Володимир Стиран, етичний хакер, співзасновник «Бережа Сек'юріті»
Все, що відбулося - акт кібер-тероризму. Наслідки його - тотальні
03.07.2017 14:18

- Ви кажете про наслідки для бізнесу зараз? А наслідки для державних структур.

- Мені важко зараз це коментувати, тому що я не знаю, що відбувається в державних структурах.

- Ви бачите російський слід так, як бачить це РНБО?

- Я не можу ні підтвердити, ні спростувати. Але подивіться, кому це вигідно. Це – акт кібертероризму.

- Зазвичай кібератаку зараз ділять на складові. Окремо характеризують кожен етап. Що це було: 27-го, 28-го?

- Вірус Petya – не криптоздирник, не вимагач. Гроші та збагачення не були метою атаки.

- А що було метою?

- Моя гіпотеза: цей вид атаки називається «DDoS-атака відмови в обслуговувані» (напад на комп'ютерну систему з наміром зробити комп'ютерні ресурси недоступними – авт.) – диверсія. Але за моїми прогнозами, і вона не є кінцевою метою. DDoS-атака, як показує практика, відволікає на себе усі ІТ та ІБ ресурси жертви, отже є традиційним способом диверсії під час здійснення прихованої, справжньої кібер-атаки. Згадайте самі: DDoS-ять інтернет-банкінг банку N, а під час цього крадуть кошти в його клієнтів. DDoS-ять контакт-центр Обленерго (тоді це був лише перший етап атаки на наші енергокомпанії), а на фоні вирубають енергетичні підстанції. І так далі. Тобто, зорганізували телефонний спам у контактний центр, люди не могли дізнатися просто про проблему довший час тому, що абоненти не могли додзвонитися і про це повідомити. Теж диверсія під час складної атаки. Диверсія, що явно не має фінансового характеру, хоча дуже сильно намагається замаскувати це під кібер-кримінальну активність. Це підтверджує високий клас самої атаки, розвідки та планування. 

- Цього треба було боятися.

- Ну, ще не пізно?

- Вже пізно.

- ОК, все одно не будемо боятися. Як на те пішло – переведемо все на ручне управління. Які висновки має зробити насамперед влада? Які кроки мають бути першочерговими? Закон про кібербезпеку чи якась інша стратегія?

- Ніяких законів. Це написання стратегій, доктрин і законів останні три роки по суті іммобілізувало розвиток галузі. Треба ж вже робити якісь певні конкретні кроки. Треба навчати персонал, треба навчати айтішників, вдосконалювати свої інфраструктури. Є такий американський документ «Cyber Security Framework». Його придумали в NIST-і (Національний Інститут стандартів та технологій в США – авт.). Його ще після перших атак SandWorm/BlackEnergy (мається на увазі кібератаки на Прикарпаттяобленерго в 2015 році – авт.) на нашу енергетику за власний кошт переклали та надали для безкоштовного використання хлопці з компанії Cisco. Фактично посібник по створенню системи безпеки. І що ми з цим подарунком долі зробили?

А якби почали вчити, то зробили б зараження та поширення «Петьом» практично неможливими. І треба брати і отак по пунктах реалізовувати в кожній інфраструктурі, яка вимагає уваги. Тобто, все, що ви не можете завтра викинути зі свого життя, має бути налаштоване так, як там написано. Треба брати в руки інструменти і починати робити роботу, а не продовжувати видумувати якісь регуляторні акти і писати стандарти. Все вже є.

- Чи хтось із тих, хто заплатив вимагачам, їх було 17 людей, отримав назад свої дані?

Платити «крипто-здирникам» – безглуздо й непрактично, тому що нічого не вертається, це просто втратити гроші

- У мене є двоє знайомих, які заплатили в першій трійці, вони не отримали ключа. Ще коли навіть e-mail був активний і вказаний на заблокованому екрані, вони суто заради експерименту зробили ці платежі – і нічого не отримали. Не платіть, не платіть – це головне, платити вже не просто безглуздо, це абсолютно непрактично, тому що нічого не вертається, це просто втратити гроші. Не платіть тим, хто вам зараз обіцяє, що він вам відновить це за 50-100 доларів. То це те саме, просто під приводом того, що інші зробили.

- На останньому глобальному саміті з кібербезпеки шукали філософський камінь: яку кількість грошей треба вкладати в комп'ютери та систему захисту, а яку кількість в навчання. На що в  обороні витрачати більше – на антивіруси чи людей?

- Основна причина проблем – культурна. Це не недостатність коштів, це не недостатність заліза або навчання. Це культура. Люди просто такі. Вони працюють так. Це їхній професійний рівень. І те, як вони виконують свою роботу, в загальному випадку нормально, від більшості загроз вони більш-менш імунні.

- Атака почалася об 11.30, а лише в 14.30 кабмінівським мережам сказали вимкнутися, а місцеві адміни почали помалу соватися поверхами та переписувати комп'ютери, які жахнули. Чи можна було зробити інакше? Чи як треба було зробити інакше. Напевно, вони знали чи про щось попереджали їх якісь правоохоронні структури?

