Кибертерроризм и Кибервойны - Александр Гостев - Точка - 2010-10-10
А.ПЛЮЩЕВ: Продолжаем программу «Точка». У нас сегодня в гостях Александр Гостев, главный антивирусный эксперт Лаборатории Касперского. Добрый вечер.
А.ГОСТЕВ: Добрый вечер.
А.ПЛЮЩЕВ: Наш постоянный эксперт Виктор Захарченко. Добрый вечер, Витя.
В.ЗАХАРЧЕНКО: Добрый вечер.
А.ПЛЮЩЕВ: У Вити, я вижу, уже готов большой блиц, как обычно. Но прежде я вот что, с чего хотел начать. Александр когда слушал нашего с ним тезку Александра Белановского, он несколько раз сделал пометки в своем виртуальном блокноте, и мне хотелось бы узнать, с чем они связаны? Прежде чем он начнет отвечать, напомню, что видеотрансляция идет на сайте «Эха Москвы», на сайте plushev.com, кому где удобнее, там можно поглядеть на Александра Гостева, послушать. Чат сопровождает видеотрансляцию – можно комментировать, задавать вопросы. Но лучше, поскольку там все быстро проскакивает, пользоваться SMS +7 985 970-45-45. Ну или твиттерами plushev и zakharius. Прошу, пожалуйста.
А.ГОСТЕВ: Те пометки в своем виртуальном блокноте, которые я делал, относились к упоминанию Китая в прозвучавшей информации, якобы, в Китае заражено 6 миллионов компьютеров, более тысячи предприятий. Весьма странная информация, которая не подтверждается ни одной антивирусной компанией. Мы видим 3 страны-лидера по заражению – это Иран, Индия, Индонезия. Китай выглядит таким пятном спокойствия в бушующем вокруг него океане заражений этим червем. Ну, кому выгодно распространение подобной информации, можно долго, конечно, дискутировать. Но, вообще, чистота Китая в этом вопросе еще несколько месяцев назад заставляла экспертов задумываться о возможной причастности этой страны к созданию данного вируса.
А.ПЛЮЩЕВ: Но я так понимаю, что сейчас подозрений в ее адрес меньше?
А.ГОСТЕВ: В адрес Китая – да, безусловно, поскольку те, скажем так, результаты, которые были получены в ходе анализа вируса, ну, совершенно не содержат никаких китайских следов.
А.ПЛЮЩЕВ: Виктор, прошу, твой выход.
В.ЗАХАРЧЕНКО: Да. Александр, если позволите, 10 коротких вопросов. Ну, на самом деле, смотрю и вижу, что они не очень короткие получились. Тема сложная для меня, тоже, наверное, узнаю много нового. Тем не менее, так или иначе, вопросы связаны с самой эпидемией вируса Stuxnet и возможными последствиями для всего компьютерного мира, для пользователей и для возможного развертывания нового этапа кибервойн, которыми пугают все. Итак, если позволите, 10 вопросов.
Первый, мог ли Stuxnet нанести реальный вред Бушерской АЭС?
А.ГОСТЕВ: Этого никто не знает. Ну, наверное, создатели знают.
А.ПЛЮЩЕВ: Нет, то есть... Я хочу уточнить. Для этого нужно знать что? Параметры Бушерской АЭС?
А.ГОСТЕВ: Для этого нужно знать параметры Бушерской АЭС, несомненно. Не самой Бушерской АЭС, а какого-то конкретного контроллера программируемого, который там где-то есть, работает. Нужно знать, какая информация в нем содержится, и нужно знать, на что ее изменить, чтобы что-то случилось. Вот эти вот «что-то знать», очень много допущений и, на самом деле, никто не знает, где находится цель этого вируса.
В.ЗАХАРЧЕНКО: Следующий вопрос так или иначе связан с этой темой. Собственно, мы говорим о разных версиях этого произошедшего. Что скажете о варианте, когда Иран, который столкнулся со Stuxnet и не может справиться своими силами, призывает к помощи экспертов со всего мира и тем самым открывает свою систему для изучения и понимания ее со стороны США и других стран, которые находятся на диаметрально противоположных сторонах с Ираном?
А.ГОСТЕВ: Я не думаю, что Иран будет даже в такой ситуации привлекать зарубежных экспертов для решения проблемы. Я думаю, у них есть и свои специалисты, которые в состоянии справиться с проблемой. Когда вирус известен, избавиться от него совсем не так сложно.
В.ЗАХАРЧЕНКО: Верите ли вы в правдоподобность версии о том, что Stuxnet создан исключительно для саботажа продукции Siemens?
А.ГОСТЕВ: Нет. Продукция Siemens как таковая интересует вирус исключительно как средство доступа к промышленным контроллерам.
В.ЗАХАРЧЕНКО: Насколько пострадало реноме России, которая строила эту АЭС? Именно в сфере компьютерной безопасности.
А.ГОСТЕВ: Абсолютно никак не пострадало, насколько я вижу. Единственный инцидент, который как-то затрагивает Россию в этом вопросе – это выявившиеся случаи заражения вирусом сайта Атомстройэкспорта.
В.ЗАХАРЧЕНКО: Собственно, почему Stuxnet обнаружили не мировые лидеры отрасли, а какая-то относительно неизвестная белорусская компания?
А.ГОСТЕВ: Потому что мировые лидеры отрасли не представлены в Иране в столь широком объеме. А белорусская компания имеет собственного партнера, который продает ее продукты в этой стране.
