- Когда появилась и чем занимается ваша организация?
- Центр анализа и расследования кибератак – это объединение юридических лиц. Объединение состоит из нескольких компаний, в том числе моей и компании моего партнера. Мы выбрали формат общественной организации, потому что в сфере ИБ наблюдается ярко выраженный кадровый голод. У нас работает около 10 технических специалистов, чего явно недостаточно, остальные работники – вспогательный персонал. Выбранный формат позволяет привлекать специалистов из других организаций, без ущерба основному месту. Они могут работать у себя, например, в банке, и одновременно выступать экспертом ЦАРКА, а также участвовать в каких-то работах. ЦАРКА образована в прошлом году, но в области ИБ мы работаем более пяти лет.
- Расскажите о деятельности ЦАРКА?
- Мы первый частный CERT – служба реагирования на компьютерные инциденты. Нам первыми удалось консолидировать профильных специалистов. Для примера, нами создан тематический чат в Telegram, где между собой общаются, обмениваются опытом и делятся последней информацией более трехсот единомышленников. Новые уязвимости, взломы ресурсов, атаки на порталы – всю эту информацию мы получаем раньше других и отрабатываем. В случаях, когда это необходимо, отрабатываем совместно с соответствующими госорганами.
- То есть опасности вы не прогнозируете, но можете предотвращать?
- Бывает по-разному. Но точно могу сказать, что мы предотвратили несколько серьезных масштабных атак на Казахстан. Кроме того, мы занимаемся Pen тестами – это полная эмуляция хакерской атаки для определения степени защищенности объекта исследования. Нашими основными клиентами пока является частный сектор и банки. Банки, в целях проверки, проводят тесты и таким образом оценивают свои риски при хакерских атаках. Мы в свою очередь, сканируем сети, пытаемся проникнуть через сотрудников в локальную сеть банка, вытащить конфиденциальные данные.
Это одно из основных направлений нашей деятельности. Кроме того, мы проводим аудит безопасности, проверяем соответствие международным и собственным стандартам.
- То есть банк отстраивает свою систему безопасности, после чего говорит вам: "Ребята, взломайте нас, мы хотим проверить систему на уязвимости"?
- Да. Банки тратят много сил и средств на систему защиты и обучение сотрудников, а один из эффективных способов оценки результата – Pen тест. Понятно, что есть, так называемая, "бумажная" безопасность, когда приходят аудиторы и проверяют. Антивирус есть – галочку поставил, файрвол есть – галочку поставил. Есть проверка на практике – хакеры не проверяют бумажки – они просто взламывают сеть банка, аккаунты сотрудников, раскидывают флешки, рассылают письма и т.д. Вот такую полную эмуляцию хакерской атаки мы и проводим, но предоставляем заказчику полный отчет.
- Как проводится внутренний аудит безопасности?
- Тут есть два варианта. Первый - это эмуляция внутреннего нарушителя. Проводится с минимальным доступом к системам компании. Это случай, когда человек приходит в компанию, подключается к локальной сети и получает минимальные права в системе. Хакер пробует повысить свои права, вытащить переписку, получить доступ к базе данных. Для этого теста, нам выдают рабочее место с какими-то правами, дальше мы ищем уязвимости.
Второй вариант - аудит систем безопасности. В этом случае мы, совместно со специалистами заказчика, полностью перепроверяем инфраструктуру организации, изучаем документацию и даем рекомендации для исключения или уменьшения вероятности инцидентов.
- Часто казахстанские компании пользуются этими услугами?
- Интересуется, в основном, как я говорил, частный сектор. Государственный сектор по всей видимости пока не готов. Причина в том, что частник рискует собственными деньгами и репутацией, а чиновник в таких случаях не отвечает ни за что. Например, после нашего сообщения о взломе сайта МИД, ведомство никак не отреагировало. Сайт продолжал заражать вирусом посетителей еще четыре дня. Никакой информации, пресс-релиза об этом не было. Уязвимость была исправлена только после нашей жесткой критики в Facebook. При этом мы отправили официальное письмо, но четыре дня не было никакой реакции. Эта атака могла быть направлена на дипломатов, которые могли быть заражены через браузер с сайта МИД или через подмену документов на сайте.
- Сколько будет стоить внутренний аудит или Pen тестирование, для среднего казахстанского банка?
- В среднем, стоимость пентеста варьируются около 10-15 миллионов тенге. Многое зависит от структуры заказчика.
- Как информационные системы казахстанских банков защищены по сравнению с российскими?
- Российские банки больше подвергаются взломам, что ускорило создание при центробанке FinCert – службы реагирования на компьютерные инциденты финсектора. FinCert действует с 2015 года и, согласно предоставляемым данным, уже предотвратил убытки около 10 млрд рублей. Создание аналога в Казахстане было в программе нацбанка РК, но со сменой председателя нацбанка эта тема перестала обсуждаться.
