«Украина поддерживает инициативу США «Чистая сеть» (Clean Network) по сохранению личных данных граждан от агрессивного вмешательства злоумышленников», – заявил в конце 2020 года премьер-министр Денис Шмыгаль. Напомним, администрация американского президента Дональда Трампа запустила Clean Network весной 2020 года.
Инициатива могла бы стать действительно эффективной, если бы не одно маленькое но. К числу злоумышленников у Трампа причисляли лишь Китай, периодически заявляя, что в оборудовании китайских техгигантов могут быть спрятаны бэкдоры (упрощенно, шпионское ПО). Однако его могут «зашить» не только Huawei и ZTE, а любой вендор, мобильный оператор, а также третьи лица и не только по заказу спецслужб. В теории. Что же происходит на практике?
Эпоха Дональда Трампа как президента США уходит в прошлое. Неизвестно, продолжит ли администрация Джо Байдена политику двойных стандартов. Если поддержит борьбу только с одним «избранным» врагом, то под раздачу может попасть и Украина. С легкой руки Дениса Шмыгаля мобильным операторам придется заменить более 70% оборудования в своих сетях. Но десятки миллиардов долларов будут спущены на ветер: устранение с украинского рынка Huawei и ZTE – латание лишь нескольких и возможных (недоказанных) дыр в огромном «решете». Проблема с утечкой данных простых украинцев, промышленным и государственным шпионажем решена не будет.
Mind попросил экспертов по кибербезопасности рассказать о наиболее распространенных «дырках» нашего «решета». Спойлер: жертвами кибершпионажа уже стало подавляющее большинство украинских пользователей интернета. Но многие из них об этом могут и не догадываться.
Актуальна или «чуть-чуть» преувеличена проблема шпионажа для Украины? Опрошенные эксперты дружно заявили Mind, что в нашей стране нет релевантной статистики о масштабах бедствия, так как нет единого органа, который бы ее собирал. Тем не менее, по оценке спикеров, «мания преследования» – в большинстве случаев уже не болезнь, а наши реалии. «С уверенностью могу заявить, что и граждане Украины, и коммерческие компании, и государственные органы периодически становятся жертвами кибершпионажа по разным причинам», – говорит операционный директор компании 10Guards Виталий Якушев.
Как шпионят за пользователями? Эксперты условно разделяют негласный сбор информации на полулегальный и нелегальный. Начнем с первого.
Facebook, калькулятор and company. Ирония в том, что самая массовая охота за данными сейчас происходит без использования запрещенного вредоносного шпионского ПО и при добровольном согласии граждан. Многие популярные мессенджеры, соцсети, другие приложения и программы при установке просят доступ к различным функциям и информации на девайсе пользователя. «Они собирают метаданные (ip-адрес, номер телефона, перечень контактов и т. п.) якобы только для улучшения сервиса. Но кроме декларируемой преследуют и другую цель: продажа информации рекламодателям для показов персонализированной рекламы», – считает эксперт по кибербезопасности Константин Корсун.
«Практически все бесплатное программное обеспечение – начиная от популярных мессенджеров до антивирусов – занимается сбором информации для перепродажи. Хотя многие игроки заявляют, что этого не делают. На самом деле, они просто еще не попадались: не было массовых утечек, которые бы вскрыли реальную ситуацию. Вспомните скандал с Cambridge Analytica, который доказывает, что соцсети не всегда выполняют пользовательские соглашения», – полагает Виталий Якушев.
Корсун приводит в качестве примера свежий скандал с WhatsApp: «Данные передают многие игроки. WhatsApp же просто честно об этом сообщил своим пользователям. И за эту честность уже поплатился. Сколько вы платите за использование Google? В этой схеме пользователь – не клиент, а товар. Ничего не может быть бесплатным. Думаю, рано или поздно будет выявлено, что между крупными корпорациями существуют коммерческие соглашения», – полагает эксперт.
К слову, недавно New York Times сообщила о возможной сомнительной сделке между Facebook и Google
Схожее мнение – у соучредителя ГО «Украинский Киберальянс» Андрея Барановича: «Если вы не платите за сервис – почту, социальную сеть, мессенджер и т. п., значит товар – это вы».
