Чи можлива кібератака на кухонний девайс? У Києві радилися хакери та антихакери

Варто знати, що кібербезпека стосується кожного будинку: хакери легко зможуть зламати навіть домашні кухонні девайси

В останньому Бонді, незважаючи на повну голівудність, кібертероризм виглядає головною загрозою майбутнього, а кібертерористи показуються абсолютно всевладними людьми, перед якими пасує і Мі-6, і уряд. Відомий у всьому світі розвідник-утікач на моє запитання про фільм і реальності загрози, не задумуючись сказав, що нехай і частково перебільшено, але гіпотетичні загрози є.

Але я цікавлюся цією темою аж ніяк не через Голлівуд. Чверть століття військові експерти попереджали, що наш прозорий кордон з Росією - велика небезпека. Їх не слухали. І сьогодні, коли протягом довгих місяців ти складаєш воєдино розрізнені, але послідовні кібератаки російських хакерів на обленерго, на ЦВК, на медіа, аеропорт, залізницю, на мін'юст, реєстри та е-декларації, виникає те саме відчуття прозорого кордону, але не для танків, градів та інших "гумконвоїв". А для шкідливих програмних забезпечень, черв'яків, троянських програм, які, прямо скажемо, вже побували і в нашій інфраструктурі, і у важливих відомствах.

Це одна з причин, чому у мене на комп'ютері закачаний законопроект про кіберзахист, чому серед безлічі ранніх і пізніх президентських месиджів таким, який запам'ятався найбільше, є інформація, що наші АЕС добре захищені від кіберзагроз (до чого він це сказав, вже щось було, чому не знаємо), а в гугл-пошуковику, крім іншого, я регулярно вбиваю запити, порівняно нові для мого лексикону, - "інцидент", "DDoS-атака", "вендори".

У нас небезпечний і абсолютно аморальний ворог. Це також серйозно, як батальонно-тактичні групи, які не так давно стояли біля нашого кордону. Просто це загроза відкладена. На вихідних я побувала на першій для себе, і дванадцятій за рахунком конференції з інформаційної безпеки UISGCON. Не те, щоб мені хотілося переконатися, наскільки все захищено, але хоча б зрозуміти, як це все вивчається, і що у світу і у нас є в арсеналі кіберзброї. І до того ж, хотіла подивитися, хто у нас працює в такій сфері, нехай навіть і держсекторі, а в приватних кампаніях. Захід проходив у готелі "Русь", в одному залі була сама конференція, у другому (там зазвичай дає різдвяні прийоми патріарх Філарет) - кава, фрукти та бутерброди. До речі, вхід був платний, не менше сотні людей виявилися готовими заплатити без малого тисячу гривень за те, щоб послухати спікерів. А доповідачі на заході були цікаві (знімати деяких спікерів було заборонено), і мені було з ким обговорити почуте.

ПРО ГЮЛЛЕНА ТА ДОСЛІДЖУВАНИХ ТУРКІВ

Якщо б про наслідки спроби державного перевороту в Туреччині писав Орхан Памук, він би написав про це так. Через п'ять місяців у Стамбулі було все підготовлено для кібердослідження, було куплено будинок, запрошено кращий персонал з кіберзлочинів, фахівцям був виданий картбланш і обіцянку не економити на фінансах. На дев'яти серверах стояли вісімнадцятиядерні процесори, які сканували чотириста тисяч дисків. Але це не фраза з роману. Це фактично пряма цитата спеціаліста з кіберзлочинів Ібрагіма Халіла Сарухана. У Києві він навчав систематизувати море інформації, з мобільних пристроїв, комп'ютерів. Каже, що протягом місяця їм вдалося просканувати море інформації.

Щодня збиралися мільйони файлів. Ібрагім Халіл Сарухан про комп'ютерну криміналістику говорив, як про розслідування майбутнього. Нам залишається сподіватися, що комп'ютер не помилиться.

ВІДКРИЛИ НЕЗНАЙОМИЙ ІМЕЙЛ? ВИ - ІДІОТ.

