Компьютерные угрозы финансам - Александр Гостев - Точка - 2012-08-12

12.08.2012

Компьютерные угрозы финансам - Александр Гостев - Точка - 2012-08-12 Скачать

А. ПЛЮЩЕВ: Действительно, здесь, как было объявлено, программу эту транслирует компания «Сетевизор», смотреть можно на сайте «Эхо Москвы», задавать свои вопросы по +7-985-970-45-45 или через твиттер-аккаунт @vyzvon. Меня зовут Александр Плющев, добрый вечер. В прямом эфире радиостанции «Эхо Москвы» программа «Точка». Сегодня я один, Александр Белановский, подорвавший свое здоровье в Закавказье, по-прежнему в отпуске, мы желаем ему скорейшего выздоровления и возвращения в наш эфир. «Мы» - я надеюсь, что вы к нам присоединяетесь, ведь правда? Сегодня я буду допрашивать тут Александра Гостева, ведущего эксперта «Лаборатории Касперского». Добрый вечер, Саш.

А. ГОСТЕВ: Добрый вечер.

А. ПЛЮЩЕВ: Мы решили поговорить, зацепившись за произошедшее на прошлой наделе, произошедший такой скандал не скандал, не знаю, но случилось вот что. Эксперты «Лаборатории Касперского» обнаружили вирус, который атаковал частные компьютеры в странах Ближнего Востока, обнаружен он был во время проверки по выявлению киберугроз безопасности государств, инициированной Международным союзом электросвязи. Ну, и вирус этот получил название Гаусса, по структуре оказался очень похожим на Флейм, недавно обнаруженный той же компанией. Я назвал сегодняшнюю программу весьма расплывчато, как это часто у нас бывает: «Компьютерные угрозы финансам». И я прошу вас, наши слушатели, если у вас есть вопросы по этой теме, то пожалуйста, не держите их в себе, сообщайте по +7-985-970-45-45 или через твиттер-аккаунт @vyzvon. Но совсем недавно, несколько передач назад, где-то недель пять что ли или шесть, у нас был уже представитель «Лаборатории Касперского», мы говорили о взломе личных аккаунтов. Ну, помните, тогда кого только не взломали. Вот. Поэтому эту тему мы немножко оставим в стороне, с вашего позволения, вот, сосредоточимся в основном на финансах. Хотя, пользуясь присутствием здесь Александра Гостева как представителя «Лаборатории Касперского», можно задавать вопросы на другие темы. Мы, может быть, выделим там под конец или, я не знаю, где-нибудь в середине программы минут пять-десять и поговорим на какие-то более-менее отвлеченные от финансов темы. Хотя что может отвлекать от финансов – я не знаю. Вот. А что касается предыдущей программы с участием представителя «Лаборатории Касперского», то был у нас Виталий Камлюк, и было это не далее как 1 июля, так что можете на сайте нашей радиостанции зайти и посмотреть это обсуждение. Саш, прежде всего, поподробнее расскажи вот об этом вирусе, там, я не знаю, почему он на Ближнем Востоке, почему он Гаусс, чем он, так сказать, интересен и опасен и так далее.

А. ГОСТЕВ: Ну, смотри, Ближний Восток действительно сейчас стал таким, наверное, первым вообще в истории регионом, где на самом деле идет кибервойна. Кибервойна, которая началась уже, как мы теперь уже знаем, еще в 2009-м году, когда был выпущен первый вариант червя Стакснет, нацеленный на иранскую ядерную программу, и потом еще на протяжении, там, полутора лет он активно распространялся. После чего случился в конце прошлого 2011-го года еще один инцидент, да? Был найден модуль, троянец Дуку, очень похожий на Стакснет, да? И вот в конце апреля, опять же, в Иране случилось нечто непонятное, да, когда иранцы объявили о том, что, знаете, у нас тут на сотнях различных компьютеров внезапно удалилась информация, да? И мы точно знаем, что среди пострадавших были, допустим, крупнейшая нефтяная компания Ирана и крупнейшая танкерная компания этой страны. И из-за этого вируса Иран, не знаю, на протяжении, там, практически недели не мог даже нефть никому отгружать, они просто не знали, да? Уничтожилась вся информация о контрактах, о клиентах. Танкеры стояли, не знали, кому отгружать нефть. И вот это вот, все, что происходило на Ближнем Востоке за последнее время, оно, конечно, вызывало значительный интерес не только со стороны нас, но и со стороны уже международных, то, что называется, дипломатических структур, да? И мы начали исследовать в мае ситуацию, нашли Флейм, шпионскую программу, которая вообще воровала все что можно. И, глядя на Флейм, поняв, как он работает, и выделив некие ключевые черты, вот сейчас мы нашли его родного брата, его родного брата, которого мы назвали Гаусс. Но нашли мы его не в Иране, как вообще должны были бы, по идее, если следовать сложившейся традиции, а нашли в Ливане. Ливан наиболее сильно пострадал от него. Мы сейчас видим порядка более чем полутора тысяч зараженных компьютеров только вот в этой маленькой стране, но на втором месте находятся у нас Израиль и Палестина. Там в сумме 750 зараженных компьютеров…

А. ПЛЮЩЕВ: Ну, это ж не так много, мне кажется, даже по их масштабам.

А. ГОСТЕВ: Ну, это…

А. ПЛЮЩЕВ: По масштабам Израиля-то, совсем ничего.