Как не стать товаром техгигантов? Привлечь крупные холдинги к ответственности – крайне сложно. К примеру, тот же Facebook обязывается не передавать данные в открытом виде, то есть, условно, об Иване Ивановиче Иванове, который хочет купить, скажем, холодильник. Соцсети заверяют, что делятся только анонимизированными данными, несмотря на то что реклама холодильников показывается Иван Ивановичу Иванову. «Сейчас крупные техкомпании вышли на такой уровень, когда могут полунарушать закон. Их бизнес оценивается в триллионы долларов именно потому, что они владеют огромным объемом информации, которую можно монетизировать», – говорит Якушев.
Расследования могут длиться годами. К примеру, недавно Ирландская комиссия по защите данных оштрафовала Twitter на 450 000 евро за утечку данных пользователей. Хотя слив обнаружили еще в начале 2019 года, в Twitter заявляли, что случайно использовали данные, чтобы рекламодатели могли сопоставлять людей со своими маркетинговыми списками.
Для минимизации утечки информации эксперты советуют внимательно читать пользовательское соглашение. «Скачиваемые приложения по умолчанию просят доступ ко всему возможному на девайсе. Но не все стоит позволять», – говорит Корсун.
«Если при скачивании калькулятора или диктофона эти программы требуют доступ к контактам, перепискам и т. п., подумайте, зачем им эти функции. Потратьте 10 секунд на отбор реально важных для программы доступов и блокировку ненужных. Это в дальнейшем поможет вам сэкономить много нервов, а иногда и денег. Также лучше устанавливать бесплатные приложения на девайсы, которые не обрабатывают важную для вас информацию», – рекомендует Якушев.
«Сюрпризы» в популярных приложениях. Помимо полулегальной слежки, приложения, игры и другие программы могут шпионить за пользователями благодаря «вшитым» вредоносам. «Такое ПО собирает уже более детальную информацию. Например, считывает пароли банков, криптокошельков, записывает, чем занимается пользователь, и т. д.» – рассказывает Якушев.
«Google Play и App Store постоянно проверяют приложения, но это не дает 100%-ную гарантию. Уже не раз были случаи, когда мошенникам удавалось загрузить вредоносные приложения на эти платформы», – рассказывает Баранович.
К примеру, по данным компании Secure-D, сейчас из Google Play еще не удалены 10 приложений, в которых недавно обнаружены вредоносы: SHAREit (свыше 1 млрд загрузок пользователями), VivaVideo (+100 млн), Sencor Box (+ 5 млн) и т. д.
«Но еще выше вероятность заражения, когда пользователи скачивают программы не из сертифицированных магазинов Google Play и App Store, а из сторонних источников. Некоторые операционные системы (Android, Windows, Linux и т. п.) позволяют поставить на гаджет любую программу из интернета», – говорит Якушев.
Баранович уточняет: «В случае с Android категорически не стоит устанавливать программы из «левых» источников. Не случайно настройка «Разрешить установку приложений не из официального магазина» находится в разделе «Безопасность».
Также есть риск заражения при пользовании мессенджерами. Многие платформы сканируют все ссылки и файлы на наличие вредоносного ПО. Но опять-таки 100%-ную гарантии никто не дает.
«Если вы пользуетесь сквозным шифрованием (E2E), то сервер не видит вашу переписку и, соответственно, не может проверить ее на наличие вредоносов. Так что придется выбирать – или сервисы по проверке контента, антивирус и антиспам, или тайна личной переписки. Безопасность – всегда tradeoff», – говорит соучредитель «Украинского Киберальянса».
Старый «добрый» фишинг. Несмотря на то что многие пользователи знают, насколько опасно «вставлять пальцы в розетку» (открывать вложения в почтовых сообщениях, особенно от неизвестных адресатов), фишинг остается самым распространенным, дешевым и эффективным средством заражения девайса шпионским ПО. «Киберпреступность – это бизнес с огромным оборотом. Как и в любом бизнесе игроки хотят уменьшить расходы и увеличить доходы. Поэтому самые дешевые схемы распространения вредоносов становятся наиболее популярными», – объясняет Якушев.
Если раньше пользователям приходили письма от нигерийских принцев с кривым переводом на украинский, то сейчас мошенники научились так явно не «палиться».
«Сообщения стали более профессиональными, побуждающими открыть вложенный файл. К примеру, с подменного адреса женщинам рассылается письмо о грандиозных скидках в Victoria's Secret: «Открылся новый магазин. Распродажа продлится только три дня. Поспешите!». Уверен, немало женщин могут перейти по ссылке в таком письме», – поясняет Корсун.
