Кібернаступ не є нашою метою, хоча технічно ми на нього здатні
Тоді, 2014 року картинка з обличчям Дмитра Яроша, як «переможця» виборчих президентських перегонів з результатом 37%, так і не з'явилася на головній сторінці офіційного сайту ЦВК. Україна спокійно та впевнено пройшла президентські вибори, останній етап легітимізації постреволюційної влади. В деталях ця історія, якою можуть пишатися наші спецслужби, буде відома напевно через десятиліття. Але певні фрагменти про це Віктор Жора, співзасновник компанії InfoSafe (вони власне стримували наступ та здійснювали прорив) став героєм численних публікацій у західних медіа.
Наша розмова з Віктором, експертом з кібербезпеки – не лише згадка про події трирічної давнини (хоча день інаугурації Порошенка може бути приводом для свята, яке втім для росіян, після їхньої потужної кібератаки, стало і цусимою, і аустерліцом). Втім війна не завершена, вона відбувається сьогодні в режимі нон-стоп, у США, у Франції, і у нас. Чи правильно діє в цій війні Україна? Чи продуктивні останні обмежувальні заходи РНБО, чи варто боятися шпигунських програм? Чи софт, народжений в РФ, може бути настільки небезпечним, щоб забирати його з ринку одним розчерком пера? Всі ці запитання ми адресували Віктору Жорі.
СПЕЦСЛУЖБИ НАДАЛИ СПРАВІ ПОРЯТУНКУ ЦВК МАКСИМАЛЬНОЇ ВАГИ
- Вікторе, давайте згадаємо про події у ЦВК 2014 року? Коли я собі це уявляю, мені це бачиться, як у фільмі Матриця. І чи захищена ЦВК вже сьогодні?
- Якщо йти за порівнянням, то десь так, як у Матриці. Серверна ЦВК, чорні екрани комп'ютерів, наші хлопці не сплять п'ять діб, трималися на енергетиках. Дивне відчуття, що по цьому проекту неможливо зсунути дедлайн. Є дата виборів, і до цієї дати не можливо не встигнути. З іншого боку, точно знаєш, що результат буде досягнуто, бо... нема шансів його не досягнути. Навіть у думках ніхто не припускав. Ця робота стала неймовірним «Live hacking show».
Якщо загалом класифікувати ту атаку, розібрати її по частинах, там було три фази: перша фаза – це спроба проникнення і несанкціонованого втручання в роботу системи «Вибори», спроба знищення баз даних, а можливо, і з подальшим спотворенням результатів; друга фаза атаки була спрямована на те, щоб підмінити результати на офіційному сайті ЦВК, про що мав бути показаний сюжет у вечірніх новинах Першого каналу, так звана «картинка Яроша» – абсолютний фейк, що прямо свідчить про російське втручання, оскільки тільки російське телебачення показало цю «картинку Яроша», якої в природі не існувало, хоча вони очікували, що вона з'явиться справді на цьому веб-сайті; ну і третє - це DDoS-атака на сервери, що відповідали за оприлюднення попередніх результатів виборів.
Україна, така наша доля, в багатьох процесах є першопроходцем. У випадку кібервійни – це саме про нас
Наші спецслужби надали справі порятунку ЦВК максимальної ваги. Ми могли залучити будь-якого фахівця з IT-ринку України. Картинку «Яроша-переможця» (росіяни помістили її в jpg у теку на певному веб-сайті, до якого доступ був лише у них) ми знайшли за десять хвилин до російського ефіру, де його мали оголосити «переможцем». Вони хотіли зробити так, щоб підставити картинку на сайт ЦВК, щоб внести сум'яття: Ярош лідирує. У рамках заходів по порятунку системи, ми знайшли сайт, на якому хакерами РФ була підготовлена картинка «Яроша-переможця», та сховали її. Вони просто не могли до неї дістатися. Наші хлопці дуже зміцніли, як професіонали, у цьому проекті в травні 2014 року. Це справді унікальний випадок. Україна, така наша доля, в багатьох процесах є першопроходцем. У випадку кібервійни – це саме про нас. Оскільки ми вперше зіткнулися з таким брутальним втручанням у виборчий процес, в кінцевому результаті – зловмисники не досягли своєї мети. Але це був серйозний перший удар у кібервійні. Після того вже стало зрозуміло, що відкрився новий фронт. Другий і серйозний удар у кібервійні – відключення енергопостачання обленерго. І я був би обережний в оцінках щодо нашого майбутнього.
