Владимир Стыран, этичный хакер, соучредитель «Бережа Секьюрити»
Все, что произошло - акт кибер-терроризма. Последствия его - тотальные
03.07.2017 18:17 1582

- Вы говорите о последствиях для бизнеса сейчас? А последствия для государственных структур.

- Мне трудно сейчас это комментировать, потому что я не знаю, что происходит в государственных структурах.

- Вы видите российский след так, как видит это СНБО?

- Я не могу ни подтвердить, ни опровергнуть. Но посмотрите, кому это выгодно. Это – акт кибертерроризма.

- Обычно кибератаку сейчас делят на составляющие. Отдельно характеризуют каждый этап. Что это было: 27-го, 28-го?

- Вирус Petya – не криптовымогатель, не вымогатель. Деньги и обогащения не были целью атаки.

- А что было целью?

- Моя гипотеза: данный вид атаки называется «DDoS-атака отказа в обслуживании» (нападение на компьютерную систему с намерением сделать компьютерные ресурсы недоступными – авт.) – диверсия. Но по моим прогнозам, и она не является конечной целью. DDoS-атака, как показывает практика, отвлекает на себя все ИТ и ИБ ресурсы жертвы, следовательно является традиционным способом диверсии во время осуществления скрытой, настоящей кибер-атаки. Вспомните сами: DDoS-ят интернет-банкинг банка N, а во время этого воруют средства у его клиентов. DDoS-ят контакт-центр Облэнерго (тогда это был только первый этап атаки на наши энергокомпании), а на фоне вырубят энергетические подстанции. И так далее. То есть, организовали телефонный спам в контактный центр, люди не могли просто узнать о проблеме долгое время потому, что абоненты не могли дозвониться и сообщить об этом. Тоже диверсия во время сложной атаки. Диверсия, которая явно не имеет финансового характера, хотя очень сильно пытается замаскировать это под кибер-криминальную активность. Это подтверждает высокий класс самой атаки, разведки и планирования.

- Этого надо было бояться.

- Ну, еще не поздно?

- Уже поздно.

- ОК, все равно не будем бояться. Как на то пошло – переведем все на ручное управление. Какие выводы должна сделать прежде всего власть? Какие шаги должны быть первоочередными? Закон о кибербезопасности или какая-то другая стратегия?

- Никаких законов. Это написание стратегий, доктрин и законов последние три года по сути иммобилизировало развитие отрасли. Надо же уже делать какие-то определенные конкретные шаги. Нужно обучать персонал, нужно обучать айтишников, совершенствовать свои инфраструктуры. Есть такой американский документ «Cyber Security Framework». Его придумали в NIST-и (Национальный Институт стандартов и технологий в США – авт.). Его еще после первых атак SandWorm/BlackEnergy (имеется в виду кибератаки на Прикарпатьеоблэнерго в 2015 году – авт.) на нашу энергетику за собственный счет перевели и предоставили для бесплатного пользования ребята из компании Cisco. Фактически пособие по созданию системы безопасности. И что мы с этим подарком судьбы сделали?

А если бы начали учить, то сделали бы заражение и распространение «Пети» практически невозможными. И надо брать и так по пунктам реализовывать в каждой инфраструктуре, которая требует внимания. То есть, все, что вы не можете завтра выбросить из своей жизни, должно быть настроено так, как там написано. Надо брать в руки инструменты и начинать делать работу, а не продолжать выдумывать какие-то регуляторные акты и писать стандарты. Все уже есть.

- Получил ли кто-то из тех, кто заплатил вымогателям, их было 17 человек, обратно свои данные?

Платить «крипто-вымогателям» – глупо и непрактично, потому что ничего не возвращается, это просто потерять деньги

- У меня есть двое знакомых, которые заплатили в первой тройке, они не получили ключ. Еще когда даже e-mail был активный и указан на заблокированном экране, они чисто ради эксперимента сделали эти платежи – и ничего не получили. Не платите, не платите – это главное, платить уже не просто глупо, это совершенно непрактично, потому что ничего не возвращается, это просто потерять деньги. Не платите тем, кто вам обещает, что он вам восстановит это за 50-100 долларов. Это то же самое, просто под предлогом того, что другие сделали.

- На последнем глобальном саммите по кибербезопасности искали философский камень: какое количество денег нужно вкладывать в компьютеры и систему защиты, а какое количество в обучение. На что в обороне тратить больше – на антивирусы или людей?

- Основная причина проблем – культурная. Это не недостаточность средств, это не недостаточность железа или учебы. Это культура. Люди просто такие. Они работают так. Это их профессиональный уровень. И то, как они выполняют свою работу, в общем нормально, от большинства угроз они более-менее иммунные.

- Атака началась в 11.30, а в 14.30 кабминовским сетям сказали выключиться, а местные админы начали понемногу бегать по этажам и переписывать компьютеры, которые положили. Можно ли было сделать по-другому? Или как надо было сделать по-другому. Наверное, они знали или о чем-то предупреждали их какие-то правоохранительные структуры?

