#AskGReAT
Утро 27 июля началось как мы предполагали: в чате коллеги готовили все необходимое для начала онлайн-дискуссии на Reddit в формате Ask Me Anything («Спроси меня о чем угодно») с Костином Райю, Винсенте Диасом, Райаном Нарейном, Брайаном Бартоломью и Хуан-Андресом Герреро-Сааде.
Мы собрали все необходимые ссылки, убедились, что все участники вышли онлайн, и запустили чат, в волнении и любопытстве: кто же придет и о чем же нас спросят? По плану дискуссия должна была длиться около полутора часов, с 9 утра по Бостону (с 4 пополудни по Москве). В результате же на последний вопрос мы ответили спустя 4,5 часа после начала дискуссии.
За все время мы насчитали 855 комментариев (вместе с нашими ответами) и осветили самые разные темы — от любимых ТВ-шоу ребят из GReAT и до того, почему так сложно найти преступников, стоящих за APT-атаками. Фанаты, тролли, журналисты и люди, собирающиеся стать частью индустрии кибербезопасности, задавали самые разные вопросы команде GReAT — и эксперты ответили на все.
У вас есть шанс спросить наших экспертов о чем угодно. Да, мы серьезно: https://t.co/7iJtR9p7Cs #AskGReAT #AMA pic.twitter.com/E3EX0lQHSY
— Kaspersky Lab (@Kaspersky_ru) July 21, 2016
Если вы спросите у экспертов, какой вопрос понравился им больше всего, они наверняка дадут вам совершенно разные ответы, и сделать выбор им будет ох как нелегко. Поэтому я расскажу вам о тех вопросах, которые пришлись по душе мне, и о том, почему же они мне так понравились.
Поиск виновного
Мы уже много раз писали, почему так сложно найти людей, стоящих за той или иной кибератакой. На AMA этот вопрос поднимали целых два раза, и мы дважды на него ответили. Надеюсь, эти объяснения многое прояснят.
Не могли бы вы объяснить нам, как непрофессионалам, как именно специалисты используют метаданные и другую информацию, чтобы определить автора таких атак, как DNC или Stuxnet? На какие подсказки компании вроде «Лаборатории Касперского» обращают внимание, когда вычисляют, кто преступник?
Отвечают Брайан и Хуан: Это хороший вопрос, и на него редко отвечают подробно — отчасти потому, что каждое такое объяснение преступники могут использовать, чтобы подделать то, по чему мы строим предположения. Практически не существует таких подсказок, которые нельзя подделать или исказить, — именно поэтому специалисты часто спорят о том, кто именно в ответе за ту или иную атаку.
Чаще всего обращают внимание на язык комментариев и переменных в коде, время компиляции зловреда, причины проведения атаки, тип цели, использованные IP-адреса, куда были отправлены данные после атаки, и на другие подобные вещи. Из всего этого составляется своеобразная матрица, которая позволяет определить потенциальных виновных. Например, в случае с DNC многие эксперты сходятся в том, что вредоносное ПО и инфраструктура, использованные во время атаки, принадлежали двум группам преступников.
Здравствуйте, специалисты «Лаборатории Касперского». Я знаю, ваша политика не позволяет вам подробно рассказывать о том, как вы определяете виновных, но ведь очевидно, что большинство атак государственного уровня организованы так называемыми основными кибердержавами (США, Великобритания, Россия, Китай, Иран и другие). Почему же мы не наблюдаем роста атак из развивающихся и слаборазвитых стран? В этом случае кибершпионаж был бы по-настоящему демократичным видом деятельности с огромным арсеналом инструментов для взлома и удаленного доступа. Спасибо!
Винсенте Диас, ведущий антивирусный эксперт
Отвечает Винсенте: Исходя из ваших предположений страны с самым большим количеством ресурсов для кибератак должны быть самыми активными. Но это не значит, что развивающиеся страны не принимают участия в таких операциях, — они просто могут прибегать к услугам сторонних команд, так как это дешевле, чем развивать собственные мощные кибервойска. Эти соображения также часто усложняют работу экспертов, пытающихся определить, кто виноват.
