Антихакер

27 миллиардов долларов — сумма ущерба, который киберпреступники нанесли мировой экономике в 2013 году. В текущем году цифра может получиться еще больше.

Конечно, под ударом прежде всего банки и крупные компании. Но и владельцы обычных зарплатных карт могут стать жертвой мошенников. Пионер на рынке информационной безопасности, компания Group IB знает о хакерах то, что хакерам, может, и не стоило бы знать. Редактор ruspioner.ru Елена Жихарева узнала у гендиректора Group IB Ильи Сачкова, как его компания борется с гениальностью русских киберпреступников, стоит ли делать покупки в сети и почему нельзя закрыть теневой интернет.

Помните свой первый компьютер?

Я его очень хорошо помню — это был 286-й компьютер, подаренный мне старшим братом. У этой модели уже был цветной экран и даже какие-то игры — например, «Лемминги», где надо было выводить зверьков, и какой-то авиасимулятор. Потом был 386-й, 486-й, на котором уже можно было слушать компакт-диски. И первый музыкальный диск, который я послушал с помощью компьютера, был Луи Армстронг. А потом началась бесконечная гонка компьютеров: Pentium I, Pentium II, Pentium III. Я эту гонку пропустил. У меня долгое время был 486-й, и я как-то решал на нем свои задачи.

Какая у вас была оценка по информатике?

Началось все с тройки, а закончилось пятеркой.

А кто-то может поверить, что когда-то была тройка?

Я учился в школе с очень длинным названием — «Физико-математическая школа-лаборатория с углубленным изучением физики, математики и информатики». Если на уроках информатики во многих школах преподают Word, Power Point, операционную систему, то нам объясняли основы машинных вычислений. И только когда я понял, чем хочу заниматься, и осознал, что без математики я не проживу, мне стало интересно, и только когда мне стало интересно, я начал изучать предмет. А в пятом-шестом классе я просто сидел на уроках и ничего не слушал.

Почему из всего многообразия информационных технологий вы выбрали именно информационную безопасность, антихакерство?

А это какое-то дурацкое чувство – тяга к романтизму, желание помочь людям. Это есть во многих фильмах, в книгах, когда человек обладает определенной спецификой глубоких знаний и может помочь решить какую-то задачу. Обычно у него растет авторитет, к нему обращаются люди, и это непременно должна быть борьба со злом. Я в детстве в пионерском лагере играл с друзьями в детективов, а потом выяснилось, что, оказывается, есть такая профессия. В Баумановский университет я поступил на информационную безопасность и очень быстро начал работать. Правда, почти сразу пришло понимание, что, в жизни все не так, как в книжках и фильмах.

Рутина?

Да, и вот тогда появилась идея сделать что-то свое, создать компанию, которая бы занималась информационной безопасностью. Когда я понял, что есть такое направление безопасности, как информационная, первая идея была — работать в Управлении «К». Я участвовал в какой-то большой конференции. Помню, на ней еще Евгений Касперский выступал, а я тогда еще был никем. И там был представитель Управления «К», к которому я подошел после выступления и вкратце рассказал о себе. Мне было где-то около двадцати лет, то есть я уже имел какие-то навыки, свои идеи. Он сказал, что ему это неинтересно, набор в Управление идет из Академии управления МВД, соответственно, все распределено, то есть нет, нет и нет.

И вы пошли в банк?

Да, но везде было скучно, хоть и платили хорошие деньги. Я помню, как в обеденный перерыв сидел на скамейке и думал, что куда-то я не туда реально завернул. Вроде бы все хорошо, вроде бы информационная безопасность и по зарплате приближаюсь к родителям, а что-то не то. И постепенно происходила ломка, которая подтолкнула к созданию своей компании.

Многим, наверно, хочется понять, что отличает людей, которые радуются пятнице, отпуску и десятидневным новогодним каникулам, работая в офисе, от тех людей, которые не боятся рисковать и создавать что-то свое?

