×

17 Февраля 2015 09:22
2159
0

«Хакер – это не юноша с длинными сальными волосами, который ломает ночами Пентагон», - утверждает заместитель руководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин. В интервью JSON.TV он заявил, что это хорошо организованный коллективный бизнес. «Мне как эксперту доводилось исследовать изъятые хакерские компьютеры, они ведут и систему баг-трекинга, и систему сбора отзывов, и документацию на русском-английском языке, систему версионности. То есть это мощные программные продукты, целые проекты, над которыми работает команда программистов». Эксперт привёл в пример Mac OS X, который был неинтересен для хакеров, пока его доля на рынке была мала. А уже в 2014-м году «Касперский» нашел там целый ботнет.  

 

Компания Group-IB противопоставляет угрозам не только конкретные действия, но и готовый продукт. В семействе Bot-Trek есть, например, решение для интернет-банкинга, для тонких клиентов, которое позволяет отслеживать «инжектирование», то есть внедрение какого-то кода в страницу банка. «Когда компьютер пользователя заражен, он проводит платежи через интернет-банк, но они ходят в совершенно другое место. Если нет подтверждения по SMS, то мошенничество остается незамеченным до того, как деньги списали. Но даже с подтверждением по SMS обычно люди не смотрят особенно, что там. Обычно сумма платежа остается та же, меняются только реквизиты».

 

Среди угроз, появившихся в 2014 году, Сергей Никитин отметил увеличение атак не только на клиентов банков, но и на сами банки и платежные системы. «В том числе появились вирусы под банкоматы. Если раньше ставили скиммеры, то сейчас открывают верхнюю крышку, где находится системный блок, загружают с определенного диска, заражают банкомат, после чего он выводит меню. Нажимаете кнопку, подставляете мешок, и он через диспенсер все деньги вам вываливает».

 

На электронных торговых площадках угроза иная. Например, у конкретного человека, который не должен выиграть торги, торговая площадка функционирует неверно. «То есть если раньше человека не пустили в зал торговли и можно сразу писать жалобы, то сейчас, когда все происходит электронно, собрать доказательства - это очень сложно. Очень большой простор для коррупции».

 

В полном варианте интервью Сергей Никитин раскрывает подробности некоторых расследований своей компании, отвечает на вопросы об уязвимостях разных платформ и способах защиты, даёт оценку настоящим и будущим угрозам для информационной безопасности.

 

Ведущий – Сергей Корзун.

 

Справка JSON.TV

Персональный профайл

 

Сергей Никитин.

Родился в 1988 г. в Электростали Московской обл.

Окончил факультет информационной безопасности МИФИ.

В компании Group-IB работает со студенческих времён. В настоящее время - заместитель руководителя лаборатории по компьютерной криминалистике «Group-IB».

 

 

Полный текст расшифровки интервью:

 

JSON.TV: Всех приветствую. Меня зовут Сергей Корзун. Это JSON.TV. Сегодня у нас разговор о компьютерной безопасности. В гостях у нас заместитель руководителя лаборатории по компьютерной криминалистике компании Group-IB Сергей Никитин. Здравствуйте, Сергей!

 

Сергей Никитин: Здравствуйте.

 

JSON.TV: Два слова о Вас: когда роились и где?

 

Сергей Никитин: Я из Подмосковья, город Электросталь. Закончил МИФИ, факультет информационной безопасности. Работаю в компании Group-IB еще со студенческих времен.

 

JSON.TV: Когда родились? Выглядите очень молодо, будто только со студенческой скамьи.

 

Сергей Никитин: В 88-м году.

 

JSON.TV: У Вас, по-моему, вообще компания молодая. У нас в гостях был Илья Сачков, генеральный директор и основатель Вашей компании, он тоже совсем молодой человек. Это принцип формирования Вашей компании?

 

Сергей Никитин: Это связано с областью, где мы работаем. Постоянно новые знания нужны, новые силы. Средний возраст сотрудников – меньше 30-ти лет.

 

JSON.TV: Занимается компания информационной безопасностью в самом широком смысле: шпионаж, контршпионаж, борьба с ботами, с различными угрозами и так далее. Все правильно?

 

Сергей Никитин: Да, я бы назвал это практической информационной безопасностью.

 

JSON.TV: Вы отвечаете за всю часть разработки? За что вы отвечаете?

 

Сергей Никитин: Лаборатория компьютерной криминалистики занимается проведением криминалистических исследований, экспертиз. То есть наши сотрудники приезжают на место инцидента, собирают цифровые доказательства, потом производят их анализ и оформляют в виде заключения специалистов или, если это судебная компьютерная экспертиза, то заключения экспертов.