Также вам стоит учесть такой фактор, как «усталость СМИ», — взломов бывает много, и о некоторых киберкампаниях в газетах почти не пишут. Даже если кто-то найдет вредоносную кампанию, затеянную одной маленькой страной против ее столь же маленького соседа, вы, скорее всего, не увидите ни одной крупной публикации о ней в Интернете.
Бреши в безопасности… Может ли правительство помочь?
Каждый читатель Kaspersky Daily знает, что мы часто пишем о взломах и утечках. Вопрос «Как мне защитить себя и свое устройство?» довольно часто всплывает в соцсетях. Во время AMA его тоже задали.
Бреши в системе безопасности в ближайшее время никуда не исчезнут. Правительство США даже составило специальную схему определения степени киберугрозы. Как еще правительство может помочь решить эту проблему или ему не стоит вмешиваться в жизнь граждан?
Отвечает Хуан: Сложный вопрос. Конечно, правительство может сделать очень многое для решения этой проблемы. Более того, во многом оно должно заниматься такими вопросами. К примеру, людям не стоит увлекаться ответными взломами (хотя кто-то мог бы назвать это расширением монополии правительства на легальное использование насилия). Так как сейчас довольно сложно даже примерно определить виновных (а точно это сделать практически невозможно), я бы предпочел, чтобы обратным взломом занимались только определенные государственные службы.
Что правительство может сделать прямо сейчас? Мне приходят на ум две вещи:
1. Совместная работа частных лиц и правоохранительных организаций чрезвычайно важна, когда речь идет о борьбе с такими страшными угрозами, как, например, трояны-вымогатели. Если шифровальщик написан без ошибок, то лучший способ спасти большинство жертв — это помочь полиции изъять командный сервер. Тогда специалисты по безопасности извлекут из него необходимые данные и создадут инструменты и сервисы для дешифровки. Мы не можем конфисковать сервера — у нас нет на это полномочий, поэтому открытое сотрудничество и доверие нужны всем вовлеченным сторонам.
2. Людям нужно рассказывать об угрозах, и этот вопрос особенно остро стоит в финансовом секторе, здравоохранении и других специализированных технических отраслях. Компаниям нужна экспертная помощь, но часто они не могут сообщить об этом, так как боятся потерять репутацию или столкнуться с негативными последствиями в рамках действующего законодательства. Важно, чтобы правительство смогло сделать шаг навстречу и предоставить компаниям безопасную площадку, на которой они могли бы рассказать о тех проблемах, с которыми они столкнулись, и получить необходимую помощь.
А вы знали, что Костину нравится сериал «Mr. Robot»?
Мои коллеги из СММ-команды и североамериканского офиса часто обсуждают сериал «Мистер Робот». Это неудивительно, если вспомнить, о чем вообще идет речь в сериале. Как оказалось, лидер GReAT Костин Райю и Хуан-Андрес тоже могут многое о нем рассказать.
Если вы смотрели «Мистера Робота», скажите, какую бы оценку (от одного до десяти) вы бы ему поставили с точки зрения реалистичности изображения ИТ-безопасности и взлома?
Отвечает Костин: Твердые 9,5. Большинство сцен просто первоклассно сняты. То, как используют инструменты, операционные системы, разные мелкие детали — от социальной инженерии до мер обеспечения секретности операций, — все очень хорошо. Мне особенно понравились несколько довольно реалистичных сцен, например о несчастном разработчике, который все чинит и чинит сломавшийся банк биткойнов, и об атаке с оброненной на автостоянке флешкой.
Отвечает Хуан: Хотя я и посмотрел только первый сезон, некоторые сцены взлома в нем на удивление хороши. Мне особенно понравился эпизод, иллюстрирующий, как быстро можно сделать бэкдор в телефоне, если хорошо подготовиться (спойлер: быстрее, чем владелец телефона успеет сходить в душ).