Я это анализировал. Мне кажется, мое решение было вызвано тем, что я не знал о трудностях, которые меня ждут. Я думал, что очень просто открыть свое дело. Доля риска, конечно, есть, но я понял, что худшее, что может произойти, — мне просто придется искать работу, которую я всегда найду в какой-нибудь компании. В то время я читал много мотивационных книжек, например, про создателя «Старбакс». Это сейчас я понимаю, что это в принципе не работает в российской действительности ни в каком приближении, вообще никак. А недавно я прочел статью Березовского о правилах бизнеса, и он говорит, что у дураков иногда получается хорошо делать бизнес, потому что они думают, что все это очень просто, не рисуют себе в голове никаких проблем, начинают и потом уже, ввязавшись в дело, они, может быть, и сталкиваются с проблемами, но обратной дороги уже нет. Просто многие слишком много думают о том, какие у них будут проблемы, а мне казалось, что проблем не будет никаких. Но сейчас, если бы у меня все отняли и сказали: делай заново Group IB, я подумал бы, что стоит сделать что-то другое, либо консультировать тех, кто хочет построить подобный бизнес.

В России у вас практически нет конкурентов на рынке. Как вам работается дома и на Западе?

Есть такая тема, что мы, будучи российской компанией, на Западе воспринимаемся как русская компания-шпион, потому что информационная безопасность – особенно расследования – это очень близко к шпионажу, по мнению многих людей, хотя мы этим никогда не занимались. А в России, так как мы работаем на Западе, воспринимаемся как компания вне доверия.

Свой среди чужих…

Да. Потому что там мы, соответственно, русские шпионы, а здесь мы американские, потому что у нас есть американские клиенты, английские клиенты, я часто езжу в Лондон — что я там делаю? Так что если говорить о больших государственных проектах – мы не то, что бы не пытаемся в них лезть, но мы знаем, что нас в них не пустят.

Сейчас мы работаем в России, Великобритании и США. Ждем соглашения с «Интерполом», чтобы возобновить работу в Сингапуре. География клиентов: Ближний восток, ОАЭ, Германия, Нидерланды, Франция.

Ваши клиенты — это банки, нефтяные, финансовые компании?

Чаще всего это финансовые компании и банки, потому что у них больше всего проблем с киберпреступностью. На втором месте компании известных брендов, у которых проблемы с узурпацией этих брендов. И это могут быть кинокомпании либо книгоиздатели, потому что мы активно занимаемся таким направлением, как защита интеллектуальной собственности. Мы защищаем, например, практически все сериалы AMedia, Central Partnership.

А с государством вы сотрудничаете?

Мы, скажем так, много лет помогали государству бесплатно для того, чтобы развивать этот рынок, чтобы наработать репутацию, проталкивать некоторые дела, которые мы сами ведем. Изначально мы думали, что государство готово за это платить. Оказалось, что государство готово платить за все, что угодно, кроме того, что реально приносит пользу. Я не буду называть ведомство, с которым мы отказались сейчас от контракта: нам предложили за тридцать тысяч в месяц – рублей – делать примерно десять экспертиз при стоимости одной экспертизы в 10 – 15 тысяч долларов. Вот такой госконтракт нам не очень интересен.

При этом очередь в государственную криминалистическую лабораторию составляет иногда один-два года, и мы не против, чтобы государство пользовалось нашей лабораторией, но за деньги, конечно. Мы помогаем до сих пор бесплатно в некоторых случаях — в резонансных делах, в которых можно получить хороший опыт.

Проблема в том, что у нас нет в компании человека, который умел бы работать с государством. В некоторых антивирусных компаниях работают сотрудники, которые умеют договариваться и подписывать многомиллионодолларовые контракты…

Сейчас компьютеры и телефоны настолько вошли в нашу жизнь, что люди доверяют своим ноутбукам, начиная от бессмысленных селфи, заканчивая банковскими паролями мобильных банков. Насколько все это реально защищено? Вот у меня, например, есть онлайн вклад в Сбербанке. Стоит ли беспокоиться простым смертным?