В.ЗАХАРЧЕНКО: В этой истории фигурируют украденные цифровые сертификаты вполне реальных компаний-разработчиков. Насколько случившееся дискредитирует саму идею цифровых сертификатов как надежной системы защиты?
А.ГОСТЕВ: Здесь есть очень интересная информация, связанная с тем, что, возможно, эти сертификаты не были, на самом деле, украдены. Но пока говорить об этом с уверенностью нельзя. Но это не первый случай, когда сертификаты используются. И то, что мы видели в этом году, инциденты, связанные с сертификатами, действительно, очень сильно подрывают доверие к этой схеме безопасности.
В.ЗАХАРЧЕНКО: Ну и немного в сторону от Stuxnet. Какой процент компьютеров во всем мире, подключенных к сети, был в прошедшее время или в данный момент частью ботнетов?
А.ГОСТЕВ: Ох. Крайне сложный вопрос. Пальцем в небо, я думаю, что каждый третий компьютер, ну, хотя бы один раз заражался.
В.ЗАХАРЧЕНКО: Какова эта цифра для России?
А.ГОСТЕВ: Для России, я думаю, счет идет на десятки миллионов. 10-15 миллионов компьютеров.
В.ЗАХАРЧЕНКО: Я имею в виду относительные.
А.ПЛЮЩЕВ: Процент.
В.ЗАХАРЧЕНКО: Процент, да.
А.ГОСТЕВ: Процент от мира?
В.ЗАХАРЧЕНКО: Нет-нет. То есть в мире каждый третий, а в России? Каждый?.. Первый?
А.ГОСТЕВ: Я думаю, из тех, которые подключены к интернету довольно постоянно, ну, я думаю, каждый второй.
В.ЗАХАРЧЕНКО: Окей. Децентрализированные ботнеты – это новая глобальная угроза?
А.ГОСТЕВ: Нет, не новая. Проблеме ботнетов уже более 10 лет, и сейчас она находится не то, что на пике. Она переживает уже четвертый, наверное, этап своего развития. Самая модная фишка – это децентрализованные ботнеты.
В.ЗАХАРЧЕНКО: Собственно, последний вопрос, который, как бы, переводит несколько обсуждение, наверное, в другую тему. Чем Stuxnet был и опасен сейчас для обычных рядовых пользователей? Ну, понятно, что могла взорваться...
А.ПЛЮЩЕВ: Бушерская АЭС – это фигня! Вот, что угрожает моему персональному компьютеру?
В.ЗАХАРЧЕНКО: Да. Вот, что человеку, который сидит, я не знаю, в гипотетическом Нижнем Новгороде, к которому этот Stuxnet попал на компьютер, и у него нет никаких контроллеров, которые можно перепрограммировать?
А.ГОСТЕВ: Хотелось бы ответить, что ему ничего, в принципе, не угрожает и проблем никаких нет. На самом деле, как вирус-то был обнаружен? Его обнаружили специалисты этой белорусской компании, именно потому что у одного из клиентов в Иране компьютер постоянно перезагружался, валился в «синьку», невозможно было на нем работать. Вот это одно из последствий работы вируса. Оно встречается не всегда, но согласитесь, не очень приятно, если в разгар вашей работы с компьютером у вас несохраненные данные, а он выходит на перезагрузку. Вот такой побочный эффект, в принципе, довольно опасен. Но данные не крадет, кредитные карточки ваши его не интересуют, спам с вашего компьютера он не рассылает. Хотя, потенциально к ботнету он подключается и могут делать все, что угодно, его создатели. Но, вот, что создатели этого вируса через этот ботнет могли распространять, мы, увы, не знаем, поскольку на момент обнаружения вируса центры управления ботнетом уже были выключены.
В.ЗАХАРЧЕНКО: То есть он, все-таки, был централизированным?
А.ГОСТЕВ: У него было 2 центра управления, с которыми он соединялся, отсылал туда информацию о зараженном компьютере и мог принимать некоторые команды на выполнение, а также загружать новые файлы. И какие-то новые файлы он загружал и загружал ли, сейчас мы уже не знаем.
В.ЗАХАРЧЕНКО: Но есть информация о том, что он как раз именно Stuxnet, он мог работать по принципу p2p, то есть без центра.
А.ГОСТЕВ: Peer-to-peer connection между зараженными компьютерами используется исключительно для обновления версий червя. То есть если зараженный компьютер видит в сети своего соседа, у которого есть более новая версия червя, он ее оттуда к себе загрузит. Но это единственный функционал, который там работает.
А.ПЛЮЩЕВ: Давайте сейчас вечер у нас, воскресенье, и если я правильно понимаю, мы сейчас можем использовать свой шанс для того, чтобы хорошенько напугать наших маленьких радиослушателей. И если я правильно понял, мы не знаем, кто его создал, мы не знаем, кто им управлял, не знаем целей, зачем это было надо. Значит, в любой момент на практически любом моменте, таком, как Бушерская АЭС он может возникнуть снова. У нас эта угроза вообще никуда не делась, в принципе? Мы просто о ней знаем теперь, что она есть.
А.ГОСТЕВ: Да, это так.
А.ПЛЮЩЕВ: Более того, Stuxnet – он не новый. Ну как? Не вчера он появился и не на прошлой неделе.
В.ЗАХАРЧЕНКО: Ну, примерно год.
А.ПЛЮЩЕВ: Летом-летом. Мне кажется, летом. Нет?
