Експерти GReAT відповідають на шість найцікавіших питань

1. Пошук винного
2. Проломи в безпеці ... Чи може уряд допомогти?
3. А ви знали, що Костіна подобається серіал «Mr. Robot »?
4. Чотири в одному
5. Pokémon Go: грати чи ні?
6. Безпека Android

Ранок 27 липня розпочалося як ми припускали: в чаті колеги готували все необхідне для початку онлайн-дискусії на Reddit в форматі Ask Me Anything ( «Запитай мене про що завгодно») з Костін Райю, Вінсенте Діасом, Райаном Нарейном, Брайаном Бартолом'ю і Хуан- Андресом Герреро-Сааде.

Ми зібрали всі необхідні посилання, переконалися, що всі учасники вийшли онлайн, і запустили чат, в хвилюванні і цікавості: хто ж прийде і про що ж нас запитають? За планом дискусія повинна була тривати близько півтори години, з 9 ранку по Бостону (з 4 пополудні по Москві). В результаті ж на останнє запитання ми відповіли через 4,5 години після початку дискусії.

За весь час ми нарахували 855 коментарів (разом з нашими відповідями) і висвітлили найрізноманітніші теми - від улюблених ТВ-шоу хлопців з GReAT і до того, чому так складно знайти злочинців, що стоять за APT-атаками. Фанати, тролі, журналісти і люди, що збираються стати частиною індустрії кібербезпеки, задавали різні питання команді GReAT - і експерти відповіли на всі.

Якщо ви запитаєте у експертів, яке питання сподобався їм найбільше, вони напевно дадуть вам зовсім різні відповіді, і зробити вибір їм буде ох як нелегко. Тому я розповім вам про ті питання, які припали до душі мені, і про те, чому ж вони мені так сподобалися.

Пошук винного

Ми вже багато разів писали, чому так складно знайти людей, що стоять за тією чи іншою кібератакою. На AMA це питання піднімали цілих два рази, і ми двічі на нього відповіли. Сподіваюся, ці пояснення багато прояснять.

Чи не могли б ви пояснити нам, як непрофесіоналам, як саме фахівці використовують метадані та іншу інформацію, щоб визначити автора таких атак, як DNC або Stuxnet? На які підказки компанії на кшталт «Лабораторії Касперського» звертають увагу, коли обчислюють, хто злочинець?

Відповідають Брайан і Хуан: Це хороше запитання, і на нього рідко відповідають детально - почасти тому, що кожне таке пояснення злочинці можуть використовувати, щоб підробити те, за чим ми будуємо припущення. Практично не існує таких підказок, які не можна підробити або спотворити, - саме тому фахівці часто сперечаються про те, хто саме відповідає за ту чи іншу атаку.

Найчастіше звертають увагу на мову коментарів і змінних в коді, час компіляції зловреда, причини проведення атаки, тип цілі, використані IP-адреси, куди були відправлені дані після атаки, і на інші подібні речі. З усього цього складається своєрідна матриця, яка дозволяє визначити потенційних винних. Наприклад, у випадку з DNC багато експертів сходяться в тому, що шкідливе ПЗ і інфраструктура, використані під час атаки, належали двом групам злочинців.

Привіт, фахівці «Лабораторії Касперського». Я знаю, ваша політика не дозволяє вам докладно розповідати про те, як ви визначаєте винних, але ж очевидно, що більшість атак державного рівня організовані так званими основними кібердержавамі (США, Великобританія, Росія, Китай, Іран та інші). Чому ж ми не спостерігаємо зростання атак з країн, що розвиваються і слаборозвинених країн? В цьому випадку кібершпіонаж був би по-справжньому демократичним видом діяльності з величезним арсеналом інструментів для злому і віддаленого доступу. Дякуємо!

Вінсенте Діас, провідний антивірусний експерт

Відповідає Вінсенте: Виходячи з ваших припущень країни з найбільшою кількістю ресурсів для кібератак повинні бути найактивнішими. Але це не означає, що розвиваються, не беруть участі в таких операціях, - вони просто можуть вдаватися до послуг сторонніх команд, так як це дешевше, ніж розвивати власні потужні кібервойска. Ці міркування також часто ускладнюють роботу експертів, які намагаються визначити, хто винен.

Також вам варто врахувати такий фактор, як «втома ЗМІ», - зломів буває багато, і про деякі кіберкампаніях в газетах майже не пишуть. Навіть якщо хтось знайде шкідливу кампанію, затіяну однієї маленької країною проти її настільки ж маленького сусіда, ви, швидше за все, не побачите жодної великої публікації про неї в Інтернеті.

Проломи в безпеці ... Чи може уряд допомогти?

Кожен читач Kaspersky Daily знає, що ми часто пишемо про зломи і витоках. Питання «Як мені захистити себе і свій пристрій?» Досить часто спливає в соцмережах. Під час AMA його теж задали.

Проломи в системі безпеки найближчим часом нікуди не зникнуть. Уряд США навіть склало спеціальну схему визначення ступеня кіберзагрози. Як ще уряд може допомогти вирішити цю проблему або йому не варто втручатися в життя громадян?

Відповідає Хуан: Складне питання. Звичайно, уряд може зробити дуже багато для вирішення цієї проблеми. Більш того, багато в чому воно повинно займатися такими питаннями. Наприклад, людям не варто захоплюватися відповідними зломами (хоча хтось міг би назвати це розширенням монополії уряду на легальне використання насильства). Так як зараз досить складно навіть приблизно визначити винних (а точно це зробити практично неможливо), я б вважав за краще, щоб зворотним зломом займалися тільки певні державні служби.

Що уряд може зробити прямо зараз? Мені приходять на розум дві речі:

1. Спільна робота приватних осіб і правоохоронних організацій надзвичайно важлива, коли мова йде про боротьбу з такими страшними погрозами, як, наприклад, трояни-вимагачі. Якщо шифрувальник написаний без помилок, то кращий спосіб врятувати більшість жертв - це допомогти поліції вилучити командний сервер. Тоді фахівці з безпеки витягнуть з нього необхідні дані і створять інструменти і сервіси для дешифрування. Ми не можемо конфіскувати сервера - у нас немає на це повноважень, тому відкрите співробітництво і довіру потрібні всім залученим сторонам.

2. Людям потрібно розповідати про загрози, і це питання особливо гостро стоїть у фінансовому секторі, охороні здоров'я та інших спеціалізованих технічних галузях. Компаніям потрібна експертна допомога, але часто вони не можуть повідомити про це, тому що бояться втратити репутацію або зіткнутися з негативними наслідками в рамках чинного законодавства. Важливо, щоб уряд зміг зробити крок назустріч і надати компаніям безпечний майданчик, на якій вони могли б розповісти про ті проблеми, з якими вони зіткнулися, і отримати необхідну допомогу.

А ви знали, що Костіна подобається серіал «Mr. Robot »?

Мої колеги з СММ-команди і північноамериканського офісу часто обговорюють серіал «Містер Робот». Це не дивно, якщо згадати, про що взагалі йде мова в серіалі. Як виявилося, лідер GReAT Костін Райю і Хуан-Андрес теж можуть багато чого про нього розповісти.

Якщо ви дивилися «Містера Робота», скажіть, яку б оцінку (від одного до десяти) ви б йому поставили з точки зору реалістичності зображення ІТ-безпеки і злому?

Відповідає Костін: Тверді 9,5. Більшість сцен просто першокласно зняті. Те, як використовують інструменти, операційні системи, різні дрібні деталі - від соціальної інженерії до заходів забезпечення секретності операцій, - все дуже добре. Мені особливо сподобалися кілька досить реалістичних сцен, наприклад про нещасний розробника, який все лагодить і лагодить зламався банк біткойнов, і про атаку з загубленої на автостоянці флешкою.

Відповідає Хуан: Хоча я і подивився тільки перший сезон, деякі сцени злому в ньому напрочуд гарні. Мені особливо сподобався епізод, що ілюструє, як швидко можна зробити бекдор в телефоні, якщо добре підготуватися (спойлер: швидше, ніж власник телефону встигне сходити в душ).

Чотири в одному

Одна з найактивніших учасниць обговорення #ASKGReAT в Twitter брала участь і в дискусії на Reddit. Вона задала цілих чотири хороших питання.

1) Якщо вашу систему зламали, використання захищеного поштового сервісу вас не врятує, але ж?
2) Як ми можемо зберегти конфіденційність, використовуючи Android-пристрої, при тому, що вони прикріплені до наших Gmail-акаунтів, а Google збирає дані?
3) Чи існує якийсь месенджер для Android, яким ви користуєтеся і який точно не збирає дані?
4) Інформаційна безпека чарує мене, але у мене немає професійних навичок. Як ми, звичайні користувачі, можемо допомогти вам зробити Інтернет безпечніше і вільніше?

Відповідає Хуан: Просто вау! :) ОК, давайте подивимося.
1. Мені дуже подобається ваше перше запитання, так як він підтверджує: ми працюємо над вирішенням проблеми інформаційної безпеки з найважливішою боку. Відповідаючи на ваше запитання коротко, скажу, що так, якщо вас зламали, зашифрований поштовий сервіс вас не врятує. Більш розгорнуту відповідь такий: хоча захищена пошта (наприклад, за допомогою PGP) не дозволить стороннім прочитати ваші листи при пересиланні або ж в разі злому вашого ящика або ящика одержувача, вона не захистить вас від шкідливого ПО, яке з'явиться у вас на ПК з легкої руки зломщика. Напевно, потрібно уточнити: я сказав, що ми вибрали самий вірний підхід до інфобезпеки тому, що робота захисних рішень (які забезпечують шифрування) передбачає, що ваша система не скомпрометована; в той же час розробкою і підтримкою ПЗ, що захищає ПК користувачів, займаємося саме ми, і це, треба сказати, нетривіальне завдання.

На інші ваші питання відповім коротко, так як тут ще багато про що треба поговорити.

2. Android - це складна платформа з точки зору безпеки. Якщо вас турбує конфіденційність ваших даних, вам варто остерігатися сторонніх додатків і ігор, які звертаються до непропорційно великі права доступу. Особисто мене вони турбують набагато більше, ніж інтеграція з Google.

3. Що стосується месенджерів, ми пробуємо різні рішення. Я зараз не можу розповісти вам про шифрування або особливості його впровадження, але багато хто з нас зараз тестують Wire. SilentText, Signal, Threema і Wickr теж були нашими фаворитами. Я не можу точно сказати, чи збирають вони дані, - вам доведеться запитати про це розробників месенджерів.

4. Будь ласка, захищайте свої облікові записи !!! Використовуйте менеджер паролів і двухфакторную аутентифікацію. Злочинці можуть зробити дуже багато поганого за допомогою декількох зламаних акаунтів.

Pokémon Go: грати чи ні?

Як ви, можливо, знаєте, ми не так давно писали про наймоднішою грі цього місяця - Pokémon Go . Експертів GReAT запитали, чи грають вони в покемонів або інші ігри. Звичайно, я не міг не включити це питання в список.

Чи є у вас час, щоб грати в Pokémon: D або інші ігри? Чи подобаються вам MMO RPGs?

Відповідає Хуан: Я впевнений, що деякі учасники GReAT грають в Pokemon Go, особливо приховані фанати Ingress. Я зазвичай мало граю, але мені подобаються SC2 і Destiny. Ми з Брайаном граємо в Overwatch на Xbox. І я потихеньку освоюю Zelda (A link between worlds), в основному в різних залах очікування в аеропортах ...

Відповідає Брайан: Я правда іноді граю в покемонів. Моя дружина їх ненавидить, і, чесно кажучи, я швидше за кабінетний гравець, ніж справжній майстер покемонів. Наприклад, при вході в магазин я вимикаю телефон, щоб купити продукти. Що стосується інших ігор, то зараз, якщо у мене є час, я вибираю Overwatch. До того був Fallout 4. І так, я граю на приставці.

