Quantcast
Channel: Найцікавіше на DOU
Viewing all articles
Browse latest Browse all 8115

Кибербезопасность по-украински: о давлении силовиков, белых и черных хакерах и ценности диванных экспертов

$
0
0

Никита Кныш — эксперт в области информационной безопасности, служил в СБУ, помогал ловить киберпреступников, а сейчас работает над защитой веб-сервисов и занимается кибер-расследованиями. Организатор форума по кибербезопасности HackIT. Никита был одним из первых, кто начал публично освещать атаку вируса Petya и публиковать рекомендации по минимизации ущерба.

Несколько недель назад Никита занял пост внештатного советника Администрации Президента. В интервью для DOU Никита рассказал о сотрудничестве с госслужбами по вопросам ИБ, карьерных путях безопасников и «белых» хакеров, существующих проблемах и способах их решения.

— Никита, вы давно сотрудничаете с государственными службами по вопросам ИБ. С чего всё началось?

У меня очень активная позиция. Когда в 2015 году анонсировали создание киберполиции, мы с коллегами поехали в ОБСЕ к координаторам национальных проектов и предложили им программу обучения для киберполиции. Мы разработали прозрачную публичную процедуру подбора кадров, придумали, как можно собрать деньги на достойные зарплаты для инструкторов с помощью краудфандинга. Однако у них эта процедура была весьма закрыта и заангажирована, и нам тогда отказали. Детали этой истории я рассказывал в интервью на «Цензоре», материал называется «„Крымский ботнет“, или Кто заказал „Цензор.НЕТ“?».

Там, помимо прочего, расписаны все детали моей поездки в Киев, как мы общались с ОБСЕшниками, как выходили на руководство киберполиции, как предлагали свой вариант обучения, советовали, подбирали инструкторов-тренеров. И как они рассказывали, что платить 150 грн специалисту по информационной безопасности за час лекции — это тоже нормально.

Вот после этого и началось моё взаимодействие с представителями власти. Я для себя решил, что моя компания ProtectMaster и я лично никогда не будем участвовать в государственных тендерах, чтобы избежать конфликтов интересов. Моя компания начала бесплатно предлагать сотрудникам всех силовых ведомств пройти мастер-классы по способам сбора информации из открытых источников и базовым навыкам в сфере практической кибербезопасности. Мы занялись обучением СБУ, прокуратуры и силовиков, рассказывая, как правильно документировать, собирать информацию, пользоваться открытыми базами данных и всем, что даёт нам интернет.

— Как попали на должность советника при Администрации Президента?

Наша инициатива по обучению сотрудников СБУ, полиции, киберполиции и прокуратуры привела к знакомству с представителями власти. Они также оказались заинтересованы в профильных, профессиональных консультациях. Это сотрудничество естественным путем оформилось официально, и меня назначили внештатным советником АП.

В удостоверении написано просто «Советник Администрации Президента». Но, как вы понимаете, ни в какой другой сфере, кроме кибербезопасности, я советовать не могу :)

— Что входит в обязанности советника?

Если общими словами: подготовка рекомендаций в различных областях, в том числе по развитию информационной безопасности Украины. Что именно советую, разглашать не могу.

Я стараюсь первоначально обсуждать все вопросы с профильным сообществом, собрать их мнение по тем или иным вопросам, а затем донести это решение высшему руководству. Хочу отметить, что в АП для этого есть штатные сотрудники, которые занимаются этим ежедневно, я могу лишь пытаться донести ту или иную мысль в надежде, что она будет услышана.

— Чем вы занимаетесь сейчас, какими вопросами?

Сейчас занимаюсь вопросом, связанным с давлением на IT-бизнес силовиков. Меня нередко самого привлекали для проведения обысков IT-компаний как технического специалиста, а потому я знаю, что существует такая проблема. Чтобы убрать аспект давления, я считаю, что нужно запретить силовикам изымать компьютерную технику. Нужно сделать правильную законодательную базу для работы с образами компьютеров (виртуальными образами), чтобы можно было прийти, скопировать всё на флешку, не парализуя деятельность всей компании на несколько месяцев.

Вот это я пытаюсь пролоббировать, доносить на всех уровнях. Однажды пытался с одним из депутатов через Верховную Раду: рассматривали законопроект от одной политической партии, но принять его не получилось, не хватило голосов. К сожалению, в Верховной Раде не понимают, зачем запрещать силовикам изымать технику.

— Какие еще проблемы в информационной безопасности видите?

