Истории Maxim Spiridonov
3 654

«Масштаб противостояния между государствами в электронном формате сильно преувеличен»

Интервью с основателем и генеральным директором компании Group-IB Ильёй Сачковым.

В закладки
Илья Сачков

Дважды в месяц генеральный директор компании «Нетология-групп» и ведущий подкаста «Рунетология» Максим Спиридонов беседует с российскими предпринимателями в сфере цифровых технологий и интернета.

Редакция vc.ru публикует краткую версию интервью — о том, на чём зарабатывает Group-IB, как конкурируют между собой киберпреступники, правда ли современных хакеров привлекает активность на политическом поле и удастся ли мировому сообществу предотвратить применение кибероружия на поражение.

О госте — Илья Сачков

  • Родился в 1986 году в Москве.
  • C отличием окончил факультет информатики и систем управления МГТУ им. Н. Э. Баумана (кафедра информационной безопасности).
  • В 2003 году основал компанию Group-IB.
  • Автор технологии расследования DDoS-атак. Член экспертных комитетов Госдумы РФ, МИД России, Совета Европы и ОБСЕ в области киберпреступности.
  • В 2010 году первым из россиян получил премию международной конференции Digital Сrimes Consortium за вклад в международный обмен опытом в области компьютерной криминалистики.

Ты получил премию «Предприниматель года — 2017» в номинации «Информационная защита бизнеса». Насколько знаю, ты участвуешь в конкурсе не в первый раз.

Уже в третий (в 2015 году Илья Сачков стал его лауреатом в номинации «Телекоммуникации», а в 2016 году — в номинации «ИТ для бизнеса» — vc.ru).

Тебе так нравится побеждать в нём? Есть желание получить главный титул?

Мне нравится сам процесс аудирования номинантов, который делится на несколько этапов. Он стал для меня своеобразным дневником. Каждый год [представители оргкомитета] записывали всё, что происходило в компании.

Я бесплатно получал хронометраж событий, изменения хода своих мыслей и целеполагания. А главное, во время конкурса удаётся пообщаться с огромным количеством интересных предпринимателей со всех концов России.

С твоей точки зрения, динамика предпринимательства в стране положительная?

Она положительная в том плане, что появляется всё больше интересных проектов — от ИТ-стартапов до мастерских по ремонту одежды. Многими пользуюсь я сам.

Если пять лет назад в Брянске утром было не найти нормального места, где можно было бы попить кофе, то сейчас таких предостаточно. И открывают их молодые люди. Параллельно, впрочем, немало молодёжи и предпринимателей из России уезжает.

Почему остаёшься ты?

Да не то чтобы остаюсь. Я половину времени провожу не в России.

В России у тебя не задалось и ты всерьёз думаешь перебраться за рубеж?

Задалось. Но доля времени, которое я провожу в стране, соответствует проценту выручки, получаемому в ней Group-IB. Чем лучше развивается мой международный бизнес, тем дольше я нахожусь вне России.

Тогда значит ли это, что Россия не сумела тебя «заякорить»? Твоё участие в окологосударственных историях могло бы сделать тебя эдаким «киберсолдатом отечества».

У меня нет потребности быть «киберсолдатом». У меня есть потребность делать решения, которые позволят бизнесу сосредоточиться на главном и меньше думать об информационной безопасности. Политика рынку информационной безопасности мешает, и сильно.

Российский рынок информационной безопасности — это три процента от мирового. Притом что с обслуживанием бизнеса в России у нас всё в порядке: наши клиенты — почти все банки, множество предприятий от авиаперевозчиков до сельхозкомпаний.

Просто глобальный рынок значительно больше, и самые сильные, достойные конкуренты находятся не в России. Они в США, в Европе, в Израиле, сейчас появляются в Азии. Если ты хочешь строить ИТ-компанию, которая будет жить долго, единственно возможный путь — соперничать с теми, кто сильнее тебя. В нашем секторе в России конкуренции для умного бизнеса практически нет.

Можно удариться в импортозамещение, лет пять снимать сливки, после чего похоронить компанию. Как только кто-то заявляет: «Сейчас „выместим“ Microsoft из России и сделаем отличную отечественную операционку», — сразу могу сказать, что это мертворождённое дитя.

Только в конкурентной среде, со стремлением улучшать продукт каждый день, создаётся нормальный софт. А монополия для бизнеса, который хочет быть долговечным, опасна.

Моя задача — сделать так, чтобы компания прожила сто лет и была в мировых лидерах, чтобы её технологии использовались повсеместно.

Информационная безопасность для тебя — дело жизни, верно?

Абсолютно точно.

Почему так сложилось?

