1 июля в России вступила в силу большая часть положений так называемого «пакета Яровой». Два антитеррористических закона в том числе обязывают операторов связи и ряд интернет-компаний хранить на территории страны все передаваемые пользователями данные, включая видео и изображения, и по запросу передавать их органам власти.
О том, может ли пользователь сохранить тайну переписки, русских хакерах и американских выборах, блокировке Telegram и китайских «хантерах», «Это Кавказ» поговорил со специалистом по компьютерной безопасности Омаром Ганиевым.
Про хакерское образование
— Формально хакерству учат в куче вузов. Проблема в том, что делают это пожилые профессоры, программа которых устарела 30 лет назад. Учат, например, «акустической утечке данных»: ну, вот мы с вами говорим, а из окна напротив, из американского посольства, если бы оно тут было, нас подслушивают, снимая вибрацию стекла. Такие атаки были актуальны несколько десятков лет назад. Поэтому, в принципе, хакер учится всему самостоятельно. Возможностей сейчас много: аспиранты и студенты учат друг друга.
Я могу сказать, что интересуюсь проблемами кибербезопасности со школы. Просто помню, как в какой-то момент ищу информацию о том, как взламывать сайты. Не помню, чей именно сайт меня интриговал тогда, но почему-то стало интересно. Но поступил я на факультет математики в ВШЭ. Кстати, это был первый набор на курс, десять лет назад. Прекрасный факультет для занятий чистой наукой — фундаментальной математикой. Но в науку я не пошел, предпочел компьютерную безопасность.
Про хороших хакеров
— Я специально говорю слово «хакер», потому что в сознании людей это слово имеет резко негативный оттенок. На самом деле, хакер — человек, который занимается взломом системы, независимо от того, какая у него цель. Набор технологий и навыков приблизительно одинаков у того, кто хочет ограбить банк, и у того, кто тестирует, хорошо ли банк защищен.
Хакер — не всегда плохо.
Считается, что это занятие для молодых, и сейчас действительно много молодежи, но только потому, что вся отрасль не старше тридцати лет. Но иногда приезжаешь на соревнования — а там солидные седовласые мужики. Мы с друзьями как-то обсуждали это и не нашли оснований для того, чтобы перестать заниматься этим через двадцать лет, когда сами превратимся в таких.
Про пакет Яровой
— Средний человек неосторожен и может сесть за перепост и чуть ли не за лайк. И не очень парится по поводу своей переписки в личке.
На сегодняшний момент нет достоверной информации, что WhatsApp или секретный чат в Telegram читаются кем-то. Об этом, кстати, постоянно спрашивают на консультации и рассказывают «страшилки», как друг вашего друга сам лично видел, как кто-то прочитал чужой чат в Telegram. Чаще всего взламывают не переписку как таковую, не канал связи, а просто телефон.
Тут надо понимать, какие у вас уязвимые места: поверхность атаки (ноутбук, телефон) плюс человеческий фактор. Мы сами выбалтываем большую часть информации, которую хотели бы скрыть. Я не очень понимаю, как «пакет Яровой» вдруг заработает с 1 июля, но я точно знаю: если человек хочет сохранить тайну переписки — он найдет способ.
Про блокировку Telegram
— Я не могу ручаться за то, что происходит в голове у блокировщиков, но мнения в нашей среде разные. Одни считают, что это репетиция блокировки всего — масштабные учения, так сказать, другие — что просто тупость. Но одно не исключает другого.
Можно, конечно, пытаться создать изолированную сеть, как в КНР, или обрубить кабель и построить внутренний интернет, как в КНДР, но нельзя проанализировать каждый бит информации. Технологии настолько быстро развиваются, что это не просто тяжело — это требует огромных технических возможностей, которых в мире нет нигде.
Ну, обрубим все — а вот есть электромагнитное поле земли, которое существует независимо от решений нашего правительства. Всегда останутся побочные каналы связи с внешним миром. И я уже не говорю о том, что строить изоляцию в современных условиях — наносить вред себе.
Про Трампа и русских хакеров
— Верю ли я, что русские хакеры «выбрали» Трампа? Я верю, что они могли на процесс некоторым образом воздействовать, но преимущественно это — пропагандистский, как сейчас говорят, хайп.
Вот ровно вчера наша маленькая тусовка хакеров была шокирована сообщением, что под санкции попала небольшая компания из Питера, в которой много наших друзей и коллег. В переводе с английского основание для попадания в санкционный список звучит так: «Ваша компания увеличила возможности для атаки ФСБ». В список также попали дочерние компании, у которых были рабочие проекты за рубежом. То есть никаких конкретных обвинений компания не получила. Но, во-первых, это лицемерие — их собственные компании массово сотрудничают со своими спецслужбами. А во-вторых, видно, что к составлению списков там тоже относятся довольно халатно, могут адрес переврать или имя владельца. Такое чувство, что там сидят бюрократы не лучше наших и решают: «А вот этих тоже внесите, не нравятся они мне» — «Ну ок!»
Про китайские соревнования и «хантеров»
— В мае мы, команда LCBC, выросшая из студенческих команд, в очередной раз взяли первый приз на соревнованиях в Китае. Цель участников — проникнуть в программу, сломать шифр и достать информацию. Самое главное — думать и делать надо быстро. Обычно соревнования длятся два дня — мы работаем весь день, потом ночью в отеле и опять весь день. И это еще быстро!