Что касается Сбербанка, он хорошо защищает своих клиентов, в том числе с нашей помощью. Но при этом надо понимать, что понятия «защищено» не существует. Ничего не защищено. Вопрос в цене добычи той или иной информации. То есть всегда нужно задать вопрос — зачем? Если злоумышленник может на этом заработать и стоимость получения информации ниже, чем предстоящая выгода, то такую информацию будут добывать и монетизировать. Что касается банков, они, естественно, под ударом — воруются огромные деньги. Могу сказать: восемь миллиардов рублей могли бы быть украденными только за период июль-сентябрь 2014 года, но мы вовремя оповестили банки и злоумышеленники не смогли этого сделать.

То есть? Клиенты даже не догадываются, что их деньги

А клиенты чаще всего не знают. Это убытки банков, которые стараются мониторить, блокировать, перевыпускать карточки, назначать новые пароли в интернет-банкинге. Происходит такая постоянная борьба. Почему киберпреступность так быстро развивается: первая причина — это чувство безнаказанности, есть такие, кто не понимают, что кража информации влечет за собой уголовную ответственность, и второе — очень легкий старт этого бизнеса. Чтобы открыть кафе, например, нужен капитал от десяти миллионов рублей. Чтобы стать киберпреступником, нужен капитал от тысячи долларов, и эта сфера деятельности позволяет украсть и заработать гораздо больше, чем кафе, в самые короткие сроки.

Кто они, эти неуловимые киберпреступники?

Если посмотреть подборку уголовных дел, в которых мы участвовали как эксперты, то хакеры чаще всего имеют среднее образование, не всегда высшее, говорят и пишут с ошибками, но при этом способны совершать высокотехнологичные преступления. Общество не понимает, что такое компьютерная преступность, кто эти люди. А главное: в России есть возможность очень легко обналичивать деньги. Пошло это все не от хакеров, а от предпринимателей, которые пытались иногда уйти от налогов: им нужен кэш, и, соответственно, из девяностых в двухтысячные перешел бизнес – обналичка. Как бы с ним ни боролись, он есть.

Если мы с вами сейчас зайдем на Яндекс, мы за одну минуту найдем сервис, который позволит нам с юридического лица вывести деньги и перевести их в кэш. Соответственно, это способствует развитию киберпреступности, ведь во многих странах при тех же условиях технологического развития систем защиты невозможно так легко обналичить деньги, и, соответственно, там нет такой развитой киберпреступности. К этому добавляется хорошая математическая, программистская школа конца восьмидесятых – начала двухтысячных и некоторые хорошие технические вузы, которые дали начало русской школе хакерства, которая сейчас одна из самых сильных в мире.

С вашими способностями и знаниями вы, наверно, могли бы быть блестящим хакером?

Я бы мог быть профессором Мориарти (смеется). Один из источников наших доходов – это предоставление банкам информации о скомпрометированных данных. Это номера и дампы карточек, которые позволяют полностью перевыпустить карту. Это логины и пароли, цифровые подписи в интернет-банкинге юридических лиц. В системе крутится огромное количество данных. В денежном эквиваленте это миллиарды рублей ежемесячно. Банк нам платит за подписку 15 – 20 тысяч долларов в месяц. Конечно, если бы мы были злодеями, то могли бы использовать эту информацию совершенно по-другому, но нам прикольнее таким образом ее монетизировать — защищая, а не нападая.

В 2012-13 годах, когда с нашей помощью задержали несколько кибергрупп, уровень хищений снизился на 80 процентов за год, и в системе практически не осталось данных о скомпрометированных карточках, то есть многие банки отказывались от подписки, потому что наша информация оказалась не нужна. И получается, что мы своим бизнесом иногда сами же себе и вредим. Но зато это все очень правильно и очень честно. Мы взяли и искоренили источник проблемы, а не боролись с нею бесконечно. С точки зрения бизнеса это не совсем круто. По крайней мере, как нам говорят. Но мы считаем по-другому. Гораздо прикольнее не бесконечно делать антивирусы, а обнаружить проблему, идентифицировать, предотвратить хищение и помочь задержать преступников.

А как происходит задержание? Как в фильмах: злодеи с лэптопом в грязной квартире?

Например, банковское хищение. У какого-то банка своровали деньги: мы выезжаем на место, снимаем криминалистический образ с компьютера, проводим опрос всего персонала, потому что возможны — и их сейчас все больше и больше — нехакерские хищения, когда бухгалтер украл, а говорит, что это сделали хакеры. Поэтому там очень много психологии: как человек ведет себя, как он нервничает.

