Константин Корсун, основатель «Украинской группы информационной безопасности»
Российской киберармии не существует, существует альянс ФСБ и криминала
30.01.2017 14:14 4403

Долгие годы мы с ними шли параллельным курсом, никогда не пересекаясь. Мы - это журналисты, чиновники всех уровней, политики, сотрудники государственных и частных кампаний, простые пользователи. Они - это круг специалистов по информационной безопасности. Долгие годы мы думали, что информбезопасность - это одноразовый эпизод: ну там, когда тебе надо поставить антивирус, чтобы не зависал компьютер. Что они думали о нас, лучше не представлять. Если бы не война, этот статус-кво существовал бы до сих пор.

Кибервойны и кибертерроризм для Запада - войны будущего. Для нас - война сегодняшняя. Хотя мы не до конца осознаем опасность сражений, в которых армия будет только огневой поддержкой. Список объектов критической инфраструктуры мы формируем в своей голове только тогда, когда на этих объектах побывали российские хакеры. Цифры успешных инцидентов (когда вторжение в информационные сети предприятия россиянам удалось) мы до сих пор не научились понимать, как возможную катастрофу, которая могла произойти с жертвами, с выведением из строя жизненно необходимых систем.

Но процесс продолжается. Тема кибербезопасности появляется все чаще, она заинтересовала медиа, она есть в риторике чиновников самого высокого ранга. Да и профессионалы в этой сфере в определенной степени мобилизовались и в чем-то открылись, делятся и популяризируют тему информационной защиты. О кибервойне, о подпольном Интернете, о последних событиях в сфере кибербезопасности мы говорим со специалистом информационной безопасности, основателем общественной организации «Украинская группа информационной безопасности», организатором многолетнего форума по вопросам информбезопасности UISGCON, основателем компании «Бережа Секьюрити» Константином Корсуном.

ПРИЧИНА АРЕСТОВ В РФ - НЕ ЗАЧИСТКА, А СКОРЕЕ НАКАЗАНИЕ ЗА РАСПИЛ

- Топ-новостью минувшей недели в России стало сообщение об аресте ФСБ топ-менеджера лаборатории Касперского, что журналисты связали с арестом сотрудника ФСБ Михайлова, который якобы был заказчиком и куратором хакеров всего российского интернета. Источник в наших правоохранительных структурах считает, что это Россия зачищает людей, которые были ответственными якобы за хакерские атаки на европейские структуры, на Демпартию США и на нас. Как вы прокомментируете эти довольно громкие аресты?

- Почему россияне арестовывают россиян? Если бы их надо было зачистить, эти люди бы просто исчезли навсегда. ФСБ это умеет делать, как никто другой, а тем более на собственной территории, собственными гражданами, которые работали собственно на Кремль. Думаю, что речь идет о хищении средств бюджетов российского ФСБ или российского правительства на какие-то мероприятия, связанные, возможно, с кибероперациями. В ФСБ большие бюджеты, системы проплат для российских хакеров, как вы понимаете, не проходят через систему Прозорро, колоссальное поле для злоупотреблений, да и русская традиция распила способствует.

- Давайте про русскую армию хакеров поговорим. И медиа, и некоторые западные центры утверждают, что существуют где-то полтора десятка хакерских групп, которые есть на балансе российских военных ведомств, армии, разведок. Все эти группы называются обычно Медведь с добавлением прилагательных «энергетический» - для энергосистем, «веселый» и «забавный» - для проникновения в наши ведомства, «гризли» - будто бы занимался Демпартией. И вся эта братия существует под крышей разведочных кибер-подразделений APT28 или APT29. Насколько это кажется вам достоверным?

