- Г-н Бончев, какви са актуалните опасности пред киберсигурността на България?
- Най-сериозната заплаха, от която всички страдат, това са т.нар. шифроващи вредителски програми. Когато тя попадне на компютъра, шифрова файловете с данни и иска от вас да платите откуп, обикновено в някаква криптовалута - биткойн или нещо друго, за да получите разшифроваща програма. На практика губите данните си, които могат да бъдат много ценни, докато не платите откуп, който в случаи на големи фирми може да бъде от порядъка на милиони. Това е много разпространена програма. Даже в момента САЩ казват, че този тип кибератаки вредят на националната сигурност. Това може да е пресилено, но истината е, че те причиняват милиарди щети по целия свят. Другите атаки като хибридните по-скоро са сензационни. В използваните кибератаки в Руско-украинската война нямаше нищо сериозно, те бяха доста посредствени, те се използваха покрай обикновените стандартни оръжия.
- Как може да се пазим от атаките?
- Основният вектор е интернет, може да бъде електронна поща, ако може да се влиза през компютъра ви. Хакери от целия свят се опитват да разбият паролата и да влязат. Някои се разпространяват през пиратски софтуер, генератори на ключове за пиратски програми. През флашка е донякъде възможно, но много отдавна Microsoft направи една промяна в Windows, в резултат на която не е възможно програма, намираща се на флашка, да се изпълни автоматично, когато я включите в компютъра. Има и вредителски програми, които се опитват да ви излъжат да я пуснете ръчно, като ви заблуждават с иконка на папка. Ако цъкнете два пъти, за да видите какво има в нея, това стартира изпълнението й. Тя не се е изпълнила автоматично, но ви е излъгала да я активирате. Не е невъзможно през флашка да влезе вредителска програма, но това не е такъв сериозен вектор както останалите.
- Зачестяват фалшивите електронни писма от банки и институции.
- Да, така е, но това не са вредителски програми, а стандартни измами през електронна поща или уеба. Идеята е да ви излъжат да си въведете името и паролата, за да могат от ваше име да влязат някъде другаде, но сами по себе си не са програми, защото не работят на компютъра. Това е визуална информация, която ви лъже, че се логвате в сайта на банката си например.
- Има ли наследници на откритите от вас вируси „Виена“ и „Еди“?
- „Виена“ беше обикновен нерезидентен в паметта вирус, който заразяваше файлове в MS-DOS. Днес те са отживелица и не съществуват. „Еди“ беше значително по-напредничав от него, той оставаше в паметта на компютъра и заразяваше всяка програма, до която се извърши произволен достъп.
- Тези, които правят вируси днес, използват ли части или изцяло принципа на действие на „Еди“?
- Трудно е да определя някаква директна връзка, защото в момента основната операционна система по света е Windows. Ако трябва да направите вирус, той трябва да е за него, иначе няма никакъв шанс да се разпространи. Програмирането за Windows се различава много от това за MS-DOS, заразяването също става по различен начин. Съвременното компютърно обкръжение е съвсем различно от времето, по което се пишеха тези вируси.
- Разработват ли се вируси с цел да се атакуват и крадат данни на големи компании?
- Основната цел на шифроващите вредителски програми е именно да заразят големи компании. Криминалните банди, които стоят зад тези атаки, търсят информация за финансовото състояние на корпорацията и чак накрая пускат шифроваща програма. Когато поискат откуп, той е съобразен с това, което компанията е в състояние да плати. Ако заразят голяма и богата компания, те ще искат по-голям откуп. Освен това в момента има една друга тенденция – spyware. Това са вредителски програми, които тайно извършват някакъв вид следене на заразения компютър. Обикновено се заразяват смартфони с цел да се следи с кого е говорила жертвата, съдържанието на текстовите съобщения, контактите, електронната поща, ако комуникацията се е извършвала през телефона. Има редица компании, които се опитват да държат дейността си в тайна, но в същото време продават продуктите си на държави и институции, които трябва да следят някого, когото считат за терорист.
- Кога България спря да произвежда компютърни вируси?
- Това ми е трудно да го преценя. Предполагам, че в края на 90-те години, но няма конкретна дата. Защо? По това време нашето общество се отвори и програмистите, които бяха талантливи и правеха вируси, заминаха на Запад и си намериха работа във високоплатени фирми. Дори и тук да останат в България, пак си намериха високоплатена работа и вече не им се занимаваше с глупости.
- Вие сте учредител на Computer Antivirus Research Organization (Caro), членувате ли още в нея?
