В последние годы киберугроз стало чуть ли не больше, чем угроз реальных: DDoS-атаки, фишинг и вишинг — вариантов потерять свою информацию и деньги очень много. Само собой, под угрозой находятся не только физлица, но и предприятия. Те, понимая риски, заранее ищут уязвимости через независимых специалистов, и называется это пентест, то есть тестирование на проникновение. Мы встретились с основателем проекта «БагБаунтиБай» Александром Мохначом. Александр рассказал Onliner о том, почему частные компании защищены лучше государственных, в чем истинная задача повышения информационной безопасности и как один скриншот с камеры наблюдения убедил директора предприятия улучшить цифровую защиту.
— Пентест — это что-то вроде краш-теста автомобиля?
— Можно и так сказать, да.
— Как это выглядит? С какими запросами обычно обращаются заказчики?
— Есть два вида такой деятельности. Обязательные пентесты — это технический аудит сайта. Он положен, например, в банковской сфере и для некоторых других крупных провайдеров, хостинговых компаний. Там проводится пентест по полному спектру известных уязвимостей. Существует несколько методологий, и заказчика интересует прохождение всего спектра. Даже если мы знаем, что какой-то уязвимости нет, мы все равно должны выполнить тестирование на ее наличие. Условие выполняется — ставим галочку. И так двадцать показателей. Другое направление больше интересует частные компании. Они нацелены на результат. Дается время, и оговаривается сумма, которая будет выплачена при достижении положительного результата. Если результат не достигнут, то никто ничего и не должен. Это метод «баг-баунти» в чистом виде.
— Получается, во втором случае заказчик платит, только если у тестируемого ресурса найдут уязвимости?
— Да, естественно. Сама по себе эта тема не новая. Просто в плане высоких технологий в сфере «инфобеза» Беларусь — страна догоняющая. Мы хоть и говорим про IT-страну, но по факту это скорее аутсорс в интересах зарубежных корпораций. А информационной безопасности как направления в Беларуси практически нет, как и соответствующего рынка.
— Почему? Допустим, банки, работающие с Mastercard и Visa, должны соответствовать стандартам этих платежных систем. Вот и рынок, и информационная безопасность высокого уровня. Нет?
— Это стандарт PCI DSS. Но есть один нюанс. Белорусский рынок успешно поделили между собой две российские компании: «Информзащита» и «Инфосистемы Джет». У них есть сертификаты, статус QSA-компаний, и они могут оказывать подобного рода услуги. Например, ни одна белорусская компания не может проводить пентест и аудит на соответствие нормам PCI DSS: никто не аккредитован.
Для аккредитации нужно заплатить $20 тыс. единовременно — просто за право получения статуса QSA-компании. Еще порядка $6 тыс. стоит экзамен одного человека. То есть если аудиторов два, это уже $12 тыс. Это в первый год, потом суммы становятся меньше, но все равно они существенные. Получается, что просто для входа на этот рынок нужно отдать сразу около $30 тыс.
Мы, кстати, исследовали вопрос QSA-статуса. Казалось бы, в Беларуси около двадцати банков, это много. Но половина из них — с иностранным капиталом. И те, у которых головной филиал в Москве, эмитируют карточки там же. И на соответствие стандартам PCI DSS проверяется именно головная компания. А минскому филиалу это не нужно: нет ни своей эмиссии карт, ни своего процессинга. Белорусские банки с белорусским капиталом пока что платят на российский рынок за проверки и аудиты.
— Вы находите уязвимость, сообщаете о ней заказчику. Тот смотрит, что брешь редкая, почти наверняка ею не воспользуются, и не исправляет ошибку. Такое бывает?
— Конечно. Все зависит от уровня подготовки технических специалистов самого заказчика. Я бы выделил два подхода: первый — технический момент, второй — вау-эффект. У заказчиков без серьезных технарей, как правило, срабатывает только вау-эффект. Обычно бывает так. Мы говорим: «Смотрите, на главной странице вашего сайта можем за пять минут повесить фотографию с голой женщиной. Показать?» Те соглашаются. Все, наш человек проникает в систему, меняет изображение. Показываем заказчику. И тот сразу: «Да, круто, вы в самом деле сломали сайт».
