А. СОЛОМИН: Ну, просто когда мы говорим о пользователях интернета, им доступны какие-то определенные, ограниченные функции, а вот, например, там, не знаю, ядерный чемоданчик, он же не всем доступен, он доступен кому-то одному. Вот в каких-то таких вещах: там, подключиться к ЦУПу, к Центру управления полетами, и что-то сделать – вот рассматривается такая угроза?
А. ГОСТЕВ: Рассматривается очень серьезно. К сожалению, были, были прецеденты, когда хакеры действительно получали доступ к различным ЦУПам, не в России, да? Ну, вот год назад была история, когда японское космическое агентство обнародовало информацию о том, что хакеры действительно получили доступ и на протяжении примерно полугода, скажем так, не то что могли управлять, но имели доступ к системе всей информации, которая передавалась с японского грузового корабля. Потенциально, да, наверное, если бы они были, хакеры, чуть более настойчиво заинтересованы, они бы, наверное, могли вмешаться в систему управления, да? Но влезть в японский, что называется, ЦУП и иметь всю информацию с их космических кораблей хакерам уже удавалось. Что касается российских систем, здесь ситуация, ну, я не скажу, что очень плохая, но не скажу, что очень хорошая. На самом деле в прошлом году я сам был в Звездном городке с секретной, скажем так, экспертизой, пытались понять, насколько вообще наши системы защищены, да? Ну, в общем, так: проблемы, несомненно, есть у всех, но есть понимание о том, как с этим бороться.
А. СОЛОМИН: И как с этим бороться? Или это все-таки часть секретного доклада?
А. ГОСТЕВ: Ну, скажем так, есть секретные материалы, несомненно, все, что связано с космосом. В целом, конечно же, есть понимание того, что необходимо менять в целом систему разработки программ для подобных систем. Программы, которые используются не только в космической отрасли, да, но и, например, в энергетике, в инфраструктурных каких-то компаниях, на электростанциях, в конце концов, в массе своей эти программы были разработаны, там, 10 лет назад. Те люди, которые их разрабатывали, они уже давно ушли, то что называется, из бизнеса. Для этих программ не выпускается обновлений, они содержат массу уязвимостей. И, кроме того, крайне трудно их заменить на что-то новое, да? Просто нет новых программ, приходится работать не то что на старом оборудовании. Оборудование новое, программы старые. И вот это является крайне серьезной проблемой.
А. СОЛОМИН: А мы можем себя чувствовать защищенными в плане?.. Не знаю, вот летит самолет. И то, что, там, в его работу никто не вмешивается…
Но вот можно ли вмешаться в его работу?
А. ГОСТЕВ: Ну, вот до недавнего времени, да, считалось, что нет, нельзя, хотя теоретически предположения были. Но вот на этой неделе, на одной из конференций, хакерской конференции, немецкий эксперт, который, кстати, раньше был именно одним из создателей софта для самолетов, он представил проект, приложение, которое работает на телефоне Андроид и позволяет, находясь в самолете, в момент полета при помощи этой программы обычного мобильного телефона получить доступ как раз к системам управления. В тот момент, когда самолет находится в режиме автопилота, злоумышленник может проникнуть в эту систему и начать что-нибудь делать. Самое безобидное – это выбросить кислородные маски, да? Но, кроме того, в этой программе была такая кнопка Visit ground, да? Имеется в виду, буквально, физически обрушить самолет на землю.
А. ГОСТЕВ: Для террористов это золотое дно. Эксперт сказал, что не будет эту программу распространять, что он ее представил сейчас на анализ различным, собственно, производителям софта…
А. НАРЫШКИН: А для чего вообще он?.. Как объяснил, кто может заинтересоваться в легальном поле такой программой?
А. ГОСТЕВ: Ну, в легальном поле этим как раз должны интересоваться именно производители софта для самолетов, собственно, сами авиационные производители и службы безопасности разных стран мира, поскольку вообще это действительно угроза безопасности. Наверное, можно сказать спасибо этому человеку за то, что он, в конце концов, высветил эту проблему, да, даже если она не столь страшна, как было показано, на самом деле, даже если всего, не знаю, однопроцентная вероятность того, что такое возможно, уже только за это ему нужно сказать спасибо и сделать все для устранения данных проблем. Дело в том, что с самолетами вообще история печальная. Я не помню сейчас, в каком это было году, то ли в 2007-м, то ли в 2008-м, была авиакатастрофа в Мадриде. Сразу после взлета разбился самолет испанской авиакомпании. Два или три года шло расследование. И, в результате расследования, выяснилось, что одной из причин, да, не главной причиной, которая привела к катастрофе, но одной из причин, почему самолет ушел в рейс без должных проверок, было заражение компьютерным вирусом компьютера одного из диспетчером. Из-за того, что этот компьютер был заражен вирусом, его просто отключили, скажем так, не отключили… они знали, что он заражен, но не могли его выключить, да? Но, вместе с этим, не доверяли данным, которые он предоставлял, этот компьютер. И, таким образом, когда он, этот компьютер, высветил информацию о том, что в бортовых системах есть некая проблема, да, ее просто задвинули, забыли про нее и решили, что этого нет, да? Разумеется, резервной системой также не провели проверку и так далее. Но факт остается фактом, да? Компьютерный вирус стал одной из причин авиакатастрофы.
