«Кибертерроризма в истории еще не было. Но человеческая натура такова, что исключать этого нельзя; тем более технически это возможно», — говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. В интервью «БИЗНЕС Online» он рассказал, какие «приметы» позволяют экспертам определить национальность киберпреступников, как интерес хакеров от банков и их вкладчиков сместился к POS-терминалам и почему «чипованные» карты и бесконтактные платежи телефоном не поддаются взлому.
Сергей Голованов: «Можно ли украсть электронную переписку? Можно. Можно ли воздействовать с помощью социальных медиа на мнение людей? Наверное, можно»
«САМЫЙ ПИК АТАК НА БАНКИ ПРИШЕЛСЯ НА 2015 ГОД»
— Как показывают исследования «Лаборатории Касперского», наиболее уязвимы к хакерским атакам предприятия промышленности и ретейла, а не банки. Почему? Банки научились бороться с хакерами?
— Инциденты в банках происходили всегда. Естественно, с ними научились бороться, и основные подвижки произошли за последние годы. В конце 1990-х — начале 2000-х годов все инциденты в финансовых учреждениях были, скажем так, точечными. Но это было свойственно всему миру, так что о российской специфике говорить не приходится. Действительно, были хакеры, которые что-то взламывали, крали деньги, их ловили.
В 2013 году произошел перелом, когда появились специализации, массовые атаки, совершенные несколькими киберпреступниками. Банки — это большая система, в разных частях которой можно найти уязвимые элементы. Например, если удалось взломать компьютер, отвечающий за онлайн-банкинг, то он вдруг начинал отдавать команды на перевод денег, хотя пользователь не был залогинен. Второй пример: банкомат внезапно начинает выдавать деньги.
Массовые атаки на банки появились в начале 2010-х в Восточной Европе, а вскоре докатились и до России. Хакеры понимают, что отдельно взятый банк не готов отражать атаку в одиночку. Если раньше банки работали по принципу каждый сам за себя, то теперь защищаются общим щитом. Так появился FinCERT — уважаемая структура при Центробанке.
Однако все равно бывают угрозы, которых не так просто избежать. Например, если банк что-то отдает на аутсорсинг, то есть вероятность, что недобросовестные подрядчики оставят «закладки» во внутренней системе организации, через которые злоумышленники могут делать что угодно.
Сначала, чтобы предотвратить киберугрозы, от регуляторов поступали только рекомендации, а затем — требования, которым банки обязаны следовать, чтобы не лишиться лицензии. Это было уже в 2014–2015 годах.
В 2018 году на базе Сбербанка появилась платформа, которая позволила кредитным компаниям делиться друг с другом информацией об инцидентах. Важно отметить, что в 1990-е организации старались скрывать данные об атаках, а теперь, после массовых хакерских атак по всему миру, решили, что обеспечить кибербезопасность можно только совместно. Таким образом, в этом году мы пришли к ситуации, когда банки научились защищаться от хакеров. Согласно статистике FinCERT, количество инцидентов снижается.
Самый пик атак на банки пришелся на 2015 год. Тогда бывали случаи, когда ко мне поступала информация сразу по трем инцидентам. В последние годы такого уже не случается. Недавно также вступил в силу важный закон о ГосСОПКА, который распространяется не только на финансовый сектор, но и на все критические инфраструктуры, включая производственные предприятия.
— Есть ли законодательное обязательство у банков сообщать о киберинцидентах? Я спрашиваю не просто так. В СМИ писали, что якобы банки не доверяют ЦБ и боятся рассказывать о хакерских атаках, чтобы не привлекать лишнего внимания регулятора.
— Сейчас есть только рекомендации, об обязанностях пока идут только разговоры. Поэтому некоторые банки сообщают, а некоторые — нет. Если же говорить о других странах мира, то, например, в США финансовая организация обязана уведомлять в первую очередь общественность. Считается, что если произошел инцидент и банк знал, что деньги или данные клиентов были в опасности, но не уведомил об этом, то на него налагается штраф за каждый день неуведомления.
— Вы сами какой точки зрения придерживаетесь?
— Мы считаем, что в области кибербезопасности взаимодействие крайне важно. Если произошел инцидент, компания о нем рассказала, то мы и другие производители защитных решений оперативно обновляем базу, чтобы защита стала сильнее.
