Кибервойны: мифы и реальность - Дмитрий Агарунов, Илья Русанен - Точка - 2016-08-14
14.08.2016
С. Оселедько
―
22 часа и 9 минут в Москве, в эфире программа «Точка», в студии ее ведущий, управляющий партнер агентства Notamedia Сергей Оселедько. И на этот раз с нами уже Александр Плющев.
А. Плющев
―
Добрый вечер.
С. Оселедько
―
Отдохнувший.
А. Плющев
―
Я сейчас официально в отпуске последние 2 часа.
С. Оселедько
―
Но выглядит он уже хорошо, вернулся он, наконец, в Москву и, к радости всех радиослушателей и особенно моей, присоединился к нам сегодня.Тема для сегодняшнего эфира у нас навеяна последними скандалами политическими в Америке в стане Демократической партии, а именно о гигантской утечке информации с серверов различных организаций, связанных с Демократической партией США. Влиятельный журнал «Spiegel» это назвал: никогда еще в истории сверхдержава не выпускала из-под контроля такое гигантское количество секретной информации. Как говорится, Джеймсу Бонду и не снилось. Более 20 тысяч писем Клинтон и более 250 тысяч документов.
Соответственно, тема наша сегодня – это кибервойны, кибервойска и все, что с этим связано. У нас в студии два эксперта сегодня. Это Дмитрий Агарунов, основатель и идеолог журнала «Хакер». Дмитрий, добрый вечер.
Д. Агарунов
―
Добрый вечер.
С. Оселедько
―
И Иван Андреев, специалист по исследованиям в сфере информационной безопасности. И вот с ними мы сегодня попытаемся обсудить, что же, собственно говоря, происходит, что из себя представляет этот дивный новый мир.Дима, первый вопрос к тебе. То есть, мы на фронте?
Д. Агарунов
―
Мы на фронте уже давно. А все, у кого есть хотя бы мобильный телефон в кармане – его солдаты.
С. Оселедько
―
Так, ну, а поподробней? То есть, мы под киберприцелом кибервойск? Или что?
А. Плющев
―
Или, наоборот, мы солдаты?
Д. Агарунов
―
Ну, мы все и солдаты, мы все и объекты, мы все и жертвы. Все это давно уже случилось, понимаем мы это или нет. У нас куча устройств связаны с сетью, у них есть программное обеспечение, которое выполняет разные сложные команды. Оно может следить за нами, и следит, и мы знаем об этом. Когда нам показывают всякую рекламку по следам нашего поиска – это вот пример этого слежения.
И. Андреев
―
Даже на самом деле не всегда речь идет о рекламе таргетированной – это самый простой пример. Куда проще возьмите историю: берете любой гуглофон, два раза съездите на работу, два раза приедете с работы – вы живете здесь, вы живете туда. Понимаете, как бы большую часть информации вы сливаете сами о себе. Поэтому…
С. Оселедько
―
Но нас все пытаются убедить, что эта информация обезличена, что она не позволяет установить личность…
И. Андреев
―
У вас есть Гугл-аккаунт, вы к нему, соответственно, привязаны. Какая же обезличенность может быть? Понимаете, как бы, более того, насколько я знаю, Гугл сейчас вот вообще в России находится, поэтому в случае чего как бы никакой обезличенности быть не может.
Д. Агарунов
―
Ну, это не только Гугл. Почти любое приложение запрашивает разрешение на геолокацию, оно знает ваш e-mail, оно имеет доступ к вашим фоткам. В принципе, колоссальное количество информации.
И. Андреев
―
Возьмите просто любое приложение под Андроид – там ворох и маленькая тележка разрешений для какого-нибудь приложения для снятия скриншотов нужен. О какой мы приватности здесь говорим? Пользователи дико некомпетентные, они ставят любое странное ПО, у которого огромное количество разрешений, и главное, чтобы работало. Что оно умеет читать, не знаю, там, медиаплеер умеет посылать у вас смски на короткие номера, мало кого волнует. И чем больше развиваются технологии, тем более тупые люди становятся. Поэтому…
С. Оселедько
―
Ну, это мы сейчас говорим больше про каких-то злоумышленников, про какие-то прикладные бытовые вопросы компьютерной безопасности. Когда мы говорим про кибервойну, здесь подразумеваются как бы интересы геополитические, интересы государств.
И. Андреев
―
У нас как бы одни и те же операционные системы. Я не говорю сейчас конкретно про какие-то совсем уж дикие штуки, типа операционных систем, там, реального времени, там, доверенных машин, изолированных от интернета. Когда дело касается каких-то рядовых вещей, у вас одни и те же операционные системы – у нас и на уровень чуть, наверное, выше – одни и те же эксплойты, одни и те же баги, которые так или иначе могут быть перекуплены у исследователей.
А. Плющев
―
Если я правильно Ивана понял, то смысл в том, что мы на собственном примере можем видеть, каким образом развиваются кибервойны, потому что мы так или иначе чувствуем вот их проявление на себе, на бытовых примерах.
И. Андреев
―
Требуется пояснение. Я не понимаю, что значит… я не чувствую на себе проявлений кибервойны.
Д. Агарунов
―
Открытых войн сейчас нет и быть не может, и главная заинтересованность в отсутствии открытых войн – это экономика. Государствам, которые подавляющее имеют влияние в сфере программного обеспечения, Соединенным Штатам, они все-таки зарабатывают на этом программном обеспечении и они не хотят и не могут хотеть открытой кибервойны. Тайные кибервойны, конечно же, идут.
С. Оселедько
―
Я правильно понимаю, что, помимо вот этих вот специальных войск, о создании которых там какое-то время назад бодро заявляли представители практически всех крупных стран, мы говорим о том, что солдатами в этой войне являются все разработчики железа и софта, которые где бы то ни было разрабатывались.