А. СОЛОМИН: Скажите, в отношениях между государствами такое явление, как кибервойна – сейчас это реальность или пока это, ну, прогнозная какая-то история из докладов ЦРУ, которыми мы, там, располагаем?
А. ГОСТЕВ: Ну, теорией кибервойн вообще государства начали заниматься довольно давно. Я бы, наверное, сказал, еще в конце 80-х годов. Но это все осталось именно теорией, потому что все знали, как это делать, скажем так, но все боялись перейти вот эту черту, да, после которой уже, собственно, начинается точка невозврата. Но, в конце концов, году так в 2009-м, это, что называется… рубикон был пройден, когда появился червь, червь Стакснет, который был предназначен для атак на ядерную программу Ирана. Что он делал? Он должен был, этот червь, в конечном итоге, проникнуть на завод по обогащению урана в городе Натанс, заразить те компьютеры, которые управляют центрифугами по обогащению урана, и передать этим центрифугам команду на гораздо более быстрое вращение, чем это должно быть. В результате такого действия, центрифуги должны были физически выйти из строя, то есть разрушиться, уран из них выброситься, там, фторное заражение – в общем, остановка производства обогащения урана.
До сих пор эксперты теряются в догадках, была ли эта атака успешной, да, но есть, собственно, косвенные факты, которые показывают… эксперты МАГАТЭ свидетельствуют о том, что действительно примерно в конце 2009-го года производство урана на этом заводе на 20% упало, да? И около тысячи центрифуг потом, спустя какое-то время, с этого завода были вывезены, да, и утилизированы. Почему они были вывезены? Потому что не работал. Почему не работали? Может быть, действительно Стакснет сработал. В общем, вот эта задержка, да, которую этот червь вызвал, в общем, считается, что он замедлил ядерную программу Ирана примерно, там, на полтора-два года.
Добиться подобного же эффекта можно было при помощи авиаудара, да? Можно было отправить туда эскадрилью самолетов, парочку из них потерять, потому что там зенитные установки кругом стоят, да? Разбомбить все это дело, потратить… ну, сколько стоит военная операция против Ирана? Сотни миллионов долларов. И добиться того же самого. Здесь такой же результат был достигнут при помощи компьютерного вируса, без человеческих жертв. Ну, и затраты на его создание мы оцениваем, ну, порядка, не знаю, 10 миллионов долларов максимум.
А. НАРЫШКИН: Просто собралась группа программистов, и они день и ночь ломали голову, как же нам проникнуть – и вот это вот 10 миллионов? Я не знаю, 10 миллионов долларов, получается, ну, ни за что.
А. ГОСТЕВ: Во-первых, это была группа программистов, которая, по нашим оценкам, составляла от 20 до 50 человек. Причем это программисты высококлассные, это профессионалы, которых, ну, в мире, наверное, можно, не знаю, пересчитать по пальцам.
А. НАРЫШКИН: Вас не звали?
А. ГОСТЕВ: Нет, нас не звали. По коду вируса для нас, специалистов, очень, скажем так, просто определить вот уровень того человека, который это создавал. И создавали просто профессионалы. Ну, мы… не знаю, я лично работаю с компьютерными вирусами с 95-го года, да? Вот за 15 лет….
А. ГОСТЕВ: … за 15 лет я не видел ничего более совершенного, да? Этот вирус написан идеально. Он содержит в себе использование неизвестных ранее уязвимостей в операционной системе Windows. Просто каждая из этих уязвимостей, если бы ее продавали на черном рынке, там, для хакеров, каждая из них уже стоит несколько сотен тысяч долларов.
А. СОЛОМИН: Означает ли это, что эти вирусы были написаны не какими-то коммерческими компаниями, а все-таки какой-то государственной структурой, если они не продавали это дальше?
А. ГОСТЕВ: Ну, я думаю, что ни одной коммерческой компании, очевидно, не интересно атаковать завод по обогащению урана на территории Иранской республики.
А. СОЛОМИН: Они же могут получить заказ…
А. НАРЫШКИН: А что касается заказов, здесь вообще тема интересная на самом деле. Вот этот червь, он состоит из нескольких модулей, и мы не исключаем того, что ряд этих модулей писался, ну, людьми, которые не знали, что они делают, да? Собственно, вот этот модуль, который и заставлял менять скорость вращения центрифуг, да, не знаю, задание на его разработку, в принципе, могло быть поручено какой-либо компании, которая, собственно, занимается обслуживанием подобных систем. Это любые инфраструктурные проекты, это системы SCADA, софт компании Сименс, да? Это, собственно, отдельный такой вид бизнеса, существует много компаний, которые пишут софт для подобных устройств. Возможно, вот заказ на разработку вот именно этого модуля мог, так сказать, уйти в какую-то вот из подобных компаний. При этом сама компания могла даже, как я сказал, не знать, что она делает.
А. СОЛОМИН: Но все-таки часть хакеров – это какие-то люди, которые наняты государством для какой-то секретной службы, и они работают непосредственно на государство.
А. ГОСТЕВ: Здесь на самом деле очень варьируется от страны к стране, да? Если мы начинаем рассматривать кибератаки вот в целом, у нас есть несколько наиболее активных игроков в этой области. В первую очередь, конечно, Китай, да? Китай наиболее сейчас активным является атакующим, китайские хакеры, не знаю, уже взломали, наверное, все что можно, да? Сейчас в Соединенных Штатах Америки действительно развернулась, в общем, там, просто массовая кампания борьбы с Китаем, именно в плане киберугроз.