- Скорость заражения после момента первичной компрометации мгновенная, и она растет экспоненциально количеству зараженных машин. Вы ничего не можете сделать. Ваша скорость передвижения по этажам ниже, чем скорость передвижения червя по вашей сети. Есть все рекомендации, которые могли бы предотвратить эту конкретную атаку. Но враг знал, что мы их не используем систематически, и он этим воспользовался.

- Известно, как началась атака?

- Есть официальные позиции Майкрософта, Киберполиции, других исследовательских компаний.

- А как так получилось: мы запретили российский софт, а такой подарок как вирус нам дал украинский разработчик?

- Какая здесь разница, откуда софт.

- Все эксперты говорили, что именно российский софт является угрозой, через его обновление нам угрожает кибертерроризм, а в конце концов он пришел от украинского разработчика.

- Источники происхождения никакой роли сейчас не играет. Это все жертвы. Злоумышленники заразили одну жертву, вторую жертву, третью жертву. Через них началась атака: через веб-сайты, через софт, через сети, через фишинг тоже были факты. То есть, не стоит обвинять жертв - обвиняйте злоумышленника. Это могло произойти с кем угодно. Источником поражения могла быть любая респектабельная компания. Поэтому прекратите просто на них тыкать пальцем. Просто от них надо требовать лучшего уровня, высшего класса.

- Госспецсвязь призвала крупных акционеров предприятий, относящихся к критической инфраструктуре, не скрывать инциденты, сообщать о том, что произошло. Наконец-то начался этот свободный обмен, стало ли это прозрачнее – обмен информацией?

- Они требуют или они призывают?

- Призывают.

- Это должно быть требованием законодательным, под угрозой уголовного производства против первого лица компании, которое не сообщает о киберинцидентах и последствиях. Вот тогда это будет работать. Призывы – это, конечно, очень хорошо. Но в цивилизованных странах это – требование законодательное или правительственное. И там начальник департамента информационной безопасности занимается не тем, что антивирусы расставляет, а тем, что сохраняет от реального уголовного срока своего генерального директора.

- В ситуации с вирусом «Петя», компьютерная грамотность простого сотрудника компании ни на что не повлияла бы. Очень сложный случай, то, что произошло, это, в принципе, ответственность системных администраторов, так я понимаю?

- Это всегда ответственность менеджмента. Не стать жертвой – задача менеджмента. Менеджмент решает вопрос относительно рисков. Специалисты делают работу согласно того решения, которое приняло руководство. Понимаете, это не проблема программиста, это не проблема сисадмина, это проблема менеджеров. Менеджер либо принимает риски, либо что-то с ними делает.

- Почему не сработали антивирусы?

- Это все маскируется под легитимную активность, понимаете. Потому что сто раз антивирусом проверять это нет никакого смысла. Оно не выглядит как вирус, который атакует.

- Как удалось остановить атаку? Мы сами сгенерировали эти решения?

- Что значит остановить? Некоторые компании уже по второму кругу сейчас переживают, вчера восстановившись.

- Сайт Кабмина уже вечером работал, Нафтогаз открылся...

- Сайт Кабмина я бы не называл элементом критической инфраструктуры. Это информационная система, она публикует данные.

- Нафтогаз, сайт Нафтогаза тоже.

- Кто читает рекомендации людей, которые анализируют сэмплы, то есть экземпляры этих вредоносных программ и выкладывают их в публичный доступ, никто сейчас их не скрывает – все выкладывают сразу в публичный доступ, то есть – кто за этим следит, он может локализовать проблему или восстановиться и не попасть в нее второй раз. Кто взял резервные копии, поднялся и там где-то услышал, что достаточно запатчить (наложить «заплатку») MS17-010 (уязвимость, благодаря которой произошло распространение вируса) – и все будет хорошо, то завтра будет подниматься из резервных копий снова.

- Когда я расспрашивала вас в прошлый раз, чем инфицируют сеть: именно троянской программой или компьютерным червем, то вы говорили, что вредоносное ПО – все это комплексный продукт, который делают под конкретную атаку, это троянская программа и червь вместе. Но вы тут все время упоминаете, что это компьютерный червь, да?

- Первичное заражение – это либо фишинг (рассылка писем от имени популярных брендов, руководства или налоговой с инфицированным файлом), либо легитимное обновление, либо WaterHoling – сложная атака, когда инфицируется популярный сайт, и потом на него приходят потенциальные жертвы, которые цепляют “заразу”. То есть, через такие три вектора происходит первичное заражение, а дальнейшее распространение по локальным сетям – это уже червь.

- Скажите, мы смогли мобилизироваться как-то противостоять этому?

- Ну как мобилизоваться, надо знания иметь, надо иметь культуру. Ну, что я вам могу сказать: нация еще не готова.

Лана Самохвалова, Киев

Фото: Константин Ковпак, Укринформ

При цитировании и использовании каких-либо материалов в Интернете открытые для поисковых систем гиперссылки не ниже первого абзаца на «ukrinform.ru» — обязательны. Цитирование и использование материалов в офлайн-медиа, мобильных приложениях, SmartTV возможно только с письменного разрешения "ukrinform.ua". Материалы с маркировкой «Реклама» публикуются на правах рекламы.

© 2015-2017 Укринформ. Все права соблюдены.

Дизайн сайта — Студия «Laconica»
Расширенный поискСпрятать расширенный поиск
За период:
-