Андрей Баранович (Sean Townsend) – белый хакер, от операций которого действительно горят задницы на россии. Еще с 90-х годов он развивал портал VX Heavens, посвященный изучению вирусов. Этот проект просуществовал почти двадцать лет, его ежемесячно посещали 100К неравнодушных к достаточно узкой теме людей со всего мира. Однако в 2012 году МВД изъяло сервера проекта.
Более широкому кругу Андрей стал известен в 2014 году, когда создал хакерскую группу RUH8. Она взламывала информационные системы русских воинских частей, разведки, региональных правительств и верхней палаты русского парламента.
Впоследствии Андрей вместе с другими украинскими хактивистами объединились в Украинский киберальянс. И здесь не обошлось без посещения полиции. К Андрею и его коллегам из альянса в 2020-м приходили правоохранители с обысками, потому что считали, что они были причастны к взлому ИТ-системы Одесского аэропорта. Это так и не удалось доказать.
Мы записали большое интервью с Андреем Барановичем. Он вспомнил, с чего начинал свой путь в кибермире, как нашел способ воровать пароли и обходить двухфактор в «Приват24», рассказал, как ломал аккаунты важных персон «ЛНР», которые цели обрабатывал вместе с нашими военными. Также поделился мнениями о том, появились ли уже в Украине настоящие кибервойска и что нужно сделать для их становления.
И еще много всего о изломах и уязвимостях «Аэрофлота», «Киевстара», «Действия». О случившемся с основателем известного киберфорума xxs. А также какой мессенджер и какой бекап самый надежный.
– Расскажи о себе. С чего ты начинал? Почему решил, что хакинг – это твое?
– Компьютеры меня заинтересовали еще до школы. Мне не нужно было ничего решать, как и многие мои ровесники я сразу понял, что с этим устройством меня ограничивает только собственная фантазия. Проблема была лишь в том, что в стране мороженого и победившего социализма компьютеров было еще меньше, чем секса, даже в городах-миллионниках, таких как Донецк. Сейчас, когда телефон у каждого в кармане и подключен к сети, уже сложно представить мир, в котором телефоны были надежно привязаны проводами к АТС, а доступ к компьютерам — преимущественно поделкам типа Радио, Синклеров и советских уродов — приходилось выискивать.
Так как нормальной документации до этого не было, и никаких сетей тоже, игры с компьютером превращались в хакинг (в первоначальном смысле этого слова). Затем, когда учился на прикладной математике, в середине 90-х появился доступ к ФИДО (международная некоммерческая компьютерная сеть, созданная в 1984 году – Ред.). Меня привлекали «бесполезные» задачи — обход защиты (легального ПО практически не существовало), демодизайн и компьютерные вирусы, которые потом очень надолго станут моим хобби.
Если не записывать в CV редактирование хранилищ от компьютерных игрушек, то большой проект – это обычно портал VX Heavens (МВД его серверы в 2012 году – Ред.), посвященный исследованию компьютерных вирусов. Если говорить о сетевом хакинге «как в фильмах», то лет пятнадцать назад «Приватбанк» начал программу баг-баунти, и я тут сразу нашел способ воровать пароли и обходить двухфактор в «Приват24» . К тому времени я успел поработать сетевым администратором и программистом.
– Кстати, почему Sean Townsend? Ты когда-нибудь рассказывал, как этот ник родился?
— Мне нужен был ник с паспортом, поэтому я взял почту «министерства» информации «ДНР» и выбрал там паспорт по аккредитациям. Настоящий Шон – техник в съемочной группе. Надеюсь, то, что я напросился к нему в тезки, ему не мешает.
— Как ты втянулся в войну с Россией?
— Одновременно с аннексией Крыма и вторжением в Донбасс сразу начались хакерские атаки. Костя Корсун (эксперт по кибербезопасности — Ред.) тогда собрал закрытую встречу, на которой собрались ИБ-шники, бизнес и все службы, так или иначе касающиеся безопасности. Потому что речь шла исключительно о защите, было скучно.
Потом, уже в марте, знакомые из СБУ попросили посмотреть почтовый ящик. К ней мы подобрали пароль перебором и владельцем оказался некий Алексей Карякин (политический деятель так называемой ЛНР). Чтение оказалось интересным, так что против «председателя верховного совета» СБУ сразу открыла одно из первых дел по статье «государственная измена». Тогда же было несколько больших изломов — государственная дума, астраханская администрация . В 2016 году, после успешного взлома оренбургского правительства, мне написал Рома Бурко из «Информнапалма» и пригласил в Ukrainian Cyber Alliance.
— Украинский киберальянс — сколько хакеров/киберэкспертов? И какому по численности формированию хакеров в России мы противостоим?