Мы считаем, что в какой-то момент хакеры придут в Казахстан. По мере усиления требований безопасности в Европе, атаки переходят в развивающиеся страны. Западные банки стали усиленно следить за безопасностью и вытесняют атакующих в нашу сторону.
По моему мнению, наши банки выглядят менее защищенными по сравнению с российскими хотя бы потому что не подвергались крупным атакам и не имеют централизованной системы для обмена данными.
- Как вы считаете, Казахстану стоит перенимать российский опыт в сфере кибербезопасности?
- Радует, что тема кибербезопасности, отчасти благодаря нам, в последнее время стало широко обсуждаться. В октябре мы сообщали о критической уязвимости, которая могла остановить всю государственную машину Казахстана. Из-за безответственного отношения АО "НИТ" к информационной безопасности мы рисковали потерять всю доменную зону gov. К слову, в этой зоне все электронное правительство, сайты министерств, акиматов, удостоверяющий центр, нотариат, лицензирование, то есть вообще все. Хакеры могли буквально удалить все эти ресурсы, на их восстановление могла понадобиться неделя. При этом показанная нами уязвимость, вызывает множество вопросов о квалификации специалистов по информационной безопасности АО "НИТ" и оставалась неисправленной с 2006 года.
- Часто на казахстанские компании проводятся атаки?
- Атаки есть, но это не афишируется. В Европе, организация в течение 48 часов обязана оповещать об атаке или взломе, в противном случае ей грозит штраф. В Казахстане такого нет, у нас все проходит тихо без обсуждений.
- Удается вычислить, откуда проводятся атаки?
- Чтобы вычислить, нужно расследовать. Хакеры могут пользоваться VPN сервисами, прокси сервисами и эмулировать атаку из Китая, России, с любой страны. Запутать следы не проблема. Точно вычислить тяжело, при этом у нас мало кадров, людей, которые занимаются компьютерной криминалистикой. Тех, кто может отследить, откуда была совершена атака, в Казахстане, наверное, единицы.
Есть еще одна проблема. В прошлом году мы обнаружили крупную fishing-атаку на один из банков. Атака была совершена в выходные, у хакеров привычка – начинать атаку в пятницу вечером, когда администраторы, например, собираются в бары. Мы своими силами в течение 2-3 часов нашли, источник атаки и определили IP адреса. Атака проводилась из Петропавловска. Интересно, что МВД не может завести дело без пострадавшего, нет заявления, жалобы – нет дела. Хакеры целый месяц по выходным атаковывали банк, в итоге никто ничего не предпринял. В субботу мы начали звонить в банк, чтобы сообщить об атаке ответственному человеку, но никого не найти в банке … Дозвонились только до какого-то дежурного, но так ни к чему и не пришли. Так что чаще всего хакеры у нас безнаказанны.
Иногда кого-то находят, делают громкие заявления в духе "мы поймали такого-то хакера…", но это не хакеры. Те, кого ловят, чаще всего скрипт-кидди – те люди, которые просто покупают программу или троян, либо где-то скачивают и получают данные. То есть скрипт-кидди сами не взламывают, а пользуются готовыми решениями. Ловят в основном их.
В прошлом году на форуме выступал представитель МВД, который рассказывал о поимке двух хакеров, которые обчищали банкоматы, пользуясь специальным скан-устройством. Пойманные оказались борцами, в то время как полицейские ожидали, что это будут щуплые ребята в очках. Эти два парня просто купили специальное решение и использовали инструмент.
- Где они могут приобретать такие устройства?
- Это не проблема. Есть такое понятие – Dark web, через Tor (специальный браузер, обеспечивающий анонимность – прим. авт.) можно зайти на специальный сайт, и купить хоть автомат Калашникова. В Москве, например, мы смотрели, Калашников можно купить за 200 000 рублей. Деньги отправляются bitcoin-ом, продавец в каком-то месте прячет товар, отправляет покупателю геоссылку, вы приходите и забираете. Также сейчас работает и продажа наркотиков. Такие сделки сложно выявить: во-первых, bitcoin-платежи сложно отследить, во-вторых, нет прямой связи между покупателем и продавцом.
- Сколько может стоить заказная атака на конкурента?
- DoS атаки стоят не дорого, от 50 долларов в сутки. В принципе, у нас мало сайтов, защищенных от DoS атак. В России целый рынок услуг по очистке трафика и защите от атак. В Казахстане хостинговые компании только начинают внедрять эту функцию.
- Кто еще занимается ИБ в Казахстане?