А. НАРЫШКИН: Там в начале года и сайты различных СМИ полетели, и, в общем, это…
А. ГОСТЕВ: Был опубликован отчет одной из американских компаний, где прямо говорилось о том, что вот за десятками атак на правительственные структуры США, на компании-подрядчики Минобороны США, на компании, которые занимаются различными исследованиями, несколько лет ведутся атаки. И там было четко определено, что за ними стоит одна группа, да, которая является подразделением китайской армии. Было указано вплоть до ее базирования, где находится их штаб-квартира, фотография этого здания. Действительно здание, обнесенное колючей проволокой и охраняемое военными, вот, Но нужно понимать, что это все лишь одна китайская группировка. А по самым скромным оценкам, ну, в настоящий момент их пять десятков наиболее активных, да? И многие из этих группировок проводят атаки не только против США, но и против России.
А. НАРЫШКИН: То есть, - перебью вас, - значит, у нас Китай, получается – в мире самая такая киберопасная страна?
А. ГОСТЕВ: Китай является действительно самой киберопасной страной, как в области обычных, традиционных компьютерных вирусов, да, так и в области вот именно угроз государственного уровня.
А. НАРЫШКИН: Но традиционные угрозы для компьютеров – это именно для рядовых пользователей?
А. ГОСТЕВ: Да. Я имею в виду традиционные троянские программы, которые, там, крадут деньги с ваших компьютеров, рассылают спам, устраивают дидос-атаки и так далее. То есть, Китай здесь, конечно же, лидирует. Ну, чему удивляться? С таким населением, да, понятно, что большое будет очень число людей, которые занимаются компьютерами, занимаются ими с криминальными целями.
А. СОЛОМИН: Вы сказали, что, судя по всему, Китай участвует в атаках и против крупных стран. Получается, что, условно, там, настоящее оружие, реальное оружие, ядерное оружие, например, не является уже сдерживающим фактором в этом направлении. Вот если США, допустим, знает, что Китай их атакует, он не предпринимает ответных действий никаких, ну, в реальном виде, да? То есть, это не война реальная.
А. ГОСТЕВ: Ну, дело в том, что эти китайские атаки уже настолько всем надоели, что в начале этого года как раз президент США подписал некий киберакт, который... ну, акт, который предусматривает одним из видов реагирования на кибератаки нанесение кинетического удара, в том числе не исключено и применение ядерного оружия. То есть, американцы четко всему миру дали понять, что, в случае кибератак на свои инфраструктуры, да, которые несут риск для, скажем так, американских граждан, они оставляют за собой право применять, скажем так, традиционные виды вооружения по атакующим. Но здесь ведь самая проблема в интернете заключена в том, что достоверно установить, кто стоит за этой атакой, ну, практически нельзя.
А. СОЛОМИН: Очень много возможностей для провокаций.
А. ГОСТЕВ: Очень много возможностей для провокаций. Возьмем тот же самый Стакснет, например, да? Вроде понятно, что атаковали Иран. Кому больше всего не нравится иранская ядерная программа – тоже все прекрасно понимают, да? Но четких фактов того, что за Стакснетом стояла вот эта страна, а не какая-то другая, да…
А. СОЛОМИН: Кому-то, может, могут не нравиться США, и для этого они могли атаковать Иран.
А. ГОСТЕВ: Все верно. Мы видим, допустим, атаки против российских структур, которые, да, на первый взгляд, имеют китайское происхождение, но если начать разбираться с этим более глубоко, вот достоверных фактов, установить практически невозможно.
А. НАРЫШКИН: какая у них цель: похитить у кого-то деньги, или вот действительно, там, атаковать сайты, какая от этого может быть выгода для того, кто организует эту атаку?
А. ГОСТЕВ: Если мы все киберугрозы известные в настоящий момент возьмем вместе и представим их в виде, не знаю, такого треугольника, пирамиды, да, то это, с моей точки зрения, наиболее точное отражение происходящего. Вот на самом нижнем уровне, но при этом самом широком и массовом, у нас как раз находится традиционная киберпреступность, которая… что называется, все ради денег, да? Это обычные хакеры, это киберпреступность, за которой гоняется полиция, это те люди, которые крадут деньги у обычных пользователей с банковских счетов, это люди, которые присылают спам на ваши компьютеры, это те люди, которые блокируют ваш компьютер каким-нибудь порноблокером, потом просят отправить смску за разблокировку, и так далее. И здесь, собственно, выделяется три основных, не знаю, экосистемы киберпреступные. Это Китай, как я уже сказал, который наиболее массовый и специализирующийся в основном, как раз в краже информации, создании гигантских ботнетов. На втором месте по массовости, наверное, российская киберпреступность. …
А. НАРЫШКИН: Люди, которые получили на территории Советского Союза хорошее образование техническое и из любой точки мира теперь запросто могут…
А. ГОСТЕВ: Совершенно верно. Причем я бы даже сказал, в последнее время Украина более активна, чем, российские хакеры в этом плане, но это все русскоязычная киберпреступность. Именно они являются наиболее, что называется, жадными. При этом они, наверное, самые передовые и продвинутые. То есть, те технологии, те идеи, которые придумывает русскоязычная киберпреступность, они потом уже начинают использоваться всеми остальными. Да, наши являются такими первопроходцами во многих областях.
