'Вопросы к интервью

М. Наки 20:03, это радиостанция «Эхо Москвы», у микрофона Майкл Наки. Сегодня мы будем говорить о том, как защитить личные данные от утечки. У меня в гостях Виталий Золотарёв, основатель компании, идеолог систем защиты компании Variti. Здравствуйте!

В. Золотарев Здравствуйте!

М. Наки И Эдуард Макаров, директор по развитию бизнеса этой компании.

Э. Макаров Здравствуйте!

М. Наки Собственно, история с личными данными и с их утечками — это то, что у нас постоянно на слуху. И чем дальше мы, так сказать, идем в лес, тем больше дров, тем больше утекает данных, и тем больше это становится критичным. Причём это касается обычных пользователей, сайтов, целых компаний. Был ряд крупных скандалов даже с кинематографическими компаниями и с государственными учреждениями. В общем, постоянно это всё обсуждается.
Я только, перед тем, как мы перейдем уже непосредственно к нашей теме, напомню: телефон для ваших смс +7-985-970-45-45, твиттер-аккаунт vyzvon, и на YouTube идет трансляция — там тоже в чат можно писать ваши вопросы, ваши комментарии, ваши проблемы, может быть, с которыми вы сталкивались, вопросы, которые у вас накопились, нашим гостям.
И давайте начнем, собственно. Расскажите, пожалуйста (к Виталию, наверное, обращусь сначала), какие сейчас есть основные проблемы с защитой информации. Точнее, с атакой на эту информацию и с тем, что с этим делают сейчас. Чего стоит опасаться и что прямо сейчас существует?

В. Золотарев То, что мы видим сейчас, что происходит с нашими клиентами — это чаще всего подбор паролей к каким-то личным кабинетам, к каким-то другим системам пользователей, либо к системам лояльности. Это не просто подбор пароля. Это чаще всего перебор каких-то баз данных, которые раньше были накоплены.
Как известно люди — существа такие достаточно ленивые, беспечные. Они не любят везде ставить разный пароль. Чаще всего это один и тот же пароль. И если он в каком-то сервисе утёк — так уж случилось: не все сервисы одинаково хорошо защищены — то с большой вероятностью этот же пароль можно встретить и на других его сервисах. Поэтому то, что мы сейчас наблюдаем среди своих клиентов — это очень частый брутфорс, подбор, именно проверка, валидация накопленных баз, где логины и пароли.
После этого, если это удалось, злоумышленники даже не всегда что-то делают. Они себя не проявляют. Чаще всего они просто запоминают, что вот это подошло, в этом сервисе есть. И даже если сейчас, на данный момент им неинтересно (то есть в этом сервисе либо нулевой баланс, либо там что-то не так), они ставят это на мониторинг до хороших времён, когда там что-то появится.

М. Наки Ну давайте предметно, но без имён, без названий. Просто чтобы люди, которые от этого далеки, понимали, о чём идёт речь. Допустим на каком-то сайте — сайте, не знаю, какого-нибудь производителя или там какого-то сервиса — у меня есть логин, пароль, программа лояльности, мне там бонусы начисляются, кэшбеки там… И, соответственно, если у меня всё это подобрали, то если у меня там что-то есть, это могут взять. Правильно я понимаю?

В. Золотарев То что мы знаем — как работает эта схема: чаще всего они подбирают. Подобрали логин и пароль, проверили баланс. Если он там есть, то они вот эту пару «логин-пароль» и название сервиса просто продают в даркнете тем, кто умеет это монетизировать, тем кто умеет оттуда вывести деньги.

М. Наки То есть это разные люди. Разделение труда.

В. Золотарев Какая-то цепочка. Там достаточно большой бизнес. Есть люди, которые зарабатывают на том, что они подбирают, проверяют. Причём если они там нашли положительный баланс, они его продают сразу, этот доступ. Если баланс нулевой, они его ставят на мониторинг и ждут, когда он станет каким-то положительным. Когда становится положительным, они опять же его продают.

М. Наки Понятно. Эдуард, скажите, пожалуйста, а насколько это распространённая (в том числе для бизнеса, для сайтов) сейчас проблема? Это история про какие-нибудь слабенькие сайты? Не знаю, интернет-магазин китайских товаров, который только что открылся на бесплатном домене. Или это история в целом даже про те сайты, те устройств,а которые мы хорошо знаем — большие и известные?

Э. Макаров Больше, конечно, это про какие-то известные истории, потому что пока злоумышленники дойдут до сайта с китайскими товарами, наверное, пройдет очень много времени. Они, естественно, начинают проверять, подбирать те пары «логин-пароль», которые у них появились с действительно известных ресурсов, которые мы все знаем, которыми мы все пользуемся в идеале каждый день — если не каждый день, то каждую неделю хотя бы. Вот то же самое, что сказал Виталий: где есть хоть какой-то баланс. В первую очередь такая угроза есть у тех ресурсов, где люди как-то заводят деньги: когда есть какой-то лицевой счёт, что-то ещё, программа лояльности… В общем, что-то, что злоумышленник может украсть. Сайт китайских товаров — ну, я думаю…

М. Наки В меньшей степени.

Э. Макаров Он им тоже интересен, но с точки зрения, что на нём можно как раз-таки получить эту пару «логин-пароль» — обычно почты и пароля.

М. Наки То есть, допустим, история не только про то, что непосредственно взламывают или совершают атаки на сайты, где есть какой-то баланс, но это может быть и на какие-то слабые сайты, которые содержат большое количество пользовательских данных — то есть пара «логин-пароль»...

Э. Макаров Грубо говоря, на сайте даже можно не тратить деньги. Там может ничего не быть. Если он просто популярен и там все регистрируются. Причем тут даже важно, кто регистрируется. Есть это какой-то сайт, предположим, на котором регистрируются владельцы каких-то машин определенной марки, казалось бы, кому он нужен? Но ты таким образом получаешь хорошенькую такую базу людей, которым можно продать эти автозапчасти, например, или которые где-то покупают автозапчасти. Это уже другой рынок, который как раз денежный, на котором тоже это всё можно монетизировать.