А.ГОСТЕВ: На самом деле, та информация, которая у нас есть, показывает, что первые варианты червя появились в дикой природе то, что называется, примерно в июле прошлого, 2009 года.
В.ЗАХАРЧЕНКО: Больше года.
А.ГОСТЕВ: И что за этот год он нашел и, не знаю, обезвредил, сейчас уже установить невозможно.
А.ПЛЮЩЕВ: Но я продолжаю вот эту вот пугалку. Это значит, что каждый день мы можем столкнуться с точно такой же угрозой, которая была на Бушерской АЭС?
А.ГОСТЕВ: Я бы не хотел здесь постоянно упоминать Бушерскую АЭС, угрозы, связанные с ней.
А.ПЛЮЩЕВ: Ну, у нас это единственный случай пока. Поэтому если бы у нас были еще какие-то другие, несомненно, мы бы ими оперировали. Но пока есть один.
А.ГОСТЕВ: На самом деле, в Иране... Я бы очень сильно удивился, если бы представители Ирана сказали, что Бушерская АЭС не была заражена, да? Вот этому я бы удивился, на самом деле, поскольку зараженных компьютеров, ну, там крайне много. Да? И понятно, что Бушерская АЭС, сотни-тысячи специалистов с компьютерами, ну, точно хоть кто-то из них да был заражен этой штукой. Смотрите, а мы имеем сейчас примерно 4 разные версии червя в хронологическом порядке, которые появлялись с июня-июля прошлого года. Так вот, последняя версия червя, которую мы наблюдаем, она датирована мартом этого, 2010 года. Вот, с марта новых версий червя не появлялось. Соответственно, можно сделать вывод, что с июля прошлого года до марта 2010 года вирус свою задачу так и не выполнил, поскольку его авторам приходилось выпускать все новые и новые версии. Да? Начиная с марта, новые версии появляться перестали и одновременно с этим вирус был, собственно, и обнаружен антивирусными компаниями. И сейчас новых версий червя также нет. Означает ли это, что свою задачу он уже выполнил и больше его ничего не интересует, он продолжает вот так вот существовать...
В.ЗАХАРЧЕНКО: Мы даже толком не знаем, что он мог сделать.
А.ГОСТЕВ: Да. Скажем так, это, вообще, как уже сказали, беспрецедентный случай, когда почти 3 месяца антивирусные компании исследуют червя и до сих пор не знают, что, на самом деле, он делает с контроллером, на что он его перепрограммирует. Мы видим, что он вносит, заменяет какую-то информацию. Но мы – специалисты в антивирусной индустрии, мы разбираемся в обычных кодах. Но мы абсолютно не понимаем вот этого кода, который он вносит в процессор, что на что он меняет. Разобраться с этим вирусом можно только при помощи высококлассных специалистов именно в SCADA-системах, системах управления производств, которые бы посмотрели на это, проанализировали. И, да, вот наши коллеги из компании Symantec, они буквально на своем сайте уже объявили поиск соответствующим специалистам. Если у кого есть необходимые знания, пожалуйста, обращайтесь к нам – нам очень нужна ваша экспертная помощь.
А.ПЛЮЩЕВ: Напоминаю, что вопросы свои вы можете задавать на SMS +7 985 970-45-45, в твиттерах мне и Виктору Захарченко, соответственно, plushev, zakharius. У нас в гостях Александр Гостев, главный антивирусный эксперт Лаборатории Касперского. Еще чуть-чуть остановимся на Stuxnet, потом пойдем по другим угрозам. Он же еще и несколько необычный червь, вирус, как вы их там называете. Он большой. Большой по размеру.
В.ЗАХАРЧЕНКО: Большой по себестоимости.
А.ПЛЮЩЕВ: Да. И какой-то огромный по себестоимости. И кроме того, он, как правило, ничего и не ворует, как вы уже сказали. Значит ли это?.. Я просто отошлю наших радиослушателей к программе «Точка» с Евгением Касперским, которого они в марте, кажется, этого года могли слышать и потом был повтор (можно на сайте найти распечатку). И там Евгений Касперский говорит, в основном, о вирусах экономических, ну, то есть тех, которые воруют, проще говоря. Так или иначе, вот, значит ли это, что мы сейчас наблюдаем смену поколений вирусов или смену тенденций в вирусах, когда экономически вот те, которые вороватые вирусы, они постепенно начинают отходить на второй план и появляются какие-то новые как Stuxnet, новые угрозы, которые, может быть, не каждому, зато всем вместе угрожают и так далее.
А.ГОСТЕВ: Я бы не сказал, что мы наблюдаем тенденцию. Мы видим, все-таки, пока единичный случай. Действительно, беспрецедентный, но, все-таки, единичный. Последует ли за ним то, что называется продолжением, начнут ли подобные вирусы появляться хотя бы в сравнимом с традиционными вирусами количестве, я думаю, что нет. Все-таки, это эксклюзивная вещь, которая делается разово под разовую задачу. И, действительно, стоит очень дорого и делать ее очень долго. Кроме того, мы, ведь, не знаем, а что было раньше? Да? Вот, мы этот вирус нашли, поймали. Разбираем, строим теории и так далее. Но никто не может дать гарантий того, что подобных вирусов по своему функционалу, например, не существовало 2-3-4 года назад.
