Володимир Стиран, спеціаліст з інформбезпеки
У світі вже ніколи не буде повної приватності
07.12.2016 10:06 4078

Тема «інформаційної безпеки» акуратно, але невідворотно входить у наше життя. Вона нагадує про неприємності зламаними акаунтами держустанов. Нагадує першими інструкціями держслужбовцям про ті прості кроки, які потрібно робити, щоб не інфікувати власний комп'ютер.

Думаю, що мешканці Івано-Франківській області, хто пережив масове відключення мереж під час кібератаки на обленерго, познайомилися з цим ще в більш екстремальний спосіб. Тоді хтось гуляв з дітьми напередодні Нового року, а хтось народжував, комусь робили операцію, і раптом – раз: запущений півроку тому в енергосистему вірус спрацював, і вручну на віддаленому доступі російські хакери відключали підстанції – і всі лікарні, будинки, магазини, вулиці поринали в темряву. (Кібератаки та їхній російський слід підтвердили всі і вітчизняні, і європейські «кіберзахисні» лабораторії). В англомовних медіа за останні два роки вийшло як мінімум дві доповіді, в яких йдеться про російсько-українську кібервійну. Напевно, все це стало причиною того, що фахівці з безпеки (айтішники, комп'ютерні інженери, тренери з пошуку вразливості) вперше за більш ніж десять років відкрили для журналістів двері свого заходу, який зазвичай проводиться «тільки для своїх», – міжнародної конференції з кіберзагроз і способів їм протистояти.

«Чудові плавці Мережі далеко не завжди – пірати, іноді вони і захисники, і, напевно, далеко не завжди два в одному (ну, як би, і пірати, і регулярна армія)», – думала я, коли симпатичні англомовні хлопці (зовсім не схожі ні на придурків в каптурах з кліпів про хакерів, ні на зарозумілих айтішників) прямували до кімнати, де проходили змагання зі «злому замків». Це один зі способів пошуку слабких місць в інформаційному захисті, на офіційній мові – пошуку вразливостей. Головним тренером в цій кімнаті був співзасновник компанії «Бережа сек'юріті», організатор конференції Влад Стиран.

- Владе, чи можна детальніше, що у вас там відбувається на практичному занятті? Люди дійсно вчаться вламувати замки, і переможець отримає в результаті сьомий айфон?

- Так, у нас завжди на конференції є переможець, і завжди є приз, - посміхається, - а щодо процесу, то так проходить одна з секцій конференції. Це називається змагання «Capture The Flag» або CTF, а замки там – як привертання уваги, справжня боротьба точиться навколо контролю над ігровими комп'ютерами.

У інформаційної безпеки є різні типи професій, є різні сертифікації, види діяльності. Є така категорія, яка займається зломом, але методичним. Тобто, це не вчинення злочину, це імітація та моделювання повноцінної атаки. Імітація дій хакера – для того, щоб продемонструвати компанії або держустанові, які слабкості є в системі, наскільки вона захищена, наскільки легко чи важко її зламати. Після такого тестування на проникнення і впровадження рекомендацій компанія краще захищена, ніж була до цього.

- На вашій конференції мене вразив виступ турецького кіберрозслідувача. Він сказав, що його група проаналізує близько півмільйона дисків користувачів, щоб визначити – хто належав до руху Гюллена. Це реально – потік такої інформації проаналізувати і не помилитися?

- Звичайно, реально. Але Схід – справа тонка. Давайте поговоримо про Захід. Там ніхто не стежить за людьми повністю. Є певна система, яка фільтрує повідомлення з дуже специфічними термінами, а коли ці терміни виявляють, залучаються живі аналітики. Ви напевно чули, що зараз компанія Yahoo проходить через скандал з «прослуховуванням» користувачів електронної пошти. Компанія, звичайно, отримала від влади секретну вказівку поставити на контроль деякі поштові скриньки – по набору ключових слів. Тепер про це стало відомо, і, звичайно ж, адвокати приватності масштаби прослуховування перебільшують, так прийнято. Тому що потенційно шкоди все-таки може бути завдано великої. І Yahoo сама просить дозволу у держави розсекретити цю вказівку, тому що вони хочуть, щоб їхні користувачі бачили, наскільки там специфічно вказані ось ці конкретні користувачі, за якими стежили за рішенням суду, і після отримання ордера, і що це не було тотальне стеження за всіма підряд. Тобто, це в їхніх інтересах – повернути собі клієнтську базу, вибіливши своє чесне ім'я.