М. Наки Виталий, скажите, пожалуйста, а вообще сложно совершать эти атаки? Кто их обычно делает? Потому что мы в фильмах видим много разного. То это какая-нибудь суперорганизованная группа, ячейка, то какой-нибудь человек в какой-нибудь белой маске. В  реальности кем и как совершаются такие атаки?

В. Золотарев В реальности на самом деле это не такая сложная, как обычно представляется, процедура. Зачастую и школьники могут это делать. Сейчас они достаточно талантливые. Но есть люди, которые делают это ради самоутверждения, ради какого-то своего удовольствия: чтобы, может быть, друзьям показать, доказать, насколько они круты.

М. Наки То есть вот я крутой, взломал… Ну, не Пентагон, ладно… Что-то там.

В. Золотарев Да. А есть люди, у которых это бизнес. Это их бизнес, они занимаются этим достаточно серьезно. У них серьезные инструменты. Вот на примере одной из таких атак, переборов одного из наших клиентов, которых мы наблюдали и защищали. Там была атака: в течение нескольких дней перебирали — видимо, проверяли базу. Она с 450 тысяч ip-адресов происходила. То есть это достаточно большой ботнет, и не один — мы видели, как эти ботнеты менялись.

М. Наки Так, подождите. Мы перешли к новому термину, к которому, я думаю, морально пока не все слушатели готовы. Что такое ботнет, что такое боты? Из ваших слов следует, что это тот инструмент, которым часто совершаются атаки. Переведите на наш язык, непосвященных.

В. Золотарев Боты — это фактически любая автоматизированная активность. Есть люди, которые заходят с браузера на сайт, например — это человеческие запросы. Или, там, с мобильного — пользуются мобильным приложением. Это такие легитимные запросы от легитимного приложения. Но к этому же серверу можно сделать запросы и автоматизированные: написать на каком-нибудь языке программу, которая автоматически с большой частотой, с большой скоростью, со своей логикой (может быть, не с большой частотой — это зависит от логики) будет исполнять определенный сценарий. И вот это уже называется «боты» — роботы, в сокращении.

Э. Макаров Ну и что самое главное, они умеют маскироваться под человека.

В. Золотарев Да, они умеют маскироваться под людей. Такие боты могут запускаться просто на сервере — где-нибудь в Амазоне, ещё где-то. Если они не скрываются и не сильно маскируются под людей, потому что сети серверов, сети провайдеров известны Еще когда они пытаются маскироваться, используются ботнеты — большое количество зараженных компьютеров…

М. Наки Сеть.

В. Золотарев Да, на которые установлен какой-то софт. По сути это вирус, для которого есть централизованное управление.

М. Наки То есть армия такая.

В. Золотарев Да. Ему дается команда, что делать. Туда можно загрузить фактически всё что угодно. Эти ботнеты могут заниматься DDoSом, они могут заниматься перебором.

М. Наки Так, новое слово появилось. DDoS — это что такое?

В. Золотарев DDoS — это распределённая атака в обслуживании. То есть это когда со всех сторон, отовсюду, со всего мира на сайт посылаются запросы, которые сайт не может переварить. Таким способом у него кончаются ресурсы, и он умирает.

М. Наки То есть прекратить его работу.

В. Золотарев Прекратить его работу — убить просто. Это как бы эмуляция большого количества пользователей. Просто если это делается, например, с одного сервера, один сервер может сгенерировать большое количество запросов, так что сайт может не выдержать. Но это очень легко отсекается, потому что с этого адреса идет большой поток запросов, его можно зафильтровать, этот адрес — и вроде как всё хорошо. Когда используют ботнеты, там один бот может делать очень мало запросов. Те атаки, которые последнее время мы видим — это атаки, когда один бот делает несколько запросов в час.

М. Наки А почему переходят от такой системы, когда атака массированная, к такой вот хитрой системе, из-за чего?

В. Золотарев На самом деле есть и массированные, и более хитрые. Более хитрые — это уже атаки, которые идут именно на уровень приложения, на сам сайт, на его логику работы. Потому что с volumetric-атаками, с большими атаками, когда сильно забивают канал, очень много трафика — так или иначе с ними уже научились бороться многие провайдеры.

М. Наки То есть, это видно?

В. Золотарев Это очень хорошо видно. Срабатывают различные триггеры, и это детектируется. Есть даже достаточно эффективные способы превентивной борьбы с этим. А что касается низкочастотных атак на уровень приложения, злоумышленник может изучить приложение и найти вектор атаки для него: какое-нибудь уязвимое место, где запрос очень долго исполняется, например.

М. Наки Что это может быть?

В. Золотарев Чаще всего — то, что мы видим на своих клиентах — используется поиск. Либо поиск, либо формула логина. Почему поиск? Потому что обычно, если данных у клиента много, то делается какой-то запрос из нескольких слов, но причём так, чтобы каждое слово очень часто встречалось, но вместе эти слова не встречались. Это заставляет машину по каждому слову делать очень много выборки, потом их пересекать, видеть, что совпадения нет, делать ещё выборки. Происходит полное сканирование всех данных. Это достаточно сильно загружает и дисковые системы, и процессор. Если таких запросов будет несколько, в параллель (это зависит от мощностей), то это может убить базы данных или как минимум этот поиск.
Злоумышленники — часто очень образованные люди. Эти атаки на уровень приложения — достаточно интеллектуальные, и они заставляют злоумышленника сперва изучить это приложение, найти этот вектор атаки и потом применить небольшую силу. Это может быть просто какой-то домашний компьютер. Зачастую даже не надо никаких больших ботнетов. Там доходит до того, что можно несколькими запросами убить сервис, если знать куда бить.

М. Наки Не рассказывайте только, как, а то сейчас, я боюсь, начнётся у нас…

В. Золотарев Но для этого нужна квалификация на самом деле.