А. НАРЫШКИН: Почему это так получается?
А. ГОСТЕВ: Ну, вот здесь, опять же, видимо, сказывается образование, да? Все-таки у нас очень сильная, скажем так, программистская школа, да, математическая, криптографическая. Мозги очень хорошо работают у людей. Ну, и, наверное, на третьем месте – это все-таки страны Латинской Америки и Бразилия, да? Причем Бразилия там явно лидирует, там очень широкая киберпреступность. Но, в отличие, от российской киберпреступности, которая больше все-таки нацелена вовне, они все-таки стараются блюсти свой кодекс, скажем так, русского киберпреступника и не атаковать российских граждан. Хотя уже многие от этого отошли, но все-таки, да, есть такое понятие: по России не работать. А бразильская киберпреступность, она как раз сфокусирована именно на собственном рынке. На самом деле в Бразилии очень развит интернет-банкинг. Количество пользователей интернет-банкинга от общего количества пользователей интернета в Бразилии составляет 90%. И бразильская киберпреступность, собственно, проводит атаки на своих собственных сограждан с целью кражи у них денег с банковских счетов.
А. НАРЫШКИН: А вот если, вы говорите. в самом низу этой пирамиды эта вот киберпреступность. Ведь получается, чаще всего их и ловят. То есть, люди, которые занимаются просто грабежом пользователей интернета, получается, их легче всего поймать?
А. ГОСТЕВ: Ну, за счет их массовости – их поймать на самом деле… ну, не легче…
При должном желании поймать вот в этой области киберпреступников можно любого. И примеры этому уже случались. Кстати, вот прекрасный положительный пример буквально две недели назад. Украинские как раз спецслужбы объявили о том, что провели они спецоперацию совместно с российским ФСБ. Это было совместное расследование, которое длилось несколько лет, было арестовано порядка 20 человек на территории Украины, в разных городах. Это все люди, которые были как раз причастны к созданию и распространению одной из самых, наверное, опасных троянских программ для систем онлайн-банкинга. Причем это для систем российских и украинских банков. Это люди, которые действительно украли миллионы долларов. Они находились физически на территории Украины, при этом многие из них – граждане России, которые просто переехали в Украину, потому что здесь им стало уже работать опасно, они решили, что они спрячутся на Украине и будут вести свои операции оттуда. Нашли их и там, арестовали. Сейчас вот не понятно, будут их судить на Украине либо выдадут в Россию, поскольку граждане России.
А. СОЛОМИН: То есть, смотрите, какая интересная история. Получается, что фундамент этой пирамиды, основание этой пирамиды – это люди, с которыми государство воюет, свое государство. Те, кто на вершине пирамиды – это те люди, которые на государство работают. Я правильно понимаю?
А. ГОСТЕВ: В целом, конечно же, да. Если мы говорим вот об этом всем нижнем слое пирамиды, да, с ними борются и государства, и с ними борются государства, сотрудничая друг с другом в этой области. У нас есть Интерпол, который координирует работу органов разных стран в подобных расследованиях. Собственно, вот, опять же, два дня назад Кипр одного из киберпреступников российских выдал в Россию, причем запросы на экстрадицию пришли одновременно и из США, и из России. Киприоты подумали, подумали – выдали в Россию. Могли бы выдать и в США. Там бы он получил лет 30. Сколько получит у нас – не знаю. А вот на самом верхнем э уровне пирамиды действительно находится то, что мы называем кибероружие. Это средства, которые разрабатываются одной страной мира для проведения атак на другие страны мира.
А. СОЛОМИН: Алексей из Ганновера спрашивает: «А американцы, разве они не принадлежат к лидерам по киберпреступности?»
А. ГОСТЕВ: Американцы на самом деле не принадлежат к лидерам по киберпреступности…
А. НАРЫШКИН: Они порядочные все?
А. ГОСТЕВ: Ну, скажем, так, в 90-е годы прошлого века действительно американцы, европейцы представляли из себя значительную силу в создании компьютерных вирусов, хакерских атак.
А. НАРЫШКИН: Ну, потому что там, в принципе, интернет и появился, наверное.
А. ГОСТЕВ: Да. Потом ситуация изменилась, да? Люди, вместо того, чтобы создавать вирусы и при их помощи красть деньги, начали создавать стартапы и зарабатывать деньги честным путем.
А. НАРЫШКИН: То есть, вот это все в такое позитивное русло…
А. ГОСТЕВ: Да. Сейчас мы видим, что как раз западные страны, ну Западная Европа и США, там как раз более сильно движение анонимусов, да? Вот если говорить об идейных хакерах. Которых как раз мы относим вот к этому второму слою пирамиды. Это как раз где деньги не являются конечной целью для атакующих. Целью подобных атак является информация, либо публичность. Многие эпидемии 90-х годов и начала 2000-х годов делались почему? Они делались потому, что создателю вирусов хотелось известности. Ну, не личной известности, а хотелось, чтобы о его вирусе все писали. Ах, какой крутой вирус, он, там, заразил 5 миллионов компьютеров по всему миру. То есть цель – самовыражение. Вот сейчас анонимусы, с нашей точки зрения, представляют абсолютно ту же самую реинкарнацию тех же самых идей, которые были в прошлом. Но раньше было хулиганство, а сейчас они примеряют некий такой костюм Робин Гудов.
