Новиков и Лукацкий, Positive Technologies: Рунет и хакеры - кто появился раньше

Управляющий директор Positive Technologies Алексей Новиков и бизнес-консультант компании по информационной безопасности Алексей Лукацкий рассказали "Тридесятому Рунету", чем занимались хакеры до появления интернета и как Рунет повлиял на ландшафт российской информационной безопасности.
С появлением интернета в России появились новые классы угроз.
С появлением интернета в России появились новые классы угроз. / Сергей Михеев

Как выглядели хакеры и информационная безопасность в России до появления интернета?

Алексей Лукацкий: Я застал времена, когда в России еще использовали FidoNet и BBS, bulletin board system, - электронные доски объявлений. (технологии передачи данных в до интернетную эпоху - ред.)

И очевидно, что в условиях, когда скорость соединения была 2,4 килобита в секунду (а кому повезло - 9,6 Кбит/с), ни о каких-то серьезных взломах и тем более какой-то серьезной киберпреступности речи не шло. Поэтому весь хакинг (если мы говорим о хакерах как о злоумышленниках, а не исследователях) это были взломы программ для обхода копирайта и соответственно возможности бесплатно использовать лицензионные программы.

Вторая история - это вирусы. Их писали уже тогда. Причем, они зачастую носили не деструктивный, а скорее какой-то хулиганский характер. Такой вирус, скажем, мог произвольно проигрывать музыку, включать CD-ROM (если он у вас был), "бегать" по экрану и пожирать буквы и пр. Как правило, это была деятельность без жесткого деструктивного функционала. Речь идет о начале 90-х годов, когда интернет как таковой отсутствовал. Потом стали появляться первые попытки, не то, чтобы взломов, а скорее обхода доступа в интернет, когда интернет-провайдеры продавали карточки для доступа в интернет через телефонные линии, а защита была достаточно слабой. И такие хакеры, в кавычках, подбирали пароли, и за счет кого-то другого выходили в интернет.

Алексей Новиков: Но самая громкая история, связанная с информационной безопасностью в доинтернет-эпоху - это аферы с фальшивыми авизо, когда злоумышленники, пользуясь отсутствием защиты каналов связи в расчетно-кассовых центрах (РКЦ) банков похитили миллиарды рублей. В итоге именно финансовый сектор (среди гражданских организаций) стал первым в России применять криптографию и другие методы защиты информации.

Не было бы интернета, не было бы и информационной безопасности как многомиллиардной индустрии

Когда в Рунете появились первые хакеры, в современном понимании этого слова и как это выглядело?

Алексей Новиков: Все шло по нарастающей, в том числе и по мере развития Рунета. Примерно в начале 2000-х появились так называемые "нигерийские письма" (вид мошенничества, получивший наибольшее развитие с появлением массовых рассылок по электронной почте. Как правило, мошенники просят у получателя письма помощи в масштабных денежных операциях, обещая солидный доход. Если получатель соглашается участвовать, у него постепенно вымываются все более крупные суммы денег на "оформление сделок", "уплату сборов", "взятки чиновникам" - ред.).

Появился мессенджер ICQ, и хакеры стали "угонять аськи" требовать деньги за возврат аккаунта, продавать красивые и короткие номера, вклиниваться в переписку.

В середине 2000-х, когда массово начал развиваться веб, HTML, JavaScript, начали взламывать веб-сайты.

Возникли целые чаты и хакерские форумы тех, кто пытался это монетизировать. То есть, хакеры находили уязвимости на различных сайтах, находили их владельцев и вступали с ними в переписку, например, с такими словами: "я вижу в базе пароли от твоего интернет-магазина, давай мы друг другу поможем".

А если говорить о даркнете, месте, где хакеры общаются между собой, где совершаются нелегальные сделки, то он появился у нас до или после появления Рунета?

Алексей Новиков: Лично мое мнение - даркнет появился тогда, когда хакерам и злоумышленникам стало тесно и, пожалуй, опасно в "обычном" интернете. В какой-то момент кооперация между странами позволила успешно бороться с преступными форумами: стали появляться правила разделегирования доменов, появились процедуры и реальные факты изъятия серверов и иногда в кооперации между правоохранительными органами нескольких стран. Были созданы первые подразделения по кибербезопасности, и расследованиям кибератак, причем и в коммерческих компаниях, и в правоохранительных органах. И поэтому, как ответная реакция, возник даркнет, неиндексируемый поисковиками, и в нем появились разные подпольные форумы, куда можно попасть только через специальный браузер Tor или иным неочевидным простому обывателю способом.

Алексей Лукацкий: Добавлю, что еще до появления Рунета в Fido и на BBS были прообразы даркнета. То есть, уже там выкладывали исходный код вирусов, инструкции по компьютерному взлому организаций. История была не совсем публичной. Были выделены специальные ноды (сейчас бы это назвали серверами) в Fido, где публиковалась такая информация и надо еще было заручиться поддержкой определенных людей, чтобы туда попасть. Это некий аналог "гарантов" или "арбитража", который происходит на современных хакерских форумах.

