28 Января, 2013

Красный Октябрь и СОПеЛьКА

Артем Агеев
Обнародование "сенсаций" накануне принятия важного нормативного акта уже стало определенной традицией в нашем законодательстве.

Не так давно в преддверии принятия важных, спорных и скандальных поправок в 152-ФЗ "О персональных данных", по СМИ прокатилась волна публикаций про утечку персональных данных через Яндекс с сайтов РЖД, Мегафона и других. Буквально через месяц все стихло, и виновники отделались символическим штрафом от Роскомнадзора - в 30 тысяч рублей .

Похожая ситуация повторилась и с федеральной системой обнаружения компьютерных атак. 
name='more'>

Информация о "Красном Октябре" появилась 14 января одновременно во всех крупных отечественных и западных IT изданиях ровно в 17.00 (MSK), что говорит о том, что подобный "запуск торпед" был заранее организован.
13 января мы с вами думали, что "Красный Октябрь" - это фильм, или фабрика шоколада. А 14 января все уже знали, что это самый современный вирус!
С чисто технической точки зрения, так же непонятно, чем Красный Октябрь так приворожил внимание СМИ: у нас был вирус, который саботировал работу центрифуг по обогащению урана, был вирус который подглядывал за пользователем через вебкамеру, следил за окружающими телефонами по bluetooth, были украденные сертификаты подписи драйверов, была коллизия в хэше майкрософт и распространение вируса по сетям windows update...  КО смотрится на их фоне несколько... бледновато. Однако новость про КО прокрутили по всем федеральным каналам. 

Сама исходная статья на сайте Касперского больше похожа не на "расследование", а на желтую прессу.
1. Всю статью нам пытаются навязать мысль о том, что вирус создала совершенно новая, ранее неизвестная, мощная кибергруппировка русскоговорящих хакеров на основании того, что в коде программы были обнаружены слова "Zakladka", "Proga" и т.д. 
Ну прям сценарий для очередной серии западного "детективного" сериала.
2. Смущает так же уверенность авторов в исключительной "геополитической важности" похищенной информации. 
Откуда этот журналистский желтоватый жаргон у технических экспертов - вирусологов? Зачем нагнетать обстановку? Может, лучше сосредоточиться на фактах, оставив домыслы популярным СМИ?
3. Вроде бы цель вируса - Россия и СНГ. Однако вирус крадет файлы программы шифрования NATO.

Больше всего меня смутил факт отсутствия на русском языке второй и основной части исследования:
Лаборатория Касперского не будет публиковать вторую часть исследования на русском языке. Почему? Россия - не та целевая аудитория? Или суть статьи лучше скрыть от "русскоговорящих" хакеров?

21 января спустя ровно неделю после первой волны публикаций про КО, подогретое медийное пространство легко реплицировало новость про создание Путиным государственной системы обнаружения атак, лишний раз показав как быстро, эффективно и последовательно решаются в нашем государстве вопросы информационной безопасности.

Что происходит, коллеги? Анонс вируса "подгоняют" под принятие закона? Решение политических вопросов под прикрытием ИБ стало нормой?

Информационная безопасность страны стала осликом, который на своем хребте принес проверки по перс.данным, травлю банков из-за лицензии по шифрованию, педофильский реестр, и теперь вот странного зверя - государственную Систему Обнаружения, Предупреждения и Ликвидации последствий Компьютерных Атак (далее - СОПеЛьКА) под крышей ФСБ.

[UPDATE] Небольшая картинка из официальной презентации Касперского на конференции  Security Analyst Summit 2013.
Ну... сценарий готов... ждём фильм!

PS Felix 'FX' Lindner на ZeroNights в конце своего выступления рассказывал что-то про "русских хакеров, организовавших сеть из зараженных машин в посольствах". Никто такого не припомнит? Как он тогда точно сказал?