Тогда, в 2014 году, картинка с лицом Дмитрия Яроша в качестве «победителя» президентских избирательных гонок с результатом 37% так и не появилась на главной странице официального сайта ЦИК. Украина спокойно и уверенно прошла президентские выборы, последний этап легитимизации постреволюционной власти. В деталях эта история, которой могут гордиться наши спецслужбы, будет известна наверняка через десятилетия. Но определенные фрагменты об этом Виктор Жора, соучредитель компании InfoSafe (они, собственно, сдерживали наступление и осуществляли прорыв) стал героем многочисленных публикаций в западных СМИ.
Наш разговор с Виктором, экспертом по кибербезопасности – не только воспоминание о событиях трехлетней давности (хотя день инаугурации Порошенко может быть поводом для праздника, который, впрочем, для россиян, после мощной кибератаки, стал и цусимой, и аустерлицем). Впрочем, война не закончена, она идет сегодня в режиме нон-стоп, в США, во Франции, и у нас. Правильно ли действует в этой войне Украина? Продуктивны ли последние ограничительные меры СНБО, стоит ли бояться шпионских программ? Может ли быть софт, рожденный в РФ, настолько опасным, чтобы убирать его с рынка одним росчерком пера? Все эти вопросы мы адресовали Виктору Жоре.
- Виктор, давайте вспомним о событиях в ЦИК 2014 года? Когда я себе это представляю, мне это видится, как в фильме Матрица. И защищена ли ЦИК уже сегодня?
- Если идти по сравнению, то где-то так, как в Матрице. Серверная ЦИК, черные экраны компьютеров, наши ребята не спят пять суток, держались на энергетиках. Странное ощущение, что по этому проекту невозможно сдвинуть дедлайн. Есть дата выборов, и до этой даты невозможно не успеть. С другой стороны, точно знаешь, что результат будет достигнут, потому что... нет шансов его не достичь. Даже в мыслях никто не допускал. Эта работа стала невероятным «Live hacking show».
Если вообще классифицировать ту атаку, разобрать ее по частям, там было три фазы: первая фаза – это попытка проникновения и несанкционированного вмешательства в работу системы «Выборы», попытка уничтожения баз данных, а возможно, и с последующим искажением результатов; вторая фаза атаки была направлена на то, чтобы подменить результаты на официальном сайте ЦИК, о чем должен быть показан сюжет в вечерних новостях Первого канала, так называемая «картинка Яроша» – абсолютный фейк, что прямо свидетельствует о российском вмешательстве, поскольку только российское телевидение показало эту «картинку Яроша», которой в природе не существовало, хотя они ожидали, что она появится действительно на этом веб-сайте; ну и третье - это DDoS-атака на серверы, отвечающие за обнародование предварительных результатов выборов.
Наши спецслужбы придали делу спасения ЦИК максимальный вес. Мы могли привлечь любого специалиста из IT-рынка Украины. Картинку «Яроша-победителя» (россияне поместили ее в jpg в папку на определенном веб-сайте, к которому доступ был только у них) мы нашли за десять минут до российского эфира, где его должны были объявить «победителем». Они хотели сделать так, чтобы подставить картинку на сайт ЦИК, чтобы внести смятение: Ярош лидирует. В рамках мер по спасению системы, мы нашли сайт, на котором хакерами РФ была подготовлена картинка «Яроша-победителя», и спрятали ее. Они просто не могли до нее добраться. Наши ребята очень окрепли, как профессионалы, в этом проекте в мае 2014 года. Это действительно уникальный случай. Украина, такова наша судьба, во многих процессах является первопроходцем. В случае кибервойны – это именно о нас. Поскольку мы впервые столкнулись с таким грубым вмешательством в избирательный процесс, в конечном результате – злоумышленники не достигли своей цели. Но это был первый серьезный удар в кибервойне. После того уже стало понятно, что открылся новый фронт. Второй и серьезный удар в кибервойне – отключение энергоснабжения облэнерго. И я был бы осторожен в оценках относительно нашего будущего.
- Украинские ресурсы готовы к кибератакам, которые могут быть осуществлены во время выборов? У нас же также и избиркомы, и окружные комиссии, и серверы ЦИК. Мы выстоим в случае чего?
