Фото
13:20, 28 октября 2013

Главный эксперт "Касперского" Гостев о кибер-войнах в регионе и вообще


 Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев во время своего приезда дал мне эксклюзивное интервью по вопросам безопасности. Мы обсуждали как локальные вопросы - например армяно-азербайджанские кибер-войны, так и глобальные вопросы, например, разоблачения Сноудена и что из этого вытекает. Интервью очень большое, поэтому разделил его. Итак - часть первая - более армянская и азербайджанская.

Вопрос - Для Армении DDoS-атаки стали актуальны с 2012 года, до этого как-то особо мы не сталкивались с этим. А тут в начале года перед выборами пошли атаки - судя по всему по внутренним заказам. А осенью произошёл обмен атаками с Азербайджаном. Да и в мире число атак растет, цены падают. Не кажется ли вам, что они становятся критически опасными в целом для развития Сети?

Гостев - Я бы не сказал, что DDoS-атаки становятся критически опасными, они уже такими стали. Наиболее громкий пример – это, конечно, 2007 год, когда DDoS-атаки на веб-сайты эстонских правительственных органов практически отключили страну от Интернета. За последние год-два произошло очень резкое увеличение мощностей атак за счет появления новых технологий. Если ещё до прошлого года мы никогда в России не видели атак мощнее 8 Гб, то совсем недавно мы наблюдали уже атаки мощностью 50 Гб. И проблема сейчас заключается именно в этом – в возрастании «ударной силы» DDoS-хакеров.

Почему именно сейчас атаки стали такими мощными? Потому что были обнаружены уязвимости в программном обеспечении DNS-серверов. И до тех пор, пока владельцы всех этих серверов не «проапдейтят» их и не устранят уязвимости, тут ничего нельзя будет сделать. Можно, конечно же, ставить фильтры, увеличивать уровень защиты, но атаки уже доходят до такого масштаба, что владельцы каналов связи при забивании канала «мусорными» запросами могут просто целиком отключить проблемный сегмент. Ресурс, являющийся целью злоумышленников, может и справляется с атакой, но канал просто забивается. Поэтому без  помощи владельцев этих DNS-серверов уже никак не обойтись.

Что касается традиционных атак при помощи ботнетов, которые продаются или сдаются в аренду, то да, цены на них действительно упали значительно. Например, мы не так давно отражали серию DDoS-атак против крупнейших российских банков, и вот ботнет, который атаковал банки, оказался очень небольшим - работало всего порядка 2000 зараженных машин, которые использовали как раз уязвимости DNS-серверов. На чёрном рынке такой ботнет стоит копейки, его может взять любой желающий. И несмотря на скромные размеры этого ботнета ему удалось на несколько часов положить банковские сайты.

Если говорить об Армении, то уместно вспомнить крупный инцидент прошлого года, когда армянские хакеры атаковали азербайджанские сайты и получали ответные атаки. В тот момент из Армении к нам никто не обращался за помощью, а вот из Азербайджана такой запрос поступил. Сайт президента Азербайджана подвергся DDoS-атаке, и нас попросили помочь. Мы буквально в течение нескольких часов обнаружили ботнет, с которого эта атака велась, перехватили доступ к центру управления и «перебросили» его на себя. Сервер управления оказался в Германии и был зарегистрирован на гражданина Украины из города Запорожья. То есть, вероятно, это был как раз тот самый человек, который принял заказ на проведение DDoS-атаки.

Вопрос -А большой был ботнет?

Гостев - 40 тысяч зараженных машин. Я думаю, что эти атаки не велись непосредственно ни армянскими, ни азербайджанскими хакерами. Они обращаются к неким киберпреступникам, к «ботоводам», которые живут в России,  на Украине или, скажем, в Белоруссии. Существует некая единая киберпреступная экосистема. Хакеры стран бывшего Советского Союза продолжают взаимодействовать друг с другом очень плотно. Мы никогда не видели атак на российские ресурсы со стороны, скажем, китайских ботнетов. Они занимаются своими делами в Азии. Судя по всему, мешает языковой барьер. Русскоязычным преступникам очень трудно сделать заказ китайским хакерам - китайцы плохо говорят по-английски или вообще не говорят, а наши соотечественники не понимают иероглифов и т.д.  

Вопрос - Армения впервые столкнулась с крупнейшей DDoS-атакой в сентябре 2012 года, и в будущем нам приходится ожидать новые. Насколько осуществима защита на национальном уровне?

Гостев - Я не берусь давать финансовые оценки. Я не знаю, как организована связь Армении с внешним миром, каковы мощности канала. Но поскольку мощности атак растут, необходимо в любом случае увеличивать мощность канала. И не только из-за DDoS-атак. Сейчас трафик в Интернете тоже растет стремительно. Мы проводили оценку трафика: 70% - это поток из YouTube и различные флеш-приложения. Так что увеличивать мощности надо обязательно. Я думаю, можно обратиться к опыту Эстонии. На момент первой атаки пропускная способность интернет-канала Эстонии была даже меньше пропускной способности какого-нибудь района Москвы. После серии DDoS-атак они стали увеличивать мощности. До этого у них был только канал на Финляндию, который шел через Петербург. Сейчас они построили несколько других путей. В качестве дополнительных мер можно стараться выносить наиболее критические ресурсы вовне, размещать их не на серверах внутри Армении.

Вопрос - Но ведь государственные серверы не вынесешь наружу...

Гостев - Это зависит от ресурса. Если дело касается только информационных ресурсов, то их вполне можно разместить на внешних серверах, особых проблем не будет. А атаки как раз бывают чаще всего именно на эти ресурсы. Что касается почтовых серверов и подобных ресурсов, то злоумышленники часто даже не знают об их существовании, поскольку они не видны.