Stuxnet – это червь-саботажник. Понятно, что если он перепрограммирует какой-то контроллер, значит, его задача нанести ущерб, несомненно, то есть заставить работать по-другому. Промышленное производство, работающее по-другому, это явный саботаж, согласитесь. Но, вообще, тема подобных крайне дорогих эксклюзивных творений даже не буду называть вирусописательской мысли, поскольку это не совсем вирусописательство в традиционном смысле, она будет все дальше и дальше развиваться, и это, действительно, опасно. Что, вот, пример со Stuxnet, потом вся эта история вокруг этого червя Stuxnet, она даст очень много пищи для ума и крупным корпорациям, и правительственным структурам, что, вот, есть реальный пример того, как можно наносить какой-то ущерб кому-либо.
А.ПЛЮЩЕВ: Я хотел спросить, можем ли мы оценить, сколько стоило создание этого вируса и сколько народу над ним трудилось? И какова вообще, ну, мощь организации? Может быть, мы таким образом сможем очертить круг тех, кто мог стоять за его созданием.
А.ГОСТЕВ: Ну, по нашим оценкам, которые мы уже пытались сделать, на создание подобного вируса требуется примерно работа команды из 5-6 программистов, высококлассных программистов не только в области антивирусных систем, которые знают, как обходить антивирусную защиту, знают, какие должны быть вирусы, умеют искать уязвимости в операционных системах. Эти люди еще должны знать, как работает софт Siemens, как работают программируемые контроллеры, да? То есть, вот, профессионалы высочайшего класса, их нужно человек 5-6 и работать, писать код нужно было минимум полгода. И код написан, ну, очень высококлассно, то есть такое качество, то, что называется, исполнения мы просто никогда не видели. У нас люди, которые более 10 лет разбирают вирусы, они смотрят в этот код и говорят: «Ну, он идеально написан. В нем нет ошибок». Люди не совершили ни одной ошибки, код академически очень грамотно написан. И уязвимости, которые он использует, это 4 новые уязвимости, ранее неизвестные, по самым скромным оценкам, допустим, на российском рынке киберпреступности все эти уязвимости скопом могли бы потянуть, не знаю, суммарно на 200 тысяч долларов, да? Если бы кто-то их нашел и захотел бы продать хакерам каким-нибудь для распространения обычных вирусов, он мог вполне попросить с них такие деньги и, скорее всего бы, получил. Так что я думаю, здесь да, действительно, нужно было крайне много средств потратить на оплату услуг этой команды. Я читал мнение одного из экспертов, который также анализирует этот червь, немецкий исследователь Ральф Лангнер, который, собственно, первый и начал кричать, что вирус нацелен на Бушерскую АЭС. Так вот Ральф говорит, что по его оценке в мире есть всего 10 человек, которые способны создать подобный вирус. И, говорит, трое из этих десяти работают в моей компании, но мы этот вирус не создавали.
А.ПЛЮЩЕВ: Остается 7. Не так много.
А.ГОСТЕВ: Скажем так. В Лаборатории Касперского, я думаю, нет ни одного человека, который бы мог создать подобный вирус. Вот это совершенно точно могу заявить.
В.ЗАХАРЧЕНКО: Это такая попытка обелиться в эфире.
А.ПЛЮЩЕВ: Антикорпоративная, причем, замечу. Типа, мы там все лохи, знаешь, мы такого не можем. (все смеются)
В.ЗАХАРЧЕНКО: Но тем не менее, я заметил, что в словах прямо чувствуется уважение к людям, создавшим эти вирусы. Я думаю, если бы пришел человек и сказал «Ребята, я написал этот Stuxnet», вы бы ему предложили работу в конечном итоге. Ну, вот, все эти истории про хакеров...
А.ПЛЮЩЕВ: Ему уже не надо. Он может уже не работать, в принципе.
В.ЗАХАРЧЕНКО: Я бы немного хотел...
А.ПЛЮЩЕВ: 200 тысяч – это только за уязвимости, понимаешь? Там же код еще.
В.ЗАХАРЧЕНКО: Но их же 6 человек, извини. Смотрите, про уязвимость немного. Siemens, да? Который, кстати, Siemens разорвал контракты с Ираном официально. Это потом выяснилось, что Siemens замешан в том, что, на самом деле, говорят, что россияне использовали просто их оборудование. Насколько я понимаю, российская компания, которая строила, собственно, Бушерскую АЭС, я так понимаю, она каким-то образом связана и с АЭС в России. Поправьте меня, если я ошибаюсь.
А.ГОСТЕВ: Не совсем так. Атомстройэкспорт – он потому и называется «экспорт», что ведет работы за рубежом. И насколько я знаю, в России на электростанциях нигде не используется «сименсовский» софт.
В.ЗАХАРЧЕНКО: Ну, окей, софт от Siemens используется не только в Иране, да? То есть потенциально, мы не знаем, возможно это ящик Пандоры, который в Иране. Шумят, потому что нажали кнопку, сейчас мы, вот, берем и блокируем работу систем, да? Но, возможно, этот... Я боюсь, что распространение вируса, его контролировать очень сложно. Да? Если бы ботнет пошел, то это заражение по всему миру и ничто не исключает варианта, где какой-нибудь служащий, пришедший в американский офис, принесет эту заразу туда. То есть это может быть ящик Пандоры, от которого пострадают, если уж поддерживать гипотезу о каких-то очень сильных государственных структурах, это может быть глобальная проблема для всего мира.
