Спецыяліст па кібербяспецы: «Прызнавацца, што вас узламалі, — нармальна. Гэта самы лепшы шлях да абароны супольнасці»

Чаму звычайная двухфактарная аўтэнтыфікацыя больш не ратуе? Як на дзяржаву працуюць хакерскія групоўкі накшталт Ghost­writer? Журналіст БАЖ паразмаўляў з экспертам RESIDENT.NGO пра кібербяспеку.

Выява зроблена БАЖ з дапамогай Gem­i­ni

Фішынг і «нігерыйскі прынц»: як спецслужбы палююць за нашымі данымі

— Давайце пачнем з базавых рэчаў. Што такое фішынг сёння? Як я разумею, папулярная сацыяльная інжынерыя праз ботаў для выкрадання логінаў і пароляў, якую спецслужбы выкарыстоўваюць супраць актывістаў. Якія зараз трэнды?

— Абсалютна так. Тут варта развесці камерцыйны фішынг і таргетаваныя атакі супраць беларускага грамадскага сектара.

Калі рандомныя махляры крадуць пін-код карткі, каб скрасці грошы, гэта крыўдна, але не вядзе да турмы. А  вось фішынг ад дзяржаўных спецслужбаў — гэта зусім іншы ўзровень небяспекі. 

Мы бачым вельмі прадуманыя атакі, напрыклад, ад расійскага ФСБ (групоўка COLDRIVER). Яны не проста дасылаюць спасылку, а спачатку ўступаюць у доўгую перапіску без спасылак і файлаў, каб увайсці ў давер. І толькі потым дасылаюць PDF-файл, які выглядае як «заблакаваны» ці «заблюраны» дакумент.

Гэта хітрасць — каб вы маглі «праглядзець» яго, сістэма нібыта патрабуе ад вас увайсці праз вашу пошту. Гэта рэдкі выпадак, калі ўдалося зрабіць атрыбуцыю, дакладна вызначыць аўтара атакі дзякуючы расследаванню Cit­i­zen Lab і Access Now. Адной з арганізацый, што пацярпела, была менавіта беларуская.

Двухфактарная аўтэнтыфікацыя і новыя метады абароны

— Шмат хто лічыць, што двухфактарка (2FA) — гэта панацэя. Яна сапраўды бароніць ад такіх атак?

— Важна разумець, што звычайная двухфактарка (SMS ці коды ў Google Authen­ti­ca­tor) ад фішынгу не бароніць. Яна стваралася для абароны ад падбору пароляў, і з гэтым яна спраўляецца. Але сучасныя фішынгавыя сэрвісы аўтаматызавана запытваюць і пароль, і код двухфактаркі адначасова. Нават націсканне кнопачкі «Так» на тэлефоне (Google prompt) фішацца.

«Нігерыйскі прынц» — самы стары, даінтэрнэтны фішынг. Ілюстрацыя згенеравана БАЖ праз AI Nano Banana

Самы надзейны метад зараз — passkeys (пасскі), ключ доступу. Гэта лічбавыя ключы, якія дазваляюць уваходзіць у акаўнт праз лакальны ключ на прыладзе і біяметрыю (адбітак пальца, твар), як дадатковая праверка.

Яны падтрымліваюцца Android, iOS, Win­dows і Mac. У Google Work­space, Gmail і Microsoft гэта рэалізавана карэктна, што робіць фішынг амаль немагчымым (калі вы для двухфактарнай аўтэнтыфікацыі прыбіраеце ўсе спосабы, якія можна зафішыць — SMS, Google Prompt / Microsoft Approve, аўтэнтыфікатар, рэзервовыя коды). Калі ў вас запытваюць SMS, а вы наладжвалі passkey — значыць, нешта дакладна ідзе не так. Таксама самы надзейны спосаб — апаратны ключ накшталт Yubi­co, як асобны фізічны дэвайс. 

Бяспека ў месенджарах: WhatsApp, Telegram, Signal

— А як справы з месенджарамі? Ці бароняць іх пасскі?

— Тут усё складаней. У What­sApp passkey імплементаваныя не зусім правільна: замест таго, каб патрабаваць ключ на новым дэвайсе, сістэма часта дазваляе пацвердзіць уваход са старога тэлефона. Зламыснікі выкарыстоўваюць гэта праз псіхалагічную маніпуляцыю.

— То-бок, калі я «ў працэсе» і веру, што гэта служба бяспекі, я сам пацверджу доступ хакеру?

— Менавіта. Вораг ставіць What­sApp на свой камп’ютар, дасылае табе QR-код і кажа: «Скануй». Ты скануеш, прыкладаеш палец — і сам адкрываеш дзверы зламысніку.

У Telegram і Sig­nal фішынг таксама актыўны. Там ствараюцца боты ці профілі, якія імітуюць службу падтрымкі і просяць увесці 6‑значны код. Мы камунікуем з камандай Sig­nal, каб яны ўкаранілі сапраўдную phish­ing-resis­tant абарону, але пакуль яе няма.

Таму адзіны варыянт — разумець, як выглядаюць гэтыя хвалі падману. 

Ілюстрацыя згенеравана БАЖ праз AI Nano Banana

Штучны інтэлект і «лічбавыя злівы»

— Ці выкарыстоўваюць спецслужбы штучны інтэлект для імітацыі камунікацыі? Напрыклад, каб падробліваць голас ці відэа?

— LLM (вялікія моўныя мадэлі як Chat­G­PT) дакладна выкарыстоўваюцца для стварэння вельмі якасных тэкстаў і ахайных дакументаў без апісак.

Што тычыцца відэа і голасу (дыпфэйкаў), мы пакуль не бачылі масавых кейсаў ад дзяржаўных хакераў, але тэхналогіі дазваляюць скланаваць голас усяго за 30 секунд запісу.

Акрамя таго, у нашых ворагаў назбіралася велізарная колькасць інфармацыі з мінулых выцекаў і канфіскаваных дэвайсаў. Ім цяпер вельмі лёгка імперсаніфікавацца (выдаваць сябе за іншую асобу).

Больш няма «нігерыйскіх прынцаў», якім трэба скінуць грошай на дарогу дадому. Яны могуць напісаць: «Слухай, мы два гады таму працавалі па такім праекце, давай зноў параімся». Гэта не рандомны спам, гэта людзі, якія ведаюць, чым ты займаешся. Таму парада «перазвані і ўпэўніся» ўжо не заўсёды працуе.

Пры падазроных просьбах запытвайце факты, якія ведаеце толькі вы: «Дзе мы бачыліся апошні раз? Што мы тады рабілі?».

«Ваша гісторыя перапіскі за 6–10 гадоў — гэта скарб для КДБ»

— Што рабіць у такіх сітуацыях, калі калегі ці партнёры маўчаць пра ўзлом?

— Тут важна разумець розніцу паміж фішынгам і заражэннем. Фішынг — гэта доступ да акаўнта: зламыснік чытае групы, бачыць гісторыю перапіскі, але не можа «вылезці» за межы праграмы на саму прыладу. Заражэнне вірусам — гэта значна горш: зламыснік бачыць ваш экран у рэальным часе, запісвае гук і бачыць усё, што вы робіце на тэлефоне ці камп’ютары.

Калі адбыўся інцыдэнт, то самае першае і галоўнае: паведаміце ўсім калегам і сябрам, напішыце ў Face­book ці іншыя сацсеткі. Let’s make it OK to tell every­one that you failed.

Супраць нас (НДА і медыяў) працуюць прафесіяналы. Напрыклад, беларуская дзяржаўная хакерская група Ghost­writer выкарыстоўвае тыя ж метады і завірусаваныя Excel-файлы для атак на вайсковыя ўстановы Украіны.

Не трэба саромецца таго, што вас «паламалі». Паведаміць — значыць мінімізаваць шкоду для ўсёй супольнасці.

— А наколькі беларускія і расійскія спецслужбы выкарыстоўваюць даркнэт? Ці можа хакер-адзіночка скрасці даныя і прадаць іх КДБ?

— Гэта рэальная пагроза. На падпольных хакерскіх форумах людзі прадаюць вынікі нават звычайных камерцыйных узломаў. Камплекты з мільёнамі імэйлаў і пароляў прадаюцца літаральна за пару даляраў. Хакеры проста хочуць зарабіць, і ім усё адно, каму прадаваць — звычайным махлярам ці спецслужбам. Калі яны бачаць сярод ахвяр вядомага актывіста ці журналіста, цана на такія даныя для КДБ ці ФСБ узрастае.

— Вы згадвалі «дасье КДБ». Спецслужбы сапраўды проста закідаюць выкачаную гісторыю Telegram у AI-праграму і атрымліваюць поўную карціну жыцця чалавека?

— Фактычна так. Яны будуюць так званыя сацыяльныя графы — гэта схемы, якія паказваюць, хто з кім сябруе, як часта размаўляе і ў якіх групах знаходзіцца. Штучны інтэлект дазваляе зрабіць гэта імгненна. Калі ў іх ёсць доступ да вашага ID і гісторыі за 10 гадоў, то яны ведаюць пра вас шмат.

У нармальным свеце спецслужбы мусяць бараніць грамадзян ад злачынцаў, а ў нашым — мэты зусім іншыя. Гісторыя перапіскі за 6–10 гадоў — гэта скарб для іх, які выкарыстоўваецца для шантажу і рэпрэсій.

Ілюстрацыя згенеравана БАЖ праз AI Nano Banana

— Якія тады асноўныя парады, каб зменшыць гэтыя рызыкі?

1. Таймеры на знікненне паведамленняў. Гэта крытычна важна. Мне не патрэбна гісторыя маіх размоў за мінулыя гады, а вось ворагу яна вельмі спатрэбіцца. Стаўце таймеры, каб гісторыя не назапашвалася. 
2. Галасавая сувязь. Калі трэба абмеркаваць нешта сапраўды сакрэтнае, лепш сазваніцца голасам (пры ўмове, што вы ўпэўненыя, што на дэвайсе няма вірусаў і вас ніхто не падслухоўвае фізічна). Пасля размовы не застаецца тэкставага следу. 
3. Падтрымка. Калі ваш калега прызнаўся ва ўзломе — падтрымайце яго. Распытайце, як гэта адбылося, каб навучыцца на гэтым прыкладзе.

Фішынг — самая распаўсюджаная атака, і стаць яе ахвярай можа кожны, асабліва калі вы стомленыя ці працуеце ўначы. Галоўнае — не маўчаць.

Ад блакіроўкі інтэрнэту да яго адключэння: як захаваць сувязь

— Давайце пагаворым пра тэхнічны бок цэнзуры. Наколькі VPN дапамагаюць у краінах з жорсткім кантролем, як Беларусь ці Расія?

— У Расіі зараз актыўна блакуюць самі пратаколы, таму там складаней. У Беларусі пакуль прасцей — працуюць стандартныя варыянты «са скрынкі». Блакіроўка VPN — гэта не імгненны працэс, ён патрабуе перааснашчэння абсталявання па ўсёй краіне.

Трэба разумець: цэнзура звычайна вырашае задачу адрэзаць 80–90% карыстальнікаў. Большасць людзей проста лянуецца нешта наладжваць, калі спасылка не адчынілася.

Але ёсць цікавы прыклад — RuTrack­er. Яны загадзя рыхтавалі сваю аўдыторыю: праводзілі «трэніроўкі», добраахвотна адключаючы доступ на тыдзень і папярэджваючы: «Цяпер мы недаступныя без VPN, вучыцеся абыходзіць блакіроўку».

Яны раздавалі бясплатныя VPN-сэрвісы і тлумачылі, як імі карыстацца. У выніку, калі блакіроўка стала афіцыйнай, рэсурс амаль не страціў трафік. Гэта пытанне матывацыі: людзі былі зацікаўленыя ў бясплатным кантэнце і загадзя атрымалі навыкі абыходу цэнзуры.

— А ці магчымы «іранскі сцэнар», калі інтэрнэт проста адключаць «рубільнікам»?

— У Беларусі гэта вельмі магчыма. Калі на адной шалі будзе «рубануць інтэрнэт», а на другой — згубіць уладу, рэжым пойдзе на гэта, нягледзячы на любыя эканамічныя страты.

У такіх умовах на прыём інфармацыі могуць працаваць спадарожнікавыя талеркі (яны дазволеныя). Можна тэлефанаваць, пісаць SMS, сустракацца асабіста. Інфармацыя ўсё адно будзе выходзіць вонкі, проста павольна і іншымі шляхамі.

Ілюстрацыя згенераваная БАЖ праз AI Nano Banana

— Нядаўна ў Беларусі пачаліся праблемы з рэгістрацыяй у Sig­nal — не прыходзяць SMS. Гэта канец бяспечнай камунікацыі?

— Гэта можа быць тэстам блакіроўкі SMS ад аператараў. Для часткі людзей гэта стане бар’ерам. Але той, каму трэба, знойдзе варыянты: запытае знаёмых за мяжой купіць сімку ці набудзе віртуальны нумар.

Важна памятаць: калі Sig­nal ужо ўсталяваны на ваш дэвайс, ён будзе працаваць далей, нават калі SMS больш не прыходзяць.

Трывожныя навіны з Грузіі і беларускі кейс

— Якія яшчэ новыя трэнды ў лічбавых атаках спецслужб?

— Хачу ўзгадаць кейс з Грузіі. Там у межах крымінальнай справы доказам палічылі сам факт таго, што людзі размаўлялі ў Sig­nal. Правайдар бачыў працягласць камунікацыі і трафік паміж канкрэтнымі IP-адрасамі.

Каб гэтага пазбегнуць, у Sig­nal і Telegram трэба адключыць наладку Peer-to-Peer (P2P). Тады злучэнне будзе ісці не наўпрост паміж вамі і суразмоўцам, а праз серверы месенджара. Гэта трошкі запаволіць сувязь, але схавае ваш ІР-адрас ад суразмоўцы і ягонага правайдара і не дасць вашаму правайдару ўбачыць, з кім менавіта вы размаўлялі.

Гэта выдатная «двайная абарона», калі вы карыстаецеся яшчэ і VPN.

Таксама з нядаўніх кейсаў «Рэпарцёры без межаў» (RSF) у супрацы з нашай арганізацыяй апублікавалі расследаванне пра шпіёнскае ПЗ Res­i­dent­Bat, якое беларускія сілавікі ставяць на Android-тэлефоны актывістаў падчас «праверак» ці «гутарак», і першыя кейсы заражэння вядомыя як мінімум з красавіка 2021 года.

RSF: КДБ Беларусі гадамі выкарыстоўваў шпіёнскую праграму для сачэння за журналістамі

Гэта вельмі сур’ёзны вірус, для заражэння выкарыстоўваецца менавіта фізічны канал заражэння. Калі вас затрымліваюць ці проста забіраюць тэлефон для «агляду», спецслужбам можа быць дастаткова кароткага доступу да гаджэта, каб усталяваць туды Res­i­dent­Bat. Пасля гэтага яны атрымліваюць поўны кантроль: могуць слухаць праз мікрафон, чытаць усю перапіску і капацца ў вашых файлах.

Калі ваш тэлефон хоць на 15 хвілін трапляў у рукі сілавікоў у разблакаваным выглядзе — ёсць імавернасць, што на яго ўсталявалі вірус, і дэвайс можна лічыць скампраментаваным. Трэба альбо рабіць поўны скід да завадскіх налад (Fac­to­ry Reset), альбо, што яшчэ лепш, проста мяняць прыладу…

Калі вы ў Беларусі і карыстаецеся адбіткам пальца ці FaceID, то гэта падарунак для сілавікоў, бо яны могуць прымусіць вас разблакаваць тэлефон фізічна. Калі вы за мяжой, але вашая прылада была канфіскаваная, а потым вернутая, то гэта таксама нагода для таго, каб праверыць яе на наяўнасць вірусаў і іншага шкоднага праграмнага забеспячэння.

Даведка: Наш эксперт — прадстаўнікі RESIDENT.NGO. Гэта каманда сістэмных адміністратараў і кансультантаў, якія больш за 10 гадоў дапамагаюць праваабаронцам, медыям і актывістам у Беларусі, Грузіі, Малдове і Украіне кіраваць рызыкамі, абыходзіць цэнзуру і абараняцца ад лічбавых атак.