Ось цей дисбаланс або напруга між необхідністю контролю та правом людини на приватність, він буде. Повної приватності вже ніколи не повернути, ми повинні якоюсь її частиною пожертвувати для того, щоб захистити себе від глобальних загроз, і держава, природно, буде намагатися паралельно вирішувати завдання, які у неї стоять на порядку денному, за допомогою цих інструментів. Це вже назавжди.

- Наша головна кіберзагроза – Росія. На Заході вже якось класифікують хакерські групи і віруси, зокрема російські. Пишуть, що є «Затишний ведмедик», «Модний Ведмедик», або згадують групи, кожна з яких на держпідтримці різних розвідок – одна у ФСБ, інша у ГРУ. Правда, при цьому виникають зовсім нові назви нібито хакерських груп, які беруть на себе відповідальність за зломи, – там Кіберберкут або Спрут, а ось створюється навіть козацька кібер-сотня.

Хакерські групи РФ пораховані, інвентаризовані?

- Такий ведмідь, сякий ведмідь – оцінювати достовірність важко. Є гарні назви та стрункі гіпотези щодо російських груп. Але у світі підпільного Веба практично неможливо провести чітку атрибуцію атаки, достовірно вказати, що вона походить звідси. Є і проксі-групи.

- Проксі-групи – це ширма, на кшталт операційного прикриття для атак?

- Є ціла дисципліна, яка вчить, як провести операцію таким чином, щоб потім не було можливості дізнатися – хто, звідки, як атакував. Один із елементів цієї дисципліни, це створення ось таких проксі-груп.

Це може бути абсолютно вигаданий персонаж. Наприклад, Гуччіфер. Він нібито, скажімо, поширює інформацію за результатами хака, який був проведений відомо в чиї ворота (його звинувачували в тому, що він зламав пошту Хілларі Клінтон – авт.). Або ось, наприклад, Кіберберкут, «прекрасна група». Якщо можна повірити, що хтось з цього світу назве себе «Беркутом», нехай і з приставкою «кібер», то я хотів би зустрітися і послухати, що він там ще нафантазує. Є групи замасковані, і докопатися вкрай складно. Про багатьох з них відомо багато, а про деякі майже нічого не відомо. Мій колега вважає, що спецслужбам РФ набагато простіше наймати кожного разу для атак людей на чорному ринку таких послуг, ніж утримувати армію хакерів.

Взагалі, є три основні категорії атакуючих. Тобто, найнижча – це такі опортуністи, ми їх називаємо скрипкідіс (script kiddies), тому що вони зазвичай використовують чужі «скрипти», це автоматизовані дії по злому. Скрипти написали професіонали для того, щоб використовувати в хороших чи не в дуже хороших цілях, а малеча використовує їх для того, щоб просто ламати, тому що час є. Далі, є кіберзлочинці – люди і групи, які заробляють так на життя: глобальна кібер-кримінальна економіка, сама по собі – дуже глибока і цікава тема. І є державні агентства, які добре бюджетуються, вони цим займаються теж професійно.

Ось так дуже умовно можна поділити атакуючих на три категорії. Хакери першої та другої категорій, коли вони працюють, вони це роблять почасти для того, щоб похвалитися. Хвастощі на якихось закритих форумах або між собою, вони – невід'ємна частина процесу. Ті, хто не хвалиться, то це третя – найскладніша категорія, що фінансується. Тому, якщо ми з часом не дізнаємося чіткої атрибуції конкретної групи і хто це персонально, то це або дуже «прокачаний», заслужений персонаж з другої категорії, який заробив достатньо грошей і пішов на пенсію, а ми так і не дізналися, хто це, або це третя категорія. Тобто, часто діємо методом виключення і оперуємо знайомством з моделями поведінки різних типів атакуючих.