М. Наки А если ботнетом, то можно и без квалификации.

В. Золотарев Если ботнетом — можно и без квалификации, но это уже зависит от того, как там что защищается. Ботнет хорош именно когда защищают именно частотным анализом. Если бьют с сервера, то частотным анализом очень хорошо видно, откуда бьют, и это направление легко блокируется. Если берут большой ботнет, то частотный анализ здесь плохо работает, потому что там с 1 адреса 1-2 запроса в час, например. Это ничто для частотного анализа, и поэтому именно таким анализом их очень тяжело выявить. И даже если система, сайт стоит под какой-то защитой, которая использует именно такой метод определения, то эта защита тоже становится неэффективна.

М. Наки Я напомню, что у нас в гостях основатель компании и идеолог систем защиты компании «Варити» Виталий Золотарёв и директор по развитию бизнеса Эдуард Макаров.
Эдуард, скажите, пожалуйста, правильно ли я понимаю: вот, допустим, я как пользователь пользуюсь каким-то сайтом. Что-то туда ввожу — может быть, это какой-то форум, может быть, интернет-магазин — свой логин, пароль. И в случае, если сайт не сделал какие-то системы защиты, какие-то шаги для того, чтобы эти атаки отыскать, то я как пользователь сам себя защитить никаким образом не смогу? Если сайт не предпринял вот этих необходимых действий для того, чтобы защитить мои данные.

Э. Макаров Тут каждому пользователю всё-таки изначально хорошо бы какие-то превентивные меры применять самому. Например, на разных сайтах иметь разные пароли.

М. Наки Ну, никто так никогда не будет делать.

Э. Макаров С этой точки зрения — конечно… Есть менеджер паролей, можно запомнить один.

М. Наки Я один раз напрягся и сделал очень большой и очень сложный пароль и еще 2 других попроще, и их записал — причём не на листочек, чтобы можно было найти, а в специальную программку, который запаролил другим паролем. Но в итоге я везде ставлю всё равно 2 пароля, чередуя… Нет, конечно, я не буду какие. Но люди очевидно этого делать не будут. Вот допустим, люди не стали…

Э. Макаров Да, если говорить про какую-то личную гигиену, так скажем, то конечно нет. Тут стоит понимать, что эта история для владельцев каких-то сервисов, каких-то ресурсов очень во многом ещё и имиджевая — и про деньги, и про имидж. Если у тебя взломали твоих пользователей, хотя данные на самом деле взяли вообще в другом месте, то по факту негатив придёт к тебе. Потому что у тебя какой-то сайт, какой-то хороший ресурс, все его любят, обожают, а потом бац! — на этом ресурсе появляется что-то нехорошее, потому что автоматизированно, с помощью ботов, опять же, взломали какие-то аккаунты пользователей (там даже сильно много не нужно для этого на самом деле) и какую-то бяку тебе устроили.
Может быть, это твои конкуренты, которые тебе завидуют, потому что ты такой хороший. Они твой сайт даже не обязательно могут класть DoSом. Ты это никак не увидишь, никак с этим не поборешься, если у тебя нет подобного рода защиты. А вручную они этого делать, наверное, не будут, потому что это, ну, как-то палевно, скажем так. Это заметно, это проще отследить. Когда за этим всем стоит живой человек, намного проще. Грубо говоря, через одну прослойку проще этого человека найти. Когда это ботнеты — непонятно как, может быть 1 запрос в сутки, грубо говоря. И как ты это поймешь, как найдешь — с этим всё намного сложнее.
Поэтому да, в этом плане владелец ресурсов (собственно, то, о чем мы упоминали немного) — это две истории. Первая — это подбор паролей, который может случиться с помощью какой-то базы, которая украдена. И вторая — это, собственно, когда у тебя какие-то данные забирают.
Причём тут очень важно, кстати, разделять личные данные и персональные данные. Персональные данные зарегулированы с точки зрения законодательства — и у нас, и в Европе, и где только можно. Там всё серьезно.

М. Наки Это типа паспорта…

Э. Макаров Да-да. Но при этом есть личные данные, то есть, грубо говоря, твой аккаунт, где ты можешь быть непонятно кем. Вася Пупкин, грубо говоря. Но если взять и совместить информацию с аккаунта на большом количестве сайтов, то можно выявить подобным образом реальное имя, реальную фамилию, реальные фотографии, какие-то пристрастия, интересы и так далее. И использовать против этого человека.

М. Наки Звучит пугающе.

Э. Макаров Да. Это всё то, чего мы не видим, о чём мы не задумываемся, но что абсолютно реально и что делается. То есть базы, которые, собственно, получаются за деньги и предоставляют информацию по какому-то человеку и перечисляют там все аккаунты. Ну, не все, но на популярных сервисах — типа в социальных сетях, в сервисах по продаже каких-то вещей, в сервисах с вакансиями. Причём там может быть несколько анкет у человека. Такое бывает: у него может даже быть несколько аккаунтов. И это всё совмещается, генерируется, и за деньги, соответственно, продаётся вся информация. Вся эта информация потом собирается, и вроде бы как эти ресурсы и не видят, что их атакуют. Их, по сути-то, особо как-то и не отследишь. Но вся информация с них забирается ровно с помощью тех же самых ботнетов, про которых мы говорим.

М. Наки А потом крадут вашу личность, например.

Э. Макаров Например, да.

М. Наки Я просто только по фильмам знаю, и поэтому оттуда перебираю последствия.

Э. Макаров Это такая сложная история. И от первого, и от второго можно защищаться тем, что отфильтровывать или хотя бы размечать ботов и выдавать им в тех местах… Еще такой красивый способ борьбы с ботами — давать им не ту информацию, которую они хотят получить.

М. Наки Обмануть обманщика.

Э. Макаров Да, что тоже можно делать.