А.ГОСТЕВ: Знаете, вот, как я сказал в самом начале, 3 страны, которые лидируют по числу заражений, - Иран, Индия, Индонезия. Но те данные, которые мы видим, показывают, что в этих странах эпидемия уже идет на убыль. Практический каждый день число зараженных компьютеров там уменьшается на тысячи. Но есть 2 страны, в которых сейчас эпидемия находится на пике, то есть все больше и больше компьютеров заражается каждую неделю, и эти 2 страны – это Россия и Казахстан. То есть, вот, для нас сейчас проблемы со Stuxnet, потенциальные проблемы только начинаются. Вирус только пришел в Россию и очень быстро распространяется, гораздо быстрее, чем он распространялся в той же самой, допустим, Индии, Индонезии по тем данным, которые мы наблюдаем.
В.ЗАХАРЧЕНКО: Ну, это у нас умеют люди.
А.ГОСТЕВ: Что же касается США – да, в США также отмечены случаи заражения этим вирусом в масштабах, уступающим, конечно, российским. Но, пожалуй, единственные страны, которые вирус еще не затронул, где еще не был обнаружен, это страны центральноафриканские, различные государства. Вот, там пока мы его не видим. А по всему миру он уже разошелся, и я думаю...
В.ЗАХАРЧЕНКО: Ну, там-то на 3-дюймовых дискетах все работает, там флешки не носят просто – я думаю, с этим связано, не мог он проникнуть туда.
А.ПЛЮЩЕВ: Давай сарказм оставим в стороне, тем более, господи, нашел, над кем издеваться. Есть у нас, совсем немного осталось времени для того, чтобы обсудить другие темы. Кстати, вовсе не на Stuxnet сошелся клином белый свет, да и вопросы, которые нам прислали наши радиослушатели на сайт, я, с вашего позволения, их под конец задам, потому что они носят довольно общий характер. 2 из них мы выделили и решили написать одну большую монографию в ответ на вопрос «А какими могут быть последствия кибертерроризма?» А по второму снять большой художественный фильм «Как выглядит мировая кибервойна».
В.ЗАХАРЧЕНКО: Назвать «Вдребезги-2».
А.ПЛЮЩЕВ: (смеется) Эти вопросы мы, да, оставляем за скобками нашей сегодняшней программы, а остальные попробую задать. Так вот, есть еще одна тема, которая как раз родилась на этой неделе, Ну, точнее, продолжилась – это еще одно наряду со Stuxnet имя – Zeus, или Зевс, как его здесь называют. И вирус, с помощью которого группа мошенников – ну, я так, мошенников условно – группа обвиняемых в мошенничестве выходцев из бывшего Советского Союза, в том числе из России вскрывала счета и карточки в нескольких банках за рубежом. И там она была арестована, эта группа. Соответственно, хотелось бы спросить про этот вирус, про эту угрозу. Что знают в Лаборатории Касперского по этому поводу?
А.ГОСТЕВ: Вот, в отличие от червя Stuxnet в истории с Зевсом отрицать наличие российского следа крайне глупо. Поскольку вот это-то совершенно точно дело рук российской киберпреступности. Зевс впервые был нами обнаружен еще в 2007 году.
А.ПЛЮЩЕВ: Старый то есть?
А.ГОСТЕВ: Старый-старый вирус, но весьма многофункциональный и удобный с точки зрения киберпреступника.
А.ПЛЮЩЕВ: Говорят, он открыто продается в интернете.
А.ГОСТЕВ: Да. Еще с 2007 года начались его, то что называется, продажи.
А.ПЛЮЩЕВ: Несколько тысяч долларов.
А.ГОСТЕВ: Цена варьировалась, знаете, так, от 700 долларов и выше в зависимости от условий покупки. То есть вы могли просто купить трояна под ваши задачи, указать, чтобы в нем был указан ваш сервер, куда отправлять данные, и пользоваться им. Вы могли купить версию с техподдержкой то, что называется. То есть вам создатели гарантировали, что если вашего червя, троянца начнут обнаруживать антивирусные компании, значит, создатели то, что называется, делают новую версию, сбивают детектирование. Если у вас возникли какие-то проблемы с поддержкой серверов, куда вы собираете украденную информацию, они готовы вам предоставить и собственный хостинг.
В.ЗАХАРЧЕНКО: Я вдруг представил человека, который звонит и говорит: «Я только что украл 100 тысяч долларов. Где деньги, чувак? Где деньги?» Ему говорят: «Пожалуйста, попробуйте выключить и включить компьютер». Первый ответ службы техподдержки.
А.ПЛЮЩЕВ: Да. «А теперь давайте, ну, мы проапдейтим версию, через 2 часа приходите». Да.
А.ГОСТЕВ: Вот. А потом, спустя какое-то время, исходные коды этого Зевса стали доступны, что называется, public, всем желающим (первых версий Зевса) и тут уже началось соревнование между киберпреступными бандами. Каждая из них брала эти исходники, модифицировала под себя, делала различные модули и наклепала такое количество Зевсов киберпреступность, что, по-моему, неделю назад как раз мы смотрели нашу статистику, сейчас в нашей коллекции есть более 40 тысяч уникальных экземпляров данного троянца. Можете посчитать. Если каждая преступная группировка выступает по паре сотен модификаций в год, то можно представить общий размах проблемы.
В.ЗАХАРЧЕНКО: Ну, если вирус такой старый, такой давний, его давно уже детектировали и, по всей видимости, все уважающие себя финансовые структуры, коими являются банки, они должны иметь защиту от него. Почему происходит? Почему 2007-й год, 2010-й, а по-прежнему при помощи Зевса воруют?
