Дмитро Ганжело про хакерів, захист ґаджетів та кібербезпеку в Україні
Технології заповнили собою весь людський простір. Дійшло до того, що і малюк, і бабусі з дідусями користуються щонайменше одним ґаджетом. Багато у чому технології полегшують життя. Утім, нерідко стають причиною масштабних конфліктів, ба більше – кібервоєн. Поняття хакерства з’явилося ще у середині минулого століття і відтоді сприймається негативно. Щоб розвіяти міфи навколо ІТ-спеціалістів, розповісти, що не так з кібербезпекою в Україні та як захистити персональні ґаджети, “Український інтерес” поспілкувався з головним виконавчим директором компанії Innovations Development Lab та експертом з кібербезпеки Дмитром Ганжело.
Ви стільки років працюєте у білому хакінгу. Розкажіть про вашу діяльність.
Вперше я сів за комп’ютер у 1992 році і з тих пір звідти так і не виліз. Починалося все банально – з дитячих іграшок. Потім зацікавився, як це все влаштовано всередині. Водночас займався радіоаматорством, згодом сервісами, адмініструванням серверів, глибоко занурився в операційні системи, у розробку програмного забезпечення, якось так і закрутилося. Білий хакінг – це дуже ефемерна історія. Це більше маркетинговий хід, вигаданий ЗМІ. Загалом, фахівці з кібербезпеки та розробки програмного забезпечення ні білі, ні чорні. Власне термін хакер – це не зломщик, а фахівець високого рівня у роботі інформаційних систем.
Американські журналісти розповідали, що напередодні проміжних виборів у США вони прикрили російську “фабрику тролів”. Якщо вони можуть прикрити її на деякий час, чому не можуть зробити цього взагалі?
Історію “фабрики тролів” я не відстежував, тому не можу сказати напевне. Але щодо систем безпеки – якщо одна людина щось зробила, інша завжди може це зламати. Неможливо зробити непробивний захист. Створюються такі системи захисту, щоб зламати їх було дорожче, ніж інформація, яка охороняється. Це основне завдання будь-якого фахівця: якщо отримати інформацію невигідно, то цього ніхто і не робитиме.
А як щодо закону в РФ про суверенний інтернет? Вони хвилюються через те, що більшість серверів зосереджені у США, американці легко можуть відімкнути Інтернет та контролювати його.
Неможливо відімкнути Інтернет. Усі його системи – автономні. Є пули IP адрес: кожен пристрій, підключений до Інтернету, має ІР-адресу – унікальний ідентифікатор. Відповідно є групи цих адрес, є підмережі і є автономні системи, які містять у собі групи цих мереж. Кожен Інтернет-провайдер має одну або кілька таких систем. У них є свої, або ж вони орендують їх у вищого провайдера. Протоколи маршрутизації побудовані так, що вони декларують у себе наявність цих мереж, через які шлюзи або маршрутизатори вони можуть доходити.
Інтернет – цілковито самоорганізований. Якщо із системи виключити якогось провайдера, маршрутизація моментально перебудується і пакети підуть іншими каналами. Адже завжди існує один резервний канал. Можливо, Інтернет уповільниться.
У Росії говорять про систему DNS (Domain Name System). Коли ви вводите, наприклад, Facebook.com, ваш браузер повертається до локального DNS сервера, щоб той надав йому IP-адресу. У світі існує 13 кореневих DNS-серверів, які підконтрольні організації ICANN, що містить всі основні доменні зони. У кожній країні є сервера, які містять її зону. Однак основні розташовані на всіх континентах і містять інформацію про всі інші сервера. Саме ICANN може виключити домен .ru. Після цього застосування повинно минути 72 години, щоб оновилися дані на всіх серверах. І вже тоді, коли ви наберете будь-яку адресу .ru – ви її просто не знайдете.
Чи необхідно контролювати Інтернет на державному рівні? Особливо в умовах інформаційної війни.
Це насправді дуже двозначна ситуація. Якщо взяти до уваги Україну, то я погоджуся зі словами Олексія Арестовича з приводу того, що психологічний вік українця до Революції Гідності був на рівні восьми років, а зараз близько 11 років. Середньостатистичний українець – це дитина, за якою потрібен нагляд. Адже більшість людей просто не розуміють, як саме впливають на їхню думку. Я згоден, що коли ми воюємо з Росією, потрібно контролювати потоки інформації. Ті ж “1С”, “Касперський” і схожі історії – це інструменти ФСБ. А “Вконтакте” – її найбільша база даних.
Є приклад того ж “Яндекса”: у них багато власників, інвесторів, але є золота акція, яка має право накладати вето на будь-яке рішення ради директорів, і вона належить “Сбербанку”, а він своєю чергою підконтрольний ФСБ – ось вам і логічний ланцюжок.
