Олег Сич: Під час хакерської атаки на українські обленерго у антивірусів не було шансів

Розробник першого українського антивірусу розповів, як продукту вдається конкурувати зі світовими брендами, чому український антивірус не люблять в Україні, чим відрізняються хороші антивіруси від поганих, і використовують їх у своїх цілях спецслужби.

Про ліг Сич - технічний директор київської лабораторії Zillya !, яка розробляє єдиний український антивірус.

Продукт успішно розвивається з 2009 року, багато в чому - завдяки продажу іноземним клієнтам.

В Україні Zillya! чи не ізгой. Співвідношення продажів продукту за кордоном і в Україні становить 10 до 1.

За словами Сича, одна з головних причин - у багатьох українців існує стереотип, що все українське - погане. Хоча такий стереотип не заважав ключовим державним органам України використовувати антивірусний продукт країни-агресора вже після початку війни проти України.

Тим часом, саме фахівці Zillya! допомагали СБУ в розслідуванні наймасштабнішою і успішною в історії України атаки хакерів на українські обленерго в грудні 2015 року. Як відомо, існує версія, що атаки здійснили російські урядові хакери.

В інтерв'ю ЕП Сич розповів, як першого українського антивірусу вдається конкурувати зі світовими брендами, чому український антивірус не люблять в Україні, чим відрізняються хороші антивіруси від поганих, шпигують чи антивіруси за користувачами, і використовують їх у своїх цілях спецслужби.

- Олег, як ви познайомилися з засновником "Zillya! Антивірус" Олексієм Орловським?

- У 2009 році, напевно, в режимі хед-хантингу на мене вийшов тодішній менеджер проекту Zillya! і запропонував приєднатися до проекту.

- Яким бізнесом займався Олексій дощенту антивірусної компанії? Чому він вирішив зайнятися таким специфічним бізнесом?

- У Олексія був аутсорсинговий бізнес, він розробляв на замовлення проекти в сфері програмного забезпечення. Йому хотілося створити власний продукт, яким можна було б пишатися.

У Олексія був досвід в області розробки ПО, розуміння, як зробити антивірусний продукт, і в цілому йому була цікава тематика інформаційної безпеки. Тому що створювати, якщо не антивірус?

Інша справа, що він був власником компанії і займався стратегічними і глобальними питаннями, розробкою концепції. На реалізацію у нього не залишалося часу, не вистачало фахівців, тому мене і запросили.

- Складно знайти в Україні співробітників в області антивірусних технологій?

- Це завдання нетривіальне. Фахівців, які аналізують роботу вірусів, в нашій країні не готують. У нас немає компаній, у яких можна було б відвести такі кадри. Їх можна знайти тільки в підпільній хакерської середовищі.

Вони займаються створенням програм-зломщиків, зломом програм на замовлення, дослідженнями в сфері написання вірусів, пустощами. Ці люди не мають постійної роботи і займаються такими речами як хобі.

Проте, це талановиті люди. Вони володіють унікальними знаннями, яких немає у дипломованих програмістів. Ми всіляко вишукуємо таких людей, пропонуємо їм цікаву, постійну легальну роботу.

- Яку зарплату пропонує ваша компанія таким людям?

- Я не буду називати точні суми, але скажу, що зарплати вірусних аналітиків можна порівняти з зарплатами програмістів.

Може, вірусним аналітикам потрібно платити більше, ніж звичайним програмістам. Я був би радий платити більше, але потрібно виходити з можливостей. Якби ми були величезною компанією, як, наприклад, Symantec, то ми могли б більш щедро винагороджувати своїх вірус-аналітиків.

- З огляду на різницю в фінансових можливостях "Zillya! Антивірус" і Symantec, ESET або Касперського, останні не переманюють ваших фахівців вищими зарплатами?

- Були деякі запити. Одна ізраїльська компанія намагалася переманити у нас людей. Ще у компанії Samsung в Києві є підрозділ, який працює над рішеннями в області інформаційної безпеки.

Теоретично наші кадрові інтереси перетинаються, але специфіка роботи у нас різна. Samsung більше цікавиться розробкою в області Android-пристроїв, а ми в більшій мірі орієнтовані на Windows-системи.

- Чому все-таки Орловський вирішив створити антивірус? У 2009 році, коли цей продукт з'явився, на ринку вже було багато сильних конкурентів, а в Україні був кадровий голод, і мова йшла про специфічній ніші.

