×

25 Августа 2015 18:31
2747
0

Cлушайте подкаст программы:

 

«С тех пор как в 2010 году был атакован иранский завод, где вирус Stuxnet вывел из строя центрифуги, в которых происходило обогащение урана, все понимают, что подобным атакам могут подвергнуться атомные электростанции, транспортные и банковские системы, биржевые сети — словом, критическая инфраструктура. Она-то и станет нашей главной головной болью на ближайшие 10 лет».

 

«Перепрошивкой здесь не обойтись — нужно с нуля написать новые коды, ориентированные на современные реалии. Как быстро это сделают, не знаю. Но появление Stuxnet запустило процесс».

 

«Сегодня самая горячая тема — не вирусы, а открывшаяся возможность удалённого вмешательства в автомобильные системы. Недавно американские эксперты публично продемонстрировали, как злоумышленник-хакер может получить удалённый доступ к едущей машине и изменить настройки бортового компьютера вплоть до принудительного торможения. Наша задача — донести до разработчиков мысль о том, что, проектируя архитектуру системы, на первое место нужно ставить безопасность, а не удобства пользователя».

 

«С более чем двадцатью компаниями в режиме реального времени мы обмениваемся телами отловленных вирусов. С рядом компаний проводим совместные исследования сложных программ. Чаще, чем с кем бы то ни было, — с Symantec. С ними мы работали и над анализом Stuxnet. Участвуем в операциях по выведению из строя гигантских ботнетов. Техническую часть таких операций и коммуникацию с правоохранительными органами берёт на себя Microsoft».

 

«Японцы, шведы и норвежцы ведут себя в сети прилично: посещают одни и те же новостные сайты, одну социальную сеть, не качают с торрентов пиратский софт, не ходят по порносайтам, а если и ходят, то по проверенным, платным. Поэтому ежемесячным атакам подвергаются всего 9–10% их компьютеров. А наши люди шарятся по сети: кликают все всплывающие окна, ссылки, баннеры и запускают всё, что им прислали по электронной почте. В итоге каждый второй доверчивый россиянин бывает атакован не реже раза в месяц».

 

«На чёрный рынок уязвимостей приходят желающие провести атаки — хакеры и спецслужбы. На каждой уязвимости ценник. Уязвимости для Android-а по 20 тысяч долларов за штуку, для Windows — по сто тысяч, а для iPhone — по двести, потому что их почти нет, зато есть люди, желающие купить их за большие деньги».

 

«Вирусы — что-то вроде крокодилов в канализации Нью-Йорка», «когда блокируют компьютер или шифруют файлы, а потом требуют выкуп за восстановление работоспособности, выдавайте себя за студента — дешевле обойдётся», «пробиться в магазин приложений Apple для вирусописателя практически невозможно»  — об этом в полной версии эксклюзивного видеоинтервью Александра Гостева для JSON.TV.

 

Ведущий — Сергей Корзун

 

Справка JSON.TV

Персональный профайл

 

Гостев Александр Александрович.

Родился 13 октября 1976 года в Днепропетровске.

В 2006 году окончил экономический факультет Московского университета потребительской кооперации.

В 1996 году основал Антивирусный центр Республики Коми.

В 1998 году — координатор проекта «WildList Россия», направленного на сбор и анализ информации о вирусных эпидемиях в стране.

С 2002 года по настоящее время работает в «Лаборатории Касперского» в качестве антивирусного аналитика.

В 2004–2006 годах — антивирусный эксперт отдела антивирусных исследований; руководитель группы анализа мобильных систем.

В 2008 году основал и возглавил Глобальный центр исследований и анализа угроз. С 2010 года — главный антивирусный эксперт компании «Лаборатория Касперского».


Полная расшифровка видеоинтервью: 

 

JSON.TV: Всех приветствую! Я Сергей Корзун. Это JSON.TV. В гостях у нас сегодня главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. Здравствуйте, Александр!

 

Александр Гостев: Добрый день!

 

JSON.TV: Тяжелая у Вас работа, ловить разные вирусы. Как давно начали этим заниматься?

 

Александр Гостев: Без малого почти 20 лет исполнится. Где-то в 1995-м, 1996-м году первый раз встретил компьютерный вирус. Для меня это было открытием. Я до этого знал, читал в журналах, что существуют вирусы, но это было где-то далеко, в США. Я их воспринимал как городские легенды, вроде каких-то крокодилов в канализации Нью-Йорка. Но в один прекрасный день я обнаружил вирус на своем собственном компьютере, это стало отправной точкой.

 

JSON.TV: Что это был за вирус, помните? В колбочке храните дома, наверное?

 

Александр Гостев: Сейчас хранить уже не надо, у нас в компании существует гигантская вирусная коллекция, где все эти экземплярчики, миллионы, препарированы, разложены. Вирус, конечно же, помню. Назывался он Natas (Satan, если задом наперед прочитать). Был довольно безобидный, по нынешним временам, конечно же. Тогда он занимался заражением файлов, просто заражал все исполняемые файлы в компьютере, и таким образом распространялся. Ничего не уничтожал, ничего не удалял, но работу компьютера, конечно, замедлял значительно.

 

JSON.TV: Наши ребята делали его или нет? Считается, что главные вирусники здесь, как и антивирусники.

 

Александр Гостев: Тогда, это середина 1990-х годов, лидерство в создании вирусов держали 2 региона мира: это была Болгария, как ни удивительно, и Западная Европа. Этот конкретный вирус был, как считается, создан то ли бельгийцем, то ли голландцем.

 

JSON.TV: Вы еще тогда профессионально не занимались, насколько я понимаю, антивирусной работой. Что Вы тогда сделали с вирусом? Чем закончилась история?