Существует огромная проблема с цифровой криминалистикой: с документированием преступлений в сфере кибербезопасности. В институтах судебных экспертиз образуются огромные очереди, которые позволяют осматривать компьютерную технику и проводить экспертизу только спустя 6-8месяцев после изъятия. Понятно, что если у хостинг-провайдера изъять на 6 месяцев оборудование, этот бизнес будет полностью уничтожен. Этим и пользуются силовики для давления на IT-компании, и я открыто об этом говорю.

Думаю, нужно что-то изменять и вводить частные компьютерные экспертизы, чтобы у человека был выбор и возможность не ждать 8 месяцев, год, иногда 2 года, чтобы твой компьютер открыли и посмотрели, есть там нужные для следствия файлы или нет. Я предлагаю сделать частную экспертизу: отдать полномочия наемным экспертам для проведения экспертизы по той же процедуре, что проводят НИИ судебных экспертиз.

ДСТЗИ, на мой взгляд, весьма заангажированная структура, которая выдает сомнительные лицензии и сертификаты по уровню качества. Можно сделать этот процесс более публичным — создать открытую некоммерческую организацию, которая будет заниматься вопросами сертификатов, лицензий. Прозрачная процедура позволит убрать коррупционную составляющую.

Полагаю, такая организация будет самоокупаема: экспертиза стоит денег, это понятно. И компания, например, у которой изъяли компьютерную технику, будет заинтересована максимально быстро провести осмотр и экспертизу этой техники и вернуть её себе. Потом она докажет свою невиновность в суде, не застревая на бесконечном этапе досудебного следствия, которое у нас в стране может длиться годами. Я думаю, такие компании будут готовы платить негосударственным экспертным центрам.

Вот такие публичные (законодательные или не законодательные) IT-инициативы я предлагаю на критику общественности. Пока что конструктивной критики не получил.

— А как реагирует государство? Что-то улучшается?

Подвижки есть: я вижу какие-то решения СНБО, которые вводятся указами Президента. Возможно, провести такие решения через ВР не всегда хватает голосов. К примеру, та же блокировка «ВКонтакте», «Яндекса» — это уже конкретные шаги.

Последнее решение СНБО декларирует публичное взаимодействие с частными компаниями в области информационной безопасности. Это поможет привлекать нормальных адекватных специалистов в помощь государству в настройке и системной интеграции сервисов, которые есть у государства.

Последнее решение СНБО декларирует публичное взаимодействие с частными компаниями в области информационной безопасности. Это поможет привлекать нормальных адекватных специалистов в помощь государству в настройке и системной интеграции сервисов, которые есть у государства.

— Что тормозит прогресс на государственном уровне?

Проблема в абсолютной хаотичности действий. Распространенный пример: киберполиция расследует какое-то дело. К ней приходит сотрудник из СБУ, пытается изъять дело. Потом ещё приходит прокуратура, и начинаются непонятные танцы с бубном вокруг громкого резонансного дела.

На мой взгляд, основная проблема — это отсутствие координации и единоначалия. Должен быть человек или команда, которые смогут чётко говорить, что, как и когда мы делаем, куда идём, и давать остальным чёткие и понятные указания.

Проблема в том, что высшее руководство страны не понимает (да и не должно детально понимать) информационную безопасность. Поэтому и нужно привлекать профессионалов в этой сфере, давать им возможность высказывать идеи и, самое главное, слышать их.

— Много ли в Украине таких профессионалов? Насколько развито сообщество?

Сообщество развито довольно неплохо, но его уже тошнит от политических подковерных игр, от непонятной политики государства в этой сфере. И никто не хочет взаимодействовать с государством, потому что мизерные зарплаты, риск того, что вообще за это посадят, риск давления на твой бизнес, если ты затронешь чьи-то финансовые интересы. Люди не то чтобы запуганы, а просто не хотят с этим связываться. Я тоже получил целый поток грязи из-за публичного анонса взаимодействия с государством.

В частном секторе всё более-менее хорошо, работы достаточно. Программисты могут получать там от 1,5 до 4-5,а то и 6 тыс. долларов в месяц и не хотят связываться с государством. А само сообщество развивается, меняется, адаптируется к рыночным тенденциям. Бизнес всегда развивается быстрее, чем государство.

— Если сравнивать кибербезопасность в Украине и в других странах Европы, США — насколько мы отстаем?

