Сейчас много говорится о вирусных атаках , о том, что это кибероружие. Насколько серьезна проблема или это все твориться где-то там в виртуальном пространстве и простого человека не касается?
— Компьютерный вирус действительно способен убить человека. Например, навредить информационной системе, от которой зависит поддержание жизни больного. Или нарушить функционирование системы подготовки рецептов для определенной категории пациентов. Такой случай произошел во Франции. Люди действительно умерли в результате заражения сетей клиник вирусом Conficker (один из известных компьютерных червей). Атакующих так и не смогли допросить. Чего они хотели — сложно сказать. Понятно, что этим червем собиралась некая информация, были парализованы системы, но до авторов не добрались. Хотя мое убеждение: хакеры всегда гоняются только за одним — за деньгами. Ради славы они только в кинофильмах что-то взламывают.
— Могут ли злоумышленники начать устраивать кибернетические теракты? Через год состоится Олимпиада в Сочи – лакомый кусочек для тех, кто не согласен с политикой России.
— Навредить любому крупному событию при помощи кибератак действительно можно. Даже косвенные угрозы очень опасны. Вообразите, что в какой-то момент один из организаторов увидит, что в его аккаунте кто-то поменял пароль. А ему должны переслать важные электронные документы. Стресс! На какое-то время срывается мероприятие. Но это самый безобидный вариант вредоносной атаки. Вообще же есть угрозы и пострашнее, которые опасны для всех.
— Какие?
— Сейчас практически все сервисы становятся «облачными», то есть когда важные данные пользователя хранятся на удаленном сервере. Но заход в «облачный» сервис по определению небезопасный. Он связан с авторизацией в системе. Вы вводите логин и пароль. Если ваш компьютер заражен, то все данные авторизации уходят «налево». Таким образом услугами «облачного» сервиса могут воспользоваться злоумышленники во вред вам.
— Есть примеры?
— На днях одна известная компания предложила услугу «Анти-вор» для защиты мобильных устройств. Вроде бы, супер! У вас украли устройство, а вы через сайт активируете эту функцию на своем девайсе, и гаджет фотографирует вора встроенной камерой. Фотографию потом можно отнести в полицию, заявить: «Вот похититель смартфона или планшета, арестуйте его». Чтобы воспользоваться этой прекрасной функцией, надо зарегистрироваться на портале. Вы сделаете это, а дальше произойдет чудо. Фотографировать будут вас самих, и преступники смогут наблюдать за всеми вашими действиями через ваше собственное устройство.
— Но как?
— Если вы зарегистрируетесь на портале с зараженного компьютера. А от этого никто не застрахован. Мошенники получат ваши регистрационные данные, зайдут под вашим логином-паролем на портал и станут вас «щелкать». Вашей безопасности будет нанесен непоправимый урон, а частная — и вероятно, компрометирующая вас — информация станет доступна преступникам. И такую лазейку для мошенников открывает сама компания, которая выпускает подобный продукт!
В идеале, все выглядит привлекательно: «Сфотографируй вора, укравшего твой смартфон». Конечно, мы исключаем как фантастический вариант, что сами сотрудники этой уважаемой компании начнут нарушать частное пространство пользователей и ради забавы или другого интереса делать фотографии людей, пользующихся смартфонами и планшетами. Хотя теоретически это не исключено. Но подумайте, ваш аккаунт защищен лишь логином и паролем. Пускай очень сложными — из 36 символов. Но все эти 36 символов «уведет» вирус, и потом кто-то будет вас фотографировать втайне. Ну а когда вы ему надоедите, заблокирует ваш смартфон и «привет».
— Спецслужбы, наверно, смогут обратиться в компанию и тоже получат снимки пользователя?
— Зачем даже поднимать тему спецслужб? Они не будут ничего просить. Они уже все знают. Считайте, что это данность. Силовые структуры однозначно наверху — с «рутовыми» правами.
— Государство все больше стремится контролировать интернет. Как вы к этому относитесь?
— Любое регулирование — насильственный процесс, который несет огромную массу негатива и требует исключительно отлаженного механизма. Вариантов развития ситуации два. Первый — регулирование вообще не начнет действовать, поскольку не будет ничего отлажено и все сойдет на нет. Второй — оно будет действовать на полную катушку с кучей эксцессов и всеми вытекающими из этого последствиями. Вот появилась возрастная маркировка. Кому-то это помогло? Да никому! Большое количество ресурсов потрачено зря. С точки зрения бизнеса это очень плохо. Я не знаю, кому маркировка пошла на пользу. Неужели дети, видя надпись «16+», уходят от телевизоров?
По последним данным нашего мониторинга среди зараженных ресурсов нет ни одного порносайта. Это означает, что наша святая вера, что заразиться можно только на порносайте, должна быть пересмотрена!
— Как смотрите на то, что сенаторы предлагают приравнять хакерские атаки на сайты госорганов к захвату самих органов власти?
— Сенаторы хотят громко стукнуть кулаком по столу и сказать «Ай-ай-ай!». Но кому они это говорят? Хакеры над ними смеются. Организаторы атак зачастую сидят в другой стране. Почему сенаторы так боятся? Они бы посмотрели на «Яндекс», к примеру. Думаете, в «Яндексе» DDoS-атаки на компанию будут объявлять попытками захвата «Яндекса»? Нет, там просто сделали все, чтобы их ресурс не падал. Ответственно подошли к делу и к собственным пользователям. Пусть и сенаторы защитят свои сайты, а не ужесточают законы. Они строчат бумажки, даже не задумываясь, как правоохранительные органы станут их законы выполнять, как будут доказывать, ловить. Какой-нибудь хакерский контрольный центр стоит за границей и отдает команды. Что с ним наши сенаторы будут делать?
— Если не ходить на сомнительные сайты, то можно считать, что ваши девайсы в относительной безопасности?
— Логины и пароли выкрадываются обыкновенными троянцами. Их много. И они ждут нас на самых невинных сайтах.
— Получается, что популярные нынче смартфоны и планшеты могут быть использованы против своих владельцев?
— История с «тайным фото» даже нас настолько впечатлила, что холодок по спине прошел. Так что, если вам кажется, что смартфоны и планшеты следят за вами, — это не паранойя. Пришло время об этом говорить громко: сейчас появилось новое мерило ответственности компаний-разработчиков. Они должны учитывать, что у них — зараженные пользователи. Учитывать, что аутентификационные данные пользователей с очень большой долей вероятности попадут в чужие руки. Создавая новые сервисы, разработчик должен понимать, что они будут доступны с подконтрольных злоумышленникам устройств. Иначе компании ставят пользователей под удар. Это касается и облачных хранилищ, вроде Dropbox. Люди заливают туда и фотографии, и личные дневники, и бухгалтерские отчетности. Троянцы украдут пароли к хранилищу, и данные перестанут быть приватными.
— Звучит жутковато.
— Примите как аксиому. Раз устройство запрограммировано делать что-то при определенных обстоятельствах, значит, то же самое оно может совершить и без этих обстоятельств. Самая страшная опасность – она не где—то вдали, а уже здесь! Пользоваться вашими гаджетами будут без условий, на которые вы рассчитываете. И не вы! Это и есть кибероружие. Причем массового поражения.
Автор: Артём Михайлов, Московские новости. № 386 (386)