С середины прошлого года хакеры похитили у клиентов российских банков более 3 млрд рублей. На этой неделе были взломаны аккаунты Марка Цукерберга, появилась информация о продаже миллионной базы паролей от «ВКонтакте». «Афиша Daily» решила выяснить, насколько всемогущи хакеры на самом деле.
Тимур Юнусов
Тимур Юнусов
старший эксперт отдела безопасности банковских систем, Positive Technologies

Скрывать мне нечего (наркотики не продаю, голым не фотографируюсь) — стоит ли мне беспокоиться по поводу безопасности?

Сегодня почти все сейчас пользуются интернет-банками и другими сервисами вроде «Госуслуг». Так что несложно сделать так, чтобы твои данные куда-то уплыли. Заразив одно устройство, можно добраться до всех: домашний ноутбук, рабочий компьютер, смартфон. Из-за твоей халатности могут взломать твоего работодателя, и это может закончиться увольнением. Вот пример: ты не парился по поводу безопасности, подключился к вайфаю в холле бизнес-центра и получил сообщение якобы от своей девушки в незашифрованном мессенджере. Ты без задней мысли кликаешь по ссылке, а на твой «Андроид» в это время устанавливается «зловред». Используя его, злоумышленник, сидящий на соседнем диванчике, сможет получить доступ к корпоративной почте и твоей учетной записи в 1 шаг. А дальше — дело техники. И таких возможностей множество. Это совсем не значит, что нужно превращаться в параноика, но простая осторожность и внимательность никогда не помешают.

Я пользуюсь публичным вайфаем в общественных местах. Это может быть опасно?

Всегда стоит воспринимать любую среду как враждебную. Чем больше в ней людей, тем выше процент негодяев среди них. Поэтому публичный вайфай, очевидно, более опасен, чем корпоративный или домашний. Плюс отследить там угрозу просто невозможно. Существует множество способов подделать страницы социальных сетей, почты, мобильных приложений и заставить пользователя сдать все пароли или установить зловредное ПО.

Легко ли взломать iPhone?

Чуть сложнее, чем Android, но возможно (как удаленно, так и при физическом доступе на ограниченное время).

Могут ли хакеры обрушить облачный сервис, где мы храним всю нашу информацию?

Облачный сервис — это такая же сеть из компьютеров, также взламываемая за какое-то конечное время. Ее безопасности, конечно же, уделяют больше внимания, чем домашней сети, однако и здесь нет идеальной защиты. В последние годы хакеры успешно взламывают iCloud, Instagram, Facebook, Amazon (кто-то со злым умыслом, кто-то в рамках программы поиска уязвимостей).

Могут ли хакеры представлять угрозу для общества? Например, вывести из строя весь город?

Последние годы это хорошо демонстрируют. «Интернет вещей» покрывает цифровым полем весь город, а это значит, что можно остановить движение транспорта, выключить все банкоматы в районе или целом городе, обесточить электростанцию и т. д. Иначе говоря, «Крепкий орешек-4» уже давно не фантазия.

Могут ли хакеры подключаться к веб-камере? Стоит ли заклеить ее скотчем?

К камере нетрудно подключиться: для этого нужно, чтобы пользователь не обновлял браузеры и плагины, ходил по незнакомым ссылкам и открывал все без исключения вложения в почте. Существует популярное хакерское развлечение — подключаться к разным камерам и следить за реакцией владельцев компьютеров на разные шалости вроде написания слов в блокноте или открытия «интересных» страниц в браузере. Заклеить камеру скотчем — неплохой способ обезопасить себя.

Чего хакеры пока не могут? Есть что-то, что нельзя хакнуть?

Теоретически невзламываемые системы есть. На практике взлом любой системы — это вопрос времени, мотивации и усилий.

Если хакеры могут взломать все что угодно, почему эти системы делаются уязвимыми?

Однозначного ответа нет. Но есть складная теория: вначале придумывают сервис, услугу или продукт. О безопасности на этом этапе заботится очень малое число компаний: на первом месте — удобство и сроки выполнения работ. Эти показатели очень легко измерить, а вот потенциальную опасность определить сходу бывает очень трудно.

Затем, когда продукт выходит на рынок, приходят хакеры, самые талантливые из них взламывают систему и в какой-то момент производитель об этом узнает. Вот тогда защита и выходит на первый план — начинается придумывание «костылей и заплаток», так как коду и технологии может быть уже несколько лет (или даже десятков) и исправить главную причину уязвимости бывает сложно. Ежегодно таких сервисов, услуг и технологий появляется бессчетное множество, поэтому хакерам есть где разгуляться. Хакеры всегда впереди — и за ними всегда первый ход. Защита традиционно отстает на один шаг.

Какие главные правила помогут хоть как-то себя обезопасить?

Во-первых, не использовать простые и одинаковые пароли. Во-вторых, по-возможности необходимо включать СМС-подтверждения входа. В-третьих, использовать антивирус и регулярно обновлять все программное обеспечение (от операционной системы до плагинов браузера). В-четвертых, никогда не доверять вслепую среде: письмам в почте, сообщениям «от друзей», звонкам «от главы IT» и так далее.

Правда ли, что вирусы создают компании, разрабатывающие программы-антивирусы?

Это утверждение слишком похоже на мистификацию в стиле всемирного заговора и масонских лож.

Можно ли быть уверенным в Tor, анонимайзерах и других защищенных инструментах — не являются ли они лишь хитрой правительственной ловушкой? Можно ли их проверить?

