Хакеров приписали Рунету

Р

Александр Денисов: Киберпиратов приписали России: экс-руководитель кибекомандования США Майкл Роджерс назвал Россию тихой гаванью, где якобы укрываются хакерские группировки.

Ольга Арсланова: Он же привел свежий пример: мол, группа DarkSide, если переводить на русский, то это «Темная сторона», которая взломала американскую трубопроводную систему и оставила без бензина 19 штатов, вредит как раз с нашей территории. А чтобы разблокировать систему и возобновить подачу топлива, собственники компании заплатили хакерам 5 миллионов долларов. А ФБР, которая не советовала им этого делать, не была столь однозначна в своих обвинениях: преступники, по их версии, укрываются то ли в России, то ли где-то в Восточной Европе, в общем...

Александр Денисов: Для них это, как говорится, один черт.

Ольга Арсланова: Для них примерно одно и то же, но в принципе рядом, действительно, что уж.

Александр Денисов: Нам также поначалу приписывали кибератаку на Демократическую партию США накануне президентских выборов в 2016-м, когда был взломан почтовый ящик кандидата от демократов Хиллари Клинтон, обнародованы конфиденциальные письма и документы. Разъяснила потом все тоже ФБР, которая опубликовала стенограмму допроса Хиллари Клинтон (опроса, наверное, Хиллари Клинтон), где она призналась, что из-за сотрясения мозга забывала соблюдать меры предосторожности при работе со служебной почтой. А документы украли опять вот либо, либо: либо с территории России, либо с Украины, вот ФБР так и заявила.

Ольга Арсланова: Громкая кибератака произошла также во время церемонии открытия Зимней Олимпиады 2018 года в Южной Корее. Организаторам даже пришлось временно отключить официальный сайт Игр. Минюст США не стал долго искать виноватого и указал на шестерых российских военных хакеров, которые таким образом якобы мстили Международному олимпийскому комитету за то, что тот отстранил российскую сборную. О могущественных российских хакерах давайте поговорим, они вон сколько всего умеют.

Александр Денисов: Да, так ли страшен хакер, как его малюет, ха-ха, штатовский черт, поговорим с Андреем Игоревичем Масаловичем, так сказать, отсеем, специалист же по просеиванию через сито информации, Андрей Игоревич, так сказать, дезу всю как шелуху отметем...

Ольга Арсланова: Вообще вызывают гордость российские хакеры.

Андрей Масалович: Ну, как такая пугалка да, надо бояться действительно.

Александр Денисов: Андрей Игоревич, прежде чем к этому перейти, можем перекинуть мостик от предыдущей темы, и потом вернемся к нашим хакерам? Вот совершивший преступление в Казани, обвиняемый в совершении этого преступления, он опубликовал все в Telegram, тут же возникли вопросы к Дурову. И он стал говорить, что не стоит превращать нас в цифровой концлагерь, мониторить в интернете, это невозможно. Так невозможно мониторить или неохота поплатиться свободой ради безопасности?

Андрей Масалович: Ну, если, при всей печальности темы, все-таки воспринять это как некую игру против российских спецслужб, то проигрыш сейчас со счетом 4:0. То есть первое: молодежью надо заниматься, интернет здесь ни при чем. Чем дышит молодежь...

Александр Денисов: То есть вот это девиантное поведение – это наш проигрыш?

Андрей Масалович: Девиантное поведение – это общий проигрыш, потому что... Вот я в Дагестане видел, там, где есть залы и висит экран с Хабибом, там они дерутся, для того чтобы выйти на ринг и стать как Хабиб. Там, где нет таких залов и не висит экран, они дерутся на улице, это один и тот же подросток, просто где-то определили, куда ему пойти, где-то нет. То есть первое – молодежью надо заниматься, это раз.