 

JSON.TV: Давайте поговорим о тенденциях на рынке. Что у нас происходит в последний год? Я видел уже довольно давнюю статистику за 14-й год. Там «Касперский», по-моему. Вроде чуть ли не в три раза возросло количество угроз для мобильных платформ. Уже найденных, реальных угроз. Как Вы оцениваете ситуацию на рынке, и что нового появляется?

 

Сергей Никитин: Совершенно верно. 2014 год принес много интересных вещей. Конкретно мое подразделение сталкивается с реальными инцидентами, реальными потерпевшими, реальными убытками. К нам обращаются и физлица, и юрлица, и множество силовиков. Мы регулярно сталкиваемся с теми вирусами, которые не теоретически, а реально крадут деньги. Все верно, первое – это мобильные ботнеты. Примерно с осени 2013 они начали появляться и активно развернулись весной 14-го года. Естественно, они нацелены на платформу Android. Причем в 100% случаев пользователи устанавливали их сами.

 

JSON.TV: За счет приложений каких-то?

 

Сергей Никитин: Нет, обычно это выглядит примерно так: вам приходит сообщение из серии vk.cc и написано: «для вас романтический подарок». Человек переходит по ссылке, после чего ему прямо скачивается .apk-файл, это приложение для Android. Человек открывает его, начинает ставить, появляется определенная табличка. Любое приложение показывает, какие разрешения ему требуются. И там написано, что приложение ест детей, крадет ваши деньги, устраивает революции. Но так как это романтический подарок, люди его ставят. После чего оно скрывается в системе и начинает функционировать. По поводу возможности таких вирусов скажем так: хакеры работают по рынкам СНГ в основном. И основная их цель – похищение денежных средств. Это не шпионаж, не похищение информации. Почти все вирусы нацелены на то, чтобы перехватывать смс-сообщения и их отправлять. Вроде бы не очень значительная вещь. Но, к сожалению, у многих людей подключен мобильный банкинг на телефон. Возьмем, например, короткий номер какого-нибудь известного банка. Если отправить на него некую сумму, можно пополнить ваш счет оператора сотовой связи. Там не более 15 тыс. в день. Естественно, есть уже другие подставные люди с симками. Точно так же смской можно перевести внутри одного оператора деньги. Это первое хищение. А второе – внутри банка можно точно так же переводить до 30 тыс. обычно с одной карты на другую. Тоже просто отправив смс на короткий номер и номер карты. Таким образом можно похищать в районе 50 тыс. в день у человека. И он об этом даже ничего не будет знать. Потому что смс о балансе так же перехватываются и скрываются.

 

JSON.TV: Относится ли это только к платформе Android? Понятно, что она самая популярная, наиболее массовая в мире, поэтому усилия, очевидно, туда. Что с другими платформами?

 

Сергей Никитин: Тут есть определенная экономическая целесообразность. Хакеры очень прагматичные. Android больше, а самое главное, в Android есть галочка «установка из неизвестных источников». Если эту галочку мы ставим, то, как мы уже знаем, не только Сноудену все начинает принадлежать в вашем телефоне, но еще и всем хакерам. То есть Android ОС официально позволяет отключить собственную защиту и разрешает вам ставить все что угодно.

 

JSON.TV: То есть если не отключать эту защиту на Android, то ничего плохого произойти не должно?

 

Сергей Никитин: Не должно, если ставить приложения из официального маркета. Максимум самое плохое, что случится, у вас будет какая-нибудь реклама. Такие adware, рекламные приложения, в маркете встречаются. Но откровенных вредоносов там нет. Если говорить про Windows Phone и iOS. Windows Phone слишком малая доля на рынке, он не интересен хакерам. iOS побольше доля, но там нет никаких возможностей по отключению защиты штатным образом. То есть нельзя просто поставить галочку и ставить все что угодно. Есть процедура jailbreak, которая позволяет преодолеть защиту и ставить все что угодно. Под джейлбрейкнутые iOS-устройства есть вирусы. Но количество таких устройств очень мало. Для этого нужно быть уже технически продвинутым пользователем и понимать, зачем вы делаете это. А таких очень мало.

 

JSON.TV: То есть если ты владелец iOS, ты можешь не беспокоиться, если не отдавал телефон в чужие руки и покупал не «серую», «черную» модель, а вполне официально и легально?