М. Наки Виталий, смотрите, что мы поняли к этой минуте. Мы поняли, значит, что это распространённое явление; что это бывает очень хитро отслеживаемое явление; что это достаточно разрушительное явление, которое может повредить в лучшем случае вашим бонусным баллам каким-нибудь, а в худшем случае вашим персональным данным и реально вашим деньгам. А если действительно есть проблемы с идентификацией такой атаки, которая, может быть, и не атака, то что делать? Какие есть варианты работы с этими ботами?Как вы у себя, в фирме «Варити», решаете эти проблемы?

В. Золотарев Ох, ну это вам рассказать, как у нас всё устроено?

М. Наки Нет, человеческим языком: как вы решили проблему того, что есть всякие хитрые атаки, атаки, которые неотслеживаемы. Так, в 2 словах: чем вы отличаетесь?

В. Золотарев Давайте я тогда немножко сначала расскажу, как это началось.

М. Наки Давайте!

В. Золотарев И у меня, и у моих коллег был достаточно большой опыт работы в Яндексе, в mail.ru. Мы прекрасно понимаем, что такое пользователи, сколько они стоят, какие беды бывают и у таких больших компаний. Мы понимаем, что даже у таких больших компаний нет этих систем. Они пытаются как-то бороться, защищают, но не всегда это удается хорошо. И поэтому было решено сделать технологию, систему, которая умеет защищать. Причём защищать — это первый постулат, который был предъявлен — без блокировки ip-адресов.
Почему нельзя блокировать ip-адреса? Потому что сейчас эти ipv4 адреса давно уже закончились. Сейчас сети построены так, что за одним ip-адресом…

М. Наки Давайте так: ipv4 адреса — это те, на которых, скорее всего, расположены вы, уважаемые слушатели. Просто для простоты.

Э. Макаров Да, набор цифр через точки.

В. Золотарев Да, то, на чем работает весь интернет. И сейчас, получается, сеть устроена так, что за одним адресом могут находиться достаточно большие сегменты. В моём личном опыте было один раз так, что мы заблокировали один ip-адрес — это оказался город Реутов. Точно так же сейчас происходит с мобильными операторами, когда за несколькими ip-адресами могут оказаться целые регионы. Мы видим в своей статистике, когда над адресами мобильных операторов по 5-10 тысяч пользователей находятся совершенно легко.

М. Наки Мы видели, что происходит, когда Роскомнадзор начал блокировать ip-адреса. Сколько их полегло.

В. Золотарев Соответственно, мир изменился, ip-адрес перестал быть единицей блокировки. Но, к сожалению, очень многие системы до сих пор так их и блокируют — отбивают атаки по ip-адресам. У многих есть подход, что лучше так, чем никак. Лучше пускай сайт будет работать и потеряет какое-то количество пользователей (Реутов, например), но зато он будет работать. Ну, наверное, это тоже подход, который имеет право на жизнь.
Но мы выбрали другой подход. Мы сохраняем пользователей. Поэтому ip-адреса, с нашей точки зрения, блокировать нельзя, чтобы сохранить всех пользователей. Когда приходит атака, сайт — наш клиент — не должен страдать. Его пользователи не должны страдать. Они должны получать доступ. Это первое, что нас отличает от других: мы не блокируем эти адреса.
Второй постулат, который был нами перед собой поставлен: нужно уметь определять вот эту вот активность очень низкочастотную — когда приходит 1, 2, 3 запроса. Когда они маскируются, когда с одного и того же ip-адреса приходит очень мало запросов или вообще по одному. В идеале нужно защищать с первого запроса. Все говорят, это невозможно. Но в большинстве случаев это возможно, и мы это сделали.
И третий постулат — это соблюсти первые 2 постулата, но с HTTPSом, то есть с шифрованием, без раскрытия этого трафика. Когда мы рассказываем нашим клиентам, они про первое говорят: «Да, это круто!», про второе — «Ну, это вряд ли», а про третье они говорят: «Ну, это вообще невозможно!».

М. Наки Объясните про третье, пожалуйста. В смысле, вам не приходится узнавать, что это был за запрос, для того, чтобы подозрительный запрос отсечь?

В. Золотарев Да. У нас в клиентах, например, есть банки, которые не могут нам передать сертификат, чтобы мы раскрывали трафик, чтобы мы видели, что там идёт. Однако мы их защищаем, причём защищаем даже с первого запроса. Мы можем определить, что это ботовый запрос, и его отрезать до того, как он будет обработан. И вот это всех удивляет, считается невозможным. Мы, с одной стороны, не видим трафик, а с другой стороны, видим, что это боты.
Эту технологию мы создали, а дальше это, по сути, применение этой технологии. Самое простое применение — это защита от DDoSов. Самое очевидное, самое понятное, потому что все DDoSы фактически делаются ботами. Это автоматизированная активность.

М. Наки А эта активность DdoS — это, скорее (то, о чем вы говорили) школьники или коммерческие…?

В. Золотарев Это по-разному. На самом деле школьники, конечно, тоже самоутверждаются.

М. Наки Но они также могут быть и коммерческими. Не надо их недооценивать.

В. Золотарев Вполне. Но чаще всего это либо какая-то конкурентная борьба, какие-то заказные…

М. Наки Например, есть 2 интернет-магазина, допустим, или два сайта с конкурирующим продуктом.

В. Золотарев Давайте я просто расскажу интересную историю. У нас есть один клиент под защитой — конструктор сайтов. У него там сотни тысяч сайтов находится.

Э. Макаров Миллионы.

В. Золотарев Миллионы даже находятся! И была такая история: мы видим один из городов России, и там идёт DDoS на сайт. Мы смотрим, какой сайт — это сайт такси этого города. На него шел DDoS. Потом раз! — на другой сайт этого же города, тоже такси. Мы начинаем изучать, смотреть и понимаем, что это 2 конкурента, и они друг друга DoSят. Они на самом деле находятся на одном хостинге! Друг друга DoSят, не понимая, что если у них атака удастся, то они сами лягут.