- Организацията съществува още. Аз в момента не съм активен участник, защото откакто излязох от антивирусната индустрия, счетох, че не мога чак толкова много да допринасям за работата й. Там се изисква много активно участие, но все още съществувам като неактивен член на тази организация.
- Може ли жертвата да разбере, че е следена? Има ли някакви индикации, по които да разбере това?
- Зависи доколко е кадърна жертвата и колко добре е направена програмата за следене. Понякога самият факт за проникване предизвиква странни ефекти. Например получавате някакъв линк през SMS, който ако кликнете на него, нищо не се случва. Само по себе си това е странно, би трябвало да се отвори някакъв нормален сайт. Има и добре направени програми, които използват уязвимости в операционната система или приложенията и така тя прониква в телефона. Не са един и същи вид тези неща. Зависи от вредителската програма, зависи от това колко внимателно наблюдава жертвата. Нещо, което е много трудно, когато програмата влезе в телефона, тя да остане там за постоянно. Затова хората, които са в рискови професии като журналисти или работят в среди, където очакват някой да ги следи, добре е да си рестартират телефона всеки ден. Когато направят това, те ще унищожат програмата и тя отново трябва да влиза.
- Как може да се защитим от вирусите на устройствата си?
- В наши дни вирусите не са съществен проблем, другите вредителски програми са проблем. Много зависи с какво се занимава човек, какъв е размерът на уязвимите компютри, с които те разполагат. Едно е един човек да се опитва да си пази компютъра в къщи, той трябва да спазва определени правила, и съвсем друго е компания, която има филиали в много страни, има стотици машини, свързани в мрежа, как да си пазят компютрите.
- Известните ни антивирусни програми вършат ли работа?
- Определено вършат работа. Те предпазват срещу общ вид атаки, когато нападателят не се интересува кой сте, той просто се опитва да зарази някого. Тъй като има огромно количество незащитени компютри по интернет, милиарди може би, дори нищожен процент да успее да зарази - това му е достатъчно. Обезателно използвайте антивирусна програма. Дори Windows 10, тази, с която пристига, тя не е най-добрата, но е достатъчно добра да ви пази от стандартни атаки. От друга страна, ако сте конкретна цел, там нещата стават много по-сложни. Със сигурност той ще знае каква антивирусна програма използвате и ще се опита да направи конкретна вредителска програма, която поне за момента антивирусната не я хваща, така че само тя няма да ви предпази от това.
- Има твърдения, че може да ни следят през мобилния ни телефон, да включват дистанционно камерата ни, вярно ли е това?
- Това съм го чувал много пъти, но никога не съм виждал доказателство за него. Ако той е оставен на масата, той не е изключен и е в готовност. В това положение може да бъде заразен. Ако обаче го изключите от копчето или извадите батерията му, няма начин да бъде заразен. В случай че устройството е заразено, може да се включи дистанционно камерата, но по-интересното е дали когато е включена, ще го забележите. Сигурно сте видели, че когато камерата работи, светва една светлина. При някои компютри това нещо се управлява софтуерно и съответно чрез такъв може да бъде изключена светлината, тогава вредителят може да влезе и да ви наблюдава. При други компютри това е хардуерно организирано и не е възможно да бъде изключено с програма. Там една и съща жица захранва камерата и подава ток и на лампата. В такъв случай лампата ще бъде включена.
- Успяват ли властите да проследят откъде идват атаките и да противодействат адекватно на тях?
- Това откъде идват атаките много често е абсолютно нерелевантна информация и няма значение. Когато вашите компютри са атакувани, вие искате да откриете атаката навреме, да я спрете и да предприемете съответните мерки, за да не влезе отново. А откъде идва тя – дали са руснаците, американците, китайците, няма никакво значение. Възможно е атаката да идва от машина до вас, но да я виждате, че идва от Русия например, но това не означава, че руснаците ви атакуват. Това означава, че нападателят е влязъл в компютър в Русия и от там ви атакува. Когато примерно американците кажат, че зад дадена атака стои еди-коя си престъпна група в Русия, Иран или Северна Корея, те гледат много други неща. Те гледат вредителските програми, които са били изпратени във вашия компютър, на какви други известни програми приличат кодовете, те използват други служби за разузнаване. Те използват трасиране на комуникациите, така че това не е просто да видите от кой IP адрес идва атаката и да определите от коя страна идва тя.
- Производителите на вируси в миналото с какво се занимават сега?