Наступним промовцем був Мартін Лі, керівник команди безпеки та загроз американської компанії Циско:

У світі кіберзлочинності не відбувається нічого принципово нового. Крадіжка - все одно злочин, і зараз, і 500 років тому. Просто сучасна крадіжка оформлена в інформаційні технології. Я хочу розповісти про програми, які блокують ваш комп'ютер і вимагають викуп за те, щоб допустити вас до ваших даних. Немає принципової різниці, що зловмисник викрадає: цінні речі, вимагаючи за це викуп, або він блокує ваш комп'ютер, викрадаючи доступ до ваших даних. Людина бере в заручники ваші дані.

У нас у відділі безпеки розроблено спеціальне забезпечення, яке тестує співробітників. До них приходить лист, тестування, і якщо співробітник компанії відкриває його, то його відразу перекидає на сторінку з написом: "Ти ідіот, ти міг заразити нашу систему". Це дуже правильна робота. Це хороший технічний засіб, який тестить на імейли. Якщо до звичайних засобів - спам-фільтрів додати ось таку освіту, то тоді це виховує. Якщо хоч одного не буде, то не буде працювати.

Взагалі ринок ось такого програмного забезпечення дуже великий. Якщо у 1988 році першого творця "здирницької" програми визнали божевільним, і його навіть не могли судити, то сьогодні люди платять за викуп даних, і річна ємність ринку - три мільйони доларів, а один сервер - 19 тисяч доларів на добу.

Прослухавши ще одну доповідь про викрадення дронов (цим, виявляється, теж щосили займаються в країнах Азії), я піднялася у верхній зал познайомитися та обговорити почуте з учасниками.

Тут я познайомилася з системним адміністратором посольства США Дмитром Медведєвим. На моє питання, який виступ йому видався цікавим, актуальним для України, він відповів:

- Цікавим був спікер з Тайваню. Він аналізував широкодоступні китайські дрони. Вони як би іграшка. Але він показав його вразливості. Дрон авторизується з сервером, з пультом управління. Можна перехопити управління ним з допомогою підробки GPS-сигналів. З поширенням військових і промислових дронів у нас ці знання корисні. Підміна GPS-сигналів, перехоплення управління - розробникам варто знати про уразливість, як легко втрутитися. Спікер радить купувати спецмодуль, щоб уникнути угону.

- Хакери та викрадачі дронів - одні й ті ж люди?

- Звичайно... Їм цікаві ігри. Ну, ще мені сподобалась лекція керівника команди безпеки Циско. І його порада, що не варто викуповувати свої дані, навіть якщо ви влетіли. Тим більше, що програма іноді по-справжньому криптує диск, а буває те, що вона "прикидається", тобто це помилкова програма, яка виманює гроші, а потім видаляє ваші дані. Якщо злочинець отримує гроші, то йому немає сенсу щось повертати. Він наводив приклад програми, яка нічого не блокувала, але видаляла.

- Скажіть, ви ось в американському посольстві працюєте. Ну, а як ви там сприйняли, що російські хакери зламали пошту демпартії?

- Я не маю права виступати від імені посольства. А від себе особисто скажу, що журналісти часто панікують і роздувають. Ну так, росіяни ламали щось, але вони нічого серйозного не вкрали. Злом сайту, коли на головній сторінці з'являється щось неприємне, називається дефейс. Це такий тип хакерської атаки. Ну і що? Ну буває. Не звертайте уваги.

УКРАЇНА - ПОЛІГОН ДЛЯ ВИПРОБУВАННЯ ВІРУСІВ

До нас приєднався ще один фахівець з безпеки компанії ERC Олександр Кузяк.

- Україна - полігон для випробування вірусів. Це особливо ускладнює геополітика, протистояння Росії та Америки. А ми от, як завжди, майданчик між Заходом і Сходом - тільки кібер-майданчик. А в держустановах IT - на рівні плінтуса. Але безпека вже почала будуватися, я знаю, що після злому ЦВК там почали будувати й інфраструктуру, і безпеку, - розмірковував він.

- Ви слухали турецьку доповідь про кібердослідження перевороту? Машина буде аналізувати півмільйона дисків з інформацією, море інформації. Машина буде визначати - чи є кримінал у твоєму листі або розмові по мобільнику. Турецька машина... Ви слухали доповідь? Я б не хотіла стати об'єктом вивчення. Що ви думаєте? - запитала в Олександра.

