Дмитрий Бурминский: Хакерлер сіздің картаңыздағы 50 тың теңгеге қызықпайды

Күні: 15:42, 30-04-2019.

Алматы. 22 сәуір. ҚазТАГ – Мадина Алимханова. Хакерлерді банк карталарын қолданушыларының есеп шотындағы ақша қызықтырмайды. Олар «адамдарды» аңдиды. Қылмыскерлерге қатардағы кеңсе жұмысшысының жеке мәліметтері не үшін керек және ол бүтін бір коорпорацияның қызметіне қандай қауіп төндіруі мүмкін? ҚазТАГ агенттігінің осы және өзге де сұрақтарына «Ұлттық ақпараттық сараптамалық ресурс» ҚБ ақпараттық қауіпсіздік бойынша маманы Дмитрий Бурминский жауап берді.

- Дмитрий, хакерлер үшін қандай мәліметтер құнды болып келеді?

- Сіздің байланыс кітапшаңыз. Оларды сіздің картаңыздағы 50 мың теңге қызықтырнмайды. Бұл тым ұсақ, оның үстіне қауіпті. Бірінші кезекте сіздің мәліметтеріңізді кім аңдып жүргенін түсініп алған дұрыс. Әлемде элиталы ІТ-мамандардың, хакерлердің өте шағын тобы бар. Олар мемлекеттік құрылым, коорпорация туралы ақпарат алуға тырысады және өздерінің ісі дұрыс деп санағандықтан оны көпшілікке жариялайды. Олар бұл үшін ешқандай пайдаға кенелмейді, тек соны дұрыс деп тапқандықтан істейді. Бұл ең элиталы топ.
Екініші топ – ақпарт аңшылары, олар бизнес-барлауда жұмыс істейді және оларға ақпарат сату маңызды.
Үшінші топ - ең үлкен топ, олар бұл істі енді ғана үйреніп жүргендер және олар оны қалай істеу керек екенін білмейді. Дәл осы топ сіздің картаңыздағы ақшаны аңдиды және сіздің өміріңізді кез келген тәсілмен қиындатады. Алайда олармен түрлі арнайы қызметтер – киберқауіпсіздіктің түрлі бөлімдері және банктердің қауіпсіздік қызметтері айналысады.
Сонымен, үшінші топ пен кәсіпқой элиталы хакерлер сіз үшін аса қауіп төндірмейді, себебі олар сіздің компьютеріңіздегі ақпаратқа қызықпайды.
Қарапайым қолданушы үшін ең қауіптісі – екінші топ, жеке мәліметтерді аңдитын аңшылар тобы. Оларға сіздің есеп шоттарыңыздың номері, компьютеріңізде не бар екені қызықты емес, бастысы сізде қандай байланыстар бар екені маңызды.
Қарапайым мысал келтіре кетейін, сізде мобильді телефон бар және ол Google-аккаунтқа немесе электронды поштаға қосулы болады. Мәселен, журналистің телефоны делік. Егер ол қаладағы тіршілік немесе ауыл шаруашылығы туралы ақпарат жазатын болса оның жеке мәліметтері кімге керек болуы мүмкін? Алайда бұл адам бағдарламалық қамтамасыз етуден басқа психологияны қолданатын алаяқтардың тұзағына түсіп қалуы мүмкін. Журналисттен мәлімет алу деген не? Бір жағынан қарасаңыз ол көп нәрсе біле бермейді. Алайда қылмыскер ол арқылы желі бойынша бас редактордың компьютеріне, ол арқылы өзін қызықтыратын адамның мәліметтеріне қол жеткізе алады. Қарапайым кеңсе қызметкері, жәй журналист арқылы үлкен ақпаратқа қол жеткізуге болады және ол қыруар ақша тұрады.
Бұл адамдарға сіздің есеп шотыңыздағы ақша не үшін керек? Олар тек сіздің байланыс кітапшаңыздағы адам туралы мәлімет алады. Атап өтетін болсам, елдердің жеке мәліметтері ұрланған жағдайлардың 90% қолданушылардың селқостығынан. Және тек 10% бағдарламалық қамтамасыз ету арқылы ұрланған. Демек, өзінің жеке мәліметтерін қорғамайтын адам өзі танитын өзге де азаматтарға қауіп төндіреді.

- Яғни, баяғыдай жеке кітапшаға байланыс номерлерді қолмен жазып сақтау керек пе?

- Неге? Егер мекемеде ақпараттық қауіпсіздік дұрыс жүргізілсе, ондағы азаматтар не жасау керек екенін, қандай сұрақтарға жауап беруге, я болмаса бермеуге болатынын біледі.