Д. Агарунов
―
Участниками. Когда рабочие…
И. Андреев
―
Странно считать, что как бы вот есть некие такие кибервойска, которые там что-то сидят, сидели, научили…
С. Оселедько
―
Вот мы про это сейчас поговорим попозже, это тоже интересная тема.
И. Андреев
―
Есть вполне ясные люди, специалисты по ИБ, которые там какое-то время сидели занимались вот этим. После этого возникло предложение нормальное поработать, и
С. Оселедько
―
Госзаказ?
И. Андреев
―
Ну, не госзаказ, это все более прозаически называется, но никаких… то есть, у многих с этим нет никаких проблем.
С. Оселедько
―
С чем?
И. Андреев
―
С работой на государство.
С. Оселедько
―
То есть, кибервойска – это такие наемники из числа различных специалистов по информационной безопасности, хакеров и так далее?
И. Андреев
―
В том числе и такие ситуации есть. Есть централизованные подразделения, есть отдельные ресерчеры, которые этим занимаются.
Д. Агарунов
―
Есть частные компании, которые выполняют заказы государства.
С. Оселедько
―
То есть, я правильно понимаю, что это практически установленный факт, что все разработчики железа и софта сотрудничают с государствами?
И. Андреев
―
Нет.
Д. Агарунов
―
Нет, абсолютно нет.
С. Оселедько
―
Тогда почему мы должны об этом беспокоиться?
И. Андреев
―
Простой очень как бы момент. Вот вы берете какой-нибудь повод для шифрованного общения. Кто вам даст гарантию, что в нем нет бэкдоров? Вот вы в состоянии прочитать исходный код даже опенсорсных вещей? Я вот, допустим, не в состоянии. Там, я могу прочитать какой-то маленький кусок, но не могу дать гарантии, что весь, соответственно, мой стек, он обезличен и защищен от каких-либо бэкдоров, понимаете? Поэтому никто не знает, где есть, где нет. Даже в опенсорсе.Чисто теоретически, если у тебя много свободного времени и большое желание, ты можешь этим заниматься. Но, понимаете, тут всегда стоит вопрос доверия. То есть, когда какая-то сторонняя компания проводит аудит безопасности какого-нибудь открытого ПО, то есть, у нас стоит вопрос, доверять ему или нет. Если вы доверяете, вы автоматически попадаете в зависимость от этой компании.
Более того, не забывайте, то есть, вы сегодня там прочитали, не знаю, там, реализацию open GPG на Java скрипте, сумели это прочитать – все, хорошо. Завтра выходит новая библиотека. Вы можете, конечно, там что-то по истории сравнить, истории коммитов проверить, но в реальности у вас огромное количество зависимостей в любом софте, которые все вы читать одуреете. Поэтому вот…
С. Оселедько
―
То есть, цепочка такая длинная, что где-то старший брат обязательно да вклинится?
И. Андреев
―
Может вклиниться. То есть, понимаете, берете вы Tor, я не знаю, какой-нибудь. Кто вам дает гарантию, что на каком-то из уровней, соответственно, Tor, не снифается трафик? Вот буквально, там, пару лет назад или, я не помню, меньше, мы ставили эксперимент, делали хорошую выходную ноду Тор как бы и снифали весь трафик.
А. Плющев
―
Иван, я прошу прощения, чуть-чуть поясните.
С. Оселедько
―
Чуть по-русски, да.
А. Плющев
―
Для не совсем продвинутых наших радиослушателей.
И. Андреев
―
Если очень коротко, Tor – система луковичного прокси, то есть у вас есть некий трафик, который вам надо докуда-то там довести. А анонимизация достигается за счет цепочки прокси. Ну, то есть, как промежуточных маршрутов, на каждом из которых трафик как бы деанонимизируется. А дальше возникает вот такая проблема, что если трафик не зашифрованный, то на каком-то из этих этапов может сидеть злоумышленник, который ваш трафик будет прослушивать и анализировать. Сделать это совсем несложно. И тогда ты, собственно говоря, и видишь, чего люди в Торе ищут, чего не ищут, чем они там занимаются. Поэтому, это вот такой очень простой пример. В реальности, когда речь идет о сложном ПО с кучей зависимостей, с кучей всего, надо очень хорошо думать головой, что ты используешь, а что нет.
А. Плющев
―
Мы сегодня говорим не столько о частных пользователях, которые все равно не в состоянии проконтролировать собственные технические и технологические решения. Решения эти, хочешь не хочешь, навязанные: ты идешь покупаешь телефон, или идешь покупаешь компьютер, ты подключаешься к провайдеру и так далее.
И. Андреев
―
Всегда есть выход, как, допустим, Рич Столлман поступает, идеолог Free Software Foundation. Как бы человек живет как пещерный человек.
А. Плющев
―
Ну да.
И. Андреев
―
Пользуется ноутбуком с прошивкой какой-то для каких-то африканских детей и рассказывает про то, как нас все поработят. Вот 20 лет назад, когда рассказывали, ну, лет 10 назад, когда все смотрели на Столлмана, все считали, что он сумасшедший. Даже по приколу делали сравнение Столлмана с пещерным человеком. Они не сильно отличаются-то. А сейчас, когда я смотрю на то, что у нас происходит, какие законы принимаются – ну, может, Столлман, черт его знает, может, и прав был?
А. Плющев
―
Возможно. Мы сегодня, насколько я понял по началу программы, и то, что задумал Сережа Оселедько, когда готовил эту передачу, говорим о, может быть, войнах между государствами, да?
С. Оселедько
―
Да, где основной интерес – это интерес какого бы то ни было государства. То есть, мы уже поняли, что возможностей для этого государства вклиниться в любые коммуникации его граждан огромное количество.
