10.11.2017

Кто такие "русские хакеры" и есть ли у России кибервойска?

В последние несколько недель, с момента начала конфликта с Лабораторией Касперского, мне постоянно звонят журналисты иностранных изданий, аккредитованных в России, с просьбой прокомментировать ряд вопросов, которые, как им кажется, являются уникальными и очень интересными. Первый раз это выглядело забавно. Второй я уже отвечал по накатанной. На третий раз я начал злиться. Когда одни и те же вопросы я услышал раз в десятый, я решил написать эту заметку, а окончательно оформилась она вчера, во время перелета на конференцию Secure It World в Питере.

Вопросов обычно звучит три:
  • Как запрет США на поставки Лаборатории Касперского скажется на бизнесе компании?
  • Действительно ли ИБ-компании сотрудничают со спецслужбами?
  • Откуда русские государственные хакеры осуществляют свои атаки на весь мир?

Ну ответ на первый вопрос я оставлю за рамками этой заметки, а вот на остальные два отвечу и буду потом давать просто ссылку на нее, когда мне в очередьной раз зададут "уникальные и интересные" вопросы.

Итак, начнем с конца, поговорим про русских хакеров, которые ломают все что движется и всех. Стоит преклонить голову перед пропагандистской машиной США, которые убедили весь мир, что во всем виноваты русские хакеры. Проигрыш демократов Трампу? Русские хакеры. Раздолбайство Yahoo? Русские хакеры. Из ЦРУ и АНБ утекли секретные архивы кибероружия? Русские хакеры. Домогательство Кевина Спейси к Вайнстайну (или Вайнштейну)? Не удивлюсь, если тоже скоро найдут следы русских хакеров. Скоро и Stuxnet на наших повесят. Конечно, внутри, меня переполняет гордость за нашу страну, которая поставила всех на колени своими невидимимыми кибервойсками. Но вот за пределами страны от этого только хуже. Запущенный США маховик раскручивается и даже лояльные и независимые специалисты, компании, организации начинают задумываться, что нет дыма без огня.

Следуя традиции скоро станет известно о хакерской группировке "Red Bear"

А противопоставить нам нечего :-( У нас за всю страну отдувается одна Мария Захарова, которая комментирует абсолютно все выпады в нашу сторону. Но в ИБ нет своей Захаровой, а в МИДе нет грамотных безопасников, которые могли бы дать фактуру, отвечать на вопросы журналистов, готовить материалы. Вот по военной кампании в Сирии я регулярно вижу в СМИ выступления Конашенкова из МинОбороны, который показывает всякие спутниковые снимки, видео, доклады экспертов, карты и т.п. Ему можно верить или не верить, но выглядит это солидно. Неспециалисты верят (может и специалисты тоже). А вот по части кибербезопасности у нас нет своего Конашенкова. ФСБ молчит. СовБез молчит. ФСТЭК молчит. Минкомсвязи молчит. И только Госдума и Совет Федерации иногда выступят с разгромной речью, которая укладывается в простое "А вы докажите". И в итоге Россия проигрывает; независимо от того, виновата она или нет. Даже если признать, что мы ломаем всех и все, то от этого не легче. Гордость гордостью, но такое амплуа сильно вредит во внешней политике и экономике.

Могла ли Россия (прогосударственные хакеры) взломать все иностранные государства, в атаке на которые нас обвиняли? Да, могла. Делала ли она это? Не уверен и вот почему.  Для того, чтобы ломать все и всех нужны... нет, не кибероружие. Хотя и оно тоже, но утекшего арсенала из ЦРУ и АНБ достаточно, учитывая общий невысокий уровень кибербезопасности в мире. Нужны люди и много.

У Китая и США есть свои кибервойска, насчитывающие тысячи военнослужащих. У Израиля есть военное подразделение 8200, есть подразделения Matzov и Mamram. Даже у КНДР есть свои подразделения. А у нас нет. То есть нельзя сказать, что ФСБ, СВР, ГРУ игнорируют киберпространство и не используют его для проведения наступательных, оборонительных и разведывательных операций (было бы глупо так думать, когда весь мир устремляется в виртуальное пространство, а НАТО рассматривает его отдельным доменом для ведения боевых действий), но и отдельного огромного штата на тысячи человек у нас нет. Это журналистам можно проводить аналогии и считать, что раз в США и Китае есть, то и у нас тоже есть. Но мы-то, работающие не один год, знаем. Повторюсь. Я допускаю, что в наших спецслужбах есть те, кто может делать то, в чем их обвиняют, но чтобы их были тысячи или даже сотни?.. Вот тут у меня есть сомнения.