Четыре в одном
Одна из самых активных участниц обсуждения #ASKGReAT в Twitter принимала участие и в дискуссии на Reddit. Она задала целых четыре хороших вопроса.
1) Если вашу систему взломали, использование защищенного почтового сервиса вас не спасет, так ведь?
2) Как мы можем сохранить конфиденциальность, используя Android-устройства, притом что они прикреплены к нашим Gmail-аккаунтам, а Google собирает данные?
3) Существует ли какой-то мессенджер для Android, которым вы пользуетесь и который точно не собирает данные?
4) Информационная безопасность очаровывает меня, но у меня нет профессиональных навыков. Как мы, обычные пользователи, можем помочь вам сделать Интернет безопаснее и свободнее?
Отвечает Хуан: Просто вау! :) ОК, давайте посмотрим.
1. Мне очень нравится ваш первый вопрос, так как он подтверждает: мы работаем над решением проблемы информационной безопасности с самой важной стороны. Отвечая на ваш вопрос вкратце, скажу, что да, если вас взломали, зашифрованный почтовый сервис вас не спасет. Более развернутый ответ такой: хотя защищенная почта (к примеру, с помощью PGP) не позволит посторонним прочитать ваши письма при пересылке или же в случае взлома вашего ящика либо ящика получателя, она не защитит вас от вредоносного ПО, которое появится у вас на ПК с легкой руки взломщика. Наверное, нужно уточнить: я сказал, что мы выбрали самый верный подход к инфобезопасности потому, что работа защитных решений (которые обеспечивают шифрование) предполагает, что ваша система не скомпрометирована; в то же время разработкой и поддержкой ПО, защищающего ПК пользователей, занимаемся именно мы, и это, надо сказать, нетривиальная задача.
#KSN #Report: #Mobile ransomware in 2014-2016 https://t.co/zmvSlscN0X #klreport pic.twitter.com/mxDUxrnIJe
— Securelist (@Securelist) June 29, 2016
На другие ваши вопросы отвечу вкратце, так как тут еще о многом надо поговорить.
2. Android — это сложная платформа с точки зрения безопасности. Если вас беспокоит конфиденциальность ваших данных, вам стоит остерегаться сторонних приложений и игр, запрашивающих несоразмерно большие права доступа. Лично меня они беспокоят гораздо больше, чем интеграция с Google.
3. Что касается мессенджеров, мы пробуем разные решения. Я сейчас не могу рассказать вам о шифровании или особенностях его внедрения, но многие из нас сейчас тестируют Wire. SilentText, Signal, Threema и Wickr тоже были нашими фаворитами. Я не могу точно сказать, собирают ли они данные, — вам придется спросить об этом разработчиков мессенджеров.
4. Пожалуйста, защищайте свои учетные записи!!! Используйте менеджер паролей и двухфакторную аутентификацию. Преступники могут сделать очень много плохого с помощью нескольких взломанных аккаунтов.
Pokémon Go: играть или нет?
Как вы, возможно, знаете, мы не так давно писали о самой модной игре этого месяца — Pokémon Go. Экспертов GReAT спросили, играют ли они в покемонов или другие игры. Конечно, я не мог не включить этот вопрос в список.
Есть ли у вас время, чтобы играть в Pokémon :D или другие игры? Нравятся ли вам MMO RPGs?
Отвечает Хуан: Я уверен, что некоторые участники GReAT играют в Pokemon Go, особенно скрытые фанаты Ingress. Я обычно мало играю, но мне нравятся SC2 и Destiny. Мы с Брайаном играем в Overwatch на Xbox. И я потихоньку осваиваю Zelda (A link between worlds), в основном в разных залах ожидания в аэропортах…
Отвечает Брайан: Я правда иногда играю в покемонов. Моя жена их ненавидит, и, честно говоря, я скорее кабинетный игрок, чем настоящий мастер покемонов. Например, при входе в магазин я выключаю телефон, чтобы купить продукты. Что касается других игр, то сейчас, если у меня есть время, я выбираю Overwatch. До того был Fallout 4. И да, я играю на приставке.