А.ГОСТЕВ: Ну, смотрите. Во-первых, финансовые структуры финансовыми структурами, и многие банки, действительно, предоставляют своим клиентам специальные утилиты, нацеленные именно на удаление Зевса и систему его детектирования. Ну, опять же, далеко не все. По-моему, лидируют в этом плане английские банки как раз.
В.ЗАХАРЧЕНКО: Проблема на стороне клиента?
А.ГОСТЕВ: Проблема всегда на стороне клиента.
В.ЗАХАРЧЕНКО: О... Стандартная отмазка, мне кажется.
А.ГОСТЕВ: Люди не пользуются антивирусами, не обновляют антивирусные базы, не устанавливают обновления для операционной системы. А Зевс, как высокодоходный инструмент для киберпреступности, постоянно поддерживается, обновляется. И если его создатели видят, что какой-то антивирус начал его ловить, да, они очень быстро выпускают новую версию, которая как-то обходит это детектирование, и здесь нужно, ну, всячески, максимально предохраняться, я не знаю, от него.
Но Зевс-то интересен, ведь, не только тем, как он обходит антивирусы, а тем, как он обходит системы банковской авторизации, да? Множество банков используют так называемую двухфакторную идентификацию, когда помимо логина и пароля вам нужно еще ввести какой-то дополнительный уникальный код, который вам генерится.
В.ЗАХАРЧЕНКО: На SMS приходит.
А.ГОСТЕВ: Да. Буквально 2 недели назад был обнаружен вариант Зевса, который делает что? Да который пытается заставить вас установить на ваш мобильный телефон троянскую программу, которая перехватывает входящие смски и отсылает их на телефон злоумышленника. Таким образом, все транзакции, которые вы проводите и которые требуют SMS-подтверждения, злоумышленник подтверждает эти транзакции, перехватывая ваши смски. Зевс уже дошел и до этого. Как-то вы очень серьезно задумались.
В.ЗАХАРЧЕНКО: Не, просто двое из ларца. Бублики – и кушать я буду бублики за себя, мне кажется.
А.ПЛЮЩЕВ: Да-да-да.
В.ЗАХАРЧЕНКО: Это миф о том, что Зевс – это такая вещь, которую россияне используют для того, чтобы воровать деньги не у россиян? Или абсолютно спокойно берут и деньги граждан РФ?
А.ГОСТЕВ: Ну, на самом деле, мы видели сотни различных модификаций Зевса, которые нацелены на пользователей российских банков и российских платежных систем. Да, в 2007 году, когда все начиналось, Зевс имел модуль исключительно для атаки на западных пользователей. Сейчас страдают все. Есть модификации Зевса, как я сказал, и для системы Webmoney, допустим, российской, ряд российских банков тоже подвергаются атакам Зевса. Увы, здесь, скажем так, никакого патриотизма в киберпреступности уже давно не существует.
А.ПЛЮЩЕВ: Какова вероятность у клиента российского банка того, что он станет жертвой?
А.ГОСТЕВ: Жертвой Зевса?
А.ПЛЮЩЕВ: Да не только. Ну, вот, смотрите. Я, например, клиент двух банков, одного поневоле, другого сознательно. Время от времени я что-то там плачу онлайн. Какова вероятность того, что какая-то из моих транзакций будет перехвачена, соответственно, дальше будут все неприятности?
А.ГОСТЕВ: Ну, для этого нужно знать дополнительные факторы. Есть ли у вас антивирус, какой антивирус, как часто вы его обновляете и так далее, и тому подобное.
А.ПЛЮЩЕВ: У меня Mac.
А.ГОСТЕВ: Ну, знаете, пользователи Mac пока все еще могут считать себя в относительной безопасности. Правда, проблема фишинга, когда вы попадаете на поддельный сайт, который выглядит точно так же, как настоящий сайт банка, она, ведь, от операционной системы не зависит.
В.ЗАХАРЧЕНКО: Человеческий фактор абсолютно.
А.ПЛЮЩЕВ: Да.
А.ГОСТЕВ: Так что, я думаю, процент вероятности абсолютно такой же, как для любого пользователя онлайн-банкинга по всему миру.
А.ПЛЮЩЕВ: Ну, хорошо, я задал глупый вопрос, сейчас попытаемся исправить ситуацию. Значит, зайдем с другой стороны. Я все время слышу про то, что украли массу миллионов на Западе, и, в основном, наши соотечественники. Но я как-то не очень слышу о том, что тот или иной российский банк пострадал. И здесь я вижу 2 причины. Либо у наших банков не воруют, ну, во всяком случае так массово, либо наши банки каким-то образом, боясь потерять клиентов, так или иначе эту информацию блокируют. Вот, что здесь главное?
А.ГОСТЕВ: Мне кажется, здесь целый комплекс проблемы. И зачастую наши банки, которые страдают от подобных вирусов, стремятся переложить проблему на пользователя, говоря «Ну, знаете, извините, вы заразились, мы ответственности не несем. Чего нам-то?» Да, то есть явно есть попытки возможно и сокрытия подобных инцидентов. Но, вот, опять же буквально на этой неделе я видел информацию о том, что, по-моему, в Орле или где-то, в общем, где-то в российской провинции были арестованы несколько человек как раз за троянскую программу, предположительно также Зевс, которые украли именно у клиентов российских банков порядка 20 миллионов рублей.
В.ЗАХАРЧЕНКО: Банки называли?
А.ГОСТЕВ: Нет, банки не назывались. Говорилось «Российские финансовые институты».