 

Сергей Никитин: Совершенно верно. В конце 14-го года из-за того, что появилась новая процедура jailbreak, появилось несколько вредоносов в виде концептов, которые позволяют подменить приложения на вашем телефоне. Но для этого нужно подключиться к зараженному компьютеру, синхронизироваться. Надо совершить ряд манипуляций. Соответственно, если просто пользоваться телефоном, обновлять его по wi-fi, не подключая к компьютеру, то шанс заразить iOS-устройство очень невелик.

 

JSON.TV: Вы наверняка что-то изучали по новым платформам, которые появляются. В частности, по платформе Tizen. Стало известно, что вроде как Samsung не будет продавать устройства под этой платформой официально у нас. Но в любом случае, официально, неофициально у нас в России появляется все что возможно. В целом, если взять эту платформу и те другие, которые появляются – насколько они уязвимы?

 

Сергей Никитин: Естественно, уязвимости там есть. Вопрос в том, насколько целесообразно разрабатывать под них эксплойты. Я могу сказать некий портрет хакера. Это не юноша с длинными сальными волосами, как показывают в кино, который ломает ночами Пентагон. Это организованные преступные группы с разделением ролей. А конкретно люди, которые пишут вредоносный код, мне как эксперту доводилось исследовать изъятые хакерские компьютеры, они ведут и систему багтрекинга, и систему сбора отзывов, и документацию на русском-английском языке, систему версионности. То есть это мощные программные продукты, целые проекты, над которым работает команда программистов. Это не какая-то подделка студента. Как только будет финансово целесообразно вливать в разработку каких-то эксплойтов, они немедленно появятся. Пример тому MacOSX. Доля на рынке была маленькой, никому не был интересен. А уже в 14-м году тот же «Касперский» нашел целый ботнет на Маках. Вопрос, насколько будут распространены эти платформы. А уязвимости найдутся.

 

JSON.TV: Что Вы противопоставляете, какие продукты? Либо это ручные действия, действуете как скорая помощь, как МЧС приезжаете на вызов и разбираетесь с каждым случаем отдельно?

 

Сергей Никитин: Это зависит от подразделений. У нас есть некие программные продукты, которые мы недавно представили. У нас была осенняя пресс-конференция по тенденциям киберпреступности. Есть семейство Bot-Trek, оно разделено на три больших части. Первое – это решение для интернет-банкинга, для тонких клиентов, которое позволяет отслеживать такие вещи, как инжектирование, то есть внедрение какого-то кода в страницу банка. Что это значит? Есть множество вредоносного кода, который позволяет подменять реквизиты платежей, в том числе в автоматическом режиме. И когда компьютер пользователя заражен, он проводит платежи через интернет-банк, но они ходят в совершенно другое место. Если нет подтверждения по смс, то мошенничество остается незамеченным до того, как деньги списали. Но даже с подтверждением по смс обычно люди не смотрят особенно, что там. Обычно сумма платежа остается та же, меняются только реквизиты. Решение направлено на внедрение со стороны банка и отслеживание таких вещей. Тестируется уже во многих топ российских банках. Динамика очень положительная. Пока что продукт выявляет то, что другие не выявляли.

 

JSON.TV: Продукт у клиента будет или у банка?

 

Сергей Никитин: Он будет стоять у банка. То есть для клиента вообще ничего не изменится. Он как пользовался своим интернет-банком, так и пользуется. Если будет замечена какая-то подозрительная активность с него, то просто заблокируется этот платеж. И банк дальше свяжется с клиентом, попробует удостовериться  в том, что действительно он его проводил. Еще один продукт связан с сетевым решением различным IDS, IPS, TDSсистем. Их много. Он называется Bot-Trek TDS. Это определенная железка, которая ставится на канал у компании заказчика и отслеживает весь трафик. Она анализирует самые популярные данные о том, как передают их вирусы. Практически все современные вирусы ‑ модульные и управляются централизованно. То есть один и тот же вирус может похищать деньги через клиент-банк, через платежные системы, через электронные деньги, майнить биткоины на зараженном компьютере, рассылать спам, организовывать DDOS, предоставлять удаленное управление над этим компьютером или сделать из него прокси-сервер для заметания следов. То есть при необходимости он может докачивать любые модули.

 

JSON.TV: Как операционная система по сложности.

