Генеральный директор и один из основателей российской антивирусной компании "Доктор Веб" Борис Шаров в интервью корреспонденту РИА Новости Ксении Наке рассказал о новых тенденциях в сфере киберпреступности, о том, чего сейчас следует опасаться интернет-пользователям и почему компанию никогда не интересовал американский рынок.
— Ваши конкуренты из "Лаборатории Касперского" столкнулись с запретом их продуктов в ряде стран. Не мешает ли вашей работе на зарубежных рынках тот факт, что вы российская компания? Были ли вопросы от властей других стран или зарубежных клиентов? Не упали ли у вас продажи?
— Мы имеем в этом смысле любопытную ситуацию. Мы попали под санкции на Украине. Нас обвинили в посягательстве на территориальную целостность. Причем буквально в это же время украинское государство выдало нам заключение о соответствии наших продуктов всем требованиям украинских властей для работы в госорганах. Это всех позабавило, но наша команда, которая работала в Киеве с 2005 года, попала в сложную ситуацию. У нас было очень много государственных клиентов, которые использовали наши продукты, и вдруг им это запретили. Кто-то, вводя санкции, хотел наступить на ногу нам, но вместо этого выстрелили в ногу себе: у нас продажи после этого только выросли. Сложные условия заставили нас переориентироваться на новые сегменты рынка. Причем продажи выросли. Получается, что долгое время мы были зачарованы государственным сектором и не смотрели на другие сегменты, а вот эта "помощь" открыла нам неожиданные стороны.
Два года подряд мы под санкциями на Украине, и уверены, что, конечно, их будут продлевать. За пределами Украины мы с проблемами не сталкиваемся. Что касается событий, связанных с Соединенными Штатами и другими странами, мы ничего этого на себе не испытали, поскольку на рынок США мы принципиально не шли. О падении продаж в мире говорить нельзя. Наоборот, зарубежные продажи в последние годы выросли, в том числе и в связи с очень большой волной троянцев-вымогателей. Мы активно помогали пользователям в ряде европейских стран, в Японии, в Китае.
— Такой рост продаж не связан с ситуацией, которая сложилась вокруг "Лаборатории Касперского"?
— Нет, нет. Оттока к нам мы не наблюдали. Те страны, которые особенно на них ополчились, это не наши страны, мы там не работаем.
— А почему вы с самого начала не были заинтересованы в продвижении на американском рынке?
— Потому что теоретически на этом рынке можно зарабатывать большие деньги, но предварительно вложив еще большие. И с риском быть непонятными, выгнанными, объявленными врагами и так далее. Поэтому мы особо и не стремились в эту страну. Цена входа большая, а отдача непонятная. Работая на российском рынке, мы увидели, что эти же деньги, вложенные в Россию, дают больше отдачи. Причем сейчас, а не завтра или послезавтра, и с риском быть непонятными, выгнанными, объявленными врагами и так далее. Поэтому мы особо и не стремились в эту страну. Цена входа большая, а отдача непонятная.
— В прошлом году было несколько крупных кибератак глобального характера. Как вы считаете, с чем это связано? И не говорит ли это о том, что антивирусные компании проигрывают киберпреступникам?
— Это говорит об очень многом. Две или три волны, связанные с вымогателями, были принципиально разные по сути. В первом случае WannaCry, который поразил очень много стран, был действительно вымогателем, правда, с очень плохо организованной инфраструктурой сбора денег. Он использовал объявленную за три месяца до этого уязвимость в компьютерных системах под управлением Microsoft. Его распространение связано с безалаберностью пользователей. Подчеркну — как всегда, с безалаберностью пользователей. Человечеству был дан шанс задуматься о цене безопасности и о том, как дорого обходятся пренебрежение ею.
© AFP 2018 / Yonhap. Сотрудники корейского агентства по интернет-безопасности в Сеуле наблюдает за распространением вируса WannaCry
Второй вирус — NotPetya. Он был деструктором, замаскированным под вымогателя, он просто уничтожал данные и сами компьютеры. Они становились непригодными для использования. Там был совершенно другой контекст, поражена была Украина. Это поставило вопрос о безопасности определенных видов софта, который используется на национальном уровне. Это бухгалтерские программы, программы документооборота. По сути, это продукты национального масштаба. Это можно назвать и уязвимостями национального масштаба.
Необходимо пристальное внимание к ним и регуляторов, и правоохранительных органов. Было показано, что нельзя пренебрегать безопасностью таких вещей, как софт документооборота, через который в данном случае шло распространение вируса NotPetya. Он должен рассматриваться на уровне средств безопасности. Средства безопасности пристально изучают и сертифицируют, а продукты, которые используются чуть ли не 90% всего рынка в стране, иногда не сертифицируются, и процессы их производства остаются загадкой для государства, но не для тех, кто хочет этим воспользоваться.