В.ЗАХАРЧЕНКО: А как эта информация попадает на Западе от банков, допустим, в СМИ?
А.ГОСТЕВ: Дело в том, что на Западе, во-первых, многие банки во многих странах, они обязаны уведомлять полицию о подобных инцидентах.
В.ЗАХАРЧЕНКО: А у нас не обязаны?
А.ГОСТЕВ: Ну, не знаю, как относится банковская информация с законом о персональных данных, да? Но, вот, допустим, в странах Западной Европы, в Великобритании при любой угрозе утечки персональных данных клиента банк просто обязан информировать правоохранительные органы о проблеме. Если он этого не сделает, а об этом станет известно, его могут очень крупно оштрафовать.
В.ЗАХАРЧЕНКО: Ну, окей, факт информирования правоохранительных органов еще не подтверждает, что эта информация будет в СМИ и поднимется шум. Просто в Советском Союзе тоже секса не было. Ну, вот, не было и все. Ровно так же, и проблема, которая, наверное, где-то существует, существует, возможно, в связке «банк – правоохранительные органы».
А.ГОСТЕВ: Тут, ведь, зависит еще и от того, кто должен возмещать ущерб пострадавшим, да? Кто является пострадавшим в данной ситуации? Вот, на Западе, как бы, общепризнанная практика, что пострадавшим является банк, да? Банк несет в конечном счете ущерб. В России, насколько я вижу и знаю, пострадавшим считается конечный пользователь. Банк не является пострадавшим ни по одному делу. И в России для того, чтобы возбудить уголовное дело по факту заражения компьютера вирусом, который крадет номера кредитных карточек, - это человек должен идти в милицию, писать заявление и быть пострадавшим, а не банк. На Западе, все-таки, ситуация другая. Там и заявления-то зачастую не требуется, чтобы полиция начала какие-то следственные действия.
А.ПЛЮЩЕВ: Александр Гостев у нас, главный антивирусный эксперт Лаборатории Касперского. И я потихонечку перехожу к вашим вопросам, которые можно задавать на SMS – еще есть время – +7 985 970-45-45, Твиттер работает. Есть и вопросы, которые поступили перед нашей программой на сайт. И, вот, начнем, пожалуй, с такого, универсального тоже вопроса из Казахстана, его задает Стракс, работающий в области связи: «Над антивирусами работают хорошо организованные лаборатории. Неужели, нельзя создать универсальный антивирус? Или правая рука не знает о деятельности левой? Или работают на одного хозяина?» - пишет он. Ну, это стандартный, кстати, вопрос – я его Касперскому тоже задавал. Сами они пишут или нет? Я иногда вижу в Твиттере, когда новые люди, пришедшие в Лабораторию Касперского, одним из таких, первых своих твитов оттуда пишут: «Слушайте, они не пишут вирусы».
В.ЗАХАРЧЕНКО: И увольняются на следующий день, да?
А.ПЛЮЩЕВ: Ну, тем не менее. Ведь, есть вопрос насчет универсального антивирусника.
А.ГОСТЕВ: Да, на самом деле, нет такого вопроса, поскольку информационная безопасность базируется вся целиком на одном простом факте: стопроцентной защиты не бывает. И любой, кто говорит, что может быть стопроцентная защита от какой-либо угрозы, просто лжет. Нельзя создать стопроцентную защиту от чего бы то ни было, да? С точки зрения антивирусной индустрии, мы можем повысить этот процент, там до 99,9%. Но все равно останутся какие-то доли процента, которые злоумышленники равно или поздно используют, учитывая те деньги, которые там крутятся, да? Ну, собственно, хотя бы 99,9% защиты, которую мы можем давать, это, согласитесь, не так уж и плохо.
В.ЗАХАРЧЕНКО: Это текущий показатель или ваша мечта?
А.ГОСТЕВ: Скажем так, это наш среднестатистический показатель. Иногда мы показываем стопроцентный результат в некоторых тестах, но мы понимаем, что это 100% синтетический, да? В реальной жизни все равно несколько меньше. Скажем так, меньше 98% мы стараемся не опускаться ни в коем случае, но держаться выше 99%. Но вообще извечная проблема борьбы брони и снаряда, да? На улучшение одной из компонент следует улучшение другой – это бесконечный процесс.
А.ПЛЮЩЕВ: Переход с операционной системы Windows Vista (я имею в виду, конечно, массовых пользователей, в основном) на Windows 7 – он как-то снизил угрозы или нет? Потому что, ну, что касается удобства пользования, там все понятно. А, вот, что касается безопасности?
А.ГОСТЕВ: Ну, смотрите, на семерке перестали работать многие вирусы, которые существовали в прошлом. Казалось бы, приятный факт. Но с другой стороны, ну и что? Эти вирусы уже свое, что называется, отжили давным-давно, они уже не распространяются и встретиться с ними в обычных условиях у вас шансы-то крайне маленькие – и так был. Перестали они работать на семерке. Ну и что? А, вот, новые вирусы, которые создаются уже со знанием новых операционных систем, вполне себя прекрасно чувствуют. Тот же Stuxnet, например, да? Содержит 4 уязвимости, 2 из которых работают на Vista и работают на семерке. И червь спокойно там функционирует. Скажем так, хит последних месяцев – это вирусы, полноценно работающие в режиме 64 бит, да? До этого вирусы были 32-битные, сейчас появились вирусы 64-битные. Еще не все антивирусные компании выпустили свои продукты, работающие в 64 бита, да? А вирусописатели уже начали использовать эту технологию. Так что вот эта защищенность, которая появляется с каждой новой операционной системой, с каждой новой версией, она увеличивается буквально на короткий срок, примерно полгода. После чего все начинается по-новой.