А. ГОСТЕВ: Ну, опять же, это те данные, которые есть у нас, это данные, скажем так, по нашим клиентам, да? Тех, кого видим только мы. Понятно, что в реальности эта цифра гораздо-гораздо больше, да? И вообще, по самым скромным оценкам, можно говорить как минимум о десяти тысячах зараженных. А я думаю, что на самом деле там счет может идти на десятки тысяч. Так вот, Гаусс, да? Чем же он отличается от всего предыдущего? Это наличием внутри себя отдельного модуля, который довольно странен именно для кибероружия. Он традиционен для обычной киберпреступности, но вот, скажем так, в кибероружии, которое создается государствами, таких вещей мы не встречали. Я говорю о способности красть аккаунты от систем онлайн-банкинга. Причем в нем жестко определены пять банков, аккаунты которых необходимо воровать. Это все банки исключительно из Ливана, да? Это Bank of Beirut, Byblos Bank, Fransabank и так далее, да? Я сейчас не помню их все пять, но это банки исключительно ливанские. Кроме этих банков, его интересует еще PayPal и Ситибанк, да? Ну, видимо, за счет популярности их в этом регионе. Собственно, когда мы увидели…

А. ПЛЮЩЕВ: Как и везде на самом деле, они международно популярны.

А. ГОСТЕВ: Да, да. Так вот, когда мы увидели вот этот вот модуль, который, в принципе, крадет аккаунты банковских систем, мы довольно сильно удивились, да? Поскольку, ну, зачем какому-либо государству воровать вот именно такую информацию?

А. ПЛЮЩЕВ: Сейчас, давай остановимся на этом месте. Почему есть подозрение, что Гаусс – это кибероружие государственное? А. ГОСТЕВ: Ну, здесь ход нашей логики довольно прямолинеен, да? Мы совершенно точно уверены в том, что Гаусс является, как я сказал, родным братом Флейма. Он использует тот же самый код, та же самая кодовая база, те же самые, я не знаю, принципы программирования, он использует практически стопроцентно совпадающую схему взаимодействия с серверами управления. Даже сами сервера управления, да, куда отсылается украденная информация, они по своей конфигурации, скажем так, идеально соответствуют тому, что мы видели во Флейме. Даже те самые поддельные личности, на которых регистрировали доменные имена, созданы по тем же самым принципам, как это было во Флейме, да?

А. ПЛЮЩЕВ: Здесь тогда мы вынуждены напомнить, почему Флейм у нас – кибероружие государственное.

А. ГОСТЕВ: А Флейм у нас государственное кибероружие именно потому, что мы возвращаемся к тому же самому Стакснету, да? Когда мы нашли Флейм и стали смотреть на него очень внимательно, мы обнаружили, что модуль Флейма создан еще в 2009-м году. А Флейм существовал с 2008-го года, как мы теперь знаем. Так вот, один из его непосредственных компонентов использовался в черве Стакснет, да? Вот тот самый Стакснет, который был создан для атаки на иранскую ядерную программу. То есть, для нас сейчас нет никаких сомнений, что разработчики Стакснета, и разработчики Флейма, и, соответственно, Гаусса, да, они как минимум в 2009-м году очень тесно сотрудничали, именно создавая Стакснет. Я не думаю, что это было разовое сотрудничество, да? Я думаю, что это скорее можно говорить о двух параллельных группах разработчиков. Возможно, это две страны, да? Разные страны мира, но которые сотрудничали вместе в создании вот именно Стакснета. Исходя из всего этого, мы делаем прямой вывод, да? Гаусс, который основан на Флейме (а Флейм непосредственно был связан со Стакснетом) – это вещи, которые, в принципе, способно создавать только государство. Почему? Потому что для того, чтобы создать тот же самый Флейм, например, да, по нашим оценкам, также потребовалось… не знаю, это годы работы, это больше четырех лет, это десятки программистов. И я хочу напомнить, что во Флейме был обнаружен вообще уникальный модуль, модуль, который был подписан поддельной цифровой подписью Майкрософта, это не настоящая подпись Макйкрософта, как казалось на первый взгляд. Ее удалось создать, эту подпись, благодаря вообще уникальной криптографической атаке, да? Однозначно придумать такую атаку и реализовать потребовались математики, криптографы мирового класса. И для того чтобы, собственно, создать вот этот сертификат, то есть подобрать всю возможную комбинацию, которая, там, должна была казаться успешной – знаете, это необходимо использовать суперкомпьютеры. То есть, просто машинное время на подбор вот этот комбинации, оно, там, стоит, не знаю, как минимум 200 тысяч долларов.

А. ПЛЮЩЕВ: Я тогда вынужден задать вопрос. А могло ли быть так, что, ну, хорошо, Стакснет был разработкой какого-то государства против Ирана. Какого-то, да? (смеется) И вообще большим таким государственным проектом. А могло ли быть такое, что потом просто вот эту работу заодно… ну, не пропадать же коду, да? Вот решили монетизировать таким вот образом и переориентировать его – я прошу прощения, может быть, за ламерский вопрос – переориентировать его уже, собственно, на банки и на финансовые системы?

А. ГОСТЕВ: Ну, вот версия о том, что Гаусс был создан с целью, не знаю, как это говорится в экономике-то?.. возврата инвестиций, да, и финансирования новых проектов – версия такая, конечно, существует. Но, знаете, не очень в это верится. Я не думаю, что люди, страны, которые тратят миллионы долларов, да, на разработку такого кибероружия, то, что называется, начнут грабить банки, да? Тут просто нужно знать, что в самом Гауссе вот того кода, который бы воровал деньги, его нет, да? Он ворует исключительно данные доступа к аккаунтам. Эти данные уходят…

А. ПЛЮЩЕВ: Это лучше…

А. ГОСТЕВ: … отсылаются операторам.

А. ПЛЮЩЕВ: Лучше иметь ключ, чем разово забрать деньги!