М. Наки Упорство, достойное лучшего, конечно, применения. Слушайте, как вообще всё начиналось? Вот появились всякие ботнеты, неприкрытые массовые атаки и всё такое прочее. В итоге научились как-то по-хитрому это всё обходить и делать то, о чём вы говорите. И это постоянная конкурентная борьба, когда одни нападают, другие защищаются. Есть
вероятность того, что вот этот ваш способ, ваш метод тоже как-то смогут обойти, придумать, как вас перехитрить? То есть вряд ли вы просто один раз придумали и сели, наверное?

В. Золотарев Мы тоже постоянно совершенствуем, постоянно добавляем факторы, которые мы анализируем, постоянно идём вперёд. Конечно, в этой области если ты остановился, то ты умер по сути. Нельзя здесь стоять, всегда должно быть развитие. И даже не в этой области, а в любой IT так: если ты перестал развиваться, это не значит, что ты просто остановился — это значит, что ты уже деградируешь. Так же и здесь.
Конечно, мы постоянно совершенствуем. Нас многому учат. Мы видим такие изощренные атаки — просто закачаешься иной раз! Такую изобретательность! Конечно мы делаем выводы из этого, новые методы придумываем.

М. Наки Сейчас расскажете про изощрённые атаки, после новостей. Я напомню, что у нас в гостях основатель компании и идеолог систем защиты компании «Варити» Виталий Золотарев и директор по развитию бизнеса этой же компании Эдуард Макаров. Говорим сегодня о защите личных данных, утечках, атаках, которые происходят. А сейчас сделаем небольшой перерыв на новости.

НОВОСТИ.
РЕКЛАМА.

М. Наки 20 часов 35 минут. Мы продолжаем. Сегодня говорим о защите личных данных от утечек и атак. У нас в гостях основатель компании и идеолог систем защиты компании «Варити» Виталий Золотарев и Эдуард Макаров, директор по развитию бизнеса.
Остановились мы с вами на хитрых злоумышленниках, которые вас чему-то учат. Виталий, расскажите, что это за такие хитрые злоумышленники: какие-нибудь яркие примеры и чему они могут научить? Кто это такой — хитрый злоумышленник. Вы описали несколько способов, которыми это можно делать. Некоторые из них более изощренные. Но сложно себе представить, как в рамках вот этих способов, описанных вами, можно сделать ещё что-то интереснее или круче.

В. Золотарев На самом деле это общее описание этих способов. Во многих атаках мы видим достаточно высокий профессионализм. Мы понимаем, что на той стороне работают люди, которые не просто так решили подзаработать или как-то уйти на темную сторону без образования — такие бандиты. Мы видим, что на той стороне работают зачастую очень профессиональные инженеры. Там возникает такие атаки…
К нам приходят клиенты зачастую после того, как они попробовали много разных средств защиты. Когда они у хостингов просили средства защиты. Причем многие хостинги, например, предоставляют средства типа Arbor — это очень известный мировой лидер по защите от DDoS, «железки», которые стоят миллионы долларов.

М. Наки Физические?

В. Золотарев Это физические решения, «железо», которое очень любят ставить операторы, хостинги. И вот даже под защитой такого «железа» эти хорошо подготовленные злоумышленники их обходят, пробивают. Они знают, как это устроено. И спасения даже за такой защитой нет. Они приходят к нам. Уже были такие случаи: «Ну давайте и вас попробуем. Скорее всего, ничего не удастся, но попробуем». И многие у нас просто после этого остаются. То есть чаще всего происходит так, что пришли попробовать. Мы с клиентом разговариваем, говорим: «Ну давайте встаньте на тест». Он: «Ладно, давайте на день встанем». Потом говорит: «Ну давайте тест на недельку продлим», а потом: «Ну всё, давайте! Давайте подписывать».

М. Наки Распробовали. Эдуард, вот к вам вопрос. Ну, я его переадресовываю вам — вообще он к нам ко всем. Вдруг вы не ответите, тогда Виталий поможет. Из Санкт-Петербурга Александр спрашивает: когда для входа помимо пароля просят ввести цифры с картинки — это надёжный способ защиты или боты умеют и это тоже?

Э. Макаров Да, это наша любимая тема.

М. Наки У меня всегда с ними проблемы. Я не понимаю: там только сам знак, или палку тоже?

Э. Макаров Тут история про то, что мы, в принципе, для своих клиентов предоставляем такую услугу: вот есть капча, а у нас, скажем, есть не капча, когда не нужно этого всего делать. Мы занимаемся ровно тем же самым, по сути, но немножко на другом уровне.
Капчу можно обойти хотя бы с помощью жителей каких-то далеких регионов — я про Азию: Китай, Индию, например — которые просто вводят и вперёд.

М. Наки Живой ботнет.

Э. Макаров По сути, так и есть. В некоторых случаях, в тех странах, где минимальная оплата труда, действительно можно так сделать, а потом это продавать как сервис. И это работает. То есть понятно, что это работает не супермассово: условный школьник, про которого мы упоминали, так не сделает. Но когда это какой-то коммерческий интерес, который влечет за собой финансовую прибыль, естественно, можно это всё рассчитать, посмотреть затраты на таких вот индийских школьников, которые это всё введут — и пожалуйста, вперёд. Особенно если там на английском языке — то есть, например, гугловская капча или еще какая-нибудь.
То есть с русскими, с кириллицей здесь, в этом случае… Вот почему у Яндекса везде капча — ну, не везде, наверное, в некоторых местах она есть не яндексовая, так скажем, но она в кириллице.

М. Наки В Китае нет кириллической клавиатуры!

