security

Текст Сергей Лунёв | 27.02.2014

Интернет-мошенничество, спам, DDoS-атаки уже давно перекочевали с газетных страшилок в повседневную реальность. Объём рынка криминального Интернета в России на момент 2012 года составлял почти 2 млрд долларов. Громадная сумма ярко характеризует уровень безопасности сегодняшнего веба.

Вопросы кибербезопасности поднимаются на высоком уровне министерств и специальных ведомств. Однако наибольшей компетенцией обладают нишевые специализированные частные структуры. Пример – Group-IB, компания, которую часто называют «детективным бюро».

Group-IB занимается расследованием, мониторингом и предотвращением преступлений в интернете. Компания появилась в 2003 году. Основателя Group-IB, Илью Сачкова натолкнула на создание компании американская книга по компьютерной криминалистике. Сфера была не освоена в России. С тех пор компания не только инициировала появление рынка на услуги в области компьютерной криминалистики, но и получила статус международной компании.

Инфографика_Объем-рынка)

На данный момент клиентами Group-IB являются крупнейшие банки и холдинги, компания сотрудничает с правоохранительными органами и спецслужбами, а также публикует интересные исследования о криминале в Сети. Илья Сачков согласился ответить на вопросы Hungry Shark и рассказал о том, что из себя представляют DDoS-атаки, откуда берутся хакеры и как попасть на работу в Group-IB.

Мы недавно выпускали материал про кардеров. Они снимают деньги со счетов различных пользователей. Является ли это достаточно существенной проблемой? Ведь в действительности все странные платежи блокируются службой безопасностью банка, вход в банковский клиент имеет два уровня защиты – в том числе, код приходит смс-кой. Действительно ли большие объёмы похищенных средств с банковских счетов? 

Насчет того, что все «плохие» платежи блокируются – если бы все они блокировались (что, по понятным причинам, невозможно), тогда бы проблемы не было. А она есть. И объемы хищений достаточно большие, чтобы уделять этой проблеме самое пристальное внимание. У нас есть подробный отчет об уровне хищений денежных средств – цифры можно посмотреть тут. Так же недавно и Центральный банк подтвердил, что проблема существует.

Что касается методов защиты: СМС-подтверждение – хороший инструмент снижения риска кражи, но тоже не является панацеей.

Есть ли действующие схемы по отжиму средств из системы электронных денег – вроде PayPal, WebMoney или Яндекс.Деньги? Как с ними бороться? 

Конечно есть. Для всех систем электронных денег придуман способ кражи. Самые популярные – фишинг и заражение компьютера вредоносным программным обеспечением.

Относительно защиты: каждый должен бороться на своем уровне, пользователь – следить за «гигиеной» своего компьютера, не открывать ссылки из спама, смотреть внимательно на открываемые страницы, проверять антивирусом загружаемый контент и подключаемые носители. Платежные системы должны бороться за качество работы своих служб фрод-мониторинга, повышать осведомленность клиентов. CERT (в частности, наш CERT GIB) должны быстро реагировать на появление угроз, закрывать вредоносные, фишинговые, мошеннические ресурсы и т. д. Правоохранительные органы – расследовать те инциденты, что все-таки имели место. И здесь мы можем оказать помощь своей экспертизой.

Что вы думаете о законопроекте Лугового – об ограничении анонимных платежей? 

Борьба сил добра с силами разума. Борются вроде с терроризмом, а набьют по рукам наш российский бизнес (зарубежные конкуренты сильно от него не пострадают). Терроризму хуже не станет – у него другие инструменты финансирования, наличность, в первую очередь, и теневые платежные системы, во вторую (биткоин и т. п.)

Уже давно сформировалась криптовалюта биткоин. Есть и другие аналоги. Не осложняют ли вам криптовалюты работу? 