— В последнее время Россию обвиняют в разработке и применении вирусов. Так было было с вирусом NotPetya. Есть ли основания для таких обвинений и чем можно объяснить такую кампанию?
— Основанием для подобных обвинений могла бы быть только информация, полученная от самих разработчиков этого вируса. Но подобной информации нет. Обвинение в кибератаках стало самым популярным в настоящее время в отношениях между странами. Ровно потому, что доказать ничего невозможно. Достаточно просто приучить общественное мнение, что эта страна — источник зла в области киберпространства.
Приучаются люди довольно быстро. В том числе и потому, что в кибепространстве вообще мало кто чего понимает, поэтому страх, неуверенность присутствуют всегда, и достаточно показать пальцем и сказать: "А еще они к тому же все хакеры". Но это всегда нас, как специалистов, веселит, потому что либо ты имеешь своего человека в группе, которая это делала, но тогда почему ты не пресек деятельность этой группы? Либо ты просто придумываешь виновного. Мы знаем, что определение конкретных участников киберпреступления может занимать и месяцы, и годы. Откуда берутся сообщения в этот же или на следующий день? Главное в них — сразу подчеркнуть связь или с ГРУ, или с российским правительством. Естественно, те, кто хоть чуть-чуть разбираются в вопросе, понимают, что это ерунда.
© РИА Новости. Информационные сообщения вируса-вымогателя Petya на экране монитора
— Вы имеете в виду, что по следам, оставленным в вирусной программе, довести цепочку до определения страны или персоналий — это процесс, который занимает месяцы и годы?
— Следы программные — это вообще отдельный разговор. Любителей рыться в следах программы очень много. И они всегда находят то северокорейские следы, то еще какие-то. По запаху, видимо (смеется). Исследуется инфраструктура, которая была использована для атаки, но определение круга серверов, интернет-точек — это очень кропотливая работа. Она невозможна без участия стран, где эти серверы находятся. И получается, что как только какой-то из серверов оказывается в России, а он там оказывается по разным причинам: у нас свободно можно получить на хостинге любой сервер, то есть как только для запроса необходимо контактировать с российскими властями, на этом все расследование заканчивается, а вместо него делается ввод о русских хакерах.
— Какие сейчас существуют угрозы, тенденции? Чего стоит опасаться пользователям?
— Пользователям надо всегда опасаться самих себя. А еще неграмотных системных администраторов. Это главные угрозы. WannaCry очень четко это показал. Что касается тех угроз и тенденций, которые сейчас существуют, то сходят на нет вымогатели, их заменяют более эффективные инструменты — майнеры криптовалют. Они приносят больший доход с меньшими потерями. Все прежние угрозы тоже остаются, но майнеры криптовалют — это то новое, что появилось сейчас. По банковским троянцам наблюдается относительное уменьшение, хотя сейчас работают несколько мощных бот-сетей по разным странам. Но их становится меньше, потому что банки обеспечивают свою безопасность все лучше и лучше. Вирусы-вымогатели стали невыгодным бизнесом, потому что инфраструктуру быстро обнаруживают правоохранительные органы. Все больше людей пользуются бэкапами, сохраняют свои данные и отказываются платить. С точки зрения киберпреступника, сил надо потратить много, а прибыли мало и она кратковременна.
— Как преступники используют майнинг криптовалют?
— Иногда можно месяцами майнить, спокойно, тихо, без всяких неудобств, никому не мешая, никого не трогая. А люди живут, думают, что они надежно защищены своими антивирусами, при этом их мощности днем и ночью работают на прибыль злоумышленников. Биткоин-кошельки или другие кошельки не привлекают внимания правоохранителей. Они следят за теми кошельками, которые используются вымогателями. Эти цепочки уже можно начать отслеживать и бороться с ними. А здесь непонятно, какой кошелек непонятно откуда пополняется все время. Никто никому ущерба не наносит.
© РИА Новости / Максим Блинов. Мобильное приложение для работы с криптовалютой биткоин
— То есть никто ничего не теряет, а кто-то просто приобретает?
— Да. Электричество при этом теряется, то есть люди оплачивают счета за электричество, потому что это очень энергоемкий процесс, он заставляет крутиться процессор, очень сильно работать, потребляет при этом много энергии. Но поскольку это все распределено и затрагивает много машин, то со всех машин приходит по тысячным долям этого биткоина и других валют. Потихонечку складывается в неплохие деньги.
— То есть этот процесс происходит без ведома человека, которому принадлежит компьютер?