А. ГОСТЕВ: Так вот, воруют ли деньги при помощи вот этих данных – мы не знаем. Но совершенно точно, что, обладая этими данными, можно вести финансовую разведку, да? Можно контролировать счет, видеть, откуда приходят деньги на этот счет и куда они уходят. Именно Ливан тут очень интересен, потому что – я специально узнавал – Ливан имеет репутацию такой ближневосточной Швейцарии. Ливанские банки, они как швейцарские, они также крайне нежелательно идут на сотрудничество с любыми, не знаю, ведомствами, они не раскрывают информацию о своих клиентах. И, знаете, я видел в конце буквально прошлого года… сейчас мы, уже перечитывая историю, нашли эти публикации о том, что действительно, там, Америка, например, испытывала крайне серьезные подозрения в том, что ливанские банки используются различными террористическими группировками для не то что отмывания денег, но для финансирования различных операций. Поэтому вариант вот, скажем так, финансового контроля за аккаунтами мне кажется более реальным, чем непосредственно банальная кража денег.

А. ПЛЮЩЕВ: То есть, деньги здесь особенной цели-то и не играют, интересно их происхождение, их, так сказать, перераспределение, течение и тому подобное. Интересная штука. Естественно, наши слушатели не преминули спросить, кто же, собственно, стоит за всем этим, по вашему мнению. У них есть собственное мнение. Во-первых, конечно же, Израиль, потому что просто по региональному признаку, и он там единственная страна как бы в таком условно или не условно вражественном окружении, у него, в общем, такое уникальное в этом смысле геополитическое положение. И, во-вторых – это я указываю на номер смс и твиттер-аккаунт – и во-вторых, Соединенные Штаты, ну, которые, естественно, стоят за всем. Номер смс на всякий случай для ваших вопросов - +7-985-970-45-45, твиттер-аккаунт @vyzvon. Эфир у нас с Александром Гостевым, ведущим экспертом «Лаборатории Касперского». Так кто же?

А. ГОСТЕВ: Ну, смотри, если бы мы стопроцентно были уверены в том, кто стоит за Флеймом, за Гауссом, за Дуку, да, мы бы, разумеется, сказали об этом. Так же, как у всех, я думаю, у нас тоже есть собственные версии, предположения, да? Но мы все-таки не можем их, не знаю, во всеуслышание объявлять, поскольку у нас нет вот этих самых твердых доказательств, да? Если бы у нас были, мы бы сказали. Но возьмем тот же самый Стакснет, например, да? Который… долгое время так же все терзались вопросом, кто же, кто же его создал и… ну, зачем – было понятно, но кто? Но вот, в конце концов, когда? В июне, если мне не изменяет память, в «Washington Post» вышла статья одного из, собственно, американских правительственных журналистов, аккредитованных при Конгрессе и так далее, где прямо рассказывается об истории создания Стакснета. Выходит книга в августе, вот в ближайшие дни, где говорится о том, как администрация Барака Обамы, едва только заступив, так сказать, в 2008-м году на президентский пост, буквально сразу же объявила так называемый проект «Олимпийские игры», да? И именно «Олимпийские игры» - это тот самый проект, в рамках которого был создан Стакснет, да? Там прямо говорится о том, что лично президент Обама отдал приказ о разработке Стакснета. Потом, впоследствии, там, в 2010-м году эти разработки были переданы Израилю, да, который модифицировал код, сделал его более, скажем так, распространяемым, в результате чего Стакснет разошелся по всему миру, вышел из-под контроля. Кстати, эта публикация вызвала весьма серьезное беспокойство американцев, и ФБР даже начало расследование, откуда произошла утечка такой информации, да? Опять начали, там, закручивать гайки в отношении свободной американской прессы. Но, так или иначе, да, со стороны американцев, скажем так, частично ответственность за Стакснет была взята, в той или иной форме. Уж можно тут гадать, насколько правительственный журналист публикует как недостоверную информацию. Что касается Флейма и Гаусса – да, понятно, что здесь есть явный претендент в плане версий, но, как я еще раз сказал, пока у нас нет стопроцентных доказательств.

А. ПЛЮЩЕВ: Я надеюсь, вы сделали свои выводы – обращаюсь я к нашим радиослушателям. Так, и большую реакцию вызвали, надо сказать, твои слова. Я вижу все вопросы, которые вы задаете, они такого, частного характера. Мы, как было обещано, выделим к концу программы время на это и обязательно поговорим. Александр Гостев, ведущий эксперт «Лаборатории Касперского» у нас в эфире. Ты знаешь, я когда вот читал это сообщение и тоже прокручивал в голове вот эволюцию этих нового кибероружия, от Стакснета до Гаусса, собственно говоря, я вдруг подумал, что она удивительным образом напоминает саму эволюцию вирусов вообще, вот начиная от самых первых, которые поначалу просто распространяли сами себя, а потом крушили все вокруг совершенно без цели. И в конце они… ну, то есть, вот к нынешним временам, их массовое применение свелось к тому, что они глупо воруют деньги, или умно воруют – не важно, просто воруют деньги. Так монетизировалась вот эта отрасль. И вот кибероружие, оно тоже прошло от вируса-вредителя, Стакснета, да, эволюцию до ворующего… может быть, не ворующего деньги, я не знаю. Вот мы выяснили, что это, наверное, не совсем так. Но удивительным образом мне показалось похожим. Что ты можешь сказать по этому поводу?