А. Плющев
―
И не только у государства.
С. Оселедько
―
И понятно, как это происходит на уровне как бы российского правового поля. То есть, у нас есть всякие СОРМы, у нас есть пакеты Яровой, там, и так далее. Но мне интересно, вот предположим, как бы мы участвуем в кибервойне, где США против России, да? И какой интерес и какова возможность в принципе у американского правительства, у того самого пресловутого Госдепа, влиять на нашу жизнь и зачем? Может ли оно в принципе и зачем ей обрабатывать это гигантское количество трафика потенциального российского?
А. Плющев
―
Это с одной стороны. А с другой стороны, пока мы видим, ну, есть обратный пример, вот о котором мы точно знаем – что взломаны сервера Демократической партии. И в США говорят – мы не знаем, так это или нет…
С. Оселедько
―
Подозревают.
А. Плющев
―
США подозревают, что это русские – и, может быть, даже им будут за это новые санкции.
С. Оселедько
―
С этого все и началось.
А. Плющев
―
Вот о чем сегодня хотелось бы в большинстве своем поговорить. Эта война, она реально идет? Или сервера Демократической парии взломали, там, я не знаю, люди Трампа?
Д. Агарунов
―
Я не знаю, кто взломал сервера конкретно Демократической партии. Война действительно идет, и главная защита – что она никому не выгодна, вот открытая и большая. Потому что действительно обе стороны уязвимы, большинство оборудования, оно уязвимо настолько со многих сторон и программное обеспечение, что оно уязвимо для всех.
С. Оселедько
―
Да, но при этом мы взломали сервера Демократической партии, а американцы не могут найти доказательства…
Д. Агарунов
―
Сергей, американцы об этом говорят. Не значит, что мы говорим. Я могу с высокой долей ответственности сказать, что практически все банки взламываются чуть ли не ежедневно. До нас доходит информация, может быть, об одном проценте. Банки не хотят рассказывать, что их системы уязвимы. Потери банков огромные, для них это номер один проблема. Не кризис, не нехватка ликвидности, не американское казначейство или ставка Федеральной резервной системы, а уязвимость. И банки рассказывают дай бог вот об одном проценте того, что с ними произошло. Ни один банк не хочет сказать, что его обокрали. Причем вот это обкрадывание – это не всегда обязательно технологическое обкрадывание. Достаточно иногда вставить флэшку внутреннему сотруднику, достаточно иметь доступ, достаточно подружиться с двумя высокопоставленными сотрудниками банка. Человеческий фактор, он никуда не делся. Техника-то техникой, но работают-то люди. Пока работают люди, взломать секретаршу военного ведомства дешевле, чем нанимать армию хакеров.Так вот, возвращаясь к войнам. В результате открытого конфликта, да, у американского государства есть огромные возможности заблокировать кучу оборудования через операционные системы.
С. Оселедько
―
Все Айфоны дружно превратятся в тыкву?
Д. Агарунов
―
В этом роде это возможно, да. Вопрос в том, что, когда будет открытый конфликт, в чем наша главная защита? У нас ничего такого нет, что нужно иностранцам, нас спасает то, что мы не интересны для мировой экономики. Поэтому, мне кажется, России можно спать спокойно. Шпионство – да, кибервойна на уровне кибершпионажа – да, узнать, что творится, что есть. Но хорошая новость: у нас ничего нет, что бы у нас хотели отнять.
А. Плющев
―
Не знаю, насколько это хорошая новость.
С. Оселедько
―
Да.
Д. Агарунов
―
Мы защищены, бояться нам не надо. А уязвимость, она высокая. Давайте так: моя жена подглядела код от моего телефона – это уже кибершпионаж. Что она там узнала, есть что-то там интересное или нет – это вопрос второй. Но против лома нет приема. Если у меня ничего там такого нет, что скрывать, то нет и проблем. Вот мне кажется, в России не много вещей, которые очень интересны более развитым в технологическом отношении державам.
С. Оселедько
―
То есть мы, как тот «неуловимый Джо». Тут наш слушатель Айрат из Москвы задает пару интересных вопросов. Первый вопрос: «А у Медведева спецпрошивка айфончика?».
И. Андреев
―
Вряд ли.
Д. Агарунов
―
Мы о такой не слышали.
И. Андреев
―
Я ничего, по крайней мере, об этом не знаю. Тут вот какая ситуация. Когда вы организовываете доверенный канал связи, вы не используете айфончики и прочие андроиды. Есть вполне реальные протоколы (неразб.) стойкость до определенного этапа. Поэтому понятно, что вы не будете по iMessage передавать данные...
Д. Агарунов
―
Важные разговоры по Айфону наши чиновники не ведут.
И. Андреев
―
А когда ведут, случаются глупости.
А. Плющев
―
По чему же тогда они ведут?
Д. Агарунов
―
По зашифрованным специальным каналам.
А. Плющев
―
Который с гербом, там?..
Д. Агарунов
―
Да. Это надежнее, поэтому в том числе.
С. Оселедько
―
Айрат спрашивает: «А вот чтобы трафик не снифали, делают HTTPS».
И. Андреев
―
Да.
С. Оселедько
―
Это помогает?
И. Андреев
―
Конечно, помогает, естественно. Просто как бы вы об этом должны подумать заранее. Понимаете, как бы если вы делаете HTTPS, вы уязвимы, допустим, к атакам SSLstrip, допустим, можете дропнуть HTTP-соединение в нужный момент. Но это как бы…
А. Плющев
―
Ты понял, Сереж?
С. Оселедько
―
Нет.
И. Андреев
―
Ну, Айрат, видимо, знает на самом деле, о чем идет речь, раз спрашивает вопрос такой.
