Из-за DDoS-атаки на Assist, произошедшей летом 2010 года, пострадала авиакомпания «Аэрофлот» — убытки оценили почти в 150 миллионов рублей. Адвокаты обвиняемых постарались использовать практически все средства, чтобы поставить под сомнения доказательства истцов. В начале 2013 года они обвинили специалиста «Лаборатории Касперского» Григория Ануфриева в получении взятки за проведенную экспертизу. Вскоре после этого депутат от ЛДПР Максим Шингаркин обратился в Генпрокуратуру с просьбой проверить заявления о коррупции. Об ответе ведомства ничего не сообщалось.
Давайте поговорим о Врублевском, раз вы хранили молчание до приговора. Это было связано с тем, что вы выступали экспертами по делу?
Игорь Чекунов: Да, мы были экспертами и считали неэтичным давать какие-то комментарии до вынесения судом приговора. Мы-то в своей экспертизе уверены на все сто процентов. Но надо понимать, почему у адвокатов Врублевского возникли к ней некоторые вопросы.
Сейчас такое понятие, как «компьютерная криминалистика», только формируется, и методы, которые используются специалистами, еще не получили достаточно широкого распространения. Научного материала подготовлено еще не так много, отсутствуют какие-либо внятные методики проведения судебных экспертиз. Именно поэтому и возникают определенные вопросы со стороны адвокатов.
Сейчас в стране не так много специалистов в компьютерной криминалистике. Наша задача заключается в том, чтобы конкретными научными примерами, исследованиями доказывать справедливость определенных выводов, разрабатывать методические образовательные программы, внедрять эти программы в учебные курсы профильных вузов. Мы воспринимаем эту работу как социальную ответственность: раз мы обладаем определенными знаниями, мы должны этими знаниями делиться.
Как вы думаете, два с половиной года тюрьмы для Врублевского и его хакеров — адекватное наказание?
Вот смотрите, Аль Капоне — все знают, чем он занимался: бандитизмом, наркотиками, проституцией и так далее. А за что его посадили? За неуплату налогов! Потому что не могли доказать те действия, которые он совершал. Если киберпреступник совершает кражу, его наказывают по 272-й и 273-й статьям УК («Неправомерный доступ к компьютерной информации» и «Создание, использование и распространение вредоносных компьютерных программ» соответственно — прим. «Ленты.ру»), поскольку электронные деньги не могут быть объектом кражи по нашему законодательству.
Что происходит с DDoS-атаками? Их цель — причинить ущерб, разрушить какие-то устойчивые правоотношения, или, если речь идет о средствах массовой информации, там могут быть и другие цели. Но наказывать будут за распространение [вредоносного ПО]. Получается парадоксальная ситуация, когда мы наказываем не по тому, на что направлен умысел лица, совершающего это преступление, а за способ совершения преступления. Не раз уже предлагалось выделить в особый вид преступления, связанные с вмешательством в информационные системы, нарушением целостности и доступности этой самой информации. Но пока мы следуем существующему кодексу.
Как мы видим из дела Врублевского, преступный умысел был направлен на причинение имущественного ущерба посредством DDoS-атаки. А наказываем за что? За неправомерный доступ к охраняемой законом информации. Является это адекватным? Нет. Там же было совершено другое преступление, явно не только информационное. Был там причинен имущественный ущерб? Да. Есть соответствующая статья Уголовного кодекса, «Причинение имущественного ущерба» — вот ее и надо применять. Но конструкция не позволяет.
Раз приговор обвинительный, получается, что суд согласился с вашей экспертизой. А адвокаты обвиняемых утверждали, что ваш специалист получил за нее взятку. Вы будете теперь добиваться от них опровержения?
Право, настолько это все смешно. Ануфриев (специалист «ЛК» Григорий Ануфриев — прим. «Ленты.ру»), когда проводил эту судебную экспертизу, даже не знал, что работает с делом Врублевского. Пришло постановление: сравните объект А и объект Б. Там же не написано, кто, что, как, кому. Там только технические данные и вопросы. Он такие экспертизы делает по сотне в год. По почте получил — по почте ответил. Никто сюда не приезжает. У меня возникает вопрос: а от кого он должен был взятку получить, если он вообще не принимает решение, делать или не делать экспертизу.
Что тут настораживает. Сначала какую-то информацию публикует сомнительный ресурс. Потом эту информацию немного в другой форме передает со ссылкой на этот ресурс какое-то уважаемое средство массовой информации. После этого один депутат якобы читает эту информацию в этом уважаемом ресурсе, и тогда рождается обращение [в прокуратуру]. Это обращение — уже информационный повод, и все его подхватывают. [Это делается] по определенной информационной технологии, которая используется различными людьми для достижения конкретных целей. Ищи, кому выгодно.
Где же мы находим ответ? Внутри судебного заседания. На мой взгляд, это, конечно, вмешательство в судопроизводство — в первую очередь со стороны депутата. Я сомневаюсь, что депутаты других стран могут себе позволить заниматься такими вещами безнаказанно. Но написал и написал.
Вот вы говорите о проблемах УК, а вы не думали с законодательной инициативой выступить? Раз вы все равно помогаете правоохранительным органам, значит, вас признают как экспертов.
Мы же свою позицию не скрываем. Позиция эта простая и вполне логичная. Собственно, никто по этому поводу и не спорит. Но, к сожалению, есть определенные трудности, связанные с организацией деятельности самих органов внутренних дел, которые не позволяют пока в полной мере реализовать эти идеи. Ведь явлению киберпреступности всего десять лет. Но мы все равно к этому придем. В мировой практике примерно то же самое: есть отдельно предусмотренные наказания за киберпреступления, и есть возможность применять другие статьи уголовного кодекса.
Пока же наши судебные органы не осознают в полной мере общественную опасность данного противоправного деяния и дают достаточно мягкое наказание. В основном это условные сроки. Вот первое дело по фишингу: братья Попелыши посредством использования вредоносных программ завладели банковскими данными граждан и совершили хищение на сумму где-то в полмиллиона долларов. А какое наказание было? Четыре, пять, шесть лет условно. Это неадекватно, мне кажется.
Посмотрим с другой стороны. Были атаки на сайты Кремля, правительства, сайт «Аэрофлота» — ЗСУ очень быстро нашла школьников, которые этим занимались. А когда проходили DDoS-атаки на сайты крупнейших СМИ, по этому поводу даже не стали заводить дела, просто «нас здесь нет».
Во-первых, когда были атаки на СМИ, к нам обращались с просьбой защитить от этих DDoS-атак. Мы благополучно установили наши системы и все защитили. Расследование же — это не так просто. Здесь нужно смотреть на обстоятельства, изучать техническую составляющую, проводить соответствующие экспертизы и долго кропотливо работать, чтобы установить, где находился центр управления этой атакой. Но ко мне никто не приходил из уважаемых газет, не предлагал оказать какое-то содействие [в расследовании]. Поэтому говорить, что «Аэрофлот» защищают, сайты правительства защищают... Там были конкретные обращения, ну а здесь прошла DDoS-атака — поговорили-поговорили и разошлись. Я бы не политизировал эту тему.
Когда мы проводим исследование, мы зачастую можем даже и не знать, в отношении кого совершено противоправное действие. Это Иванов, Петров, уважаемые газеты или Кремль — мы делаем нашу работу одинаково для всех.
Почему возникают подозрения в политизированности? Вот случай с «Новой газетой» — по-моему, «ЛК» и рассказывала, что это была очень мощная атака. Получается, что где-то существуют группы злоумышленников с мощными ресурсами, но их никто даже не пытается ловить.
Я не знаю, пытаются их ловить или не пытаются. Я даже не знаю, подавала ли «Новая газета» заявление в полицию. Возможные доказательства не хранятся вечно. Эти доказательства ты можешь найти на серверах провайдеров, изучить цепочку, проследить саму структуру ботнета. Это непростая задача. А когда атака уже закончилась, многие доказательства могут быть утрачены. Здесь важна именно своевременность обращения за расследованием. И когда не знаешь конкретных обстоятельств, сложно комментировать ситуацию.
«Русские хакеры» — это уже практически бренд, причем международного уровня. Насколько это вообще обоснованный образ?
Русские хакеры — самые лучшие хакеры в мире. Если посмотреть статистику, то, к сожалению, доля совершаемых преступлений, имеющих русские корни, действительно значительно выше, чем из других стран. С чем это связано? В первую очередь, у нас очень хорошее образование. Кроме того, очевидно, что сейчас многие активы коммерческих организаций и банков не обладают должным уровнем защиты, и похитить какую-то информацию, денежные средства большого труда, в принципе, не составляет. Даже для людей, которые не имеют высшего образования. Если вы не можете сами разработать вредоносную программу, ее можно купить. Как можно и заказать DDoS-атаку. Цены вполне приемлемые.
Может, это связано еще и с тем, что у нас хакеры чувствуют себя в безопасности?
Да. У нас еще не выработано даже понятия такого — «киберпреступность», оно не используется в официальном юридическом языке. Мы до сих пор не можем определиться, как правильно называть — компьютерное преступление, информационное. Компьютерным — нельзя, потому что оно распространяется и на мобильные устройства. Называть информационным? Оно вроде бы влияет на информационный объект, но цели у него другие.
Про китайских хакеров часто говорят, что они работают на власти. У нас еще не дошли до этого уровня?
Я не знаю, дошли или не дошли. Я могу сказать одно: в Соединенных Штатах и Китае созданы специальные подразделения по киберразведке. Если создано подразделение, то очевидно, что государство этим занимается. Для меня странно, что государство может не использовать средства электронного шпионажа при всей их доступности. Всю жизнь все за всеми шпионили. Сейчас просто появились новые способы, это нормально.
Разве не возникает конфликта в том, что «ЛК», с одной стороны, помогает государству расследовать киберпреступления, а с другой — разрабатывает системы защиты от атак, в том числе государственных?
Так и получается. Они делают — мы ловим. Они убегают — мы догоняем. Мы же, когда добавляем [сигнатуры] в нашу антивирусную базу, зачастую даже не знаем, какую цель преследуют [вирусы]. Ворует ли программа банковские карты или какую-то государственную тайну — для нас значения не имеет. Есть признаки вредоносной программы — добавляй. Признаков нет — не добавляй.
Но при этом бывают же такие истории, как, например, с немецким государственным вирусом, когда антивирусные компании принимают решение об этом публично рассказать?
Общественности интересна подобная тематика. Смотрите: мы обнаружили действительно сложную вредоносную программу; для того чтобы ее обнаружить, требуется достаточно высокая квалификация. Конечно же, своим техническим достижением мы хотим поделиться с обществом.
А власти не будут точить зуб, что они работали-работали, а вы взяли и раскрыли их программу?
Может быть, и начнут.
У нас были встречи в посольстве Франции, когда французские, немецкие коллеги говорили: «У нас есть идея удаленно исследовать компьютеры злоумышленников». Я говорю: «Подождите, но это же незаконные методы». Они отвечают: «Да, мы понимаем. И что, вы нас будете ловить?» Ну, говорю, да. Они говорят: «Хорошо, мы пойдем думать, что нам делать». А с нашими правоохранительными органами ни одного такого случая не было, чтобы к нам подошли и сказали: «Давайте вы для нас какую-то вредоносную программу сделаете». Или так: «Давайте мы какую-то программу сделаем, а вы ее не будете обнаруживать». По-моему, все эти действия можно условно назвать «здоровой конкуренцией».
Все-таки тяжело называть здоровой конкуренцию с государственной махиной с неограниченными ресурсами.
Ресурсы всегда ограничены. С такими объектами как раз и интересно работать, потому что они позволяют проявиться лучшим качествам наших специалистов. Мы не хуже, чем те люди, которые создали эту программу.
Но у государства есть возможность законодательно запретить вам что-то.
Можно, конечно, вообще запретить использовать антивирусные программы. Но мне это представляется маловероятным.