А. ГОСТЕВ: Ну, если вот так посмотреть, с точки зрения функционала, да, действительно параллели довольно правильные, пока именно так оно и выглядит. Но на самом деле я думаю, что в реальности ситуация несколько иная, да? Все-таки то, что мы находим, находим уже буквально каждый месяц, но мне кажется, все-таки это по-прежнему вершина айсберга, да? Мы не видим пока еще всего того, что действительно происходит именно с кибероружием. И вот именно пугает вот эта широта функционала, да? Который довольно быстро уже реализовали. Традиционным компьютерным вирусом, да, на весь вот тот путь, который ты описал, от вандалов до, не знаю, каких-то хитрых банковских троянцев, потребовалось, не знаю, 20 лет эволюции, они 20 лет шли по этому пути. От Стакснета до Гаусса прошло два года, даже меньше. Гаусс на самом деле был создан еще в августе прошлого года, так как всегда мы находим гораздо позже кибероружие, чем оно в реальности появилось. Они прошли вот этот вот путь меньше чем за два года. И, опять же, как я сказал, мы сейчас только нашли Гаусс, который появился в августе прошлого года, да? На самом деле я боюсь себе даже представить, что в настоящий момент создается в лабораториях разных стран, да, и что, может быть, мы найдем только в следующем году, какой там будет функционал. Скажем так, сейчас к их услугам не только программисты крайне серьезные, мы видим, что здесь, опять же, используются математики, криптографы, используются суперкомпьютеры. И что будет дальше? Очевидно, что следующее, ну, то, что случится вообще в ближайшее время, если еще не случилось – это эволюция кибероружия на мобильные устройства, да? Понятно, что с компьютерами персональными все понятно, да? Украсть можно все что угодно. Но необходимо переключаться, спецслужбам в первую очередь, на кражу информации с мобильных телефонов.

А. ПЛЮЩЕВ: На кражу информации. Я вдруг подумал об управлении. Вот, ну, например, единовременное отключение. Мы видели все фантастические сценарии, когда отключается, там, я не знаю, электричество, или сбой в движении транспорта вызывается зловредными программами. И вдруг я подумал: вот в наш век… Я сегодня что ли слышал информацию, что, по-моему, две трети – ну, в общем, ощутимое количество москвичей уже интернет-зависимы и не могут себя представить вне интернета. Когда то же самое дойдет до мобильных устройств, да, единовременное отключение может вызвать беспорядки в стране. Ты представляешь? Неожиданно подумал я. Ты к этому ведешь в том числе? А. ГОСТЕВ: Отчасти да. Кстати, отключения-то у нас периодически случаются, на Новый год, например, да? Только беспорядков нет, потом что праздник, да? Случись это в обычный будний – да, я думаю, будет вполне такой хаос, в том числе бесконтролируемый. Ну, представь, что такое страна осталась без связи – все встанет, естественно. И это, к сожалению, ведь не фантастика. Чтобы отключить, не знаю, телефоны, достаточно вывести из строя электростанцию, да? И все. А вывести из строя электростанцию можно при помощи вируса, аналогичного Стакснету. И вот эти вот инциденты в энергосистемах, они ведь случаются, да? И, насколько я помню, в 2008-м году – тогда информация была засекречена, но недавно ее предали огласке – в Бразилии, в Бразилии именно из-за хакерской атаки без электричества остался один из городов. То есть, удаленно хакеры из неизвестной страны мира произвели отключение электричества в целом городе. Собственно, это уже есть, это работает, и вопрос только в том, кто будет подобные методы использовать и когда. Понятно, что вот, не знаю, атака по инфраструктуре, да?.. Отключение электричества, да? Засылка вирусов, которые удаляют всю информацию, да? Это такая нулевая стадия… вообще должна быть нулевой стадией любого потенциального военного конфликта. Вот если посмотреть на, не знаю, последние военные конфликты в мире, в реальном мире, пока еще не было случаев, когда кибератака бы бы предшествовала полноценной военной операции, да? Хотя вот всякие военные конфликты были. Вот, например, в Ливии совсем недавно. Но в Ливии, очевидно, кибероружия просто…

А. ПЛЮЩЕВ: Бессмысленно.

А. ГОСТЕВ: Бессмысленно. Там нечего было атаковать, да? Но сейчас вот все, я думаю…

А. ПЛЮЩЕВ: Ну, как? Я помню прекрасно операцию в Ираке, и, конечно же, начиналось с атаки на связь, разумеется. Это не то, о чем мы говорим, но понятно, что явление того же порядка. Что сначала выводится из строя связь противника, прежде всего. Вот. Насколько это возможно, она блокируется и так далее. Вот. Соответственно, если у государства довольно хорошо развита компьютерная сеть, то это можно себе представить, безусловно. И в связи с этим, конечно же, вспоминается Иран, который совсем недавно, пару дней назад буквально, заявил о том, что с 2013-го года у него вообще не будет интернета, как раз потому, что он так заботится о своей безопасности.

А. ГОСТЕВ: Знаешь, в отношении Ирана все весьма странно. И да, я удивился этой новости о том, что Иран хочет отключиться от интернета, потому что буквально, там, меньше месяца назад аятолла Хомейни завел себе твиттер-аккаунт.

А. ПЛЮЩЕВ: Нет, ты, конечно же, путаешь. Во-первых, аятолла Хомейни умер, вот…

А. ГОСТЕВ: Ой, ну, как его там?..

А. ПЛЮЩЕВ: Ты имеешь в виду президента Махмуда Ахмадинежада.

А. ГОСТЕВ: Нет, их текущий аятолла…

А. ПЛЮЩЕВ: А, Хаменеи, хорошо.

А. ГОСТЕВ: Хаменеи, да. Вот. Он завел твиттер-аккаунт, стал активным таким пользователем. Ну, понятно, не он сам, а его некая пресс-служба. То есть, Иран, с одной стороны, да, он стремится в интернет. С другой стороны, периодически у них случаются вот такие вот очень громкие заявления. О том, что они хотят создавать собственный локальный интернет, они объявили, насколько я знаю, еще в прошлом году, да? Объявили о том, что будут разрабатывать, собственную операционную систему. Они сказали о том, что будут даже делать собственный антивирус. И так далее и тому подобное. Мне кажется, что здесь… ну, опять же, возвращаемся к вопросу военных конфликтов, да? По-моему, сейчас ни для кого не секрет, что ситуация вокруг Ирана вот крайне сильно обострилась последние дни, да? Буквально. И там есть определенная доля вероятности, что, может быть, даже в этом году все-таки по Ирану будет нанесен, не знаю, авиаудар, да? Поэтому, тут, в первую очередь, конечно, им стоит подумать о том, будет ли у них вообще электричество в 2013-м году, если честно. Во-вторых, понятно, что вот эти вот меры отключения от интернета, ограничивания в локальной среде, оно на самом деле от кибератак ведь не спасет, да? Поскольку, ну, вирусы проникают в компьютерные системы Ирана не через интернет. Ну, не в том плане, что иранские пользователи где-то ходят по интернету и заражаются, да? Все на самом деле не так. Тот же самый Стакснет распространялся на флешках, да? Забросить, грубо говоря, на территорию Ирана зараженные флешки, которые будут подключены уже к этому внутреннему интернету и так же выведут все из строя – на самом деле задача не очень сложная. Так что, с практической точки зрения, с целью защитить себя от кибератак, отключение от интернета Иран, знаете, не спасет.

