целенаправленное нападение на кого бы то ни было. В моем понимании и в понимании специалистов по IT-безопасности «атака» — это пробитие бреши в зоне уязвимости. Это не целенаправленная какая-то деятельность против той или иной кампании. Хотя бывает и целенаправленна. Чаще всего, как было в мае, вирус Wanna cry, который поразил огромное количество компьютеров, частных, в том числе, и корпоративных — просто мы услышали о том, что пострадали метрополитены, аэропорты, потому что мы этим пользуемся, это на слуху, на виду.

На самом деле, проблема тогда была в том, что массовым образом компьютеры не обновлялись, использовались «пиратские» операционные системы, где были отключены обновления или которые не могли их получать, потому что нелицензионные. Застарелая дырка, которая была уже к этому времени поправлена в выпусках Windows лицензионных, была на огромном количестве не исправлена, не закрыта. Собственно говоря, Wanna cry, шифровальщик, он же Petya в более поздней редакции использовал эту дырку.

В этом случае мы тоже видим, что системы были недостаточным образом защищены. Где-то была проявлена халатность или не хватило средств или желания у собственников и руководства компаний, чтобы должным образом провести аудит безопасности, выявить слабые места, защитить эти места. Скорее всего, и там, и там общим является то, что вопросам безопасности не уделяется должное внимание.

В.И.: Еще такой момент, что вот этот новый вирус, который атаковал СМИ в России и некоторые объекты на Украине…

А.Ш.: Это разные вирусы. В России условное название — Bad Rabbit, а в Украине, и я сейчас вижу сообщения из других стран, это были совершенно другие механизмы распространения. Это тоже был шифровальщик, но другого типа.

В.И.: Сообщают, что Bad Rabbit требует выкуп в биткоинах. Посчитали, перевели на рубли — примерно 14−16 тысяч. Вот это о чем может говорить?

А.Ш.: Как и в случае с Wanna cry, Petya, многие специалисты говорят, что если и есть цель получить выкуп, то, скорее всего, это цели конкретных исполнителей либо это какая-то маскировочная история, которая маскирует настоящую цель атакующих. Которая, скорее всего, состоит либо в том, чтобы показать, что глобальные системы тотально не защищены. Есть такая штука у хакеров — просто тыкают носом не прогруженную в криптобезопасность общественность, что они постоянно под угрозой находятся. Либо настоящие атаки — на некоторое количество объектов, а вся остальная атака — это просто маскировка основного направления. Мы можем гадать бесконечно. Но я не думаю, что целью было 14−15 тысяч рублей с зараженного компьютера. Это не такие большие деньги. Тем более что вот эти домены блокируются очень быстро.

В.И.: Говоришь, что не только Россия и Украина подверглись подобного рода атакам. Где еще нечто подобное наблюдается?

А.Ш.: Восточная Европа, есть сообщения из Средней Азии. Я думаю, это были какие-то, может быть, русскоязычные системы. Потому что общий признак этих компаний, которые, так или иначе, работают — они работают в Украине, в России, в Киргизии, и там, и там, и там. Везде работают часто на русскоязычной системе, потому что-либо нет операционной системы на национальном языке, либо русский язык более распространен среди сотрудников той или иной компании.

В.И.: А это может говорить о том, откуда исходит эта атака?

А.Ш.: Может говорить, а может и не говорить. Она может исходить также от людей, которые, так или иначе, знают русский язык или находятся в России или находятся в Киргизии или в Украине или в Израиле. Или просто использовали какую-то расхожую информацию о том, что постсоветское пространство использует большое количество нелицензионного программного обеспечения и в целом слабо защищено от атак.

В.И.: Прозвучала фраза, что большинство ресурсов, которые были подвержены атаке, не публикуют данные. То есть какие-то данные могли бы они предоставить. Если бы эти данные были предоставлены специалистам, в частности, тебе, то что бы это изменило? И какие данные атакованные СМИ могут предоставить, чтобы что-то изменить?

А.Ш.: Вообще, конечно, публиковать подобные данные в широком доступе мне кажется правильным и моим коллегам тоже, потому что в мире большое количество профессиональных исследователей безопасности — одна голова — хорошо, а 22 лучше. Они могли бы дать некоторые рецепты по защите от подобных атак

В.И.: О каких данных идет речь? Что можно было бы опубликовать, чтобы 22 головы задумались?

А.Ш.: Что обычно интересует — скриншоты, логика действий пользователя, системные логи, логи данных роутера, слепки трафика и т. д. То есть большое количество служебной информации. На Западе, после того, как лет 5 назад эти атаки начали происходить более или менее регулярно, сначала эти данные публиковали в специализированных изданиях и обсуждали на конференциях по безопасности. Но в последнее время после каждой атаки появляется в очень коротком режиме достаточно большой массив данных, который доступен широкому кругу специалистов по безопасности для изучения. И, конечно, там, учитывая, что привлекается большое количество вот таких разрозненных сил экспертных, формирование и культуры, и среды, и механизмов защиты от угроз происходит более эффективно, чем вот в такой закрытой системе, как у нас в России или на постсоветском пространстве.

