Центр кибербезопасности рассказал о связях АНБ и НАТО с производителями вредоносного ПО
Как заявил замдиректора НКЦКИ Николай Мурашов, такая продукция опасна, так как раньше или позже попадает в руки к злоумышленникам
МОСКВА, 11 декабря. /ТАСС/. Производство вредоносного программного обеспечения (ВПО) активно поддерживают спецслужбы США и других стран НАТО, заявил на брифинге заместитель директора российского Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов.
"Во многих странах, включая США, Великобританию и Францию, в этот многомиллиардный бизнес вовлечено более 40 крупных фирм - разработчиков ВПО. Например, печально известная французская компания Vupan, занимавшаяся продажей уязвимостей. Ее клиентами являлись Агентство национальной безопасности (США) и спецслужбы других стран НАТО", - сказал Мурашов.
По его словам, за фирмой закрепилось прозвище "современные торговцы смертью". "После серии скандалов в 2015 году Vupan прекратила свое существование, и ее основатель перебрался в Соединенные Штаты и создал компанию "Зеродиум". Кстати информация для слайда взята прямо с сайта компании "Зеродиум". Очень интересный сайт, крайне лапидарный особенно в разделе "контакты", - отметил Мурашов.
На слайде приведены цены на уязвимости мобильных устройств в связи с тем, что в настоящее время именно они используются наиболее интенсивно: например, уязвимости смартфона IPhone стоят до $1,5 млн, стоимость уязвимостей мессенджеров Telegram, Viber, WhatsApp и IMessage доходит до $500 тыс. Он отметил, что такой бизнес крайне опасен. "Рано или поздно его продукты попадают не в те руки. В связи с этим как не вспомнить заявление нынешнего президента компании Microsoft Брэда Смита: "Украденные у АНБ данные об уязвимостях ударили по пользователям всего мира", - подчеркнул Мурашов.
Именно данные об этих уязвимостях предопределили возникновение глобальных эпидемий WannaCry, NotPetya, BadRabbit, которые затронули почти 70 стран. "Было заражено более полумиллиона компьютеров, расположенных в том числе и в России. Наибольшие потери понесли частные пользователи, но и некоторые объекты критической инфраструктуры нашей страны подверглись заражению", - сказал замдиректора центра. Согласно данным НКЦКИ, приведенным на слайде, 12 мая 2017 года произошло 200 тыс. случаев заражения вирусом WannaCry в 70 странах мира.
"Хочу напомнить, что американские официальные лица обвинили Российскую Федерацию в распространении вируса NotPetya. Под этим предлогом были сорваны межведомственные консультации между РФ и США, которые должны были состояться в феврале 2018 году в Женеве", - сказал Мурашов. Он отметил, что борьба с производством вредоносного ПО должна вестись на глобальном уровне, в первую очередь в правовой плоскости. "Это работа на перспективу", - добавил он.
Запад не готов запретить производство ВПО
При этом Мурашов отметил, что представители США, Великобритании и стран Евросоюза всячески препятствуют идее признания криминальным производства вредоносных компьютерных программ.
"Практически везде запрет на разработку подобного программного обеспечения отсутствует. Более того, представители США, Великобритании, стран Европейского Союза на форумах, где обсуждаются вопросы обеспечения международной информационной безопасности, всячески препятствуют принятию каких-либо рекомендаций, касающихся криминализации подобной деятельности", - сказал он.
Мурашов отметил, что, по мнению экспертов, каждая восьмая уязвимость в программном обеспечении является критической или имеет высокий уровень опасности. "Издержки эксплуатации таких уязвимостей ложатся на наши плечи. В большинстве случаев производители не несут ответственности за надежность и безопасность своей продукции. Общественность уверяют, что дополнительные исследования безопасности будут сдерживать развитие рынка, а пользователям гораздо важнее инновации", - отметил он.
По его словам, наличие уязвимостей является базой для разработки ВПО. "Профессионалы подтвердят правильность принципа - "нет уязвимостей - нет компьютерной атаки". В текущих условиях реальным шагом повышения безопасности пользователей мог бы стать международный запрет на разработку вредоносов", - сказал Мурашов.
"Россия так и сделала. Статья 273 УК РФ квалифицирует создание вредоносных программ как преступление. Увы нашему примеру следуют не многие", - отметил замдиректора центра.