Как в Казахстане упростили жизнь хакерам

Хакеры всея страны и соседней России собрались в Астане, чтобы обсудить тренды в обеспечении информационной безопасности, а заодно проверить уровень защищенности от взломов электронных браслетов для осужденных, которые планируется запустить в Казахстане уже в следующем году. “КАРАВАН” встретился с президентом Центра анализа и расследования кибератак (ЦАРКА) Олжасом САТИЕВЫМ – главным организатором конференции Def Con Kazakhstan – и узнал, почему важно соблюдать кибергигиену и как за нами следят через кофеварки и товары из интим-магазинов.

Хотели как лучше…

Встреча этичных хакеров страны прошла уже в третий раз и собрала экспертов-практиков по информационной безопасности. На конференцию приехали и топовые специалисты из России, среди которых наш бывший соотечественник из Кокшетау, ныне возглавляющий отдел по информационной безопасности в Yandex, Эльдар ЗАИТОВ.

Участники представили доклады по уязвимостям систем GPS, GSM, Wi-Fi, а также развернулись во всю хакерскую мощь на специальном киберполигоне. Российский эксперт Леонид КРОЛЛЕ на примере уязвимостей геопозиционирования показал, как в два клика уничтожить урожай марихуаны, его коллеги так же блокировали систему ПВО и взломали Wi-Fi. Ну а гвоздем программы стало соревнование по взлому электронных браслетов, разработанных казахстанской компанией.

– Мы надели два браслета на ноги участникам из зала и поставили задачу взломать их сначала удаленно, а лишь потом – физически. Когда пошли первые попытки взломов бета-версии, у многих начали глючить телефоны: менялись дата, год, локация. Мобильники показывали, что мы находимся не в Астане, а в Антарктиде. Ребятам удалось найти несколько уязвимостей (с помощью усиления сигнала между браслетом и станцией, подмены GPS), хотя и спорных. Дело в том, что при попытках взлома владельцу системы сообщается об этом, но для конференции они оповещения игнорировали, чтобы это было удобнее атакующим. Под конец состязания участники попробовали вскрыть сам браслет, приподняв батарейку (срок ее службы – 5 лет), и на базовую станцию сразу поступил сигнал о попытке взлома. Казахстан является идеальным полигоном для хакеров со всего мира

Разработчики намерены учесть все векторы атак и исправить погрешности в конечной версии электронных браслетов, – рассказывает президент ЦАРКА Олжас Сатиев.

Символичным стал момент перехвата SMS-сообщений через уязвимости GSM.

– Наша конференция, где мы демонстрировали ахиллесову пяту информационной безопасности Казахстана, проходила 1 июля. И в этот же день стало известно, что отныне казахстанцы могут получить до 20 госуслуг через SMS с одноразовым паролем без электронной цифровой подписи (ЭЦП). Весь мир уходит от SMS, переходит к токенам (ключи информационной безопасности), а мы радуемся: услуги через SMS без ЭЦП! Да мы хакерам упростили жизнь, а не своим гражданам! – заявляет эксперт.

На конференции один из докладчиков наглядно продемонстрировал, как через старенькую Motorola можно перехватывать все сообщения с паролями.

– Я понимаю, что чиновники внедряют новые услуги для удобства народа, но об информационной безопасности при этом никто не задумывается! И в итоге эту тему двигает Президент – сверху вниз, а не те, кто должен это делать по роду своей деятельности. И создать систему “Киберщит Казахстана” тоже предложил глава государства, а не профильное тогда министерство, – констатирует Олжас Сатиев.

До первого взлома

Кстати, о щите. Представитель ЦАРКА Арман АБДРАСИЛОВ входит в общественный совет по информбезопасности при министерстве по оборонной и аэрокосмической промышленности.

– Мы смотрели концепцию “Киберщита” – она очень сырая, наспех разработанная. Одним из показателей информбезопасности в документе заявлено количество подписанных меморандумов!

Ранее при обсуждении госпрограммы “Цифровой Казахстан” ЦАРКА предлагал ввести в Казахстане индекс киберготовности (ИКГ), учитывающий порядка 70 параметров, 7 из них являются основными: нацстратегия, реагирование на инциденты, интернет-преступность и правоохранительная практика, обмен информацией, инвестиции в исследования и разработки, оборона и реакция на кризисные ситуации.

Международный союз электросвязи (ITU) ежегодно составляет соответствующий рейтинг 125 стран, Казахстан в этом списке сегодня находится на 90-м месте! После нас – Таджикистан, Киргизия, Узбекистан. С учетом того, как развивается “электронное правительство” у нас и в соседних странах, это крайне негативный показатель для нас, – отмечает Олжас Сатиев.

