Олег Сич: Під час хакерської атаки на українські обленерго у антивірусів не було шансів

Олег Сич: Під час хакерської атаки на українські обленерго у антивірусів не було шансів

Четвер, 7 квітня 2016, 14:40 -
Розробник першого українського антивірусу розповів, як продукту вдається конкурувати зі світовими брендами, чому український антивірус не люблять в Україні, чим відрізняються хороші антивіруси від поганих, і чи використовують їх у своїх цілях спецслужби. (Рос.)

Олег Сыч - технический директор киевской лаборатории Zillya!, которая разрабатывает единственный украинский антивирус.

Продукт успешно развивается с 2009 года, во многом - благодаря продажам иностранным клиентам.

В Украине Zillya! едва ли не изгой. Соотношение продаж продукта за границей и в Украине составляет 10 к 1.

По словам Сыча, одна из главных причин - у многих украинцев существует стереотип, что все украинское - плохое. Хотя такой стереотип не мешал ключевым госорганам Украины использовать антивирусный продукт страны-агрессора уже после начала войны против Украины.

Между тем, именно специалисты Zillya! помогали СБУ в расследовании самой масштабной и успешной в истории Украины атаки хакеров на украинские облэнерго в декабре 2015 года. Как известно, существует версия, что атаки осуществили российские правительственные хакеры.

В интервью ЭП Сыч рассказал, как первому украинскому антивирусу удается конкурировать с мировыми брендами, почему украинский антивирус не любят в Украине, чем отличаются хорошие антивирусы от плохих, шпионят ли антивирусы за пользователями, и используют ли их в своих целях спецслужбы.

- Олег, как вы познакомились с основателем "Zillya! антивирус" Алексеем Орловским?

- В 2009 году, наверное, в режиме хед-хантинга на меня вышел тогдашний менеджер проекта Zillya! и предложил присоединиться к проекту.

- Каким бизнесом занимался Алексей до основания антивирусной компании? Почему он решил заняться таким специфическим бизнесом?

- У Алексея был аутсорсинговый бизнес, он разрабатывал на заказ проекты в сфере программного обеспечения. Ему хотелось создать собственный продукт, которым можно было бы гордиться.

У Алексея был опыт в области разработки ПО, понимание, как сделать антивирусный продукт, и в целом ему была интересна тематика информационной безопасности. Поэтому что создавать, если не антивирус?

Другое дело, что он был владельцем компании и занимался стратегическими и глобальными вопросами, разработкой концепции. На реализацию у него не оставалось времени, не хватало специалистов, поэтому меня и пригласили.

- Сложно найти в Украине сотрудников в области антивирусных технологий?

- Эта задача нетривиальная. Специалистов, которые анализируют работу вирусов, в нашей стране не готовят. У нас нет компаний, у которых можно было бы увести такие кадры. Их можно найти только в подпольной хакерской среде.

Они занимаются созданием программ-взломщиков, взломом программ на заказ, исследованиями в сфере написания вирусов, баловством. Эти люди не имеют постоянной работы и занимаются такими вещами в качестве хобби.

Тем не менее, это талантливые люди. Они обладают уникальными знаниями, которых нет у дипломированных программистов. Мы всячески выискиваем таких людей, предлагаем им интересную, постоянную легальную работу.

- Какую зарплату предлагает ваша компания таким людям?

- Я не буду называть точные суммы, но скажу, что зарплаты вирусных аналитиков сравнимы с зарплатами программистов.

Может, вирусным аналитикам нужно платить больше, чем обычным программистам. Я был бы рад платить больше, но нужно исходить из возможностей. Если бы мы были огромной компанией, как, например, Symantec, то мы могли бы более щедро вознаграждать своих вирус-аналитиков.

- Учитывая разницу в финансовых возможностях "Zillya! антивирус" и Symantec, ESET или Касперского, последние не переманивают ваших специалистов более высокими зарплатами?

- Были некоторые запросы. Одна израильская компания пыталась переманить у нас людей. Еще у компании Samsung в Киеве есть подразделение, которое работает над решениями в области информационной безопасности.

Теоретически наши кадровые интересы пересекаются, но специфика работы у нас разная. Samsung больше интересуется разработкой в области Android-устройств, а мы в большей степени ориентированы на Windows-системы.

- Почему все-таки Орловский решил создать антивирус? В 2009 году, когда этот продукт появился, на рынке уже было много сильных конкурентов, а в Украине был кадровый голод, и речь шла о специфической нише.

- Это риторический вопрос, который касается любой сферы деятельности. Зачем открывать еще один телеканал, если уже есть телеканалы? Зачем создавать еще один автозавод, если есть другие? Наверное, у него появилось ощущение, что он может сделать это если не лучше, то, как минимум, не хуже конкурентов.

За время работы в сфере антивирусного бизнеса я пришел к выводу, что не боги горшки обжигают. Зачастую даже такие компании, как наша, которая значительно меньше монстров индустрии, могут в некоторых вопросах дать им фору.

Антивирусные компании за счет своего огромного масштаба начинают широко охватывать сферы информационной безопасности - уходить в технологии шифрованных каналов связи, безопасного хранения данных, создания собственных браузеров, решений для экзотических систем.

Усилия Zillya! на данный момент сосредоточены только в одной узкой нише. Мы развиваем непосредственно антивирусные технологии. Концентрация на одном узком направлении дает нам возможность делать свою работу хорошо.

- Сколько Zillya! установлено на частных ПК, в корпоративном сегменте и в госсекторе? Сколько из них платных?

- Чтобы ответить на этот вопрос, надо понимать структуру бизнеса Zillya!. Дело в том, что основная статья наших доходов - не в Украине. Zillya!, который продается в Украине, это в большей мере наше желание, чтобы нами гордились на родине, ведь вести софтверный бизнес тут очень не просто.

Основной наш заработок - это продажа антивирусных технологии за границу. Сегодня на базе технологий Zillya! создано уже более 30 других антивирусных программ по всему миру, в частности в Индии, США, Нигерии, ряде стран Африки.

Мы создаем для компаний-заказчиков копию нашего продукта под их брендом. Они его продают, а мы получаем лицензионные отчисления. Заказчиками выступают локальные интернет-провайдеры, крупные торговые сети.

К сожалению, Украина до сих пор находится в той стадии, когда создавать софтверные бизнес, ориентированный на внутренний рынок, не имеет смысла. Практически ни одна IT-компания не выживет в таком режиме.

- Какая структура доходов от продажи антивируса и технологии?

- Примерно десять к одному, где один - продажа в Украине.

- Можете сказать о соотношении продаж частным пользователям и корпоративному сегменту в Украине?

- В финансовом плане - примерно 50 на 50. Больших успехов в корпоративном секторе маркетинговой команде Zillya! удалось добиться именно в 2015 году.

- Связываете ли вы этот успех с массовым отказом корпоративных пользователей от антивирусов российского производства?

- Да, в некотором роде это сказывается и на наших продажах, но не является доминирующим фактором. На данный момент примерно каждое пятое обращение в наш отдел продаж по вопросу приобретения корпоративного антивируса - это результат перехода организаций с российских антивирусов на другие решения.

- Какова тогда структура рынка антивирусов в госсекторе?

- ESET однозначно на первом месте. Уже в июле 2014 года две трети рынка госсектора занимал ESET NOD32. До момента отказа от российской продукции действительно значительное место занимал Касперский. McAfee и Symantec тоже занимают достаточно большую долю в корпоративном секторе.

После отказа от российских антивирусов вовсе не все побежали покупать Zillya!. Дело в том, что существует такая традиция: американцы любят все американское, японцы - все японское, но далеко не все украинцы любят украинское. У многих в головах присутствует стереотип, что все украинское - плохое.

Чтобы в Украине полюбили отечественные продукты и поверили в них, надо достигнуть успеха и признания в мире. Только тогда на тебя обратят внимание на родине. Каждый день нам приходится доказывать нашим потенциальным пользователям, что Zillya! - это всерьез и надолго.

- Вы могли бы назвать пять стран, где лучше всего продается технология вашего антивируса?

- Открытием для нас стала Индия, с которой мы начали продвижение нашей технологии. Им очень нравятся наши продукты благодаря простоте применения и эффективности. Несколько партнеров есть в Нигерии, Индонезии, на Филиппинах. Сейчас активно развиваем китайское направление.

Одним из наших крупнейших партнеров является компания из США. Мы длительное время испытывали навязанный нам комплекс неполноценности, мол, вы никто, вам мало лет, и вы не можете тягаться с именитыми конкурентами.

Сидите, мол, в Украине и не высовывайтесь. Однако наш партнер из США показал замечательные продажи. Так у нас появилась уверенность в своих силах и понимание, что продукт может продаваться и конкурировать в США и Европе.

- Сколько ПК обслуживает ваша платформа?

- Количество ПК по нашим партнерам суммарно доходит до 3 млн. В Украине активных пользователей примерно 0,5 млн, а всего количество тех, кто попробовал "Zillya! антивирус", доходит до 2 млн. Большая часть активных пользователей в Украине использует бесплатную версию.

- В каком случае лучше выбрать бесплатный антивирус, а в каком - купить?

- Платные и бесплатные антивирусы известных производителей будут защищать примерно одинаково. Как правило, антивирусные компании не идут на ущемление бесплатных пользователей, например, позже обновляют вирусную базу или делают ее менее эффективной. Такая политика ослабила бы силу бренда.

Отличия заключаются в сервисе и дополнительном функционале. Пользователь должен понимать, что антивирус - не просто программа, а целый сервис - служба технической поддержки, которая поможет в трудную минуту, это скорость реагирования на решение ваших проблем.

- Есть ли хорошие и плохие антивирусы? Как их отличить?

- Когда-то мы собирали статистику о количестве существующих в мире антивирусов. На цифре 350 мы остановились. Конечно, среди них вы найдете много плохих антивирусов, которые вам больше навредят, чем помогут.

Мы должны ограничиться теми антивирусными брендами, которые на слуху. Среди них плохих, скорее, нет. Могут быть такие, против которых организовали PR-атаку, или которые плохо подобраны под конкретную ситуацию.

Антивирус не гарантирует вам защиту. Когда хакер пишет троянскую программу, он проверяет ее всеми популярными антивирусами на предмет обнаружения.

Если антивирусы видят эту программу, хакер будет ее менять до тех пор, пока не добьется своего. Пока этот троян не попадет в антивирусную лабораторию, антивирус не получит обновления для его обнаружения.

- Говорят, что вирусы пишут производители антивирусов, чтобы развивать свой бизнес. Согласны ли вы с этим? Вам приходилось писать вирусы?

- Это самый распространенный и досадный миф, который нас очень обижает. С таким же успехом можно говорить, что пожарники поджигают дома, чтобы потом их тушить, а медики специально распространяют болезни, чтобы потом их лечить. Так говорят люди, которые не понимают специфику киберпреступного бизнеса.

Сейчас этот бизнес очень аппетитный для многих людей, которые мечтают о легких деньгах. Структура бизнеса разная: нелегальные рекламные модули, вымогательство, кража персональных и платежных данных пользователей.

Вычислить мошенника тяжело, а заработок настолько огромный, что когда накрывают очередную кибергруппировку, на ее счетах находят десятки миллионов украденных долларов. Чаще всего всех их подводит жадность.

С написанием вирусов я сталкивался, когда только знакомился с хакерскими журналами, которые рассказывали, как писать компьютерные вирусы. Конечно, я экспериментировал. Невозможно анализировать вирус, если ты не пытался его написать, отладить, посмотреть, как он работает.

Сейчас мне не до этого. Количество угроз, которое нам необходимо ежедневно анализировать, настолько колоссальное, что это бесконечный поток работы.

- В своих недавних интервью вы говорили, что количество вирусов увеличивается. С чем это связано? Какие сейчас самые популярные вирусы по технологии выманивания денег?

- Количество угроз увеличивается в геометрической прогрессии. Это связано с ростом IT-индустрии в мире и увеличением количества пользователей интернет-сервисов. Увеличиваются возможности различных мошеннических механизмов.

Основных видов угроз два.

Первый - рекламные программы. Они не удаляют и не воруют информацию, но они занимаются подменой рекламной информации, подменой контента на сайтах, перенаправлением поисковых запросов. Они зарабатывают деньги, воруя их у рекламных сетей, когда пользователи переходят по навязанным ссылкам.

Второй - вирусные программы, который крадут или вымогают деньги. Сейчас идет большая волна программ-вымогателей. Они попадают в компьютер и шифруют критично важные документы. После этого требуют выкуп за расшифровку.

Выкуп измеряется сотнями долларов. Даже заплатив деньги, в половине случаев пострадавший вряд ли получит ключ для расшифровки. В таком случае данные могут быть утеряны навсегда.

- Успех хакерских атак на украинские облэнерго в декабре 2015 года стал возможен из-за неграмотности персонала или мастерства хакеров? Почему в данном случае не помог антивирус?

- Атака была не высокотехнологичная. Был применен метод социальной инженерии, сыграл человеческий фактор. Причины успешности атаки - на 100% вина людей, потому что в облэнерго были нарушены и проигнорированы элементарные нормы построения информационных сетей такого рода.

Внутренняя сеть, в которой работали компьютеры, управляющие подстанциями, имели физическое соединение с внешней сетью интернета. В результате атакующие получили к ним доступ через прокси-сервера облэнерго.

При низкой технологичности атаки уровень ее организации был очень высок. Действовала хорошо скоординированная команда.

Атака была проведена на несколько облэнерго одновременно. Внутри зараженных ПК одновременно работали несколько операторов. В это же время была организована DDoS атака на один из колл-центров облэнерго.

Этого можно было избежать путем внедрения в облэнерго политики информационной безопасности и проведения для сотрудников курса системы защиты информации. Однако у антивирусов в данном случае шансов не было.

Мы провели эксперимент: проверили этот троян самыми популярными антивирусными программами с вирусными базами, актуальными на момент появления троянской программы, и ни один антивирус его не обнаружил.

Дело в том, что этот троян создавался для конкретной атаки. Он создавался и использовался так, чтобы как можно дольше оставаться незамеченным.

- Сейчас популярна тема отказа от использования российских антивирусов под предлогом их контроля ФСБ. Может ли антивирус красть данные с ПК и передавать контроль над ПК удаленному пользователю?

- Теоретически, если бы на то была воля производителя, антивирус может так делать. Он имеет большие возможности для доступа к операционной системе.

Антивирус может редактировать информацию, удалять ее, обновлять антивирусную базу, отслеживать, на какие сайты заходит пользователь, какие программы запускает, какие документы редактирует. Теоретически может контролировать переписку пользователя в социальных сетях.

Однако для любой антивирусной компании самая главная задача - добиться доверия пользователя и ни в коем случае его не потерять. Вот по этой причине мне слабо верится, что какая-либо антивирусная компания на такое пойдет.

Если такой факт станет известен, компания перестанет существовать. А если речь идет о бизнесе с многомиллионными оборотами, то какой смысл так рисковать?

Однако есть еще два момента.

Во-первых, никогда нельзя исключать, что среди специалистов такой компании могут работать инсайдеры, внедренные спецслужбами. Вирусные аналитики или программисты могут без ведома руководства делать в продукте "закладки".

Во-вторых, антивирусная программа абсолютно легально с ведома пользователя собирает много чувствительной информации и передает ее на свои серверы. Это написано в лицензионном соглашении каждой антивирусной программы.

Такая информация нужна для усовершенствования продукта. Тут возникает вопрос, может ли к этой информации получить доступ спецслужба.

- Какие планы у Zillya! на 2016 год?

- В 2015 году мы усилили свою вирусную лабораторию, вложили много сил в развитие антивирусного ядра, механизмов поведенческого анализа и других технологий антивирусной защиты. Сейчас мы работаем с мировыми тестовыми центрами и надеемся, что наши решения будут оценены по достоинству.

Мы также продолжаем развивать технологии противодействия вредоносным программам, работаем над скоростью реагирования на новые угрозы.

Недавно вышел наш первый продукт для Android, в 2016 году планируем развивать это направление. Проектируем следующий продукт под эту платформу и думаем о расширении списка систем, решения для которых будем предлагать.