Еженедельник PC Week/RE регулярно освещает состояние киберпреступности как в нашей стране, так и в мире в целом (см., например, обзоры www.pcweek.ru/themes/detail.php?ID=123203, www.pcweek.ru/themes/detail.php?ID=122482). Если обратиться к отчетам, которые публикуются ведущими ИТ-компаниями (скажем, таким, как Microsoft Security Intelligence Report или Symantec Global Internet Security Threat Report), то можно сделать вывод, что с точки зрения организации и деятельности киберкриминала Россия мало чем отличается от других стран с развивающейся и даже развитой экономикой. Но вот недавняя публикация автора eWeek Брайана Принса Inside the Russian Cyber-Underground (“Внутри российского киберандеграунда”), дала повод обратиться к этой теме, так сказать, незапланированно, поскольку содержащиеся в ней выводы во многом противоречат представлению большинства специалистов о состоянии дел в этой области.
В своей статье Брайан Принс ссылается на выступления двух хакеров — Федора Ярочкина и работающего под псевдонимом Grugq — на проходившей в Амстердаме конференции Hack in the Box 2010. Эксперты, к которым мы обратились за комментариями к публикации г-на Принса, оценивают уровень этого мероприятия как высокопрестижный в мире ИТ-специалистов. Вместе с тем Илья Медведовский, исполнительный директор компании Digital Security (представители которой были приглашены на конференцию в качестве докладчиков) отмечает, что средства массовой информации повернули данное выступление в модную сегодня на Западе “жареную” плоскость представления о России как этакой хакерско-криминальной империи. “В докладе Федора Ярочкина были совершенно иные акценты и выводы. Федор просто рассказал про свое погружение в российское криминальное хакерское сообщество, про сленг, методы, специфику и т. д., и не более того. Завтра он, может быть, расскажет о своем погружении в латиноамериканское хакерское сообщество”, — сообщил Илья Медведовский.
Таким образом, вывод о том, что российский подпольный хакерский рынок зачастую менее организован и значительно меньше похож на мафиозную структуру, чем это изображают, принадлежит самому Брайану Принсу, а не авторам доклада, и попытка журналиста выстроить индукционное логическое заключение из результатов исследований упомянутой пары специалистов о состоянии киберпреступности в России, по общему мнению опрошенных нами экспертов, оказалась неудачной.
Прежде всего наши эксперты предлагают обратить внимание на методологические особенности исследований, на которые ссылается Брайан Принс. “Федор и Grugq использовали метод наблюдения за [вполне определенными] форумами хакеров, — говорит Роман Карась, управляющий продажами в ритейле G Data Software в России. — С его помощью можно оценить активность только тех хакеров, которые участвуют именно в этих форумах”. По оценкам Ильи Сачкова, генерального директора компании Group-IB, это классические “псевдопрофессиональные” площадки для общения начинающих и слабо разбирающихся в ИКТ людей, их участники — небогатые школьники и студенты, и стоимость их услуг оценена Федором и Grugq`ом верно — как низкая (20—30 долл. за передачу доступа ко взломанному серверу).
По мнению Владимира Мамыкина, директора по информационной безопасности ООО “Майкрософт Рус”, тот факт, что преступлений в компьютерной области, совершаемых участниками подобных форумов, больше, чем других, не означает, что эти участники представляют собой главную угрозу обществу, и не их называют хакерами. “Если бы мы подходили с подобными мерками к оценке традиционной преступности, то средним преступником у нас оказался бы школьник, разбивший нос своему однокласснику”, — говорит он.
Роман Карась предлагает для исследованного Федором и Grugq`ом сегмента киберкриминалитета использовать классификацию МВД РФ, согласно которой это будет называться “мелкой преступной деятельностью” (за рубежом для них используют специальный термин “Script Kiddies”). Виктор Сердюк, генеральный директор компании “ДиалогНаука”, отмечает, что действия этой категории злоумышленников чаще всего связаны с искажением содержимого плохо защищенных сайтов, подбором паролей к личным почтовым ящикам пользователей электронной почты и т. п. “Для защиты от такого рода нарушителей достаточно применять базовые методы и приемы по обеспечению информационной безопасности”, — считает он.
Вместе с тем реальная киберпреступность, как утверждает Илья Сачков, коммуницирует на совершенно на других ресурсах. “Доступ к ним можно получить только по личной рекомендации нескольких участников [криминального] сообщества, плюс необходимо внести депозит в размере 5—550 тыс. долл. Только на этих площадках и совершаются реальные сделки. Чтобы появиться хотя бы на некоторых из них, исследователи киберпреступности тратят годы кропотливой работы”, — говорит он, ссылаясь на опыт своей компании.