У нас бумажная страна. Поэтому, к примеру, когда «Прикарпатьеоблэнерго» атаковали и выключили свет, мы всегда могли послать электрика Василия, чтоб он физически включил рубильник. Если случится что-то подобное в странах Европы или США, у них послать включить рубильник будет намного сложнее :)

Мы находимся ещё в аналоговом веке, у нас всё пока на бумаге, отчасти как и реформы. На мой взгляд, по уровню кибербезопасности и внедрению IT в мировом ТОПе сейчас Эстония. Это полностью компьютеризированная страна, у которой стоит поучиться, брать опыт. У нас есть умнейшая представительница Эстонии — Яника Мерило. Она активно выступает инициатором внедрения iGov в Украине и лично меня она невероятно мотивирует что-то делать. Яника в буквальном смысле пробивает лбом стены для того, чтобы сделать нашу страну еще чуточку более компьютеризированной. Спасибо ей за это.

— Изменилось ли у нас что-то в лучшую сторону после NotPetya? Приняло ли государство какие-то превентивные меры?

Было принято решение на базе СНБО. Пока что оно только на бумаге. Будут ли какие-то подвижки и изменения? Покажет время.

Поняло ли наше государство, что нужно куда больше заниматься кибербезопасностью, чем самопиаром и голословными заявлениями? Не знаю, не могу ответить. Время покажет. Существенных сдвигов, как, например, блокирование «ВКонтакте» в ответ на российскую информационную агрессию, предпринято не было.

Готовы ли наши силовики к следующим атакам? Во всяком случае они об этом знают. Службы предупредили людей, что следует поменять пароли, заблокировать какие-то порты. Список этих рекомендаций очень конкретный, очень полный. Он опубликован на сайтах СБУ и киберполиции, в средствах массовой информации. Я считаю, что это уже «невеличка, але перемога» наших силовиков — они поняли, что следующий шаг (атака) будет.

— Большой ли спрос в украинских компаниях на специалистов по ИБ?

После NotPetya спрос чуть-чуть поднялся, но в целом — нет. Украинский рынок работает на аутсорсинг, аутстаффинг — за рубеж. Украинские компании не создают такого количества продуктов, которые могло бы тестировать столько профессионалов. Поэтому высококвалифицированные специалисты в информационной безопасности вынуждены брать заказы из-за рубежа.

— Какие карьерные пути возможны для специалиста по кибербезопасности?

Специалисты по информационной безопасности, кибербезопасники, хакеры — это по большому счету всё IT-шники: программисты, специалисты по сетевой безопасности и сетевым технологиям, которые переросли в нечто большее. Они научились не только писать код, но и ломать его.

Хакеры — это своего рода те же программисты и разработчики с нестандартным мышлением, которые хотят докопаться до сути и понять, как это работает. Можно стать программистом, можно — системным интегратором: придумывать и проектировать системы. Можно пойти безопасником в компанию, можно устроиться в антивирусную компанию или в какую-нибудь security-лабораторию, которая занимается исследованием вирусов.

В Украине есть очень талантливые «белые» хакеры. К примеру, украинская команда Dcua в 2015 году заняла первое место на всемирных хакерских соревнованиях CTF. Цель «белых» хакеров — заниматься защитой и получать за это неплохие деньги вместо того, чтоб заниматься взломом и наносить ущерб, репутационные потери компаниям, как это делают «черные» хакеры.

Надо сказать, в плане «черных» хакеров нам тоже есть чем «похвастаться». Украинско-русской командой был создан «Зевс» — один из самых известных и нашумевших банковских троянов, который ворует деньги с банковских карт. Черная платежная система Liberty Reserve, которая использовалась в основном для отмыва денег, для черных платежных операций, была создана киевлянином, его арестовало ФБР. Обороты внутри этой системы исчислялись сотнями миллионов долларов.

— Как работают «белые» хакеры?

«Белые» хакеры, как правило, работают через Bug Bounty программы. Крупные и уважающие себя бренды запускают такие программы и говорят: «Мы публично разрешаем всем хакерам тестировать наши сервисы, пытаться их взломать при условии, что вы отправите нам отчет о том, что вы нашли. Мы в обмен на это оплатим стоимость найденных уязвимостей». Составляется список, что разрешено, что запрещено. К примеру, нельзя использовать DDOS-атаки и автоматические сканеры. Если нарушить правило, то, скорее всего, вам не заплатят.

После того, как хакер нашел уязвимость и отправил ее на оценку компании, платформа проверяет, уязвимость ли это, соответствует ли поданная заявка правилам и не опубликована ли она публично. После того, как компания подтверждает и закрывает уязвимость, чтобы остальные не могли ее повторить, хакеру выплачивают вознаграждение.

Сложно описать «типичный» путь хакера, каждый доходит до этого по-своему. Кто-то начинает, как я, с игрушек, кто-то начинает сразу тестировать форумы и чаты, кто-то создает электронные девайсы, которые позволяют что-то обходить и куда-то входить.

— Вы сказали, что начинали с игр. А как вообще заинтересовались сферой информационной безопасности?

Мне было 14-15 лет,когда под руку подвернулась книжка «HTML 4.0», и я увлекся, стал пробовать создавать сайты. Тогда твёрдо определился, что хотел бы работать в направлении IT. На тот момент, как и все ровесники, ходил в компьютерные клубы, где можно было играть по сети с друзьями. Со временем стал системным администратором в таком клубе. По чуть-чуть изучал сетевые технологии, настраивал сетки, создавал сайты, начал создавать читы для игр. Затем написал программу, которая позволяет смотреть закрытые фотографии «ВКонтакте», это, кстати, тоже активно обсуждается троллями на определенных ресурсах. Но позже забросил это дело и перешёл в арбитраж веб-трафика: занимался скупкой рекламы в Google и перепродажей на более выгодных условиях.

На втором курсе отправился в США по программе обмена «Work and Travel» , где прожил почти 6 месяцев, перенимая опыт. На 3 курсе университета пошел на военную кафедру, оттуда попал в СБУ, где прослужил два года. Разочаровался службой из-за интриг и непонимания со стороны руководства простых истин, но всё равно за это время получил очень много полезного жизненного опыта. На мой взгляд, структура в 2014 году была более «беззубая», сейчас она более крепкая.

После того, как оставил службу, присоединился к старой команде друзей, и оформили это все юридически. Так появилась ProtectMaster — компания, которая занимается информационной безопасностью. Создал хакерскую конференцию HackIT.

— Насколько важны знания по безопасности для программистов?

Для программистов, которые пишут сайты и мобильные приложения, — это всё очень нужно. У нас есть много кодеров, но не все понимают, что такое чистота кода, культура написания кода и так далее. Это всё, на мой взгляд, невозможно без какого-либо опыта в сфере информационной безопасности, кибербезопасности.

Создание незащищенных продуктов и сайтов с непродуманной логикой и архитектурой приводит к утечке персональных данных пользователей, репутационным и финансовым потерям.

Я считаю, что каждый разработчик должен обладать хотя бы базовыми знаниями для того, чтоб повысить свою ценность на рынке IT-труда, писать более чистый и качественный код, понимать, где недочеты могут создать информационную уязвимость.

— Как программисты могут внести свой вклад в обеспечение кибербезопасности на государственном уровне?

Как я говорил, я стараюсь выносить все вопросы на обсуждение с профильным сообществом. Я бы хотел публично призвать всех специалистов участвовать в этих обсуждениях, открыто связываться со мной и предлагать свои идеи. Я считаю, что один в поле не воин, одна голова — хорошо, а много — лучше.

Я всегда хотел, чтобы люди, у которых есть хорошие идеи, могли быть услышаны на высшем уровне. Призываю «диванных экспертов» присоединяться к дискуссии, рассказать, как сделать эту страну лучше, что для этого нужно делать в сфере информационной безопасности. Я буду стараться максимально открыто донести любые идеи и предложения, если они будут иметь за собой какой-то план по имплементации. Не так, как на конференциях политиков — собрались, полялякали, обсудили «взагалі о взагалях», сказали «как всё плохо», подписали меморандум, пожали друг другу руки. А на выходе ничего не происходит.

Я бы хотел, чтобы каждый диалог с профильным экспертом, человеком, который разбирается в этой сфере, заканчивался для меня какими-то положительными выводами, рекомендациями, которые я бы смог донести на высшем уровне :)

Если мы не будем защищать государство в сфере информационной безопасности, информационной агрессии, то мы проиграем войну. Война выигрывается в головах. Та же блокировка «ВКонтакте» даёт эффект и примеры снижения уровня российской пропаганды, снижения уровня вовлеченности украинцев в российские новости и события. Как бы бурно вначале люди не реагировали, толк есть — это надо признать.

Поэтому я и призываю всех максимально объединяться и присоединяться. Мне очень нравится девиз десантников: «Кто, если не мы?»


Viewing all articles
Browse latest Browse all 8115

Trending Articles