- У меня есть собственная теория. Я наблюдаю за андеграундом, или как его еще называют - dark Internet, или «подпольный WEB», около двадцати лет. Люди, которые там работают, действительно высококлассные специалисты, они работают за деньги, потому что там надо много что знать, быть знакомыми с различными операционными системами, уязвимостями, иметь очень-очень много чисто технических, а еще и навыков социального инжиниринга. И брать их на зарплату для каких-то очень простых функций - смысла большого нет. А чтобы разработать какую-то высокоинтеллектуальную операцию, тут нужен свободный художник, который не работает по распорядку и на зарплату. Если дают задание: сломайте нам это, надо посмотреть, провести сканирование, как-то изучить историю доменных имен, где какие IP-адреса, какая там система, веб-сервер и т. д, какое ПО (программное обеспечение) применено или проплаченная версия, есть ли какие-то существующие уязвимости, на базе тех уязвимостей специально создать эксплоит (специальная программа, которая использует уязвимости), это такая очень интеллектуальная, очень высокого уровня нестандартная работа. Если ты можешь взломать один сайт, то совершенно не обязательно, что ты можешь сломать другой сайт, ибо там уже могут использоваться совсем другие подходы при его построении, или защита или сочетание средств защиты могут быть совсем другие, чем на предыдущем сайте.

То есть, я не имею каких-либо серьезных доказательств, но на базе своего опыта и общения с разными людьми, работая в этой сфере с 2000 года, - что армии хакеров не существует. У ФСБ или ГРУ есть огромный бюджет. Этот бюджет можно использовать бесконтрольно. Если ты рассчитываешься биткоинами в Интернете, платишь за определенные услуги биткоином, то биткоин не выдает чеков или каких подтверждающих документов, что ты кому-то заплатил. Силовые структуры имеют огромные бюджеты на то, чтобы в свободном андеграунде нанимать людей под определенные задачи. И есть какие-то люди, я имею в виду хакеров, которые специализируются на разных вещах: один - на андроиде, другой - на експлоитах, третий - на связях, четвертый - пишет боты под заказчика.

Например, перед ФСБ ставится задача сломать, скажем, сайт «Миротворец», и они смотрят, как он работает, что хост у него такой, такой домен, IP-адрес там такой или где-то пул (IP-адрес), какая там применена операционная система, связанные электронные адреса, и это задача дробится на несколько подзадач, каждую подзадачу может выполнять какое-то другое лицо или группа лиц, которые не знают об общей цели, координационный центр весь у куратора ФСБ, например, находится. И эти маленькие задачи выполняют люди в андеграунде, которым платят биткоины, то есть, это не возможно отследить. Ну и бюджет у них есть, чего нет, скажем, у СБУ. В СБУ контроль, какие-то расписки должны быть, подтверждающие документы и прочее, у ФСБ большие неподконтрольные деньги. Определенным образом можно сказать, с очень большой натяжкой, что это армия какая-то, киберармия, но, на самом деле, мозговой центр только там, в 18-в центре ФСБ, который является главным координационным центром для подобной киберактивности.

- Ваша теория разрушает представление СМИ о кластере организованных хакерских групп.

- Медведи эти все - это все очень условно. Есть яркий пример того, как на самом деле на высоком уровне работает криминальный андеграунд. Существовала такая в Италии компания «Haking Team», которая разрабатывала хакерские инструменты и средства по заказу за огромные деньги. Этого инструментария не было в паблик андеграунде, они не продавались нигде, они делались под заказ, то есть, это штучный товар.

Полтора года назад был громкий скандал, потому что их самих взломали, слили базу, и там было очень-очень много всего интересного, то есть - их разобрали, выложили в паблик все, что у них нашли на компьютерах. Действительно, это было очень дорого, это штучный товар, он очень качественный. Но среди их клиентов были и русские, и китайцы, и американцы. Они продавали продукт и правительствам, и государственным агентствам, и частным фирмам, но кто угодно не мог бы этого купить, во-первых, из-за огромного ценника, кажется, от 50 тысяч долларов они продавали продукт. И во-вторых, там чужие не ходят, заказ можно было сделать только по двум-трем рекомендациям от проверенных клиентов.

Я ДУМАЮ, ЧТО РОССИЯНЕ КОНТРОЛИРУЮТ И СЕТИ РЕСПУБЛИКАНСКОЙ ПАРТИИ

- Недавно был обнародован доклад американской разведки. Как вы оцениваете уровень атаки на Демпартию США?

