Кібервійна-2017: Чого злякалися власники «Петі»?
Скільки осіб треба для кібероборони і скільки для наступу
Я приходжу сюди другий рік поспіль, і йду звідси зі стриманим оптимізмом: хоч який, але інкубатор або кадровий резерв для української кіберармії вже є. І в цьому чи то інкубаторі, чи то школі для кіберспецназу підбивають перші підсумки вже майже завершеного року (не радіємо, попереду Новий рік і свята - вони так сказали), обговорюються кіберзагрози майбутнього. Пропонуються рецепти, як захиститися, ну і дивляться, а кого там ламали в світі або ще зламають.
На конференції з кібербезпеки Української групи інформаційної безпеки (проходить щорічно в столичному Президент-готелі) збираються дуже різні люди. Ті, кого під мікроскопом вивчає у Москві 18-е «комп'ютерне» управління ФСБ, ті, хто добре відомий і в несвітлій зоні Інтернету, IT-офіцери, співробітники правоохоронних структур. Ще бачила дівчат з підручниками комп'ютерної криміналістики під пахвою (якісь майбутні кібер-кларісси стар).
Ще такий епізод: коли під час жартівливої презентації про наші кіберзакони і підзаконні акти один зі спікерів як ілюстрацію став виводити на екран фотографії відомих у світі хакерів, то при вигляді найбільш розшукуваного з них, Євгена Богачова, хтось за спиною іронічно хмикнув: «Женька». (Мені великих зусиль коштувало не озирнутися і подивитися, кому цей бандит просто “Женька»).
У віртуальному світі все перемішано і там багато рівності. В Україні вільні кіберхудожники з Кіберальянса можуть потестувати державні урядові сайти на предмет їх вразливості до зламу, потім задоволено вивалити це у Фейсбук, уїдливо запитавши свої жертви з урядового сектора, а чого це ви такі відкриті і вразливі. І отримати у відповідь: ні, не загрози (типу, не чіпай мої мережі, а то сядеш), а вибачення - винні, мовляв, все виправимо. Вже виправили - дякуємо, що не минайте нас своєю увагою. Наша сфера кібербезпеки в обличчях це дивний і дуже різний реально-віртуальний світ, який, за всієї гнучкості тамтешніх правил, дуже хоче, щоб в країні стало безпечніше і щоб тут не шастав російський кібер-чобіт.
Про що йшлося на конференції?
ЩО БУЛО: ВСІМ БОЛЯЧЕ ПІСЛЯ ПЕТІ
Хоч це і не прозвучало прямо, але головною подією 2017-го року на конференції була визнана атака на М. Е. Док (а на сленгу – просто Медок) 27 червня. «Всім боляче після «Петі» (малося на увазі «Непеті». - Авт.)», - філософськи зауважив один із спікерів, відомий фахівець з кібербезпеки, Микола Коваль.
Власне, історії атаки та її переосмисленню була присвячена ціла панель. Один з головних виступаючих Девід Мейнор, який був учасником міжнародної команди «ліквідаторів» наслідків, розповів про те, як шукали причини і ліки, буквально що, з тієї першої ночі. Саме вночі йому зателефонував український представник Cisco Володимир Ілібман і попросив про допомогу.
І хоча всі присутні бачили міжнародний звіт розслідувань команди Cisco-Talos (Talos - це невідкладна допомога для серйозних світових кіберзагроз, підрозділ компанії Cisci- однієї з найбільших у світі корпорацій з кібербезпеки) щодо Медка, і знали, як саме «Непетя» валив українські мережі, деякі з них самі ліквідували наслідки, але емоційну і якусь драматичну розповідь Девіда слухали уважно:
- Ми дивувалися тому, як все йшло швидко. Пісочниця, кошти телеметрії — ніяких сигналів. Тут стали говорити про фішинговий лист, але ми не знайшли нічого, що вказувало б на фішингову атаку. Перші добу ми нічого не знаходили. Не було слідів. Українські дослідники в Інтернеті публікували якісь версії, хеши, семпли, які тільки дезорієнтували. Швидко стало зрозуміло, що програма не спрямована на вимагання грошей з комерційних структур. За добу стало зрозуміло, що атака йшла через пакет оновлень, це підтвердила телеметрія кінцевих точок. Ми звернулися до компанії Медок, яка проявила відкритість, надала лог-файли і коди і допомагала розслідуванню.
