Про масштабну кібератаку WannaCry у всьому світі, про те, яким має бути ідеальне блокування сайтів, про міжнародні кібервійни, хакерські атаки на українські державні установи та загрози, які на нас чатують в інтернеті – читайте в нашому інтерв'ю з технічним директором українського антивірусу "Zillya".
За останній тиждень сталися одразу дві гучні події в кіберсвіті – масове зараження комп'ютерів у всьому світі вірусом WannaCry і розширення санкцій України проти Росії, згідно з якими під заборону потрапили соціальні мережі "ВКонтакте", "Одноклассники", а також сервіси "Яндекс" та "Mail.ru".
Поширення вірусу WannaCrypt (його також називають WCry та WannaCry) почалося вдень 12 травня. Однією з перших атаці піддалася Іспанія; там жертвами стали найбільша телекомунікаційна компанія Telefonica, газова компанія Gas Natural, Iberdrola, що займається постачанням електрики, банк Santander і філія консалтингової компанії KPMG.
У Великій Британії хакери атакували комп'ютери системи охорони здоров'я. У всьому світі виявилися заражені десятки тисяч комп'ютерів. Станом на 15 травня WannaCry інфікував близько 200 тисяч комп'ютерів у більш ніж 150 країнах світу. Найбільше від зараженя постраждала Росія.
Водночас, Україну сколихнула інша подія – 16 травня російські соцмережі "ВКонтакте" і "Одноклассники" потрапили до списку юридичних осіб, щодо яких Україна ввела санкції.
Президент України затвердив рішення РНБО про розширення списку фізичних та юридичних осіб, щодо яких введено санкції. Загалом, обмежувальні заходи стосуються 468 компаній. В указі пояснюється, що заборона діє на інтернет-провайдери за "надання послуг доступу користувачам мережі інтернет до ресурсів сервісів". Порошенко зазначив, що санкції, які були введені проти Росії, можуть бути переглянуті після повного виведення російських військ з території України.
Станом на 18 травня, українські інтернет-провайдери вже почали блокувати доступ українським користувачам до заборонених російських сайтів. Зокрема, "Київстар" та "Укртелеком". Активно роботу з блокування доступу наразі проводять й інші українські мобільні оператори та провайдери.
ТСН.ua зустрівся з технічним директором "Zillya! Антивірус", доцентом кафедри захисту інформації Інституту спеціального зв'язку та захисту інформації НТУУ КПІ Олегом Сичом для детального інтерв'ю щодо останніх події.
Серед іншого ми обговорили, наскільки є ефективним блокування російських сайтів, яким воно має бути насправді, розповсюдження вірусу WannaCry, міжнародні кібервійни, хакерські атаки на українські державні установи, нові кіберзагрози та інші небезпеки, які на нас чатують у Мережі.
- Дуже нагальне питання – блокування російських сайтів в Україні. Деякі провайдери вже відключили доступ до ВКонтакте та інших санкційних ресурсів. Як швидко відбудеться блокування у всій Україні і наскільки воно ефективне?- Насправді указ президента досить далекий від практики. Згідно з ним, усе має бути заблоковано, але як це буде відбуватися з технічної точки зору – поки незрозуміло. Оскільки механізми обходу цих заборон настільки елементарні, що доступні навіть звичайному користувачеві. Тобто, той, хто захоче потрапити до соцмережі, – зробить це легко й швидко. Ясна річ, що це зробить не кожен користувач.
Намагаючись обійти систему блокування, користувач наражає себе на якусь небезпеку?
- Використання VPN-клієнтів або TOR-клієнтів не вплине на безпеку користувача негативно, якщо це будуть продукти відомих компаній, яким довіряють. Швидше навіть навпаки. Інша справа, що передбачається поява великої кількості фейкових сайтів, сайтів-посередників, які нібито допоможуть користувачеві отримати доступ до потрібних йому ресурсів.