Второе. Для того чтобы в интернете что-то делать, сначала нужен контроль оперативной обстановки, то есть основные поля в интернете видеть надо и делать так называемые тепловые карты, чтобы хотя бы видеть, что в этой школе нормально, а в этой... Вот здесь жестокости больше, чем здесь. Девиантные отклонения на потоке выявляются очень легко, что вот эта группа про травку, эта про футбол, это нацики, АУЕ, это делать нетрудно технически, ну там просто немножко объемно по серверам, вот. Этого тоже не делается, уже 2:0.

Ольга Арсланова: Я просто дополняя, простите, Сашин вопрос: этого не делается потому, что кто-то там в интернете из владельцев не дает, или потому, что не хватает ресурса, желания конкретно у правоохранителей?

Андрей Масалович: Ну нет. У меня есть, скажем так, частное печальное мнение, там очень легко, даже если деньги выделят, их очень легко размылить, изобразить, что мы все делаем.

Ольга Арсланова: Ага, понятно.

Андрей Масалович: Может быть, так и произошло, может быть, на это уже какие-то средства выделены, может быть, есть какие-то силы, какие-то центры молодежной политики...

Ольга Арсланова: Но результата нет.

Андрей Масалович: Но результата нет.

Ольга Арсланова: Это второй гол.

Андрей Масалович: Это второй пункт.

Ольга Арсланова: Второе очко.

Андрей Масалович: Третий пункт: если ведется общий контроль, вот тогда можно включать и тогда заработает то, против чего говорит Дуров, можно вести точечный учет и точечное выявление людей, персонально людей с отклонениями. То есть либо тех, кто себя странно ведет, либо тех, кто ведет себя тихо, как этот, но начинает набирать, где ему взять взрывчатку, как купить то...

Александр Денисов: А он это набирал.

Андрей Масалович: Он это набирал, это 3:0. Ну а, скажем, керченский стрелок за 3 месяца и за 6 месяцев писал «я всех убью», «мир несправедлив», «так жить нельзя», «эта игра делает из меня психа», у него это все в ленте было, то есть на него уже стоило смотреть.

Ну и, наконец, четвертое: если такие персоны с отклонениями выявлены, дальше с ним должен поработать либо оперативник, под видом продавца оружия на него выйти, либо психолог.

Александр Денисов: То есть эффективный мониторинг таких парней в интернете вполне реален?

Андрей Масалович: Вполне реален. Причем здесь есть одна маленькая логическая натяжка. Почему-то по нашему законодательству психолог не может подойти к парню с отклонениями, он должен подойти к родителям, объяснить им и, если родители разрешат, уже идти к нему. Так это не работает.

Ольга Арсланова: А нормальные ли родители, там тоже очень большой вопрос.

Андрей Масалович: Ну да. Но интернет в этом плане дает лазейку, потому что передо мной не человек, передо мной аккаунт, я не знаю, кто за ним, соответственно, никто не мешает психологу сказать: «А я Маша из соседнего класса, расскажи, что ты вчера орал», – ну и вступить с ним в контакт.

То есть вот если все эти четыре компонента делать, причем даже первый – это большая политика, а три технических, они совершенно выполнимы, что называется, мамой клянусь, этого не делается. И вот это сейчас проигрыш 4:0. То есть я не скажу, что при этом выстрелов станет меньше, потому что, слава богу, у нас их мало, в Штатах их гораздо больше, вот этих колумбайнов, но у нас это все-таки единичные вещи. Но общий климат и общее количество буллинга, людей, которые спустили жизнь в унитаз на травке или на АУЕ, станет меньше.

Ольга Арсланова: А вопрос тоже об этом случае: он же очень долго, парень, на видео даже видно, как он идет с оружием по улице. И то ли людям все равно, они не обращают на это внимание... Ведь опять же, да, в тот же интернет можно это быстро запостить, приедут оперативники...

Андрей Масалович: Ну, у него расстояние от двери до двери 580 метров...

Ольга Арсланова: Не успели бы?

Андрей Масалович: Не успели бы ничего запостить. Другое дело, что, если вы чуть-чуть смотрели, у них был ЧОП...

Александр Денисов: А камеры настроить можно?