Какое влияние развитие интернета оказало на информационную безопасность в целом, и на ИБ в России?

Алексей Новиков: Не было бы интернета, не было бы и информационной безопасности как индустрии.

Алексей Лукацкий: Когда я начинал заниматься ИБ, защита информации вообще была закрытой темой. До 1992 года в СССР и России не обучали защите информации в гражданских ВУЗах. Эта тема была уделом ограниченного количества "закрытых" ВУЗов и не гражданских государственных организаций.

Потом произошла "перестройка" и, к примеру, те же самые криптографы пошли на "вольные хлеба" и стали создаваться первые фирмы, которые разрабатывали коммерческую криптографию.

А когда появились первые веб-сайты, началась история с атаками на них и обходы механизмов их защиты, то появились первые файрволы и коммерческие системы обнаружения атак. Это произошло примерно в середине 90-х годов. До этого сети были локальными, они были изолированы от внешнего мира и построены на протоколах, совершенно отличных от тех, на которых существует интернет - потенциальный злоумышленник вообще не мог проникнуть внутрь них без специального шлюза. Поэтому в механизмах защиты какой-то надобности не было. Основная защита тогда была антивирусной.

Потом, когда интернет стал активно развиваться, появился широкополосный доступ (ШПД) и вслед за ним - необходимость нормальной защиты локальной сети от внешних атак. Сформировалась концепция защиты периметра информационных систем, появились задачи, связанные с защитой электронной почты от спама, вирусов и так далее. Вот с этого момента индустрия информационной безопасности начала очень активно развиваться; это были 1998-2000 годы.

Потом интернет стал еще более скоростным и потребовалась защита от DDoS-атак. Хакеры от исследовательских задач перешли в чистую коммерцию и, соответственно, глобальный рынок ИБ набрал огромные обороты в сотни миллиардов долларов ежегодно.

Алексей Новиков: С появлением интернета в России появились новые классы угроз. А самое главное, если раньше существовала изолированная компьютерная сеть в рамках одного здания, какого-нибудь оборонного предприятия или министерства, то подключение к интернету автоматически сделало сети компаний и организаций доступными всему миру. Чем больше интернет-сервисов, тем больше различных угроз.

Сервис удаленного доступа, новые протоколы передачи данных, новые цифровые сервисы (например те же интернет магазины) спровоцировали и появление новых угроз: кражи данных банковских карт с сайтов этих самых магазинов, подмену и перехват данных (причем часто удаленный - из другого часового пояса и даже страны), нарушение доступа, нарушение работоспособности сервисов и пр. Все это сильно подстегнуло развитие российской информационной безопасности: начали активно внедряться и использоваться антивирусы, межсетевые экраны и другие решения, ставшие сегодня уже базой для информационной безопасности.

Интересно, что на заре появления Рунета у многих хакеров отсутствовало понимание, что их действия нарушают закон. Если в реальном мире, кто-то подошел к человеку, и угрожая ножом, и забрал у него бумажник, то все понимали, что это плохо. А вот когда к какому-то владельцу сайта кто-то написал, что у него есть уязвимость, и предложил перечислить на webmoney какое-то количество денег, то осознание того, что это является правонарушением, не у всех сразу появилось. Я помню, как тогда многие ребята искренне считали, "а что тут такого"? и, как показала история, заблуждались в своем неведении.

Можете вспомнить самую громкую или самую масштабную кибератаку в России. Когда и как это произошло?

Алексей Лукацкий: Если вспоминать историю, то один из самых громких кейсов хотя и был связан с Россией, но жертвой хакера стал американский Citibank. В 1994 году Владимир Левин, находясь в России, удаленно проник во внутреннюю систему банка и вывел 12 млн долларов с банковских счетов клиентов банка. Тогда это были огромные деньги, а Citibank считался не только одним из крупнейших, но и самым технологически продвинутым банком мира. (Формально Владимир Левин в 1994 году не нарушил действовавших тогда в РФ законов - ред.). Это событие было настолько значимым, что именно после него в компаниях появилась должность CISO - Chief Information Security Officer - директора по информационной безопасности, входящего в топ-менеджмент организации. До этого момента руководители ИБ находились не на самых высоких ступеньках корпоративной иерархии.

Алексей Новиков: Самые масштабные кибератаки - это, наверное, история 2014 года: тогда мы впервые увидели массовые обращения в компании, занимающиеся информационной безопасностью, со стороны российских организаций, которые до этого не сталкивались с такими мощными DDoS-атаками, с многочисленным дефейсами сайтов (подменой главной страницы сайта - ред.). Именно тогда стало понятно, что противоборство (и политическое в том числе) переместилось и в киберпространство.