Вопрос - А теперь вопрос с армянской спецификой. В Армении недавно вышел из заключения хакер, который был осужден за создание и использование ботнета «Бредолаб». Не кажется ли вам, что нашли крайнего? Насколько вероятно, что он один всем «Бредолабом» занимался? Особенно с учётом того, что после его ареста троян «Бредолаб» ещё какое-то время мутировал и существовал в Сети.

Гостев - Не совсем так. Дело в том, что за несколько недель до ареста этот хакер с помощью ботнета «Бредолаб» осуществил DDoS-атаку на сайт «Лаборатории Касперского». Незадолго до атаки, где-то за неделю, мы как раз делали доклад о «Бредолабе» на крупнейшей антивирусной конференции «Вирусбюллетень» – рассказали, как устроен ботнет, как он работает. Хакер, видимо, узнал о нашем докладе из новостей и в отместку атаковал нас. В атаке участвовали 150-180 тысяч ботов. Это был действительно очень крупный ботнет с серверами управления в Голландии и во Франции.

Вопрос -Маленький уточняющий вопрос - про «Бредолаб» пишут, что там было 3 миллиона и даже 30 миллионов зараженных машин. Насколько это близко к истине?

Гостев - На момент задержания в нём было около 180 тысяч машин. Возможно, что за все время существования «Бредолаба» через него прошло 3 миллиона машин. Ведь как всё происходит: машина заражается, потом лечится, тогда заражается другая и так далее.

Что касается вопроса «не нашли ли крайнего» - судя по информации, которая у меня есть, именно этот человек занимался «Бредолабом». Вероятнее всего, он купил код троянской программы, а те программисты, которые создали и продали ему этот код, просто продолжали над ним работу.

Такая ситуация не является особенной. Сегодня услуги по созданию троянских программ довольно распространены. Весной этого года на Украине была совместная операция российской ФСБ и украинской Госбезопасности, в ходе которой были арестованы порядка 20 человек, причастных как раз к созданию подобных программ. В данном случае речь шла о банковском троянце Carberp, который стал головной болью российских и украинских банков. Эта группа создавала и продавала троян, да и сама крала с его помощью деньги. А схема работы этой группы выглядела максимально прозрачной: была создана совершенно легальная софтверная компания, с юридическим адресом, с генеральным директором. Многие программисты, которые создавали Carberp, даже и не подозревали, что они создают троян – они думали, что работают над безобидным модулем какой-то программы. В мае состоялся суд над 6 из них, над самыми безобидными, которые получили условные сроки. А основные фигуранты дела пока ждут суда. Проблема в том, что некоторые из преступников являются гражданами России, и РФ требует их выдачи.  Так вот, после того, как все причастные к трояну Carberp люди были арестованы, через месяц в Сети в открытом доступе появился архив Carberp. Причем архив этот появился в Интернете явно с компьютера одного из арестованных программистов. Каким образом этот архив утек - вопрос к украинской полиции. Но в результате код находится в открытом доступе, и теперь любой может модифицировать его и работать над ним.

Нальчик: пенсионерка ломает свой магазин по решению суда Нальчик: пенсионерка ломает свой магазин по решению суда НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Тяжелая техника в Нальчике сегодня ломала магазин 77-летней пенсионерки Аминат Шемирзовой. Городской суд посчитал, что хозяйка незаконно пристроила к магазину 49 м², и вынес решение о сносе пристройки. 21 декабря 2024, 21:12 Ростов: водители скорой помощи пожаловались на условия труда #Shorts Ростов: водители скорой помощи пожаловались на условия труда #Shorts НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Водители станции скорой помощи в станице Вешенской Шолоховского района записали видеообращение, в котором пожаловались на низкие зарплаты, плохое состояние автопарка и сверхурочную работу. Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/406706 17 декабря 2024, 16:33 Многодетный военный требует участка земли в Ингушетии Многодетный военный требует участка земли в Ингушетии НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Отец пятерых детей Зураб Хамху пожаловался на проволочки с выделением земли в Ингушетии ему как участнику военной операции. Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/406692 17 декабря 2024, 00:19 Четвертая атака беспилотников на Чечню Четвертая атака беспилотников на Чечню НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ В сети опубликованы видео захода беспилотника на цель в Грозном и его взрыв на территории объекта. Эта атака 15 декабря стала четвертой на территории Чечни. Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/406647 15 декабря 2024, 15:10 Выборы в Грузии: выборщики голосуют, граждане протестуют Выборы в Грузии: выборщики голосуют, граждане протестуют НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ В Грузии проходят первые непрямые выборы — за главу государства голосует коллегия выборщиков, а не граждане страны. Единственный кандидат в президенты — Михаил Кавелашвили, бывший депутат, футболист и член "Грузинской мечты". В Тбилиси около парламента, где голосуют выборщики, на акцию протеста собрались противники приостановки евроинтеграции. Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/406617 14 декабря 2024, 13:14 Как Кадыров наехал на Бастрыкина и Колокольцева Как Кадыров наехал на Бастрыкина и Колокольцева НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Следком показал видео нескольких нападений, якобы, с участием подростка, за которого вступился Рамзан Кадыров. Однако только одна запись, где подростка называют по имени, предполагает его участие в конфликте. Во всех остальных случаях утверждать с уверенностью, что обвиняемый в числе участников невозможно. Накануне Кадыров заявил о профнепригодности руководителей МВД и Следкома. Глава Чечни пригрозил чиновникам наказанием свыше и выразил уверенность, что подросток скоро освободится. Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/406367 07 декабря 2024, 01:37