А. НАРЫШКИН: Анонимусы, вообще, как вам кажется, представляют реальную угрозу, кроме того, что они могут взломать какой-то там любой правительственный сайт? Эта группировка пойдет дальше, чтобы действительно нанести какой-то вред серьезный?
А. ГОСТЕВ: Здесь практически невозможно четко сказать, поскольку это движение достаточно аморфно. Оно не является явно выраженным. Допустим, у американских анонимусов совершенно другие цели, чем у каких-нибудь сирийских, да? И люди там разные. Это могут быть, действительно, представители киберпреступности, которые в одну, скажем так, половину дня крадут деньги из банков, а, в другую половину дня они еще выступают в роли анонимусов и пытаются некие, там, патриотические цели при этом преследовать. Или анонимусом может быть какой-нибудь, не знаю, честный программист крупной IT-корпорации, которая вообще взломом не занимается. В общем, я бы не сказал, что анонимусы – это люди, которые представляют серьезную угрозу для инфраструктуры.
А. СОЛОМИН: А вот для анонинимусов характерны попытки похищения какой-то секретной информации, например, означает ли, что секретные данные нужно хранить только на бумаге, или есть все-таки какой-то способ защитить ее?
А. ГОСТЕВ: Я еще про анонимусов вот бы что хотел отметить. Мне кажется, что сейчас под маской атак анонимусов на самом деле многие хакерские группировки, работающие по заказу, выдают эти атаки, эти хищения за атаки просто со стороны тех же анонимусов, хотя на самом деле это четкие проплаченные заказы со стороны конкурентов, каких-либо компаний и структур, да? В общем, здесь маскируются под анонимусов, на самом деле уже начали маскироваться. И защититься от подобных атак на самом деле довольно проблематично.
А. СОЛОМИН: То есть, данные, не предназначенные для публичного распространения, секретные данные, уже спрятать невозможно.
А. ГОСТЕВ: Все заключается на самом деле в тех, скажем так, ресурсах, которые атакующие готовы потратить на доступ к этой информации. Понятно, что 100%-ной защиты на самом деле не бывает, да? И если у вас есть информация, которая стоит 5 миллионов долларов, вы не можете ее защитить, потратив на ее защиту, не знаю, 100 тысяч долларов.
А. НАРЫШКИН: Ну, иногда бывают случаи, как вот с Викиликсом было, когда вроде и не самый богатый Джулиан Ассанж… ну, там просто появился человек, который помог. Видимо, тоже идейный.
А. ГОСТЕВ: Это проблема инсайдера. Инсайдерская проблема – это вообще краеугольный, скажем так, камень информационной безопасности. Это, собственно, то, против чего не работают технические средства. Вы можете убрать информацию из ваших компьютеров, записать ее на бумажку и положить в сейф, да? Но человек придет в вашу компанию, устроится к вам на работу…. и физически вынесет этот сейф из здания. В общем, было бы желание, а способы-то найдутся. Вот именно вопрос того, как сделать так, чтобы на выполнение подобной атаки атакующим пришлось бы потратить, ну, настолько много ресурсов, что просто атака бы стала невыгодной.
А. СОЛОМИН: Еще одна такая заметная акция со стороны движения Анонимус, во всяком случае, распиаренная – это отключение интернета глобальное. Насколько возможно вообще, блокирование интернета на продолжительный период или вообще отключение?
А. ГОСТЕВ: Интернет – к счастью, это распределенная сеть, и весь… его вот целиком по всему миру и для всех отключить невозможно. При этом, разумеется, есть риск отключения его отдельных сегментов. Грубо говоря, какую-нибудь конкретную страну отключить от интернета можно, и такие примеры в прошлом уже бывали. Например, в 2003-м году компьютерный червь Сламмер отключил Южную Корею от интернета на 8 часов. Он просто создал такой трафик, когда распространялся, что все каналы были забиты исключительно копиями червя, больше ничего полезного не проходило. В общем, Южная Корея исчезла из интернета на это время. Примеры того, как еще можно отключить страну, были тоже не так давно. 2007-й год, дидос-атаки против Эстонии. В которых многие обвиняли Россию, в том числе и российские спецслужбы, но на самом деле, с нашей точки зрения, это было такое скорее партизанское движение. Эстония осталась без интернета. Но если вдуматься, что такое Эстония? Эстония – это страна, у которой на тот момент каналы интернет, пропускная их мощность и количество пользователей интернета, ну, знаете, уступает любому московскому району. Собственно говоря, для того, чтобы отключить Эстонию, не нужно было в тот момент какие-то грандиозные ресурсы. Понятно, что более крупную страну, с широкими каналами, с большим количеством пользователей, отключить сложнее, но в теоретически эта возможность существует. И, как со стороны анонимусов, которые при помощи дидос-атак могут вывести из строя определенные сервера, отвечающие вот за конкретный сегмент, так и со стороны, не знаю, правительств разных стран мира.