Всё начинается с чтения в школьные годы, с воспитания, с детских устремлений. Мне всегда нравилось несколько вещей. Был юношеский задор — бороться со злом. Привлекала детективная литература, игры типа «Зарницы», разгадка сложных загадок. Оказала влияние физматшкола №44 с углублённым изучением физики, математики и информатики, где математика и информатика давались мне лучше всего.

На момент выпуска у меня был набор технических знаний и склонность к информационной безопасности. Ещё в школе я абсолютно случайно помог нашему кабинету информатики провести парочку расследований, связанных с кражей интернета.

Дальше поступил в Бауманку на кафедру информационной безопасности. Мне, опять же случайно, попала в руки книга «Расследование компьютерных преступлений» Кевина Мандиа. Прочитав её, я понял: «Вот профессия моей мечты».

Вычитал, насколько это большой бизнес в США — расследования, forensics (компьютерно-техническая экспертиза — vc.ru). Оказалось, что ничего подобного никто в России не делает. Равно как и на постсоветском пространстве и вообще где бы то ни было в Восточной Европе.

В полицию, слава богу, меня не взяли: я пытался устроиться в Управление «К» МВД РФ. Сейчас я очень благодарен судьбе за тот отказ.

Мысль, к которой привела меня книга Мандиа, не выходила из головы. Я увлёк ею нескольких своих одногруппников. И мы сделали что-то вроде студенческого стартапа. Кафедра выделила нам помещение, за что и ей в отдельности, и университету огромное спасибо. В 2017 году я вернул долг Бауманке — вернулся туда преподавателем: теперь я доцент на кафедре информационной безопасности.

Когда пошли первые расследования, нам начинали за них платить. Мне стало ясно, что я оказался в своей судьбе. Это занятие сочетает в себе мои идеалы: мы действительно помогаем людям, а людям плохим осложняем жизнь. Как-никак, больше тысячи успешных уголовных дел, из них 150 — с тяжёлым приговором, более пяти лет лишения свободы.

Какую часть работы в уголовных делах проводили вы, какую полиция?

У Group-IB могут быть разные роли. Взаимодействие с правоохранительными органами состоит из двух частей. Первая — работа аналитическая; тут задача — помочь следователю и оперативнику построить цепочку рассуждений, которые послужат цели поимки преступника. Разбор атаки — сложный технический процесс, чаще всего неподвластный следователю из-за отсутствия профильного образования.

Например, украли деньги из интернет-банкинга. Мы говорим: «Нам нужна экспертиза вредоносного кода, нам надо понимать, куда он обращался. Необходимо установить, по какой линии обналички уходили деньги. Вам нужно запросить данные там-то и там-то, сделать то-то и то-то. Мы узнаём почерк вредоносного кода, нам известен управляющий сервер, он принадлежит, вероятнее всего, тем ребятам…»

Вторая часть — исследования, экспертиза. В том числе изучение техники, изъятой у преступников, участие в обысках и в опросах.

Кто-то путает нас с полицией. Важно понимать, что у неё совсем другие задачи: оперативно-розыскные мероприятия, огромное количество других технических работ. Наверное, у нас работа самая интересная, а у них — самая важная.

Получается, они «продюсеры» проекта, а вы «менеджеры» какой-то его части?

Мы менеджеры важной его части. Необходимой, но не достаточной. Без наших изысканий не будет уголовного дела, но сводится оно не к ним одним.

По твоему опыту, насколько компетентны полицейские в расследовании киберинцидентов?

Я пересекался с полицейскими чуть больше чем в шестидесяти странах мира. И мы видим полицейские сборы — интерполовские, европоловские. Люди там совершенно разные. Есть выдающиеся сыщики. Удивительно, но, похоже, что-то поменялось в полицейской системе, и мы знаем множество молодых ребят, которые реально работают, стараются.

Такие люди были и в 2003, и в 2006, и в 2010 году. Просто статистика работает на больших числах. Встречали мы и полицейских — как в России, так и в других странах, — которые теперь сидят в тюрьме, и по заслугам.

Однажды совершенно случайно обнаружилось, что компьютерный преступник ещё и педофил со множеством изнасилований несовершеннолетних на счету. И мы узнали, что сотрудники полиции за вознаграждение помогли ему выпутаться. Дело было в 2005 или 2006 году, это был период [моего] разочарования в системе.

Вскоре мы также пришли к тому, что расследования — это здорово, но гораздо проще работать с клиентом, когда он не успел пострадать от преступления. В 2007-2008 годах у многих наших клиентов из числа международных компаний, работающих в России, — брендов вроде Microsoft и British American Tobacco, — происходили инциденты, несмотря на огромные расходы на безопасность.