- Кардинал Рішельє сказав, що якщо найчесніша людина напише шість рядків тексту, то я знайду за що її посадити. Машина буде вибирати слова, будувати статистку, напевно, буде здійснено ранжування. Наприклад, людина, яка двісті разів протягом чотирьох місяців сказала слово, наприклад, "підірвати", він піднімається в пошуковику вище. Проблема не у пошуці (хоча так, щоб його знайти, треба написати код програми, але це не космо), але потім - аналіз. Машина в кібер-дослідженні ніколи не буде останньою інстанцією. У кінцевому підсумку, людина буде дивитися твої висловлювання - це просто твій соціальний фідбек або керівництво до дії. Я не кажу про Туреччину, а про ситуацію у світі взагалі.

За сусіднім столиком стояв Олег Пивовар, співробітник компанії Integrity vision, якого часто запрошують телеканали. Привітавшись, поцікавилася, як йому конференція та кібербезпека.

- Конференція нормально. Розповідають про шаблони атак, тенденції. Корисно знати про компанії, які займаються розслідуваннями.

А людям варто знати, що кібербезпека - це стосується кожного будинку, останній спікер говорив, як легко ламати девайси, навіть холодильник та мультиварки. Україна - поле для зловмисників, їх цікавлять гроші та промислове шпигунство. Думаю, що атаки в основному комерційні.

Силою однієї організації важко захиститися від загроз. Потрібні гроші, серйозний ешелонований захист на кожній з можливих точок проникнення. І оскільки атаки часто проводяться на людей, потрібна освіта. Адже зловмисники вивчають профілі користувачів. Загалом, якщо ми хочемо зайнятися гігієною, потрібні програмні комплекси, центри з аналізу і реагування та обмін даними.

ЧОМУ ГАЛЬМУЮТЬ ЗАКОН ПРО КІБЕРЗАХИСТ

Наступними були виступи співробітників Держслужби спецзв'язку та захисту інформації. Поки один з її співробітників розповідав про нормативну базу, я почала перешіптуватися з заступником голови служби Олександром Чаузовим.

- Олександре, - кажу, - структура у вас секретна, тому складно судити про ваші успіхи. Вони є?

- Журналісти не особливо й намагаються розібратися, - відповів він, - ви коли-небудь замислювалися про рівні проблем? Ви добре знаєте, що треба будувати захист критичної інфраструктури. А тепер подумайте, в чиїх руках частина об'єктів? Переберіть в розумі важливі генеруючі компанії, або розподільні. Подумайте про банкінг. Хто власники? Ви б краще допомогли нам. Адже і закон про кіберзахист прийняти треба. І внести зміни в закон про інформацію. Зробити захист технологічної інформації законодавчо обов'язковим. Це інформація, яка впливає на функціонування об'єктів критичної інфраструктури. Обленерго, залізниця, електростанції, де використовується система Scada (диспетчерське управління та збір даних - програмний пакет, призначений для розробки або забезпечення роботи в реальному часі систем збору, обробки, відображення інформації) - це все стратегічно важливі галузі. Держслужба стандартизації хотіла внести зміни в закон про інформацію - про те, що технологічну інформацію захищати, або внести зміни в закон про техрегламенти. Поки все пригальмували.

Олександр через якийсь час пішов, а я, помахавши йому вслід, пообіцяла написати про закон про кіберзахист. Між нами кажучи, я дійсно вважаю корисним, щоб такий закон потрапив в зал. Він вводить елементарні для кіберсфери речі, у кінці кінців, обговорюючи його, нардепи піднімуть свою комп'ютерну грамотність. Я ж прослухала ще одну коротку доповідь на цю тему консультанта НАТО (він говорив про те саме, проблеми нескоординованості державних структур і напівдержавних приватних об'єктах інфраструктури в кіберзахисті), вийшла в коридор.

Тут стояв один з організаторів конференції, виконавчий директор охоронної компанії "Бережа Секьюрити", Костянтин Корсун. Він був одним із творців першої команди реагування на загрози CERT-UA.

- Костянтине, наш кіберпростір став безпечнішим за ці два роки?

- Навчаються.

- Важко навчаються. Чи не у кожному відомстві України побував "російський хакер". Ми що, такі нульові кібер-захисники?