- Қалай және не үшін интернетке телефон номерлері, автомобиль номерлері мен т.б. түседі және таратылады?

- Ресейде бұл 90-жылдары мен 2000 жылдардың басы аралығында кеңінен таралып кеткен болатын. Бүгінде бұл тоқтады және ол қорғаныс әдістері жақсарғандықтан тоқтамады. Бір адам жасаған дүниені екіншісі аса үлкен құштарлықпен сындырып тастай алады. Тек ақпаратты сақтауға деген көзқарас өзгерді.
Мысалы, 90-жылдары Мәскеуде автомобиль номерлерінің базасын шығарып алу қиын емес болды, бастысы ақшасын төлесең жеткілікті. Сіздің мәліметтеріңізді аңдып жүргендер тек ІТ мамандары емес, сонымен қатар мықты психологтар. Олар өздерін әлеуметтік инженерлер деп атайды және өздеріне керек адам туралы мәліметті біреу арқылы алу үшін әлеуметтік инженерия әдісін қолданады. Менің білуімше, Ресейде ақпаратты алу бойынша текникамен жасалған үлкен бұзушылық тіркелмеді. Қылмыскерлерге керек ақпаратты компаниядан немесе мемлекеттік қызметтерден адамдардың өздері шығарып сатып жүрді. Ал компаниялар мен мекемелерде ақпараттық қауіпсіздік күшейтілген жағдайда адамдар сол ақпаратты таратқаны үшін жауапкершілікке тартылатынын сезіне бастағаннан кейін ақпарат алу қиындап кетті.
Бұл әдеттегідей қарапайым адамдарға айтылып жүрген техникалық бұзушылықтың нәтижесі емес. Ол кей жаман-хакерлер бағдарлама жасап, бүкіл мәліметті алып алған деп жүреді. Алайда бұл тым қымбат және тиімсіз. Жай ғана бір адамға ақшасын беріп мәліметтер алып алуға болады немесе ол өзінің аккаунтына уақытша қолжетімділік береді, сол кезде хакерлер өздері бәрін істеп алады.

- Алаяқтарға бұл мәліметтерден қандай пайда бар?

- Коммерциялық ұйым бар делік, оның бухгалтериясы, компанияның тендерге қатысуы мен тендерге қандай сомаларды қойғаны туралы қызықты. Бәсекелес компания сол тендерге өзі де қатысқысы келеді және ол өзінің қарсыласы тендерде қандай баға қоятынын білгісі келіп тұрады. 5% одан көп ұсыну және тендерде жеңіске жету. Міне дәл осындай ақпарат қызықтырады. Олар оны қалай алады? Ақпаратқа еш қатысы жоқ қарапайым кеңсе қызметкерінің мәліметін біле отырып жүйелік әкімшінің компына қосылуға болады. Әкімшінің мәліметін біле отырып сіз есеп немесе заң бөліміне сұрау жібере аласыз. Жүйелік әкімшінің поштасынан келіп тұрғандықтан адамдар сол жүйелік әкімшіге телефон арқылы қоңырау салып , білуге тырыспайды. Сұратқан ақпаратын жібере салады. Ал алаяқтар үшін жүйелік әкімшінің атынан хабарлама жазу техникалық тұрғыда соншалықты қиындық тудырмайды,

- Демек жеке мәліметін жоғалтқан қарапайым азаматтардың телефон немесе email арқылы ұдайы көрсетілетін жарнамалардан мезі болу мүмкіндігі зор, солай ма?

- Ең кішкентай зардап - сіздің мәліметтеріңіз спам-жарнамамен айналысатындарға түсуі мүмкін, осылайша жеке поштаңыз толып кетеді. Алайда бұл түк те емес. Егер алаяқтар жеке мәліметтеріңізді сіз арқылы біреулер туралы ақпарат алу үшін қолға түсіретін болса жағдай қиындайды, олар сол кісінің атынан бірнәрселер сұрайтын болады. Мен ештеме білмеймін және менен ұрлап алатын ештеме жоқ деген ой жалған сезім. Мұндай адам өзіне емес өзгелерге қауіп төндіреді.

- Жеке өмірі туралы мәлімет, суреттер, «Ақылды үй» жүйесі, бейне бақылау – осыларды қылмыскерлер (пәтер ұрылары, қара риэлторлар және т.б.) пайдалана ма? Әлде олар үшін бұл тым қиын ба?