Повернемось до президентських виборів в Україні. Майже відразу СБУ почала фіксувати численні кібератаки. Як взагалі можна захистити вибори?
В СБУ не називають реальних цифр. Зламують все і завжди, просто це не відстежується. Кваліфікація людей, які в державних органах займаються ІТ, не завжди відповідає необхідному рівню. Більшість випадків проникнення відбуваються через халатність або просто через незнання. Вони не здатні передбачити ці атаки. І взагалі, до того як у нас закрили mail.ru, багато електронних адрес держслужбовців були зареєстровані там. Насправді, єдиний варіант убезпечення українських систем – це освіта ІТ-спеціалістів.
Для безпеки не потрібно робити складних дій або танцювати з бубном, досить просто створювати стійкі паролі зі спецсимволами, маленькими та великими літерами і цифрами.
Для нас один з найкращих варіантів – взяти будь-яку фразу українською і набрати її англійськими літерами. Утім, все одно краще використовувати комбінації, які нічого не означають.
Згадаємо про вірус Петя A. Чи готова Україна до схожих атак і чи можна їм взагалі запобігти?
Україна абсолютно не готова до масштабної хакерської атаки. На практиці, клієнти, з якими ми працюємо, хоч і намагаються зробити висновки, але їх немає. Якщо станеться щось схоже, сценарій повториться. Можливо, не в таких масштабах, бо усвідомлення того, що таке може статися вже є. Реакція буде швидшою, але масштаби ті ж. Причина – банальна відсутність резервування, нормальних антивірусів та моніторингу.
У середнього бізнесу немає грошей на хороших фахівців, малому бізнесу це не сильно потрібно, вони в основному працюють з хмарними сервісами. Великий бізнес – інша історія. Тут є цікавий вираз: “Скупий платить двічі, а дурень – тричі”. Бізнесмени далекі від IT і не розуміють необхідності та серйозності ситуації.
У Європі був випадок, коли в одній компанії стався збій і вони втратили свою базу даних разом з резервними копіями. Все залишилося тільки на папері. Папірці повністю займали підвал офісу. Все потрібно було набирати вручну, простіше стало збанкрутувати компанію. Нестача фінансування – ось головна проблема. У держави така ж ситуація, однак грошей ще менше.
На важливих стратегічних об’єктах своя система безпеки – вони не під’єднані до зовнішньої системи. Там теж не дурні сидять. Хіба, якийсь працівник вирішить вставити одну й ту саму флешку спочатку в публічну мережу, а потім у внутрішню.
Яка країна найуспішніше бореться із кіберзлочинцями?
США. У них більший бюджет для цього, більше можливостей та досвіду. Едвард Сноуден тому показник. Американська система АНБ, коли вони можуть влізти будь-куди, більшість провідних ІТ-компаній розташовані у США.
Чому люди в Україні вкрай несерйозно ставляться до безпеки навіть власних ґаджетів?
А так не лише в Україні. Кілька років тому у Штатах провели експеримент: підходили до людей на вулиці і запитували чи користуються вони Інтернетом. Вони відповідали, що ні, бо користуються браузерами та соцмережами. Люди не задумуються над цим, вони вважають, що їм нічого приховувати. Адже якщо не робиш нічого незаконного, то навіщо хвилюватися. Вони не розуміють, що за їхніми лайками у соцмережах створюється психологічний портрет та картинка споживача. Їм подають ту інформацію, яка здатна спровокувати ті чи інші дії. А вони цього навіть не усвідомлять.
Одні і ті ж факти подають з різних кутів. Інформація орієнтується на ваш психотип. Такі маніпуляції часто зустрічаються, але для людей це абсолютно прозоро. Завдяки таким інструментам відбувалися вибори у Франції, США, а тепер і в Україні. Наразі ці технології працюють на повну.
Потрібно критично ставитися до будь-яких фактів, перевіряти їх на різних джерелах.
Як убезпечити персональні дані?
Все банально просто: стійкі паролі, не писати потім їх на стікерах та не приклеювати на монітори. Також не оприлюднювати особисту інформацію, фільтрувати те, що вам пропонують в Інтернеті. Якщо вас захочуть зламати – вас зламають, питання в тому, чи це цікаво комусь.