Ибо нет инфраструктуры для подготовки такого штата специалистов. Я 25 лет в отрасли и не думаю, что мог пропустить подготовку такого количества экспертов по наступательным кибервооружениям. Вот в Израиле, например, есть специальная программа Talpiot, которая направлена на то, чтобы выискивать и нанимать на военную службу тех, кто демонстрирует соответствующие навыки, которые могут быть полезны для военной программы Израиля. В СССР, кстати, такая программа тоже была. Помню меня в последнем классе вызвала как-то к себе директрисса, в кабинете которой поджидал "человек в штатском", который пригласил меня после школьных экзаменов в Академию КГБ и все такое. Сейчас спецслужбы тоже присматриваются к различным одаренным молодым "кадетам". Но заинтересовать их уже сложно. Престижной, как было в советское время, служба в органах уже не считается. Больших зарплат там нет, перспектив тоже (это на Западе, не у нас, выходцы из спецслужб или военного ведомства создают огромное количество стартапов по ИБ). Поэтому идут в спецслужбы не так уж и много выпускников школ или ВУЗов.

Можно, конечно, искать среди преступных элементов, но много ли их? Бывший агент ФБР утверждает, что Россия нанимает на работу хакеров, обвиняемых в киберпреступлениях в разных странах мира, давая им иммунитет. Об этом же пишет из тюрьмы арестованный за госизмену Руслан Стоянов, работавший в Лаборатории Касперского. Допускаю. Сделка со следствием - это популярная тема, особенно на Западе. Почему так много поимок хакеров именно в США? Отчасти потому, что там институт сделок со следствием очень развит и проще договориться сотрудничать, чем сесть на 30 лет. Не думаю, что Россия чем-то сильно отличается от всего мира в этом плане, разве что только количеством таких хакеров. Не верю я, что их тысячи и все они работают на государство. Учитывая культуру и свободолюбие этих людей, такой факт давно бы стал достоянием гласности, а у тех же американцев появились бы доказательство "русского следа". Но их нет. Возможно потому, что нет этих толп русских хакеров, которые якобы стоят за всеми последними крупными и не очень, известными и пока еще нет взломами.

Поэтому, в качестве резюме, я вполне допускаю, что мы могли вломиться куда-нибудь, но я не верю в массовость этого явления, которое приписывают русским хакерам. На вопрос, почему тогда нас все обвиняют, ответ простой - это выгодно нашим геополитическим соперникам. Известный факт - видишь в ком-то угрозу, не можешь его обыграть в честной борьбе, облей грязью и пусть он отмывается (если сможет). Что мы и видим. Поливают нас США и ее сателлиты, а мы... мы молчим, выбрав стратегию "не оправдываться". Правильная ли эта стратегия, покажет время.

5 коммент.:

Константин комментирует...

Вот и подтверждение подоспело.

https://xakep.ru/2017/11/10/vault8/

Александр Германович комментирует...

Противодействовать пропагандистской машине может только другая пропагандистская машина. Надежда на то, что мы сможем доказать наперсточникам, что они не честно играют, весьма наивна: они это знают гораздо лучше нас. Цель игры в том и заключается, чтобы свалить вину на другого, доказывать что-либо здесь просто некому.

Что до журналистов, то они часто просят прокомментировать придуманные ими же слухи: обычный пропагандистский прием.

biakus комментирует...

Попросили недавно сделать презентацию про "кибербезопасность". Я понял, что не знаю что это такое. Во всех СМИ пестрят КИБЕР-словами, и при этом подразумеваеют что-то связанное к компьютерами.
Алексей, просьба по возможности раскрыть в одном из следующих постов термин "кибербезопасность".

Есть определение из ISO-IEC 27032-2012, но это не то о чем все думают и пишут. Там говорят о безопасности киберпространства (виртуального мира). Дословно "Cyberspace security, or Cybersecurity, is about the security of this virtual world.", "Cybersecurity (Cyberspace security) - preservation of confidentiality, integrity and availability of information in the Cyberspace".

В том же время известные ИБ вендоры пишут о совершенно другом. Например: https://www.cisco.com/c/en/us/products/security/what-is-cybersecurity.html
В среднем они понимают под этим практику защиты систем, сетей, программ от атак.

В законодательстве РФ на текущий момент понятия киберпространство и кибербезопасность отсутствуют. Вынесенная на обсуждение Советом Федерации РФ «Концепция стратегии кибербезопасности» 10.01.2014 года не была принята и нет предпосылок к ее развитию из-за позиции ФСБ России.



Алексей Лукацкий комментирует...

http://lukatsky.blogspot.nl/2013/01/blog-post_28.html
http://lukatsky.blogspot.nl/2013/08/blog-post.html

biakus комментирует...

Спасибо.
Но я понял так, что на Западе тоже разброд и шатание в термине "кибербезопасность".

Повторяю, ISO-IEC 27032-2012 пишет про защиту конфиденциальности, целостности и доступности информации в киберпространстве. А в киберпространстве что? - виртуальные деньги, аватары, облака, виртуальные продукты или услуги и т.д. Танк украли в игре про танки, деньги украли в виртуальном мире.
Все связанные сферы безопасности (сетевая, прикладная, интернет безопасности, КИИ) обеспечивают доступность и надежность работы киберпространства для потребителей. Там про поставщиков и потребителей киберпространства, взаимодействие, риски.

Все остальные понимают "кибербезопасность" в широком смысле о защите систем, сетей, программ от атак безотносительно к их применению для создания, работы и защиты сущностей киберпространства.