Зал скептично пирхав, бо добре пам'ятав, що першу добу Медок вперто відкидав свою причетність і продукував спростування.
Девід Мейнор ще трохи розмірковує про довірені середовища, про те, як важливо не дати перехопити контроль над трафіком, що атаки ставатимуть ще серйознішими (і не тільки у нас - іноземні відомства теж штормить) і все складніше маскуватимуться.
Після виступу на сцену вийшла жінка — представник Медка: «Всі вже ненавидять Медок, у мене прям самої вже око сіпається. Але, створюючи автомобіль, всі ж хочуть на ньому їздити, а не зазнавати ризику. Сталося те, що сталося, я вдячна Циско-Талосу за допомогу, і хочу вам сказати, що 24 серпня планувалася атака на ще один дуже популярний і дуже затребуваний в Україні програмний продукт, такий же популярний, як наш. І завдяки зусиллям, в тому числі американської команди, цього не сталося».
- Створюючи автомобіль, і розраховуючи на ньому їздити, люди серйозно вкладають в його безпеку, - відповів їй хтось із залу, викликавши схвалення аудиторії.
У перерві на каву фахівці з інформбезпеки обговорювали, яка ж атака планувалася на 24 серпня, через що саме. Хтось вважав, що це бухгалтерська програма 1С (жарт повторений двічі — вдвічі смішніший), інші вважали, що це програмний продукт Ліги (ну з огляду, що вони загасили сервери). Треті вважали, що нічого б не сталося, і влада просто перестрахувалася, щоб ніхто не втрачав пильності.
МЕДОК, ЄВРОБАЧЕННЯ І НЕ ТІЛЬКИ
І хоча вдалою (на наш погляд) російської атакою на Україну можна вважати тільки одну, але вона була зовсім не єдиною.
Про ландшафт загроз поточного року розповідав на паралельній секції Микола Коваль.
- У лютому в 2017 року були вчинені атаки на міжнародний Виставковий центр, - розповів він. – Після виявлення їх, для нас стало очевидним, що це атака напередодні Євробачення і саме на те місце, де будуть концерти. Цікаво, що коли ми відправили звіт в цю структуру, нам звідти зателефонували з претензією: а чому ви ламаєте наші мережі? Але те, що Євробачення вдалося провести без збоїв, говорить про те, що наш звіт був корисний.
За словами Миколи, цього року були атаки на аеропорт, залізницю, нафтогазові компанії, фінансові системи і підприємства оборонно-промислового комплексу. Вони не вдалися.
- Зараз рідше намагаються атакувати самі організації, а намагаються атакувати постачальників софту, щоб можна було завдати більшої шкоди. Перший такий випадок ми зафіксували в 2014-му році. За три роки були атаковані мінімум чотири постачальники, - розповідає Микола. - Дуже уважно треба ставитися до постачальників, приймайте для себе політику нульової довіри. Спостерігайте за софтом, вивчайте реєстр програм, будь-який запит на оновлення має вами серйозно моніторитися.
Микола розповідає, як у 2014-му році була проведена атака на українській об'єкт з режимом секретності, де є захищена зона і комп'ютери, які взагалі не підключені до Інтернету, а документи на нього приносили в зашифрованому вигляді на флешці. Зловмисники отримали доступ до корпоративної пошти. Нею вони поширили легітимний зашифрований файл з експлойтів, який спрацювавши, став додатковим функціоналом. І мимоволі дивуєшся з двох речей: і складної багатоходової операції росіян (ну а хто ще, скажіть на милість?), з іншого боку — здатності наших компаній розгадувати такі загадки, передбачати і відвертати наслідки.
НАРКОРОДЗИНКА ВИСТУПУ
У якості «десерту» Микола показав аналітику одного сайту для наркоманів Російської Федерації. Ім'я сайту не називалося. Сам сайт був покликаний показати IT-фахівцям, як широко можна користуватися своїми можливостями для забезпечення безпеки.
До речі, сайт пропонував 24 продукти, наркокур'єри діяли у 118 містах Росії. За два роки з сайту було відправлено 12 мільйонів доларів США з 59 тисяч гаманців на 2 тисячі. Це співробітники, у яких по одному і три онлайн-гаманця. Загалом, системно Росія споживає і збуває, країна ж велика.
«Що робити з цією інформацією далі – не зрозуміло, але, принаймні, цікаво», — пожартував спікер.