Мы подумали: нам же понятно, как в каждом случае хакеры, преступники или сотрудники фирмы обходят систему безопасности, так, может быть, придумаем что-нибудь, чтобы обобщить свои знания и с их помощью предупреждать эксцессы? Мы открыли разработку системы предотвращения. И тогда Group-IB начала из сервисной компании превращаться в разработчика.

В итоге к 2017 году выручка с сервисного направления у нас составляет процентов десять от совокупной. Однако расследования до сих пор чрезвычайно важная часть нашего R&D: чаще всего мы первыми узнаем о новых инцидентах и их деталях, что позволяет нам автоматически улучшать систему предотвращения.

Ты говоришь о выручке с расследований только в корпоративном секторе? Насколько велик вклад госзаказа в ваш бизнес?

Государственная выручка у нас — ноль. И это очень хорошо для компании, особенно с учётом политических факторов.

Но вы работаете с государством?

Мы всегда помогаем. Мы проводим исследования, делаем экспертизу, сопровождаем дела. Но наш заказчик — бизнес. И если юрисдикция, где находится преступник, позволяет вести расследование, мы помогаем его произвести и, например, скоординировать юридическую работу с адвокатами компании и правоохранительными органами нескольких стран.

Полиция в качестве заказчика у вас не выступает?

Она никогда не была заказчиком. Заказчиком всегда был пострадавший бизнес, который подавал заявление в полицию. Из правоохранительных органов к нам обращались за консультациями, но расследований не заказывали.

Как обычно выглядит обращение к вам?

Происходит инцидент. Типичный и самый большой по ущербу — хищение денег в онлайн-банкинге у юрлиц, потому что там больше всего денег: все «юрики» обслуживаются сейчас в онлайне. Итак, у компании пропали деньги со счёта. Сначала она обращается к нам. Мы определяем, внутренний или внешний инцидент имел место, то есть сотрудник организации за ним стоит или сторонний злоумышленник.

От того, кто это сделал, зависит стратегия взаимодействия с правоохранительными органами. Так, сотрудников компании гораздо легче привлекать к ответственности, чем преступников извне. Дальше пишется заявление, подаётся пакет документов с исследованием компьютера, с которого было осуществлено хищение.

И начинается взаимодействие с юристами, с оперативным составом, в российских реалиях — c Министерством внутренних дел. Оперативники готовят материал для возбуждения уголовного дела, подключается следователь, возбуждает дело, назначает экспертизу, а это уже к нам. Мы помогаем ему аналитикой сопровождать уголовное дело. Потом — аресты, допросы, суд, приговор, возврат активов.

Политическая ситуация подсказывает тебе, что связываться с государством сейчас не очень правильно для бизнеса?

Здесь действуют несколько факторов. Прежде всего, у каждого из нас два ограниченных ресурса — время и здоровье. За единицу времени общения с бизнесом я продаю больше, чем за единицу времени общения с государством.

Причём в первом случае вижу гораздо больше адекватности и желания действительно решить проблему, а не растянуть процесс. Если у тебя проблема, я как предприниматель предпринимателю предлагаю тебе решение. Мы встречаемся, договариваемся, решаем её.

С государством иначе. Например, в 2010 году была проблема с координацией действий по предотвращению хищения денег из банков и у юридических лиц. Мы были готовы бесплатно дать часть своей системы в пользование Росфинмониторингу, Центробанку, МВД. Никто её не взял. Только семь лет спустя началось движение в эту сторону.

Поэтому я счёл правильным больше времени тратить на бизнес. Хотя очень хочу помогать государству. Недавно мы подписали контракт с властями одной азиатской страны на оказание услуг по обеспечению кибербезопасности. И сделали это быстро, потому что страна по-настоящему бизнес-ориентированная. А в России всё происходит очень медленно. Множество бумаг, совещаний, встреч.

Нельзя сбрасывать со счетов и текущую политическую ситуацию. Даже в условиях противодействия России и Америки у нас есть бизнес в США. Мы всегда проходим due diligence, и один из первых вопросов в ходе него — «Есть ли у вас выручка от оказания услуг государству?» Наверное, у меня не хватило либо времени, либо лобби, чтобы научиться работать с нашим государством.

Причём я государству активно помогаю. Пусть не продавая услуги, а делясь своими знаниями. Госдуме — по части законодательства, МИДу — по части международного законодательства. В каждом ведомстве, замечу, очень много адекватных профессионалов. Что в Минкомсвязи, что в МВД, что в МИДе.

Центральный банк сейчас показывает выдающиеся, без иронии, результаты в борьбе с преступностью, с ним тоже приятно работать. Но с точки зрения получения прибыли от продажи технологий приятнее работать с бизнесом.

