Кибератаки на Вашингтон: как отвечать на агрессию в интернете

Если верить заявлениям Вашингтона, Россия с помощью хакеров пытается повлиять на исход президентских выборов в США, что является прямой угрозой национальной безопасности Соединенных Штатов. Кража прошлым летом информации из компьютеров Национального комитета Демократической партии и других политических организаций, была, как утверждают в Вашингтоне, делом рук организаций, связанных с Россией. Более того, министерство внутренней безопасности США заявило, что к хакерскому взлому причастны российские власти. Теперь Вашингтон, столкнувшийся с беспрецедентной ситуацией, пытается понять: как на это реагировать? Ведущий "Пятого этажа" Александр Баранов обсуждает эту тему с экспертом по информационной безопасности компании Cisco Systems Алексеем Лукацким. Александр Баранов: Вокруг этой истории с хакерскими атаками на комитет Демократической партии, на почтовые ящики деятелей этого комитета, много непонятного для нас, для простых людей, которые все, что знают о кибербезопасности - это то, что не надо в интернете тыкать, кликать на что ни попадя, и, тем не менее, делают это каждый день. Поэтому возникает несколько вопросов, и было бы здорово, если бы вы как эксперт хотя бы некоторые из них разъяснили. Американцы, в частности, обвиняют Россию в хакерских атаках, но при этом они никаких доказательств не предъявляют. Это дает возможность Москве говорить, что "мы здесь не при чем", что все это голословные обвинения, вообще русофобия и так далее. Как вы думаете, почему нет доказательств? Алексей Лукацкий: На самом деле определенные доказательства есть, правда, они не выдерживают серьезной критики. Дело в том, что из опубликованных различными американскими компаниями, которые занимаются кибербезопасностью, материалов следует, что атаки, которые велись и на сайт Демпартии США, и на ряд других ресурсов - и СМИ, и агентство WADA, и так далее, - велись с территории России, с адресов, которые зарегистрированы на территории России. Это, наверное, основное на сегодняшний день доказательство, которое используется во всех публичных материалах. В отличие от обычных вооружений, когда боеголовка, выпущенная с территории государства, с вероятностью 99% означает, что ее запустило государство, в интернете, к сожалению, а может быть, к счастью, достаточно легко арендовать, купить сервер на территории любого государства и с этого сервера реализовывать любые несанкционированные действия. Поэтому с точки зрения эксперта опираться только на географическую принадлежность адреса, с которого осуществляется атака, сегодня невозможно. Поэтому и серьезных доказательств на сайте министерства внутренней безопасности до сих пор не представлено. А.Б.: Как вы относитесь к такому тезису, который тоже звучит, что американская разведка не хочет раскрывать свои методы, не хочет раскрывать свои возможности, поэтому у них там много чего есть, но они об этом нам не скажут. А.Л.: Такой вариант действительно существует, но дело в том, что между Россией и США заключено двустороннее соглашение, причем их несколько, как раз в деле, связанном с кибербезопасностью. Согласно этим соглашениям на неофициальном уровне, точнее, на непубличном уровне, мы должны обмениваться информацией о кибератаках со стороны каждого из двух государств. Поэтому я вполне допускаю, что если публично никто не хочет называть те или иные методы сбора доказательств, непублично можно было бы эти доказательства представить. Пока, по моей информации, этого тоже сделано не было, более того, одна из сторон отказывается идти на сотрудничество, что, собственно, и дает другой стороне право говорить, что эти обвинения безосновательны. А.Б.:Хотелось бы вас спросить как специалиста. Я встретил такую фразу, что отследить квалифицированных хакеров практически невозможно, потому что это скорее искусство, чем наука. Вы все прекрасно знаете фразу о том, что каждое преступление оставляет след. В киберпространстве тоже можно сказать, что каждое преступление свой след оставляет или действительно иногда невозможно следы найти? А.