А є ще ті, кого називають «білі хакери» (White Hat Hackers), які цим займаються для того, щоб захистити своїх клієнтів – знайти їхні вразливості та допомогти виправити.

- У серпні цього року повідомили про те, що було вчинено понад півтори сотні DDoS-атак на наші установи. Найобурливіша – це злом сторінки АТО. Ганьба. Наші чомусь навчаються?

- Навчаються. Але ми йдемо інцидентною практикою, ми не думали про це заздалегідь. Ми вже дочекалися, що вистрелило, і тепер розбираємося з наслідками. Ось ви зараз бачите конференцію за типом «ком'юніті для ком'юніті», люди з досвідом приходять і діляться цим досвідом з іншими людьми без досвіду або людьми з іншим досвідом. Тобто, це тусовка з приватного сектора. Сюди приходять і держслужбовці, працівники правоохоронних органів, вони останнім часом дуже серйозно прокачалися у підготовці спеціально по цим темам. Так, ми не повністю викорінили зло, але потрібен час. Вже менше використовується інтернет-сервіс провайдерів, поштовиків та іншого, які фізично розташовані на ворожій території. Недбале ставлення до кіберзагроз поступово зникає. Але на навчання потрібен час, на жаль. Природно, що людина ні звідки не отримає знання про те, як правильно себе навіть в Інтернеті поводити. Бо в школі ми цього не вчимо, у медіа про це у нас зовсім небагато. Спеціальні курси подібного роду, дійсно ефективні, коштують серйозних грошей.

- Які види загроз будуть для українського користувача актуальними?

- Та всі. Будуть атаки на «розумні» пристрої: телевізори, холодильники, автомобілі тощо. На жаль, для їхнього «розуму» розробники часто не застосовують вимоги безпеки, плюс у них рідко є надійний механізм встановити оновлення безпеки, навіть якщо воно буде випущено. Вендори (виробники) це називають новою ерою в технологіях: Інтернетом Речей (Internet of Things). Ми віддаємо перевагу терміну «Інтернет розкиданих іграшок» (Internet of Scattered Toys), якщо це пристойно.

Буде шкідливе програмне забезпечення, криптолокери, які будуть вимагати викуп за ваші зашифровані їхнім ключем дані. До речі, якщо на Заході сім'я готова заплатити вже до 300$ США за викуп комп'ютера, то у нас це теж набирає популярності, і люди готові заплатити до 100 доларів. Особливо часто це невеликі фірми, яким зашифрували базу даних 1С, і таким чином буквально зупинили бізнес. І, незважаючи на заклики фахівців нічого не викуповувати у тих, хто викрав ваш доступ, люди платять. Відомо, що британські банки спеціально накопичують біткоіни, щоб оперативно розблокувати систему в разі атаки.

Що сумно, на Заході атакуючі вже перейшли на інший рівень. Вони починають блокувати, наприклад, системи в госпіталях. Тобто в якомусь графстві в США госпіталь після кібератаки не може здійснювати операції, тому що вся база даних, усі історії хвороб вже давно оцифровані, а у них немає до них доступу – зашифровано. Розумієте, тобто, це вже наступний рівень аморальності поведінки. У нас поки це ще грошики, а ось там – це вже людські життя. Від цього нікуди не втечеш.

Щодо градації загроз зараз дуже актуально, звичайно, переключення фокусу з клієнтів банків на самі банки. Тому що раніше гроші крали у нас з вами, з наших рахунків, рахунків компаній, Фопів, а зараз їх починають красти у самих банків – і дуже великі суми. І це буквально тенденція останніх двох років.

Але я вважаю, що всі ризики можна мінімізувати. Головне – не боятися йти шляхом відкритості. Наприклад, є компанії в сфері безпеки, які напрацювали базу клієнтів, їх дуже багато. І якщо з кимось з їхніх клієнтів станеться інцидент, про це автоматично стане відомо всім іншим. Це бізнес-модель ефективного функціонування центрів кіберзахисту. Відбувається такий постійний взаємообмін, і він у цілому оздоровлює сферу. Але, не забувайте, ми на початку шляху. Тобто, у нас нарешті з'явилася професійна кіберполіція, це вже добре.

 - У нас є шанс створити «кіберізраїльську» армію, де кожен користувач стане солдатом?