- Українські ресурси готові до кібератак, які можуть бути здійснені під час виборів? У нас же також і виборчкоми, і окружні комісії, і сервери ЦВК. Ми вистоїмо у випадку чого?
- Ми потім повністю перебудували систему під наступні вибори народних депутатів, які відбулися в жовтні. За п'ять місяців ми «перебрали» систему «Вибори»та зібрали повністю, фактично змінивши архітектуру. Зовнішнє втручання в систему «Вибори» зараз унеможливлене. Ці екстра-заходи стали необхідними у тому числі тому, що частина проектної документації на систему «Вибори», можливо, була передана зловмисникам інсайдерами. Зараз у Центральній виборчій комісії розгорнута система моніторингу подій безпеки. Системи «Вибори» є ізольованою, для кожної окружної комісії створюється своя поштова скринька, цей поштовий сервер знаходиться у Центральній виборчій комісії.
- Чекайте. Ті, хто злив у ФСБ нашу документацію системи виборів, почали співробітничати зі слідством та допомогли вам знайти уразливості?
- Я не можу деталізувати, але якщо правоохоронці захочуть поставити крапку в цій історії, то нехай ставлять... Ця історія додала нам всім сивого волосся, але за неї не соромно.
- Російська програма «Стахановець» стала причиною обшуків СБУ: за одними даними, у десятках, за іншими даними – у восьми компаніях. Виникли дискусії, що, мовляв, – це просто програма спостереження за активністю персоналу, а ніякий не шпигунський софт. Правоохоронців звинуватили у потуранні рейдерству. У вас про це склалася думка?
- Програмне забезпечення «Стахановець» продається як на території України, так і на території Росії. Є опосередковані дані про наявність російського капіталу в цій розробці, хоча та юридична особа, яка реалізовувала програму, є українською юридичною особою. Програми, які дають змогу приховано від користувача отримувати інформацію про його діяльність, операції на комп'ютері, робити знімки екрану, отримувати доступ до його листів, до листування, до особливостей запуску його програм, до відвідування веб-сайтів, є технологіями подвійного використання. По відношенню до користувача – це має ознаки шпигунського програмного забезпечення, бо інформацію прихованим чином отримує адміністратор безпеки. Тобто, людина, яка отримує доступ вже до результатів дії цієї програми. Але жодних проблем немає, якщо користувачі ознайомлені з тим, що його дії на робочому місці з використанням обчислювальної техніки можуть записуватися, відслідковуватися і т.д. «Стахановець» – не єдиний програмний засіб, що реалізує відповідний функціонал. Стосовно можливості передачі інформації через кордон – російським спецслужбам чи будь-яким іншим стороннім особам, треба досліджувати ті матеріали, які має на руках Служба безпеки України. Хочу зауважити, що в квітні цього року програмний комплекс Mirobase («Стахановець») отримав позитивний експертний висновок Держспецзв'язку щодо відповідності вимогам технічного завдання та системи технічного захисту України.
- А хіба Держспецзв'язок робить оцінку, що це шпигунське, а це не шпигунське?
- Ні, але наявність незадекларованих можливостей програмного забезпечення під час його експертизи повинна була досліджуватися. Але знову таки, залежить від того, який зразок надано на експертизу. Не обов'язково досліджуваний зразок – той самий зразок, який буде встановлений у кінцевого користувача. Широкий загал не володіє повною інформацією в рамках відкритого кримінального провадження. Єдине, що нам залишається – це або довіряти тій інформації, яка надходить від правоохоронних органів, або не довіряти, якщо для цього є відповідні підстави. Люди, які займалися реалізацією, просуванням цього продукту, – це відомі на ринку люди, і це програмне забезпечення відоме достатньо широкому колу партнерів, які його впроваджували. Але для того, щоб відправляти якусь інформацію назовні, потрібно, щонайменше, мати канал зв'язку. Тобто, якщо припустити, що якесь програмне забезпечення збирає інформацію персональну про користувачів, це якимось чином упаковує, вона повинна мати канал зв'язку – для того, щоб відправити на центр керування, так званий C&C чи щось подібне. Якщо подібне програмне забезпечення «Стахановець» або його аналоги використовуються в закритій локальній мережі, а такі випадки, я припускаю, є, там виключена можливість передачі назовні, ну і, відповідно – цей функціонал не може працювати. Якщо це працює в сегменті локальної мережі, що має неконтрольований вихід до публічних мереж, зокрема, до Інтернет, можна пропустити все, що завгодно. Тому сподіваюся, що ті звинувачення, які лунали на адресу розробників цього ПЗ від наших спецслужб, вони мають серйозне підгрунтя. Але, на жаль, поки що подробиці нам не відомі.
- Хочу уточнити. Компанія «Укргазвидобування», в якій також був «Стахановець», відає всіма свердловинами України. А якщо Україна буде робити ставку на власний видобуток, а це дуже не в інтересах Росії (імпортера та ворога), то це стає стратегічним питанням. Уявіть – для всіх наших добувних потужностей працює «Стахановець». Хіба це нормально, якщо есемески та телефони топ-менеджерів таких підприємств будуть зчитувати автори програми, яку створили в РФ?
- Стосовно «Укргазвидобування» взагалі кумедна ситуація. В них були обшуки, але того ж дня вони запустили торги на закупівлю на Прозоро програмного забезпечення з тим самим функціоналом, яким володів «Стахановець». Інформація є дуже чутливою. Але я із розумінням ставлюся до унеможливлення будь-якого способу передачі конфіденційної інформації назовні ворожим спецслужбам. Щодо продуктів, які мають певне географічне походження (мається на увазі російський софт - ред .), ми повинні розуміти, що існує можливість не тільки передачі інформації з мереж українських підприємств, організацій назовні, а й отримання якогось шкідливого коду в рамках оновлення цих програмних засобів, що використовуються в наших мережах зовні.
МОЖЛИВО, ОДНИМ МАХОМ ВИРІШИЛИ ЧИСТИТИ КІБЕРПРОСТІР
- Давайте проілюструємо. Наприклад, є програма «Парус», якою користується наша армія, розроблена в Генштабі Росії. В РФ її оновлюють і чемно надсилають нам щодва місяці «пакети оновлень» і можливо разом з ними – шкідливий чи шпигунський «сплячий» доважок?
- «Парус» чи бухгалтерська програма 1С, чи антивіруси відомих фірм – приводжу певні торгові марки, не маючи на увазі будь-кого конкретно. Але якщо припустити, що їхній розробник перебуває під тиском або під безпосереднім керуванням спецслужб країни, яка вороже налаштована по відношенню до нашої, я не виключаю можливості, що в чергове оновлення, яке отримає це програмне забезпечення, буде імплантований певний шкідливий програмний код, що або зможе вивести з ладу мережі українських користувачів, або буде містити ознаки «трояна» (шкідливе програмне забезпечення - ред .), який просто в якийсь інший час завантажить ззовні інший шкідливий програмний код, який буде збирати дані, конфіденційні дані про мережу і т.д. Тобто, тут сценаріїв може бути безліч. І я б виключив навіть теоретичну можливість отримання якихось оновлень, які не проходять відповідну перевірку на їх безпечність, що може якимось чином ушкодити критичну інформаційну інфраструктуру держави.
- То тоді Президент правильно зробив своїм указом про заборону?
- Указ на обмеження – трикомпонентий. В указі міститься перше – заборона використання певних онлайн-сервісів, зокрема соціальних мереж, пошукових систем, сервісів, що базуються на цих пошукових системах. Друге – в указі міститься заборона використання конкретних продуктів і укладання будь-яких взаємовідносин з їхніми виробниками. А використання конкретних продуктів витікає із санкцій на обмеження діяльності певних юридичних осіб – як українських, так і не українських. Тобто третє – заборона на безпосередньо юридичні особи.
Не заперечиш випадки, коли військовий просто щось постив ВКонтакті, а через 10 хвилин туди прилітав «град» чи щось подібне
Щодо кожної з цих складових можна сформувати якесь поле для обговорення. Мені ситуація видається не такою простою, якою хотіли б її бачити ті люди, котрі звикли ділити світ на чорне і біле. Заборонені соціальні мережі непідконтрольні українській владі, та інформація, яка накопичується в цих мережах користувачами з України, автоматично стає доступною спецслужбам. Використовують останні ці дані чи ні (скоріше – перше), але така можливість є. Можливість збирання даних чутливих – про геолокацію, про вподобання конкретних користувачів, по якихось переміщеннях, аж до переміщення військових частин, що особливо було серйозним і критичним в 2014 році. Коли людина щось постила ВКонтакті, а через 10 хвилин туди прилітав «град» чи щось таке – це було, цього не можна заперечувати.
З іншого боку, їхні соцмережі – це канал пересування фальшованої інформації, відвертої пропаганди, брехні, фальсифікації і т.д. Що стосується права людини на отримання інформації, свободу, це питання так само є дискусійним. Ознаки обмеження певної свободи Інтернет-користувачів в українському сегменті, вони безумовно є. І тут, знаєте, такі шальки терезів. Що для нашої країни є важливим на поточний момент? Але давайте проаналізуємо, що з цього приводу зауважили наші західні партнери, які достатньо серйозно ставляться до питань свободи слова, прав людини і т.д. Якщо ми послухаємо коментар НАТО з цього приводу.
Будь-який крок, спрямований на очищення нашого інформаційного простору від ворожої пропаганди, розцінюю як позитивний
- НАТО практично ухвалило заборону.
- Вони прокоментували це таким чином, що це має відношення до безпеки держави. Те, що має відношення до безпеки української держави – це внутрішні справи української держави. Решта організацій надали коментарі достатньо стримані. Ніхто в світі не підняв якусь величезну інформаційну хвилю з цього приводу. Більше того, як ми можемо спостерігати, ця хвиля потроху згасає і в Україні. Бо, з одного боку, ті користувачі, які мають відповідну технічну підготовку, навчилися оминати цю заборону.
Будь-який крок, що спрямований на очищення нашого інформаційного простору від ворожої пропаганди, я розцінюю як позитивний. Що стосується обмеження, я погоджусь з думкою окремих своїх колег, що перш за все потрібно проводити роз'яснювальну роботу, інформаційну кампанію, спрямовану на те, щоб люди користувалися іншими сервісами.
- Вам достовірною здається та цифра, що тільки 300 тисяч людей з 10-ти мільйонів українських користувачів встановили собі обхід блокування?
Навіть якщо у 10 разів ми зменшили аудиторію росмереж, то з точки зору безпеки українського інтернетпростору – це суттєве досягнення
- Я думаю, що ця цифра є достовірною, але так само очевидно – вона не є остаточною. Вона не є остаточною, а люди, можливо, взяли певну перерву, взяли час для того, щоб пересвідчитися в тому, що або вони можуть прожити без цих соціальних мереж, або вони можуть безпечно використовувати ті засоби, які дозволяють обійти заборону, це ми так само повинні розуміти. Можливо, ця цифра в якійсь довгостроковій перспективі досягне там мільйона, приміром. Ну, а якщо в 10 разів ми зменшили цю аудиторію, то з точки зору безпеки українського інтернетпростору – це суттєве досягнення. Яким іншим чином можна протидіяти? На жаль, на мій особистий погляд, як кажуть, не фаховий, а скоріш громадський, наше суспільство не є сприйнятливим до роз'яснень. От роз'яснювальна робота – це кропітка і тривала праця. Якщо ми хочемо якихось ефективних заходів, от так зробили – і все.
