1. Олексій Комар
2. Сергій Демедюк

Чи готові зламати що завгодно крім сторінок коханців

Хакери проникають в комп'ютери так само, як злодії - в наші будинки. Ось тільки обчислити їх набагато складніше, адже вони майже ніколи не залишають слідів. Ще страшніше, що вони можуть жити в вашому комп'ютері місяцями, а ви про це навіть не будете знати. Хакери можуть викрасти фото з вашого смaртфoнa, yкрaсть дeньгі з плaстікoвoй кaртoчкі, стежити за вами через веб-камеру або підслуховувати через мікрофон. Більш того: при тривалій підготовці та наявності коштів хакеру під силу навіть збити літак або підірвати супутник! Але не треба ставити клеймо шкідника на всіх хакерів, адже вони бувають не тільки чорні, але білі і навіть сірі. Білий хакер (від англ. White hat - біла капелюх) - це фахівець з кібербезпеки. На відміну від чорних хакерів, білі шукають уразливості на добровільній основі або за плату, щоб допомогти розробникам зробити їх продукт більш захищеним. А сірі - це ті, хто в цілому добропорядні, але іноді все ж переступають межу закону.

"Сегодня" поспілкувалася з відомими українськими білими хакерами і експертами в кібербезпеки і дізналася, як вони працюють.

СТОРІНКУ ДІВЧАТА НЕ зламати

33-річного столичного програміста Євгена Докукина українці знають як "білого хакера" і головного "кібервоіна" країни. "Протистояти російської агресії я почав в березні 2014 го, - розповідає Євген. - Спочатку працював один, а в червні створив організацію" Українські Кібер Війська ", яка існує до цих пір. Ми блокуємо рахунку бойовиків в електронних платіжних системах (вже 420 рахунків ), блокуємо інформаційні ресурси терористів (вже 171 сайт), зламуємо їх електронні пошти і сайти (отримали 1 ТБ даних), слухаємо і записуємо на веб-камери військову техніку і штаби бойовиків на Донбасі і в Криму ".

ЯК починалося. Перший комп'ютер батьки подарували Жене на 11-річчя. "Уже тоді я вирішив, що зв'яжу своє життя з комп'ютерами, - згадує він. - Спочатку займався створенням сайтів, потім - веб-безпекою. З тих пір поєдную програмування і безпека - створюю сек'юріті веб-додатки. За 12 років роботи в цій сфері зрозумів, що безпека людей хвилює в останню чергу. Вони часто витрачаються на розробку гарненького сайту, а на безпеку - не хочуть. і якщо приватний сектор (банки, веб-брокери і елітні магазини) хоча б трохи вкладають грошей в безпеку, то держава - майже немає. Крім то о, майже всі розробники роблять діряві сайти, так як звичайний адміністратор мало розуміє в веб-безпеки. Цьому напрямку толком ніде не вчать. Я постійно знаходжу "дірки" на сайтах українських банків і держустанов і повідомляю їм про них. Як правило, навіть спасибі ніхто не говорить! А в 2007 році я зробив "Президентську фієсту" - знайшов уразливості на сайтах президентів Росії, Білорусі, Словаччини та США. Написав їм. У підсумку з адміністрації США і Білорусі мене подякували, а Росія і Словаччина нічого не відповіли, але з часом "дірки" виправили ".

Один із способів заробітку "білих хакерів" - баг-хантинг. "Це спецпрограми по заохоченню пошуку вразливостей, за які виплачуються грошові компенсації, - каже Євген. - В Україні з 2012 року така працює у великому банку. Ще один спосіб - пентест: легальний злом - коли замовляють не тільки знайти вразливі місця, але і проникнути , тобто хакнуть сайт. Звичайно, мене теж не раз намагалися зламати. Щоб убезпечити свій профіль в Facebook, крім надійного пароля з смс-кодом я також використовую англійський інтерфейс. Завдяки цьому всі запити і скарги на мою адресу розглядаються англомовної сл жбой Facebook, а не російської. Щодня мені приходять листи з проханнями зламати чийсь аккаунт: коханки хочуть перевірити, чи не брешуть їм чоловіки, чоловіки намагаються визначити, чи не зраджує дружина. Але це кримінал, і я таким не займаюся. Профіль своєї дівчата теж ніколи б не зламав - я за довіру ".

Олексій Комар

Через відсутність чіткого законодавчого регулювання державно-приватного партнерства в інформаційній безпеці будь-якої "білий хакер" автоматично потрапляє в "сіру зону", - розповідає Олексій Комар. - До того ж не треба лукавити: більшість так званих білих хакерів переслідують цілком комерційні цілі. Наприклад, вимагають за злом того чи іншого сайту гроші. Інша справа, що держава не використовує потенціал наших ІТ-фахівців і не діє в сфері кібербезпеки. Злом хакерами сайту Ради національної безпеки і оборони, який був два тижні тому, - зайве тому підтвердження. Я розумію, що зламують навіть сайт ЦРУ, але регулярність, з якою "клацають" сайти наших держорганів, приголомшує! За даними CERT-UA (команда реагування на надзвичайні комп'ютерні події України. - Авт.), Близько 40% IP-адрес українських держструктур заражені вірусами і використовуються кіберзлочинцями для розсилки спаму. Хакерські атаки не тільки шкодять мережевого обладнання - нерідко має місце витік інформації і навіть припинення роботи установ. Наприклад, в минулому році через злом "Прикарпаттяобленерго" було знеструмлено частину Івано-Франківської області. У цьому сенсі виділення парламентом в цьому році 150 млн грн на модернізацію і розвиток кіберзахисту походить більше на реанімаційну міру, ніж на оздоровчу процедуру. Сюди ж відноситься і збільшення зарплат кіберполіцейських. З минулого року зарплата IT-інспектора передбачена на рівні 8-10 тис. Грн. А тепер подумайте, який фахівець піде на такі гроші, якщо в ІТ-компанії він буде заробляти, навіть верстальником, не менше $ 1000.? Нашій владі давно пора зрозуміти, що кібератаки - це не тролі в коментарях, а серйозні загрози національній безпеці. Як показав минулий рік, коли зламували комп'ютери Демократичної партії США, це загрози геополітичного характеру. Україна "ще вчора" необхідно було розглянути досвід наших геосоюзніков, наприклад - США, розробити і впровадити національні стандарти в сфері національної кіберзахисту, а також внести відповідні зміни в законодавство, в частині можливості використання хакерів для роботи в інтересах національної безпеки. Тобто замінити позбавлення волі і судимість на "жорсткий" юридичний контракт.

ВЧАТЬСЯ хакерство В ІГРАХ

Зломи "на благо" перетворили навіть в спортивні змагання. Щорічно "білі" хакери з усього світу беруть участь в CTF (з англ. Capture the Flag - "захоплення прапора") - це особливий вид змагань з інформаційної безпеки (ІБ). Існують і міжнародні рейтинги команд, найбільш престижний з яких CTFtime в 2016 році очолила українська команда dcua. Українці випередили 12 тисяч команд і стали кращими в світі в сфері кібербезпеки! А попередні 4 роки хлопці стабільно входили в топ-10 світу.

ГРА НА ЗЛОМ. "Dcua існує на базі Київського політехнічного інституту ім. Сікорського з 2012 року, - розповідає капітан команди Микола Ільїн - як один з проектів української групи DefCon-UA (співтовариство фахівців сфери ІБ, асоційоване з відомою міжнародною конференцією DefCon, - Авт.). CTF мають важливу освітню мету популяризації знань в галузі технічного ІБ і в цілому підвищують престиж спеціальності. Ідея змагань - вирішення практичних проблем, наприклад, пошук вразливостей веб ресурсів, криміналістичний аналіз інцидентів, ана з відкритих джерел даних і багато іншого. Більшість атак справжні - найчастіше такі, які використовуються хакерами в реальному житті. Завдяки таким змаганням "білі" хакери отримують досвід в нападаючої безпеки і вчаться, як убезпечити систему. При цьому участь в CTF повністю легально, майже завжди безкоштовно і без обмежень.