— Вы всегда в позиции догоняющего: если злоумышленник пишет вирус, он же наверняка проверяет его на всех антивирусных программах. Значит, это будет обязательно то, чего вы еще не знаете.
— Нет. Объясню. Например, хакер покупает корпоративный продукт, начинает тестировать, включает все функции и пытается его обойти. При тестировании он запускает вредоносную программу, антивирус ее блокирует, после этого злоумышленник что-то в ней меняет. В момент, когда наше защитное решение заблокировало вирус, к нам в «облако» поступила информация об этой вредоносной программе. Допустим, хакеру удалось создать свой вирус так, чтобы «обмануть» антивирус на конкретном компьютере, но логика принятия решений находится уже на стороне машинного обучения в «облаке». Этот барьер не обойти так просто, так как у злоумышленника нет к нему доступа. Можно привести аналогию: человек написал какую-то работу и начинает ее видоизменять, чтобы антиплагиат не срабатывал. Вот он ставит точки, запятые и доходит до результата, когда антиплагиат действительно не срабатывает. Но если сравнить начальный и конечный варианты, то можно проследить определенную логику, которой руководствовался человек. Та же история с попытками обойти антивирусные программы.
«Важно соблюдать элементарные правила безопасности — не сообщать никому никакие данные своей карты, а при вводе пин-кода закрываться ладонью, ведь за спиной может кто-то стоять»
«МОЖНО УКРАСТЬ ДЕНЬГИ С КАРТЫ, НО ЭТО СЛОЖНЕЕ, ЧЕМ ВЫТАЩИТЬ КОШЕЛЕК С НАЛИЧНЫМИ»
— Читала, что хакеры предпочитают красть деньги не у отдельного клиента, а сразу взламывать банки. Так ли это?
— Атаки на финансовый сектор делятся на несколько типов: атаки на физических и юридических лиц, а также атаки на финансовые учреждения. Причем финансовые учреждения — это не обязательно банки, могут быть процессинговые центры, кафе, которые принимают карты, и даже электронные деньги, но это уже отдельный разговор. Также интересная тема — ставки на спорт, букмекерские конторы. Раньше это было популярно на Западе, теперь добралось и до нас.
— Когда?
— Как только запретили казино. А ведь желание поиграть у людей все равно осталось. Тогда появились букмекерские конторы, из которых тоже можно украсть деньги. Тем более недавно прошел чемпионат мира по футболу.
В 1990–2000-е годы в основном от злоумышленников страдали пользователи. Тогда и системы безопасности были другими. Но даже сейчас в некоторых странах мира не понимают, зачем при входе в онлайн-банкинг приходит SMS с одноразовым паролем. В 2000-х годах таких систем безопасности, конечно, не было, максимум требовалось ввести логин и пароль. То же самое касалось юрлиц. Только у избранных были USB-ключи для бухгалтерии, а сейчас это воспринимается как данность. Поэтому большинство атак было на физических лиц, причем такая тенденция наблюдалась во всем мире. Особенно массовым это явление стало в 2008–2009 годах.
Далее появились атаки на бухгалтерию, когда подменяли реквизиты в платежах. Причем первые такие вирусы атаковали электронные кошельки. Никто же не запоминал их номера, чаще всего их хранили в текстовом файле. Так, вирусы наблюдали, когда пользователь нажимал Ctrl+C, искали порядок из трех букв и цифры. А если находили, то меняли цифры, когда человек нажимал Ctrl+V. Если бухгалтер не сверялся с записанным, то собственноручно переводил деньги мошенникам. Первые атаки на бухгалтерию были в 2009–2011 годах, а сами банки начали атаковать в 2012–2013 годах.
— А сейчас что происходит?