Також існує небезпека появи шкідливих програм, замаскованих під VPN-клієнти або проксі-сервера, що нібито дозволяють користувачеві отримати доступ до сайтів. І так, вони справді можуть дати користувачеві таку можливість, але при цьому, треба розуміти, що власник VPN-сервера по суті буде мати доступ до всього трафіку користувача.
Все інше - це питання чесності VPN-сервісу і довіри клієнта. Адже врешті-решт ми довіряємо свій трафік своїм інтернет-провайдерам, адже вони також потенційно мають можливість отримати доступ до будь-якої інформації, що передається. З використанням VPN у провайдера така можливість втрачається, але вона з'являється у власника VPN-сервісу.
- Виходить, що механізм заборони недосконалий. Як би мало відбутися ідеальне блокування, щоб користувачі не мали можливості обходу?
- Річ у тім, що такого механізму немає. Інтернет не контролюється державою, немає єдиного центру контролю та моніторингу, немає єдиного каналу зв'язку. Було би дуже круто, якби Україна мала єдиний канал зв'язку, який можна було б контролювати. Схожу технологію зробили китайці – так званий Великий китайський файрвол (The Golden Shield Project – ред.). Тобто, китайський сегмент інтернету повністю відокремлений від зовнішнього світу, вони мають один-єдиний канал зв'язку, який контролюється урядом. Звісно, є піратські підключення, але влада їх постійно відстежує й блокує. Там все просто, є заблоковані сайти, заблоковані протоколи. Китайський підхід – тоталітарний, але, напевно, наразі найкращий.
- Нещодавно трапився ще один масштабний інцидент – вірус WannaCry. Як так сталося, що одночасно у всьому світі зараженими опинилися десятки тисяч комп'ютерів?
- Програми-блокувальники, програми-шифрувальники існують вже досить давно. Ця напасть переслідує нас вже декілька років. Коли вони потрапляють на наші комп'ютери, починають шифрувати документи, користувацькі файли, після чого вимагають викуп. Та зазвичай користувачі самі винні в цих проблемах. Або вони відкрили листа від неперевіреного джерела, або власне документ, який насправді виявився шкідливою програмою, або зайшли на якийсь сайт, звідки програма завантажилася, часто "підхопити" вірус можна і в соцмережі.
Натомість WannaCry – епідемія унікальна. Це не просто троянська програма, це черв'як, який має функцію шифрування даних. Деякий час назад стався масштабний витік даних про уразливості в операційній системі Windows. Подейкують, начебто ці уразливості експлуатувалися АНБ (Агентство національної безпеки – ред.). Напевно, ми про це знати не можемо, але те, що уразливості досить серйозні – це факт.
Уявіть собі, що дірка в системі (операційній системі – ред.) дозволяє зловмиснику запустити код на вашому комп'ютері віддалено, не маючи прав адміністратора. Вони надсилають спеціальний пакет даних, який невірно обробляється службовими протоколами вашої системи, і цей пакет запускає фрагмент коду на вашому комп'ютері, виконуючи своє завдання.
У випадку з WannaCry надсилався пакет, який неправильно інтерпретувався комп'ютерами із "дірявою" операційною системою, запускався сніпет коду, далі він завантажував із Мережі постійні фрагменти коду і вже потім встановлював троянську програму. Після цього програма починала шифрування даних і розмножувалася далі на всі інші комп'ютери. Тобто кожен заражений комп'ютер шукав у мережі інші комп'ютери і намагався розсилати відповідні пакети коду для того, щоб заразити ще більше машин.
Цікаво й те, що витік про дірку відбувся досить давно, і Microsoft про це звичайно знала, і в березні цього року випустила заплату. Windows 10 і Windows 7 були оновлені автоматично. Але є старі операційні системи Windows, які не підтримують оновлення. І там ця дірка не була залатаною. А Windows ХР, наприклад, досить популярна, надто в державних установах.
- Тобто, всі користувачі, які потрапили під удар цієї загрози, винні самі?
- Так, тому що не була оновлена операційна система. Або ж люди використовували застарілу версію операційної системи, яка не підтримує автоматичне оновлення. Але, побачивши шалений масштаб зараження вірусом, компанія Microsoft 14 травня випустила оновлення із заплатою і для застарілих систем також, але це вже було зроблено не в регулярному порядку, а як екстрений захід.
Більше того у випадку з WannaCry, якщо система не отримала оновлення, то комп'ютер може бути заражений автоматично. Наприклад, є мережа, до якої включені 200 комп'ютерів, і жоден з них не захищений. Так от вірус може їх заразити протягом 20 секунд. Скажімо так, на чорному ринку, де хакери обмінюються різною інформацією, такі уразливості продають за гроші. Уразливості теж бувають різними. Можна, наприклад, надіслати пакет, щоб комп'ютер просто завис – це не дуже дорога уразливість. Але така уразливість, яка дозволяє по всій лінійці Windows, починаючи від ХР і закінчуючи серверними версіями, надіслати пакет і запустити віддалено код – ось це вже дуже дорого коштує.
- Скільки приблизно могла би коштувати виявлена у Windows уразливість, якою й скористалися творці WannaCry?
- Такий експлойт у принципі безцінний, надто якщо він існує в єдиному екземплярі. Тому, якщо певна спецслужба його для себе тримала, то… тобто, якщо припустити, що АНБ дійсно знала про цю уразливість до березня 2017 року, то вони могли без перешкод проникати у будь-яку Windows-систему, абсолютно без перешкод запускати коди та інсталювати свої програми. WannaCry – перший за багато років інцидент, де без участі користувача масово троян запускається на комп'ютерах. Вразливості можуть бути різними, зазвичай вони вимагають певних дій від користувача. Наприклад, ви отримали pdf-документ, відкрили його, а там був шматок коду, який завантажив троянську програму і потім її запустив. Але у такому разі у користувача принаймні є вибір: відкривати невідомий документ чи ні, а у випадку з WannaCry – такого вибору немає. Якщо система не оновлена, він сам інсталюється, сам запускається і шифрує дані.
- Як відбувається процес шифрування даних? І які мають бути дії користувача, якщо його система таки підчепила черв'яка?
- Цікаво те, що WannaCry не виводить з ладу комп'ютер. Навіть після зараження машина продовжує працювати, шкідлива програма просто шифрує користувацькі дані, документи, фото, бази даних тощо. Тобто, заразивши систему, шкідлива програма дозволяє продовжувати комп'ютеру працювати, ходити в інтернет, користуватися електронними гаманцями, користувач же має якимось чином заплатити викуп.
Примітно й те, що зашифровані дані продовжують зберігатися на комп'ютері користувача, вони не передаються на сервери зловмисників. Їм лише надсилається ключ шифрування. Коли троянська програма запускається, вона одразу генерує унікальний ключ. Згідно з теорією криптографії, використовується пара ключів – відкритий і закритий. Відкритим дані можна зашифрувати, закритим, відповідно, розшифрувати. Ось цей закритий ключ троянська програма передає на сервер зловмисника і там він зберігається.
- WannaCry намагалися знешкодити, але повністю ліквідувати загрозу не вдалося. Чи взагалі можливо зупинити його розповсюдження?
- Зловмисники використали цікаву хитрість. Антивірусні компанії застосовують так звані "пісочниці" – спеціальні комп'ютери, які імітують роботу користувача, хоча насправді вони відрізані від інтернету. Такі машини потрібні для того, щоб на них можна було запустити вірус і перевірити, як він працює. До того ж, там все так влаштовано, який би запит шкідлива програма не надіслала в Мережу, він буде відображати потрібний сайт, система відповідатиме "так, такий сайт існує".
Власне, цим і скористалися зловмисники. Вони згенерували запит до домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (завдяки якому вдалося на деякий час зупинити поширення вірусу), але прописали його фізично в тіло програми, тобто він не генерується щоразу заново. І таким чином вони виявляли, якщо під час запиту такий сайт є, значить вони працюють в "пісочниці", а якщо отримують повідомлення, що такого сайту немає – значить працюють на реальному комп'ютері користувача.
Саме тоді починається шифрування даних. Власне, цим і скористалися спеціалісти з інформаційної безпеки, зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (анонімний фахівець з безпеки, який веде твітер @MalwareTech, з'ясував, що вірус навіщось запитує цей домен і зареєстрував його, після цього поширення вірусу припинилося. Але як з'ясувалося пізніше, вірус шифрував дані тільки в тому разі, якщо запит до цього домену був неуспішним – ред.).
Потім зловмисники випустили нову версію своєї програми і замінили іншим сайтом і так може відбуватися до безкінечності. Наприклад, почалася епідемія, вона проіснувала 3 години, за цей час вона, наприклад, встигла заразити тисячі комп'ютерів, після чого антивірусні спеціалісти можуть виявити новий домен, зареєструвати його, а тим часом зловмисники випустять нову модифікацію. Більше того, якщо вони витратять на свою "роботу" трохи більше часу і вбудують у свою програму механізм, то випадкові набори сайтів генеруватимуться завжди. Тому це напівзахід, ніхто не намагався за рахунок цього методу зупинити епідемію, це була спроба мінімізувати шкоду і вжити якось заходів. Наразі захід проти цієї конкретної загрози лише один – встановити заплати на абсолютно всі версії Windows.
- А після зараження такі заходи хіба зможуть допомогти?
- Після зараження – ні. Оскільки дані, швидше за все, вже зашифровані. Тому ми говоримо лише про дві групи людей: ті, які вже постраждали і ті, хто не постраждав, але боїться цього. Є вже методики й рекомендації самої Microsoft, виробників мережевого обладнання, антивірусних компанії тощо. Зараз знешкодженням WannaCry займається усе антивірусне ком'юніті та спецслужби усіх країн, всі намагаються знайти зловмисника.
- Цікаво, що від зараження найбільше постраждала Росія, а деякі ЗМІ писали, що за вірусом стоять американські спецслужби. Наскільки це ймовірно? І яка найбільш ймовірна мета зловмисників – збагачення чи викрадення даних?
- Якщо говорити про те, хто це створив, теоретично це могли бути й США. Але виникає запитання, навіщо американцям це потрібно? Вони завжди працюють більш витончено. Є досить чудовий історичний приклад – це атака 2010 року на іранські атомні об'єкти – Stuxnet – коли в Ірані був заражений завод зі збагачення урану. Там був досить серйозний вплив на виробничий процес і була виведена з ладу партія урану, що на декілька років відкинуло назад атомну програму Ірану. Було досить масштабне розслідування, підозрювали й Росію, й Ізраїль, але виявилося, що це американці.
Зараз, насправді, ми теж можемо здогадуватися, наприклад, "Лабараторія Касперського" і "Symantec" в один голос заявили, що сліди WannaCry ведуть до Північної Кореї. Але наразі це все здогади, точної інформації поки що немає. Взагалі у кіберсвіті зі стовідсотковою точністю нічого сказати не можна.
А Росія постраждала найбільше тому, що там усі користуються піратською Windows, яка, звісно, не отримує оновлення. В Україні теж є так проблема – і це корінь багатьох бід.
- Українські користувачі і компанії теж потрапили під зараження?
- Ми знаємо, що були заражені компанії, і великі компанії у тому числі. Інформації про держсектор не маємо, адже навіть якщо там такі випадки були, а це за суттю надзвичайна подія, то ця інформація насамперед потрапляє до ДСТЗІ та СБУ, а вже потім можливо вона вийде назовні. Якщо у Європі чи в США відбувся такий випадок у міністерстві, вони одразу кажуть, аби попередити про розповсюдження, а в нас навпаки – замовчують. І вже потім десь це може спливе.
- Ви казали, що США діють інакше, а як саме?
- Американці не працюють грубо. Вони б'ють завжди точково, в ціль, і тільки по тих, по кому хочуть вдарити. Але постраждала не тільки Росія, а й інші країни, зазнали шалених збитків, тому це не схоже на спецоперацію США проти РФ. Ще один важливий момент. Загалом американські атаки – високотехнологічні, вони використовують уразливості операційної системи, дуже серйозні й масштабні дірки, застосовуючи потужну технологічну базу, це окрема довготривала спецоперація. Натомість російські атаки – це майже завжди використання методів соціальної інженерії, психологічних вразливостей людини, а не технологій. Ніяких складних троянів, вони не застосовують нічого складного, не використовують уразливості операційної системи. Вони дуже добре знають психологію нашого користувача – стежать за поведінкою людей, за самим підприємством, але не за дірками. Створюються звичайні фішингові листи, в яких відбувається підміна нібито важливого документа шкідливою програмою, яка активується під час запуску і відбувається зараження комп'ютера. Все відбувається дуже швидко і базується на емоціях.
І якщо говорити про всі успішні атаки Росії в Україні, їхній успіх був не завдяки хакерам, а через недбалість людей на місцях. В українських установах, на жаль, дуже мало уваги приділяють кібербезпеці. Ми думаємо, що це відбувається десь там і не з нами.
- Які зараз існують кіберзагрози, хто і навіщо їх створює?
- Усі кібератаки можна розділити на дві основні групи. Це або хороший кібербізнес, або щось, що пов'язане з міждержавними кібервійнами. Такий бізнес справді прибутковий. Наприклад, кіберугруповання з 6-10 осіб можуть за декілька місяців може заробити десятки мільйонів доларів. При цьому до рук правоохоронних органів потрапляє не настільки великий відсоток, щоби боятися й далі займатися своєю справою. Інтернет досі залишається неконтрольованим, і там можна багато чого робити безкарно.
За оцінками різних антивірусних компаній, грошові обіги всіх кіберзлочинців у світі становлять понад мільярд доларів на рік. Тобто, це колосальний бізнес і в цій галузі працює досить велика кількість людей. Інший бік – це кібервійни. Це досить новітній і небезпечний напрям, йому всього декілька років. Коли зловмисники створюють шкідливу програму з метою збагачення, вони не вкладають у цей проект багато грошей. Коли йдеться про кібервійни – це досить витончена і дорога робота, це точкові атаки на певний об'єкт (Україна пережила дуже багато таких атак, до речі – ред.). Наприклад, зламати пошту кандидата у президенти і контролювати її, або вчинити атаку на державне підприємство тощо.
- Виходячи з цього, з якою реальною загрозою ми можемо зіткнутися?
- Насправді, кібератаки з кожним роком несуть все більше і більше загроз, вони можуть бути настільки потужними аж до обвалення економіки країни. Фінансова система повністю працює у кіберсвіті, тому можна обвалити біржу, паралізувати її, вивести із ладу, створити паніку на фондовому ринку тощо.
Енергетичні мережі теж під загрозою, оскільки в багатьох країнах вони повністю автоматизовані і працюють під управлінням комп'ютера. В нашій країні меншою мірою, і то вже були прецеденти. Тобто, в теорії все це можливо зробити. І періодично ми бачимо, що це можливо не тільки в теорії, але й на практиці. Все, що керується програмним забезпеченням, так чи так має свої уразливості. Питання лише в тому, скільки коштуватиме такий злам. І у випадку з WannaCry ми бачимо, що був експлойт, про нього було відомо, при чому досить довго. Але замість того, щоб дірку залатати, цей баг використали у своїх цілях. Скільки ще таких дірок є – ми наразі не знаємо.
- Ви згадували, що наша країна страждає від дуже масштабних кібератак. Які підприємства найбільше страждають?
- Державні установи стикаються з кібератаками двох типів – звичайні цивільні, як і будь-який домашній користувач. Другий напрям – атаки, розраховані саме на ці об'єкти. Державні органи чи підприємства. І цьому другому типу атак донедавна приділялось мало уваги. Не всі знають, але від 2009 року, ще від часів Януковича, багато комп'ютерів Адміністрації президента були заражені троянською програмою, яка стежила за працівниками Адміністрації, збирала листування, відвідувані ресурси, оброблювані документи тощо.
Вся ця інформація передавалась тому, хто цей вірус контролював. Були інциденти зараження майже в усіх галузях, але вони більше були пов'язані зі збором інформації, іноді з можливістю модифікацій чи з виведенням з ладу мереж. І ось перший такий гучний випадок у грудні 2015 року – це атака Black Energy на українські енергетичні системи, коли завдяки троянським програмам хакерам вдалося на кілька годин вивести з ладу розподільчі потужності обленерго.
- Хто за цим стояв?
- Розслідування показало, що це йшло від Росії.
- З Росії зараз багато фіксується кібератак на українські компанії та користувачів?
- Так, дуже велика кількість хакерських угрупувань діють з території Росії. Тут треба розуміти, хто саме атакує. Ми собі можемо уявляти дуже серйозні військові спецпідрозділи, проте їхні військові навряд чи настільки просунуті. Дуже часто спецслужби різних країн, в тому числі і РФ, звертаються до професійних хакерів.
- Хакери на аутсорсі?
- Так, кіберугруповання, яким ставляться задачі. Вони можуть бути "під ковпаком" спецслужб, фінансуватись спецслужбами, форм співпраці може бути безліч. Але це окремі хакерські угруповання, які можуть іноді виконувати замовленні, або ж працювати на уряд напряму та реалізовувати його завдання. В окремих випадках це дійсно спецпідрозділи у складі правоохоронних органів. Зазвичай вони мають конкретні завдання – інформаційна війна у соцмережах, генерація новин тощо. Якщо завдання постійні та щоденні, то звичайно необхідні стаціонарні підрозділи.
Але у випадку з Україною є певні тонкощі. По-перше, безтурботність наших фахівців з інформаційної безпеки. По-друге, в наших держорганах таких фахівців дуже мало, тому й маємо такі атаки як Black Energy. Адже перше зараження було за півтора року до виведення з ладу цих підстанцій. Тобто зловмисники заразили систему, покроково просувались все далі й далі, переходили з комп'ютера на інший. Останні півроку вони вже повністю контролювали систему і могли втрутитись у будь-який момент. Та сама троянська програма атакувала й інші об'єкти, не тільки в енергетиці. Було виявлено заражений комп'ютер у аеропорту "Бориспіль". Теоретично зацікавленість цього хакерського угруповання ширша, ніж енергетика. Їм фактично все одно, що заражати.
- Тобто зараз немає потреби вести криваву війну зі зброєю, достатньо бути хакером?
- Принаймні мати технології зламу. Зараз багато передових країн цю "фішку" зрозуміли і відкрито заявляють про створення кіберармій. США ще коли сказали, що матимуть кіберармію, і її вже створено, – і для захисту, і для атак. НАТО має кіберпідрозділи, Японія відкрито заявила, що матиме кіберпідрозділи, які здійснюватимуть кібератаки і у відповідь у тому числі. Нам на часі про таке годі й міряти.
- Якщо розглядати в перспективі, у нас може з'явитися така армія? В нас же є кіберполіція
- Кіберполіція все ж створена для захисту цивільного населення, як і звичайна поліції. Тобто це якісь варіанти, коли вдома щось зламали абощо.
- Тобто, якщо мені зламали сторінку у соцмережі, я можу подати заяву?
- Так, теоретично ви можете подати заяву у кіберполіцію.
- А якісь глобальні завдання вони вирішують?
- Глобальні завдання швидше за все перебувають у підпорядкуванні СБУ, Служби спеціального захисту інформації. У нас є фахівці та спецпідрозділи, які моніторять ситуацію, мають виявляти кіберзагрози та інформувати, сповіщати підприємства. Та, на жаль, проблема в нас одна – всі наші підрозділи працюють окремо та тягнуть на себе ковдру. Немає якогось бажання співпрацювати, хоча єдиний центр є – це Рада з кібербезпеки при РНБО, вона вже існує і вирішує якісь питання, в тому числі і з кібербезпеки. Плюс ще одна проблема – зарплати у держсекторі такі, що серйозні фахівці надовго там не затримуються. Наприклад, курсант, який закінчує Інститут спецз'язку та захисту інформації, розуміє, що на держслужбі він отримає зарплату у 3 тисячі гривень, а якщо звільниться та піде до комерційної структури, то стартова ставка буде тисяча доларів та більше. Тому, коли в нього закінчується держконтракт, він одразу йде далі.
- Виходить, що "кібертили" у нас не захищені?
- Не хочеться говорити дуже однозначно та похмуро. Хоча б через те, що ми живемо у дивовижний час – час змін, і побудова систем захисту відбувається у реальному часі, тобто просто зараз. Наприклад, при СБУ існує центр кіберзахисту, на який виділили кошти, здається, з НАТО, на створення кіберцентру з інформаційної безпеки – на купівлю устаткування, програмного забезпечення тощо. Є відповідний підрозділ ДСТЗІ, який цим опікується. Їм не вистачає потужностей, часто на них скидають дуже багато зайвої роботи – механічної, бюрократичної. Втім, все це існує і поступово формується. Знаю, що при Нацбанку створили центр кібербезпеки, де є молоді фахівці, і вони в тренді. Вони уважно відстежують ситуацію з WannaCry, в курсі всіх деталей. Вони вживають внутрішніх заходів, аби попередити зараження. Проте, це окремий підрозділ у окремій структурі. Чогось глобального, що б все накрило повністю, поки немає.
- Чи можна виграти війну, що була розпочата фізично, в Інтернеті?
- Хороше питання чому, тому що сучасні війни теоретично тривають досить недовго. Тобто така війна, бліцкриг чи просто атака тривають день, два, три, після чого супротивник має бути повішеним. На затяжні війни зараз ніхто не піде.
- Давайте розглянемо на більш детальних прикладах. Та ж російська агресія проти України. Або США з усіма своїми ресурсами не змогли зупинити Ісламську державу.
- Це якраз тому, що ІДІЛ – нетехнологічна. Це більше залежить від технологій. В кого їх більше, той і підпадає під удар. Але так, теоретично можливо. За допомогою кібератак можна завдати серйозної шкоди країні. Наприклад, вивести з ладу авіасполучення, зв'язок (а цей елемент досить легко піддається виведенню з ладу) на день, два, тиждень. Уявіть, що буде, якщо у Києві на добу вимкнути інтернет. Я знаю такі кіберугруповання, які заявляли, що можуть вимкнути інтернет у світовому масштабі. Для цього всього-на-всього потрібно вивести із ладу 9 кореневих DNS-серверів. Тобто, в теорії, якщо вивести їх з ладу, можна обвалити Мережу у всьому світі.
Але не варто забувати, що це також буде масштабний удар по мирному населенню, по економіці країни. Навіть, якщо в Києві вимкнути на добу світло, важко спрогнозувати, що відбудеться. Ми отримуємо щось схоже на Black Energy, але в масштабах усієї країни. Хоч тоді атака була лише на три області, але спроба зараження була більш масовою. Очевидно, що зловмисники хотіли взяти під контроль набагато більшу кількість об'єктів. І якби їм це вдалося, можна було б набагато більший сегмент України позбавити енергозабезпечення.
- А чи є впевненість у тому, що ці об'єкти не заражені на цей момент?
- На тих об'єктах, на яких було зафіксовано зараження, все почистили, прибрали, закрили усі лазівки, у деяких місцях управління перевели навіть у ручний режим. Але правда в тому, що ми й справді не можемо напевно знати, які об'єкти заражені, а які ні. Навіть у цей певний момент розмови в Україні є десятки об'єктів, що контролюються, і ми не знаємо про це.
Згадати хоча б атаку на казначейську систему України наприкінці минулого року. Тоді зловмисники пробралися у внутрішню мережу казначейства і знищили декілька баз даних, заблокувавши на декілька днів роботу установи і Пенсійного фонду. Тільки завдяки зусиллям працівників вдалося вручну відновити. Під час атаки було втрачено півтора терабайта інформації. Це колосальні втрати. І в Казначействі ситуація теж була аналогічною – Мережа була під контролем майже півроку і зловмисники збирали інформацію, вивчали її, отримували логіни і паролі всередині самої Мережі і поступово пробиралися. А коли взяли під контроль достатню кількість серверів і техніки, вчинили масове знищення інформації.
- Якісь механізми захисту після цього були вжиті?
- На цих конкретних об'єктах – так. Більше того, такі інциденти постійно вивчаються і всім організаціям розсилаються рекомендації. Крім того, було створено робочу групу при Укренерго, куди входили спеціалісти різних рівнів, завданням яких було розібратися, що трапилося, чому і розробити списки рекомендацій, щоб попередити такі атаки у майбутньому.
- Чи беруть участь українські хакери у масштабних кібератаках? Чи існує взагалі так би мовити "ринок українських хакерів"?
- Не знаю, пишатись чи сумувати, але українські хакери дуже цінні і їх досить багато. Вони чудово працюють на весь світ. Коли ми говоримо, що російські хакери добре працюють, так наші хакери теж не дадуть хиби і заробляють іноді великі гроші. Звичайно, раніше їм було легше, адже вони працювали безкарно. Але тепер за це взялися наші правоохоронці, вони співпрацюють з ФБР та Інтерполом, і виявляють їх. Маємо розуміти, що є багато міжнародних кіберугруповань, де національної приналежності як такої немає, проте, там можуть бути окремі члени з України. В таких угрупованнях окремі члени можуть і не знати одне одного. Просто є якийсь організатор, який знайшов всіх цих людей, анонімно, він теж цих людей не знає, та реалізував свій задум.
- Ми рухаємось до того, що все буде підключено до однієї глобальної Мережі, і рівень кіберзагроз стрімко зросте. Як ви виявляєте та реагуєте на появу нової загрози? Які прогнози?
- Є два основних підходи: перший – більш механічний та простий. Ми просто спостерігаємо за подіями, що відбуваються, за всіма можливими зараженнями користувачів. Кожна антивірусна програма, встановлена у користувачів, збирає певні дані про режим роботи системи. Якщо режим змінюється – з'являються якісь нікому невідомі додатки та процеси. Тоді до антивірусної лабораторії надходять про це повідомлення. Якщо повідомлення надходять з багатьох систем – це говорить про появу нової загрози, і передаються її певні симптоми.
Антивірусна лабораторія може їх опрацювати. Від моменту появи якоїсь загрози у світі до моменту появи механізму її блокування чи нейтралізації мине дуже мало часу. Так званий "0 day"-період – він існує, але питання в тому, який він – 5 хвилин, 10, година чи більше року. Цей момент дуже важливий – швидкість реакції антивірусних лабораторій, період реагування компаній інформаційної безпеки на нові загрози.
На жаль, дуже важко попередити всі атаки та захиститись наперед, оскільки ми працюємо наосліп. У нас на руках всіх цих загроз немає. А злочинець, який пише вірус, в нього всі антивірусні програми на руках є. Він їх завантажив, поставив і перевіряє, чи ловить троянську програму антивірус. Тобто він запускає в світ свою програму тоді, коли буде впевнений, що антивірус його не вхопить.
А якщо йде атака на певний об'єкт, то це взагалі все спрощує. Наприклад, якщо атакувати Адміністрацію президента – ми маємо знати, які операційні системи там стоять, якими антивірусами користуються, якими додатковими засобами захисту користуються. Побудувати в себе локальний стенд зі всіма цими програмами і на ньому експериментувати. І коли ми зможемо обійти цей стенд, тоді можна атаку запускати в світ.