А. НАРЫШКИН: А вот, например, российские спецслужбы могут ли взять вот так, придумать какой-нибудь вирус? И выключить на территории России интернет, чтобы не было ни Фейсбука, ни Твиттера, ни новостей никаких не было. Или же, или же скорее это будет решаться каким-то таким административным путем? Просто как прикажут: «Выключайте интернет!»
А. ГОСТЕВ: Ну, административным путем это, конечно, гораздо проще и, скажем так, эффективнее на самом деле.
А. НАРЫШКИН: Ну, а именно с точки зрения такой хакерской?.. Так же вроде и концов потом не найдешь. Скажут, что…
А. ГОСТЕВ: Ну, а кто же эти концы искать-то будет?
А. НАРЫШКИН: Все-таки как вам кажется, сейчас есть такая возможность, просто вот выключить на день, например, весь интернет в России?
А. ГОСТЕВ: Отключить российский сегмент интернета от всего остального интернета на самом деле не сложно, поскольку более 90% всех наших каналов в глобальный интернет – это одни и те же кабеля, которые идут через Финляндию, Швецию и далее в Амстердам. Собственно, случаи, когда, извините, пьяные шведские трактористы этот кабель рвали бывали. И Россия действительно оставалась без интернета на какое-то время.
А. ГОСТЕВ: Я, конечно, утрирую. Нет, кабели рвали, из-за этого ряд российских провайдеров от интернета действительно отваливались. Собственно, эти кабеля, их можно физически перерубить, их можно отключить на уровне электроники и так далее. И что у нас останется? Ну, только спутниковые каналы связи, пожалуй.
А. НАРЫШКИН: Вы можете оценить, сколько нужно денег, чтобы Россию отключить именно таким кибернетическим путем? Ну, сколько может стоить?.. Вот мы же говорили про Иран, что это 10 миллионов долларов, условно, там, не знаю, несколько лет работы, несколько месяцев, 20 человек сидит думает. А чтобы отключить – я все-таки вот эту тему продолжаю лоббировать – чтобы отключить Россию от всемирной сети?
А. ГОСТЕВ: Я бы не хотел давать конкретных сценариев действия, на самом деле. Поскольку, есть несколько критических точек, по которым можно нанести, что называется, удар. Мы все-таки должны понимать, что, по большей части, весь российский интернет – это Москва. Так или иначе, весь трафик идет все равно через Москву.
А. НАРЫШКИН: Ну, как все дороги идут через Москву…
А. ГОСТЕВ: … и через ограниченное количество этих самых кабелей. В принципе, да, на физическом уровне действительно обрубить кабель – ну, сколько это стоит? Бесплатно это стоит.
А. НАРЫШКИН: А не на физическом?
А. ГОСТЕВ: Не на физическом, на уровне создания некого вредоносного кода, который бы забил трафиком все каналы связи, здесь, конечно, посложнее. Не так давно мы как раз публиковали пресс-релиз о том, как мы тут столкнулись с дидос-атакой против «Новой газеты». Это было действительно крупнейшая в истории Рунета, по нашей оценке, дидос-атака, никогда раньше с подобной мощностью мы не сталкивались. И атака была такой мощности, что действительно вставали магистральные каналы связи. Если бы подобная атака была чуть более мощной и не отключили бы, собственно, сайты, интернет не то чтобы отключился, но значительно бы замедлился. Вот для нас для всех, для жителей, Москвы, нашего сегмента интернета, работало бы все очень медленно. Это реально уже сейчас. Сделать таких атак одновременно, не знаю, 5-6 – и все встанет.
А. НАРЫШКИН: Так а денег-то сколько?
А. ГОСТЕВ: Ну, скажем так, в миллион долларов уложиться можно.
А. СОЛОМИН: Скажите, по поводу дидос-атак, хотелось бы немножко развить эту тему. Не только «Новая газета» сталкивалась с подобными атаками, и Лайв Джорнал, я помню, была большая история, очень мощная, «Эхо Москвы» атакуется регулярно вообще при каких-то событиях.
А. СОЛОМИН: Да. Всегда возникает вопрос: насколько правоохранительные – ну, это же преступление – насколько правоохранительные органы могут действительно найти заказчиков этой атаки или исполнителей, и не лукавят ли они, когда говорят, ну, что «нет, не знаем, не можем»? «Знаем примерно, откуда пришло, но больше ничего не можем, за руку поймать некого».
А. ГОСТЕВ: В случае с дидос-атаками критическим является как раз установление двух предметов, да? Это сервера, с которого была отдана команда на проведение атаки, и того человека, который эту атаку заказал. Вот тот сервер, с которого управляется ботнет, проводящый атаку, найти можно. Это как раз наша работа. Если нам дадут конкретного бота, конкретный вредоносный код, который вел атаку, в ходе его анализа мы можем узнать, с каким сервером он работал, откуда получал команды. Да, и в какой стране мира он находился. Дальше уже работа правоохранительных органов: кто этот сервер зарегистрировал, кто имел к нему доступ, кто оператор вот этого ботнета. А дальше уже этого оператора нужно искать и чтобы он сознался, кто эту конкретную атаку заказал. В общем, вот сервер найти проблем больших не составляет, даже для нас.
А. СОЛОМИН: А идентифицировать его?
А. ГОСТЕВ: А вот идентифицировать того человека, который этим сервером управлял – это задача правоохранительных органов, она действительно очень сложная. Иногда можно, в большинстве случаев нельзя.