В.ЗАХАРЧЕНКО: Мне кажется, вы должны молиться на Microsoft, который дает вам столько работы, что просто, вот, не горюй. Они там запустили антивирусное свое решение, но мне кажется это такая вот... Кстати, (НЕРАЗБОРЧИВО) тоже есть антивирусы еще помимо всего прочего. Xbox, антивирус и другие всякие вещи. На самом деле, каждая новая операционная система – это просто, вот, кладезь. Вы ждете каждый выход новой операционки, потому что это... Ну, я, конечно, утрирую, очевидно. Единственный вопрос: почему для самой компании это не является проблемой? Ну, то есть она создает рынок колоссальный для воровства, для преступлений и так далее. Почему Microsoft, ну, скажем так, не видно усилий с их стороны по поводу решения этой проблемы?
А.ГОСТЕВ: Вы знаете, на самом деле, Microsoft делает очень много для борьбы с вирусами. Те деньги, которые они инвестируют в безопасность – не только в поддержку своего антивирусного решения, своего антивирусного штата, да? – но выпуск всех патчей по безопасности, разработка новых средств. На самом деле, счет идет на миллиарды долларов каждый год.
В.ЗАХАРЧЕНКО: Но, ведь, патчи по безопасности – это когда их уже ткнули лицом в проблемы, я правильно понимаю?
А.ГОСТЕВ: Ну, если бы они не потратили несколько миллиардов долларов несколько лет назад, им бы пришлось этих патчей сейчас выпускать в десятки раз больше. Они, на самом деле, делают очень много, они в последнее время очень активно занимают такую позицию консолидации антивирусной индустрии в целом. То есть они пытаются как-то объединить индустрию даже вокруг себя. Они устраивают различные конференции, они создали программу, в которую входят все антивирусные компании, и, собственно, Microsoft оперативно через нее, через эту программу отдает нам информацию о новых уязвимостях.
В.ЗАХАРЧЕНКО: Почему они не купят одного сильного игрока и не станут тоже полноценным участником этого рынка?
А.ГОСТЕВ: Им не интересен рынок, да? Они, насколько я вижу, не стремятся зарабатывать деньги на антивирусных продуктах.
В.ЗАХАРЧЕНКО: Скучно будет, мне кажется.
А.ГОСТЕВ: Ну, это не их бизнес, да? Но, вот, помочь антивирусным компаниям защитить пользователей – вот такое стремление со стороны Microsoft я вижу. И с тем же Stuxnet, опять возвращаясь к нему, и те уязвимости, которые в нем были обнаружены. 2 из них были обнаружены нашими экспертами, нашей компанией. Мы 2 месяца именно с Microsoft очень плотно работали по закрытию этих багов то, что называется. И, вот, я впервые увидел, как Microsoft оперативно решает подобные проблемы, профессионалы какого уровня там работают.
В.ЗАХАРЧЕНКО: А белорусы говорят наоборот, что они как в июне детектировали эту проблему у своего дилера в Иране, они в Microsoft отправили кучу запросов, ничего не получили, никакого фидбека.
А.ГОСТЕВ: Ну, я не берусь комментировать, собственно.
В.ЗАХАРЧЕНКО: Проблема именно у белорусского разработчика? Есть круг избранных компаний?
А.ГОСТЕВ: Есть адрес электронный почты, на который достаточно...
В.ЗАХАРЧЕНКО: info@microsoft.com.
А.ГОСТЕВ: Нет, другой – secure@microsoft.com. Мы точно так же на этот адрес написали, правда, добавив в копию то, что называется, несколько наших близких знакомых из Microsoft. Буквально через полчаса пришел ответ и работа закипела.
А.ПЛЮЩЕВ: У нас остается 1,5 минуты. Мой коллега из программы «Вести.Net» Паша возвращает нас к Stuxnet. Очень хорошо: им начали, им закончим. Он спрашивает: «А если Stuxnet разносит флешками, то как Касперский следит за эпидемией? Как вы вообще узнали о его существовании?»
А.ГОСТЕВ: Ну, узнали мы о его существовании именно от коллег из белорусской компании. Причем, мы узнали об этом, наверное, одни из первых, поскольку у нас с ними есть, скажем так, некие общие места в интернете, где мы общаемся на русском языке о проблемах. А дальше как мы отслеживаем эпидемию? Очень просто. Благодаря нашей супертехнологии Kaspersky Security Network, которая собирает информацию о заражениях с пользовательских компьютерах и мы можем присылать буквально карты, отслеживать эти эпидемии в динамике. Да, конечно, она жестко завязана на число пользователей. Есть у нас пользователи в Иране – видим проблему, нет пользователей в Иране – не видим проблему. Но, скажем так, те данные, которые мы получили, показали, что пользователей у нас в Иране, во-первых, много. И во-вторых, те цифры по заражениям, которые получили мы, они практически полностью совпали с данными, которые представили и Microsoft, и Symantec.
А.ПЛЮЩЕВ: Александр Гостев, главный антивирусный эксперт Лаборатории Касперского был сегодня в нашей программе. Виктор Захарченко, постоянный эксперт программы «Точка». Ну, я – Александр Плющев. Через неделю программа «Точка» на своем месте в 21 с небольшим.