Насколько масштабно в наши дни киберпротивостояние между странами? Перво-наперво между Россией и США.

Отвечу развёрнуто. Как компания мы все атаки рассматриваем сначала в техническом аспекте, без атрибуции. Для нас вирус — это вирус, попытка подбора пароля — это попытка подбора пароля. Наша первейшая задача — предотвратить инцидент. Потом понять, с чем случившееся может быть связано.

И по нашему опыту, большинство атак — наверное, 98% — совершают не государства против государств, а организованные преступные группы, вооружённые самыми передовыми технологиями. Любое государство по уровню подготовки, по средствам нападения ощутимо отстаёт от любой профессиональной преступной группировки, связанной с хакерским сообществом.

Компьютерная преступность превратилась в гигантский бизнес, где зарабатываются огромные деньги. Есть атаки, которые длятся десять минут и позволяют украсть 320 млн, 640 млн рублей (это конкретные случаи, произошедшие в 2017 году). Суммарно — сотни миллионов долларов. Это стало очень просто.

Масса атак на процессинг, на POS-терминалы, да и криптовалюты дают уйму возможностей для монетизации. Эти группировки имеют возможность получать лучшие таланты из любой точки мира и щедро платить им.

Я не знаю и стараюсь не знать, как выглядит киберармия. Но давайте потеоретизируем. По каким причинам молодой профессионал должен захотеть выбрать профессию «кибервоенного»?

Наверное, сначала ему дорога в университет, потом, возможно, в военный университет, в дальнейшем его абсолютно точно ждёт невыезд за рубеж и зарплата меньше рыночной при работе в условиях армейской структуры. Кто он — человек, которому не терпится встать на такой путь?

Неудивительно, что все мощнейшие технологии, все основные таланты сосредоточены на стороне преступности. А противостояние между странами существует, но на фоне борьбы обычных хакерских группировок это пока капля в море; ну, возможно, всё изменится и в 2018 году будет что-то новое.

Противостояние стран постоянно освещается в прессе: взлом американских выборов, истории с Трампом, с Хиллари Клинтон. Вот уже полтора десятка лет это один из заметных пунктов медийной повестки. Кажется, что он очень важный. На самом деле нет. Преступность политикой почти не интересуется.

В основном её схемы связаны с монетизацией. Это вирусы, шифровальщики, воровство денег, мошенничество и контрафакт в интернете, пиратство, нелегальные торговые площадки, онлайн-продажа наркотиков и детской порнографии, сервисы по взлому, — тьма всевозможных «индустрий». Поэтому короткий ответ на твой вопрос такой: противостояние между государствами в электронном формате сильно преувеличено.

В информационной безопасности и киберпротивостояниях дело явно упирается в конкуренцию за таланты.

Да. Вообще, рынок компьютерной преступности безумно конкурентен. Например, вирусописатель, который делает вредоносную программу, конкурирует с другими вирусописателями. Хакер выбирает, у кого купить.

Объявления о продаже выглядят как предложения легальных софтверных компаний. У них круглосуточная поддержка, они борются за качество сервиса, за качество обновлений, за уменьшение «детекта» (чтобы вирус работал на компьютерах с антивирусами).

Тогда как государство не совсем понимает, что такое конкуренция. У него, по большому счёту, нет конкурента. Это ещё одна из причин того, почему инструменты классической организованной преступности, на мой взгляд, инженерно круче, чем инструменты, используемые государством, по крайней мере те, которые нам удавалось исследовать.

Я вижу три силы: коммерческие хакеры, коммерческие антихакеры, кибервойска. Как они будут взаимодействовать между собой в ближайшие годы?

И четвёртая сила — кибертерроризм. Связанные с экстремистскими движениями люди, чья задача — совершить деструктивное действие, которое приведёт к человеческим жертвам.

Туда идут талантливые фанатики?

Да. Что опаснее всего. Чуть отклонюсь в сторону: скорее всего, история человечества будет развиваться не по тому плану, по которому я хотел бы, а, к сожалению, по классическому. Кибероружие радикально отличается от оружия обычного одним простым качеством: если ты запускаешь вирус в сеть или у тебя утекает исходный код, миллионы людей по всему миру могут его дуплицировать.

В 2017 году произошла утечка The Shadow Brokers, которая позволила миллионам хакеров пользоваться наработками, предположительно, некоего государства (TSB — хакерская группировка, получившая известность благодаря тому, что выложила в открытый доступ часть «киберарсенала» Агентства национальной безопасности США — vc.ru).

Цифровое оружие как калашников: его с равным успехом могут использовать террорист и солдат, метод доставки исполняемого файла в защищённые сети почти одинаков.