А. ПЛЮЩЕВ: Я поясню мысль Александра Гостева, чтобы было понятно. Конечно же, речь не идет о плюшевом десанте из плюшевых флешек, вот, как в Белоруссии выкидывали медвежат, нет. Я так понимаю, что это просто внедряется в партию новых флешек из Китая просто флешка с соответствующим вирусом, вот и все. Человек покупает ее, думая, что это новая, распечатывает, вставляет ее, ничего не подозревая, в компьютер – и вот тебе пожалуйста.

А. ГОСТЕВ: Как вариант.

А. ПЛЮЩЕВ: Ну, например.

А. ГОСТЕВ: Был еще довольно такой юмористический вариант, когда вот тоже совсем недавно на территории Ирана разбился… не разбился, добровольно приземлился американский беспилотник, который нес наблюдение в Пакистане, но в нем что-то сбойнуло, он, в общем, перелетел границу, да, и приземлился в Иране. И абсолютно неповрежденным достался, собственно, иранцам. Вот. Так вот, компьютерные эксперты в этой связи шутили, что это такой…

А. ПЛЮЩЕВ: Троянский конь.

А. ГОСТЕВ: Да, что это новый Стакснет. Вместо того, чтобы забросить флешку, американцы просто отправили целый беспилотник туда. Понятно, что весь софт, который есть на борту этого беспилотника, да, он был загружен иранскими экспертами куда-то в свои компьютеры, они его там анализируют. Знаете, вставить туда вирус, в прошивку вот этого беспилотника и забросить его в Иран, да?.. Они начнут его анализировать и все заразятся. Ну, почему бы и нет? У богатых свои причуды.

А. ПЛЮЩЕВ: Да. Давайте перейдем, с вашего позволения, от, что называется, общего к частному и к тому, что все-таки волнует наши кошельки. Конечно же, это очень прискорбная мысль о том, что в Ливане за чьими-то счетами местной ближневосточной Швейцарии следят неизвестные нам люди, вот, но, тем не менее, наши кошельки все-таки ближе к телу и к делу. Что в этом смысле нового на вирусном и антивирусном фронте здесь, у нас в России, прежде всего? Очень много вопросов в связи с этим связано. Я так понимаю, что есть два направления как минимум. Ну, просто есть две стороны во взаимоотношениях финансовых. Если просто говорить, то банк и клиент. Ну, там еще есть финансовые организации, там, посредники, биржи и так далее – понятно. Но в нашем, в очень простом случае, давай пока ограничимся вот банк и клиент. И, соответственно, есть безопасность одного банка, на стороне банка, а другая – на стороне клиента. И вот что в этом смысле сейчас с угрозами происходит?

А. ГОСТЕВ: Ну, если смотреть на ситуацию глазами клиента, именно с клиентской стороны, именно в России, то, как, наверное, это ни печально, ситуация, во-первых, она не улучается. Она стала крайне сложной еще несколько лет назад, но вот явных предпосылок к улучшению, увы, не происходит. Даже несмотря на то, что в этом году в России уже было арестовано несколько очень крупных групп киберпреступников, которые именно работали по российским банкам, по клиентам российских банках, и воровали, там, не знаю, миллионы рублей, даже миллионы долларов в сумме, да, лучше не стало. Скажем так, на смену вот этим вот арестованным постоянно приходят новые и новые группировки. И вот этот вот вал, его, к сожалению, пока сбить никак не удается, несмотря ни на усилия антивирусных компаний, на усилия правоохранительных органов, да? Одновременно мы, конечно же, очень видим значительно увеличившийся интерес и желание со стороны банков, да, бороться с данными угрозами. То есть, раньше, там, несколько лет назад, банки, действительно они, скажем так, ну, возможно, не обладали достаточной технической экспертизой в подобных вопросах, да? Сейчас банки готовы финансировать подобные расследования, готовы возбуждать дела. Если раньше, скажем так, возбуждение дела по краже денег должно было исходить со стороны клиента, у которого эти деньги украли, то сейчас все чаще и чаще именно банки выступают в качестве пострадавшей стороны и готовы доводить эти дела до суда, да? И понятно, что, скажем так, в случае нахождения преступника и привлечения его к ответственности, да, там уже будут гораздо более серьезные сроки. Я напомню, что у нас в России до сих пор по компьютерным статьям, именно связанных с вредоносными программами, реальных сроков заключения, по сути дела, ведь не было. В основном все, кого арестовывают, отделываются условным сроком. Самый, с моей точки зрения, просто вопиющий пример – правда, пострадал не российский банк, а Royal Bank of Scotland, да, но это было дело рук российских хакеров, которые украли 9 миллионов долларов. Их нашли, двоих по крайней мере, в России, одного в Питере, другого в Новосибирске. И что ты думаешь? Питерский получил 6 лет условно, новосибирский – 5 лет условно. Понятно, что вот такие вот приговоры, они, ну, не работают, они не работают ни на устрашение других киберпреступников…

А. ПЛЮЩЕВ: Деньги-то вернуть удалось тогда?

