×
Александр Гостев, «Лаборатория Касперского»: защита критической инфраструктуры станет нашей главной головной болью на ближайшие 10 лет

JSON.TV публикует фрагмент интервью с Александром Гостевым, главным антивирусным экспертом «Лаборатории Касперского» 

 

Смотрите полную версию видеоинтервью в разделе ВИДЕО.

 

JSON.TV: Всех приветствую! Я Сергей Корзун и в гостях у нас сегодня главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. Здравствуйте, Александр!

 

Александр Гостев: Добрый день!

 

JSON.TV: Мы договаривались сегодня говорить собственно о вирусах. Но вы отметили, что скоро переезжаете в Сингапур, где «Лаборатория Касперского» открывает главный азиатский офис, поближе к центру инноваций Interpol. С ним вы уже давно плотно сотрудничаете. Вообще Азия для вас – это основной рынок расширения деятельности сегодня?

 

Александр Гостев: Для нас основным рынком, финансово, долгие годы является Европа. И я думаю, это останется еще на протяжении значительного периода времени. Понятно, что Азия – это большой растущий регион с гигантским населением. Даже, наверное, не то чтобы только Китай, в Китае конкуренция среди антивирусных компаний самая серьезная в мире. Существует очень большое количество местных, локальных продуктов, в том числе бесплатных. Тенденция к импортозамещению, что называется, существует и в Китае. Там импортным продуктам крайне тяжело получить какую-то приличную долю рынка. Но есть Индия, Индонезия, это очень крупные быстрорастущие экономики. Поэтому, конечно, на Азию мы возлагаем очень большие надежды.

 

JSON.TV: Если в 2-х словах: как устроен этот мир? Антивирусные компании свободно обмениваются информацией? Это условие того, чтобы человечество было защищено от этих угроз. Но при этом собственно жизнь компании, конкурентная борьба – они к чему могут привести и к чему приводят?

 

Александр Гостев:

 

Антивирусные компании – конкуренты. И конкурируем мы на уровне маркетинга, продаж, каналов, рекламы и так далее. Но что касается технических специалистов, тех людей, которые производят анализ вирусов, антивирусные компании, мне кажется, отличаются от очень многих коммерческих отраслей именно потому, что существует очень тесное сотрудничество.

 

Вообще, индустрия как таковая создалась в начале 1990-х годов, когда эксперты из разных компаний или независимые эксперты стали впервые собираться вместе, раз в год, на свою конференцию, называлась она Virus Bulletin. Она, кстати, существует до сих пор. Этот обмен информацией о новых угрозах, о том, какие вирусы появляются, как они работают, существовал тогда и существует поныне. Причем в значительных масштабах. Я могу сказать, что сейчас мы обмениваемся не только информацией, а самими пойманными телами вирусов, более чем с 20-ю антивирусными компаниями буквально в режиме реального времени. То есть несколько раз в день мы им отсылаем все, что мы поймали, они присылают нам то, что поймали они. И этот процесс идет непрерывно. С рядом компаний мы сотрудничаем еще на более глубоком уровне, мы проводим совместные исследования. Мы находим какую-то вредоносную программу, новую, уникальную, сложную, и обращаемся к коллегам из других компаний с вопросами, знают ли они и интересно ли им вместе с нами это посмотреть. И тогда начинаем совместное исследование. Когда они видят ситуацию с этим вирусом среди своих клиентов, мы видим ситуацию среди своих клиентов, они, допустим, имеют более лучшие связи и контакты, чем мы, в каких-то странах и могут, что называется, захватить сервер управления вредоносной программы. Где-то это можем сделать мы. И такие наши совместные исследования в последнее время у нас идут все чаще и чаще по самым сложным программам, таким как, например, Stuxnet, который был создан для вывода из строя иранской ядерной программы. В ходе его анализа мы и американский Symantec работали вместе, все публикации по этой теме у нас были синхронизированы, мы были полностью в курсе того, что знают они, они знали, что делаем мы.

 

С Symantec по таким вещам мы работаем чаще и больше, чем с кем бы то ни было. Наверное, это вызвано тем, что они все-таки лидер индустрии, у них самый большой глобальный охват, там с опытом высококлассные специалисты. У нас с ними, что называется, сложились отношения. Нам с ними удобно и комфортно работать. Надеюсь, и им с нами. Эти расследования происходят довольно часто.