По уму, на цифровое оружие следует объявить мораторий. Так, чтобы любое компьютерное преступление рассматривалось только с криминальной точки зрения. Если по интернету расползается очередной вирус, мы должны быть уверены, что он запущен не террористами и не каким-либо государством. В соответствии с такой логикой преступление подлежит расследованию, чтобы создателя зловредной программы идентифицировали и посадили в тюрьму.

За примерами того, как политизируется инфобезопасность, далеко ходить не надо. Американцы считают, будто хакеры, находящиеся на территории России, повлияли на выборы в США. А в Россельхознадзоре уверены, что их взломала PepsiCo и украла у них документы. Всё это говорится в публичном пространстве. Притом что истории одинаковы по глупости.

Для общества важно, чтобы преступление было расследовано до конца, потому что это делает его, общество, безопаснее. В свою очередь, для расследования компьютерных преступлений нужны криминалистические исследования. А без наличия машины, за которой работал злоумышленник, без её исследования уголовное дело не завершить.

Даже если правы американцы, даже если в какой-то отдельной вселенной прав Россельхознадзор, то, когда человек, ещё не будучи задержанным, услышит, что его подозревают в его причастности к инциденту, он выбросит свой компьютер, сменит юрисдикцию и заляжет на дно. А значит, мы никогда в жизни не раскроем преступление, более того, даже не сумеем ответить на вопрос, было ли оно действительно совершено.

В идеальном мире американские политики сначала садятся за стол переговоров вместе с сотрудниками российских правоохранительных органов и говорят: «Коллеги, мы подозреваем, что с вашей территории было произведено вмешательство в наши выборы. У нас с вами два варианта. Либо мы вместе будем эту историю расследовать и найдём виновных, которые, возможно, не связаны с вашим государством — просто действовали с территории России или мимикрируют под вас…» — а это популярный приём, хакеры в последнее время стараются быть похожими на кого-то другого, чтобы усложнить расследование, — «…либо мы устраиваем политический скандал и вводим дополнительные санкции против вас».

К основной теме. Кибертеррористов пока очень мало, и они в техническом отношении отстают от финансово мотивированных хакеров. Когда же они научатся пользоваться кибероружием, которое постоянно утекает в сеть, произойдёт теракт, в котором погибнут люди.

Состоится сессия ООН, после неё будет введён мораторий на разработку цифрового оружия и будет создан единый формат международного расследования компьютерных преступлений. Нечто подобное происходило после Первой мировой войны, после Второй мировой войны, после Карибского кризиса.

Опыт 2017 года, когда три простейших вируса — Petya, WannaCry и Bad Rabbit — клали не худшим образом защищённые предприятия в России, включая государственные, включая критически важные инфраструктурные объекты, показывает, что мы не готовы к кибероружию.

Повторюсь, лучше всего не допустить подобного и на международном уровне ввести мораторий на цифровое оружие. Но, по-видимому, этого не произойдёт.

А когда-нибудь мы к кибероружию будем готовы? Я не верю, что даже новое поколение, digital natives, станет достаточно осведомлённым, а главное, внимательным и дисциплинированным для того, чтобы выдерживать те рамки, в которых возможно предотвращать или сдерживать распространение цифровых угроз.

Думаю, достаточно, чтобы сменилось одно поколение. Уже много молодых людей понимает, что информационная безопасность, начиная с поведения в соцсетях, влияет и на личную жизнь, и на финансовую безопасность их семьи, и на репутацию, и на безопасностью их компании, и на национальную безопасность.

Тебе кажется, что это легкомыслие выветрится? По-моему, оно качество общечеловеческое и не зависит от поколения.

Мы живём в эпоху, в которой одновременно совершается много революций. Из-за того, что происходит столько событий, связанных с новыми технологиями, мы перестаём это замечать. Не все отдают себе отчёт в том, что телефоны, интернет, видеозвонки, социальные сети, быстрое распространение информации сделали невозможными многие войны на Земле.

Наше время — самое безопасное за всю историю человечества. Вероятность умереть от физической угрозы сейчас минимальная за всю историю нашего вида. И во многом благодаря информационным технологиям. Пропаганда перестала работать из-за того, что люди очень быстро обмениваются правдивой информацией.

Однако злых людей меньше не стало: с ростом человеческой популяции их, наоборот, становится больше. И они находят применение себе в интернете. Значит, вероятность отхватить что-то плохое гораздо выше в сети.

Простой пример. Мы помогали вести расследование по преступной группе, потом она растворилась. Занимались её члены кражей автомобильных номеров в Москве. Ходили по дворам, скручивали номера.

Дело было года три назад, когда за отсутствие номера выписывался внушительный штраф. И оставляли информацию: нужно перевести деньги на счёт в одной платёжной системе, и после оплаты хозяину машины скидывали указания, где искать номер (его оставляли в «закладке»).