— Абсолютно. Без его согласия, без ведома, пиратским образом используют его компьютер.
— И выявить это и остановить невозможно?
— Антивирус может это выявить. Мы уже имеем успешные примеры, когда накрывали очень большие преступные сети, работавшие под прикрытием легальных софтов.
— Насколько сейчас в мире и в России распространены вирусные программы в этой области? Каков их масштаб и как можно себя обезопасить?
— Их число растет, и масштаб увеличивается постоянно. Вплоть до того, что заражают сайты, и человек, заходящий на сайт, за то время, что он находится на нем, становится объектом. Скрипты, которые встроены в сайт, начинают майнить, майнить, майнить. Там получается очень мало, но из очень малого, но в больших количествах складывается очень многое.
Как защищаться? Так как это вредоносные программы, они детектируются антивирусами, то есть нужно использовать современный постоянно обновляющийся антивирус. Кроме того, необходимо быть бдительными, понимать, что заражение происходит не из воздуха, а оно приходит с почтой, через уязвимости. Здесь все рекомендации традиционные.
— Сейчас очень много говорят о технологии блокчейн. Действительно ли за блокчейн будущее, на ваш взгляд?
— Блокчейн становится популярным. Очень многие страны, в частности Япония, на уровне банков, финансовых организаций и страховых компаний начинают проводить опытные исследования по использованию технологии блокчейн для документооборота. Расчеты по-прежнему идут в SWIFT, но сейчас пытаются понять, насколько можно было бы заменить SWIFT блокчейном. Это потребует подключения к этой системе одновременно всех участников процесса. Японцы очень осмотрительно себя ведут, помещая все во внутреннюю сеть. Доступ извне к сетям, где используется блокчейн, закрыт, потому что сама по себе технология уязвима: на всех компьютерах, где используется блокчейн и где предполагается хранить все документы, ключи шифрования лежат, по сути дела, в онлайне, и провести против них атаку теоретически возможно. Они не выведены за пределы, и это и есть уязвимость. Наша задача заключается в том, чтобы защищать каждый отдельный узел, а превращать антивирус в цепочку — смысла мы не видим. Мы и так в каком-то смысле цепочка, правда, мы имеем связь с одним сервером. Блокчейн предполагает распределенность. Он не зависит от одного сервера, а проводит операции одновременно по всей цепочке. Пока наши разработчики нейтрально на это смотрят. Может быть, потом те или иные элементы начнут применяться в антивирусах. Мы прикидывали, смотрели, но пока не нашли этому применения.
— Как вы относитесь к криптовалютам? Что вы думаете о возможности создания национальной криптовалюты?
— Тезис о российском крипторубле прозвучал уже из уст президента страны, соответственно, мы понимаем, что за этим должно следовать. В принципе, действия выглядят логично. На фоне обилия глобальных криптовалют иметь свою криптовалюту государству интересно хотя бы потому, что это становится контролируемым шлюзом перехода денег из криптовалюты в обычную валюту. То есть на этом шлюзе будет теряться самое главное "достоинство" криптовалюты — ее анонимность. В этом смысле национальная криптовалюта должна существовать.
— Для того, чтобы сделать криптовалюту не анонимной, а прозрачной?
— Да. Государство не будет терпеть анонимность криптовалюты, анонимность пользования деньгами без установления их происхождения. Пока ты имеешь анонимные биткоины, никто не знает откуда ты и кто ты, но если ты хочешь превратить их в рубли и участвовать в других операциях, ты должен себя обозначить, положить их в свой кошелек крипторублей. И потом уже выводить в качестве любой валюты.
— То есть это будет заслон для киберпреступников-майнеров?
— Теоретически я вижу это так. А насколько он будет заслоном — посмотрим, когда это все начнет работать.
— Эффективно ли, на ваш взгляд, российское законодательство в отношении киберпреступности? Может быть, необходимы какие-то меры, более приближенные к современным условиям?
— Для того чтобы существующее законодательство, в том числе уголовное, в области борьбы с киберпреступностью было эффективным, необходимо повышение квалификации правоохранительных органов. Тогда неотвратимость наказания за киберпреступления будет самой действенной мерой борьбы. Сейчас киберпреступники понимают, что они максимум получат условный срок. Но вряд ли какие-то суровые тюремные сроки будут их останавливать. Думаю, что существующих законов вполне достаточно, необходимо повысить эффективность их применения. И самое главное — процесс расследования этих преступлений требует появления пострадавших. А пострадавшие очень часто находятся за рубежом. Соответственно, уголовное дело рассыпается. Необходимо развитие многосторонних связей между силами правопорядка разных стран. Но реализовать это в нынешней политической ситуации практически невозможно. Та атмосфера, которая создана США сейчас, хоронит любые надежды на взаимодействие.
— Сейчас в мире готовятся к внедрению сети 5G, развивается интернет вещей, промышленный интернет. Есть ли у вас продукты, предназначенные для этих областей? Планируете ли вы их создавать?
— Мы готовы защищать хоть 5G, хоть 6G, был бы интернет. Интернет вещей, когда люди, не задумываясь, пускают технологии связи в святая святых, к себе домой, мягко говоря, в ванную — вот это беспокоит. Сейчас многие устройства интернета вещей делаются безответственными производителями и представляют собой легкую добычу для хакеров, которые используют их для проведения DDOS-атак, например. Плохо защищенный компьютер, который в доме контролирует все "умные" камеры, лампочки и термометры, будучи зараженным, сразу же предоставляет доступ злоумышленнику ко всему этому большому хозяйству. Насколько вредоносным все это может быть — например, камеры безопасности вдруг перестанут работать или начнут смотреть в потолок.
© Fotolia / Andrey Popov. Хакер за компьютером
Сам по себе интернет вещей — это не та тема, которая автоматом порождает какую-то новую потребность в защите. Защитить мир от интернета вещей — это, наверное, тема гораздо более актуальная.
Вот только сейчас мы предоставляли данные о 50 тысячах адресов только в Японии, откуда шли DDOS-атаки, это были видеокамеры, зараженные Linux- вирусом. Это была бот-сеть "Мирай", с японским именем (по-японски "мирай" — будущее — ред.), которая атаковала все компьютеры по всему миру, устраивала грандиозные DOS-атаки.
— В России получает популярность приложение GetContact. Вы оценивали, насколько оно безопасно? Что бы вы посоветовали пользователям?
— Я бы посоветовал пользователям им не пользоваться. Но это легитимное приложение и пользователю все объясняется — делишься своими контактами для того, чтобы тебе были доступны контакты других людей. Это не вопрос безопасности, это вопрос здравого смысла. Люди же все разные. И здравым смыслом они наделены по-разному. Кто-то, не думая, что он делится всем своим, считает, что теперь он будет знать все про всех, а какой ценой — его это не интересует. Пару раз он узнает, потом ему станет неинтересно, а с его телефона все будет по-прежнему отсылаться в некую общую базу, и про него тоже будут знать все. Мы знаем, что это не вредоносный продукт, он поэтому имеет право на существование. Даже мошеннической эту схему нельзя назвать, потому что она использует механизм, когда вроде ты все сказал, чем грозит, только слово "грозит" не сказал, а человек этого не понял.
Причем ты точно знаешь, что он этого не понял. Но за это пока нет уголовного наказания. Потому что ты же не виноват, что человек не очень умный, не очень внимательный не задает вопросов ни самому себе, ни окружающим. Создатели этой программы талантливо подошли к проблеме, решили ее таким образом.
— Расскажите об обнаружении вашими специалистами вшитых в прошивку вирусов на телефонах Android.
— Обычно пользователи сообщают нам о том, что в их телефоне наш антивирус нашел вредоносное программное обеспечение. После проведенного анализа мы поняли, что оно находится в системной области, куда не может попасть никакой вирус извне, а может быть заложен только на этапе производства. В последнее время мы нашли такие вирусы, заложенные на этапе производства, в 45 моделях телефонов Android. Это несколько моделей Leagoo, Zopo Speed 7 Plus, UHANS A101, Doogee, Umi London, Tesla SP6.2, Haier T51, Cherry Mobile Flare и другие. Телефоны разных производителей, они не на слуху у нас, но очень распространены в мире.
© AFP 2018 / Josep Lago. Логотип операционной системы Android
— Какого рода это была вредоносная программа?
— Мы выявили очень длинный список серверов, куда это вредоносное ПО с телефонов отправляло данные. Оно может с этих же серверов также скачивать что-то на телефон. То программное обеспечение, которое мы нашли, могло в любой момент притащить любую вредоносную программу — банковскую, шпионскую и так далее. Все телефоны были китайского производства. Жертвами этого вируса могут стать сотни тысяч пользователей этих телефонов в мире.
— Нужны ли еще какие-то меры по поддержке российских разработчиков? Если нужны, то какие?
— IT-отрасль — это одна из тех, которые всегда существовали без поддержки. Помощь государства нужна в том, чтобы многократно усилить подготовку кадров и поставить какие-то барьеры их утечке за рубеж. Это действительно большая проблема, страдают не только российские компании, сколько в целом российская IT-сфера. Она, по сути дела, обслуживает кого угодно, кроме России.
Заглавное фото: предоставлено пресс-службой компании "Доктор Веб"