По его словам, такие рассылки условно можно разделить на три вида:
- Массовые – письма отправляются огромной группе людей без таргетирования по полу, возрасту, географии и т. д. «Эффективность таких рассылок минимальна в процентах, но огромна в абсолютных числах. К примеру, в час рассылается 2 млн сообщений. Даже если на них клюнет 0,1% пользователей – за 60 минут заразится 2000 девайсов», – поясняет Корсун.
- Таргетированные – мошенники отправляют сообщения определенной более узкой аудитории.
- Персонализированные – письмо приходит одной конкретной жертве. «Ее мошенники долго изучают, узнают возраст, контакты, интересы и т. д. К примеру, такой жертвой может стать бухгалтер компании. Ему придет не вызывающее подозрений сообщение якобы от коллеги: «Валентина Семеновна, это срочно! Появились новые изменения в учете и т. д. Детали – в аттаче», – приводит пример Корсун. Во вложении действительно могут быть изменения законодательства. Валентина Семеновна начнет что-то подозревать, только когда через пару часов или дней случайно узнает, что коллега не присылала ей это письмо. Но за это время программа-шпион уже успеет собрать и передать важную информацию с компьютера.
На условиях анонимности Mind рассказали, что таким нехитрым способом увели почти 5 млн грн у регионального подразделения одного крупного автохолдинга. Главбух заподозрила неладное, только увидев опустошение счета. Аналогичные трюки спецслужбы проворачивают с политиками, госслужащими, обладающими ценной информацией. Не зря эксперты постоянно советуют не хранить важные данные в гаджетах, на которых стоит почта.
Операционный директор компании 10Guards ранжирует шпионское ПО в рассылках по типам «посылок»:
Соучредитель «Украинского Киберальянса» дополняет, что открытки в основном не страшны. «Но даже с помощью безвредной картинки, размещенной на собственном сервере, можно отследить IP-адрес пользователя, который на нее кликнул. А значит – выяснить его приблизительное местоположение», – поясняет Баранович.
«Привет» от спецслужб. Наименее массовая и наиболее дорогостоящая – охота за данными госструктур и стратегически важных предприятий. «Это достаточно узкий, но мощный сегмент киберпреступности, на который тратятся просто колоссальное бюджеты», – говорит Корсун.
«Учитывая, что в Украине низкий уровень кибербезопасности в государственных структурах, можно и без статистики утверждать: там «живет» шпионское ПО разных государств. И не только РФ, но и Китая, Северной Кореи и т. д. Многие страны ведут агентскую шпионскую деятельность в киберпространстве», – полагает Якушев.
По словам Барановича, наиболее актуальная и очень сильно недооцененная угроза – шпионаж со стороны России: «Даже по тем инцидентам, о которых стало известно, расследования не проводились. А сколько еще попыток шпионажа, о которых мы не знаем?»
Один из наиболее распространенных инструментов проникновения в госсистемы – supply-chain (атака через доверенного поставщика решений). «Взлом госучреждений и систем крупных компаний чаще всего происходит не путем обмана пользователей, а через скомпрометированное программное обеспечение для бизнеса. То есть нападение изначально нацеливается на небольшого разработчика ПО, чье программное обеспечение в свою очередь включено в решение другого, более крупного и известного разработчика», – поясняет управляющий IТ-безопасностью Tet (ранее Lattelecom) Улдис Либиетис.
Свежий пример – взлом нескольких министерств и госведомств США. «В декабре была новость о том, что гиганты Microsoft и VMware пострадали из-за уязвимостей ПО платформы Solarwinds Orion. Урок из этого такой: проверять нужно не только свой код, но и все продукты третьих лиц. Они могут составлять вплоть до 80–90% ПО, поэтому их не так просто проверить. Из-за этого проверку кода ПО заменяют менее эффективными методами – анализом аномалий и изменений в работе», – рассказывает Либиетис.
И яркий кейс supply-chain для Украины: распространение вируса notPetya через M.E.Doc. «Злоумышленники взломали производителя ПО – добавили в программу вредонос – клиенты обновились и заразились. Тем не менее специалисты рекомендуют постоянно обновляться: если не делать этого, риск быть взломанным намного выше», – говорит Якушев.