В.И.: Правильно я понимаю, что из-за того, что данные не предоставляются, можно ждать повторения волны атаки тех же самых вирусов на другие ресурсы?

А.Ш.: Нет. Не из-за того, что данные не предоставляются, а из-за того, что на самом деле, я еще раз повторюсь, вопросам безопасности уделяется крайне мало внимания. Часто как происходит? Директор приходит к главному системному администратору и говорит: «Дорогой, а у нас все хорошо?». И ему сисадмин говорит: «У нас все хорошо, надо только бухгалтеру компьютер купить». Директор абсолютно уверен, что все хорошо. А системный администратор просто либо не обладает ресурсами, необходимыми для того, чтобы защитить систему, либо не обладает желанием для этого, директор от него этого не требует, потому что не знает, чего требовать. Либо не обладает ни тем, ни другим и просто сидит на месте ровно.

Пока эта ситуация не будет разорвана, пока проблема безопасности остается исключительно внутренней проблемой каждой организации, атаки будут продолжаться и будут существовать. В принципе, мы видели что-то подобное в середине прошлого века с юридическими атаками на компании, когда были захваты, когда было финансовое рейдерство и т. д. И тогда одним из инструментов прекращения вот этой системной атакуемости бизнесов были внешние аудиты, юридические аудиты, бухгалтерские аудиты. Собственно говоря, сейчас все приходит к тому, что создается целый рынок по предоставлению таких же внешних услуг для бизнесов и для организаций, в том числе и государственных, по внешнему аудиту того, насколько на самом деле тот или иной системный администратор или служба безопасности выполняет свою работу. Потому что директор или руководство часто не могут оценить, насколько на самом деле качественно работают их IT-шники, потому что они сами IT-шниками не являются.

В.И.: В мае звучали прогнозы, что, возможно, все это было произведено неслучайно. И сейчас у хакеров есть огромный объем информации о том, как живет ГИББД, банки были атакованы, больницы. Есть последствия в этом русле какие-то?

А.Ш.: На самом деле, у хакеров всегда большое количество информации о том, как что работает. Не только после майской атаки, но и до нее, потому что мы прекрасно знаем, насколько наши государственные органы хорошо защищены, что все эти базы данных, так или иначе, можно купить. Значит, утечки есть изнутри. Те, кто исследовал хотя бы один госорган изнутри, знают, какой там бардак творится. Поэтому майская атака тут не причем.

Количество информации, которая собирается ежемесячно и ежедневно, ежечасно про нас, с каждым годом растет в интернете о том, куда мы ходим, что мы делаем, как мы передвигаемся, кому звоним, что покупаем. Особенно объем информации стал расти вместе с приходом в нашу жизнь большого количества виртуальных платежей, через пластиковые карты, не реальными деньгами, не наличкой. И это количество информации будет расти. Поскольку она на самом деле плохо защищена, и банками она защищается недостаточным образом, и продавцами, и какими-то государственным органами защищается она очень слабо или вообще никак, эта информация всегда будет становиться предметом внимания хакеров.

В.И.: Просто сейчас аналогичные прогнозы звучат, что атакованы СМИ «Интерфакс», «Фонтанка.ру», «Новая газета» в Санкт-Петербурге. Может быть, пытались либо ресурс заблокировать временно, либо до каких-то инсайдов докопаться.

А.Ш.: Насколько я знаю петербургскую ситуацию, одновременная работа на «Интерфакс», «Новую газету» и «Фонтанку» для петербургских журналистов не является странностью. И поэтому точка атаки могла быть вообще одной. Или двумя.

В.И.: «Фонтанка» очень активно описывает происходящее. Главный редактор Александр Горшков с периодичностью публикует какие-то комментарии по этому поводу. В частности, от него звучало, что личности атаковавших известны, со временем они будут названы. Насколько можно верить таким словам?

А.Ш.: Я с большим уважением отношусь и к «Ажуру», и к «Фонтанке», в частности. Но, конечно, они не специалисты. Они могут строить любые догадки. Но пока я не увижу технических выкладок, которые объясняют, что они на самом деле вычислили нападавшего, я не могу сказать. По тому доменному имени, которое было вычислено, скорее всего, это зараженный ботнет, который атаковал издательство. И компания, которая регистрировала этот домен, не имеет никакого отношения к атаке. Фейковые и фишинговые письма, которые рассылались якобы от корпорации Microsoft, тоже ведут на очень странные доменные имена, и вычислить людей сложно. Вымогатели, насколько я понимаю, вели на адрес в сети Tor, что тоже затрудняет исследование того, кто это был.