 

Александр Гостев: Вирус я отловил, спасибо антивирусу, который случайно оказался на одной из дискеток. Удивился, потому что нашел, и пошел проверять все другие мои подопечные компьютеры на том месте работы, где находился в тот момент. Взял дискетку с антивирусом и пошел по цехам механического завода в городе Сыктывкаре с ревизией, говоря: «Ребята! Я нашел вирус, наверное, у вас тоже есть». И наловил еще 9 других вирусов. И понял, что вирусы – это не мифы, не легенды, это реальность, они тут живут. И мне стало интересно, что же это такое, как их создают, как они распространяются. Постепенно это переросло в такое хобби. Я стал проверять компьютеры знакомых, друзей, договаривался с системными администраторами в других организациях, устраивал у них некие проверки. Тоже открывал для них удивительный факт, что, оказывается, у них в системах живут вирусы. И так постепенно, на протяжении нескольких лет, лечил вирусы и иногда находил новые вирусы, те, которые в тот момент никакими антивирусами еще не обнаруживались. Было понятно, что файл заражен, но антивирус его не видит. Такие вирусы я собирал и отправлял по электронной почте в 2 адреса: Евгению Касперскому, тогда это еще назывался «Антивирус AVP», и Игорю Данилову, который делал антивирус DoctorWeb, 2-й российский антивирусный продукт. Вот им одновременно я это все и отправлял, для того чтобы они эти вирусы добавили в антивирусные базы своих продуктов. В процессе отправки свежепойманных экземпляров начинался какой-то контакт, обмен мнениями. Касперский, причем, отвечал всегда, на каждое письмо. Благодарил, рассказывал более детально о том, что этот вирус делает. А с Игорем Даниловым было сложнее. Он иногда отвечал, иногда нет. Потом, спустя какое-то время, я перестал отправлять вирусы в DoctorWeb, стал работать исключительно с Касперским. Так на протяжении лет 5-ти велась вся эта работа. Году, наверное, в 1998-м сотрудник «Лаборатории Касперского» обратился ко мне с предложением создать проект, назвали мы его Wild List Russia. Это такой электронный каталог информации обо всех вирусах, которые были обнаружены на территории России. Такие же проекты в тот момент велись в странах Западной Европы местными антивирусными компаниями, в США, в Азии и так далее. Эта информация о вирусах, которые гуляют по России, входила потом в общеглобальный каталог, и специалисты могли видеть, знать о том, где, в каких регионах мира какие вирусы сейчас существуют. Поскольку технологий не было, Интернет-то еще практически не развился, вирусы распространяли на дискетках, не так, как сейчас: мы нажимаем кнопку у себя в системе и сразу видим ситуацию в режиме реального времени в любой точке мира. Можем посмотреть, какие есть вирусы прямо сейчас, допустим, в Ватикане или в Венесуэле.

 

JSON.TV: В «Пентагоне».

 

Александр Гостев: Например, в США, в Арлингтоне. Какие вирусные эпидемии случились на территории конкретного американского города. Сейчас это можно сделать просто в течение нескольких секунд. Раньше такого не было, приходилось эту информацию собирать, что называется, из первых рук. Мы создали этот проект, я был его координатором, то есть мне уже стали сообщать об инцидентах на территории России, я их агрегировал и отправлял в некую единую базу. Потом так пошло, что существовало сообщество этих людей, доморощенных специалистов, в разных регионах России, которые так же, как я, у себя на местах занимались вирусными проблемами. С течением времени часть из них потихоньку стали оказываться в Москве, работать непосредственно на «Лабораторию Касперского». Касперский приглашал их к себе на работу, поскольку специалистов по этому профилю нигде не учили, и сейчас до сих пор не учат. Приходилось искать, что называется, «в полях».

 

JSON.TV: Также и Вы, таким же образом, оказались…

 

Александр Гостев: Да. В 2002-м году пришел мой срок, один из моих знакомых, на тот момент уже работавший в компании, уходил из компании по семейным причинам, ему нужно было вернуться на Украину. И он предложил себе на замену меня. Руководитель вирусной лаборатории написал мне письмо: «Александр, не хотите ли на нас поработать?». Я подумал и решил: почему бы и нет? Приехал в Москву, мы встретились, побеседовали небольшим коллективом из 6-ти человек тех людей, которые в тот момент в компании анализировали вирусы. Их было всего шестеро, включая Касперского. Побеседовали, сказали: «Хорошо, иди, мы тебе сегодня вечером перезвоним и сообщим наше решение». Часов в 10 вечера мне перезвонили и сказали: «Александр, Вы нам подходите. Через 2 недели сможете выйти на работу?». Я сказал: «Конечно же, да».

 

JSON.TV: То есть такая русская мечта, мечта сисадмина реализовалась?

 

Александр Гостев: Да. Вернулся в Сыктывкар, где я тогда жил, уволился, собрался, приехал в Москву, и с декабря 2002-го года, уже почти 13 лет, работаю в «Лаборатории Касперского».

 

JSON.TV: Еще 2 слова о Вашей истории: родились Вы в Днепропетровске?

 

Александр Гостев: Да.

 

JSON.TV: Это было в 1976-м году. Когда празднуете свой день рождения, в какой день?

 

Александр Гостев: 13-го октября.

 

JSON.TV: А учились? Это уже было после приезда в Москву, насколько я понимаю, на экономическом факультете Московского университета потребительской кооперации?

 

Александр Гостев: Это было одновременно. Я поступил, еще учась в Сыктывкаре. Перебравшись в Москву, уже здесь завершал обучение.

 

JSON.TV: То есть Днепропетровск, Сыктывкар – дорога неблизкая. Жизнь мотала? Семейные обстоятельства?

 

Александр Гостев: Семейные, конечно же, да. Родственники переезжали туда, сюда. Поэтому для меня смена местожительства не является чем-то радикальным. Например, в течение ближайших месяца-двух я, видимо, опять перееду, на этот раз уже в Сингапур, где «Лаборатория Касперского» сейчас открывает свой главный азиатский офис. Одновременно там же сейчас открыл центр инноваций Interpol, с которым мы плотно, давно и тесно сотрудничаем. И сейчас там уже работает один из наших сотрудников, называется «прикомандированный сотрудник», в Interpol. Я сейчас тоже туда перебазируюсь и буду работать в более тесном контакте именно с Interpol.