По закону, мы не имеем права какие-либо платежи где-либо запрашивать и отслеживать, наши расследования держатся на глубоком знании самих технологий киберпреступлений и интернета и накопленной базе именно технических знаний по русскоязычному сегменту киберпреступности. Так что нам они сильно не мешают. Но вот правоохранительным органам, и не только российским, естественно, жизнь осложнят.

Давайте от темы современных финансов перейдём к DDoS-атакам. Существуют ботнеты – сетки компьютеров, заражённых вирусами. Каким-то образом законодательство ограничивает их использование? Вообще, что вы можете сказать о законодательстве в данной сфере?  

По определению, несанкционированный доступ  преступление, предусмотренное статьей 272 УК РФ «Неправомерный доступ к компьютерной информации». Ботнет сам по себе – чистой воды преступление (273 статья – создание и распространение вредоносного ПО). И наказывать за него, по сути, надо уже за сам факт его создания, уже не говоря о его криминальном использовании (для проведения DDoS-атак, краж данных и прочих криминальных услуг).

Проблема в том, что правоприменение в этой области  хромает. Ну, как часто бывает в нашей стране — закон есть, практики применения – нет. Хотя мы довели до суда и приговора 3 дела по DDoS-атакам.

Что из себя представляет DDoS-атака? Как понять, что сайт если подвергается DDoS-атаке? Как это определить владельцу сайта? 

Простым языком – множество компьютеров, которые входят в ботнет, начинают устанавливать соединение с сайтом (шлюзом платежного приложения, сервером онлайн-банкинга и любым другим сервисом, доступным извне, через интернет) – жертвой. Это может быть, примерно так же, как если бы владелец зараженного компьютера сам зашел на этот сайт и начал там что-то делать.

Любой сайт рассчитан на определенное число таких соединений, при превышении числа которых он перестает обрабатывать другие соединения, то есть, реальных клиентов, которые хотят зайти на сайт. Есть еще и другая сторона – сайт-то может и тянет, но канал полностью забит паразитными соединениями, и легитимные туда просто не «влезают». Забить гигабитный канал в наше время – штука совсем несложная.

Владелец сервиса, если он не позаботился заранее, узнает об этом, когда ему клиенты или партнеры позвонят с жалобой на недоступность. А лучше все-таки позаботиться – и купить аутсорсинговую защиту от DDoS-атак, в пакет которой стандартно входит защита (фильтрация трафика) + оповещение об атаке. Наша компания также предоставляет такую услугу.

Есть ли опасные вирусы для мобильных устройств? Что они из себя представляют? Были ли случаи, когда опасное приложение, скажем, появлялось в AppStore?  

Да, есть. Операционные системы смартфонов умнеют, приобретая все больше и больше функций, а вместе с ними – уязвимостей. Объяснить на пальцах, что есть вирус для мобильного устройства, довольно сложно, но по характеру активности это такой же вирус, как и для компьютера, делает что-то нехорошее – сливает злодеям данные платежных приложений, банковских карт, телефонные книжки и даже ДДОСит. В 2013 году мы несколько раз обнаруживали поддельные банковские приложения и в AppStore и в GooglePlay.

Инфографика_2

Несколько вопросов про хакеров. Где они обучаются своему ремеслу? И как выискивают заказчиков?

Основное самообучение, хотя немало высококвалифицированных хакеров с дипломами технических ВУЗов. Есть масса площадок  в интернете, где собираются хакеры, и те, кто думает что они хакеры, обмениваются информацией, находят клиентов, заказчиков, партнеров-подельников. Там же торгуют наворованным. И там же учатся.

Что вы думаете об истории с Silk Road. Как только его закрыли – сразу появилось несколько аналогов. Возможно ли бороться с Интернет-рынками, скрытыми в так называемом глубинном интернете?

Насчет аналогов – ну, не исключено, что некоторые из них являются «приманками» спецслужб. А так, конечно же, в этой нише стало просторнее после падения Silk Road. Это черный рынок, и развивается он по рыночным законам, причем рынок этот очень конкурентный, он свободен от регулирования  и потому весьма  креативен. Бороться с рынками, скрытыми в глубинном интернете, можно, они же не в глубоком космосе. Но это тема отдельного повествования.