Л.: След оставляет, безусловно, но существует ряд и технологических, и юридических сложностей, которые, к сожалению, осложняют проведение полноценного расследования. Технические сложности связаны с тем, что интернет построен на сегодняшний день на технологиях, которые изначально не предусматривали как такового идентифицирования пользователя в сети. Юридические связаны с тем, что совершенно разные юрисдикции, разные правовые системы, разные процедуры сбора доказательств, разные способы взаимодействия между правоохранительными органами разных стран приводят к тому, что на сбор доказательств уходят месяцы, а за это время они просто не успевают сохраниться. При том объеме данных, которые циркулируют в интернете, ни компании, ни интернет-провайдеры, ни операторы связи просто не могут хранить все данные, которые могут понадобиться для расследования. К тому моменту, когда доходит запрос каких-то правоохранительных органов, данные уже просто уничтожаются и затираются более свежими данными. Поэтому если изначально следы и существовали, то они с течением времени просто исчезают. А.Б.: То же самое и при обычных преступлениях происходит. А.Л.: Да. А.Б.:Я хотел бы вернуться к тому, что вы говорили об имеющихся доказательствах, о том, что все, что предъявляют, это то, что атаки шли с территории России. Я сделал маленькое расследование этого дела в течение часа перед программой: познакомился с двумя организациями под названием Fancy Bears и Cozy Bears, о которых вы наверняка слышали. Американская компания Crowdstrike, которая расследует хакерские атаки, утверждает, что в сетях комитета Демократической партии США были найдены следы этих двух хакерских групп - Fancy Bears и Cozy Bears, которые действовали одна от другой независимо и даже, как говорят специалисты, может быть, друг о друге и не зная. Тем не менее, за этими организациями следили долгие годы. Это не что-то новое для специалистов: Fancy Bears существует с 2008 года. Дело даже не в том, где они находятся, а дело в анализе их деятельности. Если проследить за деятельностью Fancy Bears, как говорят специалисты, эта деятельность абсолютно коррелирует со стратегическими интересами России. Их следы были, начиная с Эстонии, - в Грузии, Украине, в той же ВАДА - везде они засветились. Более того, есть такие признаки, что они очень информированы. Допустим, они начали активно действовать в Грузии до начала событий в Южной Осетии. Откуда они могли знать, если это простые хакеры, если это просто любители? Анализ, который представляют специалисты, убеждает вас как-то или нет? А.Л.: Он является просто одним из элементов, который можно положить в общую копилку, который можно было бы использовать для доказательства того, что за атаками стоят именно российские структуры - не будем называть "спецслужбы" - просто некие российские структуры. К сожалению, ни Crowdstrike, ни ряд других компаний, которые такого рода доказательства приводят, не выкладывают эти доказательства. Они говорят о том, что есть атаки, идут с территории России, есть атаки, которые идут через ресурсы, которые поддерживают только русский язык, и атаки направлены на ряд военных, государственных структур США и сторонников США, из чего делается вывод о том, что это в интересах России. На самом деле на мой непросвещенный геополитический взгляд такие же интересы могут быть, например, у Китая, а также у ряда других стран, которые, может быть, не находятся в теплых дружеских отношениях с США. При отсутствии доказательств это основная проблема. К сожалению, выводы можно делать как в одну, так и в другую сторону: как искать правду в том, что за атаками стоит не просто Россия, а российское государство, так и считать, что это не более чем высосанные из пальца доказательства, которые на фоне текущей геополитической ситуации просто применены к месту. А.Б.:По поводу китайцев вы, конечно, правы. Та же компания Crowdstrike приводит огромный список похожих китайских хакерских групп, которые действуют тоже, как я понял, вполне активно. Там, правда, вместо "bear", вместо "медведя" у них "панда" фигурирует везде. А.Л.: Дело в том, что эти названия придумываются компаниями, которые проводят расследования. Сами хакерские группы себя так не называют. А.Б.:Надо сказать, что Fancy Bears (я зашел сегодня на их сайт, не поленился) себя уже называют Fancy Bears. Наверное, им понравилось название, данное им. А.Л.: Есть еще одна хакерская группа, которая называет себя Energetic Bear, которая атаковала в 2009-2010 г. различные энергетические компании. Это еще третий медведь, тоже хакерский. А.Б.: Это та компания, которая украинские энергетические сети пыталась положить,нет? А.Л.: Нет, это было за пять лет до этого. А.