 

JSON.TV: Мы договаривались сегодня говорить собственно о вирусах. Но тогда 2 слова, раз Сингапур упомянули: это сейчас основной рынок расширения деятельности компании Касперского?

 

Александр Гостев: Для нас основным рынком финансово долгие годы является Европа. Я думаю, это останется еще на протяжении какого-то значительного периода времени. Конечно, понятно, что Азия – это большой растущий регион с гигантским населением. Даже, наверное, не то что Китай, в Китае конкуренция среди антивирусных компаний самая серьезная в мире. Существует очень большое количество местных, локальных продуктов, в том числе бесплатных. Тенденция к импортозамещению, что называется, существует и в Китае. Там импортным продуктам крайне тяжело получить какую-то приличную долю рынка. Но есть Индия, Индонезия, это очень крупные быстрорастущие экономики. Конечно, на Азию мы возлагаем очень большие надежды.

 

JSON.TV: Напомню, что в гостях у нас сегодня главный антивирусный эксперт компании «Лаборатория Касперского» Александр Гостев. Давайте тогда собственно о программах, но сначала еще об одном скандале, он разразился недавно. Насколько я понимаю, это не первая итерация скандала. Двое бывших сотрудников «Лаборатории Касперского», не называя своих имен, в интервью компании Reuters сообщили, что «Лаборатория Касперского» обманывала потребителей, в частности, поставляла неправильные сведения о вирусах. Как прокомментируете эту информацию, во-первых?

 

Александр Гостев: Если мы говорим о том, что писал Reuters, там было не совсем об обмане потребителей, там речь шла о том, что, якобы, мы поставляли другим антивирусным компаниям неправильную информацию, которая заставляла их… Как это сформулировать…

 

JSON.TV: Правильные программы принимать за вирусы?

 

Александр Гостев: За вредоносные программы, да. На самом деле, судя по тому, что мы видим и знаем изнутри, произошло некое, с нашей точки зрения, непонимание реальной ситуации со стороны тех самых неназываемых анонимных сотрудников. Дело в том, что в 2010-м году мы совместно с рядом европейских журналов, в том числе Computer Bild, проводили специальную серию тестов, показывая существующую на тот момент проблему в антивирусной индустрии кражи детектов. О чем идет речь? Одна из антивирусных компаний, например, мы, находит новый вирус, добавляет в свои базы и, как это существует, по обмену антивирусными коллекциями отдает эту информацию другим компаниям. Ряд таких антивирусных компаний, я бы не хотел их называть, история уже давняя, больше 5-ти лет прошло, ряд этих компаний, вместо того чтобы заниматься собственным анализом этого вируса, просто делали специальные программы-роботы, которые автоматически все файлы, получаемые от нас и от других уважаемых компаний, без всякого анализа, просто автоматически, добавляли на них детектирование. То есть просто сделали роботов, которые воровали чужой детект. То есть ручной труд исчезал полностью. Стоит добавить какой-то вирус в наши базы, как через 5 минут его начинает детектировать какой-то антивирус, который этот вирус вообще в глаза не видел. Это было действительно проблемой. Мы провели этот эксперимент публично, где мы как раз показывали, как это происходит. Вышел ряд публикаций об этой проблеме, она обсуждалась в антивирусной индустрии. После этого, спустя года 2, в 2012-м году начало происходить странное: кто-то действительно стал подкидывать антивирусным компаниям такие файлы, которые не являлись вредоносными, но заставляли их бездумно добавлять их детектирование в свои базы. Ради этого специально в 2013   -м году было созвано закрытое совещание крупнейших антивирусных компаний с участием нас, Microsoft, Symantec, McAfee, Trend Micro и так далее, поскольку с этой проблемой столкнулись все. И мы в том числе. У нас тоже были в тот момент ложные срабатывания на продукты компании Mail.Ru, у нас были срабатывания на популярный китайский софт, на китайский аналог ICQ и их китайский браузер. Все антивирусные компании столкнулись с атаками на себя. И мы пытались совместно понять, кто стоит за этими атаками и как с этим бороться. Как с этим бороться – мы придумали. Все компании доработали механизмы обнаружения детектирования и угроз. Кто за этим стоял – так в тот момент выяснить и не удалось. Как мне кажется, эта история, которую рассказал Reuters, это микс этих 2-х реальных событий: наш эксперимент 2010-го года с демонстрацией того, как воруют реальные, настоящие детекты, и информация об этой неизвестной атаки, от которой пострадали, действительно, все.

 

JSON.TV: Вы сказали, на тот момент не удалось определить источник этой угрозы. Сейчас уже вы знаете?

 

Александр Гостев: Примерно тогда же, в конце 2013-го года, эти атаки прекратились, поскольку они перестали быть успешными. Все антивирусные компании отреагировали, и атакующий прекратил свою деятельность. Какие-то попытки найти, кто за этим стоял, так и остались безуспешны. Потом это и забыли. И вот Reuters напомнил эту историю. Действительно, все очень сильно удивились. Мы видели реакцию со стороны наших коллег из Symantec, из Microsoft. Все сказали: «Да, действительно, в 2013-м году были такие атаки, мы исследование проводили, но «Касперский» никогда не был в числе подозреваемых». И для нас это заявление – такой же сюрприз, как для всех остальных.

 

JSON.TV: Если в 2-х словах: как устроен этот мир? Вы свободно обмениваетесь информацией, да? Это условие того, чтобы человечество было защищено от этих угроз. Но при этом собственно жизнь компании, конкурентная борьба – они к чему могут привести и к чему приводят?