 

Иногда антивирусные компании вместе с Microsoft проводят операции по выведению из строя гигантских ботнетов. Ботнет – это сеть из миллионов зараженных компьютеров, которые используются для рассылки спама, для организации атак и так далее. Обычно это делается так: Microsoft берет на себя техническую часть этой операции, коммуникации с правоохранительными органами – ФБР либо с какими-то местными полицейскими структурами. То есть антивирусные компании всю техническую информацию отдают в Microsoft, которыйее агрегирует и передает в полицию. Полиция выдает разрешение либо разрешение суда на проведение технических мероприятий. Мы совместно выводим из строя эти серверы. Либо физически где-то отключается рубильник, либо где-то приезжает полиция и изымает эти серверы прямо из дата-центов. Такие вещи происходят довольно регулярно. Сейчас, как я сказал, мы работаем очень тесно с Interpol, который сейчас тоже является большим, заметным игроком в плане борьбы с киберпреступностью именно при помощи антивирусных компаний.

 

JSON.TV: Что сейчас самая большая страшилка для вас? Какие-то новые типы вирусов или что?

 

Александр Гостев:

 

Если брать самые свежие, текущие события, наверное, самой горячей темой в индустрии сейчас является даже не вирусы как таковые, а открывшаяся возможность удаленного вмешательства в автомобильные системы.

 

Не так давно ряд американских экспертов провел публичную демонстрацию того, как злоумышленник, хакер может удаленно получить доступ к машине, едущей по шоссе, и удаленно изменять настройки в бортовом компьютере, вплоть до принудительного торможения такого автомобиля. Вызвало очень большой скандал.

 

JSON.TV: То есть реальная угроза.

 

Александр Гостев: Да. Компания Chrysler сейчас в спешке выпускает исправления этой проблемы для своих бортовых систем. Затронуты несколько миллионов автомобилей данной проблемой, но все понимают, что это – не единственный инцидент, и что подобные архитектурные проблемы касаются всех крупнейших автомобильных производителей.

 

JSON.TV: Может быть, не машине мозги передавать, а наоборот, у машины отнять, людям как-то вправлять мозги, которые управляют машиной? Либо прогресс нельзя остановить?

 

Александр Гостев:

 

Прогресс остановить нельзя, но вправлять мозги, действительно, нужно. Но не тем, кто управляет машиной, а тем, кто занимается разработкой подобных систем. Потому что, глядя на то, как это было реализовано, какие дыры в архитектуре были оставлены разработчиками этих автомобильных систем, понятно, что люди, проектируя, совсем не задумывались о безопасности.

 

Им было удобно сделать вот так, чтобы это было удобно простому водителю. Вот он захотел – поменял прошивку, захотел – приехал в сервис, ему эту прошивку очень быстро перепрошили. Но мысль о том, что кто-то извне может вмешаться в работу, удаленно перепрошить вам компьютер, видимо, просто не приходила в головы. И сейчас задача всех нас, я имею в виду индустрию компьютерной безопасности, донести до разработчиков всех критических систем, что, проектируя подобные вещи, информационную безопасность нужно ставить на 1-е место. Не удобство для пользователей, а именно безопасность.

 

Не будет безопасности – просто никто не купит. Предпочтут обычный автомобиль, у которого нет бортового компьютера, но который гарантированно не будет у вас отключаться посреди дороги по непонятным причинам, требовать перезагрузки. И это касается не только автомобилей.

 

JSON.TV: Да, сразу железные дороги, самолеты, а потом и атомные электростанции, военное производство и все что угодно.

 

Александр Гостев: Да. То, что в целом называется критической инфраструктурой. Именно это, я думаю, будет нашей главной головной болью на ближайшие 10 лет как минимум. Поскольку началось все в 2010-м году с атак на иранский завод по обогащению урана. Когда был создан вирус, который мог физически выводить из строя центрифуги, в которых происходит обогащение урана. Просто раскручивать их до такой скорости, на которой происходит их разрушение. Это был первый в тот момент случай, пример того, как некий виртуальный программный код может наносить разрушения в нашем реальном мире. То есть стал сравним с кинетическими атаками. Все равно что вы можете сбросить на завод бомбу, и он разрушится – вы можете отправить вирус, который тоже разрушит этот завод. По своим последствиям абсолютно идентично. Но природа атаки совершенно иная. И сейчас все понимают, что подобные атаки могут быть и на атомные электростанции, и на транспортные системы, и на банковские, биржевые сети, например, на энергетику, конечно же. Системы, которые сейчас там работают, были созданы 20 лет теми людьми, которые сейчас уже давным-давно ушли на пенсию. Их код, написанный 20 лет назад, во многих структурах, системах до сих пор продолжает работать. То есть никто не знает, как это переписать, как это изменить. Просто оно работает, и его никто не трогает. Это проблема, поскольку уязвимости там есть. Как я сказал, создавались без учета того, что могут появиться хакеры, вирусы. И это на самом деле пугает.