- В Казахстане рынок ИБ еще не развит, нет готовых решений, в университетах этому нормально не учат. Поэтому мы проводим DefCon конференции. Проводили конференцию в Астане, собрали 200 человек, пару месяцев назад в Алматы, собрали 600 человек. В будущем конференции будем проводить в других городах. DefCon конференции – это неформальные встречи, где на практике показывают, что такое ИБ. У нас много конференций вендорских, когда просто рассказывают о каких-то новых решениях. На такие конференции в основном приходят руководители, которые потом покупают те или иные решения. Для тех, кто работает руками, конференций до нас не было.
На DefCon мы показываем, как хакеры могут вас атаковать. Как вы защитите систему, если не знаете, как вас могут атаковать? Мы показываем, как взламывают Wi-Fi, GSM-сети, почему флешки опасны. За 8-10 часов мы затрагиваем все темы: от взлома через "железки" до взлома ПО.
Почему мы начали проводить DefCon? Мы выступали в одном из столичных ВУЗов перед студентами и показывали, как взламывается Wi-Fi. Для ребят это было как магия. Ради интереса, показывали еще, как можно взломать аккаунт своей девушки в ВКонтакте. Это базовые вещи, это не так сложно, но нигде в ВУЗах этому не учат. Учат шифрованию, стандартам, каким-то бумажным вещам, тому, как внедрять антивирус. Но практику не дают, потому мы и запустили сеть конференций.
Вообще DefCon – большая конференция в Лас-Вегасе, у которой есть свои ответвления, группы. В России таких две или три. Мы пока единственные в Центральной Азии.
- Те люди, которые работают в сфере ИБ в Казахстане, чаще всего самоучки?
- Если говорить о нашей команде, многие у нас самоучки. Проводя DefCon, мы находим таких людей, они необязательно учатся на ИТ. Один из лучших наших специалистов по образованию юрист. Это просто заинтересованные люди, которым с детства интересно копаться в компьютере. Сильная школа — это банки, министерство обороны, телекоммуникационные компании, провайдеры.
Казахстанский рынок сегодня ориентирован на приобретение продуктов, а не на разработку собственных. Россия, например, пострадала от санкций, но они запустили программу импортозамещения, по этой программе разрабатываются свои продукты и решения. Разрабатывают свою операционную систему, российские софтовые решения сильно ушли вперед. Аналогичная ситуация с Ираном, но кроме санкций их очень подстегнула ситуация со Stuxnet (компьютерный червь, заразивший систему Иранской ядерной программы – прим.авт.). Иранцы говорят о том, что Stuxnet отбросил иранскую ядерную программу на 3-5 лет назад, но теперь государство повернулось лицом к специалистам в ИБ: выделяются гранты, работают государственные программы развития.
В России Путин подписал доктрину по информационной безопасности – внимание этому действительно уделяют. В Казахстане до конца года сформируется состав министерства обороны и аэрокосмической промышленности, в нем создан комитет информационной безопасности. Мы надеемся, что рынок постепенно будет переориентирован на внутреннее производство.
Нужны льготы внутренним производителям. Нам – отечественным разработчикам ПО, тяжело конкурировать с иностранными компаниями. Да, вначале мы будем производить "кривые" продукты, брать иностранные и выдавать за наши, но с этого всегда начинается. Мы не сможем сидеть и ничего не делать, а потом сразу произвести Space X, такого не бывает.
- Недавно российские госорганы предупреждали банки о готовящейся атаке. Есть подобная система в Казахстане?
- Думаю наши банки взаимодействуют друг с другом. Сбербанк России, который работает у нас, получает данные с российского FinCert. Возможно, этими данными делятся с другими банками в Казахстане. Один из плюсов в том, что мы покупаем трафик из России, я не владею информацией, но вероятно, наш трафик очищается в России. Также, трафик от нас продается в Кыргызстан.
Надо признать, наш рынок и специалисты отстают от российских лет на 5. Россия отстает от Европы, по мнению российских же экспертов, на 3-5 лет. Считается, что отставание от Америки 7-10 лет.
- Кроме DefCon, откуда берутся кадры, работающие в вашей компании?
- Мы переманивали специалистов из разных компаний. Казахстанским Pen тестерам негде было работать раньше, теперь мы приглашаем этих людей к себе. Самый редкий специалист на рынке, это реверсер – человек, который занимается обратной разработкой. Допустим вы получили вирус, и его надо понять откуда он и что он делает, без исходного кода. С такими людьми проблема в России, у нас их вообще единицы. Сейчас мы приглашаем одного из известнейших реверсеров из Украины, который будет обучать целую группу. Как и DefCon, мы делаем это на свои деньги. Приглашаем специалистов из разных стран. Интересно, что в России нас знают лучше, чем дома – видимо из-за того, что мы постоянно участвуем в российских конференциях.
Артур Мискарян