 

Александр Гостев: Антивирусные компании – конкуренты. И конкурируем мы на уровне маркетинга, продаж, каналов, рекламы и так далее. Но что касается технических специалистов, тех людей, которые производят анализ вирусов, антивирусные компании, мне кажется, отличаются от очень многих коммерческих отраслей именно потому, что существует очень тесное сотрудничество. Вообще, индустрия как таковая создалась в начале 1990-х годов, когда эксперты из разных компаний или независимые эксперты стали впервые собираться вместе, раз в год, на свою конференцию, называлась она Virus Bulletin. Она, кстати, существует до сих пор. Этот обмен информацией о новых угрозах, о том, какие вирусы появляются, как они работают, существовал тогда и существует поныне. Причем в значительных масштабах. Я могу сказать, что сейчас мы обмениваемся не только информацией, а самими пойманными телами вирусов, более чем с 20-ю антивирусными компаниями буквально в режиме реального времени. То есть несколько раз в день мы им отсылаем все, что мы поймали, они присылают нам то, что поймали они. И этот процесс идет непрерывно. С рядом компаний мы сотрудничаем еще на более глубоком уровне, мы проводим совместные исследования. Мы находим какую-то вредоносную программу, новую, уникальную, сложную, и обращаемся к коллегам из других компаний с вопросами, знают ли они и интересно ли им вместе с нами это посмотреть. И тогда начинаем совместное исследование. Когда они видят ситуацию с этим вирусом среди своих клиентов, мы видим ситуацию среди своих клиентов, они, допустим, имеют более лучшие связи и контакты, чем мы, в каких-то странах и могут, что называется, захватить сервер управления вредоносной программы. Где-то это можем сделать мы. И такие наши совместные исследования в последнее время у нас идут все чаще и чаще по самым сложным программам, таким как, например, Stuxnet, который был создан для вывода из строя иранской ядерной программы. В ходе его анализа мы и американский Symantec работали вместе, все публикации по этой теме у нас были синхронизированы, мы были полностью в курсе того, что знают они, они знали, что делаем мы. С Symantec по таким вещам мы работаем чаще и больше, чем с кем бы то ни было. Наверное, это вызвано тем, что они все-таки лидер индустрии, у них самый большой глобальный охват, там с опытом высококлассные специалисты. У нас с ними, что называется, сложились отношения. Нам с ними удобно и комфортно работать. Надеюсь, и им с нами. Эти расследования происходят довольно часто. Иногда антивирусные компании вместе с Microsoft проводят операции по выведению из строя гигантских ботнетов. Ботнет – это сеть из миллионов зараженных компьютеров, которые используются для рассылки спама, для организации атак и так далее. Обычно это делается так: Microsoft берет на себя техническую часть этой операции, коммуникации с правоохранительными органами – ФБР либо с какими-то местными полицейскими структурами. То есть антивирусные компании всю техническую информацию отдают в Microsoft, Microsoft ее агрегирует и передает в полицию. Полиция выдает разрешение либо разрешение суда на проведение технических мероприятий. Мы совместно выводим из строя эти серверы. Либо физически где-то отключается рубильник, либо где-то приезжает полиция и изымает эти серверы прямо из дата-центов. Такие вещи происходят довольно регулярно. Сейчас, как я сказал, мы работаем очень тесно с Interpol, Interpol сейчас тоже является большим, заметным игроком в плане борьбы с киберпреступностью именно при помощи антивирусных компаний.

 

JSON.TV: Что сейчас самая большая страшилка для вас? Какие-то новые типы вирусов или что?

 

Александр Гостев: Если брать самые свежие, текущие события, наверное, самой горячей темой в индустрии сейчас является даже не вирусы как таковые, а открывшаяся возможность удаленного вмешательства в автомобильные системы. Не так давно ряд американских экспертов провел публичную демонстрацию того, как злоумышленник, хакер может удаленно получить доступ к машине, едущей по шоссе, и удаленно изменять настройки в бортовом компьютере, вплоть до принудительного торможения такого автомобиля. Вызвало очень большой скандал.

 

JSON.TV: То есть реальная угроза.

 

Александр Гостев: Да. Компания Chryslerсейчас в спешке выпускает исправления этой проблемы для своих бортовых систем. Затронуты несколько миллионов автомобилей данной проблемой, но все понимают, что это – не единственный инцидент, и что подобные архитектурные проблемы касаются всех крупнейших автомобильных производителей.

 

JSON.TV: Может быть, не машине мозги передавать, а наоборот, у машины отнять, людям как-то вправлять мозги, которые управляют машиной? Либо прогресс нельзя остановить?

 

Александр Гостев: Прогресс остановить нельзя, но вправлять мозги, действительно, нужно. Но не тем, кто управляет машиной, а тем, кто занимается разработкой подобных систем. Потому что глядя на то, как это было реализовано, какие дыры в архитектуре были оставлены разработчиками этих автомобильных систем, понятно, что люди, проектируя, совсем не задумывались о безопасности. Им было удобно сделать вот так, чтобы это было удобно простому водителю. Вот он захотел – поменял прошивку, захотел – приехал в сервис, ему эту прошивку очень быстро перепрошили. Но мысль о том, что кто-то извне может вмешаться в работу, удаленно перепрошить вам компьютер, видимо, просто не приходила в головы. И сейчас задача всех нас, я имею в виду индустрию компьютерной безопасности, донести до разработчиков всех критических систем, что, проектируя подобные вещи, информационную безопасность нужно ставить на 1-е место. Не удобство для пользователей, а именно безопасность. Не будет безопасности – просто никто не купить. Предпочтут обычный автомобиль, у которого нет бортового компьютера, но который гарантированно не будет у вас отключаться посреди дороги по непонятным причинам, требовать перезагрузки. И это касается не только автомобилей.

 

JSON.TV: Да, сразу железные дороги, самолеты, а потом и атомные электростанции, военное производство и все что угодно.