Догадки могут быть у каждого руководителя. Но я еще раз повторюсь — в данный момент я на месте руководства атакованных компаний занимался бы не выяснением того, кто стоит за атакой, а полномасштабным аудитом своих систем безопасности. А еще большее внимание я бы уделил этому вопросу на месте тех руководителей компаний, которые еще не были атакованы.

В.И.: Еще вопрос по «Фонтанке», не могу не задать — сегодня вышел материал, и редакторский состав издания связывает эту атаку, возможно, с публикациями, которые до этого появлялись на страницах «Фонтанки». Говорят, что с августа скандальные материалы, которые привлекали внимание и спецслужб, и негодование у представителей власти вызывали. И вот, «Фонтанка» атакована и на сутки парализована. Более того, припоминают, что в мае 2013 года атакам подвергалась тоже инфраструктура ряда городских и федеральных СМИ. В списке тоже была «Фонтанка», «Эхо Москвы», «Новая газета», «Forbes».

А.Ш.: Практически одни и те же издания и одни и те же люди, которые ими руководят, как минимум. Потому что из этих изданий друг в друга перетекают люди. Я думаю, что проблема здесь все-таки системная. Есть огромное количество изданий, издательств и некоммерческих организаций, которые занимаются публикациями, расследованиями, антикоррупционными расследованиями. Но где я знаю, что система безопасности построена на более высоком уровне, чем я могу судить об атакованных организациях.

Собственно говоря, на них тоже бывают попытки атак. Попытки взломов существуют, фишинговые атаки на этих людей, на эти редакции, на это НКО. Но они стоят, потому что есть внутренние протоколы безопасности, проводится аудиторская деятельность, серьезно работают и системные администраторы, и другие службы, которые отвечают за безопасность. Я еще раз говорю — здесь успех атаки говорит скорее не о таланте атакующего, а о бесталанности тех, кто защищался.

В.И.: А есть ли в России в принципе организации, у которых отсутствует так называемая брешь в зоне уязвимости, и они для хакеров будут таким крепким орешком, который не раскусить?

А.Ш.: Организаций, у которых отсутствует брешь в зоне уязвимости, скорее всего, не существует. Но есть организации, которые постоянно, систематически занимаются собственной безопасностью. Дело в том, что безопасность — это описание процесса. Это скучна нудная работа с разработкой и внедрением протоколов безопасности, с постоянными проверками, с инструкциями для сотрудников, с какими-то техническими решениями. Это не такая героическая история, которую нам показывают в фильмах про хакеров и про тех, кто с ними борется. Это скучно, нудно, но это необходимо делать. Для этого нужны, конечно, профессиональные кадры.

В.И.: Есть какие-то организации, которые тебе первыми в голову приходят, что у них вот эта нудная, но важна работа проводится?

А.Ш.: Есть такие.

В.И.: Назвать их можешь?

А.Ш.: Нет, не хочу. Зачем я буду вызывать огромное количество интереса исследователей, в том числе и школьного возраста, в области информационной безопасности на эти организации?

М.Ц.: Если говорить об ущербе в целом, что можно сказать? Например, РИА «Новости» пишут, что это одна из самых серьезных проблем с кибератаками за последнее время.

А.Ш.: Ущерб обычно исчисляется в деньгах. И если в мае, когда были сорваны рейсы, когда была нарушена работа воздушного транспорта, наземного транспорта, то в случае с издательствами скорее мы можем говорить о прибыли, чем об ущербе. Потому что интерес к этим издательствам очевидно вырос с вчерашнего дня. И я думаю, что они в ближайшее время будут жить с прибавкой в трафике.

В.И.: То есть ни еще и заработают на этом.

А.Ш.: Не знаю, заработают или нет. Но вот как такового ущерба… Ну что произошло оттого, что «Фонтанка» не работала какое-то время? Да, кто-то не мог попасть на страницы этого издания. Не очень большое количество материалов, наверное, не вышло или вышло позже, чем рассчитывала редакция. Но в целом важная задача издательства по привлечению внимания к своей работе при этом была выполнена. Я считаю, что никто не пострадал в этом моменте. Поэтому я не думаю, что какой-то серьезный ущерб в плане СМИ был нанесен. Что касается госорганов на Украине, я не знаю, потому что украинская сторона не раскрывает деталей.

В.И.: Правильно я понимаю, что тут речи не идет о каких-то негативных последствиях в целом в ближайшем будущем?

А.Ш.: Негативные последствия есть — какое-то время люди не работали, читатели не могли читать. Но есть и позитивны последствия, потому что еще раз эти организации и те, которые не были атакованы, задумаются о собственной безопасности. И, может быть, усилят эту составляющую своей работы.

В.И.: Алексей, спасибо, что нашел время с нами побеседовать.

Это была программа «Угол зрения». У микрофонов были Валентина Ивакина и Мария Цыганова. До свидания.

Мнение участников программы может не совпадать с мнением редакции.
Научный четверг

Понравилась статья? Поделись с друзьями!

comments powered by HyperComments