Сергей Ложкин: «Русскоязычные хакеры появились в 90-е, когда с экономикой в стране все было крайне плохо»

Антивирусный эксперт «Лаборатории Касперского» о скрытых кибервойнах, уязвимостях нулевого дня и Робин Гудах из «айти»

Великие и ужасные русские хакеры — миф или реальность? Что спровоцировало появление в России первых киберпреступников? Могут ли иностранные хакерские группировки выдавать себя за российские в политических целях? Действительно ли интернет стал площадкой для ведения военных действий? На эти и многие другие вопросы «Реального времени» отвечает старший антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин.

«Число атак на самом деле достаточно велико»

— Недавно был принят законопроект о суверенизации Рунета, и, как вы и сами прекрасно знаете, этот документ стал ответом на стратегию кибербезопасности США, в которой говорится о наказании, которое должна понести Россия за хакерские атаки. Я решила начать разговор с этой темы и попросить вас рассказать о наших ребятах — «страшных русских хакерах». Все-таки миф это или реальность?

— Это действительно хороший вопрос и хорошая тема для обсуждения. Вы любя назвали их «ребятами», а я в первую очередь назвал бы их злоумышленниками, и национальность здесь абсолютно ни при чем. Несомненно, у любого хакера есть национальная принадлежность, и каждый из них рождается в определенной стране, но в киберпространстве границ не существует. Сообщество экспертов по безопасности разделяет их на русскоязычных, англоязычных, арабоязычных и так далее, но никогда не утверждают, что это, допустим, «русские хакеры». Национальность определить практически невозможно, в процессе анализа кода можно обнаружить, что злоумышленники владеют русским языком и общаются на русскоязычных андеграундных форумах.

В мире достаточно давно сложилось мнение, что русскоязычные хакеры очень сильны и атакуют буквально всех. Это небезосновательно. Большое количество вредоносного ПО и атак действительно разрабатывается русскоязычными хакерами. Существует множество русскоязычных форумов в Darkweb для киберпреступников, где обсуждаются различные методы атак и обхода антивирусных систем, а также продается и покупается вредоносное ПО. Число атак, осуществляемых подобными группами, на самом деле достаточно велико.

«В мире достаточно давно сложилось мнение, что русскоязычные хакеры очень сильны и атакуют буквально всех. Это небезосновательно. Большое количество вредоносного ПО и атак действительно разрабатывается русскоязычными хакерами». Фото Олега Тихонова

— А чем это можно объяснить? Связано ли это с нашей сильной математической школой?

— Русскоязычные хакеры появились в 90-е — в то время, когда с экономикой все было крайне плохо. Соответственно, очень много действительно светлых умов, у которых было хорошее еще советское математическое образование, обратили свое внимание на «темную» сторону. Это был этап появления вредоносного ПО, направленного именно на кражу и финансовое обогащение, а не на демонстрацию собственного мастерства.

Все это продолжилось, и многие хакеры сейчас, как это ни странно, оправдывают себя тем, что атакуют не бедных людей или жителей России/стран СНГ. Они якобы атакуют европейцев, американцев, считая себя Робин Гудами. На мой взгляд, это очень глупое оправдание.

— Вы сказали, что по ряду признаков можно определить, русскоязычные работали хакеры или англоязычные. А возможно ли создать видимость принадлежности к той или иной группе в корыстных целях?

— Конечно, и сейчас подобное происходит очень часто. Мы в «Лаборатории Касперского» очень аккуратно занимаемся атрибуцией и не спешим говорить: «Вот эта атака проведена русскоязычными хакерами, а вот эта — англоязычными». Дело в том, что в последние пару лет стало гораздо сложнее определить принадлежность, поскольку многие группировки, работающие на правительства тех или иных стран, специально пытаются оставить в коде определенные артефакты, использовать методику подражания, чтобы заставить аналитиков поверить в то, что атака совершена группировкой из другой страны. Сейчас все очень сильно смешалось, все пытаются подставить друг друга, преследуя определенные цели, поэтому атрибуция стала очень сложным делом.

«Если говорить об импортозамещении, то в целом механизм поддержки, когда зарубежное ПО не запрещается, но отечественным разработкам дается приоритет при выборе, довольно разумен. Главное – чтобы выбранные решения могли обеспечить безопасность на должном уровне». Фото Олега Тихонова

«Люди осознали, что киберпреступники действительно существуют»

— У человечества появилась еще одна площадка для проведения военных действий — интернет?