А. СОЛОМИН: То есть, все-таки не лукавят, когда говорят, что не могут найти?
А. ГОСТЕВ: Не лукавят. И здесь проще, мне кажется, искать с другого конца. Искать тех людей, которые принимают заказы на дидос-атаки. Выходить вот таким образом на них и пытаться получить у них информацию. Они рекламируют свои услуги…
А. СОЛОМИН: Это серьезный бизнес?
А. ГОСТЕВ: Все, кто производят дидос-атаки, они рекламируются, и в спаме в том числе, и на различных хакерских форумах. Не знаю, если органам необходимо таких людей найти, найти их не трудно. И сделать, что называется, контрольную закупку: заказать атаку и посмотреть, что будет. Вот с этой стороны, мне кажется, более эффективно можно находить организаторов и заказчиков.
А. НАРЫШКИН: Я хочу с такого глобального уровня опуститься на бытовой. Насколько сейчас рядовые пользователи интернета, пользователи даже смартфонов защищены от киберугроз? Можете перечислить какие-то операционные системы? Ну, там, Андроид и iOS. Может быть, какие-то конкретные производители… ну, не будем создавать какую-то такую черную рекламу. Конкретные производители, может быть, уязвимее, чем другие.
А. ГОСТЕВ: Ну, давайте сразу посмотрим на количество угроз, которое случается вот каждый день. Когда я пришел работать в Лабораторию Касперского 10 лет назад, 500 новых вирусов в неделю – это считался просто какой-то абсолютно запредельный показатель. И мы думали: как с этим бороться? Это же невообразимый поток. Сейчас мы обнаруживаем каждый день 30 тысяч новых вредоносных программ. То есть, 500 в неделю 10 лет назад и 30 тысяч каждый день сейчас. Вот этот вот вал – это какой-то бесконечный поток, его останавливать…
А. СОЛОМИН: Это, кстати, ручная работа? А. ГОСТЕВ: К счастью, уже нет. Вот когда я начинал, это была действительно ручная работа, борьба с вирусами. А сейчас мы 90% из всех этих вирусов обрабатываем уже в автоматическом режиме. Наши роботы видят файл, опознают, разбирают его по сложным алгоритмам, понимают, что это вирус, и автоматически добавляют его детектирование. А пишут, конечно, это вручную. Пишут это китайцы, русские, бразильцы – о чем мы все с вами говорили. Так вот, здесь интересная статистика, связанная с тем, как часто пользователи сталкиваются с вирусами. Это статистика меняется от страны к стране. И, что самое, наверное, плохое – что Россия является лидером в этом плане. Половина наших пользователей раз в месяц сталкивается с какой-либо вирусной атакой на их компьютере. То есть, это вот гарантированно одна атака в месяц на каждого второго у нас в России случается. Если мы посмотрим на другие страны, например, не знаю, на Японию или на Финляндию, там этот показатель составляет, не знаю, порядка девяти процентов всего лишь. Чем это вызвано? Это вызвано во многом, конечно, культурой поведения в интернете. Наши пользователи, они более такие, знаете… развязные, ходят куда попало, нажимают на любые ссылки, которые им присылают в социальных сетях. Знакомые, не знакомые… По ссылкам походили, файлы скачали…
А. СОЛОМИН: Иногда ищут какие-нибудь утилиты в интернете…
А. ГОСТЕВ: Ищут утилиты, качают торренты и так далее. И во всем этом содержатся вирусы. Во всем. Мы видим, что в других странах такого нет, это такой вот российский феномен
А. ГОСТЕВ: Культура пользования интернетом другая, да. Я думаю, что пройдет какое-то время, у нас все-таки эта культура будет расти, пользователи научатся уже не нажимать бездумно на все, что им присылают в социальных сетях. Но, к сожалению, как показывает практика, учатся только на ошибках, причем на собственных. После того, как человек уже стал жертвой вируса, начинает задумываться о том, что, наверное, и антивирус нужно, и нужно файлы проверять перед тем, как запускаешь, и не ходить по неизвестным ссылками и так далее.
Но в целом, конечно, это все угрозы для пользователей операционной системы Windows. Она у нас является абсолютным лидером, на ней сидят все. Что же касается других операционных систем – Mac – мы видим, что за последние годы количество пользователей Мака значительно выросло… и так же пропорционально идет количество вирусов для Мак. Вот год назад случилась крупнейшая в истории эпидемия вируса именно для Мак-компьютеров, было заражено, от 800 тысяч до миллиона компьютеров по всему миру. Для всей популяции Мак-юзеров это 2%. Если мы возьмем любые истории с вирусами для Windows в прошлом, ну, не было ни одного вируса для Windows, который бы мог заразить целых 2% пользователей Windows по всему миру, не было такого. Для Мака это уже случилось.