- Отдавна нямам връзка с тях. Но основно се пишат вредителски програми и те се правят от огромно количество банди в много страни. Огромно количество има в Русия и в Украйна, но ги има и в Китай, Корея, САЩ, Япония. Не знам дали има в България, но не бих се изненадал, ако това е така.
- В тази връзка удачно ли е да държим мобилното си банкиране на телефона?
- Съвременните банки използват т.нар. двустъпкова автентикация. При нея не е достатъчно име и парола, за да влезете и да извършите банкови преводи. Банката или ще ви изпрати код в текстово съобщение, или ще изиска биометрични данни, за да се убеди, че това наистина сте вие. В повечето случаи не е лесно да се откраднат пари по този начин. Има атака, при която нападателят убеди телефонната компания, че той практически сте вие и иска да прехвърли СИМ картата на друг телефон. Така вашият става негов и когато банката изпрати SMS за потвърждение, той го вижда на своя телефон, вместо вие да го видите на вашия. Това е т.нар. клониране на карти. Не знам доколко е лесно това да се направи у нас, защото компаниите трудно биха могли да се убедят, че вие сте друг човек. По света обаче такива атаки стават редовно, толкова често, че вече автентикацията чрез SMS съобщения вече не се счита за особено надеждно. Но въпреки това е по-добре, отколкото да се влезе с име и парола.
- Предизвикателствата стават все по-сложни, така ли?
- Основният проблем е, че тези проблеми на киберсигурността започнаха да се правят от организираната престъпност, не от тези, които правят вируси в стаята си. Тези организирани престъпни групи имат бюджети за милиони, организирани са като истински компании, но дейността им е незаконна. Много е трудно да се предпазите от някоя банда за шифроващи вредителски програми, която има по-голям бюджет от вашия за компютри или за защита на машините.
- Неглижира ли се темата за киберсигурността у нас от бизнеса?
- У нас винаги няма пари за нищо. Една от големите бели, която се случи, беше преди няколко години, когато хлапе хакна сървърите на НАП и изтекоха лични данни. Те бяха в мрежата и всеки, който искаше, можеше да ги свали.
- Изкуственият интелект ще помогне ли в битката с киберсигурността?
- Няма прости отговори. В момента много се вдига шум покрай него, особено за генеративните програми – ChatGPT. В определени аспекти той ще помогне, защото опростява нещата. Изкуственият интелект ще позволи да комуникирате с него на естествен език, вместо да се научите как ефективно да търсите в Google, как да четете статии. Той може да извлече същността на знанието и да ви го представи по сравнително лесен за разбиране начин. Така че той ще ви улесни да извършите някакви неща, но няма да реши проблема. Той може да бъде използван от двете страни. Изкуственият интелект може да пише фалшиви писма на английски. По принцип технологията е неутрална – може да бъде използвана както за добро, така и за лошо.
- С какво се занимава националната лаборатория, в която работите?
- Ние сме в рамките на БАН и съответно се занимаваме с научни изследвания. Създали сме различни примамки, това са компютри, които изглеждат като уязвими за външен наблюдател и той се опитва да влезе вътре. Ние само симулираме такъв уязвим компютър. Следим откъде идват атаките, записваме колко са дошли. Симулацията е от гледна точка на нападателя, а това, което могат да видят потребителите, е програма, която изобразява графично картата на света и дава информация, събирана в база данни, откъде идват атаките.
- Вие изнасяте лекции, какво е основното послание, което отправяте към студентите?
- Основното нещо, за което трябва да внимавате, е да не изпълнявате безогледно програми, които не знаете откъде идват. Не превръщайте компютъра си в лошото момче, защото той вече не е ваш, а контролът принадлежи на този, чиято програма сте изпълнили. Много често хората си мислят, че дадена програма е напълно легитимна. Тя пристига при тях по електронната поща, която прилича на писмо от началника им, в което се казва, че спешно трябва да се извърши финансова операция и нещата са описани в pdf файл. Вие цъкате върху него, той се отваря на бланка на фирмата, там се дава пряк път към формата, в която въвеждате данни, и в този момент вие вече сте ги изгубили, нападателят вече ги е разбрал и може да изтегли парите на фирмата. Съветът ми тук е да не цъкате върху линкове, които идват в подозрителни съобщения по мейла. За обикновения потребител е трудно да прецени дали съобщението е подозрително или не. Ако атаката е добре направена, съобщението ще изглежда напълно легитимно.
Това е той:
Д-р Веселин Бончев е завършил висшето си образование в Техническия университет
Работил е три години в Института по техническа кибернетика и роботика към БАН, в секция „Изкуствен интелект“
Владимир Христовски