Это тоже напоминает теорию заговора. На самом деле разработчики «защищенных» инструментов и инструментов защиты тоже совершают ошибки. Поэтому слепо доверять им на 100% и считать себя полностью защищенным, используя эти продукты, нельзя. Более того, в последнее время среди хакеров набирает популярность взлом антивирусов и других продуктов, обеспечивающих безопасность.

В даркнете можно без проблем купить оружие, запрещенные вещества, поддельные документы — почему этот нелегальный рынок не могут прикрыть?

Пока у людей будет желание и возможность совершать незаконные действия — они будут их совершать, даже под страхом арестов и штрафов. Современный интернет в любом его виде дает таких возможностей все больше. Стоит уничтожить даркнет — тут же появится что-то новое. Статистика между тем говорит о том, что большая часть сайтов в сети Tor не содержит ничего незаконного. Это просто инструмент, а как им пользоваться — каждый решает сам.

Чтобы стать хакером, нужно быть программистом?

Иногда да, иногда нет. Главный мотив хакера — разобраться в том, как работает та или иная технология, и найти недочеты, с помощью которых удастся поменять первоначально заложенное системой поведение. Теоретически хакером может стать даже филолог или лингвист, впервые зашедший в интернет, стоит ему действительно захотеть разобраться в теме. Но программистам, конечно, хакерские навыки даются проще.

Где учат на хакеров?

Раньше хакеры выходили из вузов технической направленности, потом появилось отдельное хакерообразующее направление — «информационная безопасность». Затем в моду вошли соревнования Capture the Flag (CTF), имеющие к практике чуть больше отношения, чем университетское образование.

Победители соревнований и выпускники специальных вузов при определенных условиях могут стать талантливыми хакерами и получить работу в компании, занимающейся кибербезопасностью, или в службе информационной безопасности какой-то конкретной компании (в этом случае придется взламывать ресурсы только своей компании). Хотя если это такой гигант, как Google, то ресурсов может быть очень много, а работа — очень интересной. Плюс никто нигде не мешает проводить собственные исследования в свободное время. Кстати, сейчас многие компании публично разрешают взламывать свои ресурсы и платят за это деньги, конечно, при соблюдении условий неразглашения и соблюдении других правил.

Чем отличаются «белые», «серые», «черные» хакеры?

«Белые хакеры» никогда не совершают ничего незаконного, работают в компаниях, платят налоги и взламывают компании только с их легитимного одобрения. Они занимаются хакерством в чистом виде, но это хакерство ограниченно этикой и законом.

«Черные хакеры» — неоднократные нарушители закона, преступники. Ими движет финансовая выгода, жажда славы или навязчивая идея — затруднить работу компании или правительства. «Черные шляпы» не стремятся к законности, и компании практически никогда с ними не сотрудничают. Такие хакеры, наоборот, сами связываются с компаниями с целью шантажа, угрожая публикацией данных и уязвимостей и требуя «выкуп».

«Серые хакеры», соответственно, находятся где-то посередине. Они могут преследовать благородные цели, но достигать их незаконными средствами. Часто к «серым хакерам» причисляют правительственных специалистов, работающих в разведке.

Интересно ли быть хакером? Как выглядит его типичная рабочая неделя?

Сфера кибербезопасности очень разнообразна: пожалуй, самая интересная и творческая работа у «белых шляп» — хакеров, которые взламывают системы по заказу компаний, разрабатывающих эти системы.

Гипотетический понедельник «белой шляпы» в задачах: взломать банк, создать платежку на 10 миллионов, остановиться в последний момент, сделать скриншот и краткое описание взлома.

Во вторник: прийти в офис корпорации, взломать вайфай, проникнуть во внутреннюю сеть, украсть все зарплатные ведомости и коммерческие секреты, не прочитав их, а только сделав скриншот рабочего стола генерального директора.

В среду-четверг: прикинуться дурачком и связаться с IT-отделом другой компании, попросить сбросить пароль от учетной записи, проникнув таким образом в сеть, далее потратить еще день на то, чтобы повысить свои привилегии в сети до абсолютных. При этом ни в коем случае не читать корпоративную почту — это запрещено законом.

В пятницу можно немного развлечься: предположим, наш заказчик — сайт онлайн-знакомств. Планы на день: зарегистрировать 2 типовых пользователя, научиться читать чужую переписку и смотреть закрытые фотографии (но не делать этого нигде, кроме как между этими 2 пользователями, не нарушая тайну переписки), пополнять свой баланс на бесконечное число «внутренней валюты».

Это, конечно, утрированная неделя. На самом деле каждый подобный проект может занять более месяца и даже до полугода. Конечно, есть множество работ, связанных с отчетностью и необходимостью соблюдать жесткие условия заказчиков (например, не работать по будням после 17.00 или, наоборот, работать только в выходные с постоянной связью с заказчиком).

Насколько наше законодательство адекватно в случае с киберпреступностью?

Иногда кажется, что законодательство недостаточно сурово: с каждым годом хакеры воруют все больше денег из банков и число желающих перейти на «темную сторону» становится значительнее. С другой стороны, преследовать хакеров, которые нашли уязвимости (случайно или целенаправленно), но не воспользовались ими в деструктивных целях, — это не совсем правильный подход. Удачной практикой в этом случае является введение программ поиска уязвимостей и соответствующего вознаграждения за эту работу.