— Сейчас интересное явление — атаки на POS-терминалы, которые начались в 2013–2014 годах и участились за последние два года. Банки атакуют реже, поскольку они уже выработали надежную систему кибербезопасности. А вот всякие кафе, магазины, барбершопы тоже принимают карты и при этом мало думают о защите. На современной карте есть чип и магнитная полоса, существует возможность бесконтактной оплаты. Магнитную полосу легко скопировать и сделать клон карты. В итоге вам в три часа ночи может прийти сообщение, что где-то на Филиппинах со счета сняли все ваши деньги. Клиенты тут же требуют у банков вернуть деньги. Тогда начинают разбираться и выяснять, где могли пересекаться клиенты, обратившиеся с похожими жалобами. Конечно, сначала ищут скиммеры на банкоматах. Если платежная система подтверждает, что все клиенты пользовались одним банкоматом около какого-либо метро в определенный промежуток времени, то деньги возвращают. А если нет, то продолжают искать и, например, выясняют, что все пострадавшие пересекались полгода назад в одном ресторане. Может оказаться, что официант приносил счет, карта не срабатывала, тогда он прокатывал ее магнитной полосой, копию которой, как я уже сказал, очень легко сделать.
— С магнитной полосой все понятно. Сейчас модно использовать бесконтактную оплату через телефон. Насколько это безопасный способ? Можно ли к нему подобрать ключ?
— Принципы работы чипов и беспроводной оплаты основаны на очень сильной математике. Причем клонирование чипов — это уже из области фантастики. Да, сделать можно, но для этого потребуется завод. То же самое касается бесконтактной оплаты и оплаты посредством мобильных телефонов. Там математика еще жестче: подходов, которые могли бы позволить снимать деньги, нет.
— То есть сейчас нет, но они потенциально могут появиться?
— Это тяжелый вопрос. Есть закон Мура, который гласит, что вычислительные мощности на планете Земля удваиваются примерно за три года. В соответствии с этим законом идет расчет: есть математическая модель, которую можно будет взломать за 10 тысяч лет. Да, ты можешь взломать путем перебора или генетического алгоритма, но взлом займет 10 тысяч лет. Можно взломать? Можно. Но это займет 10 тысяч лет. Поэтому, отвечая на вопрос: да, можно. А когда? Пока что никогда.
Также все эти разговоры о мужчинах в метро с платежными терминалами, которые прикладывают их к сумкам и пытаются украсть деньги, не больше, чем параноидальные слухи. Да, таким способом украсть деньги можно. Но надо понимать, что просто так платежный терминал не купишь, должен быть счет в банке, а для этого нужно быть хотя бы ИП, что подразумевает регистрацию в Росреестре, налоговую отчетность и т. д. Злоумышленнику придется потратить слишком много усилий, и найти его будет довольно просто. Так что ни одного подобного инцидента не было.
— Есть же параноики, которые убеждены, что с карточки деньги легко украсть, так что лучше расплачиваться наличкой. Так ли это?
— Они правы в том, что с карточек деньги крадут. Но это происходит, когда что-то пошло не так. Важно соблюдать элементарные правила безопасности — не сообщать никому никакие данные своей карты, а при вводе пин-кода закрываться ладонью, ведь за спиной может кто-то стоять, отвлечет чем-то и заберет карту. Очень много примеров, когда карта просто физически находилась у злоумышленника. Или, например, злоумышленники подходили к банкоматам и предлагали пенсионерам подключить мобильный банк. Тогда они подключали свой номер телефона, а позже выводили деньги. Или еще один пример: банкомат не отдает карту. Тут выходит мужчина и обещает помочь, советует позвонить в банк. Человек звонит, а злоумышленник в это время открывает защелку, забирает карту и уходит. Учитывая, что он стоял за спиной и подсмотрел пин-код, то все деньги достались ему. Да, можно украсть деньги с карты, но это сложнее, чем вытащить кошелек к наличными.
«Что такое спящая составляющая? Это когда злоумышленник старается подобрать пароль. Но делает это раз в день или в неделю, что не улавливается системами безопасности»
«ХАКЕРЫ ВСЕГДА ОСТАВЛЯЮТ СЛЕДЫ, КОТОРЫЕ СО ВРЕМЕНЕМ ЗАТИРАЮТСЯ»
— Вернемся к банкам. Какое у них наиболее уязвимое место? Например, пишут про человеческий фактор, когда сотрудники открывают письмо условно от Центробанка, а там оказывается вирус.
— Да, такие ходы срабатывали, причем письма приходили не только от ЦБ, но и от якобы платежных систем. Но опять же банки учатся на своих ошибках: если один раз открыли подобное письмо, то второй раз не станут. Сейчас существуют специальные защитные решения, которые помогают блокировать письма с вредоносными ссылками.