«А кому нужен мой e-mail?» - вот ключевой вопрос неопытного пользователя

- Прорывов не было, используются достаточно известные средства и меры, все это давно уже обкатано, все апробировано уже много раз, это работает и базируется на человеческих слабостях, на невнимательности, на недостаточном обращении внимания на информационную безопасность, собственный e-mail. «А кому нужен мой e-mail?» - вот ключевой вопрос неопытного пользователя. Демпартия - большая партия. На них работают тысячи, а так или иначе там вовлечены сотни тысяч людей. Это и секретари, и администраторы, и копирайтеры, люди, которые организовывают встречи с избирателями, и много-много людей, которые переписываются по e-mail. Они переписываются годами, знают друг друга, что это Том Джонс или какая-то там Алисия Сильверстоун. И для проникновения достаточно взломать аккаунт лишь одного из тысяч людей (например, у одного из них защищен аккаунт, у другого - не очень).

Ваш аккаунт взломали, получили доступ. Вы даже этого не заметили, вы не проверяете, кто и когда входил в ваш аккаунт ночью, например, и вообще, вы не знаете, как это делать. На ваш e-mail есть доступ, и сначала читают - с кем вы переписываетесь, о чем, на какие темы, в какое время, кто, где будет находиться на уикенд и на праздники. Все это долго изучается или недолго изучается в зависимости от поставленной задачи. И вот когда все уже изучено, с вашего е-мейл аккаунта другому вашему корреспонденту, вашему коллеге или другу, или родственнику присылается какое-то очень похожее на натуральное сообщение: напомни мне там текст такой. Произошли изменения в графике нашего кандидата на встречи с избирателями, завтра, пожалуйста, открой в файле табличку. Ваш коллега совершенно даже ничего не заподозрит, просто открывает то, что в приложении, а в этом приложении там может даже и таблица быть настоящая, но как ее называют - «склеечка» такая к этому файлу или ПДФ. Добавляются маленькие несколько байтиков вредоносного кода, и этот код предоставляет доступ к е-мейл аккаунта вашего коллеги. И дальше они начинают контролировать второй, третий, четвертый, пятый, десятый такими простыми методами, и они приобретают контроль. А потом уже и к веб-серверам и веб-сайтам определенным, и ко внутренним базам данных, и еще к чему-то.

Если имеешь много денег, терпения и времени - спокойно, без паники изучать письма, е-мейлы, потом инфраструктуру, потом можешь получить админские права того сервера, к сайту, к базе данных, к чему угодно. И потом там ты полностью контролируешь все это и имеешь определенный доступ, и можешь делать с этим, что хочешь. Ты можешь взять и killdisk какой-то запустить и удалить все данные на всех серверах или компьютерах. Можешь рассылать фейковые сообщения, сливать какие-то данные о корреспонденции, можешь какие-то провокационные лозунги выкладывать на сайте или в базе данных. Ты можешь подменить данные на те, которые выгодны тебе.

То есть, достаточно точку входа найти, а для такой огромной организации, как Демократическая партия, и, собственно, и Республиканская тоже (я думаю, что они и сейчас имеют доступ, но не используют по ряду причин) всегда найдется самая слабая цепочка, звено, которое будет считать: да кому нужен мой e-mail, у меня ничего тайного! Даже через секретаря, где-то в каком-то штате, какого-то маленького городка, через его аккаунт можно выйти на всех остальных и потихоньку получить доступ к ключевым ресурсам.

О ПРАВИЛАХ АНДЕГРАУНДА И ТО, КАК ИХ НАРУШАЮТ

Вообще, в подпольном преступном мире уже якобы давно сложились правила: как жить, что делать, чего не делать. Обычно, очень часто, я имею в виду русскоязычный андеграунд, там одно только правило так называемое - не работаем по «ру», по российским ресурсам и банкам. То есть, все боты, трояны, експлоиты и другие продукты хакерские - когда продают, то обычно есть неписанные и писанные на форумах правила: не работаем по «ру». Теоретически, они не работают в зоне, скажем так, всего СНГ: Украина, Россия, Беларусь, страны бывшего СССР. Но когда речь идет о политических заказах российской власти, эти правила нарушаются, хотя никто в этом стараются не признаваться. То есть, нельзя, но если очень хочется (потому что большие деньги), то можно. Потому что на форумах минусуют и банят за работу по «ру».

