Андрей Масалович: У нас сейчас настолько плохо с безопасностью, что наломать дров может любой «мамкин хакер»

Гости
Булат Исмагилов
первый заместитель министра цифрового развития государственного управления, информационных технологий и связи Республики Татарстан
Андрей Масалович
президент консорциума «Инфорус», специалист по кибербезопасности

Александр Денисов: Мы так слаженно говорим «спасибо». Так же слаженно работают и русские хакеры. Во всяком случае, во всем мире слава у них серьезная уже. Хакнули, как говорится, на весь мир. Расскажем о последних историях с нашими компьютерными ребятами, взломщиками. Госдепартамент США пообещал рекордные $5 млн за информацию, которая поможет арестовать российского хакера Максима Якубца. Это самая большая награда в истории киберпреступлений. Американские власти считают его лидером хакерской группировки Evil Corporation (можно перевести как «Корпорация Зла» или «Корпорация Дьявола»). В течение года хакеры сумели похитить данные клиентов 340 банков в 40 странах мира. Убыток составил более 100 млн рублей. Власти этих стран назвали Evil Corporation киберугрозой №1. По данным национального криминального агентства Великобритании, Якубец вел роскошный образ жизни, потратил четверть миллиона долларов на свадьбу. И вот редкий кадр его Lamborghini с номером. Достаточно откровенно Максим себя выдал.

Анастасия Сорокина: Другой россиянин, Алексей Бурков, являлся администратором сайта Card Planet, на котором продавались данные кредитных карт, в основном граждан США. В 2015 году Буркова задержали в Израиле, а в ноябре этого года выдали США. Его обвиняют в электронном мошенничестве, взломе компьютерных систем и отмывании денег. Если обвинение будет доказано, хакеру грозит до 80 лет тюрьмы.

Александр Денисов: Понятно, что не только в России такие выдающиеся профессионалы. Вот самый знаменитый хакер всех времен Кевин Митник (американец, считается лучшим) атаковал компьютерные телефонные компании, откуда скачивал документы, новейшие программы по технологиям безопасности. Правда, делал это не ради денег, а из спортивного интереса. Также отслеживал действия ФБР. Поймать его помог другой программист, Цутому Симамура, специалист по компьютерной безопасности. Митник взломал его домашний компьютер. Для Симамуры то стало делом чести. После поимки Кевин Митник отсидел 4 года в тюрьме, с хакерством завязал, теперь открыл свою компанию по компьютерной безопасности. Кстати, Митник – один из тех, кто поддержал Эдварда Сноудена: мол, правильно сделал парень, что слил на весь мир насчет АНБ, что оно следит за американцами и не только за ними.

Анастасия Сорокина: В студии у нас сегодня Андрей Игоревич Масалович, президент консорциума InfoRus, специалист по кибербезопасности.

Александр Денисов: Здравствуйте. А давайте сыграем в игру. Мы любим в прямом эфире играть в игру. У всех же есть смартфоны. Допустим, Насть, возьмешь мой шнур для зарядки своего телефона?

Анастасия Сорокина: Теперь нет, Саш.

Александр Денисов: А вы возьмете мой шнур? Объясните, почему нельзя пользоваться чужими шнурами для зарядки своих смартфонов.

Андрей Масалович: Не только шнурами. Вообще любое устройство, которое попадает вам в руки – это потенциальный жучок.

Александр Денисов: Просто шнур, казалось бы.

Андрей Масалович: Даже не просто шнур. Флэшка, переходник от компьютера к клавиатуре. Помните, на старых клавиатурах еще были такие кругленькие разъемы. Вот в переходнике может сидеть так называемый клавиатурный шпион, или сниффер. На самом деле даже устройство не надо брать в руки, чтобы вас облапошили. Достаточно просто выйти в интернет.

Анастасия Сорокина: Правильно ли мы сказали, что русские хакеры имеют какую-то мировую известность? И сейчас даже хотят такие слухи о том, что специалисты со всего мира отслеживают талантливых мальчиков, которые выигрывают олимпиады, добиваются каких-то успехов в IT-технологиях, и потом их зовут к себе. Если они взламывают их систему, то им предлагают работу. В общем, их отслеживают буквально по всему миру. И русские специалисты очень ценны.

Андрей Масалович: Отчасти это так. Кстати, русские хакеры просили передать, что выборы Трампа были ошибкой – скоро поправят. Действительно, сейчас эта тема, во-первых, просто распиарена. Потому что раньше в Древнем Ките, когда что-то шло не так, то в летописях появляется упоминание драконов. Нельзя сказать, что император дурак или что у нас было наводнение, засуха или проиграли войну. Просто прилетал дракон – все сожрал. Сейчас вместо драконов русские хакеры. Если где-то что-то происходит, вспоминают про них.

Александр Денисов: Я, кстати, подумал. Для директора банка это совершенно легкий повод объяснить дыру…

Андрей Масалович: А вы думаете – откуда взялись 100 млн ущерба? Если хакер купил машин за полмиллиона, где остальные 95? Это действительно так. Смотрите, тема отчасти распиарена, но отчасти у нее очень хороший фундамент. Русский хакер – действительно супер. Хотя не только русский. Например, в России проходят две крупных хакерских конференции. На них проходят соревнования. 2 года назад на таком соревновании выиграла команда из Казахстана. То есть группа ЦАРКА казахская оказалась сильнее всех, даже русских хакеров. И сильнее индусов, и сильнее китайцев.

Александр Денисов: Но это белые хакеры так называемые, да?

Андрей Масалович: Не только. Называется не хакер, а черная шляпа. Черная шляпа – это тот, кто ломает и лезет, куда не надо. Есть красная шляпа, которая ломает снаружи, но потом рассказывает, как он это сделал. То есть не договариваясь. И есть белые шляпы, которые перешли на сторону светлых сил и свои навыки используют для усиления безопасности или помогают лазать куда не надо. Но вы начали с одной печальной новости, что за хакерами действительно охотятся. И я хочу молодых ребят предостеречь, что если вы суперхакер, но не одиночка, то вы остаток жизни проведете в подвале. Либо это будет подвал спецслужб, куда вас пригласят, вы будете работать, либо это будут какие-то криминальные авторитеты, ради которых вы будете ломать банки. Поэтому свобода не в том, чтобы бегать не в стаю. Свобода в том, чтоб правильно выбрать стаю. Поэтому сразу предупреждаю тех, кто сейчас наслушается и пойдет в хакеры.

Анастасия Сорокина: Но гениальным еще надо стать. Это же тоже целая…

Андрей Масалович: Понимаете, сейчас мир так устроен, что даже появился специальный термин. В штатах это называется script kid (пацаненок со скриптами). В России тоже появился термин – «мамкин хакер». То есть сейчас настолько у нас плохо с безопасностью, что пацаненок, который просто 2 вечера проведет, читая хакерский форум, сможет на третий день скачать скрипт, его запустить и наломать дров. Это вполне реально. И почувствовать себя хакером. Правда, долго при этом на свободе не проживет, но, тем не менее, взлом сделать не трудно.

Анастасия Сорокина: Подождите, это конкурсы хакеров, такие простые, как вы говорите, схемы – скачал и получилось. Нет ли каких-то специальных школ, которые выращивают этих специалистов?

Андрей Масалович: К сожалению, таких школ предельно мало.

Анастасия Сорокина: Хогвартс такой.

Андрей Масалович: Смотрите, в маленьком Сингапуре за год воспитывается 15 000 специалистов по кибербезопасности. В России – 2000. Я имею в виду того класса, который нужен для решения задач. Сравните, где Москва и где Сингапур. В Китае собираются строить аж 4 даже не школы, а университета кибербезопасности. То есть эта тематика действительно очень серьезная. Специалисты нужны вот так. У нас вместо таких школ есть соревнования. Они называются CTF (Capture the flag). Хакерские такие. Или более просто и менее грамотно их называют хакатонами. То есть соревнования, где хакеры соревнуются, кто что сломает, кто найдет уязвимость, кто что лучше защитит. Вот на таких соревнованиях действительно пацанята выращиваются и могут дойти до нормального уровня.

Александр Денисов: Вот насчет хакатонов давайте как раз поговорим с Татарстаном. Они проводят такой хакатон, когда просят хакеров испытать систему. Они испытывают инфраструктуру для суверенного интернета, ищут уязвимости, обещают какой-то приз. Вот какой приз, как ищут и взломали или нет. Мы сейчас узнаем у Булата Ибрагимовича Исмагилова, первого заместителя министра цифрового развития государственного управления информационных технологий и связи республики Татарстан. Здравствуйте.

Булат Исмагилов: Добрый день.

Александр Денисов: Да. Скажите, хакатон уже идет? Может быть, закончился? Может быть, взломали вас уже успешно? Поздравляем вас.

Булат Исмагилов: Нет. Это в планах 2020 года. В следующем году хотим провести в нашей республике. Пока только в планах.

Александр Денисов: А что, вы сами не можете справиться? Обязательно хакеров? Они шустрее, настойчивее?

Булат Исмагилов: Считаем, что потенциал молодых специалистов, студентов, выпускников у них достаточно большой. Можно их использовать на благие цели. Поэтому хотелось бы как раз таки во время хакатона их подключить, чтобы они приняли участие в этом мероприятии.

Александр Денисов: А приз то какой? Денежный? Или что там? Или приз – возьмут на карандаш в МВД всех этих умельцев?

Булат Исмагилов: Планируем, что будет денежный приз. Мы готовим программу и призовой фонд. Все это будет объявлено.

Александр Денисов: Пока еще держите втайне, не говорите, какой приз, да? Сумма.

Булат Исмагилов: Пока да.

Александр Денисов: Спасибо, спасибо. Ну что, желаем вам, чтоб вас взломали, чтобы вы нашли уязвимость. Хотя, может быть, и не смогут вас взломать. Спасибо большое. Это был Булат Исмагилов, первый заместитель министра цифрового развития республики Татарстан. Вот рассказывал о хакатоне, который пройдет в следующем году. Остановились. Давайте поподробнее. Почему русские хакеры все-таки оказались лучшие, самые страшные, как говорит Касперский и как вы говорите?

Андрей Масалович: Смотрите. Давайте посмотрим мировое противостояние, например, военное. Мы увидим некий паритет. Есть ракеты, есть антиракеты. Есть радары, есть антирадары. Если бы не было паритета, то американских военных надо разогнать и посадить. Зачем они деньги едят, если они уже всех победили? То есть на уровне решений мы равны, а на уровне техники, все знают, Америка впереди. Соответственно, разница между техникой и решением – это мозги.

Александр Денисов: То есть мы мозгами больше берем?

Андрей Масалович: Да, мы больше берем мозгами.

Александр Денисов: Голь на выдумку хитра?

Андрей Масалович: Да, совершенно точно. Нас учили решать проблемы. Мы все, что перед собой видим, воспринимаем как проблему и решаем. В Штатах – наоборот. Я когда-то был майор КГБ. Сейчас уже весело признаваться.

Александр Денисов: Интересно. Об этом тоже поговорим.

Андрей Масалович: Да, да, да. Так вот, мне в руки попадал документ НАСА. Это инструкция наземному персоналу. И там реально упоминались инопланетяне. Что если ты заступил на боевое дежурство и случилась чрезвычайная ситуация, то если отключится рация - делаешь то-то, если отключилось электричество – делаешь то-то, если увидел инопланетянина – делаешь то-то. То есть главное – не включай мозги. Их учат годами не включать мозги, а полагаться на так называемый action plan. Иногда это, кстати, оправдано. Нас так не учат. У нас любая задача – это личный вызов. Поэтому ребята включают мозги. А для хакера это самое главное.

Сейчас вообще удивительное время. У меня сыну 14 лет. Я ему объясняю, что можно потратить 2 месяца вечеров, изучить некий пул технологий, научиться писать, скажем, приложения для смартфона, написать какое-нибудь успешное приложение (например, службу знакомств для котиков, пока ее в Москве нету). Вот кто напишет – сразу получит $5 млн. Соответственно, до конца жизни может…

Александр Денисов: Для каких котиков?

Андрей Масалович: Надо разобраться, да.

Александр Денисов: А вот вы рассказали. Давайте теперь попробуем объяснить американцам, что мы зла не держим. У нас все лучшие специалисты по кибербезопасности – выходцы из КГБ, из высшей школы. Вы, опять же, Касперский. Он самый известный. Он из высшей школы КГБ. А теперь мы будем рассказывать, что мы белые и пушистые.

Андрей Масалович: Нет. Мы на самом деле реально мирные люди. Вот вы правильно вспомнили про суверенный интернет. Все почему-то думают, что суверенный интернет – это изоляция, попытка спрятаться. На самом деле суверенный интернет – это всего лишь реальность, когда мы живем в коммунальной квартире, а сосед дерется, а все рубильники у него, он может их повыключать. Суверенный интернет – это чтобы не остаться без света, когда сосед хулиганит. Китайцы, кстати, это раньше нас придумали и уже некоторые шаги для своей суверенности отстраивают. То есть если мировой интернет накроется в Китае, он будет продолжать работать.

Анастасия Сорокина: Они и нам хотят тоже помочь…

Андрей Масалович: Я бы не очень был рад такой помощи. Потому что любая железка – это троянский конь. Потому что в любом устройстве и на железном уровне, и на уровне операционной системы, и на уровне системы будут так называемые «бэкдоры», через которые они могут лямзить наши данные, могут управлять. А, кроме того, под видом апгрейда даже на 100 раз проверенное устройство можно черта с рогами затащить, устройство начнет работать по новой или отключится. Так уже бывало.

Анастасия Сорокина: Возвращаясь к нашим мозгам светлым, на которых охотятся не только с точки зрения, чтобы они ответили за свои преступления, но и чтобы они работали в других компаниях. Не пугает ли, что наши специалисты с таким удовольствием уезжают за рубеж и там работают на тех же американцев, например, или китайцев?

Александр Денисов: Вообще есть такая тенденция или нет?

Андрей Масалович: Вы знаете, уже 30 с лишним лет в первую поездку в Штаты в исследовательском центре IBM в лифте я прочитал на английском надпись: «Уважаемые коллеги, пожалуйста, не разговаривайте в лифтах по-русски». То есть уже тогда это было проблемой. Много было народу, которые…

Александр Денисов: А почему?

Андрей Масалович: Просто чтобы не огорчать остальных.

Анастасия Сорокина: Чтобы понимали, о чем речь.

Андрей Масалович: Чтобы остальные понимали, о чем речь. То есть это уже было проблемой. Как в старой байке, кормить надо лучше – ни не улетят. То есть хорошим специалистам правда надо создавать условия.

Александр Денисов: Но вы уже не улетели.

Андрей Масалович: У меня есть условия.

Анастасия Сорокина: А вот про условия. Для того, чтобы они не улетали, что нужно сейчас и какие они могут быть, эти условия? Уже несколько дали таких для наших зрителей заманух, чем заняться дома и какой вести удаленный…

Александр Денисов: Ты хочешь потратить 2 дня и запустить скрипт, сценарий?

Андрей Масалович: Скрипт – это фактически злонамеренный сценарий. Или его еще эксплойт называют. Смотрите, давайте дам еще одну замануху уже для учителей, министров и нашего образования. Молодежь – это такие существа, которым нужны не столько деньги, сколько нужна востребованность и признание. Фактически, если им давать признание, что «уау, ты супер», «уау, ты крутой», «уау, все здорово», они толпой будут идти. На CTF (я вхожу в жюри хакерского конкурса) второй год пацанятам дарят кружки, на которых написано «Ты просто космос». Когда человек возвращается с конкурса с такой кружкой, понятно, что остальные к нему потянутся. Хотя сколько стоит кружка? То есть дело не только в зарплатах. Дело именно в некотором, если хотите, общественном признании. Потому что сейчас хакер – это скорее просто молодой мошенник или правонарушитель. По большей части, кстати, это правда. Мы тут с вами говорим про некую белую элиту, которая очень немногочисленна.

Александр Денисов: Которая не боится появляться на хакатонах. Послушаем зрителя и вернемся к хакатону. Почему их все больше? Почему компании вкладывают в это деньги?

Анастасия Сорокина: Краснодарский край на связи. Владимир, добрый день.

Зритель: Добрый день.

Анастасия Сорокина: Говорите, Владимир.

Зритель: Я хотел бы задать вопрос. Он для меня очень важен. Насколько безопасны системы, которые находятся в банках? Не секрет, что сейчас многие клиенты в банках теряют деньги с электронных карт. Я хотел бы услышать ответ. Система безопасности конкретно Сбербанка является безопасной или менее безопасной, которая сейчас существует на данный момент?

Александр Денисов: А вы с какой целью интересуетесь? С благой? Как потребитель или как…

Зритель: Я как клиент Сбербанка, который потерял деньги с электронной карты.

Александр Денисов: Спасибо. Много потеряли?

Зритель: 20…

Андрей Масалович: Смотрите, спасибо за вопрос. Я на самом деле услышал сразу несколько вопросов. Первое – безопасно ли пользоваться сейчас банковскими системами, удаленными банк-клиентами, средствами электронных платежей и так далее? Небезопасно, но большая часть проблем у нас живет вот здесь. То есть больше половины улова злоумышленники получают за счет социальной инженерии. От нас самих. При этом схема мошенничества в течение 5000 лет не меняется. Всегда состоит из двух шагов. Часть вторая – развести лоха. Она всегда разная. Часть первая – выделить лоха из толпы. Поэтому мой совет – не выделяйтесь, не изображайте лоха. Если вам звонят по телефону, например, сотрудники, представляясь сотрудниками банка, сразу говорите: «Представьтесь по форме. Фамилия, имя, отчество, номера отряда и статья, по которой сидите».

Александр Денисов: Интересный момент. Мы сразу наметили. Преступный бизнес, как раз сидящий в местах заключениях, этим и занимается.

Андрей Масалович: Потрясающе эффективно и долгоживущий канал, который, к сожалению, никак этот ручеек не перекроют. Хотя он предельно простой. То есть людей элементарно разводят по интерфейсу человек-человек. То есть система безопасности Сбербанка тут ни при чем. Это раз.

Второе. У Сбербанка больше проблем, чем у других банков, просто потому что клиентов больше. Просто за счет больших чисел. Соответственно, любой сотрудник любого банка сейчас в состоянии на экран вывести какие-то данные любого клиента и сфотографировать. Это достаточно трудно ловится, достаточно легко сделать. Поэтому мой совет – всем, кто хочет проверить на надежность свой банк, просто зайдите в интернет и наберите надпись, допустим, «купить данные по клиентам банка». И выскочит куча предложений разных злоумышленников. И там будут цены. Для разных банков они будут разные. Надо посмотреть. Если в вашем банке цены большие, значит там защита хорошая. Значит, он надежный. Если там за две копейки готовы данные продать, значит в этом банке данные утекают. К сожалению, цены сильно разнятся. Есть банки, в которых данные технически возможно купить задешево.

Александр Денисов: Поэтому нечего удивляться, что все компании проводят эти конкурсы для хакеров – эти хакатоны. Все больше компаний. Почему они все больше денег в это вкладывают?

Андрей Масалович: Не только. Смотрите, хакатоны – это все-таки соревнования. Есть еще несколько градаций. Есть градация, которая называется Bug Bounty. То есть компания просто объявляет, что платит некоторую гарантированную премию за каждую дырку, которую найдут. Тем самым заранее коллекционируя дырки в безопасности, пока их не расковыряли другие.

Есть команды так называемых красных хакеров, которые атакуют снаружи, потом приходят и показывают.

Александр Денисов: Что они нашли.

Андрей Масалович: Что они нашли, да. Но тут 50 на 50, потому что можно наткнуться на вопрос «а вы с какой целью к нам лезли?» Уже были случаи, когда компании после этого на них же в суд подавали. Такое тоже бывает.

Дальше. Есть даже специальное, правда, более сильно заформализованное понятие – это пен-тесты (penetration test), то есть тест на проникновение. Есть специально заказывают. При этом пишут кучу бумаг – что будем ломать, как будем ломать, что будем смотреть. Но это отходит в прошлое, потому что в таких случаях лучше действительно сломать, а не обложиться бумажками.

Но рынок этот очень сильно развивается, потому что и компании на Западе, и компании в России, и банки, и любые особенно представители критических структур стали понимать, насколько они беззащитны.

Кстати, на месте американцев я бы сейчас наоборот с удовольствием приглашал российские фирмы на контроль безопасности. Потому что они знают мышление хакера, помогут обезопаситься от людей с гибкими мозгами.

Анастасия Сорокина: Можно ли бояться того… понятно, что волнуют вклады, волнуют сбережения, что мошенники пользуются этими схемами. Не может ли это перерасти вообще в некую такую кибервойну, где будут сражаться вот эти самые лучшие специалисты и под угрозой могут оказаться вообще интересы государства?

Андрей Масалович: Я вас огорчу. Третья мировая война уже идет. Ей уже больше 20 лет. Просто она далеко-далеко ушла от берега. Мы с вами живем у берега, где большая часть просто плавать не умеем. И, к сожалению, все мастера ушли туда, воюют друг с другом. То есть уже больше 20 лет как существуют кибервойска, существуют киберармии, существует кибероружие. Самый известный пример кибероружия, он 15 лет назад появился, назывался Stuxnet.

Александр Денисов: Это который внедрили иранцам и замедлили…

Андрей Масалович: Да, да, да. Который раскручивал и выводил из строя центрифуги для обогащения урана.

Александр Денисов: И испортил весь процесс.

Андрей Масалович: Испортил процесс. При этом для того, чтобы найти эти конкретные компьютеры, он заразил полмира. То есть он их просто искал, на каждом компьютере проверял, не управляет ли этот компьютер центрифугой.

Александр Денисов: Иранцы сразу же обвинили Израиль и американцев.

Андрей Масалович: Отчасти оправданно. Но, с другой стороны, очень трудно отследить происхождение атак. И почти невозможно доказать политическую ангажированность, политический заказ. Фактически единственный доказанный хакерский взлом за все время был в 1242 году, когда русские хакеры взломали лед Чудского озера. Вот это единственный доказанный случай. Все остальное еще надо доказать. Поэтому война идет. Но мы остались беззащитными. Весь грамотный народ ушел воевать. А мы возле берега и плавать не умеем. Вокруг куча мошенников, которые нас подтапливают. Поэтому нам надо не того мира опасаться, а того, чтобы сегодня умыкнут деньги у какой-нибудь бабушки.

Анастасия Сорокина: То есть флэшки, зарядки, вот такие простые вещи – что с ними нужно делать?

Андрей Масалович: Вы не с этого начали. Из 20 бытовых хакерских атак 19 начинаются с зараженного аттача. То есть не открывайте вложения в письме. Просто не открывайте и все. Неважно, от кого.

Второе – это котики. Котики или селфи в туалете. То есть это зараженная ссылка. Вы видите что-то яркое, вам хочется нажать. Это второе по распространению.

Третье – когда вас уговаривают загрузить какое-нибудь зараженное приложение для смартфонов. В этом плане, как ни странно, Apple больше защищен, просто потому что там магазин более сложно устроен. То есть сама система не более защищенная, но заражений меньше.

Александр Денисов: То есть даже в магазине можно подхватить, да?

Андрей Масалович: Именно в магазине и можно. Потому что хакеры регистрируются как некая фирма, выкладывают приложение с каким-нибудь красивым названием, допустим, «Централизованное управление всеми вашими картами» или «Централизованное хранилище паролей». Все его радостно скачивают. Правда, не они начали.

Если вы вспомните, я могу точно сказать момент, когда роботы захватили эту планету. И вы его вспомните. Лет 20 назад, когда вы ставили свой первый Windows на компьютер, помните, там на экране появилась папочка – «Мои документы». Вот подумайте, кто написал слово «Мои». Вы или нет?

Александр Денисов: Я точно не писал.

Андрей Масалович: Они уже не ваши.

Александр Денисов: Как говорится, задний карман – чужой карман.

Андрей Масалович: Да.

Александр Денисов: Спасибо вам большое. Спасибо.

Анастасия Сорокина: В студии у нас был Андрей Игоревич Масалович, президент консорциума InfoRus, специалист по кибербезопасности.

Рубрика «Личное мнение»