А. ГОСТЕВ: Ну, что-то удалось вернуть, но, понятно, не общую сумму. И мне кажется… то есть, сейчас есть такая ситуация. А правоохранительные органы России научились, наконец-то, качественно расследовать подобные преступления, банки готовы расследовать подобные преступления, да? Но вот со стороны законодательной нет, как мне кажется, вот этого вот ответного желания. Поскольку необходимо ужесточать. Вот как бы, не знаю, смешно ни звучало, может быть, для кого-то, но за компьютерные преступления сроки должны быть гораздо более серьезные, поскольку арестов много, но люди отделываются штрафами, условным сроком и так деле. И это абсолютно не сбивает весь этот поток. А что будет дальше – ну, посмотрим. Технические меры, которые реализуют банки, они, конечно, во многом сейчас стали лучше. Системы двухфакторной аутентификации, да, не знаю, различные лимиты, которые вводят банки на интернет-транзакции, да, на онлайн-банкинг. Они, конечно, могут многим клиентам казаться какими-то неправильными, ограничивающими свободу управления финансами. Нужно понимать, что все это делается именно с целью предотвращения, да, потенциального ущерба. Только и всего.

А. ПЛЮЩЕВ: Переходим к вопросам наших слушателей. Как раз осталось где-то около 15 минут до конца нашей программы. Можете продолжать задавать их на смс +7-985-970-45-45 или через твиттер-аккаунт @vyzvon. Мы беседуем с Александром Гостевым, ведущим экспертом «Лаборатории Касперского», речь идет у нас в основном про компьютерные угрозы финансам. Ну, тут есть и иные вопросы, тоже их задам. Ирина спрашивает, и я ей благодарен за этот вопрос… Тут ко мне недавно наша сотрудница Елена Королева обратился именно с таким же вопросом, я не знал, чем ей помочь. Ну, вот, слава богу, у меня Гостев в эфире, он, может быть, поможет. Довольно длинный вопрос. «С недавнего времени Хэдхантер, - это для поиска работы сайт, если кто не знает, - для доступа в личный кабинет требует, вместо существовавшего ранее уникального пароля к аккаунту, входить исключительно под паролем к моему ящику на mail.ru, то есть один единый пароль для двух сайтов. По старому паролю не пускают. Насколько это правомерно, как вы оцениваете этот факт, с точки зрения IT-безопасности?». Там еще хуже. Они унифицируют просто. Это единый холдинг, и они унифицируют пароли для всех сервисов. Но там мне моя коллега описывала ситуацию еще худшим способом. Ты не можешь удалить из… ну, из cookies ты не можешь удалить свой номер телефона, и он его запоминает раз и навсегда. И банковскую карточку, вот. Там довольно круто все в этом смысле. Ну, как она мне описывала. Я сам не проверял, поскольку я не пользуюсь ни Хэдхантером (как-то работа сама меня находит), ни этим самым, ни mail.ru, вот. Такая история, унификация паролей. Ну, получается, ты как минимум ты в два раза снижаешь безопасность.

А. ГОСТЕВ: Ну, унификация паролей – да, это вообще логичный процесс для любой, не знаю, крупной интернет-компании. Посмотрим на Гугл, у которого также один некий пароль для, не знаю, десятков сервисов…

А. ПЛЮЩЕВ: Да, или у Yahoo та же история.

А. ГОСТЕВ: Да. Есть, не знаю, ОpenID вообще система, которую используют различные сервисы. Вы можете логиниться, не знаю, при ее помощи в Живой Журнал либо, там, на какие-то другие сервисы и так далее. То есть, да, понятно, что в случае кражи одного вашего пароля злоумышленники получат доступ вообще ко всем сервисам. Это, конечно, серьезная проблема. Но бороться, вот бороться с ней сам пользователь, увы, ну, никак не может, да? Понятно, что необходимо использовать разные пароли для разных сервисов. Что здесь делать? Увы, я думаю, ни стороны IT-компании, компании, занимающейся безопасностью, ни со стороны клиентов, ну, каких-либо адекватных мер противодействия, то мы предложить, увы, не сможем. Вот владелец сервиса, он решил, что будет так, и с этим либо можно смириться, либо пытаться как-то перестать пользоваться этим сервисом, тем самым выражая свое недовольство, только и всего.

А. ПЛЮЩЕВ: Возвращаясь… слушай, я еще перескочил рано к вопросам, мы вернемся к этому. Возвращаясь к банкам и к гражданам, да? Есть одна, есть одна сторона – это банки, о ней мы поговорили. А есть другая сторона – это граждане, пользователи. Вот я забыл о них поговорить, а они-то, собственно, самое главное и есть. Был вопрос вот такой прямо в лоб… Да, кстати, друзья, я прошу не задавать Гостеву вопрос, как он прокомментирует, что «Лаборатория Касперского» сама пишет вирусы. Этот стандартный вопрос мы отговорили, собственно, с главой «Лаборатории Касперского» Евгением Касперским в прежних интервью. Ищите на сайте «Эха», все найдете. Ну, несколько раз, уже невозможно каждый раз одно и то же. Я понимаю, что для вас все как в новинку, но тем не менее, поглядите в анналах, что называется. Ну так вот. И есть вопрос с лоб типа: насколько безопасно в интернете платить карточкой? Этот вопрос задается с не меньшей периодичностью, чем про то, что «Лаборатория Касперского» пишет вирусы, но, тем не менее, тут-то условия меняются на самом деле. Этот вопрос я помню еще 10 лет назад. И то, что было 10 лет назад, и то, что сейчас – не сравнить, это совершенно две разные ситуации. И поэтому я считаю вправе тебе его задать.