Б.: Хорошо. Я так понял, что таких твердых доказательств у нас сейчас нет, но мы - люди любопытные, хочется выяснить, кто же стоит, и приходится высчитывать какие-то вероятности и основываться на косвенных доказательствах. Например, мне как неспециалисту всегда хочется понять: любитель там, патриот или сидящий на диване какой-нибудь хакер-тинейджер? Как сказал Трамп в своей речи: "Почему это российские службы? Это может быть какой-то тинейджер там сидит, копается в своем компьютере". Можно ли как-то определить, это тинейджер или какая-то серьезная компания - хотя бы по масштабам, по затратам? Можно сказать, что какая-то хакерская атака - на нее надо миллионы тратить, невозможно сидеть тинейджеру и заниматься таким масштабом или, например, по уровню профессионализма, по уровню применяемых инструментов? Этот анализ реален, можно его сделать? А.Л.: Его сделать можно. Безусловно, то, что сейчас происходит, если предположить, что за всеми атаками и на СМИ, и на ВАДА, и на Демократическую партию, и на многие другие ресурсы стоит одна группировка или максимум две, то это действительно не хакер-одиночка, это некая разветвленная группа, состоящая из нескольких человек, которые могут находиться в разных странах мира. Но дальше, к сожалению, без проведения полноценного расследования или, как это называют, "атрибуции", сказать, кто стоит за этими атаками, какой и в чем умысел состоит тех, кто атакует эти ресурсы, сделать невозможно. Сегодня технологии позволяют собрать некие доказательства, дойти, в крайнем случае, до компьютера, с которого осуществляются реальные атаки. Дальше без проведения каких-либо оперативных мероприятий, может быть, без каких-то засланных казачков определить, организованная преступная группировка, хакеры-патриоты, которые решили таким образом кому-то отомстить, либо действительно спецслужбы - без проведения исследований уже в реальном, а не виртуальном мире сделать это, к сожалению, невозможно. А.Б.: Никакого особого почерка спецслужб нет? А.Л.: Есть почерк, связанный со школой программирования, есть почерк, связанный с оставленными комментариями в теле различных вредоносных программ или ресурсов, которые используются для атаки. Можно определить примерно национальность человека, который осуществляет ту или иную атаку, или определить, в какой стране мира он живет. Для этого доказательства должны быть предъявлены, чтобы любой независимый эксперт мог это сделать. Но сказать, этот человек действует в своих интересах, в интересах промышленного шпионажа, либо в интересах какого-то государства, к сожалению, технологии сегодня пока не позволяют, если, разумеется, сам человек потом не похвастался где-то в социальных сетях, что он работал по заказу каких-то спецслужб и именно он взломал тот или иной ресурс. Пока такого, к счастью, либо к сожалению, сделано не было. А.Б.:Можно определить хотя бы приблизительно стоимость хакерской атаки? Сколько это будет стоить реально в деньгах хакеру? А.Л.: Достаточно сложно, потому что практически весь инструментарий уже сейчас свободно можно найти в интернете для реализации атаки. Большинство атак связаны не с какими-то серьезными действиями по разработке кибероружия, если мы не рассматриваем, конечно, атаки на различные критичные инфраструктуры. Если мы рассматриваем атаки на сайт демпартии, на какие-то публичные интернет-ресурсы, то, как правило, это осуществляется, используя известные уязвимости, которые администраторы, владельцы ресурсов по ошибке, по забывчивости забыли закрыть. Злоумышленники эти уязвимости достаточно легко находят и используют для проникновения. Либо направляется электронное письмо администратору данного ресурса либо какому-то сотруднику данного ресурса с просьбой кликнуть по ссылке либо открыть вложение. Человек, не задумываясь, это делает, его компьютер заражается, после чего с этого плацдарма начинается дальнейшая атака. Это не требует больших финансовых вложений на сегодняшний день. А.Б.: Я помню, то же самое произошло с украинскими энергетическими сетями: какой-то оператор открыл какой-то имейл, куда-то кликнул, и после этого там все покатилось. Вы предварили мой вопрос, потому что я хотел вас спросить: в принципе слабое место - это человек или компьютер? А.Л.: Слабое место - человек на сегодняшний день. Если мы посмотрим на статистику, то компьютеры, программное обеспечение уязвимы, но производители, как правило, в течение суток обычно выпускают обновления, некие заплатки для уязвимого программного обеспечения. Люди, к сожалению, обычно, по статистике, в среднем в течение трех-пяти лет эти заплатки не ставят. Получается, что противоядие есть, лекарство есть, но его никто не принимает до того момента, пока гром не грянет. Гром грянул, сейчас пошли разговоры о том, что надо увеличивать бюджет на обеспечение кибербезопасности американских ресурсов. Как следствие того, что человеческий фактор дал сбой, теперь надо тратить большие ресурсы на технологии, которые будут компенсировать недостаток работы с человеком. А.