Мобильные телефоны – тоже очень большая и интересная тема. Вообще первый мобильный вирус обнаружила как раз наша компания в 2004-м году. Это был вирус для Симбиана, собственно, телефоны Нокиа. За это время ситуация изменилась кардинально. И сейчас каждый месяц мы обнаруживаем порядка пяти тысяч вирусов для Андроида и несколько десятков вирусов для платформы Java. Это которая, в принципе, работает на любом мобильном телефон. В массе своей они чем занимаются? Они отправляют смски на короткие премиум-номера, и каждая такая смска, отправленная с вашего зараженного телефона, будет вам стоить, не знаю, 200-300 рублей, которые снимаются с вашего мобильного счета и, соответственно, зачисляются злоумышленнику. Причем такие смски с вашего зараженного телефона будут уходить до тех пор, пока у вас деньги на счету не закончатся. И это как раз изобретение российской киберперступности, да, наши, в первую очередь, додумались до такого способа зарабатывания денег. И вот мы видим, что, собственно, пошло, что называется, в народ. Подобные примеры мы сейчас видим и в китайских вредоносных мобильных программах. И в Европе порой появляются. Ну, наши здесь, собственно, продолжают лидировать.
А. ГОСТЕВ: С Андроидами… Да, смотрите, Андроид появился когда у нас там, три года назад, да? Как операционная система для, телефонов, первые телефоны появились, да? Уже сейчас они, собственно, составляют, там, по-моему, половину всего рынка мобильных телефонов, да? Так вот, вирусов для мобильных телефонов, вирусов, которые работают именно под Андроидом, их сколько у нас там? 99,9%. Для сравнения, вирусов для Айфона за всю историю было обнаружено всего лишь две штуки.
А. СОЛОМИН: Я вот, немного предваряя следующую передачу – продолжим говорить о вирусах… ой, господи, о вирусах… о киберугрозах. О вирусах мы уже говорили когда-то. Хакер, обычный российский типичный хакер, как он выглядит, что это за человек? Обрисуйте вот портрет.
А. ГОСТЕВ: Ну, можно было бы, конечно, посмотреть какие-нибудь материалы уголовных дел, когда этих российских хакеров судили. Ну, собственно, типаж, в принципе, не меняется, это один и тот же, да? Это молодой человек в возрасте, скажем так, от 20 до 25 лет, да, студент. Причем, как правило, не из Москвы, да? Из провинции. Вот. Это человек, который действительно обладает… как правило, это студент какого-либо вот технического вуза, там, со специализацией либо в математике, либо в программировании, да? Собственно, это стандартный, наверное, такой типаж, который, в принципе, совпадает и с киберпреступностью и китайской, и европейской, и латиноамериканской.
А. СОЛОМИН: Слушайте, но ведь есть определенный процент этих хакеров, которые занимаются этим чисто из интереса. Я просто сам сталкивался, там, общаясь с людьми в локальных сетях каких-то, вообще с молодыми людьми, которые просто делятся своими успехами в области написания вирусов.
А. ГОСТЕВ: Смотрите, все действительно начинается во многом в том числе и со школы, да? Есть, собственно, примеры, когда вирусы были созданы людьми, которым, там, по 13, по 14 лет, да? А потом эти люди вырастали и начинали писать либо гораздо более совершенные вирусы, либо просто заканчивали с этим. Им это становилось не интересно, они находили, там, нормальную работу и так далее. Действительно есть, скажем так, отклонение вот от этой общей средней, да? Есть и очень молодые, да, там, 14-16-летние есть люди, которые этим пытаются заниматься. Одновременно есть еще то поколение, которое начинало в 90-е годы. И многие из этих людей до сих пор продолжают активными быть на хакерской сцене.
А. СОЛОМИН: А вы не из хакеров сами вышли?
А. ГОСТЕВ: Ну, разумеется, я, как любой человек, который начинал работу с компьютерами в 90-е годы, да, наверное, все-таки могу отнести себя к хакерам. Я знаю, как работает компьютер, я знаю, как взламывать программы, я имею представление о том, как, не знаю, осуществляются атаки. С этой точки зрения, конечно, хакер. Но хакеры делятся все-таки на две категории, да? Это black hat и white hat, да? Black hat – это те хакеры, которые используют свои знания во вред, да? И white hat – это те, которые используют свои знания для, скажем так, для защиты, для улучшения мира.
А. НАРЫШКИН: У нас около минуты остается до конца эфира. Вот Сергей Алексеев из Томска спрашивает. Даже вот сначала утверждение, потом вопрос: «Хакеров привлекают для проверки систем информационной безопасности. А привлекают ли вас для тестирования вирусов, например, для спецслужб?» Ну, я думаю, тут вопрос как вас лично, так и Лабораторию Касперского.
А. ГОСТЕВ: Я могу сказать, что ни одна спецслужба мира никогда в жизни не обращалась к нам с информацией о том, что у них какие-то вирусы есть, да? Уж тем более, там, предлагать их тестировать, да? Информация о том… мы думаем, что они, конечно же, их создают, да? Но они их так тщательно скрывают, что даже если мы какой-то из этих вирусов обнаружим, задетектим и расскажем о нем в новостях, никто никогда не сознается, что это был именно их вирус.
А. НАРЫШКИН: Но с ФСБ-то все равно на каком-то уровне у вас сотрудничество есть.
А. ГОСТЕВ: Я думаю, на том же, на котором работают любые компании в области информационной безопасности, провайдеры и телекомы в России.
А. НАРЫШКИН: Главный итог нашей передачи, если я понял: на 100% мы от вирусов не защищены, и никогда такого не произойдет.
А. ГОСТЕВ: На 100% мы не защищены от утечек информации.
http://www.echo.msk