- Ми не нульові. Ну, ламають все, і Google, і Amazon, Sony Pictures, і Bank of America, і відомих світових лідерів. У світі не існує об'єкта, який неможливо зламати. Справа тільки в грошах і ресурсі. Україна як держава, локація, територія, не виняток. Інформаційна безпека - транскордонна. Всі актуальні загрози для світу (ботнети, DDoS-атаки, крадіжка фінансової інформації, зломи пошти, кибершпіонаж) та виклики актуальні і для України, і методи боротьби з ними ті ж самі. Зараз є центральна команда реагування на комп'ютерні інциденти CERT-UA. Але у наступному році ми думаємо і плануємо будувати мережеву систему команд CERT-UA на підприємствах критичної інфраструктури. Тут потрібно опрацювати законодавчі механізми, створити перелік самих об'єктів критичної інфраструктури. На кожному з цих об'єктів визначити, які саме ресурси вимагають обов'язкового захисту. Це величезний комплекс проблем, що з різним ступенем успішності намагалися вирішувати десятиліттями. При цьому не забувайте, що об'єкти знаходяться в приватних руках, і звичайно з іміджевих міркувань адміністрація не любить повідомляти про інциденти. Але без обміну інформацією та взаємної довіри дуже складно домогтися ефективної взаємодії. Наприклад, з перервою в кілька днів можуть бути атаки на об'єкти, на два банки або два видобувні об'єкти, або два генеруючі підприємства. Один при цьому впорався, інший - ні. Чому? Через закритість. Згідно із законодавством, за безпеку інформації відповідає власник. Нехай це банкінг, або компанії інфраструктури. Але власник інформації якісь заходи проводить. Звичайно, на підприємствах є свої відділи інформаційної безпеки, і що вони роблять, якісь розслідування там проводяться, якісь висновки робляться. Але наскільки ефективні ці заходи, знає тільки власник. З іміджевих міркувань він не ділиться інформацією. І якщо це проблема банку, який є всеукраїнською платіжною системою, то це проблема всіх. Те ж саме стосується енергетичних компаній. Скільки власник вважає за потрібне, стільки він і витрачає на безпеку. Суми у різних компаніях відрізняються. Тому побудова єдиної системи, що координується, взаємодіючої, поки тільки починається. Але воно неминуче, оскільки це диктує саме еко-середовище. Але загалом, не варто так хвилюватися через те, як захищені. В Україні поки що низький рівень автоматизації. А низький рівень автоматизації - горе і щастя України. Вентилі та рубильники не мають віддаленого комп'ютерного доступу.

Костянтин пішов - закривати конференцію.

А ми вирішили скласти невеликі поради консультантів з безпеки для наших читачів.

5 порад невинним юзерам від досвідчених спеціалістів з безпеки:

1). Подивіться англомовний ролик: "Як виглядає хакер". Там сидить дівчинка. І титри: "Я не небезпечна людина, я просто збираю інформацію". Вона збирає інформацію про компанію, пише "ейчару", прикидаючись дослідницькою фірмою, нишпорить по соцмережам, вивчаючи профілі співробітників, про дітей, захоплення". І ось на основі не комп'ютерної, а соціальної інформації формуються листи. Ці листи - для вас. І ось вам приходить лист з дитсадка, що син нашкодив. Рідкісна мама не клацне листа - і тут же запустить у свій комп'ютер вірус. Звикайте до думки, що ваш комп'ютер може стати об'єктом зацікавленості, і об'єктом торгу. Наприклад, вам приходить звіт з фінансів. І ви відкриєте цей файл: запускається код, який закачує вірус, шифрує комп'ютер і просить викуп. Був відомий випадок зараження систем, коли перед офісом компанії розкидали флешки з написом "зарплата", з трьохсот флешок п'ять штук працівники компанії все ж таки підняли - та інфікували систему. Просто цікавьтеся цим. (Олександр Кузяк)

2). Ви завжди в небезпеці. Не думайте, що ви у безпеці. Це правило і для досвідченого, знаючого фахівця з безпеки, і для зеленого юзера. Усвідомлення цього вже зменшує небезпеку. (Костянтин Корсун)

3). Щороку в грудні визначте день, коли ви всі свої фотографії, всі важливі файли перенесете на зовнішній диск. Це повинно стати ритуалом. (Дмитро Медведєв)

4). Міняйте паролі та думайте про їх надійність, замініть легковажне ставлення до вмісту компа. В Україні все тільки починається, чим поважнішою ви є людиною, тим цікавіші для зловмисників. (Вікторія Колиб)

5. Нікому не вірте. І не відкривайте листи, на які не чекаєте. (Олег Пивовар)

Лана Самохвалова, Київ