- Швидкість зараження після моменту первинної компрометації миттєва, і вона зростає експоненційно до кількості заражених машин. Ви нічого не можете зробити. Ваша швидкість пересування поверхами нижча, ніж швидкість пересування хробака вашою мережею. Є всі рекомендації, які могли б запобігти цій конкретній атаці. Але ворог знав, що ми їх не використовуємо систематично, і він цим скористався.

- Відомо, як почалася атака?

- Є офіційні позиції Майкрософта, Кіберполіції, інших дослідницьких компаній.

- А як так вийшло: ми заборонили російський софт, а такий подарунок як вірус нам дав український розробник?

- Яка тут різниця звідки софт.

- Всі експерти казали, що саме російський софт є загрозою, через його оновлення нам загрожує кібертероризм, а зрештою він прийшов від українського розробника.

- Походження джерела ніякої ролі зараз не грає. Це все жертви. Зловмисники заразили одну жертву, другу жертву, третю жертву. Через них почалася атака: через веб-сайти, через софт, через мережі, через фішинг теж були факти. Тобто, не варто звинувачувати жертв – звинувачуйте зловмисника. Це могло статися з будь-ким. Джерелом ураження могла бути будь-яка респектабельна компанія. Тому припиніть просто на них тикати пальцем. Просто від них треба вимагати кращого рівня, вищого класу.

- Держспецзв'язок закликав великих акціонерів підприємств, що належать до критичної інфраструктури, не ховати інцидентів, повідомляти про те, що сталося. Нарешті почався цей вільний обмін, чи стало це прозоріше – обмін інформацією?

- Вони вимагають чи вони закликають?

- Закликають.

- Це має бути вимогою законодавчою, під загрозою кримінального провадження проти першої особи компанії, яка не повідомляє про кіберінциденти й наслідки. Ось тоді це буде працювати. Заклики – це, звичайно, дуже добре. Але в цивілізованих країнах це – вимога законодавча або урядова. І там начальник департаменту інформаційної безпеки займається не тим, що антивіруси розставляє, а тим, що зберігає від реального кримінального строку свого генерального директора.

- У ситуації з вірусом «Петя», комп'ютерна грамотність простого співробітника компанії ні на що не вплинула б. Дуже складний випадок,  те, що сталося, це, в принципі, відповідальність системних адміністраторів, так я розумію?

- Це завжди відповідальність менеджменту. Не стати жертвою – задача менеджменту. Менеджмент розв'язує питання щодо ризиків. Фахівці роблять роботу згідно з тим рішенням, яке прийняло керівництво. Розумієте, це не проблема програміста, це не проблема сисадміна, це проблема менеджерів. Менеджер або приймає ризики, або щось з ними робить.

- Чому не спрацювали антивіруси?

- Це все замасковано під легітимну активність, розумієте. Тому що сто разів перевіряти це антивірусом немає жодного сенсу. Воно не виглядає як вірус, який атакує.

- Як удалося атаку зупинити? Ми самі згенерували ці рішення?

- Що значить зупинити? Деякі компанії вже по другому колу зараз переживають, вчора відновившись.

- Сайт Кабміну вже ввечері працював, Нафтогаз відкрився...

- Сайт Кабміну я б не називав елементом критичної інфраструктури. Це інформаційна система, вона публікує дані.

- Нафтогаз, сайт Нафтогазу також.

- Хто читає рекомендації людей, які аналізують семпли, тобто екземпляри цих зловмисних програм та викладають їх у публічний доступ, ніхто зараз їх не приховує – всі викладають одразу в публічний доступ, тобто – хто за цим слідкує, він може локалізувати проблему або відновитися і не потрапити в неї вдруге. Хто взяв резервні копії, піднявся і там десь почув, що достатньо запатчити (накласти «заплатку») MS17-010 (уразливість, завдяки якій відбулося поширення вірусу) – і все буде добре, той завтра буде підніматися із резервних копій знов.

- Коли я розпитувала вас минулого разу, чим інфікують мережу: саме троянською програмою чи комп'ютерним хробаком, то ви казали, що шкідливе ПЗ – це все комплексний продукт, який роблять під конкретну атаку, це троянська програма і хробак разом. Але ви тут весь час згадуєте, що це комп'ютерний хробак, так?

- Первинне зараження – це або фішинг (розсилання листів від імені популярних брендів, керівництва чи податкової з інфікованим файлом), або легітимне оновлення, або WaterHoling – складна атака, коли інфікується популярний сайт, і потім на нього приходять потенційні жертви, які чіпляють “заразу”. Тобто, через такі три вектори відбувається первинне зараження, а подальше поширення локальними мережами – це вже хробак.

- Скажіть, ми змогли змобілізуватися якось і протистояти цьому?

- Ну як мобілізуватися, треба знання мати, треба мати культуру. Ну, що я вам можу сказати: нація ще не готова.

Лана Самохвалова, Київ

Фото: Костянтин Ковпак, Укрінформ

Розширений пошукПриховати розширений пошук
За період:
-