- У нас іншого виходу немає. Ось у нас на конференції була фантастична доповідь про кіберстрахування. Доповідачка крозповідала, що до недавнього часу у нас у країні була можливість страхуватися від ризиків тероризму. Але, з настанням нової історичної ери в розвитку держави, природно, ніхто ці послуги вже навіть не намагається продавати. Тому що цей дисбаланс ризиків величезний. Раніше страховий випадок міг ніколи не відбутися, за невелику копієчку можна було страхуватися, у разі чого, а зараз ні. Уникнути проблеми не вийде. Як знайти ресурси для її вирішення – це вже інше питання, але це доведеться зробити.

Тобто, ви кажете, що ми мало платимо, ми не розвиваємо програмістів, значить треба платити більше й розвивати програмістів. В Америці круті консультанти в держструктурах теж працюють нечасто. Є масові операції, які потребують робочої сили, і їх виконують такі собі конкретні призовники-строковики. Вони сидять два роки в якомусь Security Оperation Center, і вони пимкають там. І держава дозволяє їм цим займатися, і вони отримують досвід, який без підготовки не отримають ніде. На цьому можна ловити. Усі у нас плачуть: немає кадрів. Візьміть молодих хлопців, в інформбезпеці не треба таланту, це результат навчання та практики. Посадіть молоду людину, дайте їй попрацювати, і за кілька років вона отримає досвід, який при виході на громадянку поставить її вище, ніж людину зі спецосвітою, але без досвіду. Головне – щось починати у цьому напрямку робити, а люди будуть. Молодь, яка вже почала пимкать щось на клавіатурі, вже є. І мотивація служити десь та сидіти працювати, і менше ходити по плацу – думаю, що це нормальна перспектива.

- Ваша маленька порада для юзерів з приводу безпеки.

- Не натискайте на всяку фігню. Не відкривайте всяку фігню. Якщо ви на це не чекаєте (лист, повідомлення в месенджер), швидше за все це не потрібно відкривати. Таким чином, ви уникнете 98% можливих загроз вашої персональної безпеки. А про інші два нехай турбується хтось інший, наприклад антивірус.

- А взагалі, який головний виклик для світового кіберпростору?

- Кіберпростір – це площина для ведення шпигунства та військових дій. Ми можемо ставитися до цього як ми хочемо, але якщо НАТО – найпотужніший озброєний оборонний альянс у світі робить такі заяви, час їх якось сприймати на віру. І ось у цій сфері, в кібербезпеці, в кіберпросторі здійснюється міжнародне шпигунство, здійснюються якісь операції приховані, природно. Дуже часто задіюються проксі-групи для того, щоб уникнути прямої атрибуції, тобто, все це вже давно існує, і воно діє, це просто перенесення шпигунства на наступний рівень – використання нової технологічної бази.

Але складність з останніми зломами, вона полягає в тому, що раніше діяв певний статус-кво. Була в одного з фахівців хороша фраза: джентльмени читають листи один одного, але вони не публікують їх онлайн. Тобто, шпигуни шпигують, і будь-який уряд розуміє, що шпигуни будуть шпигувати. Їхнє завдання – здобувати інформацію, яка допоможе уникнути конфліктів або їх контролювати, або їх урегульовувати, це нормально. Проте, не можна шпигувати на користь свого приватного сектора проти чужого приватного сектора, наприклад. Це одне з неписаних правил. А, може, записано десь, я не знаю. Тобто, не можна, наприклад, вкрасти схему нового підводного човна та віддати своєму урядовому підряднику, щоб він її зібрав, ось цього не можна. Але при цьому можна вкрасти базу даних усіх співробітників державних служб, як це було у випадку злому американського Офісу управління персоналом (Personnel Office for Management, OPM), ймовірно, Китаєм. Це державна служба, це державне агентство, держави раптом проти одного шпигують, все. І Штати можуть заявляти, що вони там введуть санкції проти Китаю, вони кожного року ці заяви роблять, але нічого не вводять. Загалом, був якийсь статус-кво.

