Любомир Тулев започва кариерата си в сферата на киберсигурността през 2010 година като „Team Lead разследващ киберпрестъпления“ към българската държавна дирекция „Киберпрестъпност“ в ГДБОП. Работи по разследвания съвместно с международни организации като Европол, Интерпол и ФБР. През 2017 година започва работата в корпоративния свят, като поема ролята на тестер за проникване (penetration tester), разследващ криминалист (forensics examiner) и консултант по информационна сигурност. През 2021 година заема длъжността „Директор по киберсигурност“, като контролира внедряването и функционирането на SOC, услугите по тестване за проникване, IAM и PAM проектите, консултира управлението на системите за информационната сигурност. През 2023 година, като „Вицепрезидент по киберсигурност“, ръководи „Центъра за изключителни постижения в областта на киберсигурността“ и управлява на глобално ниво иновациите, стратегията и бизнес развитието на компанията в областта на информационната сигурност.
– Г-н Тулев, какво по същество представляват пейджърите, каквито бяха използвани за атака в Ливан?
– Пейджър устройствата като цяло са остаряла технология. Тя се появява за първи път през 1950-те години, придобива популярност през 70-те, 80-те, та дори и до края на 90-те години на миналия век.
След това навлизат мобилните телефони, които изместват пейджърите, защото последните по същество са устройства, които първоначално са получавали буквално сигнал, а по-късно и текстови съобщения.
Последните модели могат да предават и звуков елемент, който да бъде преслушан на устройството.
Мобилните телефони могат да дадат много повече на потребителите, поради което изместват пейджърите.
Последната компания, който произвежда тези устройства масово, е с производствена база в Япония. Може да се предположи, че взривените пейджъри са произведени от тази компания.
– Защо се използва тази технология от членовете на „Хизбула“, след като става въпрос за остаряла технология? Какви предимства дава тя пред останалите?
– При мобилните телефони, особено с напредването на технологиите, на практика всяко едно устройство може да бъде проследено като геолокация. Поради което и израелската армия използва тази технология, за да проследява членовете на вражески организации, и с насочени взривове, дронове и др. да таргетира тези лица.
Точно това форсира „Хизбула“ да помислят за съобщителна и комуникационна технология, която да не дава възможност за проследяване на устройствата.
Пейджърите са основно два вида – такива, които получават само съобщение, и такива, които получават, но и връщат съобщение. Технологията, на която те работят, не се основава на GSM-технология, т.е., не работят със СИМ-карта, която да се свързва по някакъв начин с провайдър на съответната услуга. Те работят на радиочестотни вълни, също както радиото в автомобила ни. Пейджърите получават съобщения именно през радиосигнал.
– Как технологично може да се стигне до подобна атака, при която се взривяват дистанционно, по последни данни – 5000 устройства?
– Първата хипотеза, която се възприема от анализатори и експерти в областта и която е с по-голяма доза достоверност, е, че в тези устройства, които са много малки, предварително е било поставено малко взривно устройство.
Има спекулации, че Израел най-вероятно са прехванали комуникация отпреди поне половин година, че „Хизбула“ планира да закупи такива устройства. Ето защо, най-вероятно в тази хипотеза става въпрос за т.нар. Supply chain attack – атака при веригата на доставките. Тоест, Израел прехваща тази комуникация, изкупува тези устройства предварително, модифицира ги, като поставя такива взривни устройства, които се активират при получаването на конкретно съобщение.
Тоест, начинът, по който това устройство може да се активира, е когато пейджърът получи конкретно текстово съобщение.
След като бъдат поставени тази малки взривни устройства в пейджъра, обратно пейджърите се пускат на пазара и се продават на крайния потребител, в случая „Хизбула“.
Разбира се, тук има спекулации дали тази информация е оперативно придобита, дали не се касае за вътрешен човек от „Хизбула“, който е подал тази информация.
– Как самото съобщение активира взрива?
– Няма как да се получи това съобщение, ако Израел или който и да стои зад тази атака, не е придобил контрол преди това върху самата станция, която излъчва тези честоти. В следствие на което, в рамките на около 30 минути, докъм час, се изпращат такива съобщения до всички пейджъри и те се взривяват.
Втората хипотеза за взривовете – касае се за уязвимост, която е открита в пейджърите и която дава възможност за загряване на батерията.
Както и пейджърите, така и нашите лаптопи, телефони и таблети, използват литиево-йонни батерии. Характерното при тях е, че при натиск може да се получи т.нар. „късо съединение“, което дава възможност на батерията да се запали и да има малък взрив.
Като казвам „взрив“, имам предвид запалване на самата батерия, но със сигурност не в тези мащаби, които видяхме.
Имаше такива случаи с телефоните на Samsung, които при определен модел имаха проблем с батериите – даваше дефект, който водеше до това тези телефони да се запалват.
Затова се смята, че първата теория е по-вероятна. Във втората хипотеза се предполага, че „Мосад“ най-вероятно са открили някаква уязвимост в пейджърите, която да даде възможност при изпращането на определен пакет от информация към тези пейджъри, той да доведе до това устройството да консумира много процесна мощ, която да може обработи тази информация.
За мен по-вероятна е първата версия, което пък отваря един много голям въпрос за сигурността на доставките. Особено по темата за киберсигурност – много компании инвестират в киберсигурност в днешно време, но не трябва да изключваме хипотезата, че колкото и да бъде защитена добре една компания, тя не е някакъв остров на спокойствие.
Една компания се налага да общува с външни доставчици, било то на хардуер, софтуер и всякакви услуги. Тук всъщност е големият проблем за това, ако ти работиш с външни компании и доставчици и те бъдат поразени, те бъдат уязвими, това уязвява и теб. Във всеки един момент, всяка една компания трябва да проверява много солидно всички доставчици на услуги и софтуер и хардуер, за да бъде сигурна, че няма да се стигне до пробив в нейната сигурност.
– Тук не се ли поставя и въпросът за това какво правят службите за сигурност по тази тема – сигурността на доставките?
– Ролята на службите се корени в това да защитават гражданите и всички държавни структури. Представете си една хипотеза, в която българското правителство или български държавни дружества поръчват устройства за чекиране на летище, за видеонаблюдение, валидатори и пр. – ролята на службите е да проверяват всеки един от тези доставчици на такива уреди.
Не само фирмата, която го е произвела, но и тази фирма с какви други контрагенти работи. Защото дори фирмата доставчик да е изрядна и легитимна, ако тя получава чипове и продукти от друга фирма, това е предпоставка някой друг да опита да направи опит за отдалечен достъп, контрол и т.н.
Когато се касае за частна компания и тя няма никакво отношение към сигурността на държавата, не считам, че службите трябва да се намесват там. Това си е отговорност на компанията да проверява тези вериги на доставки. Когато обаче се касае за държавни дружества, там където държавата участва, тогава считам, че службите имат точно такова призвание да подпомагат този процес на валидиране на всичките доставчици и контрагенти.
– Трябва ли след случая в Ливан и Сирия да имаме опасения относно устройствата, които използваме?
– От потребителска гледна точка, за съжаление, няма как да проверите сигурността на устройството си. Единственият ви полезен ход е да се доверите на производителя на този продукт, а работа на самия производител е това, че ще работи с доверени и проверени доставчици. Вие просто се доверявате на даден бранд за това, че той е проверил всичко това вместо вас.
