А. Плющев ― В Москве 21 час и 4 минуты. Здравствуйте, вас приветствует Александр Плющев, здесь же управляющий партнер компании Notamedia Сергей Оселедько. С. Оселедько ― Привет. А. Плющев ― И, разумеется… мы планировали-то вообще о другом поговорить, о каких-то мирных вещах потребительских, и спасибо большое тем нашим гостям, которых мы уже пригласили, они с пониманием отнеслись к тому, что мы решили сменить тему и перенести наши мирные разговоры на прекрасное завтра. С. Оселедько ― Но мы обещали, что их время придет, да. А. Плющев ― Когда-нибудь обязательно. Но пока все не приходит – у нас то политика какая-нибудь, то вот эпидемия вируса-вымогателя, которая случилась на минувшей, уже уходящей неделе, и которому было посвящено много внимания в информационных выпусках и у нас, и в других СМИ. И мы решили сегодня – ну что ж, надо подвести какие-то итоги всего этого, и поэтому у нас в студии Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. Добрый вечер, Эльмар. Э. Набигаев ― Здравствуйте. С. Оселедько ― СОБР практически. А. Плющев ― Юрий Наместников, руководитель Российского исследовательского центра «Лаборатории Касперского». Юра, добрый вечер. Ю. Наместников ― Добрый вечер. А. Плющев ― Юру уже как-то слышали у нас в интервью по итогам Всемирного конгресса в Барселоне, и вот рад приветствовать его здесь в студии. И Григорий Бакунов, интернет-эксперт, тоже хорошо вам знакомый. Гриша, добрый вечер. Г. Бакунов ― Добрый вечер, да, я здесь немножко бывал. А. Плющев ― И я надеюсь, будешь еще. Кстати, если бы все программы формировал Оселедько, то ты бы стал соведущим вместо меня. Он все время требует тебя. С. Оселедько ― Не преувеличивай. Г. Бакунов ― Можем как-нибудь попробовать, Саша, я думаю. А. Плющев ― Я думаю, что постепенно меня отсюда выживут. Но напоследок я бы хотел все-таки обсудить тему эпидемии вируса-вымогателя. Насколько я понимаю, она, может быть, и не была самой масштабной или даже, может быть, просто масштабной, но привлекали внимание те организации и структуры, которые эта эпидемия поражала. И, конечно, то, что она пробралась к нам в страну и здесь поразила довольно многие структуры, которые там поначалу не признавали, потом некоторые признали, некоторые до сих пор нет. Это привлекло большое внимание. На чтобы вы – вот я прежде всего к безопасникам обращусь нашим – на что бы вы обратили внимание прежде всего? Юра, если позволишь, с тебя начнем, ты из «Лаборатории Касперского». Почему? Потому что первое упоминание об этом здесь в России, на русском языке, насколько я понимаю, были на вашем форуме. Ю. Наместников ― Все так. А. Плющев ― Значит, вы как-то следили. Я даже видел, как всегда, конспирологические версии – раньше вы вирусы сами писали, чтобы их уничтожать, а теперь вы – я имею в виду, в представлении людей, не в смысле, что это так и было, а в представлении некоторых конспирологов. А теперь, значит, получается, что вот от вас это пошло – значит, это точно. Ну, они как-то приложили лапу-то. Ю. Наместников ― Мы приложили лапу в плане того, что мы защищали людей, и мы видели, что защита начинает работать слишком часто, мягко говоря. И, собственно, когда сигналы пошли по всей России, потом со всего мира, мы поняли, что это эпидемия. Опять же, не мы поняли, а уже написано много автоматики, которая сама сигнализирует, что: эй, ребята, в мире творится что-то неладное. И начали разбираться, что это такое, естественно, и увидели, что, в принципе, кодов-то было не очень много, слава богу, и увидели, что там используются две уязвимости, по сути один эксплойт большой, который утек пару недель назад, публично был доступен, и эта утечка предположительно из архивов АНБ. Соответственно, эксплойт был крайне эффективен, как показала текущая ситуация, то есть, шифровальщик смог распространиться практически по всем не обновленным системам. А не обновленных систем, к сожалению, много. Собственно, если посмотреть на географию, как раз больше всего заражение именно в тех странах, где пиратского софта – дай боже. А. Плющев ― Я правильно сейчас тебя понял, что доля заражений среди пиратского софта, она побольше? Или что заражается в основном пиратский софт? Ю. Наместников ― Доля заражения побольше. Потому что Microsoft выпустил обновление, прошло уже две недели, чтобы их обновить, в принципе, достаточно, но соответственно, те системы, которые не были обновлены, к сожалению, они стали жертвами этого шифровальщика. Г. Бакунов ― Я чуть-чуть подкорректирую. Дело в том, что обновление Microsoft выпустила не две недели назад, а два месяца назад. Ю. Наместников ― Да-да, оговорился. Г. Бакунов ― Просто разница между двумя неделями и двумя месяцами колоссальная. Я еще готов бы был поверить, если бы две недели, и это были бы майские праздники. А. Плющев ― Это нормально, да. Ю. Наместников ― Это нормально только для России, а для всего мира это не извинение. А. Плющев ― Это пренебрежительно сейчас российская компания говорит о России. Очень пренебрежительно так. Г. Бакунов ― В России очень маленький рынок в рамках интернета. А. Плющев ― И у «Лаборатории Касперского» в том числе. Г. Бакунов ― Для этого конкретного вируса, правда, это не самая большая цель сейчас, можно посмотреть на карты заражения, которые разные компании предоставляют, и везде видно, что Россия уже не рынок номер один для этого вируса. Если слово «рынок» в данном случае применим. А. Плющев ― Об этом мы еще поговорим. Спасибо тебе, что надоумил. Я бы хотел Эльмара Набигаева спросить: а вы когда стали отслеживать? Ну, явно стали журналисты звонить, там, просить комментариев и так далее. Вы уже до этого были в курсе? Э. Набигаев ― Да, мы на самом деле столкнулись, у одного из клиентов мы расследовали инцидент и столкнулись с некой вариацией. То есть, вирус на самом деле был другой, он использовал аналогичный механизм, только вместо шифровальщика он распространял по сети биткоин-майнеры. То есть, по сути вся сеть была… А. Плющев ― Объясните, Эльмар, кто не очень, может быть… Э. Набигаев ― То есть, для тех, кто не знает, биткоин-майнер, там на самом деле не биткоин, а немного другая валюта была, криптовалюта, та самая, которая майнится, используя ресурсы компьютера, то есть, она, скажем так, добывается, используя процессорные и другие мощности компьютера, тем самым она очень нагружает компьютер на самом деле, то есть, по максимуму, и тем самым злоумышленники могут зарабатывать деньги, конвертируя данную криптовалюту. А. Плющев ― Все ясно, то есть, они с помощью вашего компьютера добывают себе криптовалюту. Э. Набигаев ― Да, то есть, это в принципе не является… Ю. Наместников ― Может на самом деле этим заниматься любой пользователь… А. Плющев ― … смотришь — что-то у тебя стал компьютер как-то греться, вот это все, шумит постоянно… а это кто-то добывает с помощью тебя деньги. Г. Бакунов ― Прелесть в том, что если оно хорошо написано, оно будет греться и шуметь, когда ты рядом не находишься, и ты этого просто не видишь. А. Плющев ― Класс. Г. Бакунов ― И это просто идеальное решение. Оно как бы ничего не портит, у тебя все данные на месте, ты не бьешь тревогу, не бьешь копытом – а оно в это время тратит твои ресурсы, и говоря прямым текстом, тратит твое электричество, конвертируя его в их биткоины. А. Плющев ― Шикарно! Я нашим слушателям только скажу, и мы Эльмару дадим договорить, а то как-то неприлично получилось. +7-985-970-45-45, Твиттер-аккаунт @vyzvon, и веб-форма на нашем сайте есть для ваших вопросов, они уже поступают от наших постоянных слушателей, кто знает все наши координаты, может быть, у вас есть вопросы к нашим специалистам – поторопитесь их задать. Да, пожалуйста, Эльмар. Э. Набигаев ― Ну, собственно, да, то есть, принцип тот же самый. Я бы хотел отметить, что в принципе используются открытые готовые выложенные в интернет инструменты, то есть, их на самом деле может использовать любой, ну и, в принципе, то, что мы видим сейчас, та ситуация, которая произошла – ну, это достаточно ожидаемо было, потому что уязвимость критичная, понятное дело, что не все успели ее пропатчить, и такой вот массовый эффект. То есть, собственно, то, что мы видим именно с WannaCry, с вымогателем вот этим конкретным, это только один из возможных сценариев. То есть, на самом деле всю вот эту инфраструктуру самого распространения, то есть, благодаря этой уязвимости, может использовать по сути любой. А. Плющев ― Я хочу нашим радиослушателям просто напомнить, что поражающий вот этот вот вирус, поражающий элемент блокировал компьютеры – если кто, может быть, пропустил за эти два дня – блокировал компьютеры пострадавших, или жертв, и просил перечислить биткоинов, то есть, криптовалюты на определенный кошелек на сумму 300 долларов за разблокировку этих компьютеров. Г. Бакунов ― Это было очень красиво – 300 долларов сейчас, если 3 дня подождешь, то сумма вырастает до 600, а если ты еще подождешь 4 дня, то просто удаляются все твои данные. А. Плющев ― Да, такая угроза была. С. Оселедько ― Они еще предварительно шифровались там, да? Г. Бакунов ― Да. И я, к сожалению, подробности не знаю – может быть, ребята расскажут, но я насколько понимаю, ключ генерился прямо на этой машине, и способа простого для дешифровки нет. То есть, никаких дешифраторов готовых не было. Ю. Наместников ― Не было и, скорее всего, не будет. С. Оселедько ― Собственно, ответ на вопрос из Химок: «А что нужно было сделать, чтобы заразиться?», ответ: ничего. А. Плющев ― Чтобы заразиться. С. Оселедько ― Надо было просто не поставить обновление. Остальное все делалось само. А. Плющев ― Таня Фельгенгауэр мне сегодня задала вопрос, наша сотрудница. Она говорит: а вот у тех, кто не пропатчился, кто не поставил обновление, но у кого стоял, например, «Касперский», он защищал или нет? Я сказал, что да, что должен. Ю. Наместников ― Защищал. А. Плющев ― Если он обновлялся. Ю. Наместников ― Нет, обновление как раз здесь ни при чем. Важно, что если сами пользователи не ухудшили немножко защиту за счет выключения поведенческого модуля. Если кто-то отключил его, естественно, так как это новый вирус, конечно, не поймали бы. Если все настройки оставлены так, как сделали мы, и сами ничего лишнего не выключали с точки зрения пользователя, то все будет хорошо, и он ловил его. А. Плющев ― Слушай, я еще хотел вернуться. Ты сказал, что эксплойт этот утек, возможно, из АНБ. Так и сказал Сноуден, то же самое написал. И в связи с этим, естественно, в СМИ, которые… С. Оселедько ― А еще спросил, что он там делал в АНБ. А. Плющев ― Кто? С. Оселедько ― Этот эксплойт. А. Плющев ― А я думал – Сноуден. (смех) А. Плющев ― Ну что, у спецслужб нет эксплойта, в первый раз слышим что ли об этом? Другое дело, что он каким образом мог утечь? И реально стоит ли за вот этой эпидемией, например, АНБ, правильно ли я понимаю, потому что комментариев на этот счет очень много. Что вы думаете все по этому поводу? Г. Бакунов ― Есть же проверенная информация. Был такой очень большой слив, который делали ребята из Shadow Brokers. А. Плющев ― Поясни. Г. Бакунов ― Пару месяцев назад одна хакерская группа поломала, попала во внутреннюю сеть другой хакерской группы и выложила некоторое количество инструментов. Доподлинно известно, что вторая хакерская группа, которую взломали, собственно говоря, работает на АНБ, как бы это самая популярная версия происходящего. Было выложено некоторое количество инструментов и некоторое количество документов, с ними связанных два месяца назад. А. Плющев ― Юра улыбается. Ю. Наместников ― На самом деле все так, просто «популярная хакерская группа», мне нравится это словосочетание… Г. Бакунов ― Теперь популярная хакерская группа. Теперь популярная. Ю. Наместников ― Все так. И получается, что действительно эти инструменты стали доступны пару недель назад, и, естественно, все кто хотели, попользовались. И самое страшное, что WannaCry не первый… А. Плющев ― Можно как-то установить, кто за этим стоит вообще? Г. Бакунов ― Если какая-нибудь террористическая организация возьмет на себя ответственность за происходящее. Э. Набигаев ― Достаточно сложно найти исходную. А. Плющев ― Хозяин этого кошелька?.. Г. Бакунов ― Вся фишка биткоина как раз в том, что ты знаешь только номер кошелька, этот номер тебе ничего не дает. Ю. Наместников ― Только если он не начнет выводить деньги, и вот в момент, когда этот номер кошелька начинает привязываться к реальным карточкам, к реальным вещам, еще можно как-то, но шансов, конечно, очень мало. Г. Бакунов ― Я думаю, никто из них не рискнет выводить все через карточки. Ю. Наместников ― Естественно. Г. Бакунов ― Думаю, что идиотов там тоже не очень много. А. Плющев ― Но есть же схемы вывода, отмывания и так далее. Г. Бакунов ― Там не отмывание, там существует обмен цифровых биткоинов на реальные цифровые деньги при личной встрече. Как бы это просто не отслеживаемый процесс совершенно. А. Плющев ― То есть, такое окэшивание? Г. Бакунов ― Да, это просто выход в кэш, или, там, покупка за биткоины золота, например. Нефть еще можно купить. С. Оселедько ― За биткоины уже много чего можно купить. А. Плющев ― Да-да. Г. Бакунов ― Совесть только нельзя купить за биткоины. Хотя судя по сумме, которую эти ребята могли выручить – это было по приблизительным оценкам заражено около 200 тысяч компьютеров, давайте посчитаем по 300 долларов, если с носа, как говорится, в принципе, хорошо. Ю. Наместников ― Нормально. Но тут вопрос в том, что… С. Оселедько ― Это же еще не конец. Ю. Наместников ― Компьютеры, которые заразились, не все были компьютеры интересные. Поэтому и выкупов там не очень много заплатили. А. Плющев ― Вот это вопрос, наверное, я не знаю, может быть, к Эльмару, может быть, к Григорию скорее – ну, Юра тоже присоединяйся, разумеется. Смотрите, у меня самый главный вопрос по нашей стране, который возникает, не только собственно что делал, каким образом забрался вирус на все эти компьютеры, у меня большой вопрос, а что делал интернет в этих компьютерах? Вот в компьютерах МВД, там и так далее? Г. Бакунов ― А он там мог не быть. Дело в том, что там схема заражения такова, что если в твоей внутренней сети есть один компьютер, который ходит в интернет, и на него попал вирус, то в принципе – все, этого достаточно. У тебя есть локальная сеть. Там файлики раздаются, там, принтер подключен, еще что-то. А. Плющев ― Ты можешь объяснить, почему МВД стало жертвой заражения? Г. Бакунов ― Потому что там работают не очень радивые системные администраторы. Конкретный ответ, по-моему, достаточно емкий. Э. Набигаев ― На самом деле даже тут вопрос не только к МВД, в принципе, было достаточно – ну, МВД достаточно крупная структура, как и многие компании – достаточно было, чтобы один человек, например, открыл какое-то вложение с письма, перешел по ссылке, его компьютер заразился, и с него пошло распространение уже внутри. И это происходило за минуты, за секунды, поражалась там большая часть сети, поскольку там, понятное дело, опять-таки наверняка на многих машинах не были установлены обновления, и это привело к ситуации, то, к чему привело. То есть, поражались там сотни тысяч машин. А. Плющев ― Мы можем себе предположить, что в МВД стоял пиратский софт? Г. Бакунов ― На самом деле это же ведь не очень важно, потому что даже если это пиратский софт, его все равно ставил конкретный человек, который называется системным администратором. И будь он там пиратский или не пиратский, просто не были накачаны критические обновления, про которые было известно, напомню, с 14 марта. Ю. Наместников ― А вопрос, почему не устанавливаются критические обновления по всему миру, это вообще, мы как индустрия безопасности, чувствуется, что этот вопрос поднимается при каждой эпидемии, что 2008 год, что 2017 – одно и то же. Не обновляется. Э. Набигаев ― Почему не устанавливается, как раз понятно. А. Плющев ― Можете объяснить, почему не устанавливается? Э. Набигаев ― С одной стороны, есть разного рода критичные системы, которые, в принципе, например, вендор поставляет какой-то продукт, в его составе есть операционная система определенной версии, определенное ПО, и он это поддерживает, это, там, актуально для промышленных систем, для разного рода устройств, и как бы вендор говорит, что обновлять это нельзя, мы поставляем продукт как комплекс, в том числе операционную систему, обновление отключайте, потому что, мало ли что они в нашем продукте сломают, мы его поддерживать не будем, если вы его будете обновлять. Это актуально для очень многих продуктов, то есть, зачастую даже некоторые люди не знают, что там где-то в каком-то комплексе на самом деле там операционная система Windows внутри, то же самое, как может быть, не все знают, что банкоматы, они на обычной системе Windows работают, то есть, там этого не видно вроде бы, а там на самом деле… А. Плющев ― Я видел картинки, я не знаю, насколько они правдивы, что китайские банкоматы выдавали эту замечательную… Г. Бакунов ― Не только китайские. А. Плющев ― Я видел про китайские. Г. Бакунов ― Немецкие, испанские, сингапурские… А. Плющев ― Не видел. Ю. Наместников ― Большое количество такого разного рода устройств, они на самом деле на операционной системе Windows работают. Там просто, с одной стороны, вендор не хочет рисковать тем, что ему нужно тестировать с каждым обновлением, по сути, свой продукт, свое ПО, а это достаточно затратная штука, чтобы вот так при каждом обновлении тестировать. А с другой стороны, это связано опять-таки, с тем, что большое количество людей не очень следят за трендами безопасности, они работают по принципу: работает – не трогай. А. Плющев ― Подождите. Но там же есть – я вот просто как пользователь, я, правда, давно не пользуюсь Windows кроме как на работе сам, но я поэтому на работе его, естественно, не обновляю, ничего – я просто тупо тыкаю в клавиши. Но я помню, когда у меня был Microsoft, там есть автоматическое обновление. Г. Бакунов ― Речь об этом и идет, что многие его специально отключают. А. Плющев ― Зачем? Г. Бакунов ― Потому что есть специализированный софт. Я много в последнее время занимаюсь связями интернета и медицины, и я страдаю буквально, несколько ребят мне написали одновременно одно и то же. У них есть комплекс аппаратов MRA MRT, которые работают под управлением Windows ХР, это Windows ХР, если я правильно помню, этот конкретный программно-аппаратный комплекс перестали поддерживать 8 лет назад, компания, которая его делает, обанкротилась уже, а были уже прецеденты, когда после обновления Windows на этой машине переставал работать MRT. Поэтому зафиксировали одну версию и сказали: все, мы дальше не обновляемся. А. Плющев ― Это: не трогай – будет… Г. Бакунов ― Ровно то, о чем и говорится. Это я просто пытаюсь подтвердить эти слова. Это прямо реально происходит на реальных примерах. А. Плющев ― Понятно. С. Оселедько ― Еще интересный вопрос был про сервера. То есть, это чисто клиентская история с десктопов, или?.. Э. Набигаев ― Нет, это и для серверов актуально. То есть, есть какой-то комплекс, который развертывается на сервера. Вендор говорит, что вот мы такие-то версии операционной системы поддерживаем, наш софт здесь работает. С. Оселедько ― Имеется в виду, вирус шифровал и блокировал доступ к серверам? Э. Набигаев ― Вирус вообще атакует всех без разбору, он распространяется, так сказать, автоматическим способом по принципу червя, то есть, это червь, который заражает одну машину, находит новую жертву путем сканирования сети и распространяется на них же. И каждая последующая жертва становится участником этого всего процесса и распространяется дальше, то есть если есть два компьютера, которые в разных сетях, заражая их, мы сразу заражаем эти обе сети, и дальше этот процесс нарастает. Именно это и есть по сути эпидемия, то есть, такой масштабный процесс, то есть, именно вот за счет массовости, то есть, я знаю в принципе, что пострадали достаточно крупные компании, там, с десятками тысяч сотрудников и компьютеров, и многие из них заражались в течение минут, то есть, по сути поражалась вся сеть за несколько минут, и, в общем-то, именно проблема приобрела вот такое внимание именно за счет массовости. Тут даже не то что, там, шифровальщики – это не новое, эта угроза, ей уже несколько лет последних, тут именно за счет массовости и за счет того, что, в принципе, как мы видели, расследуя инциденты у клиентов, в принципе, сам по себе вирус и вот эти эксплойты, с помощью которых он распространяется, приводят к очень большой нестабильности в работе серверов, в работе вообще компьютеров, то есть, многие из них уходят в »синий экран», в так называемое падение, все, кто пользовался Windows, видели наверняка. Приводит к нестабильности разного рода сетевых сервисов, разные непонятные начинают всплывать вообще глюки в сети, то есть, трафика просто генерируется огромное количество, потому что каждая машина начинает сканировать всех остальных. То есть, опять же, я бы хотел еще поговорить на тему превентивных мер, почему такая массовость. Вот очень часто, если сравнить с реальными вирусами, что делают с больным? Больного изолируют от здоровых, чтобы предотвратить заражение дальнейшее, чтобы это приобрело такой кумулятивный эффект, массовость. Соответственно, с компьютерами все то же самое. То есть, если мы изолируем больной компьютер от здоровых, то можно быстро достаточно сдержать саму угрозу. Но проблема в том, что в большинстве организаций, которые мы видим, то есть, проблема в том, что они свою сеть, как правило, внутри не сегментируют, то есть, у них, как правило, одна большая сеть, либо там побитая на какие-то блоки, но между ними есть достаточно большая связность, то есть, вполне возможно, что может сеть быть из нескольких тысяч узлов, и все друг друга видят. Это приводит к такому же эффекту – то есть, заражается один компьютер, и одновременно поражаются все эти две тысячи компьютеров просто потому, что они рядом и они доступны. Хотя какой-то там бизнес-задачи для этого нет. То, это, например, несколько разных отделов, которые друг с другом не взаимодействуют вообще, и они, по идее, не должны друг друга видеть с точки зрения… С. Оселедько ― А что так мало компьютеров? То есть, не миллионы… Э. Набигаев ― Это я имею в виду в контексте конкретной организации. А с точки зрения поражения это, конечно, миллионы уже, наверное. Г. Бакунов ― 200 тысяч – это то, что я видел по данным на вчера. И напомню, что на какое-то время распространение этого вируса остановилось. С. Оселедько ― А что это за история, кстати, была? Г. Бакунов ― История прекрасная совершенно. Кто-то из исследователей внутри кода – ребята, меня поправьте, если я что-то не так говорю – нашли внутри кода просто доменное имя, не разбираясь, причем, в деталях этого кода, просто нашли доменное имя и решили: дай-ка мы его зарегистрируем. Они его зарегистрировали. Видимо, предполагалось, что там будет контрольная панель, в смысле, вирусо-писатели рассчитывали, что это будет аварийная контрольная панель, которую они будут использовать для управления вирусом. Ну, гипотеза, по крайней мере, такая. Ю. Наместников ― Killswitch чистого вида, то есть… А. Плющев ― Поясняйте для слушателей. Killswitch… Э. Набигаев ― Выключатель. Это просто выключатель. Видимо, был предусмотрен режим аварийного выключения, когда зарегистрирован такой-то домен… А. Плющев ― Зачем это сделано? Э. Набигаев ― Ну, всякая же бывает нужда. Ю. Наместников ― На самом деле они хотели заработать денег, и тогда действительно такая эпидемия не нужна была, потому что слишком много шумихи, соответственно, все сразу будут за ними следить. И вот, в принципе, такой домен, можно как-то регулировать было распространение. Но, видно, не отрегулировали. Но сама возможность была заложена в код, в коде было все очень просто, там ветка кода идет, имя домена… А. Плющев ― Я когда прочитал эту историю вчера, я подумал, что если бы это у нас в стране происходило, того, кто зарегистрировал домен и остановил эпидемию, первым и загребли бы. Г. Бакунов ― Но все так и есть. (смех) А. Плющев ― Быстро нашел – ты явно при делах, слушай. Г. Бакунов ― Но там достаточно было стрингс… неважно, просто… А. Плющев ― Это ты рассказывать в отделении будешь. Г. Бакунов ― Я готов рассказать это в отделении, тем более, что регистрировал не я, слава богу. Но тем не менее, так или иначе, распространение на какое-то время прекратилось, но я так понимаю, что уже есть найденные копии вируса с другим killswitch. Э. Набигаев ― Я бы поправил Григория, на самом деле домен влиял не распространение, а собственно на само заражение машины шифровальщиком, то есть, это было в коде шифровальщика, то есть, там два компонента – который распространяет, это сам червяк, и собственно полезная нагрузка… А. Плющев ― Не увлекайтесь, прошу вас. Г. Бакунов ― Это правда критическая разница: распространение продолжается, шифрование – нет. Э. Набигаев ― То есть, в принципе само по себе распространение идет просто заражение конкретно шифровальщиком. То есть, в этом и плюс, что на самом деле зашифрованных машин и вообще пострадавших людей было бы гораздо больше, если бы человек не зарегистрировал этот самый домен. А. Плющев ― Друзья, мы видим все ваши вопросы. +7-985-970-45-45, Твиттер-аккаунт @vyzvon, веб-форма на нашем сайте, продолжайте их присылать. Мы в следующей части после 33-х минут, мы на все ответим. Сейчас все свои зададим, ну, и все ваши потом будем задавать. Я что хотел спросить. Что вы думаете по поводу того, что… вот тут Гриша-то немножко спойлернул мой вопрос-то, но тем не менее. В первые часы буквально пошла тоже такая конспирологическая версия, что это атака на Россию конкретно, а все остальные – это для отвода глаз было. Но главное – это поразить критические инфраструктуры российские. И будет у меня еще один вопрос на эту тему. Так, кто? Ю. Наместников ― Для точечной атаки слишком широко загребли. То есть, использовали технику, которая очевидно приводила бы к массовому заражению по всем миру. Поэтому, вряд ли, что брали какую-то определенную страну. Э. Набигаев ― Я поддерживаю. То есть, в принципе, тип атаки, вот как червь… А. Плющев ― Да еще и из АНБ утек. Все сходится. Э. Набигаев ― Самораспространяющийся червь, его просто невозможно как-то нацелить непосредственно на Россию. То есть, если бы там были какие-то проверки IP-адресов, что только российские подсистемы атакуют, то это бы еще можно было так сказать. А так, он атакует всех без разбора. Г. Бакунов ― Вы же даже в рамках вашего шоу, я помню, обсуждали историю с »ТаксНет», это было довольно давно уже, но тем не менее, был хороший пример, когда была целенаправленная такая же история с атакой на иранские, да?.. Э. Набигаев ― Похоже. Г. Бакунов ― Там есть пример, как делать правильно, история с »ТаксНет». Если бы хотели целенаправленно в Россию, сделали бы так. А. Плющев ― Это вообще без интернета, знаешь ли, зашел. Ю. Наместников ― Поэтому вопрос о критической инфраструктуре. С. Оселедько ― У меня другой вопрос. А ведь этих эксплойтов, если послушать специалистов безопасности, великое множество. Они постоянно продаются на черном рынке, там какие-то криминальные истории, там какие-то уязвимости нулевого уровня, о которых еще никому не известно, за биткоины одна хакерская группа продала другой… но вот такого рода реальной эпидемии на моей памяти раз второй или третий. Почему это не раз в месяц происходит? Г. Бакунов ― Мне кажется, что это шумных так мало, а бесшумных – вот ребята из Касперских, я знаю, что там пачками отлавливают. Ю. Наместников ― Просто тут вопрос, что червь оказался эффективным, во-первых. Во-вторых, результат работы червя очень наглядный. Г. Бакунов ― Да. Ю. Наместников ― То есть, если бы он крал информацию, то так бы и продолжалось… А. Плющев ― Про кражу информации давай успеем еще поговорить до перерыва. Потому что одним из первых сообщений было, что там под это дело, пока были блокированы компьютеры, кто-то выкачивал базы данных. С. Оселедько ― МВД, да? Перед выборами? А. Плющев ― Нет, регистрации машин. Я уж не знаю, почему ГИБДД там… (смех) А. Плющев ― Серьезно, посмотрите, первое сообщение после этого. Мне показалось, что это, знаешь – где дом, а где Кура – совершенно из разных каких-то… может быть, вы меня поправите? Это вообще как-то могло быть? Или они оправдывают то, что они потом на рынок будут их сливать? С. Оселедько ― То есть, коррупцию под червя замаскировали. А. Плющев ― Нет, продаются они давно – это хакеры, конечно. Ю. Наместников ― Если организация была уязвима, ее червь атаковал, то понятно, что кто-то другой может точно так же пролезть. Если не закрыли, то все – это открытая дверь, пожалуйста, заходи, забирай все что хочешь. А. Плющев ― Теоретически… Ю. Наместников ― Тут вопрос именно как бы, выучен урок – не выучен урок. Э. Набигаев ― То есть, пока могли просто под прикрытием атаковать кто-то другой. Например, атакует червь, все бегают, переустанавливают систему, пытаются справиться в проблемой, потому что масштаб большой, а в это время кто-то параллельно может по-тихому залезть. То есть, это вполне такая практика, как раз для каких-то там групп, для целенаправленных атак это вполне себе… Г. Бакунов ― Я бы еще тут чуть-чуть добавил, что, вы не забывайте, что эксплойт, с помощью которого нападали на компьютеры, эта штука довольно уникальная. Ребята, которые работали на АНБ, они не просто так свой хлеб едят – уязвимы были просто все Windows. Э. Набигаев ― То есть, это как раз пример такого (неразб.), который продается за большие деньги. Просто его выложили всем на обозрение. Г. Бакунов ― Такого не было очень давно. С. Оселедько ― А что же Microsoft… А. Плющев ― Подожди, 2 минуты, и потом задашь все вопросы. Кстати, и слушательские зададим тоже. РЕКЛАМА А. Плющев ― Вот, Оселедько хотел что-то спросить, а потом ваши вопросы. С. Оселедько ― Я спросил, как же так, Microsoft успел два месяца назад закрыть, когда опубликовали две недели назад. То есть, получается, Microsoft получал информацию из архивов АНБ? Э. Набигаев ― Ну, возможно, им сообщили, скажем так, то есть, допускается такой вариант. С. Оселедько ― А зачем АНБ сделал? Они держали у себя оружие, и сами же его… Э. Набигаев ― Смотрите, они знали об утечке… С. Оселедько ― Утечка когда была? Две недели назад? Э. Набигаев ― Нет, сама по себе утечка была когда-то там году в 2014. Вот эта группа хакеров, они пытались это все продать за очень большие деньги, понятное дело, что никто не хотел у них это покупать. И они со временем, поскольку никто это не покупает… С. Оселедько ― Решили всех облагодетельствовать. Э. Набигаев ― Просто, да, выложили это… С. Оселедько ― И тут-то Microsoft подсуетился и закрыл? Э. Набигаев ― Ну, Microsoft, возможно, получил информацию о том, что есть такая уязвимость, возможно, от АНБ, то есть, они знали, что у них эти файлы конкретно украли. Если допустить, что это действительно утечка из архивов АНБ и так далее. Либо могли найти какие-то независимые исследователи либо сам Microsoft, они продукты тестируют, ищут… Г. Бакунов ― Я в такие совпадения не верю. С. Оселедько ― Я к тому, что если у АНБ есть оружие, зачем его нейтрализовывать, сотрудничая с Microsoft? А. Плющев ― Если оно утекло. Г. Бакунов ― Потому что оно уже утекло. Я думаю, что у Microsoft есть свои умные люди, которые сидят в DarkNet, мониторят это все. А. Плющев ― Конечно. Г. Бакунов ― Находят информацию о новых уязвимостях, может быть, точно так же, как все остальные, выкупают ее на каких-то условиях. Э. Набигаев ― Тут просто проблема в том, что если у этой группы был доступ до этого, то есть, они об этом до того, как пропатчил Microsoft, они могли только у тех же хакеров его и купить разве что. Г. Бакунов ― Я не очень помню, но я помню, кажется, что первые инструменты информации об эксплойте, она как раз и появилась в начале марта. Она просто в DarkNet была, не в публичном интернете для всех. Ю. Наместников ― Там только названия были, то есть, никто не знал, что там внутри. Э. Набигаев ― Никто не знает, что там внутри. Г. Бакунов ― Чтобы глубоко не углубляться, там была информация о том, что это, кажется, эксплойт, который связан с вот этой сетевой инфраструктурой передачи файлов и с тем, что с этим связано. А. Плющев ― Давайте перейдем к вопросам слушателей, а то мы как-то их оставили, они накидали тут много всего. По-быстренькому. Анонимус спрашивает у нас: «Как может WannaCry проникнуть незамеченным, если брандмауэр блокирует подключение из интернета к SNB-серверу?» Э. Набигаев ― На самом деле исходный вектор может быть совершенно другим, то есть, это могут быть вредоносные рассылки по почте, либо эксплуатация каких-то других изначально уязвимостей, а потом уже внутри сети после исходного проникновения начинает уже распространяться WannaCry. Поскольку в большинстве случаев достаточно проблематично будет установить даже нам по результатам расследований каких-то, сложно будет исходный вектор установить просто за счет масштаба. То есть, я знаю про сети, у которых поражено сто тысяч узлов, например. То есть, там поражено сто тысяч узлов, это сто тысяч узлов нужно анализировать, потому что потенциально любой из них может быть первым пациентом, скажем так. А. Плющев ― Мне интересно, из России кто-нибудь заплатил или нет? Корпоративных пользователей. Г. Бакунов ― Я уверен, что заплатили. Поймите, представьте себе ситуацию: вы приходите на работу – у вас рабочие компьютеры стоят, и это единственный способ для вас получать информацию. И он говорит: заплати 300 долларов, и тогда все будет в порядке. Или как бы работай на листочках. Я уверен, что многие заплатили. Ю. Наместников ― Заплатили на 30 тысяч долларов. Уходя сюда, я посмотрел… 100 компьютеров. Это сколько сейчас на кошельке. Г. Бакунов ― А как можно посмотреть, сколько сейчас на кошельке. Биткоин так устроен, что ты можешь посмотреть, конечно. Э. Набигаев ― Но это может быть не все биткоин-кошельки, потому что вполне возможно, что какие-то еще есть варианты, которые… Г. Бакунов ― А можно я немножко о другом. Я очень люблю на такие вещи смотреть немножко со стороны пользователя. Вот я как-то, со стороны пользователя посмотрев, специально потратив время, чтобы запустить под Linux интерфейс WannaCry, я вам хочу сказать, что это великолепно сделанная штука. Там текст о том, как нужно заплатить биткоин переведен на 22 языка, красиво – все для людей сделано. (смех) А. Плющев ― Знаешь, захочешь получить по 300 баксов с компьютера, еще не то сделаешь. Это просто следующий шаг. С. Оселедько ― Может, там Google-переводчик. Г. Бакунов ― Нет, там не Google-переводчик, человек – native speaker. А. Плющев ― Послушайте, мы идем к тому, что у нас появятся дальше критики вот эксплойтов-вирусов, которые будут говорить: какой user eXperience, хороший или плохой? И так далее. Г. Бакунов ― Я думаю, надо поискать в сети уже наверное есть. А. Плющев ― Обзоры, конечно. Павел из Дубны спрашивает вас, он скорее меня спрашивает: «Сообщения пришли именно в таком порядке: сначала из России, потом по всему миру? Или заражение так же было в таком порядке: Россия потом весь мир?» Я не знаю насчет заражения, сообщения сначала появились о Британской системе здравоохранения. И все начали шуметь, а потом как-то – МВД лег… Мегафон лег… РЖД лег… такие все – пум-пум-пум… Э. Набигаев ― На самом деле я бы хотел уточнить, самое первое упоминание об этом было от испанского CERT, CERT – это организация, которая за информационную безопасность в целом страны отвечает, то есть, у каждой страны обычно есть такой. То есть, первое сообщение было от них о том, что были поражены некоторые там в Испании компании и какие-то государственные учреждения. Возможно, все началось с них, но это опять же не достоверный факт, сейчас уже не узнаешь. Г. Бакунов ― Я как человек, который много занимается медициной, хочу вам сказать, что в большинстве случаев пациента ноль установить невозможно. Того пациента, с которого все началось, установить невозможно. Особенно в случаях, когда эпидемия разрастается настолько быстро. Здесь аналогия прямая. А. Плющев ― Хороший вопрос от Сергея из Иркутска: «Как быть пользователям пиратской Windows?» Г. Бакунов ― Вы можете скачать отдельно этот патч и установить его. Э. Набигаев ― Руками. Г. Бакунов ― Руками. Более того, Microsoft перестала поддерживать Windows ХР уже несколько лет назад, но для этого конкретного эксплойта выпущен специальный патч, вы можете пойти его и скачать. А. Плющев ― Что не означает, что на следующем каком-то этапе ваш Windows ХР не окажется уязвимым. Э. Набигаев ― Если учитывать, сколько ХР снят с поддержки – там, 7 лет назад уже сняли официально? А. Плющев ― И до сих пор им гигантское количество людей пользуется. С. Оселедько ― Да. Г. Бакунов ― Что вы хотите, ведь есть огромное количество инструментов, в базе которых стоит Windows ХР или Windows 2003, которые просто работают. А. Плющев ― Да. Г. Бакунов ― Есть MRT, у него ничего нет, у него там два окошка, и ты не знаешь, какая там Windows. А там ХР. А. Плющев ― Очевидно у него (неразб.) к интернету. Г. Бакунов ― Ему достаточно быть в локальной сети с кем-то, подключенным к интернету. А. Плющев ― Наверное, ты специалист больший из нас из всех, а разве нельзя защитить в локальной сети каким-нибудь условным экраном? Г. Бакунов ― В данном конкретном случае про MRT история была такая, у него была важная функция – он мог положить файл MRT на указанный Windows-сервер. Этого оказалось достаточно для заражения. А. Плющев ― Понятно. Э. Набигаев ― То есть, на самом деле, это то, про что я говорил на тему сегментации сети, то есть, изоляция критичных сегментов, которые не должны друг с другом взаимодействовать. То есть, такие системы типа MRT, они должны быть изолированы от остальной корпоративной сети, с которой скорее всего начнется заражение, пойдет дальше. Г. Бакунов ― Там логика какая? Ты же… Э. Набигаев ― Я понимаю, что сервер нужен. Г. Бакунов ― Потом с другой клиентской машины его читать, поэтому так заражение и прошло, собственно. Э. Набигаев ― Если система работает на базе этих же протоколов и с другими системами, тут, конечно, уже… Г. Бакунов ― К сожалению, в данном случае защиты никакой придумать невозможно было. И более того, не знаю, что ребята будут делать. Скорее всего, вызывать техника по компьютерам и пытаться накатить этот патч на эту Windows ХР. А. Плющев ― Иван спрашивает: «По новостям трубили: хакерская атака! Складывалось впечатление, у не айтишников, что сидела куча хакеров и пыталась удаленно заразить все компьютеры в сети. Что происходило вчера (в пятницу имеется в виду)? Почему именно вчера (в пятницу) началась эпидемия?» — спрашивает Иван. С. Оселедько ― После майских праздников. Ю. Наместников ― Отдохнули. Вообще все самое важное происходит в пятницу, это факт. С. Оселедько ― После майских праздников. Г. Бакунов ― С точки зрения безопасности, да, потому что все системные администраторы на выходные уходят спать и играть в Dota, а все это время компьютеры остаются без защиты. И миллионы китайских хакеров, которые атакуют, открывают браузер с вашим IP-адресом и начинают «эфпячить» Internet Explorer. (смех) А. Плющев ― Так, хорошо. Про серверы ответили. Спрашивают про другие операционные системы. С. Оселедько ― Даже про мобильные устройства спрашивают. А. Плющев ― Ты под Linux открывал? Г. Бакунов ― Это потребовало нечеловеческих усилий. Вы смеетесь, а есть специальный эмулятор Windows для Linux, и ребята специально написали кусок кода, чтобы этот эксплойт работал. То есть, чтобы полная совместимость с Windows была. Нет, никакая другая операционная система кроме операционной системы Windows, не была затронута, и Windows Mobile тоже не затронута, на нее ничего не распространялось. А. Плющев ― Тут пишет Михаил Баранов, я не очень понимаю, что он имеет в виду, он пишет: «Сертификация ФСБ не выявила эту уязвимость». А разве сертификация ФСБ должна выявлять уязвимости? Г. Бакунов ― Если я правильно помню, у Windows есть сертификат ФСБ, в ситуации, когда компьютер не подключен к сети. Я правильно помню? Э. Набигаев ― Там на самом деле тематика сертификации, она на тему поиска закладок, а не уязвимостей. То есть, ФСБ не ищет уязвимости. Г. Бакунов ― Безусловно. Но даже эта шутка кажется не очень актуальной, по крайней мере, не для всех версий Windows точно. А. Плющев ― Вот к тому, что мы обсуждали насчет того, что не все ставят обновления, потому что иначе не работает. Лекс из Москвы тоже пишет: «Вчера поставил обновление – у меня перестала работать программа, мною написанная, которая работает с ini-файлами, пришлось откатить». Г. Бакунов ― Я бы предложил все-таки откатить свою программу. Если она написана строго по спецификации, она работает. Честно. Обычно проблема находится в программисте, у которого не работает на последнем релизе Windows. А. Плющев ― У меня Андрей спрашивает, на какой системе я работаю. Вот у меня лежит MacBook, ясно, что он на macOS, и его совершенно не затронул. Это не значит, что лучше и хуже, но просто их не такое большое количество… С. Оселедько ― А можно потрясающий комментарий из Тверской области? «Во всем виноват Навальный – он ездил в Испанию». (смех) А. Плющев ― Твой клиент не работает в эфире, для него это смешно, понимаешь? Г. Бакунов ― Тут еще никто про зеленку ничего не сказал, обратите внимание. А. Плющев ― Да. Евгений спрашивает: «Не могли бы вы назвать название обновления?», у него есть какое-то имя собственное? Г. Бакунов ― Ой, мне кажется, что сейчас в огромном количестве ссылки в интернете… Э. Набигаев ― Я могу по памяти назвать, это обновление MS17010. А. Плющев: О ― вот, специалист пришел, чувствуется. Э. Набигаев ― Если поискать в Google, то сразу найдете. А. Плющев ― Мне кажется, и так просто можно найти обновление. Илья из Москвы спрашивает: «Атакам подверглись только корпоративные компьютеры, – мы действительно только про них говорили сейчас, — или под угрозой и рядовые пользователи?» Мне кажется, он не разбирает как-то, организации или нет. Э. Набигаев ― На самом деле, с рядовыми пользователями, с одной стороны, во многом спасают резидентные IP-адреса доступа в интернет, у них, как правило, через роутер у многих, что их прячет от прямого доступа с интернета многих. У многих, опять же, провайдер, выпускает так называемую технологию NAT, которая по сути скрывает прямой доступ до конкретных рабочих станций пользователей, поэтому пользователей это затронуло в меньшей степени… Г. Бакунов ― Я бы сказал, что это неправда… не так – это правда для очень крупных провайдеров. Э. Набигаев ― Ну да. Г. Бакунов ― У меня дома два некрупных провайдера, оба они пострадали чудовищным образом, потому что в локальной сети был общий сервер, на котором пользователи обменивались файлами. Дальше понятно, да? А. Плющев ― Вот я у Эльмара хотел уточнить. Если я открываю ссылку как раз с заразой, то чем мне поможет роутер?.. Э. Набигаев ― Нет, ссылка с заразой – это она должна вам прийти. Тут вопрос в том, что… А. Плющев ― … взломанный человек, который будет рассылать?.. Э. Набигаев ― Да, просто по сетям, как правило, проблема в том, что вот этот самый уязвимый сервис SNB так называемый, он у многих организаций и у пользователей тоже, доступен с интернета, и их, собственно, тоже, то есть сам по себе червь, он же и интернет атакует, то есть, доступность с интернета, узлы точно так же заражаются, как будто они в локальной сети. Г. Бакунов ― Я могу сейчас показаться фашистом, но мне кажется, что в данном случае таким компаниям и таким людям стоит получить премию Дарвина и совершенно заслуженно можно заплатить эти деньги. Но потому что, ну, так подставляться нельзя. Э. Набигаев ― Ну да. Г. Бакунов ― Это все равно, что узнать, что у нас тут в соседнем районе эпидемия чумы и пойти туда гулять голышом, обмазываясь окружающим пространством. Э. Набигаев ― На самом деле это отчасти как раз таки вот связано с тем, почему Россия очень заметна в этих угрозах, потому что я вот сегодня смотрел количество доступных сервисов на так называемом портале (неразб.), который интернет сканирует на сервисы, там порядка 77 тысяч узлов, у которых открыт этот порт, то есть, не факт, что ни все уязвимы, конечно, но вот сам масштаб узлов. То есть, вот эти все узлы, они доступны с интернета и все они потенциально могут быть жертвой данного червяка. А. Плющев ― Мы не поговорили про гаджеты и прочие мобильные устройства. Мобильные операционные системы не затрагивает эта угроза. Это не значит, что других угроз не существует для мобильных. Г. Бакунов ― На самом деле там все довольно сложно, потому что есть мобильные устройства, которое и по процессору, и по операционной системе вполне себе могли бы затронуться. Я не знаю деталей, честно. Есть устройства на Windows, на Intel-процессоре, которые, кажется, вполне могли пострадать. Ю. Наместников ― Такие я не видел никогда, поэтому… Г. Бакунов ― Я видел двоих, оба они работают в Microsoft, поэтому… А. Плющев ― А!.. Г. Бакунов ― Я думаю, что у них все последние апдейты накачаны. А. Плющев ― Мне кажется, что у них запрещено их отключать. Ю. Наместников ― Опять же, почему домашние пользователи меньше пострадали? Потому что почти у всех автоматически апдейты накатываются, и корпорации поэтому сильно пострадали… А. Плющев ― Те, у кого непиратский софт. Ю. Наместников ― Да. С. Оселедько ― А что дальше-то будет? То есть, чем кончится эпидемия? Что нас ждет через неделю? Э. Набигаев ― Через неделю – очень много работы. С. Оселедько ― У вас. Поздравляю! А. Плющев ― А вот те, кто не заплатил, на 30 тысяч заплатили – то есть, сто компьютеров, все остальные что делать будут? С. Оселедько ― Потеряют данные. Просто взять и чистую операционку поставить, все удалить. Э. Набигаев ― Как правило, организации, которые озаботились вообще, в принципе, которые сильно зависят от IT-инфраструктуры, от бизнес-процессов, связанных с IT – там, банки какие-нибудь, финансовые организации. А. Плющев ― Банки не затронул, насколько я понимаю, не слышно было. Банкоматы. Г. Бакунов ― Они молчат просто все. Э. Набигаев ― Смотрите, просто те, про кого говорят, да, про них известно, думаю, гораздо больше компаний, которые просто молчат и пытаются справиться. А. Плющев ― У Мегафона и у, прости господи, МВД утекло чуть ли не в первые минуты. Г. Бакунов ― Я знаю небольшой европейский банк, который пострадал. А. Плющев ― Так. Г. Бакунов ― Просто это означает, что банки в принципе точно так же страдаю, просто они про это не публикуют ничего. А. Плющев ― Да, я думаю, в меньшей степени. Там, где про бабло, особенно про чужое, идет речь, как-то немножко вот в этом вопросе, может, других, там, кредиты раздавать как-то направо-налево могут, а вот в этом вопросе, когда просто с ничего можешь потерять, кажется… может, я наивный, я не знаю. Г. Бакунов ― Тут еще такой момент, что собственно у банковских организацией уже отработана процедура отката на какое-то состояние. То есть, такие, произошло заражение сегодня – откатимся по транзакциям на состояние вчера, скажем, что ничего сегодня не происходило вообще. Все транзакции аннулированы и все. Э. Набигаев ― Ну да. Развивая тему Григория, как раз хотел сказать, что те организации, которые сильно зависят от IT, у них, как правило, налажен процесс с резервными копиями, и для них это в принципе не составляет какой-то мегапроблемы, там, откатиться на известное хорошее состояние, по-тихому пропатчиться и восстановиться. Много работы, да, займет какое-то время, но это реально. Гораздо хуже тем, кто не сильно, может быть, понимал с точки зрения, что очень часто какие-то компании, они плавно-плавно переходят на новые системы, все автоматизируется, система документооборота, бизнес-система, бухгалтерия и так далее, и они плавно начинают очень сильно зависеть от IT, даже если основной бизнес не связан с IT. Но, может быть, руководство этого до конца не понимает. Ну, люди, принимающие решения, могут до конца этого не осознавать, и для них такие вот случаи становятся большим сюрпризом, что ему говорят, что мы, в общем-то, работать не можем – все, система недоступна, бухгалтерия – зарплату платить не можем, документы подписывать не можем, все. И как бы руководители, просто для них оказывается это шоком, что они настолько зависимы от IT-систем. А. Плющев ― Обычно я говорю, там, на вопросы отвечает такой-то в студии. А сейчас я говорю: не отвечает. Не отвечает Юрий Наместников из Microsoft, а все остальные могут… из Microsoft!.. Тут вопросы о Microsoft, извините, я поэтому оговорился. «У меня лицензионная семерка, пользуюсь только майкрософтовским антивирусом. Ваше мнение о его надежности?» — спрашивает Аркадий. Ну понятно, потому что там конфликт интересов будет, я поэтому Юрия заткнул. Г. Бакунов ― Тут важное уточнение: в данном конкретном случае, или вообще в среднем о надежности? А. Плющев ― Я думаю, что в среднем. Г. Бакунов ― Вообще в среднем, у меня есть такое простое правило, что любой специализированный инструмент работает лучше, чем мультитул. Как бы любая штука встроенная… А. Плющев ― Представим, что Юрия нет здесь… Г. Бакунов ― Какая разница? А. Плющев ― Потому что антивирусы – это… Ты сам пользуешься? Г. Бакунов ― У меня есть две Windows-машины, на обеих установлен антивирус. А. Плющев ― Я не буду спрашивать, какой. Г. Бакунов ― Это компания, с которой сейчас мы не разговариваем. Я хочу сказать, что я много раз проверял – нет никакой особенной разницы с точки зрения человека, который как бы не углубляется в детали. Как только ты начинаешь углубляться в детали, есть два важных пункта – полнота базы и оперативность реагирования. В обоих этих случаях специализированная компания, да еще и базирующаяся в той же стране, что и ты, реагирует быстрее, чем глобальная корпорация. Для меня это было важным критерием. Не знаю, я бы ответил так. А. Плющев ― Хорошо. А что думает Эльмар на эту тему? Э. Набигаев ― В принципе, антивирус – штука полезная, но это не панацея. То есть, как показывает практика… Г. Бакунов ― Конечно. Э. Набигаев ― Этого недостаточно, чтобы защититься от ста процентов угроз. Лучше, если у вас будет антивирус, и какого-то прямо хорошего, прямо вот какой-то один, я не могу сказать, что прямо какой-то конкретный антивирус лучше, чем остальные. Г. Бакунов ― Так говорить нельзя в этом эфире, потому что тут у нас есть обычные слушатели, которые сейчас поставят два антивируса… Ю. Наместников ― Это будет печально. (смех) С. Оселедько ― Хороший вопрос, как раз на последнюю минуту. Вот что делать, как жить с этим со всем, что мы сегодня выяснили? А. Плющев ― На первой минуте ответили. С. Оселедько ― Тут уже написали, что это все похоже на робота Апокалипсиса. Э. Набигаев ― Надо заниматься безопасностью в первую очередь. То есть, на самом деле вся причина проблем – это то, что большинство людей, большинство компаний не применяют каких-то базовых мер защиты. То есть, на самом деле атаку достаточно было просто отразить, следуя лучшим так называемым практикам, если ты зависим от IT, то достаточно устанавливать вовремя патчи и ничего бы не было. Два месяца прошло, то есть, было достаточно вполне себе времени. Г. Бакунов ― Да, я понимаю людей, которые не устанавливают патчи в течение двух недель, но двух месяцев – это перебор. А. Плющев ― Друзья, спасибо большое! Может быть, не все мы успели обсудить, но как-нибудь еще. У нас, я думаю, поводов будет миллион – не дай бог. Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies; Юрий Наместников, руководитель Российского исследовательского центра «Лаборатории Касперского»; Григорий Бакунов, интернет-эксперт. Благодарю вас, спасибо! С. Оселедько ― Пока! Г. Бакунов ― Предохраняйтесь! А. Плющев ― Мы с Сергеем Оселедько тоже с вами прощаемся. И желаем того же.

Ссылка на источник