«Наши исследования по кибербезопасности могут выглядеть футуристично, но им точно найдётся применение в ближайшее время»

Дмитрий Галов из «Лаборатории Касперского» рассказывает, как попал в компанию и теперь помогает обеспечивать кибербезопасность миллионов пользователей и какой из сериалов про хакеров ему кажется технически реалистичным. А заодно предлагает всем желающим проверить свои навыки в реверс-инжиниринге на CrackMe 2020 и посмотреть открытые вакансии.

Ещё со школы меня интересовали технологии: я был участником школьной сборной Москвы по программированию, ездил на разные олимпиады и неоднократно занимал на них призовые места. В одиннадцатом классе я выиграл соревнования, организованные «Лабораторией Касперского». После, оказавшись на экскурсии внутри московской штаб-квартиры, я сразу понял, что хочу здесь работать. Правда, тогда меня не взяли на стажировку из-за формальностей: я был школьником с неполным средним образованием. Когда мне исполнилось 18 и я поступил в вуз, ситуация изменилась.

Во-первых, я окончательно убедился в том, что кибербезопасность интересна мне гораздо больше, чем другие сферы в ИТ, а «Лаборатория Касперского» — это лучший вариант для профессионального развития в этой области.

Во-вторых, в компании обо мне уже знали, и я напрямую написал рекрутерам. После этого меня пригласили на собеседование на позицию стажёра в рабочей группе антивирусных исследований (Anti-malware research — AMR).

Сначала я поговорил «о жизни» с рекрутером, а потом — о технических навыках с будущим начальником и коллегами. Это было моё первое собеседование в жизни, поэтому всё было в новинку и волнительно, хотя на самом деле атмосфера была очень доброжелательной. Да и вообще, в компании люди очень простые в общении и идут навстречу. Об этом я, конечно, узнал чуть позже.

Меня взяли стажёром в AMR практически сразу после собеседования. Полтора года я работал на неполной ставке, а потом перешёл на позицию младшего вирусного аналитика в той же команде.

Группе антивирусных исследований нужен был сотрудник на полный день, и я решил от такой возможности не отказываться: совмещать работу с учёбой у меня неплохо получалось. Тем более, что информационная безопасность — это достаточно прикладная штука, learning by doing: только по учебникам получить знания невозможно, нужна реальная практика.

Три года я проработал в департаменте антивирусных исследований: начинал с позиции стажёра и младшего вирусного аналитика в подразделении Non-Intel. Мы занимались исследованием угроз и разработкой решений для безопасности не-Windows платформ: Android, Linux, iOS, macOS. Писали сигнатуры, которые приходят в качестве обновления баз в антивирусе, анализировали зловреды и придумывали, как их обнаруживать и защищать от них пользователей.

Со временем мне захотелось чего-то нового, и вот в 2018 году мне предложили перейти в GReAT (глобальный центр исследований и анализа угроз «Лаборатории Касперского») и заниматься исследованиями сложных угроз и крупными международными расследованиями, представлять компанию на конференциях по кибербезопасности.

Можно сказать, что мы с новой командой просто нашли друг друга: у них появилась потребность в специалисте по исследованию мобильных угроз. А я специализируюсь как раз на анализе угроз для Android и на тот момент хотел учиться чему-то новому.

Ещё работая в AMR, я проводил совместные исследования с одним из специалистов GReAT, поэтому процесс перехода прошёл по упрощённой схеме. Сотрудникам внутри компании в принципе легче передвигаться из отдела в отдел (и у нас на это не смотрят косо), потому что коллеги уже знают тебя, понимают, чего ожидать от тебя как от специалиста.

Именно поэтому на внутреннем собеседовании тебе проще: уже не нужно обмениваться с коллегами знаниями об информационной безопасности, вы скорее разговариваете о карьерных ожиданиях и возможных перспективах.

Задачи. Я работаю в команде GReAT уже полтора года: продолжаю заниматься сферой Android-безопасности, как и на предыдущем месте, при этом количество интересных лично мне задач увеличилось. И вот почему.

Сейчас я параллельно занимаюсь исследованием безопасности интернета вещей и анализирую деятельность различных кибергрупп, участвую как спикер в образовательных программах, выступаю на бизнес-конференциях, готовлю соревнования для международного форума «Лаборатории Касперского» Security Analyst Summit и рассказываю о кибербезопасности в медийном пространстве.

Сотрудничество с университетами и технологии будущего. Одна из задач GReAT — исследовать современные технологии, которые только начинают применяться в самых разных сферах, например умные устройства для медицины. И посмотреть на них с точки зрения безопасности — сейчас и через несколько лет.

Когда мы проводим исследования на стыке нескольких областей, например интернета вещей и той же медицины, то всегда привлекаем к работе университеты или научно-исследовательские центры. Таким образом мы получаем необходимые базовые знания о незнакомой нам области, а наши партнёры — новую информацию о безопасности.

В результате вместе с университетами и профильными компаниями мы разрабатываем рекомендации для производителей и пытаемся обратить внимание индустрии на обнаруженные проблемы, чтобы уровень безопасности рос вместе с уровнем развития технологий.

Вот лишь несколько интересных проектов, в которых я принимал участие в последнее время:

● Исследование антропоморфных роботов совместно с Гентским университетом

Чтобы оценить, насколько люди доверяют роботам, мы сначала попросили волонтёров поговорить с машинами на их родном языке. В процессе непринуждённого общения роботы пытались выудить из собеседников данные об их дате рождения, девичьей фамилии матери, марке первой машины и т.д. В общем, классическую информацию, которую мы с вами обычно используем в качестве контрольного вопроса и ответа, если забываем пароль от почты. И что вы думаете? Оказалось, что люди доверяют роботам и беспечно выдают им персональную информацию!

Кстати говоря, мы не очень любим такой способ восстановления доступа. Потому что в большинстве случаев люди действительно указывают настоящую фамилию матери, кличку животного или марку машины. В результате ответы легко подобрать, а значит и получить доступ к аккаунту. Поэтому многие сервисы от подобного способа уходят в сторону восстановления доступа к ресурсу через другой доверенный ресурс и, конечно, предлагают настроить двухфакторную аутентификацию.

Другой опыт был более сложным: перед роботом стояла задача «уговорить» сотрудников одной лаборатории провести его внутрь охраняемого помещения. В итоге почти половина случайных участников эксперимента согласились впустить необычного посетителя в здание. А когда мы замаскировали его под доставщика пиццы, почти все люди откликнулись на его просьбу.

● Исследование безопасности нейроимплантов совместно с группой функциональной нейрохирургии Оксфордского университета

Мы пытались понять, есть ли риски в использовании высокотехнологичных имплантов, которые уже вживляют пациентам и которые помогают им бороться с симптомами и последствиями обсессивно-компульсивного расстройства, эссенциального тремора, депрессии и болезни Паркинсона. Вместе с университетом-партнёром мы выяснили, что, к сожалению, у подобных технологий защита от киберугроз пока не в приоритете. А это может сказаться и на физическом состоянии пациентов.

К тому же медицинский персонал не менял заводские пароли на устройствах, на которых запускается критически важное для жизни пациентов ПО. А сами смартфоны и планшеты, адаптированные для этих целей, использовались для сёрфинга в интернете. С точки зрения кибербезопасности, такая беспечность — настоящая катастрофа, которая может привести к краже персональных данных и конфиденциальной информации, или, что хуже, — повлиять на физическое состояние пациента.

В конечном итоге мы пришли к выводу, что многие из рисков от потенциальных уязвимостей можно сократить и даже практически полностью устранить, если донести основные правила информационной безопасности до разработчиков устройств и медработников.

На мой взгляд, над обеспечением безопасности разрабатываемых технологий здесь должны трудиться все вместе: производители устройств, медицинские специалисты, представители сферы кибербезопасности и соответствующие профессиональные организации. При этом эту работу нужно вести именно сейчас, пока такие технологии находятся на этапе зарождения.

● Исследование новой версии шпионской программы FinSpy

Исследование наших специалистов AMR и GReAT. Этот троянец примечателен тем, что может атаковать и iOS, и Android, к тому же в последнее время он показал высокую активность на рынке.

Наша задача заключалась в том, чтобы изучить последнюю версию FinSpy и понять, чем она отличается от предыдущей, как попадает на устройства пользователей и к чему это может привести. Мы выяснили, что в некоторых случаях заразить телефон можно, перейдя по вредоносной ссылке в СМС, электронном письме или через push-уведомление.

Основная опасность заключается в том, что эта программа получает права суперпользователя на устройстве и может, например, «читать» обычные и секретные чаты в защищённых мессенджерах, отслеживать местоположение, получать доступ к фотографиям, сохранённым файлам и многое другое — настоящее шпионское ПО.

В результате мы смогли разработать защиту от этого троянца и сегодня наши продукты успешно оберегают пользователей от него.

Этот вопрос мне задают часто. В мировой культуре всегда была романтизация негодяев, а хакер в свою очередь — это своего рода современная, «продвинутая» версия «взломщика сейфов».

Лично я отношусь к этой идеализации негативно, потому что она мешает людям сформировать правильное отношение к киберпреступлениям. То есть, все мы знаем, что воровать из кошельков и сумок — плохо, а вот что-то взламывать в интернете почему-то оказалось классно.

Для рядовых пользователей большой проблемой сегодня остаются угрозы, которые так или иначе связаны с социальной инженерией. Чаще всего это разные формы мошенничества вроде телефонных звонков с целью узнать данные от вашей карточки или спам-письма.

К тому же часто встречаются рассылки или push-уведомления с вредоносными ссылками или ссылками на мошеннические сайты. Очень активны сегодня и скамеры. Под скамом мы подразумеваем вид онлайн-мошенничества, когда пользователю предлагают пройти какой-либо опрос, причём часто эти предложения рассылаются от фейковых аккаунтов звезд и в поддельных сообщениях от брендов. Затем человеку объявляют, что он якобы выиграл внушительную сумму и, чтобы её перевести на свой счёт, нужно оплатить комиссию, обычно небольшую, чтобы не вызывать подозрений. В результате пользователь никакого приза не увидит, а комиссия утечёт злоумышленникам, в худшем варианте — вместе с данным карточки, которые вводились для оплаты.

Люди в моём окружении делятся на две категории: первые не пользуются электроникой, а вторые пользуются ей достаточно осознанно. Например, бабушка и дедушка не очень «компьютеризированные», при этом я все равно обсуждал с ними то же самое телефонное мошенничество. Они, кстати, с ним столкнулись, но, к счастью, без последствии. А вот мои родители гаджеты используют активно: и интернет, и социальные сети в частности. Поэтому на их устройствах установлены продукты «Лаборатории Касперского».

Ответ на этот вопрос достаточно очевидный: мне нравится то, что я делаю, и нравится то место, где я нахожусь.

Многозадачность. С таким количеством задач я не успеваю устать от рутины. Бывает, что одну неделю ты очень интенсивно и концентрированно работаешь над каким-то суперсерьёзным техническим проектом в офисе, потом переключаешься на общение с университетами, выступления и командировки.

Активная смена деятельности и многозадачность — это то, благодаря чему у меня никогда не было выгорания или усталости. Кроме того, я люблю свою работу: интерес к своему делу — моё всё.

Люди. HQ-офис компании в Москве — это один большой open space прямо на берегу водохранилища. Мы постоянно общаемся с большим количеством людей по рабочим вопросам и часто находим среди них новых друзей: проводим время в командировках и даже вместе летаем отдыхать. В двух московских офисах больше двух тысяч человек (а всего в компании — порядка четырёх тысяч), среди них вполне реально найти своих единомышленников.