Б.:Учить людей не кликать на подозрительные линки бессмысленно, потому что они все равно будут это делать, потому что человек — это человек, его не переделать, вы так считаете? А.Л.: Конечно же, надо учить. Более того, октябрь - это месячник кибербезопасности в Европе и в США. В рамках этого месячника проводится огромное количество виртуальных и физических мероприятий, где людей учат тому, что можно, что нельзя делать в интернете, - некая компьютерная гигиена. Это обязательные мероприятия, но они, конечно, не являются стопроцентной панацеей от хакеров. А.Б.: Я понимаю, что вас мало что удивляет как специалиста в этой сфере, но все-таки: безалаберность политиков высшего уровня, таких, как Хиллари Клинтон, или в бундестаге, который тоже вскрыли, вас не удивляет? Все-таки это же не простой потребитель. Он сидит в Белом доме или в госдепартаменте и, тем не менее, совершает такие же ошибки, как обычный школьник. А.Л.: Это человеческая природа: человек хочет работать удобно. Разумеется, практически любая безопасность - это некое усложнение традиционных действий, которые человек привык делать в интернете с электронной почтой и так далее. Человеческая природа заставляет обойти все препоны, которые спецслужбы или, если мы говорим о какой-либо компании, службы информационной безопасности пытаются навесить дополнительными веригами даже на чиновников самого высокого ранга. Поэтому и появляются почтовые сервера в подвалах и тому подобные вещи. Это классическая борьба удобства и безопасности, и безопасность зачастую проигрывает. К сожалению, на такого рода людей - уровня госсекретаря или канцлера и так далее, - мало кто может повлиять и заставить их что-то делать. А.Б.: Меня лично успокаивает то, что в отличие от ситуации, когда на вас летит ядерная боеголовка, тут все-таки можно что-то сделать, тут зависит от человека. С настоящей войной кликнул - не кликнул, все равно упадет, а здесь все-таки можно как-то... Хотел бы перейти в теме кибервойны - где кончается хулиганство и начинается кибервойна. Американцы, как известно, подвергаются кибератакам постоянно, откуда только они не идут - Иран, Китай, Северная Корея и от простых школьников, сидящих в Милуоки. Песков тоже недавно сказал, что Кремль подвергается хакерским атакам практически ежедневно, тысячам хакерских атак, и ничего - никто не жалуется, потому что, как я понял, для специалистов сейчас хакерские атаки - это как такой дождик в Лондоне: посмотрел - сейчас нет, через час - пойдет. Пошел - зонтик открыл, идешь дальше и терпишь это дело. Стрелять из пушки каждый раз по облакам бессмысленно. Все-таки, как мы поняли, есть черта, когда уже нужно стрелять, виртуально выражаясь. Для вас где эта черта, где надо принимать совершенно другие меры и относиться к хакерским атакам уже совсем по-другому? А.Л.: К сожалению, я не могу сказать, где эта черта проходит, потому что до сих пор с 98-го года эксперты на уровне ООН спорят о том, что же такое киберпространство, что такое кибервойна и в какой момент на киберагрессию можно отвечать физическими мерами воздействия, как это предлагают США и альянс НАТО, или здесь надо использовать какие-то иные правовые нормы, которых пока не существует. Сегодня, к сожалению, международное право не готово к ответу на эти вопросы. Оно ориентировано на взаимодействие государств против государств. Война, акт агрессии, военный конфликт - это все термины, когда у нас известен противник. В киберпространстве противник нам не известен, поэтому достаточно сложно сказать, когда идет атака на, например, атомную электростанцию (такие примеры есть, их уже больше десяти за всю историю), - это случайность, это кибертерроризм, либо это действительно уже проявление кибервойны или разведывательной операции перед кибервойной. С точки зрения технологии разницы между этими действиями нет. Разница только в умысле, а умысел, как я уже сказал, определить, анализируя журналы регистрации каких-то средств защиты или иные какие-то технические доказательства, невозможно. Сейчас на самом высоком уровне — группа правительственных экспертов при ООН, и при специальном Центре компетенций НАТО, и других организациях вплоть до Красного Креста — идет обсуждение, где же провести ту грань, ту черту, когда обычная хакерская атака превращается в акт агрессии, на который уже надо действовать в соответствии с правилами военного времени. Пока такого ответа нет. А.