Китай все делает с размахом — оплачивают дорогу, проживание и дарят денежные призы, обычно несколько десятков тысяч долларов. Активно они начали проводить такие соревнования два года назад, и такое чувство, будто это решение государства: такой обмен опытом и тренировка местных команд.
Самое поразительное, что нас не пытаются «хантить». Хотя был крайне странный случай, когда подошли двое ребят, один сносно говорил по-русски, назвались журналистами из несуществующей газеты где-то в провинции и предложили работу: искать конфиденциальные документы северокорейских чиновников и их переписку. Предлагали очень упорно. Обещали оплачивать все поездки в Китай и заманивали прекрасными видами вечернего Пекина. Ужасно смешно было, что они говорят об этом так открыто. Но я отказался.
Про услуги по кибербезопасности
— Я не очень понимал, кем стану по получении диплома, думал, что буду программистом. Но потом появились вакансии пентестеров (penetrаtion tester — человек, ищущий уязвимые места в системе безопасности. — Ред.). Строго говоря — это тот же хакер, но пентестерам не надо так тщательно скрывать следы, их работа легальна. Я работал в одной такой компании, потом уже возникла своя фирма Deteact: сначала я консультировал сам, после нанимал сотрудников, чтобы немного разгрузиться, и постепенно все заработало.
Рынок развивается — услуги по кибербезопасности нужны всем. Большая часть моих клиентов — интернет-компании. Руководители проектов, технические директора. Частные лица тоже обращаются: это может быть просто человек с улицы, который желает защитить свои киберданные, но чаще всего — владельцы бизнесов. У последних — высокий уровень паранойи, меня постоянно спрашивают, как обезопасить информацию в мессенджерах и сделать телефоны неуязвимыми. Это волнует моих клиентов куда больше, чем возможная кража ста тысяч рублей с карточки.
Про кибергигиену
— Каждый пользователь должен понимать свою модель угрозы: кто может его атаковать и с какой целью. Если вы чем-то насолили Агентству национальной безопасности США, то, скорее всего, защитить себя не сможете — у них неограниченный бюджет и много власти. Но если ты нужен Васе Петрову, которому не терпится увидеть твои фотографии, то вполне по силам.
Люди ужасаются возможности взломов в особо крупных размерах, но обычно у них сто рублей в электронном кошельке и, кроме переписки с девушкой, ничего ценного в телефоне. К примеру, недавняя утечка данных в Facebook связана с тем, что люди добровольно делились в сетях маркетинговой информацией, а вовсе не с атакой на сами соцсети, защищенные как любой веб-сервис: не как военная тайна, но добротно. Обычно взламывают не сервис, а аккаунт конкретного человека — и только потому, что он ведется на обман и сам все и всем разболтал.
Ничего нового я не скажу, все эти советы сто раз были в сети: не пишите лишнего (или стирайте сразу), не храните лишнего (например, пароли от банковской карточки не записывайте в телефон), игнорируйте фишинг и не ходите из соцсетей на подозрительные сайты. Используйте разные пароли и двухфакторную аутентификацию, всегда блокируйте телефон и шифруйте бэкапы в iCloud. Помните: ваша задача удорожить атаку на себя. Чем лучше вы защищены — тем дороже атака на вас, и если ресурс, которым вас ломают, дешевле, чем атака, то и смысл теряется. А человеку с ресурсами ваш аккаунт сто лет не нужен — он умеет взламывать более интересные объекты.
Про «повышение осведомленности»
— Граждане нашей страны нуждаются в повсеместных курсах повышения осведомленности, да просто курсах по безопасному использованию интернета и гаджетов. При этом учить не давать пароли и не ходить по ссылкам надо не только старшее поколение, но и многих людей средних лет. Это довольно сложная задача, поскольку технологии меняются буквально каждый день и даже в нашей среде есть люди, которые, к примеру, сразу не освоили, что есть блокчейн. Просто потому, что нет времени все это догонять, а технологии меняются даже не каждую неделю, а каждый день.
Про «восстание машин»
— Точка технологической сингулярности, по достижении которой мы перестанем понимать, что происходит с технологиями? Ну, это больше о технологиях, чем о безопасности, хотя, конечно, связь прямая. Пока что все-таки это из мира кино и футурологических прогнозов. Чтобы появился искусственный интеллект, который сможет все взломать, надо, чтобы до этого был придуман искусственный интеллект, который, например, понимает текст. А такого пока нет.
Про бесполезность антивируса
— Да, есть весьма распространенная точка зрения, что это обман. С одной стороны, антивирус — большой продукт, в котором много кода. Если мы добавляем его в систему, то среднее количество кода увеличивается и потенциальное число уязвимостей вашего ПК возрастает.
С другой стороны, польза от него для неподготовленного пользователя все-таки есть, а на практике вряд ли кто-то будет массово вскрывать компьютеры людей при помощи антивируса.
Про заклеенную камеру ноутбука
— Я купил ноутбук год назад, ничего не заклеивал. Но потом мне подвернулась задвижка.