Кибервойна-2017: Чего испугались хозяева «Пети»?

Кибервойна-2017: Чего испугались хозяева «Пети»?

Аналитика
523
Ukrinform
Сколько человек нужно для киберобороны и сколько для наступления

Я прихожу сюда второй год подряд, и ухожу отсюда со сдержанным оптимизмом. Ну какой-никакой инкубатор или кадровый резерв для украинской кибер-армии уже есть. И в этом то ли инкубаторе, то ли учебке для кибер-спецназа  подводятся первые итоги чуть-чуть уходящего года (не радуемся, впереди Новый год и праздники — они так сказали), обсуждаются кибер-угрозы предстоящего. Предлагаются рецепты, как защититься, ну и смотрят, а кого там ломали в мире или еще сломают.

На конференции по кибербезопасности Украинской группы информационной безопасности (проходит ежегодно в столичном Президент-отеле) собираются очень разные люди. Те, кого под микроскопом изучает в Москве 18-е «компьютерное» управление ФСБ, те, кто хорошо известен и в несветлой зоне Интернета, IT-офицеры, сотрудники правоохранительных структур. Еще видела девушек с учебниками по компьютерной криминалистике под мышкой (какие-то будущие кибер-клариссы стар).

Еще такой эпизод: когда во время шутливой презентации о наших кибер-законах и подзаконных актах один из спикеров в качестве иллюстрации стал выводить на экран фотографии известных в мире хакеров, то при виде самого разыскиваемого из них, Евгения Богачева, кто-то за спиной иронично хмыкнул: «О, Женька». (Мне больших усилий стоило не оглянуться и посмотреть: кому этот бандит просто “Женька»).  

В виртуальном мире все перемешано и там много равенства. В Украине свободные киберхудожники из Киберальянса могут потестировать государственные правительственные сайты на предмет их взлмываемости, потом довольно вывалить это в Фейсбуке, язвительно спросив свои жертвы из правительственного сектора, а чего это вы такие открытые и уязвимые. И получить в ответ: нет, не угрозы (типа, не трожь мои сети, а то сядешь), а извинения — виноваты, мол, все исправим. Уже исправили — спасибо, что не обходите нас своим вниманием. Наша сфера кибербезопасности в лицах,

Это странный и очень разный реально-виртуальный мир, который при всей гибкости царящих там правил, очень хочет, чтоб в стране стало безопаснее и чтоб тут на шастал российский кибер-сапог. 

О чем шла речь на конференции?

ЧТО БЫЛО: ВСЕМ БОЛЬНО ПОСЛЕ ПЕТИ

Хоть это и не прозвучало прямо, но главным событием 2017-го года на конференции была признана атака на М.Е.Док (а на сленге – просто Медок) 27 июня. «Всем больно после «Пети» (имелось ввиду «Непети». - Авт.)»,  - философски заметил один из спикеров, известный специалист по кибербезопасности, Николай Коваль.

Собственно, истории атаки и какому-то переосмыслению была посвящена целая панель. Один из главных выступающих Девид Мейнор, который был участником международной команды «ликвидаторов» последствий, рассказал о том, как искали причины и лекарства, буквально что, с той первой ночи. Именно ночью ему позвонил украинский представитель компании Владимир Илибман и попросил о помощи.

И хотя все присутствующие видели международный отчет расследований команды Cisco-Talos (Talos - это как неотложка для серьезных мировых киберугроз, подразделение компании Cisco - одной из самых крупных в мире корпораций  по кибербезопасности) по Медку, и знали, как именно «Непетя» валил украинские сети, некоторые из них сами ликвидировали последствия, но эмоциональный и какой-то драматический рассказ Девида слушали внимательно:

- Мы поражались тому, как все шло быстро. Песочница, средства телеметрии — никаких сигналов. Тут стали говорить о фишинговом письме, но мы не нашли ничего, что указывало бы на фишинговую атаку. Первые сутки мы ничего не находили. Не было следов. Украинские исследователи в Интернете публиковали какие-то версии, хеши, семплы, которые только дезориентировали. Быстро стало понятно, что программа не вымогательская, что  направлена на коммерческие структуры.  Через сутки стало понятно, что атака шла через пакет обновлений, это подтвердила телеметрия конечных точек. Мы обратились к компании Медок, которая проявила открытость, предоставила лог-файлы и коды и помогала расследованию.

Зал скептически фыркал, поскольку хорошо помнил, что первые сутки Медок постоянно отрицал свою причастность и продуцировал опровержения.