ПРОМИСЛОВІ ДИВЕРСІЇ БОЙОВОГО ЧЕРВ'ЯКА ПРИ ЗБАГАЧЕННІ УРАНУ
Центральним на конференції був виступ Кім Зеттер. Американська журналістка, яка вивчила найсерйознішу, яка вже стала хрестоматійною, атаку вірусу Stuxnet на завод зі збагачення урану в Ірані. Це була дуже компетентна розповідь про найсильнішу створену на сьогодні цифрову зброю, здатну викликати серйозні потрясіння.
- Бойовий хробак (А Stuxnet належить до такого виду шкідливого програмного забезпечення, як комп'ютерний хробак) - це такий програмний код, один хвіст якого (рання версія) здатний контролювати вентилі ядерних центрифуг. Інший хвіст (пізня версія) керувати частотою їх розкручування. Його принесли на заводи збагачення ядерного Ірану на звичайній флешці, - розповідає найпопулярніша в США журналістка, яка вивчає кібербезпеку.
Але Stuxnet небезпечний не тільки для Ірану. Цей тип вірусу створений для великих систем управління промисловими підприємствами SCADA (Supervisory Control and Data Acquisition), тобто «диспетчерське управління і збір даних». Вони беруть участь у технологічних процесах електростанцій, трубопроводів, підприємств військової сфери, цивільної інфраструктури.
«Stuxnet немовби перепрограмує програму PLC (Programmable Logic Controler — програмований логічний контролер) і починає сам віддавати команди», - пояснює Кім (така дія подібна до того, щоб поміняти комп'ютеру мозок).
Кім детально зупиняється на ланцюжках, показує, як все відбувалося і де ще може статися.
Насамкінець попереджає: таке можливе і в Україні, якщо ми будемо неуважні.
- Нам і правда, таке може загрожувати? - цікавлюся я у організатора конференції Костянтина Корсуна.
- Малварь (шкідлива програма) рівня Stuxnet коштує мільйони доларів. Усі компанії захисту, служби інформбезпеки уважно відстежують всі шкідливе програмне забезпечення, що з'являється на чорному ринку, усе моніториться, усе вноситися в базу для створення механізмів протидії. Щоб зробити щось принципово нове, треба бути ну дуже крутим фахівцем, - розмірковує Костянтин. - Stuxnet це вища ліга, і це рідкісний випадок, що такого рівня шкідливе програмне забезпечення засвітилося. Це підручник, хрестоматія того, як вірус не тільки може вплинути на реальне життя, а й створити небезпеку вибуху реактора. І його створення неможливе без держпідтримки і урядового фінансування. Вони можуть розроблятися рік-два, витратити 10 мільйонів доларів.
ЧИ ПОТРІБНА УКРАЇНІ КІБЕРАРМІЯ?
Пізніше ми продовжили обговорення з Костянтином Корсуном загроз, викликів і нашій кіберобороні.
- Костянтине, у світі щодня щось відбувається. Північна Корея зламує Південну. Китай шпигує за всіма. Росія зламує всіх, щоб показати, що вона ще ого-го імперія. Кожен спікер сказав сьогодні, що в Україні ще будуть атаки, у експертів зазвичай розвинене чуття на свій предмет дослідження. А чим займається Україна: сидить в окопі? Тримає руку на кобурі?
- Ми захищаємося. І поки кожен захищає своє. Мої зв'язки в правоохоронному середовищі, джерела в хакерському середовищі говорять, що кожен сам захищає свій об'єкт. Нам серйозно допомагає НАТО, навчаючи співробітників правоохоронних органів. Абсолютна більшість вжитих заходів — оборонного характеру. Але елементи наступальної оборони теж є. Розвивати її ми не можемо не тому, що ми такі пацифісти - закони війни однакові для всіх. Але кібернаступ самий по собі — дуже дорога штука, мати штаб, купувати захисні системи — це коштує мільйони доларів. І поки уряд об'єктивно не готовий до таких видатків.
В умовах існуючого фінансування поки що неможливо.
- У Франції кіберармія до 2019 року налічуватиме 2600 осіб та 600 експертів. В Америці кіберармія - це 9 тисяч багнетів. В Ізраїлі кібербезпеку обслуговують 360 компаній. Китай має окремий рід військ — національні кіберсили. А нам потрібна кіберармія і, якщо так, то скільки потрібно туди людей?