 

JSON.TV: То есть требуется некая глобальная перепрошивка, да? Пересмотр всех программ, которые были?

 

Александр Гостев: Требуется взять все, что есть, выкинуть и написать все новое, с нуля, именно с учетом современных реалий компьютерной безопасности. А как быстро это получится и получится ли – честно говоря, я не знаю. Но мы видим, что «благодаря» Stuxnet этот процесс, по крайней мере, начался. Поскольку мы беседуем с людьми, отвечающими за информационную безопасность в таких критических областях, и они говорят: «Спасибо Stuxnet, потому что теперь нам гораздо проще обосновать руководству необходимость выделения ресурсов, финансовых в первую очередь, на разработку защиты, на покупку средств защиты и так далее». То есть раньше вообще никто денег на защиту от подобных угроз в подобных системах не давал. Говорили: «Ну что вы, какие вирусы?».

 

JSON.TV: А есть хоть что-то святое? Как в банковском мире до сих пор условно святым остается золото, то есть вечная ценность. Валюта туда-сюда, золото, правда, тоже плавает. Но можно уйти в золото, например. А во что можно уйти? Или абсолютно все надо пересматривать? Во что можно верить? Кому верить-то? Может, какие операционные системы открытые или, наоборот, закрытые?

 

Александр Гостев: Во-первых, нужно понимать, что 100-процентной защиты не бывает. Это аксиома информационной безопасности. Все, кто работает в этой области, всегда исходят из этого постулата. Все, что можем сделать мы и пользователи средств защиты, это поднять эту планку максимально высоко к 100%. Может быть 99,99. 100% не будет никогда, но поднять максимально высоко ее можно. Что для этого нужно? Нужно четко понимать, что если вы, например, хотите защитить информацию, которая стоит 100 млн долларов, вы не можете защитить информацию, которая стоит 100 млн долларов, при помощи средств защиты, затрат на свою безопасность, которые стоят 1 млн долларов. Потому что всегда появится человек, который будет готов потратить 50 млн долларов, чтобы организовать атаку на вас и украсть информацию, которая стоит 100. Чисто экономическая причина.

 

JSON.TV: Да, 100-процентная прибыль, дельта получается, да.

 

Александр Гостев: Да, потратил 50 – заработал 100. А если вы надеетесь защититься от подобных атак, потратив миллион – это наивно. Нужно понимать, что чем ценнее у вас ресурсы, тем больше денег необходимо будет тратить на их защиту. Это первое. Второе, понятно, что все существующие операционные системы уязвимы. Они могут содержать уязвимости. Случайно ли там появившиеся, просто из-за того, что разработчики допустили ошибку в программировании, они могут содержать уязвимости, которые туда могли быть внедрены специально, по просьбе спецслужб. Такие примеры тоже бывают, Эдвард Сноуден нам не так давно все эти вещи наглядно продемонстрировал, что спецслужбы имеют свои лазейки во все популярные программные продукты, информационные сети. Поэтому спасение утопающих – дело рук самих утопающих. Необходимо как можно чаще менять те средства, которые вы используете. Не стоит быть заложником одной операционной системы. Если мы говорим о среднем, рядовом пользователе. Не стоит так уж постоянно и надолго зацикливаться на работе с Windows. Вы на самом деле без особых проблем можете себе поставить Linux, например, или пользоваться продукцией компании Apple и работать на их продуктах. Для них вирусов гораздо меньше, на несколько порядков. Если для Windows мы обнаруживаем каждый день… Я уже сейчас не помню, там счет идет на десятки тысяч новых угроз. То для компьютеров компании Apple, для Mac, вирусов обнаруживается, дай бог, если пара-тройка новых каждый день. С точки зрения вирусной защиты здесь ситуация не то что лучше, безопасность там не лучше, чем в Windows, просто хакерам не так интересна та платформа.

 

JSON.TV: Ваша версия тоже по этому поводу интересна, потому что вопрос часто возникает в разговоре с гостями: почему? Это та самая проблема 100 млн и 50-ти млн? Или нет? Просто невыгодно вскрывать? Либо закрытая? AppleStore – понятно, что там ничего не занесешь в компьютер.