Э. Макаров Да, в этом плане сложнее. Но и такую можно обойти. Те капчи, которые продаются отдельно как модуль для каких-то систем управления сайтом, которые существуют, зачастую тоже обходятся. Потому что это всё — «борьба щита и меча». Вышло обновление капчи — злоумышленники подстроились и начинают её обходить. Соответственно, обновление ты тоже не будешь выпускать каждый день: у тебя затраты на людей, а капча — это очень часто бесплатный какой-то сервис. И тратить огромный ресурс разработки на бесплатный сервис могут позволить себе, там, Яндекс, Google, какие-то крупные компании. Для них это побочная, так скажем, история, но лояльность какую-то поднимает и в целом приносит какие-то дивиденды.
Мы в этом плане можем помочь обойтись без капчи. Да, капча помогает. Она помогает не в 100% случаев. То есть если посмотреть на нас и на них, мы, наверное (даже не наверное, а точно), поможем в большем количестве случаев, чем капча. Потому что капча когда-то где-то обойдется. Если маленький ресурс — наверное, примерно одинаково. Если крупный ресурс, у которого есть зачем эту капчу обходить — тогда конечно в этом плане лучше пользоваться средством для борьбы с ботами, а не такой историей, как капча.

М. Наки Ну и плюс таким тугим людям, как я, без капчи жить, конечно, легче. Потому что я с Гуглом по 3-4 раза…

Э. Макаров Во многом про лояльность. То есть мы предлагаем, у нас есть клиенты, которые, собственно, это капчу убрали на страницах регистрации, на страницах авторизации. Потому что зачем лишний раз пользователя напрягать, если мы можем подобным образом эту проблему решить.

М. Наки Я поддерживаю такой подход.

В. Золотарев Могу даже интересную историю рассказать, из жизни — с капчей. Я работал на одном из порталов, где есть почтовая служба. И в какой-то момент мы увидели, что идет автоматизированная регистрация аккаунтов, которые дальше использовались для спама. Просто регистрировали. Видно, что это автоматизировано. Но оно всегда шло, вроде как не мешало — а тут более массово пошло и стало мешать.
Мы решили с этим бороться. Но первое что нужно сделать — нужно поставить капчу, конечно же. Очевидное решение. Мы берём какую-то первую попавшуюся капчу, ставим. Они уходят, но очень скоро возвращаются. Мы смотрим на это, думаем: «Ну как же?», находим в интернете, что эта капча решается. Думаем: «Какие же мы дураки — поставили какую-то капчу неправильную». Находим ту капчу, которая на тот момент автоматически не разгадывается. Ставим эту капчу — и на наше удивление они возвращаются опять, очень быстро. Мы начинаем изучать, что же происходит, и видим, что нашу капчу они транслируются на порносайт какой-то свой.

М. Наки И там люди нажимают.

В. Золотарев И там люди её разгадывают.

М. Наки Слушайте, но надо отдать должное — это неплохо!

В. Золотарев Дальше что происходит? Ну что ж такое? Давайте задержку введем какую-то, чтобы была какая-то рассинхронизация. Пользователю обычному, пока он заполняет всё, вроде это не должно помешать. Вводим задержку. И капча, и задержка. И через некоторое время они опять возвращаются.
Мы начинаем разбираться, что же это такое — и тут мы видим вот такой людской ботнет. Приходит китаец на работу. У него в 9 утра начинается работа. Он открывается браузер реальный, открывает там вкладки, нажимает хоткей, видимо, регистрируется, вводит эту капчу и дальше. Причём он открывает одну вкладку, потом за ней вторую, третью… И когда у него проходит то время, которое мы указали, он возвращается к первой вкладке, нажимает хоткей, открывать следующую… Он в начале рабочего дня построил себе конвейер, и это время, которое мы ожидали, что будет требоваться, он потратил ровно один раз — на первую. И всё. Дальше нет этой задержки. И всё очень эффективно.
Тут что делать? На помощь на самом деле приходит математика.

М. Наки Такие слова меня всегда пугают.

В. Золотарев Это то, что у нас тоже сейчас есть в защите. Идея очень простая. Как с этим бороться? Это вроде уже не ботнеты, это люди. Но когда мы ходим в театр, мы покупаем билет. А билет — это какой-то ресурс, для нас значимый, который мы должны потратить, чтобы зайти туда. Соответственно, давайте попросим какой-нибудь ресурс у них, чтобы они дали. Вот мы попытались попросить время, но нам не удалось, потому что то в это время построился конвейер, и всё. Какие есть еще ресурсы? Есть память, процессор, сеть. Самое простое — это процессор.
В математике есть такие задачи, в которых на постановку задачи уходит достаточно маленькое количество времени, то есть небольшая сложность. А вот на решение задачи — мы можем определить, сколько нужно потратить, при постановке задачи. И вот  когда мы выкатили вот такую защиту и пришли понаблюдать (нам же стало интересно), мы увидели, что этот китаец пришел на работу, открыл первую вкладку, вторую, третью, четвертую… И на пятой вкладке, как мы поняли, у него компьютер просто настолько стал тормозить, что он не смог больше ничего делать.

М. Наки Победа!

В. Золотарев И после этого их как рукой просто сняло.

М. Наки Да, слушайте, это интересная иллюстрация. Когда вы рассказываете просто: ботнет, там, туда-сюда, это не столь очевидно. А так более понятно. Хотел вас еще вот о чём спросить: вы начали рассказывать, в частности, о каких-то вещах, которые ни сам сайт или, как мы с вами обсуждали, плагин для какого-нибудь браузера или приложение, ни сам пользователь не видит. То есть вот мне, например, тут пришло что-то интересное… Про скрытый майнинг — то, что было недавно, например, большой скандал был, когда компьютеры заражали и их мощности использовали.
А вообще есть какие-то внутренние инструменты у этих сайтов, у этих приложений для того, чтобы отслеживать такую активность, которая… Ну, не активность в прямом смысле этого слова — по крайней мере, со стороны пользователя: он её не видит. То есть у него ничего не крадут, у него ничего не списывают — ничего этого не происходит. Есть ли какие-то инструменты для того, чтобы отследить вот такую вот странную паразитирующую атаку?

