Стоковые изображения от Depositphotos
– Изменилось ли после февраля 2022 года отношение иностранных исследователей информационной безопасности (ИБ) к России?
– Да. Знаю про как минимум один такой случай. Как-то раз исследователь, испанец, нашел уязвимость в программном обеспечении каких-то контроллеров, примитивных микропроцессоров российского производства.
Нашел и опубликовал под гул и улюлюканье с призывом: «Я нашел уязвимость! Россия! Ломать!».
Что, разумеется, дикость – никто так не делает. Неважно, что происходит и где – ты всегда должен оставаться профессионалом.
– А как это – «оставаться профессионалом»?
– Любой уважающий себя исследователь кибербезопасности всегда неукоснительно должен следовать принципам responsible disclosure, то есть ответственного раскрытия информации. Это значит, что, если вы находите какую-то уязвимость или изъян в безопасности, вы первым делом сообщаете об этом производителю уязвимой системы.
– А что делать, если разработчик не ответил кибербезопаснику?
– Иногда производитель действительно может проигнорировать такое сообщение. К сожалению, это случается. Причем не только в России – по всему миру.
В таком случае киберэксперт должен обратиться в так называемый CERT (Computer Emergency Response Team – «компьютерная группа реагирования на чрезвычайные ситуации», – прим. ред.). Они есть практически во всех странах: частные и государственные.
Например, в России есть частный Kaspersky ICS CERT. Мы можем связаться с производителем и нас послушают, потому что мы знаем, как общаться, чтобы нас услышали. Государственные – «ФинЦЕРТ» при Банке России, Energy CERT при Минэнерго…
Государственные CERT уже с позиции регулятора могут связаться с производителем и сказать: «Друзья, вам нужно исправить эту уязвимость. Вы обязаны».
– Как долго в рамках хорошего тона исследователь должен ждать ответ от производителя, перед тем как с чистой совестью публиковать уязвимость?
– Обычно компаниям дается 90 дней на закрытие уязвимости. Если по разным причинам производителю это сделать не удалось, то исследователь может выложить информацию в открытый доступ.
Ко второму сценарию склоняются, если, например, уязвимость уже использовалась злоумышленниками. Тогда важно предупредить другие компании и пользователей, чтобы они как можно раньше предприняли компенсирующие меры. К первому – когда важно, чтобы производитель выпустил патч, и все его успели установить.
Тут безопасность важнее хайпа. Мы всегда стараемся идти навстречу вендору и, если требуется больше времени на устранение уязвимости, то мы, конечно же, не спешим выйти в публичное поле с описанием.
Но если уязвимость критичная и лежит «на поверхности», мы готовим комплекс компенсационных мер: прописываем правила по детектированию эксплуатации уязвимости, оповещаем наших заказчиков и партнеров в частном порядке, чтобы они могли защититься или найти признаки компрометации.
– Все эти шаги: написать производителю, обратиться в CERT, подождать 90 дней… Они как-то регламентированы или носят исключительно устный формат договоренности?
– Это этические принципы. Они регламентируются компаниями из сферы информационной безопасности, но не являются законом. Например, у нас в «Лаборатории Касперского» есть утвержденная политика разглашения уязвимостей, в которой как раз прописаны все основные шаги и этапы, которые должны быть выполнены исследователем в рамках раскрытия информации об уязвимостях. И там как раз прописаны в том числе и сроки раскрытия – 90 дней, если ни по одному из каналов связи производитель не ответил.
– С какими последствиями в будущем может столкнуться специалист, нарушивший эти правила?
– Сложно сказать наверняка. Вряд ли его кто-то будет искать, чтобы высказать все лично. Скорее всего, это плохой эпизод в биографии, который может отразиться на карьере. Например, если он придет трудоустраиваться в компанию с хорошей репутацией, доверия к нему будет мало, и в числе претендентов на ответственную должность он вряд ли окажется первым.
– Как работодатель узнает о эпизодах неэтичного поведения в прошлом?
– Очень часто исследователи в своем резюме указывают номера уязвимостей, которые они нашли, из CVE (Common Vulnerabilities and Exposures – «распространенные уязвимости и риски», – прим. ред.), международной базы данных уязвимостей. Исследователь пишет, что за ним зарегистрированы, например, 10 определенных CVE. Работодатель проверяет: стоит ли в описании CVE фамилия кандидата.
Если да, значит исследователь следовал принципам этичного разглашения информации. А если нет, то это так называемый балбес.