 

Александр Гостев: Да. То, что в целом называется критической инфраструктурой. Именно это, я думаю, будет нашей главной головной болью на ближайшие 10 лет как минимум. Поскольку началось все в 2010-м году с атак на иранский завод по обогащению урана. Когда был создан вирус, который мог физически выводить из строя центрифуги, в которых происходит обогащение урана. Просто раскручивать их до такой скорости, на которой происходит их разрушение. Это был первый в тот момент случай, пример того, как некий виртуальный программный код может наносить разрушения в нашем реальном мире. То есть стал сравним с кинетическими атаками. Все равно что вы можете сбросить на завод бомбу, и он разрушится – вы можете отправить вирус, который тоже разрушит этот завод. По своим последствиям абсолютно идентично. Но природа атаки совершенно иная. И сейчас все понимают, что подобные атаки могут быть и на атомные электростанции, и на транспортные системы, и на банковские, биржевые сети, например, на энергетику, конечно же. Системы, которые сейчас там работают, были созданы 20 лет теми людьми, которые сейчас уже давным-давно ушли на пенсию. Их код, написанный 20 лет назад, во многих структурах, системах до сих пор продолжает работать. То есть никто не знает, как это переписать, как это изменить. Просто оно работает, и его никто не трогает. Это проблема, поскольку уязвимости там есть. Как я сказал, создавались без учета того, что могут появиться хакеры, вирусы. И это на самом деле пугает.

 

JSON.TV: То есть требуется некая глобальная перепрошивка, да? Пересмотр всех программ, которые были?

 

Александр Гостев: Требуется взять все, что есть, выкинуть и написать все новое, с нуля, именно с учетом современных реалий компьютерной безопасности. А как быстро это получится и получится ли – честно говоря, я не знаю. Но мы видим, что «благодаря» Stuxnet этот процесс, по крайней мере, начался. Поскольку мы беседуем с людьми, отвечающими за информационную безопасность в таких критических областях, и они говорят: «Спасибо Stuxnet, потому что теперь нам гораздо проще обосновать руководству необходимость выделения ресурсов, финансовых в первую очередь, на разработку защиты, на покупку средств защиты и так далее». То есть раньше вообще никто денег на защиту от подобных угроз в подобных системах не давал. Говорили: «Ну что вы, какие вирусы?».

 

JSON.TV: А есть хоть что-то святое? Как в банковском мире до сих пор условно святым остается золото, то есть вечная ценность. Валюта туда-сюда, золото, правда, тоже плавает. Но можно уйти в золото, например. А во что можно уйти? Или абсолютно все надо пересматривать? Во что можно верить? Кому верить-то? Может, какие операционные системы открытые или, наоборот, закрытые?

 

Александр Гостев: Во-первых, нужно понимать, что 100-процентной защиты не бывает. Это аксиома информационной безопасности. Все, кто работает в этой области, всегда исходят из этого постулата. Все, что можем сделать мы и пользователи средств защиты, это поднять эту планку максимально высоко к 100%. Может быть 99,99. 100% не будет никогда, но поднять максимально высоко ее можно. Что для этого нужно? Нужно четко понимать, что если вы, например, хотите защитить информацию, которая стоит 100 млн долларов, вы не можете защитить информацию, которая стоит 100 млн долларов, при помощи средств защиты, затрат на свою безопасность, которые стоят 1 млн долларов. Потому что всегда появится человек, который будет готов потратить 50 млн долларов, чтобы организовать атаку на вас и украсть информацию, которая стоит 100. Чисто экономическая причина.

 

JSON.TV: Да, 100-процентная прибыль, дельта получается, да.

 

Александр Гостев: Да, потратил 50 – заработал 100. А если вы надеетесь защититься от подобных атак, потратив миллион – это наивно. Нужно понимать, что чем ценнее у вас ресурсы, тем больше денег необходимо будет тратить на их защиту. Это первое. Второе, понятно, что все существующие операционные системы уязвимы. Они могут содержать уязвимости. Случайно ли там появившиеся, просто из-за того, что разработчики допустили ошибку в программировании, они могут содержать уязвимости, которые туда могли быть внедрены специально, по просьбе спецслужб. Такие примеры тоже бывают, Эдвард Сноуден нам не так давно все эти вещи наглядно продемонстрировал, что спецслужбы имеют свои лазейки во все популярные программные продукты, информационные сети. Поэтому спасение утопающих – дело рук самих утопающих. Необходимо как можно чаще менять те средства, которые вы используете. Не стоит быть заложником одной операционной системы. Если мы говорим о среднем, рядовом пользователе. Не стоит так уж постоянно и надолго зацикливаться на работе с Windows. Вы на самом деле без особых проблем можете себе поставить Linux, например, или пользоваться продукцией компании Apple и работать на их продуктах. Для них вирусов гораздо меньше, на несколько порядков. Если для Windows мы обнаруживаем каждый день… Я уже сейчас не помню, там счет идет на десятки тысяч новых угроз. То для компьютеров компании Apple, для Mac, вирусов обнаруживается, дай бог, если пара-тройка новых каждый день. С точки зрения вирусной защиты здесь ситуация не то что лучше, безопасность там не лучше, чем в Windows, просто хакерам не так интересна та платформа.

 

JSON.TV: Ваша версия тоже по этому поводу интересна, потому что вопрос часто возникает в разговоре с гостями: почему? Это та самая проблема 100 млн и 50-ти млн? Или нет? Просто невыгодно вскрывать? Либо закрытая? AppleStore – понятно, что там ничего не занесешь в компьютер.

 

Александр Гостев: Число пользователей просто несопоставимо. Если мы возьмем Mac, iPhone мы брать не будем, это абсолютно отдельная история, говорим об обычных компьютерах, сейчас пользователей Mac в мире около 100 млн человек, а пользователей Windows – несколько миллиардов. Понятно, что любому киберпреступнику гораздо проще, во-первых, с технической точки зрения, поскольку опыт существует гигантский, проще сделать вирус для Windows и заразить 1 млн пользователей и заработать на этом пару миллионов долларов, чем пытаться создать вирус и атаковать пользователей Mac, которых гораздо меньше. Просто охват сам по себе будет меньше, соответственно, доходы будут меньше у киберпреступников. За всю историю у нас была всего одна действительно крупная эпидемия вирусов для Apple, это был… Я сейчас даже не помню… 2012-й, по-моему, год. Вирус назывался Flashfake, он заразил порядка 1 млн пользователей Мас по всему миру.