Девид Мейнор еще немного рассуждает о доверенных средах, о том, как важно не дать перехватить контроль над трафиком, что атаки будут становиться все серьезнее (и не только у нас — британские ведомства тоже штормит) и все сложнее будут маскироваться.

После выступления к сцене вышла женщина — представитель Медка: «Все уже ненавидят Медок, у меня прям самой уже глаз дергается. Но, создавая автомобиль, все ведь хотят на нем ездить, а не поддаваться риску. Произошло то, что произошло, я благодарна Таллосу-Циско за помощь, и хочу вам сказать, что 24 августа планировалась атака на еще один очень популярный и очень востребованный в Украине программный продукт, такой же популярный как наш. И благодаря усилиям в том числе американской команды, этого не произошло».

- Создавая автомобиль, и рассчитывая на нем ездить, люди серьезно вкладывают в его безопасность, - ответил ей кто-то из зала, вызвав одобрение аудитории.                                        

В перерыве на кофе специалисты по информбезопасности  обсуждали, какая же атака планировалась на 24 августа, через что именно. Кто-то считал, что это бухгалтерская программа 1С (шутка повторенная дважды — вдвое смешнее), другие считали, что это программный продукт Лиги (ну раз они потушили сервера). Третьи считали, что ничего бы не произошло, и власть просто перестраховывалась, чтоб никто не терял бдительности.

МЕДОК, ЕВРОВИДЕНИЕ И НЕ ТОЛЬКО

И хотя удавшейся (на наш взгляд) российской атакой на Украину можно считать только одну. Но она была совсем не единственной.

Про ландшафт угроз текущего года рассказывал на параллельной секции Николай Коваль.

- В феврале в 2017 года были предприняты атаки на международный Выставочный центр, - рассказал он. – После обнаружения их, для нас стало очевидным, что это атака в преддверии Евровидения и именно на то место, где будут происходить концерты. Любопытно, что когда мы отправили отчет в эту структуру, нам оттуда позвонили с претензией: а почему вы ломаете наши сети? Но то, что Евровидение удалось провести без сбоев, говорит о том, что наш отчет был полезен.

По словам Николая, в текущем году были атаки на аэропорт, железную дорогу, нефтегазовые компании, финансовые системы и предприятия оборонно-промышленного комплекса. Они не удались.

-  Сейчас реже пытаются атаковать сами организации, а стараются атаковать поставщиков софта, посредством чего можно было нанести большой ущерб.  Первый такой случай мы зафиксировали в 2014-м году. За три года были атакованы минимум четыре поставщика, - рассказывает Николай. - Очень внимательно надо относиться к поставщикам, принимайте для себя политику нулевого доверия. Наблюдайте за софтом, изучайте реестр программ, любой запрос на обновление должен вами серьезно мониториться.

Николай рассказывает, как в 2014-м году была произведена атака на украинской объект с режимом секретности, где есть защищенная зона и компьютеры, которые вообще не подключены к Интернету, а документы на него приносили в зашифрованном виде на флешке. Злоумышленники получили доступ к корпоративной почте. По корпоративной почте они распространили легитимный зашифрованный файл с эксплойтом, который сработав, стал дополнительным функционалом. И невольно поражаешься двум вещам: многоходовой и сложной операции россиян (ну а кто еще — скажите на милость?), с другой стороны — способности наших компаний разгадывать такие загадки, предвидеть и предупреждать последствия.

НАРКОИЗЮМИНКА ВЫСТУПЛЕНИЯ

В качестве «десерта» Николай показал аналитику одного сайта для наркоманов Российской Федерации. Имя сайта не называлось. Сам сайт был призван показать IT-специалистам, как широко можно пользоваться своими возможностями для обеспечения безопасности.

К слову, сайт предлагал 24 продукта, наркокурьеры действовали в 118 городах России. За два года  с сайта было отправлено 12 миллионов долларов США с 59 тысячи кошельков на 2 тысячи. Это сотрудники, у которых по одному и три онлайн-кошелька.  В общем, системно Россия потребляет и сбывает, страна-то великая.

«Что делать с этой информацией дальше – не понятно, но, по крайней мере, интересно», — пошутил спикер.

ПРОМЫШЛЕННЫЕ ДИВЕРСИИ БОЕВОГО ЧЕРВЯКА ПРИ ОБОГАЩЕНИИ УРАНА

Центральным на конференции было выступление Ким Зеттер. Американская журналистка, которая изучила самую серьезную, ставшую уже хрестоматийной, атаку вируса Stuxnet на завод обогащения урана в Иране. Это был очень компетентный рассказ о самом сильном созданном на сегодня цифровом оружии, способном вызывать серьезнейшие потрясения.   

- Боевой червяк (А Stuxnet относится к такому виду вредоносного программного обеспечения, как компьютерный червь) - это такой программный код, один хвост которого (ранняя версия) способен контролировать вентили ядерных центрифуг. Другой хвост (поздняя версия) управлять частотой их раскрутки. Его принесли на заводы ядерного обогащения Ирана на обычной флешке, - рассказывает самая популярная в США журналистка, изучающая кибер-безопасность.

Но Stuxnet опасен не только Ирану. Этот тип вируса создан для больших систем управления промышленными предприятиями SCADA (Supervisory Control and Data Acquisition), т. е. «диспетчерское управление и сбор данных». Они участвуют в технологических процессах электростанций, трубопроводов, предприятий военной сферы, гражданской инфраструктуры.

«Стакснет как бы перепрограммирует программу PLC (Programmable Logic Controler — программируемый логический контроллер) и начинает сам отдавать команды,» - объясняет Ким (такое действие сродни тому, чтобы поменять компьютеру мозг).

Ким подробно останавливается на цепочках, показывает, как все происходило и где еще может произойти.

В конце предупреждает: такое возможно и в Украине, если мы будем невнимательны.

- Нам и правда, такое может угрожать? - интересуюсь я у организатора конференции Константина Корсуна.

- Малварь (вредоносная программа) уровня Stuxnet стоит миллионы долларов. Все компании защиты, службы информбезопасности внимательно  отслеживают все вредоносное программное обеспечение, появляющееся на черном рынке, все мониторится, все вноситься в базу для создания механизмов противодействия.  Чтоб сделать что-то принципиально новое, надо быть ну очень крутым специалистом, - размышляет Константин. - Stuxnet - это высшая лига, и это редчайший случай, что такого уровня вредоносное программное обеспечение засветилось. Это учебник, хрестоматия того, как вирус не только может повлиять на реальную  жизнь, но и создать опасность взрыва реактора. И его создание  невозможно без господдержки и правительственного финансирования. Они могут разрабатываться год-два, потратить 10 миллионов долларов.

НУЖНА ЛИ УКРАИНЕ КИБЕРАРМИЯ?

Позже мы продолжили обсуждение с Константином Корсуном  угроз, вызовов и нашей киберобороны.

- Константин, в мире каждый день что-то происходит. Северная Корея взламывает Южную. Китай шпионит за всеми. Россия взламывает всех, чтоб показать, что она еще ого-го империя. Каждый спикер сказал сегодня, что в Украине еще будут атаки, у экспертов обычно развито чутье на свой предмет исследования. А чем занимается Украина: сидит в окопе? Держит руку на кобуре?

- Мы защищаемся. И пока каждый защищает свое. Мои связи в правоохранительной среде, источники в хакерской среде говорят, что каждый сам защищает свой объект. Нам серьезно помогает НАТО, обучая сотрудников правоохранительных органов. Абсолютное большинство предпринимаемых мер — оборонного характера. Но элементы наступательной обороны тоже есть. Развивать его мы не можем не потому, что  мы такие пацифисты - законы войны одинаковы для всех. Но кибернаступление само по себе — очень дорогая штука, иметь штаб, покупать защитные системы — это стоит миллионы долларов. И пока правительство объективно не готово к таким расходам.   

В условиях существующего финансирования пока невозможно.

- Во Франции киберармия  к 2019 году будет насчитывать 2600 человек и 600 экспертов. В Америке киберармия это 9 тысяч штыков. В Израиле кибербезопасность обслуживают 360 компаний. У Китая есть отдельный род войск — национальные кибер-силы. А нам нужна киберармия и, если да, то сколько нужно туда людей?

- Я не возьмусь называть численность для масштабов страны. Напомню, что у нас пока нет даже официального перечня объектов критической инфраструктуры.  Есть определенное видение, что это железная дорога, атомные  станции, системные банки. Но сколько объектов? Согласно последнего закона, правительству положено составить перечень объектов инфраструктуры и вынудить их заняться собственной безопасностью. Пусть с помощью правительства. Но моя давняя позиция: нужен отдельный центр, который бы координировал всю эту деятельность в масштабах страны. Совершенно новая структура, которая централизованно взяла бы на себя ответственность за все, что касается кибербезопасности.