Відповідає Костін: Я не граю в Pokemon Go, але мені подобається EVE Online. Мінматари класні :-)

Відповідає Вінсентe: Я великий фанат Street Fighter IV, мене розчарувала SFV, а ще я періодично граю в SC2. Чекаю виходу нової Mass Effect.

Відповідає Віталій: Моя робота і є моя улюблена відеогра. Дуже реалістичний, відкритий тривимірний світ з несподіваними сюжетними поворотами і складними проблемами, які треба вирішити.

Віталій Камлюк, керівник дослідницького центру в Азіатсько-Тихоокеанському регіоні

Безпека Android

Платформа Android популярна не тільки у користувачів (зізнаюся, один з моїх телефонів - Droid, і я встановив на нього Kaspersky Internet Security для Android), а й у шахраїв. Не вірите? просто погляньте на цифри . Я був радий побачити це питання на AMA - як підтвердження того, що людей турбує ця проблема.

Чи потрібно мені встановити антивірус на мій Android-смартфон? Віруси і шкідливе ПО на мобільних пристроях є справжньою загрозою?

Відповідає Костін: Мені здається, що мобільне шкідливе ПО можна порівняти з айсбергом, - можливо, ми все ще не бачимо багато чого. Хоча в останні роки кількість мобільних зловредів для Android зростає з дивовижною швидкістю, велика їх частина - це рекламне ПО і локери. Проаналізувавши просунуті APT-атаки, такі як Equation, ми прийшли до висновку, що багато злочинців розробили власних мобільних зловредів. І їх знайдуть рано чи пізно, так само як ми вже знайшли аналогічні розробки Hacking Team. Установка захисного рішення на Android-пристрій не тільки вбереже вас від відомих загроз, але і не дасть підхопити нові віруси.

Як ви думаєте, чого варто очікувати в найближчому майбутньому?

Наскільки я розумію, шкідливе ПЗ для Android в основному поширюється за допомогою сторонніх магазинів, і Google насправді непогано справляється із захистом Play Store. Однак з легкої руки виробників мільйони Android-телефонів застаріли. Як вам здається, ми зіткнемося одного разу з масовим зараженням просто тому, що хтось вирішить проексплуатувати Stagefright і розішле шкідливі MMS-повідомлення будь-кому на планеті?

Костін Райю, керівник Глобального центру досліджень і аналізу загроз

Ви згадували APT-атаку (Equation). Вона ставить під загрозу випадкових користувачів Android або тільки, так би мовити, віпів?

Відповідає Костін: Мене найбільше турбує безконтрольне використання рекламних бібліотек в «безкоштовних» додатках для Android. Наприклад, якомусь додатку-ліхтарику для показу реклами потрібно підключення до Інтернету. Зараз дуже багато додатків підключені до стандартизованих рекламним бібліотекам, які дозволяють розробникам швидко заробити гроші. Багато компаній, які розробляють ці бібліотеки, продаються знову і знову, і тому нешкідлива зараз рекламна бібліотека може одного дня стати джерелом зараження десятків тисяч пристроїв. В майбутньому, я думаю, злочинці будуть купувати такі компанії і заражати їх троянським кодом. Це порівняно недорогий спосіб скомпрометувати багато цілей, не чекаючи якогось чергового, складної уразливості нульового дня.

З іншого боку, масова атака за допомогою чогось на кшталт Stagefright теж можлива. Однак, наскільки ми бачимо, найефективніші атаки організовуються під контролем держав, і їх творці вважають за краще більше точковий підхід.

Ось вони, шість моментів з GReAT AMA, які мені найбільше запам'яталися. А що ви думаєте? Про що ще мені слід було розповісти, а що прибрати? Напишіть про це на наших сторінках в Facebook або Twitter. І хочу передати вам величезне СПАСИБІ від команди GReAT (і всіх співробітників «Лабораторії Касперського») за те, що ви допомогли нам провести свою першу AMA-дискусію.