- Це риторичне питання, яке стосується будь-якої сфери діяльності. Навіщо відкривати ще один телеканал, якщо вже є телеканали? Навіщо створювати ще один автозавод, якщо є інші? Напевно, у нього з'явилося відчуття, що він може зробити це якщо не краще, то, як мінімум, не гірше конкурентів.

За час роботи в сфері антивірусного бізнесу я прийшов до висновку, що не боги горщики обпалюють. Часто навіть такі компанії, як наша, яка значно менше монстрів індустрії, можуть в деяких питаннях дати їм фору.

Антивірусні компанії за рахунок свого величезного масштабу починають широко охоплювати сфери інформаційної безпеки - йти в технології шифрованих каналів зв'язку, безпечного зберігання даних, створення власних браузерів, рішень для екзотичних систем.

Зусилля Zillya! на даний момент зосереджені тільки в одній вузькій ніші. Ми розвиваємо безпосередньо антивірусні технології. Концентрація на одному вузькому напрямку дає нам можливість робити свою роботу добре.

- Скільки Zillya! встановлено на приватних ПК, в корпоративному сегменті і в державному секторі? Скільки з них платних?

- Щоб відповісти на це питання, треба розуміти структуру бізнесу Zillya !. Справа в тому, що основна стаття наших доходів - не в Україні. Zillya !, який продається в Україні, це в більшій мірі наше бажання, щоб нами пишалися на батьківщині, адже вести софтверний бізнес тут дуже не просто.

Основний наш заробіток - це продаж антивірусних технології за кордон. Сьогодні на базі технологій Zillya! створено вже понад 30 інших антивірусних програм по всьому світу, зокрема в Індії, США, Нігерії, ряді країн Африки.

Ми створюємо для компаній-замовників копію нашого продукту під їх брендом. Вони його продають, а ми отримуємо ліцензійні відрахування. Замовниками виступають локальні інтернет-провайдери, великі торгові мережі.

На жаль, Україна досі перебуває в тій стадії, коли створювати софтверні бізнес, орієнтований на внутрішній ринок, не має сенсу. Практично жодна IT-компанія не виживе в такому режимі.

- Яка структура доходів від продажу антивіруса і технології?

- Приблизно десять до одного, де один - продаж в Україні.

- Можете сказати про співвідношення продажів приватним користувачам і корпоративного сегменту в Україні?

- У фінансовому плані - приблизно 50 на 50. Великих успіхів в корпоративному секторі маркетингової команді Zillya! вдалося добитися саме в 2015 році.

- Чи пов'язуєте ви цей успіх з масовим відмовою корпоративних користувачів від антивірусів російського виробництва?

- Так, в деякому роді це позначається і на наших продажах, але не є домінуючим фактором. На даний момент приблизно кожне п'яте звернення в наш відділ продажів з питання придбання корпоративного антивіруса - це результат переходу організацій з російських антивірусів на інші рішення.

- Яка тоді структура ринку антивірусів в держсекторі?

- ESET однозначно на першому місці. Уже в липні 2014 року дві третини ринку держсектора займав ESET NOD32. До моменту відмови від російської продукції дійсно значне місце займав Касперський. McAfee і Symantec теж займають досить велику частку в корпоративному секторі.

Після відмови від російських антивірусів зовсім не всі побігли купувати Zillya !. Справа в тому, що існує така традиція: американці люблять все американське, японці - все японське, але далеко не всі українці люблять українське. У багатьох в головах присутня стереотип, що все українське - погане.

Щоб в Україні полюбили вітчизняні продукти і повірили в них, треба досягти успіху і визнання в світі. Тільки тоді на тебе звернуть увагу на батьківщині. Кожен день нам доводиться доводити нашим потенційним користувачам, що Zillya! - це всерйоз і надовго.

- Ви могли б назвати п'ять країн, де найкраще продається технологія вашого антивіруса?

- Відкриттям для нас стала Індія, з якої ми почали просування нашої технології. Їм дуже подобаються наші продукти завдяки простоті застосування і ефективності. Кілька партнерів є в Нігерії, Індонезії, на Філіппінах. Зараз активно розвиваємо китайський напрямок.

Одним з наших найбільших партнерів є компанія з США. Ми тривалий час відчували нав'язаний нам комплекс меншовартості, мовляв, ви ніхто, вам мало років, і ви не можете змагатися з іменитими конкурентами.