Дальше наша задача понять, что находится на компьютере: есть ли там вирус, откуда он загружен, какой тип преступления. По этим признакам мы уже можем понять, изучали ли мы подобный почерк в прошлом, есть ли связь с какой-то преступной группой, по которой мы уже работаем. Если нет, то мы, соответственно, сначала технологически выстраиваем логику работы всей инфраструктуры злоумышленников: что за вирус, что за серверы, какая взаимосвязь, где это администрируется, где оплачивается, и предлагаем план расследования. Если банку – нашему заказчику – это нравится, то приглашается третья сторона, а третья сторона – это правоохранительные органы в зависимости от территории либо типа преступления. Это может быть Управление «К», Управление экономической безопасности МВД или ФСБ, если дело связано с государственной безопасностью. И этот отчет отдается оперативникам, но наши эксперты продолжают сопровождать расследование. Иногда бывает так, что до этой трехсторонней встречи мы уже знаем фамилии, имена, адреса. Мы эту информацию тоже предоставляем, но правоохранительные органы должны понимать, что это аналитика, мы не объект оперативно-розыскной деятельности. Но на самом деле это, конечно, расследование, но мы называем это аналитикой, чтобы никто не злился, потому что все правоохранительные органы очень сильно бесятся, когда мы говорим, что проводим расследование.

Это как отношения Лестрейда и Шерлока Холмса.

Примерно так. На трехсторонней встрече оперативники забирают наш отчет, начинают его перепроверять. Он является лишь малой частью работы, которая должна быть развернута, потому что мы не ведем наружное наблюдение, мы не можем прослушивать телефоны. По закону об оперативно-розыскных мероприятиях у оперативников, конечно, есть огромное количество полномочий, но часто у них нет тех технических знаний, которые есть у нас.

Потом происходит первая часть интересных оперативно-розыскных мероприятий. Это арест с изъятием оборудования. Назначаются исследования, и если факт преступления подтверждается, то возбуждается уголовное дело. Соответственно, тогда уже появляется следователь, который назначает экспертизы, опрашивает наших специалистов как экспертов, еще очень-очень долгое время проводятся оперативно-следственные мероприятия, полностью описывается мотивация преступников — это очень важно. И дело передают в суд, где мы тоже, если нужно, выступаем экспертами.

На задержания нас тоже часто приглашают, потому что очень важно правильно изъять оборудование у злоумышленника, чтобы он его не успел выключить, зашифровать, уничтожить. И не только быстро, но и правильно изъять, то есть в соответствии с законом, чтобы не было отводов экспертизы из-за подмены доказательств и так далее.

А частные лица к вам могут обратиться? Ваши услуги по карману обычным людям?

Иногда мы даже бесплатно помогаем частным лицам, и у нас достаточно много таких обращений но, если честно, услуги стоят дорого. Не потому, что мы такие плохие, а потому что это стоит дорого. Мы берем на себя социальную нагрузку и видим, если пострадал инвалид, пенсионер, мы стараемся проконсультировать, но сейчас облегчает ситуацию закон о национальной платежной системе: пострадавшие вклады до семисот тысяч рублей по закону банки должны возмещать физическим лицам.

Какие обращения часто бывают у физических лиц? Мы их называем «Нигерийские письма». «Здравствуйте, я такой-то принц, у меня очень большое наследство, помогите мне, пожалуйста, заверить такой-то документ за пятьсот евро, я вам половину наследства этого переведу». У нас люди в стране добрые, верят всем, переводят деньги, страдают. Рекордный случай – семьдесят тысяч евро человек передал якобы представителю какого-то нигерийского короля в Москве.

Второй тип, сейчас очень популярный: якобы американские военные, которые находятся в Ираке, ищут одиноких русских девушек – обычно лет сорока и выше – и предлагают им руку и сердце. Но сначала очень долго общаются, переписываются, присылают фотографии, настоящие письма, а потом предлагают выйти замуж, а для того, чтобы жениться, нужно оформить разрешение на брак (marriage license) и заплатить какому-то консулу. Женщины переводят деньги, так как влюблены и верят, что будут жить в США. На самом деле, очень грустно смотреть на этих девушек.