Что вы думаете по поводу анонимности в современном интернете? Не кажется ли вам она излишней? В какой степени должна сохраняться приватность?

Когда смотришь на киберпреступность – хочется, чтобы  всё было про всех известно, и все были идентифицированы. А когда видишь подчас странные проявления современной политической жизни – понимаешь, что неприкосновенность частной жизни и приватность обществу необходимы.

Я не думаю, что мы где-то далеко от «золотой середины».

Foto_Ilia

Как вы относитесь к деятельности Сноудена?

Политическую составляющую комментировать не готов, но жизнь парень себе усложнил. Что касается влияния на наш бизнес: Сноуден подорвал доверие к американским компаниям, в том числе из сферы  интернет-безопасности. Думаю, пришло время русским показать свои продукты и решения.

Также вы занимаетесь защитой контента и авторского права. Возможно ли это отследить? Какие технологии используете? 

Отследить возможно всё. Мы видим большинство ресурсов, где может появиться нелегальный контент.  По поводу технологий – назовем это мониторингом, но что внутри – это всегда ноу-хау.

Сотрудничаете ли вы с администраторами социальных сетей. В какой форме они происходят?

Да, мы пишем заявки-жалобы на незаконное размещение контента наших клиентов как раз в рамках защиты контента, авторского права, бренда. Как правило, это переписка по электронной почте. На некоторых ресурсах нам предоставлен модераторский доступ.

Что вы думаете о различных программах, которые внедряются для детей, чтоб они не посещали опасные сайты? Могут ли они действительно ограничить?

Могут, конечно, только вот дети лучше стали разбираться в компьютерах, чем их родители, так что тут уж «кто кого».

Лучший родительский контроль  это родители, проводящие время с ребенком.

_NIK5903

Как происходит сотрудничество со спецслужбами? 

Если вы имеете ввиду правоохранительные органы, то мы оказываем экспертную поддержку, консультации, проводим криминалистические исследования на платной основе, часто за руку приводим к ним потерпевших. Все происходит в рамках законодательства, а именно на этапе проверки материалов перед возбуждением уголовного дела правоохранительным органам бывает нужна помощь специалистов и исследование, а после — возбуждение.

Каким образом вы находите клиентов?

Все как у всех в B-2-B  – или они нас, через сайт, соцсети или сарафанное радио, или мы их – знакомства, социальные сети и т. д. Но может быть, нам чуть проще, по расследованиям все знают Group-IB. А вот наш блок «предотвращение» — это чаще активные продажи с нашей стороны.

Как вы осуществляете рекрутинг сотрудников? Бывает ли такое, что хакеры переходят к вам работать, или это из числа мифов?  

У нас жесткий отбор – людей проверяем серьезно, в том числе с помощью полиграфа и многих других методик. Так же полиграфические проверки проходят действующие сотрудники компании. А  находим  по рекомендациям, иногда в интернете или через наши программы работы с техническими ВУЗами.

Также разыскиваем таланты через различные конкурсы. Недавно, кстати, провели Олимпиаду по криминалистике, определили победителей и заодно присмотрели кандидатов на работу. Бывших преступников на работу не берем – это нерушимое правило.

Насколько конкурентный рынок?

Если говорить про российский рынок, то некоторым нашим сервисам на внутреннем рынке конкурентов нет, а некоторым есть. В общем не очень – но здесь же и трудность, так как «ломать лед» и приносить на рынок сложные инновационные продукты всегда непросто, это требует большей изобретательности и, зачастую, больших издержек. На Западе конкуренция острая, но у нас есть одно маленькое преимущество. Самые сильные в мире не только русские хакеры, но и русские антихакеры.

Иллюстрации предоставлены пресс-службой Groub-IB

Обложка — источник