Э. Макаров Ну, это мы. То, о чем мы говорим. Если мы видим какую-то активность, которая автоматизирует, у нас есть инструмент, который отделяет людскую активность, которую совершает человек, от автоматизированной. И это вот ровно та самая история. Если появляется какая-то такая автоматизированная активность у вас, грубо говоря, что делает тот же самый плагин? Он открывает какую-то вкладку. На этой вкладке вы не видите ничего в браузере — всё у него эмулируется. Ну, не эмулируется — как бы, немножко неправильный термин. Создается вкладка, и на этой вкладке что-то происходит автоматизированно. Там, грубо говоря, может быть какой-то сайт, на котором открылась форма регистрации, человек залогинился.
Если подходить к отсеву такого рода активности с точки зрения ip-фдресов — наших циферок через точечки, которые есть у всех — тогда после большого количества таких попыток с одного ip-адреса он просто улетит в блок, хотя на самом деле это компьютер живого человека, и у него просто стоит какой-то плагин, который заражён. Если подходить с точки зрения отсева на уровне запроса туда — то есть когда эта вкладочка открылась, и у него компьютер начал соединяться с сайтом (грубо говоря, с этой стороны запрос такой нелегитимный) — он отсечется. Потому что пошла какая-то активность, какой-то подбор и так далее. А с той стороны, с человеческой, у него там может быть второй браузер или этот же браузер, в котором этот сайт — и у него всё откроется. Потому что он человек.

В. Золотарев По сути технология, которую мы сделали, позволяет даже на одном и том же компьютере, если компьютер заражён, разделить активность людскую и вот эту вот ботовую активность. Даже если этот же компьютер будет атаковать сайты, и пользователь с этого же компьютера захочет пойти на сайт, он получит доступ. А бота мы заблокируем.

М. Наки Давайте немножко о том, как вообще не стать частью ботнетов, о которых мы тут говорим. Какие вообще есть распространённые способы попасться на эту удочку и как избежать? Помимо, конечно, разных паролей и всего такого. То есть того, что люди никогда не будут делать. Есть ли какие-то опасности, которых стоит избегать?

Э. Макаров Это всё история про какую-то гигиену. Если есть компьютер, если там есть операционная система (обычно это Windows), то лучше иметь антивирус. Лучше даже, чтобы это был антивирус не бесплатный, а поставщик операционной системы предоставил какой-то платный. Потому что если у людей бизнес, и они на этом сконцентрировались, то, наверное (не наверно, а точно) они будут делать этот бизнес лучше, чем когда это просто какая-то услуга, которая предоставляется ради галочки. Хотя бы тот, который есть в операционной системе, нужно обновлять. Естественно, операционную систему нужно обновлять.
Нужно следить за обновлением. Потому что, казалось бы, что-то мы там обновили, я ничего не увидел, браузер мой остался тем же самым, каким был, там, 2 года назад. На самом деле внутри это совсем другой браузер, и те самые дыры с теми самыми плагинами, про которые мы говорим, периодически закрываются. Эти обновления появляются ровно для этого. То есть всё усложняется. Грубо говоря, те же самые SSL-сертификаты и работа с ними — то же самое. Грубо говоря, Chrome обновился и начал требовать SSL-сертификат. Это очень крутой способ борьбы с фишингом тем же самым…

М. Наки Фишинг — это…?

Э. Макаров Это когда есть у вас сайт — например, там, «Эхо Москвы». А есть сайт…

М. Наки Давайте без «Эха Москвы». «Эхо Реутово». «Тень Эха Реутово».

Э. Макаров «Тень Эха Реутово». И есть сайт, который называется (домен зарегистрирован), например, сайт.ТеньЭхоРеутово.ру. Ну, или что-нибудь — дефис, например. Очень похожий домен, отличается минимально. И показывается ровно тот же самый сайт — «Тень Эха Реутово». Но на самом деле те данные, которые там вводятся, крадутся.
Так вот это для того, чтобы отличить всю эту историю, один из пунктов — это SSL-сертификат. Потому что такие сайты обычно очень быстро… Это конвейер такой: их выбрасывают очень быстро, доменами регулярно меняются, и получать SSL-сертификат на каждый сайт сложно. Даже если он бесплатный, даже если это автоматизировать — это реально сложно. А для реального сайта «Тень Эха Реутово» получить SSL-сертификат один раз, а потом раз в год продлить намного проще.
С банками то же самое. Когда подставляется страница оплаты банка, нужно внимательно смотреть в том числе на адресную строку. Обязательно. Даже не в том числе, а в первую очередь. Потому что если там, предположим, мойбанк.ру и рядом значок SSL-сертификата, то это понятно. Если там твой твойбанк.ру, хотя тебе показывается та же самая страница, лучше на этой странице никаких своих данных не оставлять.

М. Наки Понятно. Вот такая инструкция «бойца интернета» для того, чтобы не попасть в какие-то проблемы. Виталий, к вам у меня еще вопрос есть. Просто как человек, который на рынке представляет компанию «Варити», сейчас какую тенденцию вы наблюдаете? Сайты — и крупные, и некрупные — скорее сами пытаются выстраивать собственную защиту, или они уже решили это всё на аутсорс отдавать? Потому что слишком много ресурсов, слишком непонятные задачи у таких вещей, которые мы сегодня описывали.

В. Золотарев На рынке происходит всё сильно по-разному. Чаще всего, конечно, пытаются сами всё это делать. Те, кто покрупнее, понимают что каждый должен заниматься своим делом, и что если самим защищать и углубляться, если начать самим это всё делать, это очень много ресурсов отнимает и требует большой штат, и квалификацию другую — не ту, на которой фокусируется тот бизнес, которым они занимаются.
В России происходит как? Пока не клюнет, никто не чешется. Но когда клюнуло, конечно, тогда уже идут искать, а кто же.

М. Наки А когда клюнуло других, нет такого?

В. Золотарев Это работает, если клюнуло рядом, конкурента, и он думает: «А я же тоже. Может быть, этот кто-то сейчас и меня…». В принципе, наверное, работает, но в меньшей степени. Или часто думают: «Да я вроде как и никому не нужен. Мы тут тихенькие сидим». Но сейчас многие с e-commerce сталкиваются с тем, что перебирают и очень много утаскивают данных.
Сейчас, если говорить опять про e-commerce, про интернет-магазины, там очень часто какая всплывает у них проблема? Это динамическое ценообразование. Знаете такое: каждый там цену подгоняет. Например, чтобы продавать больше, надо в ЯндексМаркете быть на первом месте. Известно, что если ты на первом месте в ЯндексМаркете, то порядка 90% заказов — твои.

М. Наки Просто там на рубль понижают.

В. Золотарев На рубль, на копейку, да. Как это делать? Это значит, надо сканировать всех конкурентов, смотреть, какие у них цены, и ставить чуть-чуть ниже. Так вот это сканирование — это тоже автоматизированная деятельность. Это выкачивание всего списка товаров с ценами. И зачастую у нас есть клиенты за которыми мы наблюдаем — мы у них отрезаем сейчас около 50% запросов, которые ботовые. При этом их клиенты не страдают, их инфраструктура разгружается, они не замечают, их не могут сейчас парсить, хотя раньше они…

М. Наки Парсить — это…?

В. Золотарев Парсить — это вытягивать эти данные, воровать эти данные автоматическим способом.

М. Наки Пополняем словарь, уважаемые слушатели!

В. Золотарев С этим очень тяжело бороться. Особенно если это делается изощренно, с большого количества адресов, то самостоятельно фактически невозможно. У нас есть клиенты, которые пытались с этим бороться, и когда они стали нашими клиентами, с облегчением вздохнули. Они разобрали то, что они пытались и перестали падать каждый, там, «киберпонедельник», «черную пятницу».

Э. Макаров Тут история такая, что каждый должен заниматься своим делом.

М. Наки Понимаю, разделение труда. К этому пришли ещё много лет назад.

Э. Макаров Для того, чтобы иметь сайт, давным-давно нужно было иметь свой сервер, который стоял у тебя дома, и на который нужно было как-то зайти. Сейчас всё абсолютно по-другому: появились дата-центры, хостинг и так далее. Вот это ровно та же самая история. Во-первых, у тебя услуга становится дешевле, если занимаются профессионалы, которые строят всю инфраструктуру — а инфраструктура стоит больших денег для всего этого. У них, соответственно, большое количество клиентов, и они их распределяют на эту инфраструктуру вместо того, чтобы покупать одному. Они занимаются этим профессионально, и набор компетенций у этих людей намного больше, чем тот штат, который есть у владельцев того или иного сайта, того или иного ресурса.

М. Наки Я вот ещё что хочу спросить. Обращусь пока к вам, Виталий. Смотрите, мы вообще тут иногда делаем новости на «Эхе Москвы». Мы мало слышим историй вот таких — про парсинг, о котором вы рассказываете, про DDoS. Их не происходит или у этого есть какая-то другая причина?

В. Золотарев На самом деле их происходит очень много. А основных причин этому две.

М. Наки Почему мы не слышим про это?

В. Золотарев Да, почему не слышим. Одна из причин: не принято говорить о том, что с тобой случилось что-то плохое. Все пытаются это умолчать. Даже если случилось что-то плохое, давайте не будем это рассказывать, чтобы не пострадала репутация. Вторая причина — зачастую многие даже не понимают, что это с ними происходит. Даже когда это не просто парсинг. Вот парсят, парсят, и вроде как это не мешает. Они понимают, что их мощности расходуются больше — ну, значит, пользователей больше, значит, надо увеличить мощности. Наращивают мощности и работают. И даже не понимают, что на 2/3 оборудование сейчас работает на парсинг, то есть работает на конкурентов. Вот такое непонимание в парсинге.
Но даже когда идут DDoS-атаки, когда идут вот эти низкочастотные, 7-го уровня, на уровне приложений DDoS-атаки, сайт падает, и они не понимают даже, что это атака. Они даже не могут сказать, что это атака. Мы тоже очень часто встречаемся с такой ситуацией, когда владельцы сайтов не понимают, что это была атака. То есть приложение сломалось, в базе данных какого-то индекса не хватило. Начальник вызывает разработчиков, вызывает админов, рассказывает, откуда у них растут руки, и велит им очень быстро всё исправить. А на самом деле это атаки.
Это атаки, которых статистически не видно. То есть мы видим атаки, которые прямо маскируются под профи, делают немного запросов. Совсем немного опросов, но они очень эффективные.

М. Наки А в целом у вас есть какое-то, не конкретное, конечно, но общее представление о том, насколько широка угроза по количеству? Ну то есть сколько там процентов сайтов, условно, подвергается похожим атакам? Неважно, там, DDoS или… Кто под угрозой?

В. Золотарев Давайте я так отвечу. Раньше, какое-то время назад, угроза была такая: брали конкретный сайт, пытались его сломать, убить или что-то с ним сделать. Сейчас это тоже есть: заказы какие-то конкретные, конкуренция. Но сейчас происходит еще и ситуация, когда, например, находят какую-то уязвимость в программном обеспечении. С этой уязвимостью выходит эксплоид. Школьники или все скачивают и направляют этот эксплоид на весь интернет, на все сайты. Кто попал под раздачу — тот попал, тут нет кого-то выделенного, может пострадать любой.

Э. Макаров То есть под угрозой примерно все.

М. Наки Спасибо вам большое! Я напомню, что сегодня мы обсуждали данные. Если вы не успели сразу присоединиться, то у нас на Youtube-канале «Эхо Москвы» есть запись этого эфира. У нас в гостях были основатель и идеолог систем защиты компании «Варити» Виталий Золотарев и директор по развитию бизнеса Эдуард Макаров. Спасибо вам большое! Всего доброго! До встречи в следующих эфирах!

Расшифровка интервью носит рекламный характер

Комментарии

0

Пожалуйста, авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий.

Самое обсуждаемое

Популярное за неделю

Сегодня в эфире