Вы делаете покупки в интернете?

Да, я делаю покупки в интернете, чаще всего покупаю билеты, но только на известных сайтах. Единственное, для интернета я использую отдельную карточку, куда перевожу деньги только для интернет-покупок.

Люди в интернете оплачивают все: телефон, коммунальные услуги, штрафы, налоги, билеты. На что стоит обращать внимание? Что должно насторожить?

Если вы покупаете билеты на самолет, например, вас должно насторожить, что сайт совершенно новый. Вас должна смущать очень низкая цена. Какие угрозы в принципе есть для карты в интернете? Первое: вы купите то, что не существует, то есть вы купите несуществующий товар, который вам не доставят. От этих сайтов очень просто уберечься, потому что это достаточно свежие доменные имена, но для этого нужно научиться определять возраст домена. Можно зайти на сайт nick.ru, в разделе информации о домене вбить название и посмотреть. Плюс очень хорошо работает сарафанный маркетинг, и любая жертва мошенничества обычно пишет об этом в интернете.

Когда мы разбирали конкретные случаи, выяснилось, что при покупке авиабилетов большинство обманутых пользователей даже не посмотрели, что это за сайт, а по нему уже была куча негативных отзывов на полицейских форумах. Люди видят только то, что очень дешево можно купить билет. Им выписывается квитанция, они приезжают в аэропорт, а этот билет не настоящий.

Второй способ украсть деньги с карточки – скопировать номер карты. Тут бывает сложнее уберечься: в этом году был уже случай взлома РЖД, то есть билеты покупались на настоящем сайте, но это не уберегло людей. Тут самый простой вариант: для оплаты в интернете, как я уже сказал, используйте отдельную карту, где не следует хранить очень много денег.

И главный совет я, наверное, могу дать один: нужно просто потратить час времени в интернете и посмотреть правила компьютерной гигиены в смысле информационной безопасности. Они уже тысячу раз описаны, они защищают от 95 или 99% мошеннических хищений.

До сих пор приходят эсэмэски: «Мама, я попала в аварию, переведи мне 500 рублей». Этой истории уже десять лет. Эти смски отправляют люди, находящиеся в тюрьме. Об этой истории пятнадцать тысяч телевизионных сюжетов, статей в газетах, но до сих пор люди переводят деньги.
После того, как фирма «МММ» второй раз открылась и привлекла вкладчиков, у меня уже вопросов в принципе нет. Я думаю, что у нас всегда будет очень много работы.

А было какое-то дело, которое вы не смогли раскрыть?

Например, по делу «Сбербанка» у нас сейчас один человек находится в международном розыске. Мы не знаем, где он, но мы знаем, что он по поддельному паспорту въехал на территорию Европы и там растворился. Мы не можем найти его уже год — либо его убили, либо он очень хорошо скрывается. При этом мы знаем, что каким-то образом либо им лично, либо от его имени, но работа продолжает вестись. Но самая главная проблема — это теневой интернет. Не знаете? О! можно я покажу?

Это серверы, которые нельзя найти?

Для того, чтобы зайти в теневой интернет, нужно попасть на сайт torproject.org, скачать определенную программу, которая позволит получить доступ к сайтам, которые невозможно закрыть и невозможно понять, кто их создал, потому что там нет такого понятия как регистрация. Там все зашифровано. Вот, например, сайт продажи наркотиков с доставкой на дом. Продажа карточек с балансом – 4005 долларов на каждой. Продажа поддельных купюр. Вот человек предлагает более серьезные вещи: это сайт наемного убийцы. Продажа оружия – с доставкой, опять же.

Сама инфраструктура теневого интернета не позволяет криминалистам делать большинство вещей, которые можно делать в обычном интернете. Так что это не компьютерная преступность, это уже более опасные вещи.