- Что-то вроде единого командования?

- Да. Есть множество вещей, которые должны быть как-то скоординированы в национальном масштабе. Этот центр занимается построением защиты той самой критической инфраструктуры (пусть это будет даже просто переводом давно существующих в мире стандартов). Дает методологические рекомендации «в одном окне» по защите, подробные инструкции – кому, в каких случаях и куда бежать и обращаться, когда «запылало»; формирует порядок обмена информацией о киберинцидентах (кто, о чем и кому обязан сообщать, как эта информация должна защищаться, кем, каким образом, в каких случаях к ней будут иметь доступ следователи или правоохранители, и многое другое). Это и координация обучения, и законодательные инициативы, и адаптация законодательства. У нас большая страна.  Сначала хватит 100 человек для такой обороны, начальник, замначальника, реверс-инженеры, команда реагирования на инциденты — это оборона. Потом можно добавить небольшое подразделение наступательного характера.  

- Мы прибавили в последнее время в кибербезопасности?

- Мы уже серьезно учимся, тут присутствуют, хоть и непублично, представители всех ключевых структур, работающих в кибербезопасности: в разведке, СБУ, Генштаба, киберполиции. Участникам боевых действий мы дарим билеты. Но что они думают, как воспринимают полученные знания — не знаю, специфика нашей отрасли такова, что мы считаем себя самыми умными.  Но после «Пети» наш мир стал безопаснее, генеральные директора, чиновники вздрогнули. Это все серьезно мобилизовало нас.

Россияне могут нажать кнопку, активируя свои возможности. Я убежден, что у россиян есть заготовки вроде «Пети», что они давно сидят на наших ключевых системах и им надо только дать команду. Недавно один из моих коллег обсуждал: почему они этого не делают. Они продемонстрировали свою силу, но потом испугались кипиша в Америке, сознавая свои репутационные риски решили все приостановить из-за опасений новых санкций.

- Киберальянс в последнее время публикует данные об уязвимости тех или иной структур, Водоканала, Cert-ua.

- Ну они увидели дырку в государственной информационной системе и опубликовали. Они ничего не ищут серьезно, они, образно говоря, проходя мимо, заметив то, что валяется под ногами, пишут об этом.  Это не очень этично с точки зрения кибербезопасности, но это очень эффективно. Потому что в течении суток госструктуры реагируют и закрывают проблему.  Но проблемы остаются. Скоординированные и системные шаги по киберзащите пока не сделаны, кроме закона, который пока только создает предпосылки.

ПОСЛЕСЛОВИЕ

На последней сессии просходило что-то вроде кибер-капустника, выступление называлось: «Правительство, бухло и кибервойна». Серьезные, вобщем-то, люди позволяли себе вовсю шутить над всем: над российской пропагандой («пишут, что в СБУ работает 40 хакеров НАТО, а там работаю я и два моих маленьких раба, гы-гы»), потом они смеялись над самой СБУ (называя ее «Службой безудержных улыбок», в который раз фыркая в адрес указа о блокировании российских сайтов — это их давняя боль, но уже (тьфу-тьфу) заживает), смеялись над киберполицией (они отлично борются с порнографией и мошенничеством, но зачем им в названии слово «кибер»), смеялись над службой Госспецсвязи (обнаруживая на сайте профессиональные ошибки, выводили на слайд и горестно спрашивали зал: и эти люди обеспечивают нам киберзащиту?!) и над собой тоже смеялись: «Не, вы шо: я не офицер, люди могут носить либо погоны, либо голову. Ой, я не наговорил себе случайно на статью?» Люди, спрятавшие под костюм погоны, милостиво улыбались.  

Неконвенционная война прощает неконвенционных солдат и допускает неконвенционный юмор. Иначе нам не победить.

Лана Самохвалова, Киев

Фото: Сергея Рекуна


При цитировании и использовании каких-либо материалов в Интернете открытые для поисковых систем гиперссылки не ниже первого абзаца на «ukrinform.ru» — обязательны. Цитирование и использование материалов в офлайн-медиа, мобильных приложениях, SmartTV возможно только с письменного разрешения "ukrinform.ua". Материалы с маркировкой «Реклама» публикуются на правах рекламы.

© 2015-2017 Укринформ. Все права соблюдены.

Дизайн сайта — Студия «Laconica»
Расширенный поискСпрятать расширенный поиск
За период:
-