- Олар үшін бұл ақпараттар қызықты болуы мүмкін деген болжам ғана жасай аламын. Алайда бұл қылмыстың басқа саласы. Пәтер ұрылары жеке бақылауға көбірек сүйенетін болады, сіздің ноутбугыңыздың веб камерасына немесе ноутбугыңызға қосылу сынды қиын бағдарламалар оларды қызықтыра қоймас. Бұл қиын және көп шығынды қажет етеді. Бұл жұмысты мойнына алып отырған азаматтар өзінің қызметі үшін қымбат сұрайды. Пәтерге ұрлыққа түсіп, кейін одан он есе қымбат ақша төлеудің мағынасы бар ма? Осы ретте, айта кетер болсам, пәтер ұрылары жеке мәліметтеріңізді қолға түсіруге тырысады деген ең көп тараған аңыздардың бірі.

- Жаппай цифрландыру аясында ХҚКО-лар, емханалар, eGov және өзгелер де барлық ақпараттарын электронды үлгіде сақтап жатыр. Бұл қаншалықты қорғалған?

- Менің білуімше eGov-қа шабуыл әлі болмады, егер кей жерде ақпараттар тарап кеткен болса олардың барлығы жеке жағдайлар болатын. Желі тәулік бойы сәт сайын қауіпсіздік бойынша мамандардың, коммерциялық ұйымдар мен арнайы қызметтердің бақылауында. Техникалық құралдар арқылы ол жақтан ақпарат алу өте қиын. eGov бұза салу оңай емес, қылмыскерлер 2сағаттың көлемінде анықталып, құрықталады.

- eGov-тағы жеке тұлғалар туралы ақпарат қылмыскерлер үшін қызықты ма?

- Қызықты деп ойламаймын, онда ауру тарихы, ЖСН ғана сақталған. Алайда банктегі ақпараттар қызықтырақ. Бұл ретте олардың қауіпсіздігін бүтін бір құрылымдар бақылайды, демек эксплойтты әрең меңгеріп алған қарапайым оқушы мәліметтер базасын бұза алмайды. Оны бірден тауып алады.

- Бір кездері БАҚ-та мектеп оқушылары Пентагонның сайтын бұзды деген ақпарат тарады…

- Пентагонның сайты мен Пентагонның мәліметтер базасын ажырата білу керек. Сайтта ешқандай маңызды ақпарат жоқ, онда Пентагон немен айналысатыны және құрылымдары туралы ақпарат қана бар. Пентагонда ақымақтар жұмыс істемейді, олар мәліметтерін сайтта сақтамайды ғой. Сайт – ол жай сайт. Сайтты бұзу онымен кәсіби тұрғыда айналысатын адам үшін қиындық тудырмайды. Сайтты бұзды, ары қарай не болады? «Пентагон сайтын бұздым» деген жазба жазылады және бұл жазба 1-2 минут қолжетімді болады, кейін өшіріліп тасталады.

- Сонда сайтты бұзу еріккеннің ермегі ме?

- Ия, ермек бұл, онымен оқушылар немесе жолы болмаған студенттер айналысады. Бұл ақпаратты ұрлау емес, өзін өзі дәлелдеу. Менің ойымша оларды күнде біреу бұзуға тырысады. Бұл достар алдында мақтану үшін жасалады. Кейін полиция келіп қатаң жазалайды. Қарапайым адамдар егер Пентагонның сайттын бұзса, онда ол оқушылар вундеркиндтер деп ойлайды. Джулиан Ассанжге Пентагон туралы ақпаратты бергендер сайтты емес, Пентагонның базасын бұзғандар. Және олар бұл жұмысы үшін ақша алмады, идеологиялық ұстанымы үшін жасады.

- Соңғы кездері Facebook-те жеке мәліметтер көп таралып жатыр деген айып тағылуда. Бұл мәліметтер кімге және не үшін керек?

-Facebook туралы айтатын болсақ, бұл мәліметтер жарнаманы тарату мен айналысатындар үшін қызықты. Екіншіден олар сіз арқылы сіздің аккаунтыңызды тауып алғысы келетіндер үшін қызықты. Үш өлшемді шарды елестетіңізші, ол көптеген нүктеден тұрады. Әр нүкте – бұл Facebook-тағы аккаунт және олар бір бірімен байланысты. Мүмкін сіз бір адамды білмейсіз, бірақ сіз және таныстарыңыз арқылы хакер өзіне керек адамды тауып алуы мүмкін.

- АҚШ-та тұлғаны ұрлау деген қылмыстың түрі бар, яғни сіздің әлеуметтік сақтандыру картаңызды, жеке куәлігіңізді, банктегі есеп шот номеріңізді біреу өзіне меншіктеп ала алады және сіздің атыңыздан түрлі операцияларды жасап, заңға қарама қайшы әрекеттер істейді. Болашақта бізде осындай қылмыс түрінің пайда болуы мүмкін бе?