А. ГОСТЕВ: Что мы видим сейчас с системами как раз онлайн-платежей? Главное… То есть, здесь есть две, две проблемы. Первая проблема – это, собственно, троянские программы. Такие же, например, как Гаусс, но только созданные банальными киберпреступниками, которые живут в вашем компьютере и пытаются украсть те же самые аккаунты доступа. Сейчас, кстати, появились даже модификации, которые заражают мобильные телефоны, для того чтобы украсть вот эту смску, которая вам может приходить для подтверждения о транзакции. То есть, с этим традиционные средства борьбы…

А. ПЛЮЩЕВ: Остановись на этом поподробнее, потому что был вопрос на эту тему.

А. ГОСТЕВ: Именно про мобильные?

А. ПЛЮЩЕВ: Про подтверждение о транзакции. Люди считают это абсолютно безопасным вот таким способом, вот подтверждение по смс, свидетельством абсолютной безопасности транзакций.

А. ГОСТЕВ: Ну, смотри. В России подобных инцидентов мы пока – подчеркну – пока не зафиксировали…

А. ПЛЮЩЕВ: Ты знаешь, все твои высказывания… ну, не все, но многие можно свести к тому… У вас на стройке несчастные случаи были? Будут (смеется).

А. ГОСТЕВ: Мы видим уже несколько громких весьма случаев именно в странах Западной Европы, с западноевропейскими банками. Как это выглядит? Как работает эта схема, которую придумали, кстати, именно российские преступники, но начали обкатывать ее пока за рубежом? То есть, выглядит это так. Вы попадаете на поддельный банковский сайт – традиционный фишинг – который выглядит точно так же, как настоящий, да? При всем при этом он вам говорит о том, что, знаете, вам необходимо на ваш телефон установить... Мы выпустили специальную версию мобильного приложения для вашего онлайн-банкинга, да? У всех сейчас банков есть мобильные приложения, да? Вот, пожалуйста, по этой ссылке скачивайте. Человек скачивает себе на мобильный телефон вот это вот приложение, которые выглядит как именно реально, там, клиент банка. Либо вообще никак не выглядит. Оно скрытно поставилось, ну, и ничего не делает. Что после этого происходит? После этого происходит интересная вещь. Соответственно, у вас в системе живет троянская программа, ждет момента, когда вы входите в ваш онлайн-банкинг с компьютера. Вы ввели все пароли и запрашиваете, и система просит вас ввести вот эту подтверждающую смс, которая вам приходит на телефон, да? Так вот, вот троянская программа, стоящая на телефоне, она вот берет эту смску, которая к вам пришла, да, и пересылает ее, просто пересылает смску на другой телефонный номер, вот тех самых злоумышленников. Соответственно, они, имея доступ к вашему компьютеру, задерживают вашу работу. Предположим, что у вас система подвисла. На самом деле в этот момент они находятся в системе под вашим паролем с вашего компьютера, да, и у них есть смска, которая пришла к вам на телефон. Вот в этот момент они при помощи этой вашей смски, да, уже переводят деньги, куда им надо. И когда у вас компьютер отвисает, деньги уже ушли, проверочный код смс не работает и так далее. И вы не понимаете, что произошло. Система на самом деле уже обойдена. То есть, как красть смски с телефонов и красть деньги при помощи счета… то есть, технически реализация уже готова, уже работает. На этой неделе мы обнаружили как раз модификацию даже для Блэкберри, чего раньше не было, подобного троянца. Вопрос только в том, когда это докатится до России.

А. ПЛЮЩЕВ: Ну, ты говоришь, скачать на мобильный телефон приложение, там, и так далее, но это же ты не про Айфон.

А. ГОСТЕВ: Это я не про Айфон, это я про Андроид, это я про, не знаю, Java-телефон, и вот сейчас уже про Блэкберри.

А. ПЛЮЩЕВ: Значит ли это, что владельцы «яблочной» продукции абсолютно защищены от такого развития событий?

А. ГОСТЕВ: Что касается владельцев «яблочной» продукции, ну, здесь отдельная идет история, скажем так. Для них тоже существует несколько сравнительно честных способов отъема денег, да? Не напрямую, конечно, связанных с онлайн-банкингом, но тем менее, да? Вот, скажем так, неуязвимость Айфонов, которую мы вообще действительно еще пару месяцев назад считали абсолютной, она испытала серьезный удар, когда мы обнаружили при помощи одного из российских мобильных операторов, который к нам обратился, сказал: «Слушайте, там что-то странное происходит». Обнаружили приложение, приложение в официальном Эппл-сторе, да? Приложение, которое вы ставили себе на телефон, а оно, собрав ваши данные, переслав их на сервер владельцев, начинало рассылать спам якобы от вашего имени, да? Это такой первый пример, когда в легальном абсолютно приложении, магазине айфоновском находилось вот такое приложение не со стопроцентным троянским функционалом, да, но это, по сути дела, спам-бот. То есть, у вас с телефона забирают все ваши контакты и потом от вашего лица начинают рассылать по ним спам.

А. ПЛЮЩЕВ: Ну, это конкретно человеческий фактор, недосмотр тех, кто аппрувит программы, приложения.

А. ГОСТЕВ: Да. Мы быстренько сообщили в Эппл, они посмотрели, в течение суток эту программку оттуда удалили, то есть явно призвали нарушающей их policy, да? Но, видимо, вот недосмотрели. Это как раз то, о чем мы говорили раньше. То есть, единственное, на чем сейчас Эппл может проколоться в плане безопасности – это именно на возросшем числе приложений и на том, что они просто просмотрят, что-то не увидят, какой-то функционал пропустят. Есть другой пример, тоже могу рассказать…

А. ПЛЮЩЕВ: Да, давай мы к нему вернемся, еще успеем. Я тебе напомню, а ты вернешься, хорошо? Я только уточню вот про эту историю как раз. Правильно ли я понимаю, что со временем будет появляться много, ну, все больше и больше то есть, приложений, которые внешне будут безобидными, а внутри у них может быть зашит такой сюрприз? Ну, условно говоря, это будет погодная программа. Что у нас там самое популярное? Ну, вот погода, допустим. Он действительно показывает погоду, все отлично. Вот. Но поздно-поздно ночью, когда ты уже лег спать, он выходит и начинает выть на луну. Вот. ну, что… и воровать деньги с твоего аккаунта. Правильно? То есть, тренд таков.