 

Александр Гостев: Число пользователей просто несопоставимо. Если мы возьмем Mac, iPhone мы брать не будем, это абсолютно отдельная история, говорим об обычных компьютерах, сейчас пользователей Mac в мире около 100 млн человек, а пользователей Windows – несколько миллиардов. Понятно, что любому киберпреступнику гораздо проще, во-первых, с технической точки зрения, поскольку опыт существует гигантский, проще сделать вирус для Windows и заразить 1 млн пользователей и заработать на этом пару миллионов долларов, чем пытаться создать вирус и атаковать пользователей Mac, которых гораздо меньше. Просто охват сам по себе будет меньше, соответственно, доходы будут меньше у киберпреступников. За всю историю у нас была всего одна действительно крупная эпидемия вирусов для Apple, это был… Я сейчас даже не помню… 2012-й, по-моему, год. Вирус назывался Flashfake, он заразил порядка 1 млн пользователей Мас по всему миру.

 

JSON.TV: То есть около 1%, да?

 

Александр Гостев: В тот момент их было чуть более 50-ти млн, то есть почти 2% всех Мас-пользователей были заражены. На самом деле, это гигантский показатель, поскольку для Windows ничего подобного… 2% пользователей Windows никогда в жизни одновременно ни одним вирусом не заражались, не было такого в истории. А для Мас это уже произошло.

 

Это показатель того, что с точки зрения безопасности они все-таки уязвимы. И приучить пользователей Мас к тому, что нужно пользоваться антивирусом, крайне сложно. Они продолжают верить, что вирусов для Мас не бывает. Эта легенда какое-то время даже поддерживалась самой компанией Apple, когда они официально заявляли, что вирусов не существует.

 

Хотя на тот момент они уже существовали. Вероятность того, что вы столкнетесь с вирусами, на Мас все-таки гораздо меньше. Она есть, но она меньше, чем если вы работаете на Windows, это нужно понимать. Но сейчас есть другая проблема, связанная именно с тем, что смартфоны становятся основным устройством для пользователя. Не ноутбук, не настольный компьютер, а именно телефон. Здесь мы видим войну на рынке между Android и iPhone, и в этой ситуации с точки зрения безопасности, на самом деле, iPhone выигрывает. Поскольку за всю историю iPhone был обнаружен всего 1 вредоносный код для этих устройств. Для Android каждый день мы находим несколько тысяч новых троянских программ. В том числе размещенных прямо на официальном магазине-приложении в Google Play, в святая святых, что называется, всей инфраструктуры экосистемы Android появляются вредоносные программы, которые пользователи себе загружают и на этом финансовые потери прямые. С iPhone ситуация другая.

 

JSON.TV: Ситуация зеркальная, так же, как Microsoft и iOS?

 

Александр Гостев: Здесь ситуация не из-за популярности, здесь как раз ситуация напрямую связана со средствами защиты. Для того чтобы приложение попало в официальный магазин приложений Apple, нужно очень сильно потрудиться. Вы не можете просто взять программу, послать ее в Apple, и Apple ее опубликует. Так не бывает. Вы ее туда посылаете, они, во-первых, анализируют ее код, проверяют весь ее функционал, и длится это очень долго, несколько месяцев проходит, прежде чем ваше приложение одобрят. Там очень строгие ограничения. Приложение не имеет права делать это, делать то, не имеет права коммуницировать ни с какими сторонними серверами и так далее. Пробиться в магазин приложений Apple для вируса, для вирусописателя практически невозможно. Для Android – ты платишь 25 долларов, отправляешь приложение, и оно практически автоматически в режиме реального времени появляется в этом магазине. И компания Google его потом постфактум только оттуда удаляет, когда уже 10-ки тысяч людей по всему миру его себе загрузили и заразились. Плюс опять же проблема уязвимости. Android – это открытая операционная система, основной исходный код все-таки доступен. Можно посмотреть, как там все работает, поискать слабые места. iPhone – система закрытая. Apple никому не дает исходников своей системы, и искать там уязвимости практически невозможно. Существует такой черный рынок уязвимостей, на который приходят как хакеры, которые желают купить уязвимость для проведения атаки, так в том числе и спецслужбы приходят на этот рынок и покупают эти уязвимости для проведения собственных атак. Там есть вполне определенные ценники, сколько стоит каждая уязвимость.