- Ия, ақпараттық технологиялардың дамуымен бұл мүмкін. Алайда барлығын бақылауға болатын аккаунтты құрып жұмыс істеу бізде мүмкін емес. Сізде үш банкте аккаунт бар делік, олардың әрқайсысының жеке логині, жеке поролі бар және олар бір бірімен байланысты емес. Басқа адамның атына ұялы телефон немесе ЖСН арқылы несие алу мүмкін емес. Егер осылардың барлығы бір аккаунтқа топтастырылатын болса, жағдай қиындап, қауіп төнеді. Тағы да қайталап айтамын, осы жолы да қолданушы өзі туралы жеке ақпаратты өзі береді, барлық жағдайларды қосқанда 90% адамдар өздері берген ақпаратты.

- Қолданушыға осы 90% қатарына енбес үшін не істеу керек?

- Біріншіден барлық аккаунттар үшін жақсы пороль керек және оларды бір қағазға жазып сақтауға да болмайды, есте сақтау керек. Екіншіден пороль кем дегенде 10 таңбадан, яғни әріптер мен сандардан және тыныс белгілерінен тұруы шарт. Түсінемін, баста 10 түрлі таңбаны сақтап қалу қиын, алайда бізге ми сол үшін берілді емес пе. Мұндай порольды бұзу оңайға соқпайды. Компьютеріңіз өте мықты болған жағдайда кем дегенде екі жыл керек болады. Сондықтан да алаяқтар оны бұзып анықтауға тырыспайды, әлеуметтік инженерия арқылы адамды алдап, өзінен сұрап алады.

- Вирусқа қарсы бағдарламалар шынымен мәліметтерді қорғай ала ма?

- Абсолютті қорғаныстың болуы мүмкін емес. Бұл маған көп қойылатын сұрақтардың біріне ұқсайды. Қай әлеуметтік желі өзара жазысуға аса қауіпсіз? Цифрлық әлемде барлығы өзіңе байланысты. Аңғал адам вирусқа қарсы бағдарламасы бола тұра жеке мәліметін өзі беріп қоюы мүмкін. Мұнда баспен ойлану керек. Вирустар мен сайттағы дефейстардың барлығы көбіне жаттығу үшін жазылады. Бір адамдар вирустардың қолынан бірнәрсенің келетінін дәлелдегісі келіп жасаса, біреулері адамдарға зиян келтіргісі келеді. Тіпті кей вирусқа қарсы бағдарламаны жасақтайтын компаниялардың өзі вирус жасап шығарады деген қаңқу сөз бар, себебі олар да өздеріне деген нарықта сұраныстың болғанын қалайды.

- Қазақстандықтардың өзінің жеке мәліметіне деген қарым-қатынасын қалай бағалайсыз?

- Өте нашар дер едім. Біздің адамдар олардың жеке мәліметі қаншалықты маңызды екенін түсінбейді. Егер компаниядан ақпарат ұрланатын болса оның кімнен кеткенін қауіпсіздік қызметі бірден анықтайды. Бізде көптеген адамдар, тіпті мемлекеттік мекеме де жұмыс істейтіндердің өздері тегін mail.ru, gmail.com, yandex.ru және т.б. пошта жәшіктерінде отырады және пайдаланады.
Ал қарапайым қолданушының, мемлекеттік мекемеде жұмыс істейтін адамның ақпараттық қауіпсіздік саясатын түсінбеуі қылмыскерлер үшін үлкен кеңістік болып отыр.
Мысалы, өзінің аудиториясы қалыптасқан әлеуметтік желідегі аккаунтты ұрлау. Қылмыскерге бұл аккаунт керек емес, ол оны спам-жарнамамен айналысатын компанияға сатуы мүмкін. Бүгінде қылмыстың бұл түрі Ресейде белең алып отыр. Ол пәтердің кілтін ұрлап алғанмен пара-пар. Қылмыскер әбден айналдырылған аккаунтты қайта сату үшін немесе сол арқылы зардап шеккен қолданушының достарының аккаунтын ұрлау үшін ұрлап алады.
Мәселен, «сілтемені бас, әдемі мысықтардың суретін жолдаймыз» деген хат келді делік. Бұл сілтемені қатардағы қолданушыдан бастап балалар, тіпті тәжірибесі бар азаматтар да басады ғой. Содан кейін нешетүрлі проблемалар, вирустар, бопсалаушылар және т.б. пайда болады.
Біздің адамдар ақпараттық қауіпсіздікке селқос қарайды. Олардың арасында хакерлерден қорғану мүмкін емес деген аңыз тарап кеткен. Барлығы мүмкін, тек ойлану керек.

- Сұхбатыңызға рахмет!


Жаңалықтармен бөлісу: