Новые технологии – это не только плюсы
«Скорость появления новых технологий значительно выросла. Сами разработчики говорят только об их плюсах: Интернет вещей, криптовалюта – все это откроет перед нами огромные возможности… Из–за такого “накручивания” превосходства технологий люди перестают воспринимать их критично. Мое личное мнение заключается в том, что вместе с плюсами, которые несут новые технологии, они всегда несут и проблемы. За мой профессиональный опыт я не сталкивалась ни с одной технологией, в которой не было бы уязвимостей и которая не несла бы новых угроз», – начала лекцию Наталья Касперская.
Проблема еще и в том, что люди доверяют различным заявлениям о новых технологиях, не имея возможности понять реально, как эти технологии работают. В результате вокруг технологии начинает формироваться маркетинговый «пузырь», который, если технология «не взлетает», тихо сдувают, а затем надувают новый.
Сейчас, например, на пике популярности находятся криптовалюты, в частности, биткоин. Однако восхищаясь возможностями этой технологии и тратя деньги на покупку биткоинов, люди не учитывают риски. А они есть и особенно велики в масштабах страны. Почему? Наталья Касперская выделила критерии:
1. Возможности контроля денег внутри страны нет. По отношению к иностранным валютам в стране существует валютный контроль, а контролировать биткоин возможности нет, так как он не привязан к какой-либо стране и никем не регулируется.
2. Прозрачность транзакций в биткоине нулевая, то есть нельзя достоверно установить, кто кому платит. Это идет наперекор тренду обеспечения прозрачности сделок во всем мире.
3. Чисто биржевая цена самого биткойна основана исключительно на ожиданиях и восторгах спекулянтов, надеющихся заработать на «новом финансовом инструменте». Последствия таких ситуаций можно проследить на примере Интернет-пузыря и МММ.
Кроме того, по некоторым признакам видно, что якобы создатель биткоина Сатоши Накомото таковым, на самом деле, не является, добавила Наталья Касперская. Объем кода и некоторые признаки внутри него указывают на то, что это разработка группы профессиональных американских криптографов, сказала она.
Важность цифрового суверенитета
Лектор подчеркнула, что каждому государству важно иметь цифровой суверенитет. Цифровой суверенитет – это возможность страны проводить собственную независимую политику в информационной среде. К этому относится и «железо», то есть компьютеры, смартфоны, дата-центры, хостинги и прочая инфраструктура, и программное обеспечение для работы этой среды. Ко второй группе можно отнести не только операционные системы и ПО для управления, например, Интернетом вещей, распределенные реестры типа блокчейна или банковских платежных систем.
По словам Натальи Касперской, единственная страна в мире, которая имеет свой цифровой суверенитет, – это США. По факту это значит, что страна не нуждается в сторонних разработках, чтобы поддерживать работу своих информационных систем. То есть таких экономически небезопасных ситуаций, которая случилась с блокировкой работы Visa в России в марте 2014 года, в США быть просто не может. Напомним, тогда американские платежные системы Visa и MasterCard приостановили доступ к своим системам для некоторых российских компаний, которые попали под экономические санкции США.
Пример страны, которая уверенно движется к цифровому суверенитету, – это Китай, отметила лектор. Сейчас в КНР производятся собственные процессоры, аппаратные платформы, ПО, медийная инфраструктура, поисковые системы, соцсети, мессендежеры, видеохостинги, торговые площадки, фаерволы. При этом Китай пошел еще дальше и объединил платежную систему с мессенджером WeChat: покупать еду в ресторанах, ходить по магазинам, оплачивать коммунальные услуги или спортзал – все это можно делать с помощью одного приложения. Там же пользователи могут общаться друг с другом, бронировать билеты в театр или столики в кафе, заказывать такси и много других услуг. Журналист Forbes попробовала прожить один день в Пекине, расплачиваясь только WeChat. И это у нее получилось без проблем.
Не доверяйте вашему смартфону
«Цифровой суверенитет нужен еще и потому, чтобы избежать доступа различных иностранных спецслужб к личным данным. Данные о том, как вы используете смартфон, с кем вы общаетесь в Facebook и других сетях, собираются и анализируются – это большие данные, с помощью которых можно осуществлять давление на личность или просто собирать данные о всех пользователях, чтобы продать им еще больше услуг. Возьмем, например, приложения для смартфонов. Сомневаюсь, что многие читают разрешения на использование данных и ресурсов устройства, когда устанавливают приложения. А бывает, что какой–нибудь фонарик требует доступа к вашим контактам, галерее, микрофону. Зачем?» – привела примеры Наталья Касперская.
Тот же пример с фонариком использует в своем руководстве по безопасному скачиванию приложений компания Samsung. На сайте отмечается, что если приложение «Фонарик» запрашивает разрешение на покупки в приложении, доступ к данным о местоположении, Wi-Fi-подключениях, к микрофону, фото- и видеофайлам и камере, то такое приложение небезопасно. Обычному фонарику может потребоваться только доступ к камере и, возможно, к GPS-данным, если у приложения есть компас. На Хабрахабре можно найти список самых небезопасных разрешений, которые требуют: root-права (возможность управлять всей системой вообще без ограничений), разрешения на чтение личных данных, на совершение звонков или отправку сообщений, на данные о местоположении, на установку дополнительного ПО, на остановку фоновых процессов.
А что такого, если фонарик получит доступ к микрофону и камере, спросите вы? А дело в том, что микрофон и камера потенциально могут включаться без вашего ведома. Помните серию из «Черного зеркала», в которой за подростком следили с помощью веб–камеры как раз после того, как он не глядя установил новое приложение? И затем полученные о нем данные использовали для шантажа. Поэтому следует внимательно относиться к тому, что именно вы разрешаете неизвестным приложениям делать с вашим смартфоном. Президент InfoWatch также отметила, что аналогичные опасности связаны и с использованием телевизоров и других устройств с голосовым или жестовым управлением, поскольку для определения вашего голоса и жестов устройство имеет камеру с распознаванием, а это значит, что оно слышит и видит все, что происходит в комнате.
«Мы считаем, что смартфон – это наше личное устройство. Это не так. Это устройство, которое принадлежит компании-разработчику и дано пользователю для его работы и развлечения. Например, мой коллега-разработчик приложений хотел “перепрошить” операционную систему своего смартфона. В результате ему стали каждые пять минут приходить сообщения, что устройство скомпрометировано, а через пару дней смартфон просто заблокировался. Несмотря на свою квалификацию, коллега не смог это исправить. Производители хотят иметь контроль над производимыми ими устройствами», – добавила Наталья Касперская.
В каждой системе могут быть лазейки для кибератак
Внедрение в повседневную жизнь все большего количества новых технологий приводит не только к плюсам, но и к дополнительным вызовам в области безопасности. Сегодня есть тренд на то, чтобы делать все «умным». Однако разработчики «умных» технологий, как правило, мало задумываются о том, как сделать эти системы безопасными, сказала лектор.
Например, есть какой-нибудь завод по производству стратегически важных устройств. Если завод установит себе новые устройства, которые включают в себя функционал Интернета вещей, то безопасность технологических систем предприятия упадет на несколько порядков!
Например, в 2010 году был обнаружен небезызвестный вирус Stuxnet, архитектура которого впервые в истории позволяла физически выводить из строя производственные объекты. Вирус был нацелен на блоки управления центрифугами, предназначенными для получения обогащенного урана на критически важных объектах в Иране. Однако вирус «убежал» за пределы своей цели и заразил полмира. «Лаборатория Касперского» провела собственное расследование, которое предполагает, через какие первые объекты Stuxnet попал в сеть.
Другой нашумевший пример – это DdoS-атака на крупнейшего DNS-провайдера США компанию Dyn, которая произошла в 2016 году. С помощью атаки на незащищенные протоколы веб-камер, которых в США насчитывается миллионы, злоумышленникам удалось обрушить крупнейшего провайдера в стране. Он хостил такие сайты, как TheNewYorkTimes, PayPal и Twitter, которые в результате атаки были недоступны в течение нескольких часов.
«Сегодня существует некоторое давление, чтобы делать все “умным”, в том числе, со стороны разработчиков. Но, на мой взгляд, это не очень правильно огульно делать все “умным”. Прежде чем заниматься внедрением интернета вещей, надо составить себе полное понимание об угрозах безопасности», – прокомментировала президент InfoWatch.
Она добавила, что очень часто некоторые лазейки для кибератак годами «отсиживаются» в разных программных продуктах и устройствах, чтобы «заявить о себе» в нужный момент. Такие лазейки называются программными и аппаратными закладками. Закладки могут намеренно встраиваться в ПО и устройства производителями, и специалистам по информационной безопасности крайне трудно их отследить и обезвредить.
«Сегодня привычный цикл, когда сначала появляется технология и сразу после – защита от ее потенциальных угроз, нарушен. Многие технологии зачастую вообще не анализируются на информационную безопасность и используют открытые протоколы, что дает злоумышленникам огромные возможности», – добавила Наталья Касперская.
Конечно, остановить технологическую гонку уже невозможно. Поэтому сегодня запрос на специалистов в области информационной безопасности растет очень быстро. Самое главное, чтобы сами пользователи новых технологий понимали эту опасность и использовали только проверенные технологии.