А. Плющев
―
Он скорее не задает вопрос, он…
С. Оселедько
―
Это некий комментарий.
И. Андреев
―
Безусловно, HTTPS защищает, если у вас root сертификат, который используется, он доверенный, выпущен центром сертификации, которому вы доверяете. Поэтому, да.
С. Оселедько
―
Вообще теоретически государство может на государственном уровне массово дешифровать трафик?
И. Андреев
―
Вот в Казахстане ввели же (неразб.) государственного уровня, обязали всех там установить свой root сертификат. Вот сидят экспериментируют.
Д. Агарунов
―
Силово – да, в чужом государстве – нет.
А. Плющев
―
В своем государстве ты можешь…
С. Оселедько
―
Можно поподробнее, что там в Казахстане произошло?
И. Андреев
―
Собственно говоря, ничего там как бы особого такого не произошло, вполне закономерное развитие событий. Крупные провайдеры выкатили инструкцию о том, что необходимо поставить корневой ключ шифрования, для того чтобы была возможность каким-то образом трафик исследовать. И если ключ от шифрования корневого центра сертификации не стоит, тогда будет некоторая проблема для доступа в интернет.
С. Оселедько
―
То есть, не стоит, в смысле, правильного, да?
И. Андреев
―
Да, правильного не установлено на компьютере пользователя. Ну, не знаю, мне на самом деле несложно предположить такую простую вещь, когда у кого-то там не работает сайт, ты звонишь в какой-нибудь очередной компьютерный сервис, приходит мальчик 13 лет, ему платят 300 рублей, он ставит правильный ключ шифрования – человек доволен, у него там «Одноклассники» работают, он ВКонтакте может выйти. И правительство довольно, решает свои некоторые задачи.
С. Оселедько
―
Это касается только HTTPS? А вот всякие там хваленые P2P шифрования, которые предлагают вот эти различные безопасные мессенджеры? Мы это обозревали какое-то время назад.
И. Андреев
―
Peer-to-peer – это не совсем из этой серии. Понимаете, тут всегда возникает проблема. Есть маркетинговый bullshit. Ну, вот берете вы очередной суперсекьюрный мессенджер – кто читал его исходный код? Вы читали? Нет. Я читал? Нет. Никто не читал, поэтому, ну, кто его знает? Знаете, доверять маркетинговому буллшиту нельзя. То есть, теоретически, там, ну, есть в Телеграме протокол MTProto, да, можно что-то там почитать, как-то клиенты. Но, опять-таки, видите, в Телеграме никто не застрахован от ошибок клиентских приложений. Допустим, недавно была история, когда человек заметил, что в сообщениях в Телеграме от одного из популярнейших клиентов под Mac, сообщения, которые оставлялись, они записывались в определенную область в системе. То есть, приватные сообщения в приватных каналах. Ну, то есть, вот косяк, говорят, что как бы (неразб.) сборка просто была, но что там в реальности было, никто не знает.Понимаете, это вот ошибки такие клиентской стороны, на которые мы особо влиять не можем. Но только если сидеть самому все вычитывать и смотреть, что там происходит. Но это же, вы понимаете, нереально. То есть, мессенджер вы почитаете, а свою операционку вы не почитаете. Тут как бы надеяться остается только на чужие глаза. Такие дела.
С. Оселедько
―
Тут просят: «Расскажите про торговлю эксплойтами».
Д. Агарунов
―
А у вас есть что купить?
С. Оселедько
―
У нас с Сашей – нет, но у…
И. Андреев
―
Ну, что, есть люди, которые сидят и эксплойтами торгуют, есть независимые ресерчеры – сидят и что-нибудь долбят. Раздолбили – написали эксплойт. То есть, в зависимости от классификации, вы можете получить 10 тысяч долларов, тысячу долларов, можете 100 тысяч долларов, если повезет. Если сумели в винде систем гейнить, тогда, соответственно, вы получите больше денег и будете лучше кушать. А если у вас какой-нибудь не очень критичный эксплойт – ну, получите меньше денежек, или на (неразб.) можете засабмитить и, соответственно, получить по баг-баунти. Я не совсем просто понимаю, что про нее рассказывать-то.
А. Плющев
―
Через слово примерно знакомые слова улавливаю…
И. Андреев
―
Ну, как бы если человек спрашивает, наверняка понимает, о чем идет речь.
С. Оселедько
―
Зато остальные не понимают. То есть, я правильно понимаю, что это в том числе и государствам продают такие уязвимости?..
И. Андреев
―
Конечно.
С. Оселедько
―
И это, собственно говоря, некие кибербомбы для дальнейших военных операций.
И. Андреев
―
У вас есть ПО. У ПО есть, соответственно, какие-то определенные уязвимости. Вот исследователь безопасности сидит, какими-то определенными техниками сидит вычисляет необходимую последовательность действий, для того чтобы вот эту уязвимость…
Д. Агарунов
―
Полечить.
И. Андреев
―
Спровоцировать. А потом, соответственно, автоматизирует свою работу в виде программного кода, который можно запускать и, соответственно вот эту самую, вот это нестандартное поведение и вызвать. Такие штуки называются эксплойтами, ну, в самом частном простом случае.И, соответственно, в зависимости от того, под какое ПО, от эксплойта, в зависимости от того, какую проблему он может поднять… то есть, одно дело, если он позволяет куки ваши угнать на сайте. Неважно, такой абстрактный пример. Другое дело, когда вы можете привилегии свои в операционной системе поднять или чего еще там лучше, выбраться из песочницы. То есть, цены на них, соответственно, разные. Продают и в открытую, и не в открытую. Покупают как частные лица, так и всякие киберкрайм такие, государства, такие перекупщики, которые их аккумулируют, потом продают дороже. Такой вот рынок.