 

JSON.TV: То есть около 1%, да?

 

Александр Гостев: В тот момент их было чуть более 50-ти млн, то есть почти 2% всех Мас-пользователей были заражены. На самом деле, это гигантский показатель, поскольку для Windows ничего подобного… 2% пользователей Windows никогда в жизни одновременно ни одним вирусом не заражались, не было такого в истории. А для Мас это уже произошло. Это показатель того, что с точки зрения безопасности они все-таки уязвимы. И приучить пользователей Мас к тому, что нужно пользоваться антивирусом, крайне сложно. Они продолжают верить, что вирусов для Мас не бывает. Эта легенда какое-то время даже поддерживалась самой компанией Apple, когда они официально заявляли, что вирусов не существует. Хотя на тот момент они уже существовали. Вероятность того, что вы столкнетесь с вирусами, на Мас все-таки гораздо меньше. Она есть, но она меньше, чем если вы работаете на Windows, это нужно понимать. Но сейчас есть другая проблема, связанная именно с тем, что смартфоны становятся основным устройством для пользователя. Не ноутбук, не настольный компьютер, а именно телефон. Здесь мы видим войну на рынке между Android и iPhone, и в этой ситуации с точки зрения безопасности, на самом деле, iPhone выигрывает. Поскольку за всю историю iPhone был обнаружен всего 1 вредоносный код для этих устройств. Для Android каждый день мы находим несколько тысяч новых троянских программ. В том числе размещенных прямо на официальном магазине-приложении в Google Play, в святая святых, что называется, всей инфраструктуры экосистемы Android появляются вредоносные программы, которые пользователи себе загружают и на этом финансовые потери прямые. С iPhone ситуация другая.

 

JSON.TV: Ситуация зеркальная, так же, как Microsoftи iOS?

 

Александр Гостев: Здесь ситуация не из-за популярности, здесь как раз ситуация напрямую связана со средствами защиты. Для того чтобы приложение попало в официальный магазин приложений Apple, нужно очень сильно потрудиться. Вы не можете просто взять программу, послать ее в Apple, и Appleее опубликует. Так не бывает. Вы ее туда посылаете, они, во-первых, анализируют ее код, проверяют весь ее функционал, и длится это очень долго, несколько месяцев проходит, прежде чем ваше приложение одобрят. Там очень строгие ограничения. Приложение не имеет права делать это, делать то, не имеет права коммуницировать ни с какими сторонними серверами и так далее. Пробиться в магазин приложений Apple для вируса, для вирусописателя практически невозможно. Для Android – ты платишь 25 долларов, отправляешь приложение, и оно практически автоматически в режиме реального времени появляется в этом магазине. И компания Google его потом постфактум только оттуда удаляет, когда уже 10-ки тысяч людей по всему миру его себе загрузили и заразились. Плюс опять же проблема уязвимости. Android – это открытая операционная система, основной исходный код все-таки доступен. Можно посмотреть, как там все работает, поискать слабые места. iPhone – система закрытая. Apple никому не дает исходников своей системы, и искать там уязвимости практически невозможно. Существует такой черный рынок уязвимостей, на который приходят как хакеры, которые желают купить уязвимость для проведения атаки, так в том числе и спецслужбы приходят на этот рынок и покупают эти уязвимости для проведения собственных атак. Там есть вполне определенные ценники, сколько стоит каждая уязвимость. Уязвимости для Android стоят сейчас порядка 20-ти тыс. долларов за штуку. Уязвимости для iPhone стоят 200 тыс. долларов. И это минимальная планка. Уязвимости для операционной системы Windows, например, редко когда превышают 100 тыс. долларов. Простой финансовый показатель. Уязвимости для iPhone стоят дороже всего, потому что их практически нет. Они крайне редки. Но есть люди, которые готовы платить за эти уязвимости очень большие деньги, это тоже нужно понимать.

 

JSON.TV: Какой процент компьютеров примерно по вашим оценкам в мире заражен вирусами? Это близко к 100% или нет? Если не брать самые защищенные.

 

Александр Гостев: Здесь, наверное, очень трудно говорить о ситуации «в среднем по больнице». Поскольку на самом деле для каждой страны ситуация  может отличаться кардинально. К примеру, у нас есть статистика из разных стран мира о том, как часто наши пользователи сталкиваются с угрозами. То есть, грубо говоря, сколько раз в течение месяца наш антивирус отразил какие-то атаки на пользователя. Здесь, к сожалению, печальную пальму первенства уже долгие годы удерживает Россия и страны бывшего Советского Союза в целом. Для наших пользователей этот показатель практически никогда не опускается ниже 50-ти %. Это значит, что хотя бы раз в месяц каждый второй пользователь наших продуктов сталкивался с той или иной вирусной атакой, которую мы отразили. Если мы возьмем, к примеру, Японию или скандинавские страны, такие как Швеция, Норвегия, наверное, еще Финляндия, вот для них этот показатель составляет (для России, как я сказал, меньше 50-ти % не бывает) 9-10%.

 

JSON.TV: Культура потребителя либо что?