- Мы пока что выглядим довольно беспомощными на фоне такой активности россиян, согласны?

- Формирование нашей оборонной системы - в начальной стадии. Есть официальная стратегия информзащиты. Есть осознание - что надо делать, и какое-то в первом приближении понимание - как надо делать. Есть активное сотрудничество с НАТО. У центральных органов исполнительной власти с СБУ есть взаимодействие, есть поставка оборудования, постоянное обучение специалистов. То есть, подготовительная работа очень активная. Я не знаю деталей, и не должен знать. Поэтому оценить степень беспомощности я не могу, но думаю, что это уже не беспомощность, потому что есть осознание, и уже что-то делается. Есть «Киберьянс» и «Киберхунта», некоторые из них - любители, некоторые волонтеры, но люди очень опытные в уголовных аспектах кибердеятельности...

- «Опытные в уголовных аспектах», интересно...

- Ну, это патриотически настроенные волонтеры. Люди, которые ломали почту Суркова, которые создавали на сайтах российских губернаторов «Астраханскую народную республику» (хоть она и простояла там полдня), они много сделали из того, что уже обнародовано и еще не обнародовано. И не стоит преуменьшать их вклад. Они поставили себе цель - применить свои знания и опыт для защиты родной страны.

Но волонтерство не заменит высокой, качественно надлежащей работы. Должен быть надежный базис. А обычно, основой любого базиса является финансирование - устойчивое, стабильное, долговременное и в должном объеме. Но, возвращаясь к «беспомощности» Украины, то эта беспомощность не намного больше, чем, скажем, российская, потому что в России тоже очень много слабых мест. Хотя Россия начала строить свою защиту значительно раньше. Еще задолго до агрессии они создавали государственную систему защиты информационных ресурсов. Они поставили под контроль всех провайдеров уже очень давно, стараются минимизировать иностранное программное обеспечение, иностранное «железо», серверы. Они все проверяют очень тщательно, есть процедура, правила. А у нас в 2014 году где-то треть государственных райгосадминистраций использовала мейл.ру домены. На «ру» доменах была переписка между государственными чиновниками...

У всех чиновников есть один железный аргумент: «ШО? Я этого нового не знаю, а я вот это только знаю, и все»

- У нас уже вроде есть распоряжение госчиновникам не пользоваться российскими ящиками.

- Распоряжения, если и есть, то выполняется в Киеве, а как проконтролировать райцентры Винницкой области или Сумской, скажем? На это же и средств особо нет, и надо решать с доменной зоной, надо управлять пулом доменных имен, написать порядок - как регистрировать, чтобы там все было безопасно, чтобы как-то научить людей. Потому что у всех чиновников есть один железный аргумент: «ШО? Я этого нового не знаю, а я вот это только знаю, и все».

А в России жестко наказывали за невыполнение распорядительных документов. Очень жесткое регулирование было - никаких джмейлов, ничего. Они с этим начали бороться еще с начала 2000-х. У нас это только в начале.

Как донести до «Степана Петровича» из глубинки необходимость смены электронного почтового ящика с «ру» на «джмейл»?

Но ситуация значительно лучше сегодня, в том же Генштабе, насколько я знаю, существует целое управление по кибероперациям. В Службе безопасности есть подразделение, в МВД есть подразделение, Киберполиция у нас, кстати, была создана. Мы создавали нашу общественную организацию «Украинская группа информационной безопасности», в которой вопрос киберграмотности для всех украинцев было одним из ключевых. И мы стараемся продвигать это, но как донести мне до Степана Петровича из Винницкой или Середино-Будской районной государственной администрации Сумской области необходимость смены ящика с «ру» на «джмейл»? У нас нет канала коммуникации между ними и ним. Его нет в Фейсбуке.

- Я недавно разговорила с одним аналитиком. В том числе о проблеме неиспользованных средств министерствами. Он, в частности, сказал, что Министерство финансов, имея бюджетную строку, не закупило никакого оборудования для кибербезопасности в 2015-м году. А в 2016-м - хакнули Госказначейство и Минфин. Правительство бегом в тот же день выделило 80 миллионов гривен на кибербезопасность. А потом я вычитала на ваших форумах информспециалистов, что до конца года на эти средства ничего путного не сделаешь. Можно ли каким-то образом организовать контроль за этим, выделяются ли средства и как они расходуются, на что они тратятся?

Помните хакерский инцидент на Прикарпатьеоблэнерго 25 декабря 2015 года? Чем закончилось? Прикарпатьеоблэнерго закупило лицензию на антивирус! И больше ничего до сих пор не сделано

- Для вложения денег - должна существовать стабильно разработанная система. Взять и бросить деньги, даже не знаю с чем сравнить, - это как взять и купить современный Мерседес очень дорогой и ездить на нем по сельским дорогам, то есть инфраструктуры нет, заправок нет, ремонтироваться негде, но Мерседес посреди этого всего расстройства. Какой была система в Минфине, я не в курсе. Было ли там специальное подразделение по информационной безопасности, какие там электронные базы данных, почта, серверы? Разрабатывалось ли оно с учетом мер безопасности? Но в принципе, какие-то разовые денежные вбросы, они, мягко говоря, не эффективны, тем более, когда оно бросается на неподготовленную инфраструктуру. По традиции, эти деньги или не используются, или разворовываются, чтобы не возвращать.

Помните, был инцидент на Прикарпатьеоблэнерго 25 декабря 2015 года? Резонанс был на весь мир, приехали американцы, все мировые газеты об этом писали, что выключили свет хакеры удаленно в Украине. У всех моих коллег журналисты со всего мира брали интервью, интересовались, как вы прокомментируете, как это возможно. Была там комиссия, в СБУ расследовали, кто-то там еще расследовал, привлекались известные коммерческие компании по кибербезопасности. Чем закончилось? Самое интересное. Внимание! Прикарпатьеоблэнерго закупило лицензию на антивирус! Антивирус, эффективность которого где-то процентов 15-20 - и то, против не очень опытных киберпреступников. Это как поставить среди поля шаткую фкалитку, которой хотят защититься от татаро-монгольской орды. Есть опасения, что нечто подобное будет и с Минфином и Казначейством, если нет системного подхода, понимания проблемы.

Инвестировать надо не в «железо», а в людей. Потратить, чтобы кто-то подготовил специалистов, либо нанять уже готовых специалистов на нормальную зарплату, которая будет интересна (в кибербезопасности это где-то от тысячи долларов в месяц), которому можно доверить безопасность фирмы или компании, или организации. Такой человек будет предлагать меры, он скрупулезно подойдет к изучению проблематики.

У НАС ПОКА НЕ СФОРМИРОВАНО ВИДЕНИЕ, КАКИЕ ОБЪЕКТЫ ДОЛЖНЫ БЫТЬ В ПЕРЕЧНЕ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ

У нас же какая главная проблема с критической инфраструктурой? Никто не знает - что это такое, и какими критериями ее выделить. То есть, может это банки? Но какие именно банки? Дальше, видимо, это энергетика, транспорт, это связь вся, Интернет-провайдеры, Укртелеком, вообще все. Для начала надо определить хотя бы отрасли эти. Рыбное хозяйство - это критическая структура или нет? Какие риски, если там взломают серверы Министерства агропромышленной политики, рыбное хозяйство - это критично? Пожалуй, что нет, как по мне. То есть, это проблема кучи орехов, два орехи - это куча? Нет. А три? Нет. А четыре? Какие отрасли, в отраслях какие предприятия, министерства, компании, то есть, это и частные компании, и государственные, и может какие-то публичные общественные компании. Я еще когда работал в правоохранительных структурах в начале 2000-х, тоже плотно занимался этой проблемой, писал письма, списки эти готовил по объектам критической инфраструктуры.

Сегодня я ситуацию вижу так: сначала надо составить перечень предприятий, затем по каждому объекту определить, как это защищать, потом свести все в единый координационный центр и потом уже, понимая, что защищать и как защищать, посчитать - сколько надо потратить денег, и после этого идти к руководству просить с аргументацией, с расчетами, с графиками, и каждую цифру подтверждать. А у нас принято, просто деньги - бум, и что с ними делать?