С. Оселедько
―
Это где, вот в этом глубоком интернете все это происходит, на каких-то биржах в Tor?
И. Андреев
―
В Tor в том числе. Но как сказать? Обычно, если есть ресерчер талантливый, толковый, то через какое-то время у него есть некие заказы, некие люди, которые с ним связываются, никаким образом не обязательно не относящиеся ни к государству, ни к чему, которые, соответственно, предлагают ему денежки. Если компания глупая, то она предлагает мало денежек и не хочет спонсировать. Тогда ресерчер может разозлиться и сделать так называемый public disclosure. И для компании это нехорошо. То есть, человек берет и рассказывает в публичном доступе об уязвимости, другие люди могут ее использовать, и компании от этого вот вообще нехорошо.
А. Плющев
―
Это шантаж.
И. Андреев
―
Как сказать, шантаж? Понимаете, если человек тратит свое время на исследование, допустим, там, прошивок ноутбуков, тратит свое время, вполне нормально для компании хотя бы – я не говорю о деньгах – хотя бы спонсировать его железом. Это хороший тон. То есть, если человек публично исследует, пишет много в Твиттере о проблемах безопасности этого ПО – это нормальная практика. А когда компания, у которой явно есть технические возможности и финансовые возможности, поворачивается к тебе одним местом и говорит, что ты вот еще и шантажист, вообще чего она тогда ожидает, какого отношения?
С. Оселедько
―
Я думаю, что можно на этом оптимистичном градусе паранойи прерваться на рекламу и вернуться через пару минут.РЕКЛАМА
А. Плющев
―
Мы продолжаем нашу программу. У нас здесь Дмитрий Агарунов, основатель и идеолог хакер.ru, и также Иван Андреев, независимый исследователь по информационной безопасности. Говорим о кибервойнах, мифах и реальности. Я бы хотел немного еще к новостям обратиться, которые произошли, и попросить ваших комментариев вот о том, что ФСБ сегодня обнародовало приказ про то, как будут передаваться ключи шифрования. Ну, кто как не вы, наверное? Мы-то с Сергеем вообще ничего не понимаем абсолютно. Мы понимаем, что есть ФСБ и есть шифрование, есть ключи шифрования. Все, дальше наше понимание здесь не распространяется.
Д. Агарунов
―
А что за новость-то? Я и не в курсе.
А. Плющев
―
Президент Путин некоторое время назад поручил ФСБ разработать порядок передачи ключей шифрования. И все думали: каким образом они будут это делать? Потому что не совсем понятно. И чувствовалось, вот так ощущалось, и эксперты говорили о том, что ФСБ-то не очень это и надо как-то, они, в общем, не особенно стремятся. И сегодня появился вот этот приказ про то, что ключи шифрования владельцами информационных ресурсов должны передаваться на магнитном носителе или по электронной почте. Вот, собственно, все, что я понял из того, что…
Д. Агарунов
―
Я могу только о своей человеческой реакции, о новости я узнал только что. Я специально не интересуюсь такими новостями, потому что…
С. Оселедько
―
Специально не интересуешься ФСБ?
Д. Агарунов
―
Да, и специально не интересуюсь ФСБ. Это говорит о том, что государство озабочено проблемой. Государство, чиновников можно понять.
А. Плющев
―
Проблемой чего?
Д. Агарунов
―
Проблемой контроля, проблемой того, что группы людей, независимые люди могут обмениваться информацией и про это им ничего не будет известно.
С. Оселедько
―
Кибергражданская война, да?
Д. Агарунов
―
В том числе, в том числе. Потому что государству традиционно, любому, не только нашему, хочется побольше знать о своих гражданах, желательно все: как они нюхают, как они кушают, как они писают, как они какают. Сегодня это, как никогда, возможно. Другое дело, что это не так просто обработать, и не очень понятно, что с этим дальше делать. Поэтому я воспринимаю эту новость просто как сигнал: мы волнуемся, нас это беспокоит, хотим все контролировать. А как – не знаем пока. Поэтому что-то делаем, что-то говорим.
С. Оселедько
―
Тут еще и операторы выступили совсем недавно против анонимности мессенджеров. И типа мессенджеры, которые не привязаны к e-mail и телефонам аккаунты, будут блокироваться на уровне операторов. То есть, я так понимаю, что государство, оно всех поставило в ружье против собственных граждан? То есть, об этом идет речь?
Д. Агарунов
―
Ну, я не хочу говорить, что вот всех в ружье против кого-то. Я еще раз повторяю, государство, любое, оно хочет контролировать. Это средство контроля. Давайте представим теоретически вот то, что касается конечных граждан. Мессенджер должен быть привязан к телефону, к паспорту, еще к чему-то – тогда всем будет понятно, что пишет это не дед Пихто, да, какие-то плохие вещи, а вот Василий Иванович Петров конкретный, да? Хорошо это или плохо? Возможно это или нет? Сейчас невозможно. Может быть, через какое-то время будет возможно. Может быть, каким-то силовым способом будет возможно. Заставят Фейсбук делать авторизацию только по российскому паспорту и тут же посылать сообщение в соответствующие органы. Но еще раз говорю, это желание государства контролировать, оно понятно. Сегодня это невозможно физически.
С. Оселедько
―
На самом деле более-менее понятно, что происходит внутри, да? С точки зрения внутренней политики. Я все-таки хотел бы вернуть вас к теме межгосударственных войн, да? Тут проскакивала некая информация о том, что на самом деле – ну, вот как пример, да? – российские хакеры… Financial Times говорила, что российские хакеры на данный момент, ну, как бы на государственном уровне, то есть государство контролирует более тысячи энергетических компаний в 84 странах мира. Насколько реальны все эти успехи? Насколько этот потенциал имеет место?