— Это называется кибервойной. Такие войны ведутся уже несколько лет, причем все делается очень скрытно, поэтому не все видят, каковы их реальные масштабы. Способов их ведения очень много, в том числе различные методы кибершпионажа, заражение оборудования и использование уязвимостей нулевого дня.

— Отсюда вытекает вопрос обеспечения безопасности. В России было принято множество соответствующих законов, мы взяли курс на импортозамещение ПО и так далее — на ваш взгляд, эти меры эффективны в ситуации, когда ведутся реальные кибервойны?

— Мы в «Лаборатории Касперского» занимаемся исключительно практическим аспектом кибербезопасности. Если говорить об импортозамещении, то в целом механизм поддержки, когда зарубежное ПО не запрещается, но отечественным разработкам дается приоритет при выборе, довольно разумен. Главное — чтобы выбранные решения могли обеспечить безопасность на должном уровне. Также, на мой взгляд, важно, чтобы у государственных структур в штате были высококлассные специалисты-практики по защите информационной среды, которые будут внедрять методики и технологии, начиная с железа и заканчивая защитным программным обеспечением. Необходимо понимать, что изоляция — не панацея. Если изолировать сегмент Сети, это не гарантирует того, что заражения не произойдет. По этой причине в первую очередь нужны практические действия, в том числе повышение уровня киберграмотности сотрудников подразделений в области информационной безопасности, новые разработки и новые методики.

Однако очень важно вступление с 2018 года в действие закона «О безопасности критической информационной инфраструктуры».

«Информационная среда современного человека, который может и не иметь никакого отношения к IT, все-таки держит его в небольшом напряжении. Хотя надо различать молодое поколение, которое «живет» в гаджетах, и людей старшего поколения, в меньшей степени владеющих необходимыми знаниями». Фото Олега Тихонова

— Мы с вами говорим о государствах и войнах, но как-то не вспоминаем про информационную безопасность обычных пользователей и угрозы для них со стороны каких-нибудь умных домов и так далее.

— К счастью, мы еще не дошли до того момента, когда пользование умным домом ставило под угрозу чью-то жизнь — таких случаев на практике еще не было. Но о безопасности этих систем важно задумываться уже сегодня. К сожалению, сам пользователь, на самом деле, мало что способен предпринять, поскольку вся нагрузка по безопасности подобных систем ложится исключительно на разработчика.

Если мы возьмем в качестве примера умную машину, то современный автомобиль — это множество абсолютно автономных компьютеров, принимающих огромное количество решений. Кстати, несколько лет назад проводились серьезные и очень любопытные исследования: специалисты пытались удаленно перехватить управление автомобилем, им это удалось. Вообще, раньше разработчики в первую очередь думали о том, как сделать автомобиль максимально надежным и комфортным. Радует, что в последние годы производители больше инвестируют в кибербезопасность подобных умных устройств, начиная с автомобилей и заканчивая умными домами и промышленным интернетом вещей. Думаю, этот тренд будет развиваться и дальше в геометрической прогрессии.

— По вашей оценке, есть ли в нашем обществе культура киберзащиты? Или пора менять ментальность?

— Ментальность нужно менять, но по сравнению с ситуацией пятилетней давности, когда все было совсем плохо, улучшения очевидны. Люди осознали, что киберпреступники действительно существуют: каждый день приходят новости о том, что кого-то взломали, перехватили, где-то уничтожили информацию, утекли какие-то данные и так далее. Информационная среда современного человека, который может и не иметь никакого отношения к IT, все-таки держит его в небольшом напряжении. Хотя надо различать молодое поколение, которое «живет» в гаджетах, и людей старшего поколения, в меньшей степени владеющих необходимыми знаниями, — эту часть населения, несомненно, нужно просвещать.

Лина Саримова

Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.

Справка

Старший антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин. В настоящее время ведет исследовательскую деятельность по следующим направлениям: кибершпионаж, статический и динамический анализ вредоносного ПО, исследование сетей Undernet (типа TOR), социальная инженерия, безопасный обмен данными, анализ эксплойтов и анонимных сетей, а также расследование киберпреступлений.

Сергей Ложкин окончил Омскую академию МВД России. До прихода в «Лабораторию Касперского» занимался расследованием киберпреступлений в министерстве внутренних дел РФ, а также работал в различных компаниях в качестве специалиста по тестам на проникновение и вирусного аналитика.

ТехнологииIT

Новости партнеров