Кибербитва за Родину

Кибербитва за Родину

Баулин Александр

Реализация указа президента РФ, предусматривающего создание системы противодействия компьютерным атакам, может кардинально поменять климат в рунете. Пока ФСБ не раскрывает, как будет выполнять указ, мы решили рассмотреть возможные варианты защиты пользователей

Рисунок: Константин Батынков

В 2012-м тема управления интернетом часто оказывалась в центре внимания — у ряда государств находились причины усилить контроль над сетью. В начале года США пытались протолкнуть у себя законопроект SOPA, позволяющий правообладателям жестко контролировать контент, потребляемый пользователями, и наказывать их, практически отменяя презумпцию невиновности. Заокеанским законодателям помешали собственная общественность и крупные местные компании (такие, как Google), активно протестовавшие против этого закона. Во время «арабской весны» Сирия отключила у себя доступ в интернет, желая предотвратить организацию повстанцев с помощью социальных сетей.

Россия, Китай и арабские государства стремятся усилить контроль над сетью внутри своих стран. Для этого они решили добиться изменения регламента Международного союза электросвязи — документа, определяющего полномочия государств по формированию правил работы интернета. В декабре им это удалось, но перемены оказались незначительными: главная роль в управлении мировой сетью по-прежнему принадлежит международной организации Internet Corporation for Assigned Names and Numbers (ICANN). Формально независимая, эта некоммерческая структура находится под влиянием США.

Однако российское правительство не отступилось от планов контроля над интернетом: на прошлой неделе был опубликован президентский указ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». В нем ФСБ предписывается создать подразделение, которое должно выполнить практически полный спектр работ по киберзащите российских ресурсов. В указе упоминаются все аспекты: от методики защищенности ресурсов до мониторинга состояния сети и разработки средств устранения последствий. В первую очередь обращается внимание на защиту ресурсов госорганов, а также на взаимодействие с операторами и компаниями, лицензированными на оказание услуг по информационной безопасности. По желанию владельцев в эту программу могут быть включены и другие информационные ресурсы.

После «Красного октября»

Насколько страшны кибератаки? Согласно отчету Symantec Cyber Crime Report — 2012, объем потерь мировой экономики от компьютерных преступлений составляет 110 млрд долларов в год. Если в стоимостном выражении доля России еще невелика, то по частоте атак мы в начале списка. А ведь не всегда хакеры портят данные и крадут деньги через интернет, они воруют государственные данные и блокируют доступ к сайтам — в таких случаях потери оценить сложно. Наталья Касперская , генеральный директор компании InfoWatch, специализирующейся на защите информации от утечек, связала появление указа с раскрытием сети зараженных компьютеров «Красный октябрь». Напомним: 14 января «Лаборатория Касперского» выявила сеть ПК в госорганах нескольких государств, включая Россию, с которых отсылалась информация в неизвестном направлении. И почти сразу появился указ президента № 31с (в компании Евгения Касперского утверждают, что к его разработке отношения не имеют).

Возникает вопрос: не является ли реальной целью указа не борьба с хакерскими атаками, а построение системы контроля за интернетом, в первую очередь за распространением оппозиционных настроений в соцсетях? Игорь Ашманов , управляющий партнер компании «Ашманов и партнеры», специалист в области искусственного интеллекта, разработки программного обеспечения и управления проектами, так не считает: «К построению “Великого русского брандмауэра” это отношения не имеет. У всех провайдеров уже лет десять стоит СОРМ-2* от ФСБ, и кому из “отцов русской демократии” он повредил? Мне кажется, возбуждающий фактор тут — само название спецслужбы. И никого не волнует, что, например, антивирусы — это замечательное средство не просто для контроля за гражданами, а хоть для захвата мира. Эта программа сидит в вашем устройстве на очень низком уровне и может сделать с операционной системой и железом что угодно. Добавим, что антивирус скачивает по закрытому протоколу сотни обновлений в день — не только данные, но и фактически самостоятельные программы». Правда, на наш взгляд, сам же Игорь Ашманов и упоминает причину, по которой при наличии СОРМ-2 требуется контроль за интернетом. Отвечая на вопрос, можно ли контролировать спам в западных соцсетях, он говорит: «Национальному государству может быть интересно душить в соцсетях какие-то массовые вбросы, призывы к беспорядкам или вражескую пропаганду. Однако сделать это можно только частично, блокированием всего сервиса целиком или сетевого протокола. Дело в том, что поисковики, социальные сети и твиттер быстро переходят на шифрованную связь с пользователем, на протокол HTTPS. Собственно, уже на 80–90 процентов перешли. Это значит, что в канале ничего увидеть нельзя, даже адреса конкретной страницы — вся жизнь социальной сети происходит в толстом клиенте, общающемся с сервером по закрытому протоколу. В результате можно либо запретить HTTPS, либо разрешать его до часа Х, а потом выключать. Гипотетической альтернативой может стать установка следящих программ на пользовательском устройстве. Но это очень сложно логистически и технически».