Д. Агарунов
―
Технически это возможно. Я бы хотел выделить слово «российские». Да, россияне, русские, они талантливые математики и еще таким хулиганским озорным свойством обладают. Поэтому, да, россияне неадекватно велики в доле индустрии кибербезопасности, но они далеко не единственные, не подавляющие. Есть очень много других развитых стран, где достаточно специалистов. Поэтому мне кажется, Россия…
С. Оселедько
―
То есть, это еще большой вопрос, что в случае конфликта, чьи Айфоны превратятся в тыкву, российские или американские.
Д. Агарунов
―
Ну, в России есть достойные, скажем так, достойные IT-специалисты и достойные специалисты по кибербезопасности. Но не забываем, что бывшие россияне или люди российского происхождения во многом работают вне России, просто потому, что они вот такие умные и крутые, да? И они работают не на Россию, не на российские компании или государство. И действительно россияне неадекватно хороши, лучше, чем средние. Но это не значит, что они контролируют энергетические компании.Другое аспект, который я бы хотел сказать – что энергетические компании и другие компании (например, автомобильные) неадекватно контролируют свою безопасность. Например, ядерные станции в Японии управляются на операционной системе Windows, которая сама по себе достаточно уязвима. И есть много разных других вещей, которые уязвимы. Насколько это уязвимо, насколько это доступно для управления – не знаю.
И. Андреев
―
Просто нужно учитывать тот факт, что сегодня все больше и больше повседневных вещей, которыми мы пользуемся, они имеют мозги, они работают на операционках, они имеют свои уязвимости. Знаете истории, наверное, про BMW, которые вскрывали, опускали, вот недавно Volkswagen умудрялись открывать. То есть, есть вполне открытые команды, которые занимаются исследованием безопасности. Одна из них – команда (неразб.), интернациональная команда. То есть, все это открыто. И чем больше вокруг нас устройств со своими мозгами, вроде кофеварки на Линуксе, тем больше у нас проблем.
Д. Агарунов
―
Два-три дня назад Delta приостановила полеты. То есть, поразить деятельность крупных компаний важных транспортных, энергетических можно, мы видим это в реальной жизни. Стоят поезда, останавливаются самолеты. Сегодня без непрерывно работающей бесперебойной системы управления не летают самолеты и не ходят поезда. Это факт как бы вчерашнего дня, это не завтрашний день.
А. Плющев
―
Ну да, то есть, весь вопрос только в том, насколько это распространено и носит злонамеренный характер.
Д. Агарунов
―
Абсолютно. То есть, уязвить систему управления поездов можно, для этого необязательно быть русским хакером, достаточно…
С. Оселедько
―
Можно быть китайским хакером.
Д. Агарунов
―
Достаточно быть сотрудником компании и парализовать работу системы. Важно не наличие злого умысла, а важно понимать хрупкость современных систем управления, они действительно хрупки. И иногда я поражаюсь, что это чудо, что мы вообще не горим все и не проваливаемся под землю, насколько сложные технические системы нас окружают. Это ведь касается и энергии, и водопровода, и канализации. Без систем управления это было бы просто невозможно сегодня.
А. Плющев
―
Даже страшно себе представить, как жили до 90-х годов, когда интернета не было.
С. Оселедько
―
А если сейчас еще про искусственный интеллект так на секундочку пофантазировать, то нас они точно все поработят.
Д. Агарунов
―
Здесь важно. Та богатая сытая жизнь, которую мы сегодня имеем – а вот, например, Россия живет объективно богаче, чем 20-30 лет назад – это все за счет систем управления, это не за счет нефти. Сегодня не надо ездить лишний раз, можно позвонить, можно написать, можно отправить документы. Это колоссальная экономия за счет использования информационных технологий. При этом хрупкость. Это объективный закон, это не про компьютеры. Чем мы более сложную делаем работу, тем она более уязвима. Чем мы более сложную работу делаем, тем она более дает нам эффект и дает больше производительности, больше дает услуг и созидания.
С. Оселедько
―
То есть, обычные шпионы сейчас уже больше никому не нужны?
Д. Агарунов
―
Обычные шпионы нужны, они просто дешевле. Как я уже говорил, воздействовать на секретаршу военного ведомства гораздо дешевле с помощью специалиста по шпионству, с помощью обученного человека, который воздействует на психологию. Не забывайте, что большинство супер-вирусов, они сделаны не на основе технологий, а на основе понимания психологии людей.
С. Оселедько
―
Это типа «нажми на ссылку – получишь результат», да?
И. Андреев
―
Речь идет не о самой технологической базе, а о методиках распространения.
Д. Агарунов
―
Да.
И. Андреев
―
То есть, естественно, используются так или иначе методы социальной…
Д. Агарунов
―
Мы люди, мы хотим быть любимы, мы хотим кушать, мы хотим быть значимыми. Если я супершпион, подготовленный психологически правильно, гораздо дешевле мне соблазнить пять, шесть, семь, десять офицеров военного ведомства, которые мне сольют все и так, вставят флешку и вынесут – и до свидания.
С. Оселедько
―
Собственно, вот и конец кибервойскам, да, получается?
Д. Агарунов
―
Это неотъемлемая часть. Это просто дешевле, это просто дешевле, чем тысячам людей пытаться пробиться в закрытую систему через как-то, что-то. Это один из методов. Нет одного аспекта кибервойны: сидят группы людей и чего-то там программируют.
И. Андреев
―
Просто учитывайте такую вещь, что технологии меняются. С 80-х годов технологии менялись, сегодня они изменились. То, что работало десять, пятнадцать лет назад, сегодня не работает. А вот прокладка между стулом и монитором, она будет работать всегда, атаки на нее. Поэтому это до сих пор эффективно и будет эффективно всегда.
Д. Агарунов
―
Одновременно с этим сложность системы, она влияет на две стороны. Как ядерное оружие. Почему нет ядерной войны? Не дай бог, не дай бог, слава богу, да? Потому что обе стороны боятся. Аналогично, не дай бог, какое-то государство атакует систему управления электростанциями – в ответ оно рискует то же самое получить. И причем необязательно именно так же.
С. Оселедько
―
У нас паритет в кибервойне, и поэтому это оружие сдерживания?
Д. Агарунов
―
Он паритет такой, на страхе держится. Может быть, и слава богу.
С. Оселедько
―
По крайней мере, про обычное вооружение мы примерно представляем и количество, и потенциал. А как быть с этими кибервооружениями? Как вообще оценить, насколько эта угроза реальна?
А. Плющев
―
Да, и какова иерархия стран, например, которые в этом участвуют.
Д. Агарунов
―
Иерархия очень простая. На вершине наша сверхимперия под названием Соединенные Штаты Америки. Деньги, количество мозгов объективно настолько выше, что просто никто с ними не может сравниться. Это большая иллюзия, самообман, думать, что следующая, номер два страна хоть как-то стоит с ними на равных. Вообще никакой равности нет. Это у них огромные потоки данных, это у них огромные возможности, прежде всего, покупать и привлекать мозги. И эти мозги едут не из-за верности США, они сами хотят туда ехать: там лучшая жизнь, богатая, возможность для самореализации. И они отбирают лучших и лучших. Более того, у них больше денег и просто численно больше количество людей, занятых в этой сфере. В военной сфере, в вопросах кибербезопасности это тысячи, десятки тысяч человек.Следующая держава – Китай. Там много людей и много денег, китайцы очень умные, и там достаточно умных математиков, хакеров, черных, белых. Более того, в Китае…
А. Плющев
―
Это не в смысле расы, разумеется.
Д. Агарунов
―
В Китае быть хакером очень престижно, там большинство матерей мечтает, чтобы их сын стал хакером, IT-специалистом, программистом. Россия нормальное место занимает, но все равно США сильно далеко, это подавляющая империя в этой области.
А. Плющев
―
Кроме того, я так понимаю, что здесь, возможно, какие-то случайные игроки или случайные такие локальные бои. Потому что достаточно вспомнить взлом Sony, который приписывают КНДР, не упомянутый вами сейчас, насколько я понимаю, да?
Д. Агарунов
―
Эти взломы идут каждый день. В основном киберпреступность (это не кибервойны), она касается банков, она касается денег. Сейчас там очень модные разные другие аккаунты. Идет такая независимая торговля, идет тренировка, идет огромный рост молодых толковых людей, которые тренируются на более невинных компаниях, типа Netflix или взлом iTunes. И количество людей умных, которые перетекают в эту область, оно огромно. Айтишники становятся тем классом, который раньше выполняли дворяне. Сегодня бороться за политическое влияние смешно, лучше учиться программированию.
А. Плющев
―
Интересно. Ну, поскольку раз есть войны в киберсфере, то должен быть, вероятно, и терроризм. И должны быть террористические группировки, связанные или не связанные с правительствами разных стран, но тем не менее. Мы знаем просто про терроризм обычный, да? Такой офлайновый. Что насчет онлайнового терроризма, как здесь развивается ситуация?
И. Андреев
―
Тут важно понимать мотивацию. То есть, есть люди, которые делают – сейчас их уже меньше – они делали just for fun, просто…
Д. Агарунов
―
Для прикола.
И. Андреев
―
… потому что я могу. То есть, это было в 90-х. Сегодня ты понимаешь, что просто так что-то ломать, потому, что я могу, и повесить что-то там, задефейсить какой-нибудь сайт, на главной странице рожицу повесить – это уже неинтересно, потому что тебе могут денежек за это дать. Соответственно, сейчас уже все работают за деньги. И это сегодня, наверное, уже один из основополагающих факторов, почему ты должен что-то ломать, ресерчить.А есть люди, которые работают идеологически. То есть, я не буду называть конкретно страны, группировки, идеологии, но есть группы людей идеологии, они считают, что они правы, а все остальные не правы. И, соответственно, там тоже есть относительно талантливые люди, как и везде есть, то есть люди низкой квалификации, есть люди талантливые. То есть, они собираются и вот ради какой-то своей высшей цели что-то идут ломать. Так что, можно ли их назвать террористами?
С. Оселедько
―
Но мы пока не слышали о каких-то громких кибертерактах.
Д. Агарунов
―
А давайте сделаем аналогию. Вот я бы хотел предложить посмотреть на ограбления банков, да? Помните, в 30-х годах ездили машины, забегали с автоматами…
А. Плющев
―
Дмитрию Агарунову банки не дают покоя, он постоянно на них сворачивает сегодня.
Д. Агарунов
―
Я потому что для примера, чтобы легко было сравнивать.
А. Плющев
―
Нормально.
Д. Агарунов
―
Но вообще, да, мне бы хотелось иметь больше денег, я не скрываю. А у банков их много.И сегодня нет такого, нельзя подъехать на машине, одному кого-то ограбить, это просто мы таких случаев не имеем, потому что против одиночек банки уже закрыты. То есть, нужно какие-то страшные, не знаю на танках въезжать, должна быть огромная команда, команда должна быть профессионалов. А еще легче быть математиками, программистами и иметь доступ к банковскому сотруднику, которого можно подкупить, да? И сделать какую-нибудь поддельную платежку и убежать. Поэтому команда должна быть большая, а как только это два, три, четыре, пять, шесть человек, они начинают болтать, их жены начинают болтать, это живые люди – организовать команду очень сложно. Аналогично и в киберпреступности. Одиночкам сегодня очень сложно. Я даже не знаю область, где можно что-то серьезное сделать одному. Должна быть крупная команда для атаки на крупный объект.
А. Плющев: Я
―
то спрашиваю, может быть, немножко о другом. Мы знаем ныне офлайновый терроризм и разные организации, в том числе и запрещенные в России: ИГИЛ, Талибан, Аль-Каида и так далее. Нетрудно предположить, что, наверное, они будут нанимать или скорее уже нанимают каких-то людей для выполнения своих задач.
Д. Агарунов
―
Вы знаете, я думаю… давайте вспомним. Во-первых, у такого вот супертерроризма достаточно мало людей. Это кажется, что весь мусульманский мир готов покончить жизнь самоубийством. Они есть, их сотни, может быть, тысячи, но не десятки тысяч. Вторая хорошая новость – что если ты программист с возможностями хакера, то ты, скорее всего, человек умный. А умные люди вот как-то редко поддаются влиянию, им достаточно сложно наплести какую-то чушь о каких-то девственницах и еще какой-то фигне. Вот пойти взорвать себя с гранатами еще можно кого-то уговорить, если ты неудачник и ничего не можешь делать в плохой капиталистической стране. А вот если ты крутой программист, пойти себя взорвать намного сложнее, потому что ты умный человек.
С. Оселедько
―
За деньги.
А. Плющев
―
Им и не надо взрывать себя.
И. Андреев
―
А люди, которые обычно работают в таких группировках, технари, зачастую у них другая мотивация. То есть, есть люди, у которых конкретная мотивация что-то спереть и навариться на этом. Технари, которые работают в этом бизнесе, очень часто воспринимают все это просто как challenge, какое-то испытание, испытание для своих мозгов. А давайте я напишу малварь, вирус какой-нибудь, с помощью которого что-то буду… который там будут использовать. Понимаете, технически то, что ты написал малварь, какой-то вирус, не делает тебя сразу преступником. Конечно, если очень надо, ты там все равно по условке загремишь, но технически ты не преступник сразу. Поэтому многие инженеры воспринимают это просто как интересную работу, еще одну интересную работу.
Д. Агарунов
―
В общем, нас пока от настоящего террора, который разрушительный и цель которого просто разрушить цивилизацию, защищает отсутствие у этих террористов настоящего образования. Там же нужно не два-три человека…
С. Оселедько
―
Зачем образование для террористов? Можно нанять людей за деньги, они взломают систему безопасности какого-нибудь аэропорта и совершенно спокойно – ну, как в «Крепком орешке» в свое время – и совершенно спокойно несколько бортов сядут не туда.
Д. Агарунов
―
Нет, вот я и говорю, у тех, кого вы имеете в виду нанимать, у них есть мозги. То есть, на какую-нибудь невинную фигню можно завлечь…
С. Оселедько
―
Иван говорил про деньги как ключевой фактор всяких этих независимых…
И. Андреев
―
Я говорил это, когда речь идет о более-менее вайтовых безопасниках. То есть, это люди, которые… да, я имел в виду то, что ресерчить и просто так выкладывать что-то там вот в паблик, как это делали в начале 2000-х годов, потому что я могу – неинтересно, потому что каждый человек сейчас понимает, что он может что-то получить.
А. Плющев
―
Можно монетизировать.
С. Оселедько
―
То есть, все крутые хакеры, они все благородные люди.
И. Андреев
―
Конечно, не все, это понятное дело. Если пятнадцать лет назад мы говорили об ИБ в России, то если ты занимался ИБ в России пятнадцать лет назад, ты всегда был блэком, потому что не было возможности свои мозги монетизировать по-другому, ты все равно занимался всяким криминалом. Сегодня у человека в 2016 году есть отличные возможности монетизации своих знаний. Это и различные программы поощрения поиска уязвимостей, это и работа на крупных компаниях, потому что люди начали думать об ИБ.
С. Оселедько: Иб
―
это информационная безопасность.
И. Андреев
―
Да. Поэтому сегодня у безопасника гораздо больше возможностей и меньше желания заниматься ерундой.
А. Плющев
―
Минутка у нас, да, Дмитрий.
Д. Агарунов
―
Я к тому, что, посмотрите, есть ли у террористов инженеры, институты. Вы говорите, просто нанять. Давайте просто наймем ядерных физиков. Ну, не получается. Угнать его можно, украсть, но не получается создать институт. Все это настолько сложно…
С. Оселедько
―
То есть, можно не бояться кибертерроризма.
Д. Агарунов
―
Надо обязательно бояться. Я говорю, что вероятность, к счастью, пока низка. У террористов все сильнее и сильнее методы, но, к счастью, их мало, а для разработки нужно количество, нужно действительно много людей, много техники, много программистов, много образования, командная работа. И в какой-то там пещере это не так просто быстро сделать.
С. Оселедько
―
В общем, потенциальная угроза велика, возможностей море, но пока еще, слава богу, вероятность не такая большая, потому что экономика нас сдерживает, вероятность ответных мер и риск слишком велик, а команды людей, которые на это способны, слишком благородны…
Д. Агарунов
―
Слишком здравомыслящие.
С. Оселедько
―
Ну, собственно говоря, при ужасном пессимистичном начале у нас такой получился вполне оптимистичный конец. Спасибо большое нашим гостям.
Д. Агарунов
―
Спасибо.
С. Оселедько
―
И до встречи через неделю!
А. Плющев
―
Дмитрий Агарунов, основатель и идеолог хакер.ru; Иван Андреев, независимый исследователь по информационной безопасности, были у нас сегодня. Мы с Сергеем Оселедько с вами прощаемся, до свидания.
С. Оселедько
―
Пока!