- Я не буду називати чисельність для масштабів країни. Нагадаю, що у нас поки немає навіть офіційного переліку об'єктів критичної інфраструктури. Є певне бачення, що це залізниця, атомні станції, системні банки. Але скільки об'єктів? Згідно з останнім законом, уряд має скласти перелік об'єктів інфраструктури і змусити їх зайнятися власною безпекою. Нехай за допомогою уряду. Але моя давня позиція: потрібен окремий центр, який би координував всю цю діяльність у масштабах країни. Абсолютно нова структура, яка централізовано взяла б на себе відповідальність за все, що стосується кібербезпеки.
- Щось на зразок єдиного командування?
- Так. Є безліч речей, які повинні бути скоординовані в національному масштабі. Цей центр займається побудовою захисту тієї самої критичної інфраструктури (нехай це буде навіть просто перекладом давно існуючих у світі стандартів). Дає методологічні рекомендації «в одному вікні» щодо захисту, докладні інструкції – кому, в яких випадках і куди бігти та звертатися, коли «запалало»; формує порядок обміну інформацією про кіберінциденти (хто, про що і кому зобов'язаний повідомляти, як і ким ця інформація повинна захищатися, в яких випадках до неї матимуть доступ слідчі й правоохоронці, і багато іншого). Це і координація навчання, й законодавчі ініціативи, і адаптація законодавства. У нас велика країна. Спочатку вистачить 100 осіб для такої оборони, начальник, заступник начальника, реверс-інженери, команда реагування на інциденти — це оборона. Потім можна додати невеликий підрозділ наступального характеру.
- Ми додали останнім часом у кібербезпеці?
- Ми вже серйозно вчимося, тут присутні, хоч і непублічно, представники всіх ключових структур, що працюють у кібербезпеці: у розвідці, СБУ, Генштабі, кіберполіції. Учасникам бойових дій ми даруємо квитки. Але що вони думають, як сприймають отримані знання — не знаю, специфіка нашої галузі: така, що ми всі вважаємо себе найрозумнішими. Але після «Петі» наш світ став безпечнішим, генеральні директори, чиновники здригнулися. Це все серйозно мобілізувало нас.
Росіяни можуть натиснути кнопку, активуючи свої можливості. Я переконаний, що у росіян є заготовки кшталт «Петі», що вони давно сидять на наших ключових системах і їм треба тільки дати команду. Нещодавно один з моїх колег обговорював: чому вони цього не роблять. Вони продемонстрували свою силу, але потім злякалися кіпіша в Америці, усвідомлюючи свої репутаційні ризики вирішили призупинити через побоювання нових санкцій.
- Кіберальянс останнім часом публікує дані про вразливість тих чи інших структур, Водоканалу, Cert-ua.
- Ну вони побачили дірку в державній інформаційній системі і опублікували. Вони нічого не шукають серйозно, вони, образно кажучи, проходячи повз, помітивши те, що валяється під ногами, пишуть про це. Це не дуже етично з погляду кібербезпеки, але це дуже ефективно. Тому що протягом доби держструктури реагують і закривають проблему. Але проблеми залишаються. Скоординовані і системні кроки для кіберзахисту поки не зроблені, крім закону, який поки що лише створює передумови.
ПІСЛЯМОВА
На останній сесії проходило щось на зразок кібер-капусника, виступ називався: «Уряд, бухло і кібервійна». Серйозні, загалом, люди дозволяли собі на повну жартувати над усім: над російською пропагандою («пишуть, що в СБУ працюють 40 хакерів НАТО, а там працюю я і два моїх маленькі раби, ги-ги»), потім вони сміялися над самою СБУ (називаючи її «Службою безмежних усмішок», вкотре пирхаючи на адресу указу про блокування російських сайтів — це їхня давня біль, але вже (нівроку) загоюється), кепкували з кіберполіції (вони чудово борються з порнографією і шахрайством, але навіщо їм у назві слово «кібер»), сміялися над службою Держспецзв'язку (виявляючи на сайті професійні помилки, виводили на слайд і гірко запитували зал: і ці люди забезпечують нам кіберзахист?!) і над собою теж сміялися: «Нє, ви шо: я не офіцер, люди можуть носити або погони, або голову. Ой, я не наговорив собі випадково на статтю?» Люди, котрі сховали під костюм погони, милостиво посміхалися.
Неконвенційна війна вибачає неконвенційних солдатів і допускає неконвенційний гумор. Інакше нам не перемогти.
Лана Самохвалова, Київ
Фото: Сергія Рекуна