- Наши специальные органы очень берегут военные тайны относительно киберинцидентов. Ну, например, инцидент на облэнерго разложил через пару дней Олег Сыч из лаборатории Зилла, об инциденте в Госказначействе через день написал подробно Черепанов из Эстета. А наши службы еще год будут беречь секрет полишинеля.

- В таких специальных сферах определенным образом должны быть какие-то секреты. Я не имею однозначной оценки.

- Тут Президент недавно сказал, что мы можем атаковать, и ваши коллеги на форумах долго по этому поводу подшучивали.

Про украинскую киберармию или киберсилы - говорить рано

- Официально существование киберармий подтвердили несколько стран. (Китай, Россия, США, Северная Корея). Может, еще во Франции есть. Так или иначе, такие подразделения кибернападения есть в каждой более-менее развитой стране. Должны быть и какие-то операции поддержки, продвижения каких-то государственных интересов. А Украина пока не подтвердила существование такой армии. Официально такие люди существуют, но как армии - ее нет, поскольку у Службы безопасности свои узкие задачи, у Генштаба и Минобороны - свои очень узкие, у киберполиции - вообще чисто экономические преступления. Возможно, на уровне где-то доктрины или стратегии и есть где-то там сверху понимание - как это должно быть, то есть, против кого дружим, защищаем, каким образом мы будем что-то делать, в каких случаях, какими силами, средствами и тому подобное. В настоящее время у нас есть подборка определенных достижений, которая может создать впечатление, что у нас есть постоянные какие-то люди, которых можно назвать киберармией, которая может выполнять поставленные руководством страны задачи. На самом деле, я думаю, что это только такие островки, которые еще только формируются в некую целостную структуру. Но про киберармию или киберсилы - говорить рано.

- В последнем Бонде кибертеррорист выглядит сильнее Бонда.

- Они часто сильнее представителей порядка. Это криминал, но это интеллектуальный криминал.

- Но не подорвет ли это основы информационного общества, когда часть людей просто не сможет себе позволить меры безопасности и не будет иметь никакой электроники, никакого Интернета в доме. А часть будет всегда под прицелом, а часть будет хозяевами. Можете ли вы спрогнозировать в будущее - если этот криминал будет крепчать?

- Понимаете, общество в целом базируется на том, что криминал - это маргинальное меньшинство. И так оно и есть на самом деле, и, к счастью. Если большинство в Украине выбирает маргинального кандидата в президенты, то значит так и должно быть, потому что большинство так хочет. А когда криминал легализуется, он становится политиками, банкирами, уважаемыми бизнесменами. Я верю в то, что киберкриминал всегда будет проигрывать, потому что это логика отношений между людьми, это диктуется историей. Кроме того, нормальное общество, где есть ценности, семья, работа, отдых, театр - это все выглядит социально привлекательным даже для преступного мира. Тем более, что в этом бизнесе находятся неординарные люди, которые заработанные деньги тратят, скажем так, как и мы. Они тоже покупают себе машину, и хорошо понимают, что ее надо произвести где-то на заводе, нанять людей, разработать технологии. Они покупают красивую одежду, которая тоже должна быть кем-то произведена. Они ездят отдыхать на курорты, для строительства которых следует нанять людей и т. д. Они паразиты, преступники всегда паразиты, но они способны идентифицировать такие причинно-следственные связи и понимать пользу всех сфер общественного строя.

Лана Самохвалова, Киев

Фото: Евгений Любимов.

При цитировании и использовании каких-либо материалов в Интернете открытые для поисковых систем гиперссылки не ниже первого абзаца на «ukrinform.ru» — обязательны. Цитирование и использование материалов в офлайн-медиа, мобильных приложениях, SmartTV возможно только с письменного разрешения "ukrinform.ua". Материалы с маркировкой «Реклама» публикуются на правах рекламы.

© 2015-2017 Укринформ. Все права соблюдены.

Дизайн сайта — Студия «Laconica»
Расширенный поискСпрятать расширенный поиск
За период:
-