Не могу сказать, какие виды атаки на банки самые массовые. Но расскажу один из последних интересных случаев. Он произошел в Латинской Америке. Все было, как в фильме «Хакеры». Банк ограблен, но на каждом месте преступления остаются следы. Так мы ходили по следам от одного компьютера к другому и в итоге пришли на крышу, где стоял телекоммуникационный шкаф, он раздавал корпоративный Wi-Fi. Там обнаружили некое устройство, через которое злоумышленники подключались к компьютерам, а уже оттуда легко было допрыгнуть до сети, которая отвечает за финансы, а затем подобрать ключ к системе, которая отвечает за транзакции. Но! Главное, чтобы все это сделать, кто-то должен был пройти на крышу, вскрыть этот ящик и установить устройство. Но тут уже начинается работа службы безопасности, к ней мы не имеем отношения.
— Статистику по взломам скажете?
— Могу только отослать к отчетности FinCERT.
— В начале года зампред правления Сбербанка Станислав Кузнецов говорил, что наибольшую опасность представляют вирусы со «спящей составляющей». Так ли это?
— Суть в том, что хакеры всегда оставляют следы, которые со временем затираются. Если инцидент начался больше года назад, то, скорее всего, следов уже не осталось. В случае с банкоматами есть максимум три часа, после чего система начнет перезаписывать данные вместо старых.
Что такое «спящая составляющая»? Это когда злоумышленник старается подобрать пароль, но делает это раз в день или в неделю, что не улавливается системами безопасности. В случае с массовым перебором паролей сразу ясно, что что-то идет не так. Поэтому «спящая составляющая» — это теоретическая проблема, которую никто не знает, как решить. Самый долгий известный нам случай длился три года — от момента заражения до регистрации инцидента.
— А сколько бывает в среднем?
— Если говорить про банки, то несколько месяцев. Нужно понимать, откуда берутся спящие вирусы. Обычно это касается всякого рода шпионских историй, а не хакеров, которые мечтают ограбить банк. Злоумышленники в этом случае просто собирают информацию, это называется финансовой разведкой.
— Больше тех, кто просто смотрит, или тех, кто хочет украсть?
— Конечно, тех, кто хочет украсть. Это молодые и агрессивные хакеры. А те, кто просто следит, уже научены жизнью, опытом, они не гонятся за быстрой наживой, у них другая мотивация.
«Есть такое понятие «сцена» — это тусовка специалистов по информационной безопасности. Русские там очень котируются»
«РУССКОГОВОРЯЩИХ ХАКЕРОВ ВЫДАЕТ, НАПРИМЕР, СЛОВО «ЗАКЛАДКА»
— Последний сюжет в новостях, касающийся крупных хакерских атак на банки, был в 2016 году. Позднее пресс-секретарь президента Дмитрий Песков говорил, что за этими атаками стояли иностранные спецслужбы. Зачем им наши банки?
— Это хороший вопрос, который лучше задать спецслужбам. Наша задача — найти компьютер, забрать жесткий диск, посмотреть на вирус, создать лечение и раздать клиентам. А кто за этим стоит, кому это нужно, вопрос уже не к нам. Но периодически бывают случаи, когда можно понять, кто стоял за атакой.
— Есть какие-то признаки?
— Их много. Например, среди специалистов безопасности есть жаргон, который периодически всплывает в вирусах. Например, у слова «закладка» есть смысл, который поймут профессионалы в сфере кибербезопасности. Если человек в вирусе использовал это слово, то он явно появился не с улицы. Но если вы считаете, что «закладка» — это приспособление, чтобы помечать в книге страницы, то вы точно не имеете никакого отношения к специалистам. Соответственно, есть такие вирусы, на которые смотришь и сразу понимаешь, кто их сделал. Другой пример — автор одного вируса использовал в нем слово «ботан»: «Ботан начал работу» и «Ботан завершил работу». Мы долго гуглили, но потом поняли, что это персонажи из «Звездных войн» — это инопланетная раса, которая помогала повстанцам украсть чертежи Звезды Смерти у империи.