- Мы потом полностью перестроили систему под следующие выборы народных депутатов, которые состоялись в октябре. За пять месяцев мы «перебрали» систему «Выборы»и собрали полностью, фактически изменив архитектуру. Внешнее вмешательство в систему «Выборы» сейчас исключено. Эти экстра-меры стали необходимыми в том числе потому, что часть проектной документации на систему «Выборы», возможно, была передана злоумышленникам инсайдерами. Сейчас в Центральной избирательной комиссии развернута система мониторинга событий безопасности. Система «Выборы» является изолированной, для каждой окружной комиссии создается свой почтовый ящик, этот почтовый сервер находится в Центральной избирательной комиссии.
- Ждите. Те, кто слил в ФСБ нашу документацию системы выборов, начали сотрудничать со следствием и помогли вам найти уязвимости?
- Я не могу детализировать, но если правоохранители захотят поставить точку в этой истории, то пусть ставят... Эта история добавила нам всем седых волос, но за нее не стыдно.
- Российская программа «Стахановец» стала причиной обысков СБУ: по одним данным, в десятках, по другим данным – в восьми компаниях. Возникли дискуссии, что, мол, – это просто программа наблюдения за активностью персонала, а никакой не шпионский софт. Правоохранителей обвинили в пособничестве рейдерству. У вас относительно этого сложилось мнение?
- Программное обеспечение «Стахановец» продается как на территории Украины, так и на территории России. Есть косвенные данные о наличии российского капитала в этой разработке, хотя юридическое лицо, которое реализовывало программу, является украинским юридическим лицом. Программы, которые дают возможность тайно от пользователя получать информацию о его деятельности, операциях на компьютере, делать снимки экрана и получать доступ к его письмам, к переписке, к особенностям его запуска программ, посещения веб-сайтов, являются технологиями двойного использования. По отношению к пользователю – это имеет признаки шпионского программного обеспечения, потому что информацию тайным образом получает администратор безопасности. То есть, человек, который получает доступ уже к результатам действия этой программы. Но никаких проблем нет, если пользователи знакомы с тем, что его действия на рабочем месте с использованием вычислительной техники могут записываться, отслеживаться и т.д. «Стахановец» – не единственное программное средство, реализующее соответствующий функционал. Относительно возможности передачи информации через границу – российским спецслужбам или любым другим посторонним лицам, нужно исследовать те материалы, которые имеет на руках Служба безопасности Украины. Хочу заметить, что в апреле этого года программный комплекс Mirobase («Стахановец») получил положительное экспертное заключение в Госспецсвязи относительно соответствия требованиям технического задания и системы технической защиты Украины.
- А разве Госспецсвязь делает оценку, что это шпионское, а это не шпионское?
- Нет, но наличие незадекларированных возможностей программного обеспечения во время его экспертизы должна была исследоваться. Но опять таки, зависит от того, какой образец предоставлен на экспертизу. Не обязательно исследуемый образец – тот самый образец, который будет установлен у конечного пользователя. Широкая общественность не владеет полной информацией в рамках открытого уголовного производства. Единственное, что нам остается – или доверять той информации, которая поступает от правоохранительных органов, или не доверять, если для этого имеются соответствующие основания. Люди, которые занимались реализацией, продвижением этого продукта, – это известные на рынке люди, и это программное обеспечение известно достаточно широкому кругу партнеров, которые его внедряли. Но для того, чтобы отправлять какую-то информацию наружу, нужно, как минимум, иметь канал связи. То есть, если предположить, что какое-то программное обеспечение собирает персональную информацию о пользователях, это каким-то образом упаковывает, оно должно иметь канал связи – для того, чтобы отправить в центр управления, так называемый C&C или что-то подобное. Если подобное программное обеспечение «Стахановец» либо его аналоги используются в закрытой локальной сети, а такие случаи, я предполагаю, есть, там исключена возможность передачи наружу, ну и соответственно – этот функционал не может работать. Если это работает в сегменте локальной сети, которая имеет неконтролируемый выход к публичным сетям, в частности, в Интернет, можно пропустить все, что угодно. Поэтому надеюсь, что те обвинения, которые звучали в адрес разработчиков этого ПО от наших спецслужб, они имеют серьезную подоплеку. Но, к сожалению, пока что подробности нам не известны.
- Хочу уточнить. Компания «Укргаздобыча», в которой также был «Стахановец», ведает всеми скважинами Украины. А если Украина будет делать ставку на собственную добычу, а это очень не в интересах России (импортера и врага), то это становится стратегическим вопросом. Представьте – для всех наших добывающих мощностей работает «Стахановец». Разве это нормально, если эсэмэски и телефоны топ-менеджеров таких предприятий будут считывать авторы программы, которую создали в РФ?