Когда автовладельцев перестали штрафовать за отсутствие номера и стало легко получить его дубликат, группа исчезла. Какое-то время спустя у нас началось другое расследование, связанное с вирусами-шифровальщиками. И обнаружилось, что давешняя ОПГ «переквалифицировалась» именно на работу с шифровальщиками.

Раньше за день они скручивали около сорока номеров. А теперь за то же время рассылают 200 тысяч экземпляров вируса-шифровальщика. Средняя стоимость расшифровки криптографически закодированных данных — $30-50. Совсем другой объём бизнеса.

Так что, надеюсь, со сменой поколений люди начнут по-другому относиться к своей информационной безопасности.

Блиц

У тебя есть в личном владении криптовалюты? Если да, то в каком количестве и какого типа?

Да, биткоин. Точное количество не назову, но приличное. И курс меня очень радует.

Давно купил?

Давно.

За что последний раз ты уволил человека лично?

За троекратное повторение ошибки. У меня правило: если человек повторяет ошибку три раза и не учится на ней, мы с ним расстаёмся.

Ты заклеиваешь скотчем камеру на ноутбуке?

У меня там выключатель, позволяющий вырубить камеру в нужный момент.

Часто выключаешь?

Периодически.

Самая бездарная попытка хакерского взлома на твоей памяти?

Когда системный администратор, переписываясь о хищении денег со своей корпоративной почты, украл 11 млн рублей.

Русские преступники по-прежнему самые изощрённые?

Русскоговорящие. Они живут по всему миру.

Сколько месяцев или лет ты носишь свой самый любимый предмет гардероба? Есть ли такой?

У меня есть любимые запонки, которые я ношу лет десять. Это мои первые запонки, я их надеваю в сложных ситуациях: они меня, что ли, вдохновляют.

Это интервью — сжатое изложение 320-го выпуска аналитической программы «Рунетология». Полная версия — на Soundcloud.

#интервью #рунетология

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Maxim Spiridonov", "author_type": "self", "tags": ["\u0440\u0443\u043d\u0435\u0442\u043e\u043b\u043e\u0433\u0438\u044f","\u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e"], "comments": 16, "likes": 21, "favorites": 1, "is_advertisement": false, "subsite_label": "story", "id": 31596, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 31596, "author_id": 79772, "diff_limit": 1000, "urls": {"diff":"\/comments\/31596\/get","add":"\/comments\/31596\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/31596"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199131 }

16 комментариев 16 комм.

Популярные

По порядку

Написать комментарий...
7

Мужчина видный, и интервью даёт много, и званий и наград много.
Во-первых, конечно завидно - сделал за $5000 с друзьями в ВУЗе фирмочку и довольно быстро from rags to riches, в Топ-7 компаний по инфо-безопасности. Честно - в голове не укладывается, как можно развиться так быстро, с базовыми (очевидно), знаниями по комп. безопасности и набором хакерских инструментов - ведь тысячи студентов обладают тем же самым, где их компании?
 
Во-вторых, очень мало конкретики, точнее, ее вовсе нет - может быть, проблема связана с задаваемыми вопросами ... Конкретно - какой у Group IB рабочий инструментарий - что они практически делают при расследовании - когда все удалено и почищено полгода назад?
 
В-третьих, неясно как у частной компании получается что-то расследовать, если любой запрос в VK, Mail.ru, Gmail от частного лица или организации по поводу _действительного_ взлома возвращается с пометкой "информация может быть предоставлена только по обращению правоохранительных органов".
 
За последние 3-5 лет у многих знакомых ломали и ВК, и почты, и Скайп. Ни одна попытка докрутить "расследование" до конца ни к чему не привела - поддержка всегда посылает. Еще 5-7 лет назад можно было узнать хотя бы IP злоумышленника (хоть что-то), теперь и этого не сдают в поддержке, только если сам увидишь в коротеньком логе.

Резюмируя: должен быть у Group-IB канал, позволяющий получать данные от провайдеров и веб-сервисов на эксклюзивных условиях - грубо говоря ФИО по номеру телефона, GPS трэкинг по IMEI, история браузинга в сети провайдера по Mac адресу, и так далее.

Ответить
4

Ниже 2 реальные истории расследования инцидентов без адм. ресурса. Никому ничего не надо, и никто ни за что не отвечает. Уточняю - еще 7-9 лет назад, при аналогичных выяснениях сотрудники MailRu, Yandex почты, провайдеров - шли навстречу и помогали искать источник возникновения проблем - а теперь все откатилось на формализм и copy&paste из FAQ, живого содержательно ответа от специалиста получить почти невозможно.
 