Отвечает Костин: Я не играю в Pokemon Go, но мне нравится EVE Online. Минматары классные :-)
Отвечает Винсентe: Я большой фанат Street Fighter IV, меня разочаровала SFV, а еще я периодически играю в SC2. Жду выхода новой Mass Effect.
Отвечает Виталий: Моя работа и есть моя любимая видеоигра. Очень реалистичный, открытый трехмерный мир с неожиданными сюжетными поворотами и сложными проблемами, которые надо решить.
Виталий Камлюк, руководитель исследовательского центра в Азиатско-Тихоокеанском регионе
Безопасность Android
Платформа Android популярна не только у пользователей (признаюсь, один из моих телефонов — Droid, и я установил на него Kaspersky Internet Security для Android), но и у мошенников. Не верите? Просто взгляните на цифры. Я был рад увидеть этот вопрос на AMA — как подтверждение того, что людей беспокоит эта проблема.
Нужно ли мне установить антивирус на мой Android-смартфон? Вирусы и вредоносное ПО на мобильных устройствах являются настоящей угрозой?
Отвечает Костин: Мне кажется, что мобильное вредоносное ПО можно сравнить с айсбергом, — возможно, мы все еще не видим многого. Хотя в последние годы количество мобильных зловредов для Android растет с удивительной скоростью, большая их часть — это рекламное ПО и локеры. Проанализировав продвинутые APT-атаки, такие как Equation, мы пришли к выводу, что многие преступники разработали собственных мобильных зловредов. И их найдут рано или поздно, так же как мы уже нашли аналогичные разработки Hacking Team. Установка защитного решения на Android-устройство не только убережет вас от известных угроз, но и не даст подхватить новые вирусы.
Как вы думаете, чего стоит ожидать в ближайшем будущем?
Насколько я понимаю, вредоносное ПО для Android в основном распространяется с помощью сторонних магазинов, и Google на самом деле неплохо справляется с защитой Play Store. Однако с легкой руки производителей миллионы Android-телефонов устарели. Как вам кажется, мы столкнемся однажды с массовым заражением просто потому, что кто-то решит проэксплуатировать Stagefright и разошлет зловредные MMS-сообщения всем на планете?
Костин Райю, руководитель Глобального центра исследований и анализа угроз
Вы упоминали APT-атаку (Equation). Она ставит под угрозу случайных пользователей Android или только, так сказать, ВИПов?
Отвечает Костин: Меня больше всего беспокоит бесконтрольное использование рекламных библиотек в «бесплатных» приложениях для Android. Например, какому-нибудь приложению-фонарику для показа рекламы нужно подключение к Интернету. Сейчас очень много приложений подключены к стандартизированным рекламным библиотекам, которые позволяют разработчикам быстро заработать деньги. Многие компании, разрабатывающие эти библиотеки, продаются снова и снова, и поэтому безобидная сейчас рекламная библиотека может однажды стать источником заражения десятков тысяч устройств. В будущем, я думаю, преступники будут покупать такие компании и заражать их троянским кодом. Это сравнительно недорогой способ скомпрометировать много целей, не дожидаясь какой-нибудь очередной, сложной уязвимости нулевого дня.
С другой стороны, массовая атака с помощью чего-то вроде Stagefright тоже возможна. Однако, насколько мы видим, самые эффективные атаки организовываются под контролем государств, и их создатели предпочитают более точечный подход.
Вот они, шесть моментов из GReAT AMA, которые мне больше всего запомнились. А что вы думаете? О чем еще мне следовало рассказать, а что убрать? Напишите об этом на наших страничках в Facebook или Twitter. И хочу передать вам огромное СПАСИБО от команды GReAT (и всех сотрудников «Лаборатории Касперского») за то, что вы помогли нам провести свою первую AMA-дискуссию.
Советы