Сидіть, мовляв, в Україні і не висувайтеся. Однак наш партнер з США показав чудові продажу. Так у нас з'явилася впевненість у своїх силах і розуміння, що продукт може продаватися і конкурувати в США і Європі.

- Скільки ПК обслуговує ваша платформа?

- Кількість ПК по нашим партнерам сумарно доходить до 3 млн. В Україні активних користувачів приблизно 0,5 млн, а всього кількість тих, хто спробував "Zillya! Антивірус", доходить до 2 млн. Велика частина активних користувачів в Україні використовує безкоштовну версію.

- У якому випадку краще вибрати безкоштовний антивірус, а в якому - купити?

- Платні і безкоштовні антивіруси відомих виробників захищатимуть приблизно однаково. Як правило, антивірусні компанії не йдуть на обмеження безкоштовних користувачів, наприклад, пізніше оновлюють вірусну базу або роблять її менш ефективною. Така політика ослабила б силу бренду.

Відмінності полягають в сервісі і додатковому функціоналі. Користувач повинен розуміти, що антивірус - не просто програма, а цілий сервіс - служба технічної підтримки, яка допоможе в скрутну хвилину, це швидкість реагування на рішення ваших проблем.

- Чи є хороші і погані антивіруси? Як їх відрізнити?

- Колись ми збирали статистику про кількість існуючих в світі антивірусів. На цифрі 350 ми зупинилися. Звичайно, серед них ви знайдете багато поганих антивірусів, які вам більше нашкодять, ніж допоможуть.

Ми повинні обмежитися тими антивірусними брендами, які на слуху. Серед них поганих, скоріше, ні. Можуть бути такі, проти яких організували PR-атаку, або які погано підібрані під конкретну ситуацію.

Антивірус не гарантує вам захист. Коли хакер пише троянську програму, він перевіряє її всіма популярними антивірусами на предмет виявлення.

Якщо антивіруси бачать цю програму, хакер буде її міняти до тих пір, поки не доб'ється свого. Поки цей троян не потрапить в антивірусну лабораторію, антивірус не отримає оновлення для його виявлення.

- Кажуть, що віруси пишуть виробники антивірусів, щоб розвивати свій бізнес. Чи згодні ви з цим? Вам доводилося писати віруси?

- Це найпоширеніший і прикрий міф, який нас дуже ображає. З таким же успіхом можна говорити, що пожежники підпалюють будинки, щоб потім їх гасити, а медики спеціально поширюють хвороби, щоб потім їх лікувати. Так кажуть люди, які не розуміють специфіку кіберзлочинністю бізнесу.

Зараз цей бізнес дуже апетитний для багатьох людей, які мріють про легкі гроші. Структура бізнесу різна: нелегальні рекламні модулі, вимагання, крадіжка персональних і платежів користувачів.

Обчислити шахрая важко, а заробіток настільки величезний, що коли накривають чергову кібер-угруповання, на її рахунках знаходять десятки мільйонів вкрадених доларів. Найчастіше всіх їх підводить жадібність.

З написанням вірусів я стикався, коли тільки знайомився з хакерськими журналами, які розповідали, як писати комп'ютерні віруси. Звичайно, я експериментував. Неможливо аналізувати вірус, якщо ти не намагався його написати, налагодити, подивитися, як він працює.

Зараз мені не до цього. Кількість загроз, яке нам необхідно щодня аналізувати, настільки колосальна, що це нескінченний потік роботи.

- У своїх недавніх інтерв'ю ви говорили, що кількість вірусів збільшується. З чим це пов'язано? Які зараз найпопулярніші віруси за технологією виманювання грошей?

- Кількість загроз збільшується в геометричній прогресії. Це пов'язано зі зростанням IT-індустрії в світі і збільшенням кількості користувачів інтернет-сервісів. Збільшуються можливості різних шахрайських механізмів.

Основних видів загроз два.

Перший - рекламні програми. Вони не видаляють і не крадуть інформацію, але вони займаються підміною рекламної інформації, підміною контенту на сайтах, перенаправленням пошукових запитів. Вони заробляють гроші, крадучи їх у рекламних мереж, коли користувачі переходять за нав'язаними посиланнях.

Другий - вірусні програми, який крадуть або вимагають гроші. Зараз йде велика хвиля програм-вимагачів. Вони потрапляють в комп'ютер і шифрують критично важливі документи. Після цього вимагають викуп за розшифровку.

Викуп вимірюється сотнями доларів. Навіть заплативши гроші, в половині випадків потерпілий навряд чи отримає ключ для розшифровки. У такому випадку дані можуть бути загублені назавжди.