– Чем в итоге закончилась история с испанцем-русофобом?
– История закончилась хорошо. Во многом благодаря нашему вмешательству. Мы увидели сообщение товарища из Испании, связались с вендором, они посмотрели свою аналитику и увидели подключения извне. То есть, возможно, люди, начитавшись постов испанского специалиста, действительно начали пытаться что-то ломать.
Оказалось, что, к счастью, исследователь нашел уязвимость не в промышленном оборудовании, а в малых системах автоматизации, каких-то контроллерах, связанных с лифтами. Вендора никто не предупредил об обнаружении проблемы, а пост в блоге иностранного специалиста они не видели, так как компания небольшая и не может мониторить весь интернет.
Мы помогли компании распутать историю, они быстро исправили уязвимость и уведомили о ней своих клиентов. Мы же, кстати, в итоге и зарегистрировали на себя обнаруженную проблему в CVE. А потом еще обличающую статью написали, где призвали больше так не делать.
– А были случаи, когда вы находили какие-то уязвимости в промышленных объектах других стран?
– Были, конечно.
Поехали мы как-то на пивзавод.
Крупное, знаменитое предприятие, с множеством брендов…
– Звучит как начало классной истории…
– Так и есть! Мы приехали туда. Причем именно с целью проверки их системы безопасности внутри непосредственно производственной части предприятия. Задание такое было – пробраться в производство и понять, как варить крафтовое пиво.
Ищем. Приходит время обеда. Все идут не в местный ресторан, а в столовку за периметром предприятия, – там едят офисные работники соседних бизнес-центров, потому что дешево и вкусно. Пошли и мы.
Заходим. Вижу – на стене большой сенсорный экран с меню. Там можно посмотреть состав блюда, энергетическую ценность, стоимость и все в этом духе. У меня глаза загорелись, потому что моим хобби раньше было выводить такие экраны из так называемого режима киоска. То есть программу с едой можно свернуть и получить обычный интерфейс Windows или Linux.
– Так-так…
– Говорю коллеге: «Пойдем посмотрим. Я прям чувствую – там что-то есть».
Подходим, тыкаем, выходим из режима киоска и видим, что есть и выход в интернет, и подключение к корпоративной сети нашего пивзавода. Вот это удача!
Дело в том, что компьютер-экран не контролируется предприятием, но при этом имеет с ним связь. Получается, злоумышленнику не надо проникать на территорию завода и обходить защиту корпоративной сети для доступа к ней. Злоумышленник может зайти в столовую, вывести экран из режима киоска, загрузить со своего сайта вредоносное ПО и все. Уже дома он подключается при помощи установленного ПО к экрану и переходит в сеть пивзавода.
Правда, доступ этот будет только к корпоративной сети, а не к производственной системе. Но это вопрос времени, поскольку, закрепившись в корпоративной сети, можно найти компьютеры местных айтишников и уже через них, проэксплуатировав одну-другую уязвимость, войти и в производственную систему. Собственно, мы смогли сымитировать такой взлом и описали его в отчете для руководства пивзавода.
– И не было никаких проблем?
– Нет, конечно. Мы же узнали про этот вектор в рамках заказанного компанией пентеста (пентест – это контролируемый взлом системы для выявления и последующего исправления слабых мест в ее защите, – прим. ред.). Нам были только благодарны. Мы нашли проблему, и мы же помогли ее исправить.
– А как изменились отношения российских кибербезопасников с иностранными клиентами после 24 февраля 2022 года? Стали ли вас реже звать на объекты?
– Поначалу было такое: нас исключали из различных рабочих групп, отказывались от нашей экспертизы… Но это были спонтанные и необдуманные решения. К текущему моменту почти все вернулось на круги своя.
У нас как были, так и есть клиенты почти по всему миру: в Латинской Америке, Азиатско-Тихоокеанском регионе, на Ближнем Востоке и не только. В этих регионах есть локальные представители нашей компании, которые общаются с клиентами буквально на одном языке. Они имеют доступ к той инфраструктуре, которую клиенты доверяют своим ИТ — и ИБ-специалистам.
Во многом высокая степень доверия к нам сохраняется за счет наших так называемых центров прозрачности. Все, кто сомневаются в работе систем «Лаборатории Касперского», могут приехать в специальное место, сесть, изучить исходный код наших продуктов и убедиться в их надежности.
По сообщению сайта Газета.ru