Методы IT-борьбы

Как же бороться с информационными опасностями? Наиболее типичные компьютерные атаки: DDoS (перегрузка запросами сайтов с целью ограничения доступа к ним остальным пользователям), спам (почта и сообщения, не запрошенные пользователями и имеющие рекламный или агитационный характер), фишинговые ссылки и вредоносные программы, портящие и крадущие информацию, устанавливающие контроль за ПК пользователя.

Что касается DDoS, то Игорь Ашманов советует: «Если говорить об отражении DDoS-атаки, то эффективно с ней бороться не на атакуемом сайте, где канал узкий и производительность сервера ограничена, а, например, у провайдера, имеющего более широкий канал. Специальных продуктов для реализации такого подхода много — например, “Лаборатория Касперского” продает его уже несколько лет. В результате мы имеем большей частью техническую проблему: надо использовать надежные, пусть и дорогие, сетевые устройства, правильно настраивать сеть, применять специальное ПО». Ашманов подчеркивает, что важно не просто отразить атаку, а найти исполнителей и заказчиков: «Можно ли будет отследить источники атак? В принципе соответствующая инфраструктура, может быть, уже установлена у многих провайдеров. Гораздо интереснее, предполагается ли в рамках ФСБ выделить структуру для оперативно-разыскных действий: поиска и правового преследования хакеров после их выявления. Давно бы пора — мне кажется, что сетевой андерграунд слишком распоясался. И сетевые атаки не главная беда, больше урона приносят спам, трояны (программы, контролирующие ПК пользователя. — Эксперт” ), ботнеты (сети ПК, управляемые злоумышленником. — Эксперт” ), блокирование операционки, списывание денег».

От фишинговых ссылок, вредоносных программ, портящих информацию, и почтового спама защищают стандартные антивирусы в полных версиях класса Internet Secutity. Установив их, пользователь может вести вполне беззаботное существование.

А вот переписку в западных социальных сетях контролировать невозможно — выше мы уже упомянули, что весь трафик в них шифруется, посторонний не может прочитать сообщения. Если возникает необходимость противостоять политическому спаму, Игорь Ашманов наиболее логичным видит такой вариант: «Скорее всего, бороться в социальных сетях можно, только создавая “белковые средства”: специальные пропагандистские батальоны и автоматизированные рабочие места для них». Примеры таких подразделений, добавляет Ашманов, в мире уже есть.

Видимо, скоро появится еще один вид ПО, рассчитанный на борьбу с вредоносными программами, ворующими данные пользователя (в том числе номера и пароли кредитных карт или документы государственной важности) и отсылающими их хакеру. Если антивирус не смог остановить их, то могут пригодиться модифицированные системы типа DLP. «Еще год назад системы предотвращения утечек информации, DLP, разработкой которых занимается компания InfoWatch, не входили в список решений, предназначенных для защиты от кибератак, но с появлением “Красного октября” ситуация изменилась, — рассказывает Наталья Касперская. — Мы сейчас работаем над системой мониторинга, способной обнаруживать аномальную активность в сети, в том числе связанную с несанкционированным шифрованием конфиденциальной информации. Такая система призвана дать сигнал о соответствующем инциденте офицеру безопасности сети. Это уже не DLP в чистом виде, предстоит придумать название такой системе, которая может быть использована в том числе и для защиты информации в госструктурах». Современные антивирусные решения (имеются в виду системы полной защиты класса Internet Security), говорит Касперская, подобны стенам, возведенным вокруг компьютерной сети организации. Но если раньше можно было полностью довериться стене, то теперь, когда вредоносные программы стали технически более сложными и совершенными и могут незаметно для внешней защиты проникнуть в сеть, необходимо научиться обнаруживать последствия их действий внутри периметра, ведь ущерб может быть колоссальным. А вот идея спрятать все госорганизации в закрытом сегменте сети Наталье Касперской кажется бесполезной: «Не думаю, что предложение некоторых экспертов выделить госорганизации в закрытую подсеть поможет. Наверное, это защитит от угроз определенного вида, но непременно будут созданы специализированные вредоносные программы для проникновения в этот изолированный периметр. Тем более что у каждого госучреждения свой набор аппаратных средств и программ — очень дорого обойдется стандартизировать такой зоопарк».

Можно предположить, что в будущей системе вышеперечисленные элементы будут объединены. Сайты защищены от DDoS-атак системами анализа трафика. Если хакеры попытаются обрушить их, заразив вирусами, то их атака будет предотвращена с помощью антивирусов класса Internet Security, которые будут установлены на персональные компьютеры сотрудников и серверы госорганизаций. Если же вредоносным программам удастся преодолеть антивирус до личных данных, то при попытке украсть файлы поднимут тревогу модифицированные системы DLP, которые сейчас разрабатываются. Единые стандарты для всех госорганизаций упростят организацию их защиты (за счет единообразности ПО) и понизят общую стоимость такой системы.

Внешняя или внутренняя защита?