Андрей Масалович: Камеры настроить можно, но там дело не в камерах.

Александр Денисов: Он же попадал в камеры.

Андрей Масалович: Камеры сейчас дешевые, там нужно настраивать систему видеонаблюдения, чтобы она понимала, что происходит, что надо зажечь лампочку, что вот здесь вот человек с оружием, вот здесь вот, допустим, вор. То есть камера показывает, а некоторая программа должна понимать ситуацию и давать сигналы. Но у них же была военизированная охрана, она стоила 40 тысяч рублей в месяц, хотя я не представляю, что можно на охране...

Александр Денисов: Не хватило 7 тысяч, чтобы оплатить.

Андрей Масалович: Да. И когда они ее отменили, а потом хотели вернуть, оказалось, что уже не 40, а 47, и вот этих 7 не хватило, и там просто сидела бабушка, которая даже если бы увидела человека с винтовкой, уже сделать ничего не могла.

Александр Денисов: Но к камерам большой вопрос. Вот они видят, ремень пристегнут или нет в машине, в глубине в темноте под крышей они видят, а ружье они не видят и не дают сигнал.

Андрей Масалович: Это значит... Нет, камера видит все, но кто-то очень грамотный должен сказать: «Меня интересует задача, чтобы не воровали автомобили». Вот человек по автостоянке ходит, подходит к разным машинам, он плохой; подошел к одной и уехал – он хороший. Вот в этот подъезд постоянно входят молодые люди на две минуты, там закладка; вот сюда подходят молодые люди на полчаса, там притон. Но кто-то должен сказать, что эта задача мне важнее. Понятно, что...

Ольга Арсланова: Эта задача самая главная.

Андрей Масалович: Я подвожу к тому, что задача про ремни кому-то оказалась важнее.

Александр Денисов: Да. Андрей Игоревич, понятно, что, в общем, кто-то должен задуматься и начать отслеживать и камеры, и интернет, так сказать, поляну сечь.

Давайте перейдем к обвинениям экс-начальника киберкомандования США, оказывается, у них там такое есть, что...

Андрей Масалович: Ну Cybercom, ему больше 10 лет уже, с 2009 года.

Александр Денисов: Да, что у нас, оказывается, какая-то тихая гавань, тут у нас пираты отдыхают. Что это за обвинения?

Андрей Масалович: Ну, он, видимо... Я из более старшего поколения, в наше время, когда росли во дворах, что называется, извините, за базар отвечали, а у них сейчас не так. То есть огульные обвинения в адрес России, во-первых, это сейчас стало общим местом, можно даже не слушать, можно в этом месте проматывать со слова «Россия» до слова «хакеры», вот.

А с другой стороны, на треть они правы. Примерно треть сообщества, в том числе эта тема у них называется таким красивым, непонятным словом ransomware, трояны-вымогатели, вот примерно треть относится к русскоязычной диаспоре хакеров, вот. Но это не только Россия, это вся Восточная Европа, по крайней мере словом «русские хакеры» они называют Белоруссию, Украину, Молдавию, немножко Казахстан, ну и саму Россию, вот.

В данном случае вот эта группа DarkSide не российская, это ни разу не подтверждено. Про нее известно только, что они пишут по-английски с ошибками, это правда, у них жесткий такой английский, похожий на русские искажения, вот, и они никогда не были замешаны в атаках на Восточную Европу, а значит, есть косвенное подозрение, что они сами оттуда родом и цели выбирают где-то в другом месте. Хотя, может быть, цели выбирают тех, кто скорее заплатит, в Восточной Европе точно никто за трубопровод платить не будет 5 миллионов долларов.

Александр Денисов: Почему заплатили? Казалось бы, и ФБР там предупреждало, платить не надо, это плохой пример...

Андрей Масалович: Зря, не понимаю.

Александр Денисов: Расскажите, почему сейчас так бизнес стал вести себя.