А. ГОСТЕВ: В общем и целом, да, все к этому идет. Маскировка под что-то легальное, содержащая функционал, который, возможно, не будет выявлен при проверке. Да, я как раз именно про такой пример и хотел рассказать, даже два, даже два примера. Абсолютно парадоксальная история, я, честно говоря, вообще не мог предположить, что такое возможно. Выглядит вот что, представь. Российский стор, да, для, не знаю, Айпадов. Приложение, примерно, там, не знаю, в двадцатке самых популярных российских приложений, которое выдает себя, как оно заявлено именно в российском магазине, не знаю… программа для, не знаю, отслеживания, допустим, телефона, да? Что-то такое. Стоит, не знаю, доллар. Есть некие скриншоты, описание, то оно делает, да? Ты платишь доллар, загружаешь его себе, а это оказывается, не знаю, калькулятор. Как такое возможно? А я расскажу, как это возможно. Что научились делать мошенники? Они делают приложение, калькулятор, отдают его в Эппл с просьбой для публикации, допустим, в сингапурском сторе. Оно абсолютно… они заявляют только калькулятор. Иконка калькулятора, скриншоты калькулятора, описание калькулятора. В сингапурском Эппл-сторе это калькулятор. Что они делают затем? Они затем размещают его в российском Эппл-сторе. Приложение уже одобрено, повторной проверки в Эппл не происходит, да? Но при этом они меняют скриншоты, и меняют описание, и меняют иконку, выдавая за совершенно другое приложение, понимаешь? То есть, ты смотришь на витрину, видишь одно, платишь за это деньги, скачиваешь – а это калькулятор.

А. ПЛЮЩЕВ: Надо пояснить, что оно при этом безвредное, то есть никакого вреда не наносит, но ты заплатил совсем не за то.

А. ГОСТЕВ: Совсем не за то. За одну неделю было два таких случая. Мне кажется, Эппл с этим нужно что-то делать. Это не проверка приложения, оно проверку прошло, но разработчик может сам бесконтрольно изменять скриншоты и описание на страничке в магазине.

А. ПЛЮЩЕВ: Но, как он… все время забываю, как он теперь называется-то… короче, который был Google Marketplace. У Андроида разве не еще хуже ситуация?

А. ГОСТЕВ: Ну, там-то вообще никакого контроля нет. Гугл работает по факту: если кто-то сообщил о том, что это вирус, ок, мы его оттуда удалим, да. То есть, там-то ситуация с Андроидами еще худшая, и тут уже… Не знаю, мы вот сейчас выпустили, например, отчет по вирусам за второй квартал этого года. У нас, если мне не изменяет память, порядка четырех тысяч, четырех тысяч мобильных троянских программ под Андроид только за три месяца этого года. Ну, собственно, все уже, защита пробита.

А. ПЛЮЩЕВ: Ты обещал второй пример еще.

А. ГОСТЕВ: А это и был второй пример.

А. ПЛЮЩЕВ: А, все, все понятно, извини. Так, под конец под самый тут отличный от Александра Лихачева поступил вопрос. Мы уже много фантазировали насчет будущего, там, как могут развиваться события, да. А он спрашивает вообще очень просто и прямо. Представим: кибервойна – кто победит?

А. ГОСТЕВ: Кибервойна между кем и кем? Это важно на самом деле.

А. ПЛЮЩЕВ: Ну, вероятно, я так понимаю, что Александр Лихачев имеет в виду мировую кибервойну. Первая мировая кибервойна.

А. ГОСТЕВ: Если мы говорим, что кибервойна…

А. ПЛЮЩЕВ: Ну, смотри, вопрос к чему сводится? К тому, кто сейчас наиболее силен в создании кибероружия, прежде всего, конечно же.

А. ГОСТЕВ: Кибероружие… смотри…

А. ПЛЮЩЕВ: Или кто имеет больше возможностей.

А. ГОСТЕВ: Скажем так, самый, с моей точки зрения, с моей сугубо личной точки зрения, наиболее сильный атакующий потенциал имеют Соединенные Штаты Америки. Это несомненно. Что же касается оборонного потенциала, здесь ситуация противоположна. На самом деле США очень сильно уязвимы для подобных кибератак. Да, они умеют атаковать, но, с точки зрения защиты, они гораздо более уязвимы, чем Россия или, например, Китай. Это вызвано историческими причинами, это связано с экономической ситуацией в том числе, да? Почему Россию атаковать сложнее? Почему Россия выживет в случае кибервойны?

А. ПЛЮЩЕВ: У нас полминуты на то, чтобы сказать «Потому что у нее есть Касперский».

А. ГОСТЕВ: Отчасти, конечно, поэтому. Но дело в том, что у нас крупные инфраструктурные компании контролируются государством, и государство в состоянии очень быстро внедрить на них необходимые инструменты защиты. В Америке это частные бизнес, и у них есть политика, да? Государство не вмешивается в частный бизнес, не диктует, чем ему защищаться. Ну, представьте: американцы, условно говоря, придут в (неразб.) и скажут: «Купите пару зениток». Никто же этого делать не будет, да? У нас обязать компанию купить защитные средства государство может.

А. ПЛЮЩЕВ: Это Александр Гостев, ведущий эксперт «Лаборатории Касперского», говорили о компьютерных угрозах финансам и не только. Через неделю программа «Точка» на своем месте. Спасибо и счастливо.