Сергей Ильин, управляющий партнер компании Anti-Malware.ru, напоминает нам о том, что современный киберкриминалитет независимо от его масштаба в своей деятельности в основном руководствуется экономическими соображениями, но вместе с тем на эту деятельность накладывает свою специфику интернет-среда. “По аналогии с реальной экономикой там есть крупные системообразующие группы, развивающие свои партнерские программы (виагра, порнография, смс-платежи, вымогательство и т. д.), которые используют более мелких организованных поставщиков “услуг” или “предпринимателей-одиночек” для достижения своих целей”, — отмечает он. Существенной особенностью киберпреступности, по его мнению, является “...принципиальная сложность ее монополизации, так как информационное пространство предоставляет для всех одинаковые возможности, обеспечивая, пожалуй, наиболее либеральную из всех возможных среду для ведения [преступного] бизнеса”.
Что же касается взаимодействия киберпреступности с преступностью традиционной, то, как полагают наши эксперты, это реальность, подтверждаемая структурой действующих преступных схем. “Так, например, на основе похищенных данных о кредитных картах изготавливаются их дубликаты, по ним массово покупаются товары (на небольшие суммы, чтобы не требовалась дополнительная авторизация, зато во множестве разных мест). Ну а потом эти товары направляются по обычным налаженным преступным каналам сбыта, по которым уходят и ворованные вещи. По этой схеме киберпреступники из одних стран часто обслуживают обычных преступников из других, ведь массово покупать товары по кредитным картам можно в магазинах многих разных стран. Ну а как добываются деньги на организованных и затем проданных киберпреступниками ботнетах для осуществления DDOS-атак? Да просто рэкетиры вымогают их у владельцев веб-сайтов, угрожая организацией таких атак. Безусловно, киберпреступники, несмотря на то что избегают прямого участия в финальных звеньях криминальных схем, остаются соучастниками этих преступлений”, — говорит Владимир Мамыкин.
В 2009 г. активным атакам подвергались российские банковские платежные системы, системы электронных платежей, электронная коммерция, включая интернет-магазины, интернет-сервисы, монетизирующие свою деятельность за счет посещения своих веб-ресурсов, СМИ (среди прочих “КоммерсантЪ”, “Ведомости”, “Новая газета”), телекоммуникационные компании, медицинские учреждения Москвы, интернет-магазины автозапчастей, веб-сайты оконных фабрик. Расход на такую атаку, согласно данным компании Group-IB, составлял 100—500 евро в день.
Как отмечает Виктор Сердюк, действия высококвалифицированных хакеров могут быть направлены также на промышленный шпионаж, на нарушение работоспособности критически важных объектов ИТ-инфраструктуры и т. п. “Как правило, защиту от подобных действий можно обеспечить только за счет применения сложного комплекса мер безопасности. В целом методы защиты от киберпреступлений зависят от того, какая модель нарушителя принята за основу защищающейся стороной. Именно такая модель позволит оценить уровень квалификации потенциального злоумышленника, а также возможные угрозы безопасности, методы проведения атак и способы противодействии им”, — считает он.
“Смычка киберпреступности с организованной преступностью в России определенно существует, — заявляет Илья Сачков. — Через нее обеспечивается в том числе юридическая и физическая безопасность участников преступных групп, в которые входят и киберспециалисты. Средняя еженедельная прибыль одной преступной группы, занимающейся мошенничеством в системах дистанционного банковского обслуживания (кражей ключей у юридических лиц — клиентов банков), к примеру, составляет 2—5 млн. долл. Вот это и есть настоящая киберпреступность, смыкающаяся с традиционной. Если таких преступников не обезвреживать сегодня, то завтра они с неправедно нажитыми деньгами либо уезжают из страны, либо идут во власть. Лично мне известны действующие депутаты областных и городских дум, которые ранее занимались спамом. Они легализовали свои капиталы и занялись политикой”.
О способности нашей страны сегодня противостоять преступлениям в сфере высоких технологий высказался Максим Гончаров, старший исследователь в области ИБ компании Trend Micro: "В нынешней России нет “высококачественной” борьбы с кибер-преступностью, и потому она находится в списке неблагоприятных стран в этом плане. Так, некоторое время назад имел место скандал с утечкой информации из одной частной компании. В течении нескольких дней любому желающему были доступны электронная почта и телефонные переговоры, связанные с этой утечкой. Из них следовало, что очень известные интернет-сообществу лица промышляют распространением вредоносного программного обеспечения и порнографии".