Б.:У вас лично должен быть какой-то, если не ответ, то по крайней мере свое мнение: как к этой проблеме отнестись? А.Л.: К счастью, я не сталкивался с ситуацией, когда можно рассматривать какое-то явление как проявление кибервойны. Наверное, у меня как раз ответа и не будет, потому что я бы сгоряча здесь не рубил шашкой, а проводил бы полноценное расследование. Именно поэтому, кстати, между США и Россией и были заключены двусторонние соглашения по аналогии с ядерным сдерживанием — чтобы не жать на красную кнопку, а вначале позвонить и уточнить, что происходит, и действительно ли речь идет об акте агрессии, либо это случайные действия, либо кто-то кого-то подставляет. Здесь та же самая ситуация: сейчас, наверное, в очень плохом состоянии в связи с геополитической ситуацией, но после выборов и последующей январской инаугурации, возможно, эти двусторонние соглашения заработают с новой силой, и у нас будет меньше случаев, когда ту или иную атаку мы будем рассматривать как проявление кибервойны. Ответа, к сожалению, у меня сейчас нет. А.Б.:У меня такое впечатление, что любой договор, если он в этой сфере будет заключен, будет полностью зависеть от доброй воли его участников, потому что если договор о ядерных боеголовках можно поддерживать — какие-то комиссии можно посылать, можно их подсчитать, в конце концов, по головам, то что делать с этой гибридной войной в киберпространстве, совершенно непонятно. При желании власти могут говорить одно, делать второе, а подписывать третье. За руку их поймать, как мы сейчас видим с этой историей с двумя "медведями", совершенно невозможно. А.Л.: Как показывает история, и с обычными вооружениями, с ядерными вооружениями тоже, если государство не желает пускать на свою территорию наблюдателей, проверить что-то невозможно. А.Б.: Как специалист по киберпространству считаете ли вы, что, допустим, если отвечать на акт кибервойны, нужно отвечать исключительно в киберпространстве такими же мерами или же нужно избегать эскалации в киберпространстве и отвечать совершенно другими мерами, скажем, экономическими санкциями или еще чем-то? Как вы на эту проблему смотрите? А.Л.: Я считаю, что при современном уровне развития технологий, когда невозможно однозначно идентифицировать, кто стоит за атакой, эскалации быть не должно ни в виртуальном, ни в физическом мире. Здесь нужны дипломатические взаимоотношения, усиливать именно дипломатические контакты, чтобы пытаться разрешить эту ситуацию. Экономические санкции, как и любые другие санкции, в условиях, когда мы не можем однозначно утверждать, что мы вводим санкции против именно виновника той или иной атаки, это путь в никуда, на мой взгляд. А.Б.:Я боюсь, что это закончится тем, что дипломаты скажут: "Нет, ребята, они же отнекиваются, мы им пытаемся сказать, они говорят: "Нет, не мы". Поэтому давайте мы тоже сделаем так же, и когда они нам тогда будут предъявлять претензии, мы точно так же скажем: "Нет, теперь точно не мы". Все закончится таким обменом гибридными ударами в киберпространстве. Яне специалист, но я не вижу другого выхода в нынешней ситуации. Как это можно разрешить? А.Л.: Действительно, в среде специалистов бытует мнение (возможно, я даже местами могу с ним согласиться), что для того, чтобы ситуация сдвинулась с мертвой точки, должно произойти нечто, то есть некий большой "бабах", который докажет всем сторонам, что хватит сидеть за столом переговоров и не договариваться ни о чем, а пора приступать к реальным действиям, вырабатывать некие меры регулирования этой ситуации. Пока, к счастью, если не рассматривать историю с иранскими объектами в 2009-2010 году, серьезных событий, которые бы привели к плачевным последствиям, в киберпространстве не было. Да, были атаки на атомные электростанции, другие критические инфраструктуры, но пока без каких-то серьезных массовых последствий. Поэтому многие, наверное, в некоем таком ожидании и не хотят предпринимать каких-то серьезных шагов, потому что, не секрет, что для многих эти хакерские вещи воспринимаются как некие банальности, шутки, шалости, которые не сопоставимы с ядерной атакой либо даже обычными вооружениями. ____________________________________________________________ Загрузить подкаст передачи "Пятый этаж" можно здесь.