А еще есть национальные признаки, который связаны с образом мышления, недаром в «Википедии» есть статьи с названиями «Китайский код» и «Индусский код». Нас очень удивляют азиаты: что у них происходит в голове, чтобы писать вирус именно так? Например, если при написании программы надо что-то повторить 100 раз, то, соответственно, нужен счетчик от 1 до 100. Но азиаты идут другим путем. В их коде написано примерно так: «Если счетчик равен 1, то делать это», «Если счетчик равен 2, то делать это» и т. д. Зачем? Вместо трех строчек сделали триста. Мы спрашивали их об этом. Оказалось, что большие корпорации платят им за количество строчек кода.
— В чем особенность русских хакеров?
— Русскоговорящих хакеров выдает, например, слово «закладка», которое я уже вспоминал. А вообще есть много других особенностей. Но так, как они, код не пишет никто в мире. Плюс если крадут деньги, то это тоже наверняка воришка, который говорит на русском. Когда мы разбираем его вредоносную программу, то она зашифрована и упакована 10 разными способами, одним словом, сделано все для того, чтобы затруднить работу экспертов по кибербезопасности. Но в конце концов мы проходим весь этот путь и узнаем, что вирус крадет деньги с какого-то русского электронного кошелька, а заодно пароли от «аськи», бесплатного браузера и почтового клиента TheBat.
— То есть миф о страшных русских хакерах — правда?
— Страшные русские хакеры существуют. Есть такое понятие «сцена» — это тусовка специалистов по информационной безопасности. Русские там очень котируются. Посмотрите, кто побеждает на олимпиадах по программированию, вы увидите, что есть три математические школы: Китай, Америка и Россия. Именно оттуда выходят люди, разбирающиеся в программировании. А дальше все зависит от того, как у них складывается жизнь.
— Если вы, условно говоря, на стороне добра, то почему кто-то выбирает сторону зла?
— Это хороший вопрос. Есть вундеркинды, которые делают за пять секунд то, что я буду делать неделю. Обычно у них есть несколько путей в жизни. Кто-то из них преподает, становится профессором, даже не важно, остаются они в России или уезжают.
Почему становятся хакерами? Чаще всего из-за того, что в жизни что-то пошло не так. Когда у этих повзрослевших мальчиков-отличников вдруг что-то случается, например, жена заболела, с работы уволили, он сидит и думает, что надо как-то выбираться. И вот этот победитель олимпиады по программированию идет на встречу одноклассников, которые в свое время свернули не на ту дорожку. К сожалению, потом обратно с нее вернуться обратно практически нельзя.
— Легко ли поймать хакера правоохранительным органам?
— Я всего лишь выступаю экспертом, который иногда пишет заключения для правоохранительных органов. Легко ли поймать хакера? Тут можно вернуться к вопросу о том, можно ли взломать беспроводные платежи. Поэтому поймать можно, но когда и как — это уже нюансы. Опять же смотря какой хакер. Если это просто человек, который скачал в интернете инструкцию по взлому банкомата с помощью топора и флешки, это одна история. Понятно, что таких задерживают быстро. Но есть такие хакеры, которых ищут годами. Поэтому крайне важно международное сотрудничество правоохранительных органов. Но если хакеры все делают безошибочно, то поймать их довольно тяжело. Впрочем, все люди совершают ошибки, поэтому из маленьких недочетов в конце концов набирается критическая масса, когда становится ясно, кто этот человек, откуда он и что делает. Но это уже работа правоохранительных органов.
«Чтобы сделать 10 тысяч танков, нужен большой завод, а чтобы сделать 10 тысяч вирусов, нужно 10 тысяч раз нажать Ctrl+C и Ctrl+V»
«РАКЕТУ СБИТЬ МОЖНО, А ВИРУС — УЖЕ СЛОЖНЕЕ»
— После выборов в США стали обвинять русских хакеров во вмешательстве. Это в принципе возможно — как-то повлиять на выборы в Америке, России или другой стране?
— Есть несколько моментов, связанных с выборами: результаты голосования и кража переписки одного из кандидатов. Можно ли украсть электронную переписку? Можно. Можно ли воздействовать с помощью социальных медиа на мнение людей? Наверное, можно. Считается, что русские хакеры сделали все для того, чтобы скомпрометировать одного из кандидатов, и у широкой общественности не осталось другого выбора, как голосовать за противника. Технически такое возможно.