Россия, к слову, в указанном рейтинге находится на 10-м месте, по соседству с Беларусью, Арменией, Грузией. Лидеры списка – Сингапур и США.

– Мы долго боролись за внедрение ИКГ, у всех свои индексы, связанные с внедрением электронных услуг и “электронного правительства”, где мы впереди планеты всей. А ИКГ нас бы точно не красил.

Проблема в том, что информбезопасность тяжело оценить: пока вас не взломают, нельзя сказать, какой уровень защиты у вас – хороший или плохой. И можно сколько угодно денег тратить на эту самую безопасность, что и происходит, а по факту оказаться безоружным перед киберугрозами, которые ведут к реальным колоссальным потерям. Нам удалось отстоять свою позицию, и ИКГ в итоге внесли в концепцию “Киберщита”, – говорит глава ЦАРКА.

А сапожники – без сапог

– Два года назад мы начали писать систему мониторинга всего Казнета – онлайн-версию собственного “Киберщита” WebTotem – а это более 100 тысяч сайтов, сейчас она тестируется в бета-версии. Будем публиковать все данные о взломах сайтов госресурсов, фиксировать “падения” и заражения топ защищенных и слабых сайтов, в том числе банковских. Все свои знания и накопленный опыт мы вкладываем в продукты, которые должны будут помогать в построении информационной безопасности.

Для примера: на данный момент из всех ресурсов госорганов, которые я знаю, SSL-сертификат (для защищенного подключения к сайту) есть у портала КНБ. Новое руководство осознает важность информационной безопасности.

А у министерства оборонной и аэрокосмической промышленности, в чьих руках информбезопасность, сайт не защищен! А уж если вы приедете в ЦОНы со своей флешкой, то заражение вам 100-процентно гарантировано, – рассказывает Олжас Сатиев.

Вибраторы в зоне риска, или Соблюдайте гигиену

Еще два года назад ЦАРКА предупреждал о том, что бурный рост информационно-коммуникационных технологий в стране, уровня использования онлайн-платежей и в целом доверия к Интернету неизбежно приведут к тому, что Казахстан станет тестовым киберполигоном для хакеров.

– И в этом контексте еще острее встает кадровый вопрос. Можно вливать миллиарды в “Киберщит”, в программное обеспечение, фаерволы, но все будет неэффективно, пока не будет кадров. Именно люди, а не железки в конечном счете будут защищать нашу страну от различных атак. А с учетом постоянного усовершенствования кибер­оружия нам давно пора озаботиться этой темой. Как говорят хакеры, невзламываемых систем не бывает – это лишь вопрос бюджета либо времени. Если уж Пентагон взламывают, то что говорить о рядовых гражданах? – задается риторическим вопросом наш собеседник.

Сегодня, подчеркивает глава ЦАРКА, за вами могут следить и соответственно взламывать через любую технику. Жизнь по-хакерски, или Я залез в ваш кошелек

– Существуют специальные трояны для телевизоров, которые даже в отключенном состоянии следят за вами. В фильме “Сноуден” об этом как раз и повествуется. Растет мир интернет-вещей – каждая кофеварка, чайник могут подключаться к Интернету. А если у нас критичная инфраструктура не защищена, то за безопасность холодильников, естественно, никто не будет отвечать. И через эти предметы могут сливать ваши персональные данные, кредитки, следить, шантажировать. Да что там – за вами могут наблюдать даже через вибраторы.

Недавно зарубежные исследователи решили проверить уязвимость секс-товаров и убедились, что и вибраторы можно синхронизировать с компьютером и установить за вами слежку.

А китайцы удаленно взломали “Теслу”! В том случае речь шла о “шалости” – хакеры вскрыли багажник, но ведь таким же способом у машины можно на полной скорости отключить тормоза!.. А после не докажешь, что в аварии наследили хакеры, – говорит Олжас Сатиев.

А еще крайне важно внедрять кибергигиену, уверен эксперт, причем со школы.

– Это как учить детей мыть руки перед едой или не общаться с незнакомцами. Сейчас 3-летние малыши сидят в сотках, 5-летние девчонки в Instagram регистрируются. И надо с ранних лет приучать детей не открывать незнакомые файлы, не передавать персональные данные. То же касается и взрослых. Такая кибергигиена обеспечит вам до 99 процентов защиты.

Крупная компания может вложить миллиарды в самые последние разработки по информбезопасности, антивирусы, службы реагирования на инциденты, но какой в этом толк, если хакер отправляет письмо с котиком секретарю компании, та открывает его – и всё, все серверы, вся система заражены.

И ни один даже самый навороченный антивирус вас не спасет – трояны и вирусы модифицируются таким образом, что антивирусы их не распознают, – говорит Олжас Сатиев.

Астана