Весной 2016 помогал даме с постоянными взломами ее ВК. Перебрали все - и гаджеты и роутер (на предмет левых DNS), виновником оказалось Android приложение для скачивания музыки из ВК, толи код которого был модифицирован хакерами, толи база пользователей которого была незащищена - в итоге после установки приложения через 1-2 дня гарантированно от ВК экаунта начинал идти спам. Написал разработчику "Нет, меня не ломают, у меня 100 000 скачиваний", написал в Google Play (тишина), написал в ВК "Мы не можем запретить приложение, даже и вирусное, оно осуществляет доступ по API". Просто снесли это приложение и все.

С октября 2017 пробую понять почему компьютер самопроизвольно ломится на datadrivensolution . com (не заходить, потенциально опасная ссылка). С помощью Eset Support (форум) полностью перебрал все способы детектирования ... домашняя сеть оказалась чиста. Самостоятельно нашел сайт, который вызывает срабатывание (возможно ложное). Проверил с компьютера из другой сети (срабатывание есть), проверил на компе с Касперским (срабатывания нет). Написал админам сайта - тишина. Написал хостинг-провайдеру сайта - тишина и предложение разбираться с админами. Написал в Касперского - проверили сайт, вредоносного кода не нашли. Написал в Eset по почте - ответили бредом (сейчас support по почте это генератор случайных копипастов). Все же, написал повторно, дали адрес словацкой virus lab. Написал им, тишина, написал повторно - "Чтобы не было срабатывания проверьте код сайта". Написал третий и четвертый раз - тишина. Написал в ветку Microsoft support, случайно найденную по слову datadriven - через 3 дня тупо ответили "обновите Windows Defender" - ага, на XP :)

Ответить
0

/// Тут был чей-то комментарий, немного странный по звучаю, его потерли ///
Его автору: Нет, я не вижу в Илье Сачкове, того, о чем сказали Вы.
Для того чтобы больше узнать о нем, нужно поискать "Илья Сачков биография" и найти, например вот это https://www.tatler.ru/geroi/ilya-sachkov-o-tom-kak-zarabotat-na-lovle-hakerov-bolshe-chem-na-nefti
"Илья родился в Измайлово. Родители (папа — физик, мама — информационный аналитик Центробанка) отдали его в знаменитую четыреста сорок четвертую, с углубленным изучением математики и информатики (потом он из школы "выгнался", потом вернулся)
...
Читайте дальше - там _действительная_ история становления борца с киберпреступностью - вполне типичная - хулиганство (довольно тяжелое), развод родителей, серьезная угроза жизни и здоровью (операция), и изменение взглядов после прочтение книжки в больнице.
...
А дальше "Через тринадцать лет уровень опасности в жизни Сачкова заметно вырос и продолжает расти с каждым новым расследованием" - и это кстати не шутки совсем.
...
В Википедии о личной жизни тов. Сачкова написано что был женат и разведен - это тоже типичная история для мужиков, горящих своим делом, в первую очередь.

Ответить

Комментарий удален

0

А можно данный эпос подкрепить конкретикой?

Ответить

Комментарий удален

1

Я вообще-то спрашивал про то, что вы написали, что персонаж мерзавец, и в итоге добро победит таких мерзавцев. Но ни одного слова что конкретно персонаж сделал не было сказано. А вы продолжаете поток мыслей писать дальше:(

Ответить

Комментарий удален

Комментарий удален

–1

Статья хороша.
А вот свои btc, герою статьи, нужно спешить продавать :)

Ответить
0

Я не уверена что у них раскрываемость на уровне хотя бы 10%

Ответить
2

Тут важно, что у остальных и такой нет, я думаю.
Но как они ее добиваются, из заметки неясно.

Ответить
0

Светлана, смотрите какая штука. Group-IB — это не киберполиция. Компания не занимается оперативно-розыскной деятельностью, не задерживает и не арестовывает киберпреступников. Задача другая - изучив инцидент, собрать необходимые цифровые доказательства и построить цепочку связей, рассуждений, коррелирующих признаков, которые помогут службе безопасности компании или правоохранительным органам отправить преступников за решетку. За 15 лет работы у Group-IB накопилось множество успешных совместных кейсов с российскими и международными правоохранительными органами. Были разгромлены несколько преступных групп, а их участники оказались за решеткой (Cron, Carberp, Hodprod, Germes). Другая часть киберпреступников после публикации отчетов ”залегала на дно” или прекращала свою деятельность (Buhtrap, Anunak, Corcow). А некоторые хакеры – в их числе MoneyTaker – стали известны правоохранительным органам и широкой аудитории благодаря кропотливому труду команды, выпустившей открытый отчет об этих преступниках для того, чтобы снизить вероятность новых успешных атак и «вооружить» рынок знаниями. Подробнее кейсы можно посмотреть здесь: https://www.group-ib.ru/investigation.html#case