Вместе всем офисом отмечаем корпоративные праздники: летом выезжаем на природу, зимой устраиваем концерты и благотворительные ярмарки. Самое яркое воспоминание — это мой первый корпоратив в 2015 году: приезжаю, а передо мной — арендованный зимний «Олимпийский», несколько тысяч человек, выступления приглашённых артистов. Уже не помню, кого мы слушали тогда, но всегда слушаем кого-то классного — Ленинград, БИ-2, Земфиру, The Hatters и других.

Свободный график. В «Лаборатории Касперского» никто не заставляет тебя приходить к девяти утра и сидеть в офисе по восемь часов. Каждая команда выстраивает собственный алгоритм работы: пока ты эффективно взаимодействуешь с коллегами и успеваешь выполнять задачи, ты никак не привязан к офисным часам.

Именно в нашей команде больше 40 человек, они разбросаны по разным странам — от Европы до Латинской Америки и Азии. И это не мешает нам поддерживать контакт друг с другом и организовывать эффективную работу.

Возможность учиться новому. Компания заинтересована в том, чтобы мы изучали то, что нам интересно, и готова нас поддерживать: нам компенсируют занятия иностранными языками, технические курсы и повышение квалификации. Я, например, люблю тренинги на Coursera и Udemy и периодически их прохожу. Даже не говорю о возможности заниматься спортом в офисе или о ДМС.

Возможность путешествовать. Конечно, коронавирус внёс свои коррективы, но я бы назвал путешествия моим хобби вне работы. С «Лабораторией Касперского» у меня есть возможность совмещать работу и отдых. Я люблю приезжать в новую страну и брать небольшой дополнительный отпуск или проводить выходные за границей. Например, я съездил в Стамбул: три дня поработал на конференции, а свободное воскресенье посвятил исследованию города. Сейчас из-за пандемии о путешествиях не может идти и речи. Но надеюсь, что скоро это закончится, и мы сможем снова открывать для себя мир.

Наш отдел в России перешёл на удалённый режим работы сразу, как ситуация с коронавирусом стала активно развиваться (так же, как и за рубежом). Мы перестроились на новый формат достаточно быстро: отчасти потому, что и до пандемии у нас была налажена дистанционная работа с коллегами из других стран.

Не могу сказать, что работы стало меньше, злоумышленники ведь не дремлют. Сейчас они активно эксплуатируют тему коронавируса и пользуются тем, что практически вся наша жизнь перешла в онлайн. Только за первую неделю каникул, объявленных в России для борьбы с распространением коронавируса, по данным нашего решения Kaspersky Who Calls, доля звонков с подозрением на мошенничество возросла на треть – c 3,5% до 4,7% от общего числа входящих звонков с незнакомых номеров. А если сравнивать объёмы фишинга, то мы увидим, что число попыток перехода пользователей на фейковые страницы интернет-магазинов по миру выросло в два раза — с 9% до 18% в первом квартале 2020 года по сравнению с тем же периодом 2019 года.

Для решения оперативных задач используем Microsoft Teams, для внешних онлайн-встреч – WebEx. Созваниваться мы стали чаще, да и объём входящих писем и сообщений увеличился. Но при этом всём ничто не заменит живого общения с коллегами, поэтому всё же надеюсь, что вскоре мы сможем вернуться в офис. Да и к тому же на общем самочувствии сказывается недостаток движения.

На выходных стараюсь переключиться. Наверно, как и многие, во время самоизоляции стал больше готовить или заказывать вкусной еды. Надо ведь как-то поднимать себе настроение. Играю в игры на PS4, сейчас прохожу серию Uncharted, смотрю сериалы и фильмы. Однажды у меня был период в жизни, когда я поглощал кино буквально «пачками»: особая моя любовь — Гай Ричи и Кристофер Нолан. Именно поэтому сейчас мучаюсь от того, что же мне посмотреть: за год выходит всего десяток хороших фильмов.

Из того, что связано с моей работой, понравился сериал «Мистер Робот»: во многом из-за того, что он очень хорошо сделан с технической точки зрения. Один из его технических консультантов как раз вёл блог о том, что происходит в каждой серии, разъяснял детали и тонкости.