На YouTube-канале об IT и предпринимательстве «Большая рыба» вышла вторая часть интервью с Никитой Кнышем, основателем и СЕО HackControl, компании, которая занимается консалтингом в сфере кибербезопасности. Уникальный случай, когда первое интервью с этим гостем было настолько интересным, что от подписчиков канала было слишком много просьб продолжить разговор.
В этот раз говорим о приватности, личной безопасности, как защитить свой бизнес и защититься самому.
— Предположим, я сижу в кафе и подключился к бесплатному Wi-Fi. Что негативного я могу от этого получить? Почему публичный Wi-Fi — это плохо?
У нас был пример: к нам пришла женщина и сказала, что она сама при помощи «цифровой криминалистика» смогла установить, что муж ей изменяет. Взяла телефон мужа, подошла под адрес предполагаемой любовницы, телефон мужа подключился к Wi-Fi в квартире любовницы и таким образом она вычислила, в какую квартиру муж регулярно ходит.
Если меня кто-то наймет, чтобы найти, где ты был — я вышлю человека, которой будет ходить за тобой с антенной (абсолютно легально) и сканировать все Wi-Fi сети, которые «излучает» твой телефон. Так я узнаю, где ты бываешь. После этого с помощью видеокамеры наблюдения я смогу увидеть, какие пароли куда ты вводишь. Это то, что касается приватности
А теперь про безопасность. Внутри Wi-Fi, которыми ты пользуешься без VPN, передаются определенные данные. Сайты с https (защищенным подключением) вроде бы не дают возможность получить с них данные — но это только «вроде бы».
Часть данных, которые передает твой телефон, я могу вытянуть: например, узнать, на какие страницы ты заходишь. И вот это уже вопрос безопасности.
Как правило, люди хотят защитить и свою приватность, и безопасность. В этом и заключается деятельность HackControl — мы выдаем людям право на их приватность.
Простой способ защитить себя — использовать VPN,который шифрует весь трафик, которые передается телефоном, и не дает получить ваши данные. Самое главное — не пользоваться русскими VPN, потому что все ваши данные украдут.
В этом случае, цена вопроса твоей безопасности — $1 в месяц.
— Вы занимаетесь поиском людей — как это происходит?
Мы ищем людей, которые совершили преступление. Мы работаем со случаями, когда человек украл у вас от $150 тысяч и больше, и ищем людей с помощью данных из открытых источников.
Просто катаясь рядом с человеком, можно выяснить, где он был и куда он подключался. Дальше на эти точки выставляем камеры, и с того момент, как у нас есть лицо человека и его сетчатка, найти его не составляет проблемы.
Мы находим особу и идентифицируем ее, доказываем, что именно этот человек украл деньги, потом мы собираем всю информацию по этой особе, формируем уголовное дело, которое передаем правоохранительным органам, и дальше они начинают его вести.
— Как понять, что за тобой следят?
Для начала нужно задать себе логический вопрос: а кому нужно за тобой следить? Кто потенциально может за тобой следить и зачем им это делать?
Слежка в онлайне — это одна история, а в оффлайне — другая.
Не существует параметров, по которым можно определить, прослушивают твой телефон или нет. Никаких потрескиваний, пощелкиваний, эха и т.д.
Можно попросить своего адвоката написать специальный запрос в правоохранительные органы с вопросом, прослушивали ли вас, и по каким делам?.
Если ты сейчас стоишь на прослушке, тебе не ответят, а если стоял ранее — тебе обязаны ответить, в каких делах тебя прослушивали, и в чем тебя подозревали.
Нельзя обезопасить себя на 100%, всегда найдется кто-то умнее тебя, кто тебя взломает.
— Какие самые распространенные фишки корпоративных взломов? На что обратить внимание компании, которая хочет защитить свою безопасность?
Один из бизнес-рисков — это отсутствие стандартизации. Первое, с чего нужно начать — это компании нужно выбрать стандарт, по которому она будет строить свою информационную безопасность. Потом посмотреть, что нужно для имплементации этого стандарта. А потом обратиться к сертификации: на рынке есть специально обученные люди, которые имеют лицензию на внедрение стандартов.
После внедрения специальные лица перепроверяют нашу деятельность.
Из всего перечня услуг, которые мы предоставляем, клиент может выбрать те, которые ему нужны, и те, которые есть в стандарте.
— Можно ли застраховать компанию от взлома?
Мы пытались общаться со страховыми компаниями и создавать какие-то методы оценок риска, сколько нужно выплатить в случае чего — это более-менее понятно.
Но как доказать, что у тебя украли деньги, а не ты сам их перевел?
Все упирается в отсутствие экспертизы.
Страховые компании работают только с именитыми компаниями (KPMG, Deloitte и т.д.) для оценки того, был ли это взлом. Но с технической точки зрения их эксперты недостаточно компетентны, чтобы делать такие выводы.
Кроме того, они всегда будут на стороне страховых компаний, и потому клиенты туда просто не пойдут.
— Как вы отвечаете клиенту на вопрос о том, можно вам доверять?
На вопрос про гарантии у нас есть стандартизированный ответ — как у антивируса: «Мы не защищаем вас от 100% угроз, но утверждаем, что все известные нами угрозы будут отбиты».
Я больше всего ценю своих людей. Я впускаю в свою жизнь и в свою компанию только достойных, и естественно, у нас есть свои механизмы защиты — NDA, разграничение доступов и другое.
Какое-то нагнетание страшилок для ламеров, а ведь если задуматься хотя бы самую малость...
"сканировать все Wi-Fi сети, которые «излучает» твой телефон. Так я узнаю, где ты бываешь."
Далеко не везде. Вот, скажем, у нас в городе все публичные заведения - на одном операторе вайфая (реально так. весь рынок паблика успешно занял один шустрый игрок), причём во всех заведениях она называется одинаково. Так что все, что мой телефон будет "излучать" - сеть этого самого оператора. В других городах бывает посложнее, там рынок поделен между двумя-тремя операторами, но все равно - максимум, что наблюдатель узнает - что я бываю в (разных) публичных заведениях города, а не сижу дома безвылазно. Чтобы узнать об этом, не нужна слежка с антенной, обычная слежка будет и без того информативнее.
"После этого с помощью видеокамеры наблюдения я смогу увидеть, какие пароли куда ты вводишь. Это то, что касается приватности"
Ок, но при чем тут вай-фай? Если я не пользуюсь публичным вайфаем и сижу онлайн через мобильный интернет, что-то помешает с помощью видеокамеры пароли подсмотреть? Тут можно говорить максимум о том, что если вы что-то делаете в телефоне в публичных местах - при желании это могут увидеть окружающие, это не про риски конкретно вайфая.
Более того, поскольку пароли сохраняются на устройстве, не вводятся каждый раз вручную, а в поле подставляются в виде абстрактного числа звёздочек, камера ничего не даст. Ну сможете вы узнать некоторые сервисы, где у объекта есть регистрация, но опять же любой наблюдатель выяснит это без камеры и вайфая. Не обязательно заглядывать в чужие телефоны, чтобы узнать, какие соцсети, банки и службы такси использует человек, это будет видно и так.
Короче, если за вами следят - о вас до фига всего узнают, но вайфай тут ни при чем. А самое главное, что публичные сети вайфай могут быть опасны, но вообще не по причинам, изложенным в статье.