Ответить
2

Отчеты прочитал, читаются интересно. Особенно про то, что номиналы купюр для выдачи в банкомате хранятся в области приложения в реестре Windows - это даже удобнее чем в .sav файле в игре, где нужно подрисовать себе hex editor денег :)
Т.е. действительно достаточно поменять пару номеров в реестре, чтобы банкомат выдавал 5000 купюры, думая что выдает из кассеты со 100 рублями ... А поскольку банкоматы под удаленным управлением из банков, то ... короче тут привет от сервисных инженеров, в большей степени чем от кулхацкеров ..

1. "Собрать необходимые цифровые доказательства." Здесь все равно неясно напрочь как. Либо организаторы светятся на финальной стадии получения средств, либо у Group-IB хватает адм. ресурса _додавить_ имеющиеся неполные данные (IP адрес, сотовый телефон, MAC адрес), до их фактического владельца.
 
2. "Несколько преступных групп". Описание работы преступных групп показывает общее наплевательское отношение к безопасности - из-за которого, очевидно, и преступники тоже работают спустя рукава.

В статье конечно не помешал бы реальный совет частным лицам и организациям - что делать при подозрении на коммерческий взлом, и сколько конкретно стоят услуги Group-IB - от какой суммы начинается разговор?

Изрядно давно, на руках у нас оказался факт взлома почты и IP шник человека, который в нее входил (конечно, аж из Южной Америки, т.е. через прокси), и мы даже знали этого человека в РФ с высокой вероятностью. Т.е. дальше все просто - как-то выяснить его MAC адрес, телефонные звонки, совпадающие по времени со временем взлома, и его _легальную_ сетевую активность в то же время - косвенных доказательств было бы более чем достаточно, но их нам никто бы не выдал.
 
Консультация с адвокатом + знакомыми в силовых структурах помогла понять, что за попытку наказать взломщика нужно потратить ~ 1 год и заплатить более 20 000 евро (не взяток, а на комплекс мероприятий по первой и повторной экспертизе, подача и переподача заявлений, писание жалоб, когда их будут игнорировать и так далее).
Почему? Потому что тогда не было практики по таким делам, и пришлось бы быть пионером, протаптывая путь для других .. Не стали связываться в итоге.

Ответить
0

т.е. Вы у нас своеобразное детективное бюро?

Ответить
1

Своеобразие состоит (как мне кажется), в том, что люди похоже имеют агентов в конкурирующих хакерских группах и в DarkNet, и изрядную часть времени тратят на просеивание закрытых от посторонних форумов и т.д. - т.е. по сути являются частью мировой хакерской тусовки.
 
Т.к. чисто академическими методами - отслеживание современного инструментария хакеров, ловля следов его использования при обследовании корп. сетей - таких весомых результатов добиться было бы тяжеловато.
 
Интересно, куда админы этих контор смотрят, что апдейты не ставят, и траффик не мониторят - в норм. конторе не поставишь ни TeamViewer, ни тем более уже 2-3 года как серьезно скомпрометировавший себя Ammyy Admin (там вроде в дистрибутив на сайте сразу подкладывали троян, и отдельные товарищи запускали сканеры по всем открытым Ammmy админ идентификаторам - ведь по умолчанию там нет пароля на подключение :(

Ответить
1

Есть классная книга про даркнет где указывается что хак группы образуется локально и случайно что снимает вопрос засланых казачков

Ответить
0

Я прощу прощения, но хак группы были интернациональны еще в конце 80-х годов, одна их основ их выживания - знание друг друга под сетевыми никами, без доп. подробностей, что регулярно и доносят нам сетевые новости все эти годы.
Отдельные члены группы могут выборочно знать других, но не каждый каждого.

Ответить
1

дело не в том, что есть засланные казачки. хотя и они всегда у всех есть)
скорее все таки в том, что ребята очень крепкие и идейные профы.
+ конечно, русскоговорящая тусовка очень сильная. во многих случаях, подозреваю, достаточно покопаться в памяти, потом, упрощенно набрать номер и спросить у нужного человека в нужном месте нужную штуку.
специфичные группы профессионалов всегда достаточно узкие.

Ответить
0

Ага. И похоже только благодаря им, специализированный софт хоть как-то развивается. Помню корейский фильм, где банкомат обслуживающая компания "забыла" вывести из сервисного режима, и он выдавал крупные купюры в ответ на любое снятие средств.

Ответить

Комментарий удален

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления