Взломать можно всех, вопрос в рентабельности

О том, почему сайты и почту взламывают, куда исчезают деньги с электронных счетов, и как защититься от черных хакеров, рассказал Живой Кубани программист и специалист по информационной безопасности сайтов краснодарец Олег Купреев. Вы - специалист по информационной безопасности сайтов. То есть технически ваша работа выглядит как взлом интернет-ресурсов, но с согласия владельцев? Я нахожу уязвимости сайтов, классифицирую их по рискам и даю рекомендации по их устранению, то есть моя задача - опередить того хакера, который будет ломать сайт. Скажем так, вы - добрый хакер? Ну, я хакером себя не называю. Я - исследователь, который ищет нестандартные возможности в информационных системах. Вообще классифицируют три вида специалистов по информационной безопасности, называя их по цвету шляпы, хотя никаких шляп на самом деле нет. Black hat - те, кто выступает в своих корыстных интересах: они находят ошибку в системе и либо продают ее заинтересованным людям, либо ломают сами. Это статья 272 УК РФ, пункты 1, 2. White hat действуют в исследовательских целях и сообщают о найденных ошибках производителю, после чего могут написать об этом статью, сделать доклад или получить вознаграждение. Крупные компании, например, Facebook, Google, готовы платить за обнаружение ошибок в своих продуктах. Недавно студент из Тюмени Сергей Глазунов получил 60 тыс. долларов за взломы Google Chrome и был удостоен места в Зале Славы Google. И третий вариант - Gray hat, люди, которые выступают в зависимости от обстоятельств либо на стороне черных сил, либо на стороне белых. А кто вы? Я стараюсь как-то придерживаться стороны White hat, потому что уже все, что нужно было себе доказать, доказал, а уголовщиной заниматься желания никакого нет. Что хотелось доказать и давно ли? В информационной безопасности я с 15 лет - как только мне купили первый компьютер. Вначале был просто интерес, как с головоломками. Вы сидите с кубиком Рубика не для того, чтобы получить славу или деньги, а потому, что вам интересно. Я родом из города Георгиевска в Ставропольском крае - городок на 60 тыс. жителей, десять лет назад - полный информационный вакуум, до многих вещей приходилось доходить самому. Интернет, если и был, то безумно дорогой. И мой первый взлом - это взлом локального провайдера. Тогда везде использовалась довольно древняя операционная система Windows98, которая содержала ошибку, позволявшую подбирать пароль к сетевой папке за считанные минуты. Соответственно, я получил доступ к файлам компьютерной сети компании и нашел там текстовичок, в котором были сохранены логины и пароли всех абонентов. И я подумал, что можно посидеть в Интернете за чужой счет. АТС у меня была аналоговая, работала еще на релюшках, и определить мой номер было не вариант. Сгубил меня социальный фактор: товарищ, с которым я поделился паролями, имел цифровую АТС - отсюда это дело и размотали. Короче, в 16 лет я попал в историю с ФСБ. Ого. И как вы в 16 лет общались с ФСБ? К счастью, вместе с родителями. Родители вынуждены были быстро гасить материальный ущерб абонентам и, вообще, устраивать примирение сторон. К счастью, обошлось без срока. Тягомотина, конечно, была страшная. А мой товарищ получил условный срок. Ирония судьбы в том, что через несколько лет он устроился работать в компании того же провайдера, у которого мы использовали ворованные пароли. Город маленький - специалистов мало. С ФСБ больше отношений не имели? Когда заканчивал университет, было предложение работать на краснодарское ФСБ. Но зарплаты там нищенские, работа абсолютно неинтересная. Ну, разве что корочка могла прельстить. Но я никогда не был фанатом иметь должность или корочку. Я по натуре одиночка, открыл свое ИП, занимаюсь разработкой программного обеспечения и аудитом. Российский рынок аудита безопасности сайтов еще в зачаточном состоянии. Известных можно назвать только три компании: Positive Technologies, DigitalSecurity, OnSec. У меня было предложение по сотрудничеству с питерской DigitalSecurity, но на юге моя семья - мама, папа, брат. Да и по деньгам рядовые пен-тестеры в столичных компаниях живут не богаче меня. У вас уже есть машина, квартира? Если ниша аудита в зачаточном состоянии, вы видите себя будущим миллионером? Машина мне не нужна. Квартиру снимаю. Я много трачу на технические ресурсы. У меня сейчас в доме пять компьютеров. (Пауза). Не думаю, что стану миллионером. Для этого надо открывать ООО, а то и ОАО с соответствующими лицензиями и знакомствами. Я счастлив, если денег просто хватает на жизнь, и при этом мне интересно то, чем я занят. Кто ваши заказчики на юге? На юге только единицы осознали, что лучше не доводить до греха и сделать аудит сайта. У меня здесь один клиент - Региональный центр бронирования. Реальнее найти клиентов за границей, например, мой постоянный заказчик из Германии - социальная сеть Laary.eu. Как вы находите заказчиков? Срабатывает репутация: я пишу статьи на habrahabr.ru, по которым заказчик находит меня сам. И это правильно. Если человек не хочет заботиться о безопасности сайта, то, как ему ни объясняй, он не станет этого делать. Заказчик должен созреть или испугаться. Собственно, какой ущерб может быть нанесен сайту взломщиком? Многие думают, что если у них развлекательный сайт, то никому не интересно его взламывать: Чем я рискну, если не буду думать об этом?. На Западе уже понимают, что пункт номер один: ты рискуешь своей деловой репутацией. Обо всех крупных взломах становится известно. Вас взломали, украли учетные записи и пароли, рассказали об этом в сети. Например, в этом году взломали социальную сеть linkedin.com. Много паролей ушло. Взломать можно всех, вопрос лишь в рентабельности. Все потихоньку приходят к выводу, что лучше платить белым шляпам, которые найдут ваши ошибки, чем дожидаться кого-то со злыми намерениями. Пункт номер два: вы подставляете своих пользователей. Как показывает практика, около 30% пользователей имеют одинаковые пароли на форуме, почте, ВКонтакте и прочее. Взломали ваш форум, значит, чья-то почта тоже будет взломана. Недавно я написал статью про файлообменники, ну, все используют такие ресурсы, хакеры тоже люди, и они их тоже используют. Пишем программу, которая сохраняет по порядку все файлы с файлообменника, ищем там информацию, которую сохраняли хакеры для обмена друг с другом. Такая рыбалка позволила мне найти данные о сотнях кредитных карт и около 700 тыс. взломанных адресов Mail.ru. Я, конечно, не собираюсь ими пользоваться в преступных целях. Mail.ru уже предложила мне подумать на тему сотрудничества. Хотя большинство компаний, конечно, придерживается политики: пока гром не грянет, мужик не перекрестится. Вам приходилось специально оказывать услугу по взлому почты? В Интернете хакеры-одиночки предлагают такую позицию. Это черные шляпы детского уровня. Я не занимаюсь взломом почты, это прежде всего не интересно. Меня привлекают серьезные исследования на тему информационной безопасности и аналитика - там, где есть новизна, ранее не встречавшиеся виды ошибок. А ломать почту или портить жизнь чьим-то конкурентам - скучно, незаконно и много на этом не заработаешь. А на чем черные и серые хакеры зарабатывают много? В России большинство черных шляп заняты хищениями средств из банков. У нас киберпреступность в этой области занимает первое место в мире по уровню доходов хакеров. Почему? Хуже всего защищены банки? Нет. Чаще всего ломают не сам банк, а клиентов банка. Вот вирус попадает на компьютер главного бухгалтера какой-то фирмы, связывается со своим хозяином, и тот уже занимается выводом чужих денег в свой офшор. Офшор на Кипре сейчас стоит от 2 тыс. евро, в Люксембурге - 5 тыс. евро. Все просто. А почему вы это так хорошо знаете? Я много читаю. Та же самая лаборатория Касперского и Dr.web регулярно публикуют статьи о том, как они обнаружили вирус, который занимался вот такими хищениями. (Пауза). Поверьте, за информационной безопасностью будущее. Я считаю, если случится третья мировая война, то она будет информационной, потому что воевать людьми - это уже, мягко говоря, невыгодно и неудобно. В этом году человечество перешагнуло точку невозврата: изобретено настоящее кибероружие, я имею в виду историю с вирусом stuxnet. Stuxnet был ориентирован на поражение управления центрифуг по обогащению урана. Как вы понимаете, стран, использующих такое оборудование немного. Stuxnet был четко нацелен на иранскую ядерную станцию. Он шел, заражая компьютеры и флешки, целый год и дошел: 70% иранских центрифуг по обогащению урана уничтожены, Иран отброшен по ядерной программе на 1,5 года назад. Существует мнение, что этот вирус был разработан США совместно с Израилем. Понимаете, военные конфликты теперь будут развиваться вот таким образом. Это гораздо круче, чем вторгнуться куда-то. А все остальные вирусы для чего пишут? Сейчас пишутся вирусные платформы (которые участвуют в размножении вирусов и позволяют им путешествовать, заражая все новые и новые ПК) и модули, которые уже добавляют какой-то конкретный функционал. Например, функционал может быть для DDoS-атак, когда десятки тысяч компьютеров по всему миру начинают ломиться на определенный адрес, и в итоге сайт по этому адресу ложится. Хакеры продают услуги по DDoS-атакам на сайты. Или есть еще модуль, который позволяет воровать персональную информацию. Если вирус с таким модулем попадает на компьютер разработчика сайта, он автоматом получает доступ ко всем сайтам этого разработчика, заразит их тоже, получая дальнейшее распространение, цель которого - хищение персональных данных, паролей от webmoney и прочее. Есть какие-то новейшие технологии монетизации вирусов? Сейчас набирают популярность биткоины. Это криптовалюта, обеспеченная компьютерными мощностями. То есть, чтобы сгенерировать один биткоин требуется потратить определенное время работы компьютера. Твой ПК был нагружен, допустим, три дня - у тебя есть один биткоин. На данный момент один биткоин равняется 11 долларам. Когда у тебя есть несколько десятков тысяч машин (заполученных в управление с помощью вируса), ты можешь заработать много биткоинов. Это идеальный для хакера вариант, потому что биткоин полностью анонимная валюта. Нельзя понять, кто кому сколько дал. Нигде не прописаны ни ФИО, ни почта. Вывод биткоинов делается через вебкошелек, оттуда деньги переводят на карту. Как вирусы попадают на компьютер? Известно как: через флешку, блютус на смартфоне, через сайты - достаточно просто зайти на какой-то зараженный сайт. Интересно, кстати, что порносайты распространяют вирусы меньше, чем, скажем, христианские, потому что владельцы порносайтов заботятся о своей аудитории, а у религиозных - ну, кто там занимается безопасностью? За такими сайтами никто не смотрит. Вы когда-нибудь сами страдали от хакерских атак? Деньги теряли? Денег не терял. Но я пять лет работал системным администратором в разных компаниях и сталкивался с многочисленными заражениями компьютеров. Было интересно посмотреть на современные вирусы. Они отличаются от вирусов старшего поколения? Я вам так скажу, большинство современных вирусов разочаровывает. Раньше каждый вирус нес новую идею, сейчас мы наблюдаем рост ширпотреба. Появилась одна идея (например, заражать флешки) - и тысячи вирусов штампуются в этом ключе. Много детишек появилось, которые клепают свои вирусы. Это правда, что антивирусные компании тоже пишут вирусы? Нет, не правда. Поверьте, им и без этого хватает работы. Хакеров становится больше и больше. А есть статистика, сколько хакеров в России? Не знаю в цифрах, но думаю, мы номер один в мире. Россия богата на таланты, на легендарные личности в области программирования. Есть такие люди, как Крис Касперски, не путать с автором антивируса. Это человек, на чьих книжках я вырос. Он занимается исследованиями на тему информационной безопасности, жил, кстати, у нас под Армавиром, сейчас - уже где-то за рубежом. То, что у нас много хакеров, означает, что Россия - главный источник вирусов в мире? Нет. Просто в России много концепта. Вот Китай известен тем, что может ничего не изобретать, а просто взять идею Васи, идею Пети, идею Миши и сделать супертему. Плюс у них хорошо работает краудсорсинг, то есть они могут объединяться в команды, а команда гораздо производительнее. Русские, во-первых, чаще всего одиночки, во-вторых, идеи для них на первом месте. Хакеры разных стран общаются между собой? Сейчас у хакеров появились даже свои Олимпийские игры – CTF (Capture The Flag – захватить флаг) и различные конкурсы. Например, компания onsec.ru проводит конкурс: на их сайте есть определенная ошибка, которую надо найти и прочитать с ее помощью некое значение в заданном месте. Получишь за это майку. Люди, конечно, клюют не на майку, а на возможность попасть в список тех, кто прошел квест. Крупные соревнования проводятся довольно регулярно разными компаниям в разных странах - Индии, Малайзии, России. А вот смотрите: список стран-лидеров в этих соревнованиях. Россия - номер один. Переходим к советам. Как защититься от происков черных шляп пользователям компьютеров, смартфонов и банковских карт? Не храните пароли в текстовых файлах. Это самая интересная тема - найти все пароли в одном месте. Не используйте один пароль на множестве ресурсов. Допустим, взломали не ваш ПК, а форум, где вы зарегистрированы, но оттуда легко выйдут на вашу почту и ваш кошелек. У меня был знакомый директор банка (!), у которого стоял одинаковый пароль везде, в том числе на банк-клиенте в своем же банке. Сломали его аську и дальше по цепочке: о! да ты у нас еще и президент банка! Придумывайте более-менее надежные пароли. Какие пароли надежны? Вот файл, составленный одним товарищем, где приведен топ-60 паролей российских пользователей. Если ваш пароль в этом топе, то вас взломают с вероятностью 99%. Посмотрите: люди глупее, чем кажутся. Можно взять один пароль qwerty, пройти с ним по всем почтовым ресурсам и открыть тысячи ящиков. Чтобы не записывать пароли на бумажку, которую приклеите у всех на виду на монитор, используйте систему для запоминания. Например, каждый пароль должен содержать приставку, корень, суффикс, окончание. Корень - слегка измененное название ресурса, на котором вы регистрируетесь - русскими буквами в английской раскладке. Приставка - набор цифр, который легко запомнить, скажем, 1812. Суффикс - первые буквы вашей улицы. Окончание - спецсимвол, хотя бы собачка или знак доллара. Также спецсимволы хороши для замены букв в корне. Например, то же самое kuban можно написать и так | < u b @ | \\ | . Вы меняете только корень, но все ваши пароли будут надежными. Как сделать безопасным повседневный серфинг в Интернете? Не используйте браузер Internet Explorer. Он занимает большой процент рынка, а значит на него выгодно писать вирусы. Помните, что соцсети позволяют деанонимизировать людей. Например, смотрим в ваших друзьях вашу маму, находим ее девичью фамилию (варианты: ваш любимый ресторан, кличку вашей собаки), отвечаем на контрольный вопрос почтового сервиса, и готово - открываем ваш кошелек, тратим деньги. Недавно был интересный случай с компанией Apple: одному из редакторов крупного портала удаленно стерли все данные на айфоне, айпаде и его любимом Macbook Pro. При этом ничего не было взломано, использовались только публичные данные об этом человеке и некоторые особенности работы технической поддержки Apple и Amazon. Если вы неуверенный пользователь ПК, скачайте себе антивирусник. Windows нежизнеспособна без антивирусника. Жалко денег на Касперского и Dr.Web - используйте бесплатные варианты. Они дают хоть какую-то толику безопасности. Но, вообще, антивирус - это, на самом деле, последний барьер. С вас уже сняли штаны, поставили в позу, и тут, бац, антивирус вступил. Поэтому: не отключайте автоматическое обновление Windows. Обновления закрывают дырки, через которые могут попасть вирусы с сайтов. Все программное обеспечение должно быть более-менее свежей версии. Но, если вы зашли на порносайт, а вам предлагают обновить флеш-плеер, не обновляйте. И вообще, если так уж хочется посмотреть порно в он-лайне, будьте внимательны: когда вам что-то предложат, не вводите свой номер телефона, читайте, что за сообщения вам там пишут, а то многие шмякают ок, не читая. Люди глупы! Среднестатистический пользователь именно такой: с паролем qwerty, с Windows XP и Internet Explorer шестой версии. Что насчет безопасности банковских карточек? Не пишите пин-код на самой карте. Многие пишут. Когда покупаете что-то в Интернете, смотрите, что за ресурс. Зачастую создаются фейковые, то есть ложные сайты. Например, сайт называется ВКонтакте.ру, но вместо буквы о - нолик. Внешне фейковый сайт будет реально похож на настоящий ВКонтакте.ру. Большинство пользователей его не отличат, введут там свой пароль и автоматом попадут в базу хакеров. Если есть вариант платить по карте через paypal, выбирайте этот вариант, а не напрямую с карты. Потому что paypal в случае мошенничества позволяет отзывать деньги, за это они свой процент и берут. Всегда включайте смс-оповещение по кредитной карте. Да, оно платное, зато, если у вас что-то своруют, вы об этом узнаете сразу и заблокируете карту. Насчет банкоматов: очень популярная атака - когда злоумышленник прикрепляет где-то маленькую камеру, направленную на клавиатуру, либо поверх клавиатуры ставится накладка. Так узнается пин-код. А сам номер карты узнается с помощью скиммера - устройства для считывания магнитной полосы. Скиммер крепится в том месте, где вы вставляете карту. То есть набирая пин-код, для полной безопасности я должна накрыться одеялом? Просто проявите минимальную подозрительность. Если что-то на банкомате крепится непрочно, на клавиатуре шевелится, не вставляйте карту. Недавно я читал интервью с человеком, который на воровстве кредитных карт зарабатывает по 10 тыс. долларов в неделю. Такие люди дают интервью? По Интернету. Лучше пользоваться банкоматами, которые расположены в банке. Никому не давайте вашу карту фотографировать. Элементарные правила безопасности оправдывают себя. Насчет интернет-банка: сейчас большинство банков переходят на использование eToken. Раньше ключи шифрования от вашего интернет-банка хранились на обычной флешке. Но она небезопасна, потому что любой вирус, оказавшись на компьютере, в первую очередь будет воровать файлы с флешек. eToken предназначен специально и только для хранения ключей шифрования. На него нельзя ничего больше записать. И ключи с eToken очень тяжело прочитать, плюс для доступа к ним требуется ввести пин-код, который проблематично подобрать. Так что обратитесь в свой банк с запросом на использование eToken И, пожалуйста, дайте пару советов по безопасности смартфонов. Там все еще проще, чем с компьютерами. Смотрите, откуда скачиваете. Используйте трекеры и популярные ресурсы. Вася.ру - это, скорее всего, рассадник троянов. Есть и антивирусы для смартфонов, наверное, они работают. Не заряжайте смартфоны от чужих компьютеров. Пусть это компьютер вашего хорошего друга, но где гарантия, что он соображает в безопасности. Вы можете заразиться через usb, потому что многие вирусы содержат модуль для заражения мобильных устройств. Не шлите смс на короткие номера. Это развод. Помимо единовременного платежа вам оформят подписку на платную услугу, о существовании которой вы даже не будете подозревать. Также советую подключить услугу заблокировать короткие номера, которая есть у всех операторов. Главное, помните: лучше исследовать тему заранее, чем дать ей ударить вас по голове. Подготовила Анна ЧЕРВЯКОВА, ИА Живая Кубань Справка: Олег Купреев - специалист по информационной безопасности сайтов. Родился в 1985 году. Окончил факультет компьютерных технологий и автоматизированных систем КубГТУ. Преподавал в КубГТУ, работал системным администратором в компаниях Кубань-он-лайн, Энергострой, Военно-Страховая Компания. Хобби - тайский бокс. Хакер - 1.Программист высокого класса, способный вносить изменения в программы, которые не имеют документации. 2. Программист, занимающийся преодолением систем защиты данных компьютера незаконным способом; взломщик компьютерных сетей, компьютерный хулиган, проникающий в закрытые компьютерные системы, банки данных, разгадывая или похищая охранные коды файлов. Толковый словарь Ефремовой. 2000.