 

Александр Гостев: Культура поведения в Интернете. Для пользователей в этих странах есть устоявшаяся культура поведения в сети. Они посещают одни и те же новостные сайты либо одну и ту же социальную сеть, они не ходят по порносайтам, например, либо ходят по проверенным платным порносайтам, они не качают пиратский софт с торрентов. Они ведут себя в сети прилично, что называется. Наши же российские пользователи, что называется, шарятся в сети. Они бездумно кликают на все всплывающие окна, на какие-то ссылки, баннеры с безумными новостными заголовками, они запускают все подряд, что им присылают по электронной почте. Они подвержены таким атакам, очень доверчивы в сети. Наверное, это связано еще и с тем, что у нас был очень стремительный рост числа пользователей Интернета в последние годы, буквально с 20-ти млн до 70-ти. За 3-4 года этот рост произошел. И в сеть пришло очень много новичков, неподготовленных людей, которые впервые попали в сеть, и для них это все нечто новое. Они только учатся там жить, еще с угрозами практически там не сталкиваются. Именно поэтому такой высокий процент заражения. Так что здесь говорить о том, сколько может быть заражено – в России, действительно, может быть заражен каждый второй компьютер. Есть страны в Азии, для которых этот показатель тоже крайне высок. Вьетнам, Бангладеш, Индонезия, страны Ближнего Востока, Африка. Это все те страны, где Интернет, что называется, только пошел в массы, где очень много новых пользователей в сети. И вот там показатели, конечно же, печальные.

 

JSON.TV: На бытовом уровне дайте совет, что делать с компьютером? Появились там, угрозы отражаются, компьютер стал хуже работать, подвисает. Какой обычно алгоритм? Или прошел каким-то антивирусом вторым еще или третьим, если нет первого? Либо вызвал мастера, который пришел, сказал: «О, у вас совсем беда, я вам сейчас за 10 тыс. рублей установлю все, и будет работать замечательно»? Компьютер лучше лечить или сносить все нафиг и переустанавливать ОС, форматировать?

 

Александр Гостев: Зависит от того, с каким вирусом вы столкнулись. В большинстве случаев пользователю достаточно просто поддерживать некий уровень профилактики того, что он делает. Понятно, что это не только антивирус и регулярное его обновление. Нужно также регулярно и постоянно обновлять саму операционную систему. Если это Windows, то каждый месяц компания Microsoft выпускает  обновления, которые закрывают те самые уязвимости, которых я говорил раньше, за которые платят сотни тысяч, десятки тысяч долларов и именно через них проникают на ваш компьютер. Каждый месяц выходят эти обновления, которые надо ставить, чтобы ваш компьютер не был атакован при помощи уязвимости. Потому что если будет уязвимость, антивирус вас не спасет в большинстве случаев. От этого нет, по большому счету, защиты. Поэтому патчи надо ставить каждый месяц. У нас многие этого не делают. Просто плюют на это дело. Есть компьютеры, которые работают годами без обновлений, и понятно, что там антивирус стоит, он пропускает все, потому что вирус проникает в само ядро системы, тут уже ничего не поделаешь. Нужно ставить обновления. Это один из самых главных факторов. Нужно довольно регулярно менять свои пароли от социальных сетей, от почтовых аккаунтов. Я лично меняю каждые 3 месяца. Обычному пользователю, я думаю, достаточно будет это делать хотя бы раз в полгода, но делать это нужно. Потому что, как показывает практика, люди в массе своей используют один и тот же пароль от всех сервисов сети. У них один и тот же пароль для почты, для Facebook или «ВКонтакте», этот же пароль они могут использовать непосредственно для своего компьютера на работе, для доступа в онлайн-банкинг и так далее. Отучить людей использовать один пароль практически невозможно. Поэтому если используете один, хотя бы меняйте его постоянно. Очень актуальная в последнее время для российских пользователей проблема – вирусы, которые занимаются блокировкой компьютера либо шифрованием файлов, и потом требуют выкуп за расшифровку файлов либо за восстановление работоспособности. Это действительно большая проблема. Происходит это потому что пользователю по электронной почте приходит письмо, как правило, якобы от какого-то государственного органа. Либо выдается за судебное постановление, либо письмо из налоговой. Очень много атак на организации под видом писем от арбитражного суда либо писем от «Центробанка» идет. В этих письмах содержится вредоносная программа, которая попадает в ваш компьютер и либо блокирует его, либо шифрует все файлы. Они пытаются понять, насколько платежеспособен человек, и если у вас от подобного вируса пострадала ваша организация, ни в коем случае не стоит писать этим злоумышленникам с почтового адреса вашей организации, поскольку они могут понять, что с вас можно попросить много денег. Лучше пишите с какого-нибудь анонимного адреса на бесплатном почтовом сервере и выдавайте себя за студента, у которого денег нет, дешевле обойдется. Если такое происходит, либо вы платите, либо вам действительно остается только переустановить систему, если вы не делали резервную копию. Во всех других случаях с вирусными инцидентами на вашем компьютере переустанавливать систему не надо. Антивирус так или иначе вам все вылечит, почистит. И опять же, не забывайте, если вы переустанавливаете систему, необходимо установить те самые обновления, патчи.

 

JSON.TV: Все заплатки необходимо ставить.

 

Александр Гостев: Да.

 

JSON.TV: Вопрос от аналитиков J'son & Partners: перспективы антивирусов как аналитического облачного сервиса и вообще тенденция на рынке? Многие говорят о том, что от коробочной продажи и продажи собственно антивирусов перешли, скорее, к лизингу, как это во многих областях и делается.