В Україні існує близько десяти команд - вони брали участь хоча б в одному рейтинговому змаганні. Є й такі, що називають себе "білими" хакерами, але ніколи ніде не виявлялися. Всього в світі таких команд близько 16 тисяч ".

СЛІД ХАКЕРА. Обчислити професійного зловмисника дуже складно. "Все залежить від його кваліфікації і методу, який він застосовує, - пояснює Микола. - По одному інциденту або показником обчислити його походження малоймовірно. Наприклад, якщо тимчасова зона роботи хакера збігається з російським часом - деякі думають, що він з РФ. На самому Реально це може бути вся тимчасова зона Москви - навіть, наприклад, Абу-Дабі ( ОАЕ ), Яка трохи раніше встає. Але якщо хакер - держслужбовець, тимчасова зона дійсно може його видати: атаку він щодня починає о 10:00 і продовжує до 18:00 ".

"Хакер може виконувати команди, красти або підробляти дані, відстежувати листування та інше, - каже учасник команди dcua Микола Овчарук. - Активність хакера можна спостерігати за допомогою так званого сніффер - програми з перехоплення трафіку. Не дивлячись на це виявлення може зайняти тривалий час - місяці. Якщо ж у компанії розгорнуті системи моніторингу безпеки, і йому вдалося їх зламати, то він може залишатися непоміченим в системі і до 8-10 місяців. Є системи, традиційно слабо покриваються службами безпеки - пр закріпленні, наприклад, в маршрутизаторі зловмисник може сидіти роками, нічим себе не видаючи ".

САМОЗАХИСТ. "З елементарних засобів захисту вашого ПК найефективніший - включення періодичних оновлень операційної системи. Також стежте за фішингом (вид інтернет-шахрайства з метою отримання доступу до логінів і паролів. - Авт.). Починається найчастіше з отримання на пошту листа, можливо навіть від одного або колеги. Будьте уважними, не натискайте на всі посилання і не відкривайте вкладення з усіх підряд листів. Це один і найпопулярніших векторів атак. до речі, саме так у минулому році були зламані сайти Держказначейства, Укренерго та Прікарп аттяобленерго ".
Хлопці розповіли, що з усіх фільмів про хакерів найбільш реалістичний лише серіал "Містер Робот", де навіть показані атаки, які використовуються на самому справі. До речі, жінки серед "білих" хакерів зустрічаються теж.

Команда "білих" хакерів dcua. На CTF Микола Овчарук (ліворуч) відповідає за захист сервісів, а капітан Микола Ільїн - за аналіз захищеності

Сергій Демедюк

Зломи сайтів були завжди. Просто раніше про це або не підозрювали, або навмисне замовчували, щоб не погіршувати собі репутацію. Сьогодні на цю тему говорять дуже багато, тому складається враження, що кількість DDoS атак різко збільшилася. Кіберполіції намагається співпрацювати з усіма, хто може принести користь в розслідуванні і попередженні злочинів в інтернет-просторі. З "білими хакерами" співпрацюємо дуже тісно, ​​навіть запрошували їх до своїх лав. В їх діяльності немає нічого поганого, поки вони не порушують закон. Але, на жаль, не так багато професіоналів працює сьогодні в держорганах в сфері кібербезпеки: хороший сисадмін не працюватиме за зарплату держслужбовця, тому наймаємо їх періодично. Хоча зустрічаються і справжні аси, які допомагають нам на грунті патріотизму. В ідеалі було б добре, якби держоргани могли запропонувати їм зарплату на рівні комерційного сектора, а це $ 2-5 тис.

Читайте найважливіші та найцікавіші новини в нашому Telegram