 

Сергей Никитин: Совершенно верно. Я могу сказать, как выглядит. Есть управляющий сервер. Это некий сервер, просто как страничка в Интернете. Естественно, там тоже логин-пароль. Туда отправляются данные с этого вредоносного кода. Он заражает компьютер и отстукивает сюда: «я такой-то, стою там-то, жду команды», и отправляет эти данные. Когда хакер заходит на управляющий сервер, это выглядит как веб-страница, и там просто огромное количество IP-адресов и так называемых ботов. Это и есть ботнет: зараженные компьютеры, боты, вся эта сеть, ботнет, а это управляющий сервер ботнета. Когда мы отслеживаем, что там находится, это обыкновенная страница, хакер может выбрать конкретный компьютер, нажать, там будет показано: операционная система, антивирус какой стоит, если ли клиент-банк, для некоторых клиент-банков – какой баланс. И там есть огромное меню действий: убить операционную систему, обновить версию вируса, загрузить такой-то модуль, заблокировать клиент-банк. Огромные возможности по манипуляции зараженным компьютером.

 

JSON.TV: К мобильному банкингу: насколько я понимаю, не все банки одинаково хорошо защищены в этом плане. Какие наиболее продвинутые?

 

Сергей Никитин: Достаточно сложно сказать. Естественно, хорошо, когда есть второй фактор авторизации. То есть когда не только у нас логин-пароль и ЕЦП. ЕЦП может быть на флешке, это не принципиально. Но когда еще есть какое-то дополнительно подтверждение. Это может быть что угодно, это может быть отдельный токен, по времени синхронизированные одноразовые пароли, либо это смс, что тоже очень хороший вариант, либо еще как-то. Для физических лиц это давно внедрено. Там тоже есть свои возможности по мошенничеству, я могу потом рассказать. Второй фактор если есть, сейчас многие банки его вводят. Второй момент – так называемые антифрод-системы, системы противодействия мошенническим операциям. Дело в том, что просто по математической статистике можно сделать некий профиль компании. Допустим, компания проводит платежи всегда строго больше миллиона и только на юрлица. Эта статистика собирается, как только проходит платеж на 600 тыс. на физлицо, срабатывает алерт и платеж блокируется. Могу сказать, что чем крупнее банк, тем сложнее ввести такую систему в эксплуатацию, собрать информацию о компаниях и даже банально оповещать. То есть для крупных банков нужно целый call-центр держать, чтобы спрашивать каждый подозрительный платеж.

 

JSON.TV: О мобильном банкинге и электронном банкинге мы уже поговорили. Я так понимаю, что угрозы электронным кошелькам примерно такие же? Какие еще области наиболее уязвимы для хакеров? Может ли речь идти в этом контексте об электронной торговле, например?

 

Сергей Никитин: Да, конечно. Если говорить о новых угрозах 14-го года: во-первых, стали взламывать банки и платежные системы. Раньше крали деньги только у клиентов, что мы сейчас обсуждали, потому что это просто. Но в 14-м году, работая через целевые атаки, произошло большое количество хищений у банков и платежных систем. В том числе появились вирусы под банкоматы. Если раньше ставили скиммеры, то сейчас открывают верхнюю крышку, где находится системный блок, загружают с определенного диска, заражают банкомат, после чего он выводит меню, нажимаете кнопку, подставляете мешок, и он через диспенсер все деньги вам вываливает. Это из свежих угроз. Теперь если говорить про электронные торговые площадки. Именно хакерских атак там немного. Но встречается очень большая коррупционная составляющая. У нас был кейс, когда клиенту объяснили, что он определенные торги не выиграет. Ему просто прямо сказали: «Вы эти торги не выиграете. Вы можете зарегистрироваться, участвовать, но Вы их не выиграете». Мы собрали определенный стенд, чтобы записать все действия этого человека. И, действительно, за час до начала торгов человек не мог авторизоваться в системе. То есть ему говорили «неверный пароль», хотя за два часа до этого все работало. При попытке восстановить пароль не отображалась капча. Потом она отображалась, но на почту ничего не приходило. Таким образом, торги завершились без участия человека. Но самое интересное, что с другой учетной записи прямо с этого же компьютера зайти туда было можно. Это все было оформлено в виде доказательств, предоставлено в антимонопольную службу, которая отменила торги и оштрафовала торговую площадку на полмиллиона рублей. После, по обращениям других людей, оказалось, что это очень большая проблема. Бывает так, что человеку дают сделать первую ставку. Бывает, что не отображаются какие-то поля. То есть у конкретного человека, который не должен выиграть торги, торговая площадка функционирует неверно. Но при этом собрать эти доказательства очень сложно. То есть если раньше человека не пустили в зал торговли и можно сразу писать жалобы, то сейчас, когда все происходит электронно, доказать и собрать это очень сложно. Очень большой простор для коррупции.

 

JSON.TV: Какова здесь ответственность собственно электронной площадки и кто отвечает за это? Либо это сторонние злоумышленники могут как-то ее взломать?

 

Сергей Никитин: Как правило, это определенный коррупционный сговор. Тут может даже речь идти о мошенничестве, об уголовной статье. Но пока в нашей практике встречался только арбитраж. Я думаю, с освещением этой проблемы, возможно, возникнут другие прецеденты. Сейчас, к сожалению, торговые площадки часто пользуются непониманием пользователей и делают вид, что это проблема на стороне клиента. То есть из-за его плохого Интернета или чего-то такого у него что-то не работало.

 

JSON.TV: Расскажите о действиях Вашей компании. Вы просто определяете, диагностируете эти угрозы, определяете их источник и передаете в правоохранительные органы на дальнейшее решение вопроса? Или как это происходит?

 

Сергей Никитин: Во-первых, к нам обращаются сами правоохранители. Мы работаем практически со всеми силовиками, от Следственного комитета и чуть ли не до МЧС. Естественно, в какие-то резонансные дела по хакерам нас привлекают как специалистов, экспертов для участия в оперативно-розыскных мероприятиях, в обысках, чтобы корректно изъять всю эту информацию. Кроме того, к нам обращается огромное количество коммерческих клиентов, у которых произошли самые разные инциденты. И кроме сбора доказательств и оформления их как заключения мы всегда предлагаем обратиться в правоохранительные органы. Показываем, как правильно написать заявление. В том числе, у нас есть отдельный отдел расследований, который непосредственно занимается тем, что определяет, кто хакеры. Если заказчику это интересно и действительно хочется найти злоумышленников, то мы помогаем процессуально правильно все это оформить. Естественно, во взаимодействии с силовиками, чтобы это все стало материалами дела. Есть примеры, они есть на нашем сайте, когда были задержаны реальные преступные группы, работающие, например, по интернет-банкингу. Там две группы, достаточно большое количество людей, часть уже получила срок, осуждены, а часть находится еще в СИЗО. То есть хакеров найти можно, это достаточно долгая работа. Но возможная. Кстати, говоря о вирусах. Нужно отметить такой момент, что все вирусы немножко разные, и разными преступными группами используются тоже разные связки. И формат команд, которые они отдают, тоже уникальный. Таким образом, каждый конкретный инцидент можно отнести к действиям некоей преступной группы. Именно на знаниях уникальных команд, угроз и ботнетов, которые мы анализируем постоянно, и построены наши продукты. Они отличаются тем, что они знают наши локальные угрозы и часть международных именно изнутри хакерских ботнетов. Мы знаем, как они взаимодействуют, поэтому можем находить их в трафике.

 

JSON.TV: DDOS атаки по-прежнему представляют большую опасность? Это большая страшилка для СМИ в частности, вообще для популярных сайтов.

 

Сергей Никитин: Я бы разделил DDOS атаки на две большие части. Это политика и коммерция. Если говорить про коммерцию, существует ряд бизнесов, которые очень привязаны к количествам посетителей и к сезонности. Банальный пример – туристические агентства. Открываем любую поисковую систему, вбиваем слово «турагентство», вот у нас 10 конкурентов, допустим. А мы – 11-е на странице. Заказываем DDOS на остальных, люди просто не могут туда перейти, все переходят только на наш сайт, колоссальные прибыли. То есть это настоящая коммерция, расчет, заказ. Тут все понятно.

 

JSON.TV: Дойти можно до заказчика?

 

Сергей Никитин: Как правило, можно. Это достаточно длинный путь, но мы тоже расследуем DDOS атаки, и есть удачные примеры, они опубликованы, тоже есть на сайте. Хакеров найти реально, но это достаточно долгая работа, иногда несколько лет. Если говорить про политику, то существует некая кибервойна. Какой-то большой угрозы, будем откровенны, блокирования сайта президента она не несет. Люди не смогут прочитать какие-то новости, но зато очень резонансно. В других странах тоже происходит множество таких вещей. Там была целая война между Индией и Пакистаном, они блокировали друг другу ресурсы. Во время войны с Грузией тоже всякое происходило. Сейчас события на Украине, там тоже некий киберберкут, постоянно что-то происходит. Блокирование каких-то информационных ресурсов не несет таких больших угроз, как в коммерции, я имею в виду по деньгам. Но, естественно, бьет по репутации государства.

 

JSON.TV: Поэтому надо сражаться и доходить до каждого случая. Когда государство стоит какое-то или крупная группа за этой DDOS атакой – вообще реально найти концы или нет? Можно ли спрятать концы в воду, так что ничего не найдешь?

 

Сергей Никитин: К сожалению, тут вопрос стоит несколько не в технических, а в политических вещах. Дело в том, что киберпреступность ‑ очень распространенная по миру, интернациональная. Причем если люди сидят в Москве, они могут совершать мошенничества в Москве, но при этом цепочка идет через Германию, Францию, Кокосовые острова, Эквадор и обратно в Москву. Из-за того что не налажена схема передачи определенной информации, взаимодействия, особенно официального, то есть через Интерпол, через полицию. Эти вопросы могут навечно погрязнуть в бюрократии. Из-за отсутствия обмена международной информацией найти людей очень сложно. Естественно, если речь идет о некоем государственном уровне, кибершпионе и кибервойне именно на уровне государств, там все очень сложно. Все эти разоблачения, что нашли какие-то комментарии на русском в каком-то вредоносном коде – они ни о чем не говорят. Это может быть как купленный модуль на хакерском форуме, так и все, что угодно, вплоть до откровенной провокации.

 

JSON.TV: Подтвердите или опровергните: самые крутые хакеры – в России?

 

Сергей Никитин: Скажем так: если по финансовым хищениям, то очень много денег уходит именно в страны бывшего СНГ и СССР.

 

JSON.TV: Это косвенно говорит о том, что оттуда же, соответственно, приходят и программы. Давайте поговорим об облачных технологиях. Последние несколько лет их обсуждают достаточно успешно и пытаются внедрить всячески, у них есть масса преимуществ. Но у них есть и недостатки. Сначала общий вопрос: проще ли обеспечить безопасность на некоей большой облачной платформе либо внутри компании? То есть компании переносить или не переносить часть своих сервисов в облако?

 

Сергей Никитин: Все зависит от того, какую деятельность ведет компания и насколько критична ее информация для нее. Есть хорошая поговорка: «Хочешь сделать хорошо, сделай это сам». Могу сказать, что облачные технологии очень хороши для массового клиента. Если речь идет о каких-то страницах и сайтах пользовательских или небольших компаний, то есть малый и средний бизнес, то нанимать отдельного специалиста по безопасности, который наладит всю инфраструктуру и будет ее долго поддерживать – это очень сложно. При этом некая облачность может позволить сразу внедрить все методы безопасности, и все будет придумано за вас. Вы будете в среднем более защищены, чем ваши конкуренты. Если говорить о большом бизнесе, то, как правило, возникают другие вопросы: пропускные способности, оплата за этот сервис, критичность самих данных. Банальный пример: у нас сейчас активно внедряется на законодательном уровне некая независимость наших ресурсов, серверов. Далеко не все западные облачные компании жаждут переносить на нашу территорию свои сервера.

 

JSON.TV: Высокий уровень рисков информационной безопасности остается сейчас при использовании облачных и онлайн сервисов? Есть ли эффективные средства обеспечения управляемого уровня информационной безопасности для них?

 

Сергей Никитин: Очень сложно это оценивать, потому что, как правило, вы не можете взглянуть внутрь. С внешней стороны все может выглядеть безопасным, но на самом деле взломы возможны какие угодно. Например, компания Sony. Огромная компания, огромные самые разные распределенные серверы, игровые, фильмы. И тут такой взлом. Хотя внешне все было безопасно. Точно так же может произойти и с любым облачным сервисом. Опасность в чем? Если обнаружилась какая-то уязвимость конкретно в вашем сайте, пострадаете только вы. А тут могут взламывать ваших соседей, а в итоге найдут уязвимость, которая получит возможность атаковать все серверы на этом облаке. И вы можете быть невольно скомпрометированы.

 

JSON.TV: Каковы перспективы SECaaS, это безопасность как сервис, как услуга?

 

Сергей Никитин: Я думаю, что перспективы очень большие, просто необходимо будет понять, какая целевая аудитория этих сервисов. Мы говорили про инциденты в интернет-банкинге, страдает в основном малый и средний бизнес, где нет специалистов по безопасности, потому что им нужно платить деньги, и неплохие. Есть системный администратор, задача которого, чтобы все работало. Эти люди, как правило, не задумываются о безопасности. Им нужно, чтобы у бухгалтера работал клиент-банк, не падало и принтер печатал, тонер не заканчивался. Для таких компаний, возможно, некий сервис безопасности был бы очень полезен. Если говорить о каком-нибудь банке, где есть много безопасников, есть целая своя инфраструктура, а самое главное – есть определённые стандарты Банка России по безопасности, и которые должны отчитываться перед регулятором, естественно, внедрение каких-то внешних облачных и тем более иностранных технологий недопустимо.

 

JSON.TV: А наши технологии есть на этом рынке?