 

Александр Гостев: Если мы говорим о продукте как таковом, да, конечно же, продажи коробок, ритейл потихоньку уходит в прошлое абсолютно у всех. При этом мы являемся лидером в европейском ритейле. Периодически оказываемся лидером даже в американском ритейле по коробочным продажам персональных продуктов. Но все больше и больше компаний, занимающихся безопасностью, мы в том числе, помимо продажи софта как такового начинают заниматься продажей сервисов, связанных с безопасностью. И здесь, конечно же, нам очень сильно помогает наше собственное облако, которое называется у нас KSN, Kaspersky Security Network. Это распределенная система, в которую собирается информация от наших пользователей по всему миру. Если они, пользуясь нашим продуктом, включили работу с KSN, они со своей стороны получают защиту из облака, то есть им даже порой не требуется обновлять антивирусные базы, поскольку любой вредоносный файл, который запускается у них в системе, тут же моментально проверяется в нашем облаке и без обновления баз может быть заблокирован. То есть двусторонняя система. Мы за это себе получаем информацию о вирусных инцидентах на компьютерах в режиме реального времени. То есть мы видим, что где происходит. Подобные системы существуют у всех, остается задача анализа и выявления неких тенденций. Можно анализировать ситуацию по любому географическому региону и готовить ежедневные, еженедельные, ежемесячные отчеты, которые крайне интересны, допустим, информационным структурам, таким как Computer emergency response team, правительственным органам разных стран мира. Им интересно видеть эту статистику по своим странам, по своим регионам. Подобные вещи и мы, и другие антивирусные компании готовим именно в виде аналитических отчетов на продажу. Есть еще различные сервисы, связанные с расследованием компьютерных инцидентов. Когда мы, обладая своей экспертизой в анализе и понимании угроз, можем проводить расследования по заказу клиента, который столкнулся с некоей вирусной угрозой. Он хочет знать, что это было, что за вирус, как он работает, кому это выгодно, как эта вся система работает, куда уходят украденные данные, что за данные украли. Это тоже, конечно же, невозможно без обладания доступом к общемировой картине. Нам нужно понимать: этот инцидент уникален с данным конкретным человеком, в данной конкретной организации, либо это некая глобальная проблема, и есть пострадавшие в других странах, мы можем вступить с ними в контакт и агрегировать всю эту информацию, свести в рамках единого расследования и подключить полицейские структуры уже в других регионах.

 

JSON.TV: Может быть создан, хотя бы в перспективе, такой единый мировой сервис, мировое облако, если хотите, аналог GPS, да еще бесплатный, и все объединили свои усилия? Я понимаю, что ленноновская идея, «представь себе, что это будет». Но некий сервис информационной безопасности, который не надо устанавливать. Ни коробочный продукт, ничего. При каждом выходе в Интернет, при каждой связи у тебя просто автоматически включается какая-то часть этого сервиса информационной безопасности?

 

Александр Гостев: Единую глобальную, я думаю, создать теоретически, конечно же, можно. Но практически это не очень оправдано. Объясню, почему. Мир киберпреступности, мир хакеров или даже спецслужб, возьмем их в целом, мир атакующих, он построен в первую очередь на противодействии нам. И если будет создано какое-то одно единое уникальное защитное решение, обойти его для них будет гораздо проще, чем когда им приходится бороться с десятками разных защитных решений. Сейчас, разрабатывая вирусные программы или готовя кибератаку, им необходимо придумать и реализовать методы обхода десятка самых популярных антивирусных решений, различных систем анализа трафика и так далее. У них задачи сейчас крайне сложные. Они тратят гигантское количество ресурсов, чтобы обойти защитные решения. Именно потому что этих решений очень много. Если будет одно решение, понято, что атаковать его, находить в нем слабые места, выводить его из строя будет гораздо проще.

 

JSON.TV: Понятна мысль. Тогда вопрос естественный, у меня, как у не особо продвинутого пользователя, создается впечатление, что все антивирусы примерно одинаковы. Что их разнит, в чем фишка «Касперского»? Это какие-то особые интеллектуальные алгоритмы? Что лежит в основе?

 

Александр Гостев: Мы в самом начале говорили об истории с Reuters. Что было в основе тех проблем 2010-го года, которые мы пытались продемонстрировать? Интеллектуальное превосходство ряда антивирусных компаний над другими. Когда мы, например, быстрее всех находим в сети Интернет какую-то новую угрозу, про которую еще никто не знает. Мы быстрее всех ее находим, быстрее всех анализируем, быстрее всех добавляем средства защиты от нее в свои базы. Другие компании воруют эту информацию и добавляют эту защиту к себе. Да, если вы возьмете некий набор вирусов и проверите его разными антивирусными продуктами, показатель у всех будет примерно одинаков, близок к 100 %.

 

JSON.TV: Конкурсы проводятся, да, там, скорее, на скорость.

 

Александр Гостев: Но нужно понимать, что это тесты постфактум, уже после того, как это случилось, это вирусы месячной давности. Понятно, что через месяц все антивирусы будут эти вирусы знать и обнаруживать. Но речь идет об обнаружении атаки именно в самые первые ее минуты, секунды и часы. И здесь в плане защиты выигрывает тот, кто быстрее всех находит подобные угрозы и добавляет от них защиту. Вам не нужна защита от вируса, который появился месяц назад, вы с ним никогда в жизни уже не столкнетесь.

 

JSON.TV: Последние 2 традиционные короткие вопроса: какие гаджеты и операционные системы предпочитаете, это раз, и второе – соцсети?

 

Александр Гостев: Что касается операционных систем, то я всеяден. Я могу работать на 3-х операционных системах, это Windows, Mac и Linux-системы, но это зависит от задач, какие мне необходимо решать. Дома я могу работать на Мас, в офисе – на Windows, и какие-то технические задачи я могу реализовывать на Linux-системах. Мне нет разницы, на чем работать. Что касается гаджетов, 2 телефона, 1 телефон на Android, второй – это Blackphone, это такая малоизвестная марка защищенных телефонов, работающих на собственной модифицированной версии Android, защищенной от многих-многих проблем, используется в разных критических случаях. И традиционно планшеты, это iPad, iPad и еще один iPad.

 

JSON.TV: Соцсети: ходите ли или не светитесь там?

 

Александр Гостев: Конечно же, пользуюсь. Основным, наверное, является Twitter, но с точки зрения именно получения новой информации, поскольку наша индустрия очень любит Twitter, и все эксперты моментально все новости публикуют в Twitter. Для знакомых, для друзей – это, конечно, Facebook.

 

JSON.TV: Спасибо огромное! Напомню, что в гостях в студии JSON.TV был главный антивирусный специалист компании «Лаборатория Касперского» Александр Гостев. Счастливо всем!