А другому говорим: «Вот, есть старая лазейка. Мы можем выкачать всю структуру сайта, всю базу данных». И заказчик такой: «Ну и что? Сайт же работает». И он не понимает, что эту базу можно клонировать, выложить в открытый доступ, как угодно использовать. На все это одна реакция: «Ну и что?»
Обычно, если человек технически слабоват, на него действует только вау-эффект. То есть копирования базы данных он не боится, но только увидит неподходящую картинку на главной странице сайта — все, в сознании щелкает, что уязвимость существует.
— За последние годы насколько лучше или хуже стала защита сервисов, сайтов по Беларуси?
— При разработке сайтов используются инструменты, которые нельзя назвать характерными только для Беларуси. Рост технологий идет так, что баги пяти-семилетней давности не встречаются даже потому, что среда разработки сайтов уже автоматически закрывает их на уровне поставщика решений. Поэтому уровень защищенности ресурсов постоянно повышается. В Беларуси ресурсы в достаточной степени защищены, особенно если мы говорим о частных компаниях. Они, как правило, более озабочены информационной безопасностью.
— Почему?
— Во-первых, у частных компаний более хозяйское отношение к своему ресурсу, отношение фактического собственника, а не наемного работника, и они больше переживают за деловую репутацию. Во-вторых, свободные деньги. Обеспечение информационной безопасности — процесс достаточно затратный. Он требует не то чтобы колоссальных, но определенных и регулярных денежных вливаний.
— Согласны, что сейчас слабое звено в безопасности — человек? Можно как угодно защитить систему, но если на сотрудника подействовала социальная инженерия, то все меры безопасности оказываются бесполезны.
— И да, и нет. Безусловно, человеческий фактор на 95% — та самая уязвимость, которая может быть успешно использована. Вместе с тем при наличии достаточно серьезной политики информационной безопасности и четком следовании процедурам, установленным документами, становится трудно использовать человеческий фактор.
Элементарная вещь: если работникам не предоставлять административный доступ к панелям управления информационными системами, то внести туда критические изменения будет весьма сложно. А право что-то менять в системе нужно оставить только системному администратору — как правило, они понимают возможные негативные последствия. Их не проведешь на звонке «банковского работника», спам-рассылке, переходе по непонятным ссылкам.
— Пентест включает в себя проверку на социальную инженерию?
— Из всех тестов, что мы провели, только три заказчика согласились на использование средств социальной инженерии. Думаю, остальные знают, что за сотрудниками есть грешок и не стоит даже проверять их на это. Например, из банковской сферы лишь один банк согласился на «социнженерный тест». Мы рассылали фишинговые письма, замаскированные под реальные, отправляли различные ссылки. И результат был интересный: да, люди кликали по этим ссылкам, но, как только вопрос доходил до введения своих данных, они сразу обращались в службу системного администрирования. Так что сотрудники, получается, распознавали угрозу и вовремя останавливались.
— Стопроцентная безопасность возможна?
— Если стоит задача сохранить информационные сети и доступ в интернет — нет, невозможна. Это получится, когда вы сможете изолироваться на каком-нибудь острове без внешней связи. Вот тогда информация будет в сохранности. Ни одна компания мира, занимающаяся информационной безопасностью, не дает стопроцентной гарантии. Даже со страхованием негативных последствий возможных атак не все просто.
Задача информационных «безопасников» заключается в смещении порогов доступности уязвимости. Взломать можно любую систему — даже Пентагон ломали, как и правительственные системы других стран. Вопрос в другом — кто это будет делать, а также сколько времени и ресурсов потребуется.