Андрей Масалович: Не знаю, не понимаю. Это крайне вредно, это провоцирует. Это сейчас вполне реально может поднять волну подобных вещей. Потому что до этого... Ну, перед глазами всегда было две группы примеров. Первая: есть направления, где скрипя зубами все-таки платили, это госпитали, где человек на столе умирает, ну если прямо сейчас не заплатили, он прямо сейчас умрет, ну и в больших госпиталях это реально было проблемой. Но у меня тогда к ним большой вопрос...

Александр Денисов: Как в английских...

Андрей Масалович: ...как у них выглядят информационные системы, если они допускают атаку на критические компоненты инфраструктуры. Технически нарисовать так, чтобы такого рода специальные критические элементы были защищены и изолированы от интернета, это нетрудно, это понятно, это можно делать, но это не делается. Так вот, долгое время либо было жесткое правило не платить, вообще ни разу, никак, не вступать в контакт, либо второе – скрипя зубами платить, это были единичные случаи. То, что заплатила фирма просто за то, чтобы включили трубопровод, ну за доступ к своим данным, которые она же почему-то не сделала резервных копий, не сделала резервного контура управления...

Ольга Арсланова: Плохо защитила, получается.

Андрей Масалович: Да. Ну и потом, 100 гигабайт – это вот столько.

Александр Денисов: А что они им прислали? Вот 5 миллионов было за что, какой-то ключ разблокировки? Как это выглядело?

Андрей Масалович: Они заблокировали 100 гигабайт чувствительной информации, во-первых, без которой нельзя было... Ну, я сильно-сильно упрощаю, но суть в следующем: они добрались до информации, без которой, во-первых, нельзя было управлять, раз...

Александр Денисов: Пускать бензин по трубам.

Андрей Масалович: Да. Это не просто пускать бензин, это достаточно сложная система, в которой куча параметров, надо держать в балансе. И второе: среди этих данных были еще чувствительные данные, которые почему-то фирма не хотела светить, а они пообещали. Ну, там же в тени прошел второй процесс, они же параллельно такую же атаку провели на полицию, по-моему, если не ошибаюсь, то ли Нью-Йорк, то ли Вашингтон, короче, одного из департаментов полиции, и сказали, что у них в руках те же 100 гигабайт ваших досье. И те платить не стали, они эти гигабайты выложили, вот.

С другой стороны, это более правильный путь. Это, во-первых, хороший урок тем, кто это допустил. Во-вторых, все увидят, что в итоге ничего страшного, у интернета нулевая лояльность, сегодня поахали, завтра забудут, вот, но зато накапливается опыт, что не платили и ничего. Эти дали какое-то, не знаю... Редкий случай, когда я на стороне ФБР, платить было не надо.

Ольга Арсланова: А такой вопрос дилетантский: а зачем вот эту вот систему, если она такая важная, уязвимая, подключать к интернету? Без этого никак вообще?

Андрей Масалович: Вообще вы правы. Действительно, для систем, которые управляют критически важными объектами, нужно либо делать свой интернетик, и американские военные, кстати, уже вторую попытку делают таких своих, у них есть программа GIG, Global Information Grid, ну как бы интернет для своих, сейчас уже GIG 2, то есть все отключится, а у них есть свой контур. То есть надо либо делать так, либо делать это правда автономным. Но, правда, в том же Иране, когда был этот самый троян Stuxnet, который центрифуги развалил, там заразу занесли на флешке, то есть контур был отключен, но это не спасло.

Александр Денисов: Сотрудник, скорее всего.

Андрей Масалович: Да, но это все-таки, согласитесь, гораздо труднее, гораздо реже, и вот мы Stuxnet вспоминаем сколько, больше 7 лет. Мне непонятно... Ну, Россия сравнительно поздно в эту игру включилась, у нас закон о КИИ, критической информационной инфраструктуре, принят, начал действовать с января 2018-го, то есть с января 2018-го у нас есть список объектов, за которыми надо правильно точечно следить, чтобы их нельзя было атаковать. Ну и какие-то проводятся учения, и вроде бы все более успешные, то есть свою инфраструктуру мы защитим если что.

Но, с другой стороны, половина того, что мы в этих атаках видим, во-первых, связано с тем, что с интернетом были связаны какие-то критические коммуникации, без чего точно можно обойтись, раз. Второе: на поверхности оказывались данные критически важные, у которых почему-то не было резервной копии. Третье: эти данные почему-то были в удаленной доступности. И четвертое: я очень сильно подозреваю, что все-таки сам механизм атаки и заражения был связан с какими-то более простыми аспектами, зараженное письмо, зараженный attach, зараженная ссылка...

Александр Денисов: То есть ничего сложного.

Андрей Масалович: Да, то есть сами сотрудники, это не то что там суперхакеры делали какой-то супервзлом, а это просто они подсовывали какие-нибудь письма нерадивым сотрудникам и добирались до их учеток, ну а дальше уже, получив учетную запись, ну логин и пароль сотрудника, можно атаковать.

Александр Денисов: Андрей Игоревич, так мы ведь стоим на пороге еще бо́льших проблем. Вот эти системы 5G, они ведь не для того, чтобы мы звонили и быстрее просматривали фотографии в Instagram, они как раз подключают промышленность еще круче, технику, машины, вообще все. Мы еще больше рискуем тогда, влезая в эти сети?

Андрей Масалович: Ну, то, что произойдет с приходом, с пришествием 5G, вообще пока трудно прогнозировать, потому что вы правы в том, что это реально другой мир. 5G – это не для человека, то есть если вам не хватает 4G, у вас просто вышка далеко, подтянуть поближе, вам для всего хватит, то есть все задачи можно решать на 4G. 5G решает задачи принципиально нового уровня. Это, во-первых, взаимодействие между устройствами: допустим, полная улица, не один беспилотный автомобиль, а полная улица беспилотных автомобилей, они разговаривают, где собачка выскочила, где там кочка, где светофор сломан, и перестраиваются. И во-вторых, это удаленное присутствие специалиста. Первое, что приходит в голову, – скажем, хирурга, то есть хирург ведет операцию, а пациент за два континента, а он пальцами чувствует ровно то, что чувствуют датчики там.

Александр Денисов: Робот da Vinci оперирует онкологические...

Андрей Масалович: Ну, робот da Vinci, все-таки он самостоятельный, он пытается быть самостоятельным, а тут такие как бы сильно длинные руки хирурга, ну или какое-то виртуальное присутствие. Но согласитесь, в этом случае любое отключение или даже замедление – это критично. Ну потому что 5G – это не просто скорость, это три параметра: скорость, гарантированная доставка и гарантированное время доставки. Ну то есть 5G сделано именно для тех применений, где нужно именно в нужную миллисекунду реагировать. Не буду никому подсказывать, но она уязвима для атаки, потому что рядом с вышкой что-нибудь поставить или хотя бы вышку покачать...

Александр Денисов: То есть мир еще более хрупким станет?

Андрей Масалович: Да, по крайней мере новая часть мира первоначально будет не просто хрупкой, она постоянно будет идти вразнос, пока... Потому что сейчас бизнес все время идет быстрее, чем безопасность, то есть сначала выпускают версию, потом образуются дырки, потом их начинают быстро-быстро затыкать, и мы все время живем как бы в таком пространстве незаткнутых дыр.

Александр Денисов: Американец обвинил нас, что мы тут устроили приют для хакеров и прочее. Почему бы, например, Америке не заключить, ну так назовем, пакт о киберненападении? Ведь документов и согласований между странами нет, а в таких условиях можно делать что хочешь, прикидываясь, например, под госструктуру и прочее. И будет уже страшно что-то предпринимать, мы вообще не знаем друг друга, врага вообще не будем знать и не предполагать, кто там.