 

Уязвимости для Android стоят сейчас порядка 20-ти тыс. долларов за штуку. Уязвимости для iPhone стоят 200 тыс. долларов. И это минимальная планка. Уязвимости для операционной системы Windows, например, редко когда превышают 100 тыс. долларов. Простой финансовый показатель. Уязвимости для iPhone стоят дороже всего, потому что их практически нет. Они крайне редки. Но есть люди, которые готовы платить за эти уязвимости очень большие деньги, это тоже нужно понимать.

 

JSON.TV: На бытовом уровне дайте совет, что делать с компьютером? Появились там, угрозы отражаются, компьютер стал хуже работать, подвисает. Какой обычно алгоритм? Или прошел каким-то антивирусом вторым еще или третьим, если нет первого? Либо вызвал мастера, который пришел, сказал: «О, у вас совсем беда, я вам сейчас за 10 тыс. рублей установлю все, и будет работать замечательно»? Компьютер лучше лечить или сносить все и переустанавливать ОС, форматировать?

 

Александр Гостев: Зависит от того, с каким вирусом вы столкнулись. В большинстве случаев пользователю достаточно просто поддерживать некий уровень профилактики того, что он делает. Понятно, что это не только антивирус и регулярное его обновление. Нужно также регулярно и постоянно обновлять саму операционную систему. Если это Windows, то каждый месяц компания Microsoft выпускает обновления, которые закрывают те самые уязвимости, которых я говорил раньше, за которые платят сотни тысяч, десятки тысяч долларов и именно через них проникают на ваш компьютер. Каждый месяц выходят эти обновления, которые надо ставить, чтобы ваш компьютер не был атакован при помощи уязвимости. Потому что если будет уязвимость, антивирус вас не спасет в большинстве случаев. От этого нет, по большому счету, защиты. Поэтому патчи надо ставить каждый месяц. У нас многие этого не делают. Просто плюют на это дело. Есть компьютеры, которые работают годами без обновлений, и понятно, что там антивирус стоит, он пропускает все, потому что вирус проникает в само ядро системы, тут уже ничего не поделаешь. Нужно ставить обновления. Это один из самых главных факторов. Нужно довольно регулярно менять свои пароли от социальных сетей, от почтовых аккаунтов. Я лично меняю каждые 3 месяца. Обычному пользователю, я думаю, достаточно будет это делать хотя бы раз в полгода, но делать это нужно. Потому что, как показывает практика, люди в массе своей используют один и тот же пароль от всех сервисов сети. У них один и тот же пароль для почты, для Facebook или «ВКонтакте», этот же пароль они могут использовать непосредственно для своего компьютера на работе, для доступа в онлайн-банкинг и так далее. Отучить людей использовать один пароль практически невозможно. Поэтому если используете один, хотя бы меняйте его постоянно. Очень актуальная в последнее время для российских пользователей проблема – вирусы, которые занимаются блокировкой компьютера либо шифрованием файлов, и потом требуют выкуп за расшифровку файлов либо за восстановление работоспособности. Это действительно большая проблема. Происходит это потому что пользователю по электронной почте приходит письмо, как правило, якобы от какого-то государственного органа. Либо выдается за судебное постановление, либо письмо из налоговой. Очень много атак на организации под видом писем от арбитражного суда либо писем от Центробанка идет. В этих письмах содержится вредоносная программа, которая попадает в ваш компьютер и либо блокирует его, либо шифрует все файлы.

 

Они пытаются понять, насколько платежеспособен человек, и если у вас от подобного вируса пострадала ваша организация, ни в коем случае не стоит писать этим злоумышленникам с почтового адреса вашей организации, поскольку они могут понять, что с вас можно попросить много денег. Лучше пишите с какого-нибудь анонимного адреса на бесплатном почтовом сервере и выдавайте себя за студента, у которого денег нет, дешевле обойдется. Если такое происходит, либо вы платите, либо вам действительно остается только переустановить систему, если вы не делали резервную копию.

 

Во всех других случаях с вирусными инцидентами на вашем компьютере переустанавливать систему не надо. Антивирус так или иначе вам все вылечит, почистит. И опять же, не забывайте, если вы переустанавливаете систему, необходимо установить те самые обновления, патчи.

 

JSON.TV: Спасибо огромное! Напомню, что в гостях в студии JSON.TV был главный антивирусный специалист компании «Лаборатория Касперского» Александр Гостев. Счастливо всем!