Сейчас ведь почти нет 15-летних одиночек-самоучек, да и скил у них весьма низкий. За успешными кибератаками стоят крупные группировки, иногда — спецслужбы. Эти люди четко понимают требуемые цели и количество средств, которые им выделили. Например, на взлом системы информационной безопасности предприятия нужно команде из 15 человек месяц работать с бюджетом в $100 тыс., и результат может быть достигнут — тогда смысл в атаке есть. А если на взлом нужно два-три месяца и успех под сомнением — естественно, от цели отказываются и пойдут ломать того, кто попроще.
Ведь кибератака — это бизнес, на ней зарабатывают деньги. И, как в любом инвестпроекте, оцениваются сроки, риски, количество денежных вложений и людского ресурса. Поэтому главное — сделать защиту такой, чтобы ее взлом был нецелесообразен.
— Вспомните какой-нибудь забавный или запомнившийся случай во время пентеста.
— С точки зрения внутреннего напряжения — мне очень не понравилось, что во время пентеста у одного заказчика мы обнаружили следы присутствия иранской группировки Phosphorus, одной из самых мощных. Что они там делали и чего пытались добиться, непонятно, но всю документацию регулярно отправляли к себе на сервер. Деятельность мы пресекли, однако она велась полтора года. Даже выбор цели любопытный, хотя это, конечно, было очень тревожно.
А из веселого — был один очень удачный пентест одного небольшого частного клиента. Мы захватили полный контроль над компьютером главного бухгалтера, показали, что можем осуществлять проводки денег, вносить полную сумятицу. Нам сказали: «Да ерунда это все». Ладно, внедрились на сервер, поставили туда своего бота: мол, смотрите, можем зашифровать сервер. Нам и тут говорят: «Ну и что? Сисадмин поднимет сервер, он за это деньги получает». А вот когда получили доступ к системе видеокамер этого предприятия и посмотрели, скажем так, на взаимоотношения директора с секретаршей, показали ему скриншот — вот тут пришло глобальное понимание проблемы кибербезопасности на предприятии.
— Это было госпредприятие?
— Нет. Но давайте здесь без других подробностей. Скажу только, что предприятие белорусское.
— По вашим словам кажется, что многие компании недооценивают угрозы кибербезопасности. Почему так?
— Даже те цифры, которые приводятся в статистике МВД, отражают реальную ситуацию процентов на пять. Большинство инцидентов, особенно на госпредприятиях, просто замалчиваются. Никто никому о них не говорит. И серверы шифруют, и документацию крадут, просто все стремятся сделать так, чтобы замять историю.
Если у предприятия информационная безопасность напрямую влияет на технологический процесс производства или чего-то еще, то оно должно уделять серьезное внимание защите. А когда на предприятии, условно говоря, два компьютера — один для бухгалтера, другой с базой клиентов и без выхода в интернет, по сути, выход из строя такой техники на функционирование предприятия и не повлияет.
И конечно, проблема денег. Synesis, IBA, EPAM, Wargaming — компании такого уровня, конечно, выделяют отдельный бюджет на информационную безопасность. А у кого нет специалистов по информационной безопасности, тем кажется, что угроза мифическая, ничего страшного не произойдет и их просто пытаются запугать кибератаками.
— Убытки за один день проблем с интернетом в Беларуси оцениваются примерно в $56,4 млн. Насколько реальна эта цифра?
— Такое очень даже возможно. Сумма легко может быть и больше, причем в разы. Что представляет собой Беларусь? Это некий прообраз IT-страны, который заключается в том, что наши талантливые ребята работают в интересах иностранных компаний — по сути, на аутсорсе. То есть участвуют в разработке очень рейтинговых и прибыльных продуктов. Соответственно, стоимость таких контрактов очень велика.
Но эти контракты устроены не так, как, наверное, некоторые привыкли: они без оговорки про «чуть что, можно договориться». Там жесткие дедлайны: к такому-то числу должна быть произведена поставка очередного модуля, то есть участка кода. Ведь у нас зачастую разрабатывается не весь продукт, а некая его часть. И получается так: одна часть продукта создается в Бельгии, вторая — в Нидерландах, третья — в Беларуси. А потом нужно все это собрать вместе — и строго к заданному числу. Если результат не представлен потенциальному инвестору или заказчику, наступают негативные последствия в отношении всей компании, которая занимается разработкой продукта. Поэтому вырывание одного модуля может привести к колоссальным издержкам.
Уверен, многие серьезные компании вроде EPAM просто не заявляли открыто о своих потерях, которые случились просто из-за того, что у сотрудников не было интернета.
Это критично для современной разработки: все заливки кода находятся на ветках, допустим, GitHub. Для успешного управления изменениями и версионностью нужен постоянный доступ к ним.
— По данным Bloomberg, к перебоям привело оборудование компании Sandvine. Насколько этично само существование подобных решений? Невозможно представить, чтобы отключение интернета вылилось в некую выгоду для общества и бизнеса.
— У каждого свой бизнес. Ядерные боеголовки ведь тоже не очень этичны, но они производятся. Политики говорят, что это в целях сдерживания каких-то угроз. Тем не менее мы понимаем: пули, гранаты, ракеты — все это — зло. Конечно, любое ограничение свободы — тоже зло. Но поскольку бизнес в данном направлении развивается, поскольку на него есть спрос, то всегда будет и предложение.
Поэтому, с моей точки зрения, это, безусловно, не совсем этично. Но с точки зрения бизнеса — нормально.
— Недавно заявили о себе «киберпартизаны». На ваш взгляд, каков их реальный уровень? К чему могут привести их атаки?
— Могу сказать так: любое действие всегда порождает противодействие. То, что мы видим в отношении белорусского общества, вызывает ответную реакцию — и у каждого она на своем уровне. Ведь Беларусь была страной партизан, верно? А поскольку сейчас у нас IT-страна, то и партизаны теперь не простые, а «кибер-». И они действуют так, как — подчеркну: именно в их представлении — правильно.
Что касается самой деятельности «киберпартизан». Пока что уязвимости, которые они эксплуатировали, для нас не являются чем-то новым. Поэтому сказать, что случилось нечто из ряда вон выходящее, нельзя. Все слабые места достаточно известны. Я бы связывал успех «киберпартизан» с недостаточной защищенностью объектов их интереса.
Много раз (и не только от нас) различные организации получали предложения улучшить информационную безопасность. Однако мы не видели должного отклика и понимания проблемы. Ну, наступил логичный час расплаты. Почему «киберпартизаны» не взломали EPAM или Synesis? Да потому что там ребята давно занимаются информационной безопасностью и понимают потенциальные проблемы. Я пока не вижу, чтобы «киберпартизаны» разнесли какую-то организацию с серьезной степенью защиты. С другой стороны, у них и нет претензий к тем же IT-компаниям.
— Давайте пофантазируем. Какими будут кибератаки и угрозы через 3—5 лет?
— Думаю, существенно изменится цифровая гигиена. Сейчас большинство кибератак базируются на человеческом факторе. Но, допустим, когда я вижу, как мой 3-летний ребенок берет смартфон, вводит правильный графический ключ, касается нужной иконки и начинает играть в Need for Speed, я понимаю, что сам в 3 года этого точно не смог бы сделать. Соответственно, когда он подрастет, то будет уже четко понимать, что такое бот-сети, анонимайзеры, криптоконтейнер, кому можно и кому нельзя пересылать свои фотографии, какие слова использовать в переписках, как выбирать пароль. Этих вопросов у будущего поколения будет на порядок меньше. А нашему поколению, которое сейчас во взрослом возрасте, нужно все время переучиваться. Подавляющее большинство людей просто не знают о возможных угрозах, потому что отсутствует цифровая гигиена.
Посмотрите, сколько сообщений от МВД о «звонках из банка» и похожих вещах. Почему это происходит? Потому что жертва вообще не знала, что здесь таится угроза и нужно быть внимательным.
Но пройдет время, и цифровая гигиена улучшится. И тогда, полагаю, атаки сместятся в техническую плоскость. То есть, чтобы обдурить человека, нужно будет владеть действительно серьезным скилом, а не просто иметь склонность к мошенничеству.
Читайте также:
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш Telegram-бот. Это анонимно и быстро
Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by