- Относительно «Укргаздобычи» вообще забавная ситуация. У них были обыски, но в тот же день они запустили торги на закупку на Прозорро программного обеспечения с тем же функционалом, которым владел «Стахановец». Информация является очень чувствительной. Но я с пониманием отношусь к невозможности любого способа передачи конфиденциальной информации наружу вражеским спецслужбам. Относительно продуктов, которые имеют определенное географическое происхождение (имеется в виду российский софт - ред.), мы должны понимать, что существует возможность не только передачи информации из сетей украинских предприятий, организаций наружу, но и получение какого-либо вредоносного кода в рамках обновления этих программных средств, используемых в наших сетях внешне.
- Давайте проиллюстрируем. Например, есть программа «Парус», которой пользуется наша армия, разработанная в Генштабе России. В РФ ее обновляют и вежливо посылают нам каждые два месяца «пакеты обновлений» и возможно вместе с ними – вредоносный или шпионский «спящий» довесок?
- «Парус» или бухгалтерская программа 1С, или антивирусы известных фирм – называю определенные торговые марки, не имея в виду кого-то конкретно. Но если предположить, что их разработчик находится под давлением или под непосредственным управлением спецслужб страны, которая враждебно настроена по отношению к нашей, я не исключаю возможности, что в очередное обновление, которое получит это программное обеспечение, будет имплантирован некий вредоносный код, который или сможет вывести из строя сети украинских пользователей, или будет содержать признаки «трояна» (вредоносное программное обеспечение - ред.), который просто в какое-то другое время загрузит снаружи другой вредоносный программный код, который будет собирать данные, конфиденциальные данные о сети и т.д. То есть, тут сценариев может быть множество. И я бы исключил даже теоретическую возможность получения каких-то обновлений, которые не проходят соответствующую проверку на безопасность, что может каким-либо образом повредить критическую информационную инфраструктуру государства.
- Тогда Президент правильно сделал своим указом о запрете?
- Указ об ограничении – трехкомпонентный. В указе содержится первое – запрет использования определенных онлайн-сервисов, в частности, социальных сетей, поисковых систем, сервисов, базирующихся на этих поисковых системах. Второе – в указе содержится запрет на использование конкретных продуктов и заключение любых взаимоотношений с их производителями. А использование конкретных продуктов вытекает из санкций на ограничение деятельности некоторых юридических лиц – как украинских, так и не украинских. То есть третье – запрет на непосредственно юридические лица.
По каждой из этих составляющих можно сформировать какое-то поле для обсуждения. Мне ситуация представляется не такой простой, какой хотели бы ее видеть те люди, которые привыкли делить мир на черное и белое. Запрещенные социальные сети неподконтрольны украинской власти, и информация, которая накапливается в этих сетях пользователями из Украины, автоматически становится доступной спецслужбам. Используют последние эти данные или нет (скорее – первое), но такая возможность есть. Возможность сбора данных чувствительных – о геолокации, о предпочтениях конкретных пользователей, о каких-то перемещениях, вплоть до перемещения воинских частей, что особенно было серьезным и критичным в 2014 году. Когда человек что-то постил Вконтакте, а через 10 минут туда прилетал «град» или что-то такое – это было, этого нельзя отрицать.
С другой стороны, их соцсети – это канал передвижения фальшивой информации, откровенной пропаганды, лжи, фальсификации и т.д. Что касается права человека на получение информации, свободу, этот вопрос тоже является дискуссионным. Признаки ограничения свободы Интернет-пользователей в украинском сегменте, они безусловно есть. И тут, знаете, такая чаша весов. Что для нашей страны является важным на текущий момент? Но давайте проанализируем, что относительно этого отметили наши западные партнеры, которые достаточно серьезно относятся к вопросам свободы слова, прав человека и т.д. Если мы послушаем комментарий НАТО относительно этого.
- НАТО практически приняло запрет.
- Они прокомментировали это таким образом, что это имеет отношение к безопасности государства. То, что имеет отношение к безопасности украинского государства – это внутренние дела украинского государства. Остальные организаций предоставили достаточно сдержанные комментарии. Никто в мире не поднял какую-то огромную информационную волну по этому поводу. Более того, как мы можем наблюдать, эта волна понемногу спадает и в Украине. Потому что, с одной стороны, те пользователи, которые имеют соответствующую техническую подготовку, научились обходить этот запрет.
Любой шаг, направленный на очищение нашего информационного пространства от вражеской пропаганды, я расцениваю как положительный. Что касается ограничения, я соглашусь с мнением некоторых своих коллег, что прежде всего нужно проводить разъяснительную работу, информационную кампанию, направленную на то, чтобы люди пользовались другими сервисами.
- Вам достоверной кажется та цифра, что только 300 тысяч человек из 10-ти миллионов украинских пользователей установили себе обход блокировки?
- Я думаю, что эта цифра является достоверной, но так же очевидно – она не является окончательной. Она не является окончательной, а люди, возможно, взяли определенный перерыв, взяли время для того, чтобы убедиться в том, что они могут прожить без этих социальных сетей или они могут безопасно использовать те средства, которые позволяют обойти запрет, это мы тоже должны понимать. Возможно, эта цифра в какой-то долгосрочной перспективе достигнет там миллиона, например. Ну, а если в 10 раз мы уменьшили эту аудиторию, то с точки зрения безопасности украинского интернетпространства – это существенное достижение. Каким другим образом можно противодействовать? К сожалению, на мой личный взгляд, как говорят, не профессиональный, а скорее общественный, наше общество не является восприимчивым к разъяснениям. Вот разъяснительная работа – это кропотливый и долгий труд. Если мы хотим каких-то эффективных мер, вот так сделали – и все.
- Эксперты и аналитические профильные издания давно писали, что все приложения Яндекса предназначены или для шпионажа, или для экспансии, что тоже в свою очередь может служить для создания Россией управляемых хаосов. Видеопробки, Яндекс-такси, платежная система, навигатор, поисковик. Утверждают также, что Яндекс собирает данные на военнослужащих, сотрудников разведки (не знаю, почему последние его используют) – вроде необходимо подобные «сервисы» убирать из нашего Интернета. А с другой стороны, когда в офисы украинских «дочек» Яндекса пришли правоохранители по обвинению в госизмене, то началась критика о притеснениях бизнеса. Украинские сотрудники Яндекса могли не увидеть грань между выполнением контракта и государственной изменой?
- Опять-таки, мы можем говорить о наличии теоретической возможности. Я понимаю, что людям, которые привыкли пользоваться сервисами геолокации, или отслеживанием состояния дорожного движения, или имели электронную почту где-то там в этих сетях, это создало определенные неудобства. Но разве это можно сравнить с теми неудобствами, которые создаются ежедневно людям на временно оккупированных территориях. Или людям, которые подвергаются ежедневным бомбардировкам на линии разграничения, или нашим бойцам, которые защищают наш покой. Я бы эти вещи все-таки не сравнивал. Если рассматривать исключительно юридический, или правозащитный, или другой аспекты – здесь есть поле для дискуссий. Что касается обысков в украинских офисах Яндекса: открыто уголовное производство, судя по всему, есть информация от Службы безопасности Украины о том, что во время обыска были найдены какие-то интересные материалы, не могу комментировать, опять-таки, мы должны это все принимать на веру. Были ли другие механизмы у наших правоохранительных органов получить информацию, которая, вероятно, была получена во время обысков, мы опять-таки можем только предполагать.
- Программисты, которые попадают в крупные компании, – обычно умные люди. Людей, которые работают в «Яндексе», наверняка же серьезно подбирали: они что, не понимали, что, если они что-то передают, – это может быть государственная измена, а не просто выполнение контракта перед московским офисом?
- Трудно доказывать наличие факта государственной измены в деятельности программистов, офисных работников, менеджеров по сбыту, каких-то проектных менеджеров, которые работали в украинском представительстве. Передача какой-то информации – это функционал этих сервисов, программного обеспечения. Если центральные серверы расположены на территории исключительной юрисдикции Российской Федерации, или даже где-то в коммерческих центрах обработки данных за ее пределами, но под управлением, с непосредственным доступом специалистов из Российской Федерации, тем более спецслужб, здесь, очевидно, речь идет даже не о возможности передачи, или чьих-то преднамеренных действиях, это просто сущность этих сервисов. Так же возникает вопрос: почему «Яндекс» вызывает беспокойство, к примеру, а «Google» не вызывает. Опять-таки, надо различать, где есть риски для территориальной целостности, суверенитета государства, в котором мы имеем счастье проживать.