Є автоматизовані системи, які збирають інформацію. Але подвійна авторизація здатна вас захистити. При спробі залогінитися ви отримуєте повідомлення або вам телефонують. Однак, якщо на вашому ґаджеті стоїть шпигунське програмне забезпечення, то ніяка двофазна авторизація не врятує. Не можна відкривати незнайомі файли, листи, не скачувати нічого з незнайомих сайтів, користуватися антивірусними програмами, якщо у вас Windows чи Android. Якщо у вас MacOS, iOS, потрібно бути на сторожі, однак техніку Apple зламати набагато складніше та дорожче. Якщо у вас Linux, вам загрожують віруси, підхоплені лише для браузерів.
Яку з операційних систем можна вважати найзахищенішою?
Вони всі мають якісь недоліки. Найбезпечніша та, де встановлені найактуальніші оновлення. “Дірявість” Windows як операційної системи – міф. Проблема цієї системи у тому, що вона найпоширеніша серед користувачів. У ній найчастіше шукають помилки. Linux та MacOS також мають багато помилок. Їх просто знаходять рідше через нижчу пріоритетність. В Linux це усе відразу прописується розробниками, тобто вихідні коди відкриті і знаходити похибки легше – їх виявляють до того, як система доходить до користувачів. Windows належить компанії Microsoft і там неможливо отримати доступ до кодів, тому ймовірність помилок значно вища.
У телефонних операційних системах ситуація схожа. Виняток – iOS, там вдало вибудована внутрішня архітектура. Можливо, у Даркнеті є спосіб придбати доступ до ґаджетів iOS, але вони в десятки разів дорожчі, ніж доступ до Android. Головна проблема цієї операційної системи – широкий спектр виробників, кожен з яких вносить свої зміни. Виходить такий собі вінегрет: у двох телефонів, від одного виробника того ж ряду можуть бути різні вразливості.
Існує твердження, що чим складніші сайти зламає хакер, тим краща у нього буде репутація та вищі заробітки. Ваша думка щодо цього?
Насправді, методи роботи та кваліфікація однакові як у темних, так і світлих хакерів. Це дуже умовний поділ. Ми, коли тестуємо систему на проникнення, то спочатку підписуємо договір: робимо все те саме, що і зломщики, однак за згодою сторін. Знаходимо слабкі місця та повідомляємо про них. Чорні хакери зламують сайти навіть не задля заробітку, а щоб полоскотати відчуття власної важливості.
Тут також потрібно розрізняти напрями. Є поняття кардерства, коли викрадають кредитні картки та підробляють їх – це шахрайство та кримінальний злочин. Є напрям для отримання інформації за гроші, щось на кшталт детективних агентств. Однак це більшою мірою сіра зона. Є кілька розумінь цієї діяльності. На перший погляд, це теж незаконно, однак у нашій країні немає закону щодо детективних агентств. Це те саме, що за вами ходили б з фотокамерою та записували ваші дії, але в онлайні.
Ще один напрямок – отримати інформацію з ціллю наживи. Є і соціальні історії, коли інформацію викрадають та оприлюднюють, щоб сповістити громадськість. Сюди можна віднести і журналістські розслідування, коли викривають діяльність політиків чи публічних персон. Тут також можна по-різному трактувати: з одного боку – це незаконно, з іншого – люди повинні знати.
Який Ваш особистий випадок зустрічі з кіберзлочинцями?
Був випадок саботажу з боку звільненого працівника, коли в нього просто забули забрати доступ до одного із серверів. Він знищив дані клієнтів, однак ми швидко відновили все із резервних копій. Через це колишній співробітник залишився без вибувної допомоги і почав писати неприємні речі особисто про мене та про компанію в цілому у соцмережах.
Багато людей вважають, що заклеїти веб-камеру на ПК – найкращий спосіб уберегтися від шпигунів. Це міф чи правда?
Щодо заклеювання веб-камери. Так, справді є такі програмні продукти, які називаються RATники. Вірус потрапляє в операційну систему і може вмикати відеокамеру на запис без вашої згоди, при цьому не активізувати світловий датчик. Тому цей момент цілком виправданий. Технічно це можливо, але потрібно підчепити відповідний вірус та і взагалі, бути комусь цікавим. Як правило на запис веб-камери не дивляться – дивляться знімки екрану та логи клавіатури: відстежують, як набирається пароль і перехоплюють доступ.
Щодо прослуховування телефонів. Десь з 2006 року ухвалили стандарт віддаленого увімкнення гарнітури ґаджету. Навіть, якщо телефон вимкнений та просто лежить. Через оператора його можна віддалено увімкнути на запис. При цьому, ґаджет навіть не дасть вам знати про це. Якщо ведуться якісь конфіденційні розмови, краще залишити його в іншій кімнаті або вийняти акумулятора.
Водночас це не залежить від виробника приладу. В основному цим користуються спецслужби для викриття злочинців чи перешкоджання терактам.
Текст інтерв’ю та фото надані ресурсом “Український інтерес”.