— Участники меняются, в 2019 пошли Flacons Flame и Киберхунта, зато недавно присоединились UHG. Точное количество участников – секрет.
Мы не противостоим другим хакерам, так бывает очень редко. Кибер — специфический домен, где атакующие практически никогда не сталкиваются друг с другом.
— Я помню, что у меня было интервью с эксголовой киберпола в Киеве, за месяц до старта широкомасштабки. Он тогда еще говорил, что судить нужно по хакерской активности россиян — начнется ли война. И тогда она активировалась. Возможно, помнишь атаки на госсайты и реестры в 2022 году, январь-февраль. Ждал ли ты начала войны?
— Мы много спорили о том, когда именно начнется вторжение, коллеги консервативно делали ставки на весну, я думал, что перед подготовкой к войне мы увидим передел большой собственности. Иногда к таким разговорам присоединялись знакомые по разведке. Естественно вторжение, как и предполагалось, началось с хакерской атаки с 13 на 14 января. Госспецсвязи насчитала до семидесяти атакованных правительственных учреждений. Хакеры из части 29155 (подразделение российской военной разведки ГРУ — Ред.) устроили клоунаду, но то, что счет пошел на дне, было очевидно.
— События чуть раньше — в конце 2021 года десктопную версию «Действия» якобы из-за софта подрядчика. Это было действительно так? И могла ли эта операция быть подготовкой к широкомасштабной войне?
— В 2021 году один из волонтеров прислал мне ссылку diia.gov.ua/.git/config (что позволяет скопировать прод-систему), уязвимость тогда по-тихому прикрыли, но это много рассказывает о том, как Минцифры относится к безопасности. В ходе январских атак портал «Действие» был сломлен, как и все остальные (включая реестры МВД). Российская военная разведка потом публиковала данные, и у меня была возможность убедиться, что они подлинные.
— В интервью каналу HackYourMon , что за европейский спутник связи KA-SAT, который положили в начале войны россияне (и на котором была завязана к тому времени спутниковая связь в Украине, не было еще доступа к Starlink), вы, можно сказать, отомстили, положив год. дальше. Как ты оцениваешь вред русский от этой атаки? На что она повлияла?
— Отсутствие связи всегда неприятно, особенно в труднодоступных местах, где кроме спутника никакой другой связи нет. Но эту операцию мы проводили вместе с военными, они же настояли на том, чтобы операция проходила «под чужим флагом». Думаю, что получилось, в конце концов, должно со временем рассказать ВСУ.
— в июле этого года. Сотни рейсов задержаны в Москве. Кто ее провел? Из-за какой уязвимости могли положить систему? Можно ли повторить?
— Атаку провели Киберпартизаны из Беларуси и украинцы из Silent Crow. Обычно люди думают, что если система большая и важная, то и атака должна быть чрезвычайно инновационной и сложной. Это не так. Уровень безопасности и воспринятая важность никак не связаны между собой. Подробностей излома я не знаю. Сотрудник мог нажать не на ту ссылку и запустить стилер (stealer, или похититель — Ред.), где-то валялся заброшенный и дырявый сайт, где-то не прикрыли порт, где-то потеряли пароль.
— Администратор одного из самых влиятельных форумов даркнета xss.is «Тоха», спецслужбы Украины и Франции: знаешь, что с ним сейчас? Что с xss.is? Верно ли, что зеркалами форума сейчас руководят наши спецслужбы?
— Я думаю, что об этом нужно спрашивать у СБУ, но судя по панике, которая началась в криминальном андеграунде, вероятно, что арестовали именно «Тоху», а он — личность легендарная, кроме XSS , он создатель Exploit — старейшей и очень влиятельной площадки в криминальном андеграунде. Не исключено, что СБУ и французские спецслужбы пытаются выжать еще капельку по контролю над форумом, и с этим и связано их молчание.
— Кибервойска в Украине: есть ли у нас они? Есть ли хорошо подготовленные спецподразделения, которые могут атаковать русские объекты, защищать нашу ИТ инфраструктуру?
— Официально никаких кибервойск (несмотря на подписанный указ президента) у нас нет. Однако почему-то ГУР и СБУ полностью открыто говорят о проведенных кибератаках. Подразделения киберзащиты были всегда, об их эффективности можно спорить, но никаких вопросов они не вызывают.
– А как это может быть? Координационный центр военные+гражданские? Или рабочая схема? Не будет ли хаоса?
— Для начала в ВСУ должен появиться новый род войск. Потому что сейчас нет официального потребителя и все работает на горизонтальных связях. Там будет много проблем, но нужно с чего-то начинать. По официальному признанию, что Украина ведет наступательные кибероперации и формирование соответствующих войск (сил).
— Чей вклад в кибервойну больше: хактивистов или контролируемых государством подразделений?
— Мне не нравится слово «хактивист», хактивисты обычно занимаются внутренней политикой, а не войной. Думаю, что независимо от того, занимаются ли взломом военные или гражданские, государству уже давно пора как-то, если не возглавить, то хотя бы скоординировать всю эту деятельность.
— В интервью был такой вопрос, но сформулирую его еще раз: кто выиграет кибервойну — россия или мы?
– Это не соревнование. Если вы еще не на колыме с лопатой, то войну мы не проиграли. Хакинг – такой же инструмент войны как артиллерия, дрон или радиоэлектронная разведка. Выиграет ли наша артиллерия у русского? Сама формулировка вопроса бессмысленна. Можно спросить, справляется ли она с задачами и что нужно сделать, чтобы справлялась лучше, но не о том, кто выиграет.
- Утечка данных из мессенджеров - распространенная практика. Какой мессенджер самый защищенный?
— Защищенный от кого? И кого мы защищаем? Уязвимости есть у всех мессенджеров, и ни один мессенджер вас не защитит от собственных ошибок, когда вы кликаете на что-либо. Сейчас популярен Signal, но ни Signal, ни более экзотические варианты не защитят вас от спирфиша (spear phishing — мошенническая кампания, во время которой хакер или кто-то другой с плохими намерениями получает контактную информацию человека с привилегированным доступом — Ред.) или других ошибок.
– А какие ты мессенджеры используешь?
– В основном Signal. И Telegram (никаких особо важных переписок). Иногда приходится просто пользоваться Wire, Threema, Matrix, Keybase, Jabber, Tox просто потому, что там сидят нужные мне люди.
— Сколько времени нужно хакеру по поводу целенаправленной атаки на ресурс? И сколько времени оно может оставаться незамеченным в системе?
— Это вопрос удачи, да и атака не обязательно должна быть целевой, она может быть секторальной, часто нам все равно сломаем мы завод или подрядчика, который делает софт для завода, или даже не этот завод, а другой того же профиля. Но если мы попали внутрь, то можно там сидеть годами. Возвратиться можно при необходимости.
— Если хакерская атака направлена на данные компании/госоргана, и бекап этих данных также трется, то можно ли каким-то образом восстановить данные? Есть так называемые неизменные бекапы — они панацеей? Следует ли их использовать?
— Люди просто разучились делать бекапы. Если у вас резервная копия хранится в хранилище и на ленте, и то и другое онлайн в той же сети, это значит, что у вас есть только «горячий» бекап. Он может оградить только от технических сбоев. Восстановиться можно с холодных бекапов, ну или пытаться все настраивать и восстанавливать с нуля.
— Представим, что бекап изменить нельзя, изменения возможны только, допустим, через год. Как ты думаешь, надежно ли это?
— А когда снесут облачного провайдера, тогда что? Холодный бекап – это очень «простая» вещь. Стопка винчестеров или кассет, которая не подключена ни к чему. И лежит в сейфе. Желательно в двух экземплярах в двух разных местах. Делать такие бекапы регулярно, обеспечивать их безопасность (физическую) и так, чтобы ни разу носитель не оказался онлайн — очень и очень трудно. Нуждается в адской дисциплине.
– Неизменные бекапы можно «выключать» – тогда они физически недоступны в системе, и злоумышленник не может о них узнать. А по сейфу сразу возникают вопросы физической безопасности такого хранилища. Может быть, — надежнее?
— Это зависит от того, как это реализовано. Может, поможет, а может, и нет. Если это софтовая реализация, ее можно сломать, если аппаратная, то воспользоваться окном, когда открыт открытый на запись и записать туда мусор. На самом деле не сталкивался ни разу. Так что это, скорее, экзотика.
Я просто вот к чему это говорю. Можно ли сделать нормальный бекап и восстановиться после атаки? Бесспорно можно, и вариантов много. «Холодные» офлайновые бекапы – классическое решение, но не единственное. И это не столько технический вопрос, сколько вопрос политики и дисциплины. И практика показывает, что в 95% случае отсутствует и то, и другое.
Если мы придем на форум админов и поднимем эту тему, они будут неделями обсуждать тысячи вариантов решения проблемы (и они даже правы в том, некоторые их решения, если их реализовать полностью и неукоснительно — помогут), только я очень редко вижу компании, которые сказали бы «нас потерли/зашифровали», но мы заифровали.
— Есть ли у россиян перечень бизнесов/госорганов, которые собираются ломать в ближайшее время? Иными словами, есть ли план или все хаотично?
— Без сомнения, у них есть приоритеты и своеобразная логика в том, как они выбирают цели. Иногда даже могут устроить ответ (как было, например, со страховыми компаниями), но общей стратегии не просматривается.
— Какие риски взлома у компаний, размещающих данные в глобальных облаках, по сравнению с локальными облаками, местными ЦОДами, собственными серваками?
— В зависимости от администраторов облако имеет только то преимущество, что там за резервные копии отвечают администраторы провайдера.
Так что здесь нельзя полагаться ни на кого. Ибо следующей целью может стать облачный провайдер.
— Какова вероятность у рандомной украинской компании, что она в зоне риска, в зоне интересна российским хакерам?
– Мы все – цель для агрессора. Независимо от размера и профиля компании она будет целью, это такая же изматывающая реальность, как и ежедневные обстрелы и налеты.
— Интересна твоя версия в этом году. Когда даже билеты купить было нельзя почти неделю. Мои инсайдеры говорят, что во время расследования инцидента сотрудниками собственных компьютеров нельзя было трогать. Кто стоит за атакой? Что сломали? Что украли/стерли? И с «Киевстаром» — что же произошло два года назад, когда на неделю легла вся сеть? Был ли предатель внутри компании, сливший доступы?
— За УЗ я просто не знаю, ответственность за «Киевстар» взяло на себя одно из подразделений ГРУ. Думаю, украли все, что имеет ценность. А это и логи звонков и личная информация, и возможность отслеживать геопозицию, даже удивительно, что они решили в конце концов свергнуть сеть, а не скачивать оттуда информацию. И, как я уже говорил, размер и важность компании и ее безопасность – это не связанные вещи. Детский садик может оказаться лучше защищенным, чем национальный оператор.
— Какие популярные языки программирования используют хакеры?
— Если смотреть на продукты (открытые или продаваемые на черном рынке), то все будет выглядеть так же как и у обычных разработчиков: C++, C, Java, PHP, Python, немного реже — Rust, Go, да и ассемблер все еще встречается. Выбор языка не так важен.
— Как повлияло появление ИИ на деятельность хакеров/антихакеров?
— Что касается ИИ, то сейчас гораздо больше хайпа, чем реальных сценариев применения. Инструмент перспективен, но пока — решение в поисках задачи.
— Вот, например, была новость, что OpenAI , которые использовали российские, иранские и китайские хакеры. Может ли ИИ в качестве простого инструмента добавить атак масштаба и массовости?
— Я пока не знаю ни о каком случае, когда ИИ прибавил бы масштабы или массовости. ИИ может решать либо очень простые задачи, которые опытный хакер решит быстрее и лучше без ИИ, либо те задачи, которые не имеют непосредственного отношения к излому (о том, какие именно, я не буду рассказывать).
Именно в изломе и защите — в той работе, которую делают хакеры с одной стороны, а админы и безопасности с другой — ИИ практически бесполезен.
— Правда ли это , что российские хакеры недавно якобы сломали хранилище данных нашего Генштаба и украли 1,7 млн записей погибших солдат?
— Если это о Killnet и «1.7 миллионах потерь», то это естественно ложь. И Killnet ничего не способен сломать в принципе (что не значит, то изломов не было, но они могли быть в другом месте и с другими результатами).
Это не инфа, а обычная российская ложь, в которую даже российская ИБшная публика. Killnet — это просто шапито на выезде, но по какой-то не до конца понятной мне причине у них есть мощная медийная поддержка.
— Я чуть не забыл спросить: можно ли зарабатывать и нормально жить в такой деятельности, какой ты занимаешься? И соответствуют ли заработки уровню комфорта и уровню напряжения нервов в некоторых ситуациях (у тебя были обыски в 2020)? Может, обычная штатная должность безопасности в крупной компании — куда более простой путь? В чем суть?
— Смотря чем именно заниматься. Если зарабатывать на черном рынке, можно и заработать. Либо денег, либо срок. Заработок, как и всюду, будет зависеть от личных талантов. Проще работать на белой работе.
– За какую работу тебе могут платить? Или вы преимущественно за донаты работаете?
— В разное время я работал сисадмином, программистом и безопасности, опыта у меня достаточно, у меня есть легальные источники доходов, и я по этому поводу не переживаю.
— Потому что сложно представить контракт с белым хакером. Бывает ли такое?
– Почему нет? Слово хакер может действительно отпугнуть, а «специалист по информационной безопасности» норм.
- У вас собственный бизнес или работа по найму? Может, есть акции, биткоины, недвижимость?
— Я не хотел бы углубляться в этот вопрос, чтобы деятельность, связанная с войной и политикой, не сильно пересекалась с наполнением холодильника.
— Но если в общем — средств хватает, да?
– Да, пока хватает. Несколько раз мы собирали донаты, и они были потрачены на железо, конечно же, с отчетами и чеками.
— Всегда думал, что финансировать такие операции непросто.
— Это очень сложно и дорого, если человек с улицы захочет создать хакерскую артель. Если знаешь, как и что работает, все гораздо дешевле, но это много времени.
Более широкому кругу Андрей стал известен в 2014 году, когда создал хакерскую группу RUH8. Она взламывала информационные системы русских воинских частей, разведки, региональных правительств и верхней палаты русского парламента.
Впоследствии Андрей вместе с другими украинскими хактивистами объединились в Украинский киберальянс. И здесь не обошлось без посещения полиции. К Андрею и его коллегам из альянса в 2020-м приходили правоохранители с обысками, потому что считали, что они были причастны к взлому ИТ-системы Одесского аэропорта. Это так и не удалось доказать.
Мы записали большое интервью с Андреем Барановичем. Он вспомнил, с чего начинал свой путь в кибермире, как нашел способ воровать пароли и обходить двухфактор в «Приват24», рассказал, как ломал аккаунты важных персон «ЛНР», которые цели обрабатывал вместе с нашими военными. Также поделился мнениями о том, появились ли уже в Украине настоящие кибервойска и что нужно сделать для их становления.
И еще много всего о изломах и уязвимостях «Аэрофлота», «Киевстара», «Действия». О случившемся с основателем известного киберфорума xxs. А также какой мессенджер и какой бекап самый надежный.
– Расскажи о себе. С чего ты начинал? Почему решил, что хакинг – это твое?
– Компьютеры меня заинтересовали еще до школы. Мне не нужно было ничего решать, как и многие мои ровесники я сразу понял, что с этим устройством меня ограничивает только собственная фантазия. Проблема была лишь в том, что в стране мороженого и победившего социализма компьютеров было еще меньше, чем секса, даже в городах-миллионниках, таких как Донецк. Сейчас, когда телефон у каждого в кармане и подключен к сети, уже сложно представить мир, в котором телефоны были надежно привязаны проводами к АТС, а доступ к компьютерам — преимущественно поделкам типа Радио, Синклеров и советских уродов — приходилось выискивать.
Так как нормальной документации до этого не было, и никаких сетей тоже, игры с компьютером превращались в хакинг (в первоначальном смысле этого слова). Затем, когда учился на прикладной математике, в середине 90-х появился доступ к ФИДО (международная некоммерческая компьютерная сеть, созданная в 1984 году – Ред.). Меня привлекали «бесполезные» задачи — обход защиты (легального ПО практически не существовало), демодизайн и компьютерные вирусы, которые потом очень надолго станут моим хобби.
Если не записывать в CV редактирование хранилищ от компьютерных игрушек, то большой проект – это обычно портал VX Heavens (МВД его серверы в 2012 году – Ред.), посвященный исследованию компьютерных вирусов. Если говорить о сетевом хакинге «как в фильмах», то лет пятнадцать назад «Приватбанк» начал программу баг-баунти, и я тут сразу нашел способ воровать пароли и обходить двухфактор в «Приват24» . К тому времени я успел поработать сетевым администратором и программистом.
– Кстати, почему Sean Townsend? Ты когда-нибудь рассказывал, как этот ник родился?
— Мне нужен был ник с паспортом, поэтому я взял почту «министерства» информации «ДНР» и выбрал там паспорт по аккредитациям. Настоящий Шон – техник в съемочной группе. Надеюсь, то, что я напросился к нему в тезки, ему не мешает.
— Как ты втянулся в войну с Россией?
— Одновременно с аннексией Крыма и вторжением в Донбасс сразу начались хакерские атаки. Костя Корсун (эксперт по кибербезопасности — Ред.) тогда собрал закрытую встречу, на которой собрались ИБ-шники, бизнес и все службы, так или иначе касающиеся безопасности. Потому что речь шла исключительно о защите, было скучно.
Потом, уже в марте, знакомые из СБУ попросили посмотреть почтовый ящик. К ней мы подобрали пароль перебором и владельцем оказался некий Алексей Карякин (политический деятель так называемой ЛНР). Чтение оказалось интересным, так что против «председателя верховного совета» СБУ сразу открыла одно из первых дел по статье «государственная измена». Тогда же было несколько больших изломов — государственная дума, астраханская администрация . В 2016 году, после успешного взлома оренбургского правительства, мне написал Рома Бурко из «Информнапалма» и пригласил в Ukrainian Cyber Alliance.
— Украинский киберальянс — сколько хакеров/киберэкспертов? И какому по численности формированию хакеров в России мы противостоим?
— Участники меняются, в 2019 пошли Flacons Flame и Киберхунта, зато недавно присоединились UHG. Точное количество участников – секрет.
Мы не противостоим другим хакерам, так бывает очень редко. Кибер — специфический домен, где атакующие практически никогда не сталкиваются друг с другом.
— Я помню, что у меня было интервью с эксголовой киберпола в Киеве, за месяц до старта широкомасштабки. Он тогда еще говорил, что судить нужно по хакерской активности россиян — начнется ли война. И тогда она активировалась. Возможно, помнишь атаки на госсайты и реестры в 2022 году, январь-февраль. Ждал ли ты начала войны?
— Мы много спорили о том, когда именно начнется вторжение, коллеги консервативно делали ставки на весну, я думал, что перед подготовкой к войне мы увидим передел большой собственности. Иногда к таким разговорам присоединялись знакомые по разведке. Естественно вторжение, как и предполагалось, началось с хакерской атаки с 13 на 14 января. Госспецсвязи насчитала до семидесяти атакованных правительственных учреждений. Хакеры из части 29155 (подразделение российской военной разведки ГРУ — Ред.) устроили клоунаду, но то, что счет пошел на дне, было очевидно.
— События чуть раньше — в конце 2021 года десктопную версию «Действия» якобы из-за софта подрядчика. Это было действительно так? И могла ли эта операция быть подготовкой к широкомасштабной войне?
— В 2021 году один из волонтеров прислал мне ссылку diia.gov.ua/.git/config (что позволяет скопировать прод-систему), уязвимость тогда по-тихому прикрыли, но это много рассказывает о том, как Минцифры относится к безопасности. В ходе январских атак портал «Действие» был сломлен, как и все остальные (включая реестры МВД). Российская военная разведка потом публиковала данные, и у меня была возможность убедиться, что они подлинные.
— В интервью каналу HackYourMon , что за европейский спутник связи KA-SAT, который положили в начале войны россияне (и на котором была завязана к тому времени спутниковая связь в Украине, не было еще доступа к Starlink), вы, можно сказать, отомстили, положив год. дальше. Как ты оцениваешь вред русский от этой атаки? На что она повлияла?
— Отсутствие связи всегда неприятно, особенно в труднодоступных местах, где кроме спутника никакой другой связи нет. Но эту операцию мы проводили вместе с военными, они же настояли на том, чтобы операция проходила «под чужим флагом». Думаю, что получилось, в конце концов, должно со временем рассказать ВСУ.
— в июле этого года. Сотни рейсов задержаны в Москве. Кто ее провел? Из-за какой уязвимости могли положить систему? Можно ли повторить?
— Атаку провели Киберпартизаны из Беларуси и украинцы из Silent Crow. Обычно люди думают, что если система большая и важная, то и атака должна быть чрезвычайно инновационной и сложной. Это не так. Уровень безопасности и воспринятая важность никак не связаны между собой. Подробностей излома я не знаю. Сотрудник мог нажать не на ту ссылку и запустить стилер (stealer, или похититель — Ред.), где-то валялся заброшенный и дырявый сайт, где-то не прикрыли порт, где-то потеряли пароль.
— Администратор одного из самых влиятельных форумов даркнета xss.is «Тоха», спецслужбы Украины и Франции: знаешь, что с ним сейчас? Что с xss.is? Верно ли, что зеркалами форума сейчас руководят наши спецслужбы?
— Я думаю, что об этом нужно спрашивать у СБУ, но судя по панике, которая началась в криминальном андеграунде, вероятно, что арестовали именно «Тоху», а он — личность легендарная, кроме XSS , он создатель Exploit — старейшей и очень влиятельной площадки в криминальном андеграунде. Не исключено, что СБУ и французские спецслужбы пытаются выжать еще капельку по контролю над форумом, и с этим и связано их молчание.
— Кибервойска в Украине: есть ли у нас они? Есть ли хорошо подготовленные спецподразделения, которые могут атаковать русские объекты, защищать нашу ИТ инфраструктуру?
— Официально никаких кибервойск (несмотря на подписанный указ президента) у нас нет. Однако почему-то ГУР и СБУ полностью открыто говорят о проведенных кибератаках. Подразделения киберзащиты были всегда, об их эффективности можно спорить, но никаких вопросов они не вызывают.
– А как это может быть? Координационный центр военные+гражданские? Или рабочая схема? Не будет ли хаоса?
— Для начала в ВСУ должен появиться новый род войск. Потому что сейчас нет официального потребителя и все работает на горизонтальных связях. Там будет много проблем, но нужно с чего-то начинать. По официальному признанию, что Украина ведет наступательные кибероперации и формирование соответствующих войск (сил).
— Чей вклад в кибервойну больше: хактивистов или контролируемых государством подразделений?
— Мне не нравится слово «хактивист», хактивисты обычно занимаются внутренней политикой, а не войной. Думаю, что независимо от того, занимаются ли взломом военные или гражданские, государству уже давно пора как-то, если не возглавить, то хотя бы скоординировать всю эту деятельность.
— В интервью был такой вопрос, но сформулирую его еще раз: кто выиграет кибервойну — россия или мы?
– Это не соревнование. Если вы еще не на колыме с лопатой, то войну мы не проиграли. Хакинг – такой же инструмент войны как артиллерия, дрон или радиоэлектронная разведка. Выиграет ли наша артиллерия у русского? Сама формулировка вопроса бессмысленна. Можно спросить, справляется ли она с задачами и что нужно сделать, чтобы справлялась лучше, но не о том, кто выиграет.
- Утечка данных из мессенджеров - распространенная практика. Какой мессенджер самый защищенный?
— Защищенный от кого? И кого мы защищаем? Уязвимости есть у всех мессенджеров, и ни один мессенджер вас не защитит от собственных ошибок, когда вы кликаете на что-либо. Сейчас популярен Signal, но ни Signal, ни более экзотические варианты не защитят вас от спирфиша (spear phishing — мошенническая кампания, во время которой хакер или кто-то другой с плохими намерениями получает контактную информацию человека с привилегированным доступом — Ред.) или других ошибок.
– А какие ты мессенджеры используешь?
– В основном Signal. И Telegram (никаких особо важных переписок). Иногда приходится просто пользоваться Wire, Threema, Matrix, Keybase, Jabber, Tox просто потому, что там сидят нужные мне люди.
— Сколько времени нужно хакеру по поводу целенаправленной атаки на ресурс? И сколько времени оно может оставаться незамеченным в системе?
— Это вопрос удачи, да и атака не обязательно должна быть целевой, она может быть секторальной, часто нам все равно сломаем мы завод или подрядчика, который делает софт для завода, или даже не этот завод, а другой того же профиля. Но если мы попали внутрь, то можно там сидеть годами. Возвратиться можно при необходимости.
— Если хакерская атака направлена на данные компании/госоргана, и бекап этих данных также трется, то можно ли каким-то образом восстановить данные? Есть так называемые неизменные бекапы — они панацеей? Следует ли их использовать?
— Люди просто разучились делать бекапы. Если у вас резервная копия хранится в хранилище и на ленте, и то и другое онлайн в той же сети, это значит, что у вас есть только «горячий» бекап. Он может оградить только от технических сбоев. Восстановиться можно с холодных бекапов, ну или пытаться все настраивать и восстанавливать с нуля.
— Представим, что бекап изменить нельзя, изменения возможны только, допустим, через год. Как ты думаешь, надежно ли это?
— А когда снесут облачного провайдера, тогда что? Холодный бекап – это очень «простая» вещь. Стопка винчестеров или кассет, которая не подключена ни к чему. И лежит в сейфе. Желательно в двух экземплярах в двух разных местах. Делать такие бекапы регулярно, обеспечивать их безопасность (физическую) и так, чтобы ни разу носитель не оказался онлайн — очень и очень трудно. Нуждается в адской дисциплине.
– Неизменные бекапы можно «выключать» – тогда они физически недоступны в системе, и злоумышленник не может о них узнать. А по сейфу сразу возникают вопросы физической безопасности такого хранилища. Может быть, — надежнее?
— Это зависит от того, как это реализовано. Может, поможет, а может, и нет. Если это софтовая реализация, ее можно сломать, если аппаратная, то воспользоваться окном, когда открыт открытый на запись и записать туда мусор. На самом деле не сталкивался ни разу. Так что это, скорее, экзотика.
Я просто вот к чему это говорю. Можно ли сделать нормальный бекап и восстановиться после атаки? Бесспорно можно, и вариантов много. «Холодные» офлайновые бекапы – классическое решение, но не единственное. И это не столько технический вопрос, сколько вопрос политики и дисциплины. И практика показывает, что в 95% случае отсутствует и то, и другое.
Если мы придем на форум админов и поднимем эту тему, они будут неделями обсуждать тысячи вариантов решения проблемы (и они даже правы в том, некоторые их решения, если их реализовать полностью и неукоснительно — помогут), только я очень редко вижу компании, которые сказали бы «нас потерли/зашифровали», но мы заифровали.
— Есть ли у россиян перечень бизнесов/госорганов, которые собираются ломать в ближайшее время? Иными словами, есть ли план или все хаотично?
— Без сомнения, у них есть приоритеты и своеобразная логика в том, как они выбирают цели. Иногда даже могут устроить ответ (как было, например, со страховыми компаниями), но общей стратегии не просматривается.
— Какие риски взлома у компаний, размещающих данные в глобальных облаках, по сравнению с локальными облаками, местными ЦОДами, собственными серваками?
— В зависимости от администраторов облако имеет только то преимущество, что там за резервные копии отвечают администраторы провайдера.
Так что здесь нельзя полагаться ни на кого. Ибо следующей целью может стать облачный провайдер.
— Какова вероятность у рандомной украинской компании, что она в зоне риска, в зоне интересна российским хакерам?
– Мы все – цель для агрессора. Независимо от размера и профиля компании она будет целью, это такая же изматывающая реальность, как и ежедневные обстрелы и налеты.
— Интересна твоя версия в этом году. Когда даже билеты купить было нельзя почти неделю. Мои инсайдеры говорят, что во время расследования инцидента сотрудниками собственных компьютеров нельзя было трогать. Кто стоит за атакой? Что сломали? Что украли/стерли? И с «Киевстаром» — что же произошло два года назад, когда на неделю легла вся сеть? Был ли предатель внутри компании, сливший доступы?
— За УЗ я просто не знаю, ответственность за «Киевстар» взяло на себя одно из подразделений ГРУ. Думаю, украли все, что имеет ценность. А это и логи звонков и личная информация, и возможность отслеживать геопозицию, даже удивительно, что они решили в конце концов свергнуть сеть, а не скачивать оттуда информацию. И, как я уже говорил, размер и важность компании и ее безопасность – это не связанные вещи. Детский садик может оказаться лучше защищенным, чем национальный оператор.
— Какие популярные языки программирования используют хакеры?
— Если смотреть на продукты (открытые или продаваемые на черном рынке), то все будет выглядеть так же как и у обычных разработчиков: C++, C, Java, PHP, Python, немного реже — Rust, Go, да и ассемблер все еще встречается. Выбор языка не так важен.
— Как повлияло появление ИИ на деятельность хакеров/антихакеров?
— Что касается ИИ, то сейчас гораздо больше хайпа, чем реальных сценариев применения. Инструмент перспективен, но пока — решение в поисках задачи.
— Вот, например, была новость, что OpenAI , которые использовали российские, иранские и китайские хакеры. Может ли ИИ в качестве простого инструмента добавить атак масштаба и массовости?
— Я пока не знаю ни о каком случае, когда ИИ прибавил бы масштабы или массовости. ИИ может решать либо очень простые задачи, которые опытный хакер решит быстрее и лучше без ИИ, либо те задачи, которые не имеют непосредственного отношения к излому (о том, какие именно, я не буду рассказывать).
Именно в изломе и защите — в той работе, которую делают хакеры с одной стороны, а админы и безопасности с другой — ИИ практически бесполезен.
— Правда ли это , что российские хакеры недавно якобы сломали хранилище данных нашего Генштаба и украли 1,7 млн записей погибших солдат?
— Если это о Killnet и «1.7 миллионах потерь», то это естественно ложь. И Killnet ничего не способен сломать в принципе (что не значит, то изломов не было, но они могли быть в другом месте и с другими результатами).
Это не инфа, а обычная российская ложь, в которую даже российская ИБшная публика. Killnet — это просто шапито на выезде, но по какой-то не до конца понятной мне причине у них есть мощная медийная поддержка.
— Я чуть не забыл спросить: можно ли зарабатывать и нормально жить в такой деятельности, какой ты занимаешься? И соответствуют ли заработки уровню комфорта и уровню напряжения нервов в некоторых ситуациях (у тебя были обыски в 2020)? Может, обычная штатная должность безопасности в крупной компании — куда более простой путь? В чем суть?
— Смотря чем именно заниматься. Если зарабатывать на черном рынке, можно и заработать. Либо денег, либо срок. Заработок, как и всюду, будет зависеть от личных талантов. Проще работать на белой работе.
– За какую работу тебе могут платить? Или вы преимущественно за донаты работаете?
— В разное время я работал сисадмином, программистом и безопасности, опыта у меня достаточно, у меня есть легальные источники доходов, и я по этому поводу не переживаю.
— Потому что сложно представить контракт с белым хакером. Бывает ли такое?
– Почему нет? Слово хакер может действительно отпугнуть, а «специалист по информационной безопасности» норм.
- У вас собственный бизнес или работа по найму? Может, есть акции, биткоины, недвижимость?
— Я не хотел бы углубляться в этот вопрос, чтобы деятельность, связанная с войной и политикой, не сильно пересекалась с наполнением холодильника.
— Но если в общем — средств хватает, да?
– Да, пока хватает. Несколько раз мы собирали донаты, и они были потрачены на железо, конечно же, с отчетами и чеками.
— Всегда думал, что финансировать такие операции непросто.
— Это очень сложно и дорого, если человек с улицы захочет создать хакерскую артель. Если знаешь, как и что работает, все гораздо дешевле, но это много времени.