- Вы просматривали новости о слитом в медиа докладе АНБ? Это уже вторая серьезная атака на США в кибервойне. Они взламывали серверы Демпартии. Это было успехом. Можно ли считать успешным то, что они отправили более 100 фишинговых писем членам американских избиркомов, а также на поставщика программного обеспечения, используемого на президентских выборах в ноябре 2016 года?
- Насколько я понял из доклада, была ли успешной эта операция, или нет, не установлено. То есть, есть свидетельства о том, что были разосланы эти фишинговые письма, что был получен доступ к информационным системам разработчика программного обеспечения, которое обслуживало избирательные участки США. Я не удивляюсь этой информации, поскольку вряд ли, у меня с самого начала было такое ощущение, что вряд ли все ограничится только взломом сайта Демократической партии и доступом к почтовым ящикам Хиллари Клинтон и т.д.
- Как по мне, слив в медиа доклада АНБ наверняка был согласован разведсообществом США, которое воюет против Трампа. Тогда почему арестовали девушку, которая это сделала?
- Трудно сказать. Мы не имеем этой информации. У меня есть две версии. Первая версия, что девушку арестовали для протокола, как говорится. То есть, для того, чтобы достоверно намеренный слив этой информации не был столь очевидным. Или действительно – это был неконтролируемый слив. Трудно в это поверить. Но все возможно. Возможно информация была обнародована не в том объеме, в котором планировалась. Это политические полушпионские игры, и будем наблюдать за тем, как будет развиваться ситуация.
- Панамские бумаги, скорее всего, расследовательные организации получили за хакерские атаки. В чью пользу был этот взлом? Кто, по-вашему, был заказчиком?
- У меня субъективное мнение, а я, по крайней мере, привык оперировать фактами. К сожалению, не имею достоверной информации, поэтому могу только предполагать, что так называемое «журналистское расследование» было имитировано для легализации утечки этих материалов. Была ли это работа хакеров, или это все-таки результат каких-то скоординированных действий – трудно говорить. Но я далек от мысли, что все эти вещи – они возникают сами по себе, спонтанно.
- Читая о том, что в РФ есть какая-то «фабрика хакеров» (учебный центр Эврика, где работал этот Рошка), всякие APT28, Fancy bear, а также о том, что там создаются кибер-подразделения, складывается впечатление такой абсолютной системности РФ в кибервойне и ощущение, что плетемся вслед за событиями. Вы разделяете это мнение?
- Все создают подразделения по противодействию киберугрозам. У России есть огромные финансовые ресурсы, которые позволяют по всему миру привлекать хакерские группировки для осуществления спецопераций. Может складываться такое впечатление, что там мастерство или масштаб, или география этих атак, она является какой-то там заоблачной. Это зависит исключительно от ресурсов, которые тратятся на осуществление такой деятельности. С точки зрения квалификации конкретных специалистов, я бы их не ставил на уровень выше, чем других. Собственно говоря, деятельность даже украинских активистов украинского Кибер Альянса и т.д. свидетельствует о том, что квалификация наших специалистов не хуже. В конце концов, если разобрать по полочкам все операции, которые совершались относительно объектов украинской инфраструктуры, сказать, что они были гиперэффективные, нельзя. Потому что во всех случаях оно наталкивалось на противодействие.
- Наши хактивисты сделали блестящие взломы Суркова, Проханова. Это весело и поучительно, но это лирика. А мы могли бы взломать сети Газпрома, Роснефти?
- Для Украины наступательные кибероперации (или обычный государственный кибертерроризм, который мы можем наблюдать по отношению к нашему государству, по отношению к другим государствам, к каким-то фундаментальным механизмам демократии) не является, на мой взгляд, целью. Не является для Украины обычным поведением. Мы не поддерживаем, не пропагандируем и не спонсируем терроризм и так же не поддерживаем и не финансируем кибертерроризм. Но если бы руководством страны было поставлено такое задание, если в этом возникнет стратегическая или тактическая необходимость, если будут понятны конечные результаты такой деятельности, то при условии всех перечисленных факторов и наличия соответствующих человеческих, финансовых, организационных ресурсов возможны операции любого масштаба. То, что киберпространство стало зоной ведения боевых действий, как это расценивает НАТО – один из шагов к этому. Но мне хотелось бы верить, что до полноценного применения киберопераций в рамках ведения боевых действий не дойдет.