- Експерти та аналітичні профільні видання давно писали, що всі додатки Яндексу призначені або для шпигунства, або для експансії, що теж в свою чергу може служити для створення Росією керованих хаосів. Відеопробки, Яндекс-таксі, платіжна система, навігатор, пошуковик. Стверджують також, що Яндекс збирає дані на військовослужбовців, співробітників розвідки (не знаю, чого останні ним користуються) – ніби треба подібні «сервіси» прибирати з нашого Інтернету. А з іншого боку, коли до офісів українських «дочок» Яндексу прийшли правоохоронці зі звинуваченням у держзраді, то почалася критика про утиски бізнесу. Українські співробітники Яндексу могли не побачити межу між виконанням контракту та державною зрадою?
- Знов-таки, ми можемо говорити про наявність теоретичної можливості. Я розумію, що людям, які звикли користуватися сервісами геолокації, або відслідковуванням стану дорожнього руху, або мали електронну пошту десь там у цих мережах, це створило певні незручності. Але хіба це можна порівняти з тими незручностями, які створюються щоденно людям на тимчасово окупованих територіях. Або людям, що зазнають щоденних бомбардувань на лінії розмежування, або нашим бійцям, які захищають наш спокій. Я б ці речі все-таки не порівнював. Якщо розглядати виключно юридичний, або правозахисний, або інший аспекти – тут є поле для дискусій. Що стосується обшуків в українських офісах Яндексу: відкрите кримінальне провадження, судячи з усього, є інформація від Служби безпеки України про те, що під час обшуку були знайдені якісь цікаві матеріали, не можу коментувати, знов-таки, ми маємо це все приймати на віру. Чи були інші механізми у наших правоохоронних органів отримати інформацію, яка, ймовірно, була отримана під час обшуків, ми, знов-таки, можемо тільки припускати.
- Програмісти, які потрапляють у великі компанії, – зазвичай розумні люди. Людей, які працюють в «Яндексі», напевно ж серйозно добирали: вони що, не розуміли, що, якщо вони щось передають, – це може бути державна зрада, а не просто виконання контракту перед московським офісом?
- Важко доводити наявність факту державної зради в діяльності програмістів, офісних працівників, менеджерів зі збуту, якихось проектних менеджерів, які працювали в українському представництві. Передача якоїсь інформації – це функціонал цих сервісів, програмного забезпечення. Якщо центральні сервери розташовані на території виключної юрисдикції Російської Федерації, або навіть десь у комерційних центрах обробки даних за її межами, але під керуванням, з безпосереднім доступом фахівців з Російської Федерації, тим паче спецслужб, тут, очевидно, йдеться навіть не про можливість передачі, або чиїсь навмисні дії, це просто сутність цих сервісів. Так само виникає питання: чому «Яндекс» викликає занепокоєння, приміром, а «Google» не викликає. Знов-таки, треба розрізнювати, де є ризики для територіальної цілісності, суверенітету держави, в якій ми маємо щастя проживати.
- Чи ви переглядали новини про злиту в медіа доповідь АНБ? Це вже друга серйозна атака на США в кібервійні. Вони ламали сервери Демпартії. Це було успіхом. Чи можна вважати успішним те, що вони відправили понад 100 фішингових листів членам американських виборчкомів, а також на постачальника програмного забезпечення, що використовувався на президентських виборах в листопаді 2016 року?
- Наскільки я зрозумів із доповіді, чи була успішною ця операція, чи ні, не встановлено. Тобто, є свідчення про те, що були розіслані ці фішингові листи, що був отриманий доступ до інформаційних систем розробника програмного забезпечення, яке обслуговувало виборчі дільниці США. Я не дивуюся цій інформації, оскільки навряд чи, в мене з самого початку було таке відчуття, що навряд чи все обмежиться лише зламом сайту Демократичної партії й доступу до поштових скриньок Гілларі Клінтон і т.ін.
- Як на мене, злив у медіа доповіді АНБ напевно був узгоджений розвідспільнотою США, яка воює проти Трампа. Тоді чому арештували дівчину, яка це зробила?
- Важко сказати. Ми не маємо цієї інформації. У мене є дві версії. Перша версія, що дівчину арештували для протоколу, як то кажуть. Тобто, для того, щоб вірогідно навмисний злив цієї інформації не був настільки очевидним. Або справді – це був неконтрольований злив. Важко в це повірити. Але все можливо. Можливо інформація була оприлюднена не в тому обсязі, в якому планувалася. Це політичні напівшпигунські ігри, й будемо спостерігати за тим, як буде розвиватися ситуація.
- Панамські папери, швидше за все, розслідувальні організації отримали через хакерські атаки. На чию користь був цей злам? Хто, по-вашому, був замовником?
- У мене суб'єктивна думка, а я, принаймні, звик оперувати фактами. На жаль, не маю достовірної інформації, тому можу тільки припускати, що так зване «журналістське розслідування» було імітованим для легалізації витоку цих матеріалів. Чи була це робота хакерів, чи це все-таки результат якихось скоординованих дій – важко казати. Але я далекий від думки, що всі ці речі – вони виникають самі по собі, спонтанно.
- Читаючи про те, що в РФ є якась «фабрика хакерів» (навчальний центр Евріка, де працював цей Рошка), всілякі APT28, Fancy bear, а також про те, що там створюються кібер-підрозділи, складається враження такої абсолютної системності РФ в кібервійні й відчуття, що плентаємося вслід за подіями. Ви поділяєте це враження?
- Всі створюють підрозділи з протидії кіберзагрозам. У Росії є величезні фінансові ресурси, які дозволяють по всьому світу залучати хакерські угруповання для здійснення спецоперацій. Може складатися таке враження, що там майстерність або масштаб, або географія цих атак, вона є якоюсь там захмарною. Це залежить виключно від ресурсів, які витрачаються на здійснення такої діяльності. З точки зору кваліфікації конкретних фахівців, я б їх не ставив на рівень вище, ніж інших. Власне кажучи, діяльність навіть українських активістів українського Кібер Альянсу і т.д. свідчить про те, що кваліфікація наших фахівців не є гіршою. Зрештою, якщо розібрати по поличках всі операції, які здійснювалися по відношенню до об'єктів української критичної інфраструктури, сказати, що вони були гіперефективні, не можна. Бо у всіх випадках воно натрапляло на протидію.
- Наші хактивісти зробили блискучі злами Суркова, Проханова. Це весело та повчально, але це лірика. А ми могли б зламати мережі Газпрому, Роснєфті?
Хотілося б вірити, що до повноцінного застосування кібероперацій у рамках ведення бойових дій не дійде
- Для України наступальні кібероперації (або звичайнісінький державний кібертероризм, який ми можемо спостерігати по відношенню до нашої держави, по відношенню до інших держав, до фундаментальних якихось механізмів демократії) не є, на мій погляд, метою. Не є для України звичайною поведінкою. Ми не підтримуємо, не пропагуємо і не спонсоруємо тероризм і так само не підтримуємо і не фінансуємо кібертероризм. Але якщо б керівництвом країни було поставлене таке завдання, якщо у цьому виникне стратегічна або тактична потреба, якщо будуть зрозумілі кінцеві результати такої діяльності, то за умови всіх перелічених факторів та наявності відповідних людських, фінансових, організаційних ресурсів можливі операції будь-якого масштабу. Те, що кіберпростір став зоною ведення бойових дій, як це розцінює НАТО – один із кроків до того. Але мені хотілося б вірити, що до повноцінного застосування кібероперацій в рамках ведення бойових дій не дійде.
Лана Самохвалова , Київ
Фото: Олена Худякова, Укрінформ