А ось зараз його немає. І ось зараз – затишшя, американці заявили, що вони завдадуть якісь удари після атак на Демократичну партію, вони зроблять якісь відповідні дії. Але насправді, я так розумію, вони завмерли і намагаються переварити – що ж тепер робити. Це сигнал, що тепер можна все? Або вони все-таки спробують колишній статус-кво зберегти та повернути туди всіх гравців? Тому що використовувати хакерів для публікації компромату під час політичної кампанії – це вже занадто, Wikileaks, як би, не для цього створювався. І не можна було раніше політичні партії взламувати за допомогою державних ресурсів. А тепер виходить, що, можна? Тобто ось ця ентропія, вона зараз зростає, і вона призведе до того, що буде прийнято якесь рішення. І незалежно від того, яким воно буде, найближчі кілька років у цьому плані будуть дуже цікавими. Це я можу гарантувати.

- Нещодавно на телеекрани вийшов фільм Хакер. Головний герой, талановитий зломщик і кіберзлочинець, родом з України. Вам здається випадковою така географія?

- Це стереотип. Якщо хакер, значить з Росії, Румунії чи України. В цьому регіоні давали освіту, була матеріально-технічна база, була профільна освіта (це ще інерція з часів Радянського Союзу), та не було грошей. Цей дисбаланс доступу до інформації, технологій та відсутності грошей призводив до того, що з навичками займалися нечесними речами. Хтось зараз відбуває термін, хтось вийшов на світлу сторону. Зараз, якщо є базові знання в IT, можна заробляти непогані гроші. IT-компанії постійно проводять набори.

- У фільмі перераховані основні види кіберзлочинності. Фальшиві банківські карти, злом справжніх карток і купівлі з подальшим продажем. Хакерство там показано, як букет бізнесів: чим вище, тим кримінальніше. І хоча це не проституція або порнографія, але теж бандитизм. Не треба їх представляти робінгудами або надавати ореол романтизму?

- Немає жодної романтичності, немає жодного робінгудства. Це злочинна діяльність, але з допомогою нових навичок та інструментів. Раніше цьому надавали мотивацію нового дослідницького інтересу, цікавості. Якщо йдеться про фільм, то потрібно підтримувати рівень драматизму. Але насправді, якщо мова йде про атаку (я кажу про чистий кримінал), то люди не шукають мети, люди шукають уразливості. Вони знають, що тільки у такий спосіб можна потрапити до системи, і тому шукають системи, які мають уразливості. І проникаючи до системи, думають, що вони будуть мати: гроші, політичну вигоду... У криміналі немає мети, наприклад, будемо ламати конкретний Центральний банк Бангладеш. Але в атаках, спонсорованих державою, відбувається зворотнє: незалежно від того, що інфікується на початку операції, у подальшому цілі обираються дуже акуратно.

- А ще одне запитання про фільм: це вже другий фільм, де один і той самий сюжет. Хороші хлопці, які стали поганими хлопцями, потім знову ставали хорошими тільки після того, як їх спіймає за руку ФБР...

- Ми знаємо випадки, коли люди поверталися до легального статусу, коли вони вербувалися спецслужбами або федералами. Адже їх ніхто не бере легально, з таким минулим людину неможливо взяти на посаду агента ФБР. Він буде працювати, але не отримає привілеїв.

Але зараз проблеми кадрів у спецслужбах не спостерігається, тому таким вербуванням ніхто не переймається. Коли це було щось нове, і агентство не було готове реагувати на ці виклики, то всі йшли на такий компроміс: угода з правосуддям. Пропонували замість дванадцяти років терміну, скажімо, два роки, але він зобов'язувався на них попрацювати. Тут кожен з них шукає баланс між моральністю та самозбереженням. А уявіть, що людина – це батько-одинак, двоє дітей і, напевно, можна зрозуміти його угоду з правосуддям. Але людям, які йому вірили, все одно, напевно, неприємно. Є й такі кейси, і в житті воно все набагато драматичніше, ніж у фільмі про українського емігранта. Угоди з правосуддям відбуваються не тому, що ці персонажі стають гарними, а просто тому, що їм обіцяють преференції – зменшити термін, покращити умови тощо.

Лана Самохвалова, Київ

Розширений пошукПриховати розширений пошук
За період:
-