Андрей Масалович: Ну, у меня так получилось, буквально пару-тройку дней назад корреспондент из The Times пытался в эту тему вникнуть. Я ему объяснял, что давайте начнем с первого шага. Уже больше 10 лет в городе Гармиш-Партенкирхен (в Южной Баварии) по инициативе России проходит международная конференция по безопасности... Кстати, надо сказать, наши политики тролли 80 уровня, конференция проходит на соседнем перекрестке от американской разведшколы, это красиво. Но уже 10 лет американцы – американцы – не дают даже дать определение, то есть киберпространство в американском законе и в российском звучит по-разному и имеет разные смыслы. То есть для международного законодательства сейчас нет даже основ, и торпедируют два брата-акробата, Великобритания и США, остальные как раз очень настроены на то, чтобы правила игры появились.

Александр Денисов: И мы тоже?

Андрей Масалович: Мы эту конференцию затеяли. Даже какие бы санкции ни были, в сердце Баварии всегда вывешивают флаг России, поскольку никуда не денешься, международно признанное событие, в котором организатором является Россия, то есть мы как раз тут впереди. Но ничего не получается. То есть я там много раз был, на этой конференции, когда доходит до обсуждения, обсуждаем; когда доходит до принятия решений, торпедируют. В мутной воде ничего не поймаешь, это раз.

Второе. При попытке даже внести хоть какую-нибудь базу... Например, есть, допустим, терроризм, там обратная ситуация, юридически значимого термина терроризма нет, ну разные страны трактуют по-разному, но понятие терроризма есть, за него можно присудить, можно ввести санкции, все поймут, что это действительно террористический акт или эта страна, террористическое правительство. Здесь наоборот: если атака и прошла, то, во-первых, нельзя понять, кто за ней стоит, страна, из которой она вышла, абсолютно необязательно страна, где ее готовили, это как бы аэродром подскока последний, то есть это последний сервер, с которого шла атака, может быть, заранее захваченный. Второе – нельзя понять, какая команда. Нельзя никак понять и тем более доказать, что за этой командой стояла государева воля или какой-то государственный приказ.

Ну и самое плохое и самое печальное: существует малое число групп и очень большая история расследований, и на каждую группу накоплено большое досье, и досье находится в руках спецслужб. То есть опытный сотрудник спецслужб может сделать новую атаку, подготовить так...

Александр Денисов: ...прикрывшись под DarkSide, например.

Андрей Масалович: Да, что, когда он передаст досье оперативнику честному, честный оперативник скажет: блин, это точно DarkSide, все следы, все улики, и прямые и косвенные, ведут в одну сторону. Но, кстати, с гордостью могу сказать, что вот этих групп, они называются APT, Advanced Persistent Threat, продвинутая угроза, такие черные папки с досье, их всего около 40. Они все расписаны, там часть российская, часть иранская, часть корейская, часть непонятная...

Александр Денисов: Хакерских групп именно?

Андрей Масалович: Хакерских групп. И среди них есть одна, APT 29, которая отличается от всей остальной оравы тем, что они приходят, неожиданно возникают, делают очень мощную атаку, всегда эффективную, всегда неожиданно, всегда по-новому, и исчезают. И считается, что это российское СВР, ну то есть можно гордиться. Вот одну группу узнают, группу 29, не потому, что у нее почерк повторился, а потому, что пришли какие-то непонятные, сделали что-то...

Александр Денисов: Они честные разбойники, они не грабят, не вымогают, Андрей Игоревич?

Андрей Масалович: Нет, они ломают, проникают, добывают, уходят. Ну, если чуть резюмировать, то возможностей проводить честные расследования и доводить до честного делопроизводства, вернее правоприменения на международном рынке в киберпространстве, сейчас никаких нет.

Александр Денисов: И тем более для обвинений.

Андрей Масалович: Для обвинений просто. Ну как раз вот для обвинений сейчас тьма возможностей, рот открыл и что-то сказал, вот.

Александр Денисов: Не обосновывая.

Андрей Масалович: Да.

Александр Денисов: Спасибо большое, Андрей Игоревич.

Ольга Арсланова: Спасибо.

Александр Денисов: Андрей Масалович, президент Консорциума «Инфорус», специалист по кибербезопасности, был у нас в студии. Спасибо.