 

Сергей Никитин: Появляются некоторые компании, но ничего такого, что бы можно было обсуждать громогласно, пока нет.

 

JSON.TV: Вы не собираетесь заниматься в будущем подобным?

 

Сергей Никитин: Возможно. Разработки определенные ведутся. Тот же Bot-Trek IB, который направлен на интернет-банкинг, напоминает чем-то некий сервис по безопасности для интернет-банкинга тонких клиентов. Я думаю, что в последующем, возможно, что-то такое будет.

 

JSON.TV: Какой уровень риска считается допустимым в различных областях? Понятно, что на 100% никто не может дать гарантии, и Вы, наверное, не даете. Только Господь Бог может дать гарантию защитить нас на 100%.

 

Сергей Никитин: Оценочный вопрос достаточно сложный. Самая безопасная система – которая в бетон залита и не работает. Наверное, нужно определиться, для каких проектов, каких задач какой уровень допустим. Недаром сейчас начали на законодательном уровне говорить о некоей критической инфраструктуре. То есть для разных областей разные риски. Например, есть определенная концепция: целостность, доступность, конфиденциальность и так далее. Если мы говорим о каких-то технологических процессах, то там целостность важнее всего. Ничего страшного, если кто-то узнает, сколько грамм урана куда-то отправляется. Но значительно страшнее, если кто-то остановит центрифуги или что-то такое, говоря о чьей-то ядерной программе. Точно так же, если кто-то узнает количество оборотов гидроэлектростанции, это не страшно. Но страшно, если кто-то сможет остановить или увеличить их. С другой стороны, для государственных органов, для наших посольств, дипмиссий критично, чтобы данные никуда не утекли. А как мы знаем, там ведется огромное количество шпионажа, и в том числе с разработанными программами на государственном уровне. Я думаю, что здесь нужна определенная политика, определенные законодательные внедрения и понимание, что и как нужно защищать и где какие риски нужно локализовать.

 

JSON.TV: Возвращаясь к облакам и сетям: SDN, программно конфигурируемые определяемые сети, вносят ли что-то новое в понятие информационной безопасности, и возможно ли ее обеспечивать именно на программном уровне?

 

Сергей Никитин: Да, возможно. Существует ряд технологий Интернета, связи, которые разрабатывались еще во времена, когда никто не думал об информационной безопасности так глубоко и так широко. Соответственно, существует множество атак на популярные протоколы, от которых мы просто не можем отказаться, потому что на них все работает. Соответственно, постоянно появляются некие надстройки, чтобы как-то обезопасить все это и организовать какую-то совместимость. Поэтому любые сетевые технологии направлены на некие инновации, в том числе и с безопасностью. Они, так или иначе, придут и к широкому распространению. Естественно, старые угрозы отойдут на второй план. Но, как всегда, появится нечто новое.

 

JSON.TV: Что это новое для программно конфигурируемых сетей?

 

Сергей Никитин: Возможно, это атаки на сами сети, на управляющие сервера. То есть «если мы не можем по-старому что-то подменять и как-то за себя выдавать, давайте взломаем сервер и там все поменяем, чтобы все так работало». Грубо говоря, любая программная технология, любой код не может быть на 100% безопасен. Где-то найдутся какие-то уязвимости. К тому же, если мы говорим именно о сетях, о динамично развивающихся технологиях, это огромное количество версий, это разрабатываемые программные продукты, совместимость, необходимость поддержания большого объема кода, соответственно, это неизбежные ошибки и уязвимости.

 

JSON.TV: У вас уже есть какие-то контринструменты? Сталкивались ли вы с подобными проблемами?

 

Сергей Никитин: Пока это слишком мало распространено, чтобы нести какую-то практическую угрозу и практически эксплуатироваться. К сожалению, хакеры действуют примитивными, но эффективными методами, которые приносят максимум прибыли при минимуме затрат. То есть разрабатывать какие-то сложные эксплойты под новые технологии – это, наверное, только на государственном уровне. То есть, как мы знаем из откровений Сноудена, определенной стране можно поставить определенное оборудование с определенным ПО с некоторыми закладками. Это экономически целесообразно, и можно получить результат. Но для хакеров это слишком сложно и слишком затратно.

 

JSON.TV: Главная угроза, которую Вы ожидаете в 15-м году? В ближайшем будущем, скажем так?

 

Сергей Никитин: Это, определенно, новые вирусы под мобильные платформы, не только под Android, но и под iOS. Это, естественно, продолжение атак на платежные системы и банки, в том числе целевые атаки. И, возможно, атаки на различные технологические платформы. Например, никто не обращал внимания на то, что банкомат легко заразить и получить кеш. Точно так же все, что будет связано с определенными деньгами – это платёжные терминалы, торговые площадки и так далее, опять же на мобильных платформах появляется все больше клиент-банков, электронных денег и так далее – все это будет подвергаться атакам.

 

JSON.TV: Россия в современном мире, давайте попробуем в контекст вписать. Как у нас обстоит с информационной безопасностью? Больше ее, меньше? И в чем специфика России?

 

Сергей Никитин: Со всей политической ситуацией, которая у нас сейчас, это изоляция, санкции, о чем постоянно говорят по ТВ, есть определенные положительные подвижки. Естественно, задача государства – не решать какие-то мелкие проблемы, а создавать некую стратегию и некую динамику. Могу сказать, что законодательство, конечно, бывает очень спорным, но оно идет по определенной тропе, и появляется некое понимание, что нужно иметь что-то свое и это «свое» защищать. Это и различные доктрины, много законов, начиная от персональных данных, закона о блогерах. Все, что происходило в СМИ, несет политику, что определенные сервера должны находиться у нас, мы должны обеспечивать их безопасность и получать к ним доступ. И никто другой не должен получать к ним доступ, что тоже важно. Мне кажется, что на уровне государства (это глобальный уровень, всегда очень много критики к каким-то строкам в законе и непонятным словам, которые можно по-разному интерпретировать, но нужно понимать, что законы принимают не всегда технари) движение в положительную сторону. К чему все это приведет – говорить сложно. У нас, к сожалению, из-за одного слова или запятой в законе можно его полностью обратить во вред.

 

JSON.TV: Физически существование серверов в той или иной географической локации действительно важно? Писали об «Аэрофлоте». Но в любом случае, бронирование билетов идет в общей международной системе через Даллас или Хьюстон, я уже не помню, где находится. Насколько это критично и важно?

 

Сергей Никитин: Для разных сервисов по-разному. Очевидно, что любой такой проект очень сильно политизирован. Из-за чего появляются некие абсурдные вещи, что люди не могут получить загранпаспорта, потому что придется передать персональные данные туда и так далее. Я думаю, как это бывает, закон будет применяться выборочно. То есть, говоря о каких-то международных системах, – естественно, нам придется мириться с тем, что если мы хотим ими пользоваться, будет так. Но обязать какие-то коммерческие компании хранить данные россиян в России – вполне можно. Например, даже по решению российского суда часть западных компаний не предоставляет данные. Им нужно решение американского суда. Запросы через Интерпол – это очень долго и часто не приносить результатов.

 

JSON.TV: Международный аспект борьбы с кибермошенничеством, с информационной безопасностью: сейчас стало лучше или хуже, чем было?

 

Сергей Никитин: Наверное, хуже. Учитывая все политические разногласия, обращаться к западным коллегам стало сложнее. На уровне компаний все осталось достаточно положительно. В отличие от силовиков у нас есть возможность общаться с нашими партнерами по всему миру, в том числе обмениваться различной информацией не через государственный уровень, что позволяет достаточно эффективно расследовать киберпреступления. Если бы таких возможностей не было, то, естественно, все было бы значительно хуже.

 

JSON.TV: Расскажите о Вашем личном арсенале, которым Вы защищаетесь: жучки, закладки, антижучки, антизакладки – чем пользуетесь реально?

 

Сергей Никитин: Если говорить про компьютеры, то это некая компьютерная гигиена, что включает различные антивирусные средства, в том числе строго проверка извне. То есть загрузившись с внешнего носителя антивирусом другого вендора. Естественно, для эксперта-криминалиста достаточно просто отслеживать любые изменения автозагрузки и изменения поведения в системе. Это мало подходит обычному пользователю. Если говорить про физическую безопасность, то тоже все на достаточно большом уровне: это контроль учета доступа, видеонаблюдение, плановые проверки на различные закладки, проверки мобильных устройств. Вирусы, которые с помощью камер и мобильника строят трехмерные карты – это уже здесь.

 

JSON.TV: Большой Брат следит за нами? Где он сидит?

 

Сергей Никитин: Как мы понимаем из откровений Сноудена, почти все уходит в           АНБ. У них есть ресурсы и деньги, а главное – политическая возможность влиять на большинство информационных компаний.

 

JSON.TV: Спасибо Вам огромное! Напомню, что нашим гостем сегодня был заместитель руководителя лаборатории по компьютерной криминалистике компании Group-IBСергей Никитин. Спасибо вам еще раз, ждем в гости. Всем всего доброго!