Но почему именно русские хакеры? Вот тут уже начинаются всякие спекуляции. Поясню. Когда мы пишем отчеты об инцидентах, то логически обосновываем, почему программа вредоносная. Я не могу признать программу вредоносной, это может сделать только суд, я лишь как эксперт указываю на признаки. Но иногда нельзя что-то логически обосновать, потому что не хватает данных. Именно в таких случаях появляется поле для спекуляций. Учитывая, что доказательств нет, перепроверить нельзя, то спекуляции могут идти то в одну сторону, то в другую. Тогда и начинается: «Это китайцы сделали» или «Нет, это русские сделали». Можно говорить все что угодно, никто это не перепроверит. Разговоры о русских хакерах начались после первого анализа вируса одной компанией, которая отказалась предоставлять первоначальные данные. В итоге появились два мнения насчет того, кто вмешался: русские или китайцы. А фактически доказать любую из этих версий крайне сложно, а может быть, и невозможно.
— Вы верите в то, что войны в классическом понимании вскоре исчезнут, а на смену им придут кибервойны? В таком случае нам надо готовить не армию солдат, а кибервойска.
— У министерств обороны ряда стран (в том числе России) есть специальные подразделения, которые занимаются киберзащитой. В России и Советском Союзе это немного по-другому делалось, было понятие «информационная война», которое включало в себя технические средства, программные средства, использование СМИ, пропаганды. На эту тему уже написаны книги. Так что это уже не будущее, а данность. Корни всего этого надо искать в холодной войне.
Но я сомневаюсь, что кибервойны заменят классические. Хотя ракету можно сбить, а вирус — уже сложнее. Кроме того, у каждой ракеты есть серийный номер, а по фотографии танка можно догадаться, кто его создал. Но бывает сложно понять, кто же написал вирус. Вообще, чтобы сделать 10 тысяч танков, нужен большой завод, а чтобы сделать 10 тысяч вирусов, нужно 10 тысяч раз нажать Ctrl+C и Ctrl+V. Соответственно, использование вредоносных программ намного эффективнее. Опять же надо понимать, что цели у военных очень конкретные, а будет это вирус или ракета — уже другой вопрос.
— Судя по нашему разговору, в мире очень много угроз и опасностей. Но сейчас развивается интернет вещей. Ладно еще «умные» чайники и холодильники, но многие грезят о том, что вскоре будут ездить по дорогам беспилотники. В последнее время террористы выбрали новый тип атак: сели в грузовики и начали давить мирных прохожих. Мне страшно представить, если беспилотники в будущем можно будет взломать.
— Это называется кибертерроризм. Ни одного официального случая применения таких технологий с целью запугивания пока не зафиксировано. Но были примеры нанесения физического ущерба в интересах одной страны против другой, либо были злоумышленники, которые искали способ незаконного обогащения. Но атак, которые бы попали под понятие терроризма, призванных посеять страх, еще не было. У людей, которые разбираются в программировании, пока хватает этики и мозгов, чтобы не причинять ущерба здоровью или жизни людей.
Может быть такое в будущем? Да, человеческая натура такова, что исключать этого нельзя, тем более технически это возможно. Был случай, когда Чарли Миллер получил удаленный доступ к автомобилю. Но если подобным фокусам научатся террористы, это будет страшно.
— Вот видите.
— Чарли потратил на взлом год. Зачем? Сказал, что было просто интересно понять, как это работает, и указать производителю на недостатки. Так что если один человек что-то создал, то всегда найдется второй, который может сломать. Я же надеюсь, что производители беспилотных машин сделают все, чтобы их нельзя было просто угонять и использовать для терроризма.
Сергей Голованов окончил Московский инженерно-физический институт по специальности «комплексное обеспечение информационной безопасности автоматизированных систем». Аспирант кафедры стратегических информационных исследований. Преподаватель курса «Безопасность вычислительных сетей».
В 2005 году пришел в «Лабораторию Касперского» на должность антивирусного аналитика. В настоящее время является ведущим антивирусным экспертом, изучающим угрозы для банковских систем и кампании кибершпионажа. В область его специализации также входят вопросы безопасности встраиваемых систем, угрозы для не-Windows платформ (Mac, Unix), анализ деятельности преступных группировок, ботнеты и др.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 7
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.