- Успіх хакерських атак на українські обленерго в грудні 2015 року стало можливим через неграмотність персоналу або майстерності хакерів? Чому в даному випадку не допоміг антивірус?

- Атака була високотехнологічна. Був застосований метод соціальної інженерії, зіграв людський фактор. Причини успішності атаки - на 100% вина людей, тому що в обленерго були порушені і проігноровані елементарні норми побудови інформаційних мереж такого роду.

Внутрішня мережа, в якій працювали комп'ютери, що керують підстанціями, мали фізичне з'єднання із зовнішньою мережею інтернету. В результаті атакуючі отримали до них доступ через проксі-сервера обленерго.

При низькій технологічності атаки рівень її організації був дуже високий. Діяла добре скоординована команда.

Атака була проведена на кілька обленерго одночасно. Усередині заражених ПК одночасно працювали кілька операторів. В цей же час була організована DDoS атака на один з колл-центрів обленерго.

Цього можна було уникнути шляхом впровадження в обленерго політики інформаційної безпеки та проведення для співробітників курсу системи захисту інформації. Однак у антивірусів в даному випадку шансів не було.

Ми провели експеримент: перевірили цей троян найпопулярнішими антивірусними програмами з вірусними базами, актуальними на момент появи троянської програми, і ні один антивірус його не знайшов.

Справа в тому, що цей троян створювався для конкретної атаки. Він створювався і використовувався так, щоб якомога довше залишатися непоміченим.

- Зараз популярна тема відмови від використання російських антивірусів під приводом їх контролю ФСБ . Чи може антивірус красти дані з ПК і передавати контроль над ПК віддаленому користувачеві?

- Теоретично, якби на те була воля виробника, антивірус може так робити. Він має великі можливості для доступу до операційної системи.

Антивірус може редагувати інформацію, видаляти її, оновлювати антивірусну базу, відслідковувати, на які сайти заходить користувач, які програми запускає, які документи редагує. Теоретично може контролювати переписку користувача в соціальних мережах.

Однак для будь-якої антивірусної компанії найголовніша задача - домогтися довіри користувача і ні в якому разі його не втратити. Ось з цієї причини мені слабо віриться, що будь-яка антивірусна компанія на таке піде.

Якщо такий факт стане відомий, компанія перестане існувати. А якщо мова йде про бізнес з багатомільйонними оборотами, то який сенс так ризикувати?

Однак є ще два моменти.

По-перше, ніколи не можна виключати, що серед фахівців такої компанії можуть працювати інсайдери, впроваджені спецслужбами. Вірусні аналітики або програмісти можуть без відома керівництва робити в продукті "закладки".

По-друге, антивірусна програма абсолютно легально з відома користувача збирає багато чутливої ​​інформації та передає її на свої сервери. Це написано в ліцензійній угоді кожної антивірусної програми.

Така інформація потрібна для вдосконалення продукту. Тут виникає питання, чи може до цієї інформації отримати доступ спецслужба.

- Які плани у Zillya! на 2016 рік?

- У 2015 році ми посилили свою вірусну лабораторію, вклали багато сил в розвиток антивірусного ядра, механізмів поведінкового аналізу та інших технологій антивірусного захисту. Зараз ми працюємо зі світовими тестовими центрами і сподіваємося, що наші рішення будуть оцінені по достоїнству.

Ми також продовжуємо розвивати технології протидії шкідливим програмам, працюємо над швидкістю реагування на нові загрози.

Нещодавно вийшов наш перший продукт для Android, в 2016 році плануємо розвивати цей напрям. Проектуємо наступний продукт під цю платформу і думаємо про розширення списку систем, рішення для яких будемо пропонувати.

Антивірус" Олексієм Орловським?
Яким бізнесом займався Олексій дощенту антивірусної компанії?
Чому він вирішив зайнятися таким специфічним бізнесом?
Тому що створювати, якщо не антивірус?
Складно знайти в Україні співробітників в області антивірусних технологій?
Яку зарплату пропонує ваша компанія таким людям?
Антивірус" і Symantec, ESET або Касперського, останні не переманюють ваших фахівців вищими зарплатами?
Чому все-таки Орловський вирішив створити антивірус?
Навіщо відкривати ще один телеканал, якщо вже є телеканали?
Навіщо створювати ще один автозавод, якщо є інші?
IRC (Internet Relay Chat)