Насколько реализуема такая система и есть ли ее аналоги в других странах? Илья Сачков , генеральный директор компании Group IB, помогающей МВД вычислять хакеров и собирать доказательства их преступлений, категоричен: «Очевидно, что подразумевается не техническая или не только техническая система. Половина пунктов указа говорит об организационных мерах, без которых создавать чисто техническую систему информационной безопасности в принципе неэффективно. По крайней мере зарубежная практика показывает, что так никто не поступает». Один из экспертов по информационной безопасности, пожелавший остаться неназванным, отметил: «В указе речь идет о защите любых информационных ресурсов, находящихся на территории России. Это положение может относиться и к ресурсам, например, Министерства обороны, но они находятся вне компетенций ФСБ. Было бы логично создать при ФСБ уполномоченный орган, отвечающий за обеспечение национальной информационной безопасности в целом и координирующий данное направление в других организациях. Это поможет избежать возможного конфликта интересов. В США существует подобная система, и в каждом ведомстве есть структура, которая отвечает за свой участок».

Отметим, что в ФСБ уже есть структура, которая могла бы взять на себя такие функции — ЦИБ (центр информационной безопасности, занимается антитеррористической деятельностью и защитой госинтересов в виртуальном пространстве), зачем же создавать новую? Наш источник в кругах, близких к ФСБ, сообщил, что указ был инициирован 8-м управлением ФСБ (бывшая служба ФАПСИ, отвечающая за безопасность каналов связи) и стал сюрпризом даже для других управлений этой организации. Однако есть и эксперты, считающие логичным создание единого надведомственного центра управления борьбы с киберпреступностью. Наталья Касперская отмечает: «Мера очень своевременная, такие органы противодействия киберугрозам на государственном уровне в других странах существуют уже давно. В частности, я знаю, что в Китае создан центр противодействия киберугрозам CNCERT. Компании, поставляющие в Китай продукцию для защиты от различных киберугроз, должны сертифицировать ее в CNCERT. Получившие сертификат обязуются предоставлять центру информацию обо всех совершенных на территории страны кибератаках».

Касперская полагает, что это правильный подход: хочешь защищать — докажи, что твоя продукция адекватна задачам. «Если бы я создавала систему противодействия, то сделала бы ее похожей на применяемую в Китае и Малайзии. Есть некий центр, который принимает вторичную информацию сразу от нескольких антивирусных компаний. В результате снижается вероятность ложных срабатываний на вредоносные программы. Кроме того, анализ первичного потока сообщений потребовал бы вовлечения в процесс сотни вирусных аналитиков, практически пришлось бы организовать еще одну антивирусную компанию. А если будет создан центр, достаточно парочки экспертов, которые станут анализировать и обобщать полученную информацию, и нескольких специалистов, занимающихся непосредственно поимкой киберпреступников. Учитывая, что такие функции уже в большой степени выполняются соответствующими ведомствами в МВД, можно использовать и имеющиеся ресурсы».

Спецы по пиковым нагрузкам

Но любые технические и организационные меры окажутся бесполезны, если инженеры не смогут реализовать систему, а пользователи не будут соблюдать меры безопасности. Поэтому в качестве главного средства борьбы с компьютерными атаками эксперты видят повышение профессионального и образовательного уровня. Так, Игорь Ашманов уверен, что DDoS-атаки случаются, но к «падениям» они приводят только при неграмотной настройке сайтов. И сайт ФСБ, и сайт госуслуг подвергаются атакам, а падает только ЖЖ (Livejournal.com), говорит Ашманов. Справедливости ради отметим, что и желающих зайти в ЖЖ больше, чем посетить сайт ФСБ, но вернемся к нашему разговору с Игорем Ашмановым. На вопрос, хватает ли России специалистов по пиковым нагрузкам, он ответил: «У нас мало всех ИТ-специалистов. Нам не хватает сотни ИТ-кафедр, десятков тысяч программистов и сисадминов в год. Так что и людей этой специальности тоже остро не хватает».

Илья Сачков видит еще одну проблему: часто хакеры уходят от ответственности, потому что судья не обладает соответствующими знаниями, позволяющими понять всю суть преступления. «С точки зрения взаимодействия с Управлением К — проблем нет, это оперативное подразделение, и они работу свою выполняют отлично, — говорит он. — Трудности начинаются, когда дела передаются в прокуратуру, суды. Хорошо было бы повысить уровень необходимых технических знаний сотрудников судов и прокуратуры, так как сейчас приходится очень много времени тратить на составление документов, поясняющих технологические термины, а то и суть самого компьютерного преступления, ведь юристы оперируют совершенно иными понятиями и терминами. Не хватает целевой программы и центров, которые обучат азам ИТ. Эксперты, конечно, могут разъяснить суть дела, но важен психологический момент: решение принимает судья. Он должен полностью разобраться в уголовном деле и сам принять обоснованное решение, а не полагаться только на заключение криминалиста. Если речь идет не просто о технической системе, а о национальной информационной безопасности, включающей необходимые правовые изменения, то это очень поможет».

* СОРМ-2 - система технических средств для обеспечения функций оперативно-разыскных мероприятий. Предусматривает возможность прослушивания разговоров граждан и протоколирования их деятельности в интернете.

Схема

Схема DDoS-атаки и ее предотвращения