Вы слышали, может быть, МВД даже объявляло конкурс на разработку средств борьбы с теневым интернетом. Правда, предусмотренный бюджет — всего девять миллионов рублей. Я не знаю, что за эти деньги можно сделать. Европейские страны на это тратят миллионы долларов, но тоже пока далеко не продвинулись. Кокаин, героин, хулиганство. Разбить в машине, например, лобовое стекло стоит 5000 рублей. И подобные услуги предлагают в теневом интернете. Невозможно понять, кто это написал, вообще никак. Для нас это сейчас проблема, это новый технологический вызов.

То есть не хватает технологий, чтобы их достать?

Есть определенные методы, но чаще всего они связаны с тем, что мы должны вынудить человека сделать ошибку. Если мы расследуем какие-то преступления в обычном интернете, нам не нужно вынуждать человека сделать ошибку, мы действуем по следам, а в теневом интернете, если преступник делает все правильно, его невозможно вычислить.

Где эти серверы находятся?

Они распределены по миру. Их очень сложно искать, потому что между любыми соединениями выстраиваются три произвольных узла, которые постоянно меняются, и между ними зашифрован сигнал. Об этом мало кто знает сейчас.

Да, странно, что в фильмах об этом пока ничего нет.

Да, сценаристы пока не дошли до теневого интернета, и большой вопрос, рассказывать об этом людям или нет. Мне кажется, что надо, но, с другой стороны, многие захотят этим воспользоваться.

Кому надо, тот знает.

Скажем так, я удивился, что знакомые моих знакомых, которые приближены к клубной жизни и иногда пробуют наркотики, знают эти сайты и заказывают там услуги. А если знают они, а они технически вообще ничего не соображают, то знает уже много людей.

Вообще у вас опасная работа?

Нет, опасная работа в полиции. У нас она… Ну, бывают проблемы разные.

У вас же есть враги – люди, которые хотели бы, чтобы вы прекратили свою деятельность?

Есть. У нас есть враги, которые хотели бы, чтобы некоторые сотрудники нашей компании погибли, скажем так, либо компания прекратила свою деятельность. Есть более умные враги, которые хотят завербовать кого-то в компании, кого-то купить. Соответственно, нам приходится очень много денег и сил тратить на то, чтобы этого не произошло.

Если в полиции происходит коррупционный скандал, то полиция от этого не исчезает. А если, например, наш сотрудник возьмет и сделает поддельную экспертизу или продаст информацию о расследовании злоумышленникам – для нас это конец бизнеса в этот же день, к нам уже никто не обратится из-за разрушенной репутации.

Были истории, которые требовали от нас быть осторожными — мы нанимали охрану, иногда приходилось вывозить сотрудника куда-то из Москвы. Зато у нас очень интересный рынок, мы на нем лидеры, и мы понимаем эти риски. Понимаем и принимаем. И, соответственно, наши сотрудники, когда приходят к нам работать, об этом хорошо осведомлены. Но с этим связана другая проблема: зная эти риски, при прочих равных не все технические специалисты идут к нам. Им, может быть, проще пойти в антивирусную компанию и не иметь тех проблем, которые они могут получить здесь.

Где вы находите своих сотрудников, и есть ли у вас внутренняя система безопасности?

Внутренняя система безопасности есть. Это тщательный подбор с применением хорошего детектора лжи, с собеседованием у психолога. Мы тщательно изучаем биографию наших будущих сотрудников. Предусмотрена ежегодная повторная проверка на полиграфе, ведь постоянно есть угроза провокаций. Им может кто-то позвонить, предложить что-то продать, и сотрудник должен прийти в службу безопасности и рассказать об этом. Если он не расскажет, то вряд ли пройдет переаттестацию.

Средний возраст сотрудников?

30 лет. Самому старшему, наверно, лет сорок. Хотя нет, вру: у нас самый старший – профессор Назаров, ему, наверно, лет шестьдесят, а до него – сорок лет.

И напоследок признайтесь, что вам нравится Шерлок Холмс. Раз вы не хотите быть профессором Мориарти.

(Смеется) Да, это так. Я даже пишу книгу с рабочим названием «Сто историй безопасности» или чего-нибудь, пока не знаю. Так что я готов быть и Ватсоном, потому что бывают очень интересные истории, которые, если не записать, забудутся.

Источник: Ruspioner.ru

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы