trim_c (trim_c) wrote,
trim_c
trim_c

Categories:

Проще всего хакнуть мозг

В Международный день защиты информации Инна Веденикова, корреспондент ЗН поговорила с экспертом по кибербезопасности, соучредителем компании Haсken и школы "белых" хакеров Егором Аушевым. А я, верный своим привычкам, отредактировал текст интервью

Я защитил диссертацию по физике, но в Украине нельзя заниматься наукой. У меня две дочери, и мне нужно было зарабатывать. И вместе со своим школьным товарищем мы открыли компанию по кибербезопасности. Средства мы привлекли — посредством криптовалюты. В 2017 году провели IСO, выпустили несколько миллионов новых виртуальных монеток, продав их по всему миру. Взамен получили биткоины и обменяли их на доллары. В результате была создана платформа, на которой сейчас работают три тысячи "белых" хакеров.

Наша платформа, на которой работают "белые" хакеры, теперь уже предоставляет услуги более крупным компаниям. Если мы начинали с небольших клиентов, человек 10-20, то сейчас к нам заходят крупные мировые лидеры. За каждую найденную "дырочку" в системе безопасности "белый" хакер получает вознаграждение. Это может быть сто долларов, а может быть тысяча — в зависимости от критичности этой уязвимости.

Мы получаем свой процент, как платформа. В штате работают всего несколько десятков специалистов, а три тысячи хакеров со всего мира постоянно присутствуют на платформе и ждут, образно говоря, новую жертву, которую мы им принесем.

— Западные специалисты называют Украину страной мозгов и технарей, которые не занимаются стартапами.

— Да, у нас много умных людей и очень мало стартапов. Потому что наши технари не умеют создавать бизнес-продукт, упаковывать свои идеи так, чтобы они были интересны всему миру.

— Черный хакер целится в человека, а может попасть в государство или — в целый мир. Давайте как-то разведем эти две дорожки — человека и государство.

— Самая уязвимая часть любой системы — это человек. Саму инфраструктуру взломать сложнее, чем хакнуть человека, работающего с этой инфраструктурой. Потому что люди не любят соблюдать правила, а порой этих правил у них вообще не существует.

К примеру, хакеру-злоумышленнику нужно дискредитировать какое-нибудь интернет-издание. Для этого он не будет взламывать само издание, ему будет проще взломать почту или аккаунт в соцсетях какого-нибудь сотрудника. Потом с этого аккаунта отправить директору или системному администратору линк с "интересной новостью". После клика на этот линк злоумышленник получит допуск ко всей инфраструктуре. То есть обычно атака идет не напрямую, а присутствует так называемый вектор атаки.

Так, через родственника одного из работников некоторое время назад взломали инфраструктуру Федерации футбола Украины. При этом хакерам не обязательно нужно украсть или удалить информацию. Он может добавить ложную информацию, может перемешать существующие данные, получить банковскую и другую информацию, в зависимости от поставленной заказчиком цели.

— Но помимо того, что на нас могут охотиться хакеры, есть еще глобальная легальная история соцсетей, накапливающих информацию о каждом пользователе. Кто, как и в какой момент может ею воспользоваться? Или уже пользуется. Давайте пофантазируем.

— Ну, мы действительно можем только пофантазировать, поскольку точно не знаем, насколько честен тот же Фейсбук или Google, заверяющие, что ни у кого нет доступа к их данным. Тем не менее можно предположить, что все наши лайки, пристрастия, результаты опросников… собираются в специальных личных профайлах того же Фейсбука. Который, в свою очередь, имеет доступ к Инстаграму и прочим сетям. Вот, предположим, вы решите стать президентом, и вам нужно получить максимальную аудиторию в Интернете и таргетировать ее правильными месседжами. И вдруг (или не вдруг) Фейсбук решит поддержать именно вас и даст вам доступ к профайлам пользователей. Перед вами — полностью оцифрованная страна, сегментированная с учетом своих предпочтений, склонностей и привычек. Вы знаете, в котором часу какая из групп ложится спать, что и где любит есть, что читать, на каком транспорте ездить и пр. То есть Фейсбук поддерживает вас и, по сути, обеспечивает вам победу. Больше не нужно взламывать ЦИК, проще взломать мозг человека. Вы любите животных? Так вот же он — ваш кандидат! Так зарождаются симпатии. А потом вы и сами не заметите, как идете на референдум, который объявил ваш кандидат уже в качестве президента. Ваш мозг давно хакнули и вложили в него то, что нужно кому-то. И это уже совсем иная демократия, проходящая через цифровые системы.

— Вы сейчас говорите о гипотетически не честных владельцах социальных сетей. Но наши недавние выборы подтвердили, что хакнуть мозг можно и без непосредственного участия Цукерберга. Таргетированная реклама в умелых руках поднимает до Печерских холмов.

— Мы стали свидетелями самой сильной диджитал-маркетинг кампании во всем мире. Сильнее, чем у Трампа и любого другого лидера. Я не знаю нюансов, кто и в чем помогал, но ребята из команды нашего президента определенно молодцы.

— Ребята молодцы, а мы?

— Ну, 73 процента… тоже молодцы.

— Как не позволить хакнуть свой мозг?

— Заниматься самообразованием. Получать информацию из разных источников.

— То есть другого мира уже не будет?

— Он будет еще в разы более агрессивным. Все алгоритмы, используемые сегодня, — лишь начало новой глобальной истории. Параметров накапливаемой информации будет становиться все больше, как и таргетированных дорожек к каждому из нас.

— Что покупать, где лечиться, кому верить…все это будут решать за меня?

— Да.

— И за таких как вы?

— Конечно, можно сколько угодно думать, что тобой не руководят, но это не значит, что тобой не руководят. Есть еще одна сторона этой истории. Доступность для детей и подростков разнообразных, скажем так, услуг. Вы обращали внимание, что сейчас весь город завешен информацией о продаже наркотиков в Телеграме? То есть дети спокойно, за 100–200 гривен, могут купить наркотики. Двенадцатилетние дети с передозами попадают в больницу. Все стало настолько близко и просто, что с этим нужно бороться прямо сейчас.

— Есть пул экспертов, которые сегодня разрабатывают стратегию кибербезопасности для государства?

— Таких групп несколько. И я хожу на эти собрания. Бизнес действительно заинтересован во взаимодействии с государством и в расширении рынка. Сегодня я предоставляю услуги высокого уровня азиатским и другим мировым компаниям, но мне абсолютно непонятно, почему они не востребованы в Украине. Отрасль может начать развиваться, только если государство обратит внимание на свою кибербезопасность. Нужно садиться вместе и смотреть, где убрать монополиста, где разрегулировать законодательство, где написать новое.

— На сегодня весь государственный сектор "охраняет" старая и ненадежная система государственного образца, контролируемая Госспецсвязью?

— Наши стандарты никак не соотносятся с зарубежными. К нам заходит, к примеру, западная компания и предлагает подключить какой-то объект к своей системе. Изучают государственные стандарты безопасности. И разводят руками, рекомендуя получать международные. И зачем вся эта морока? Почему не завести в страну стандарты, по которым работает весь мир? Обнадеживает то, что появился отдельный орган исполнительной власти — Министерство цифровой трансформации. Мы начали общение и с министерством, и с СНБО, и с ОП. Даем рекомендации. Я не могу сказать, на каком уровне серьезности и понимания с нами общается государство. Но пока нет каких-то блокировок и нежелания слушать.

Что касается Госспецсвязи, то мы рекомендовали реформировать этот государственный орган. Туда сейчас пришел новый руководитель, разделяющий с нами понимание, что Госспецсвязь должна заниматься — спецсвязью. И еще какими-то отдельными секретными направлениями. Но этот государственный орган уж точно не должен регулировать весь рынок и продавать всем свои сертификаты. Я знаю историю, когда в АТО ребятам нужно заплатить десятки тысяч гривен, чтобы сертифицировать компьютер и взаимодействовать с госорганами. Однако у них таких денег нет, и они используют печатную машинку. Маразм на самом деле. Госспецсвязь — орган, который ответственен за все и, в итоге, за ни что. Если сейчас взломают какое-то министерство, то отвечать, почему так случилось, — некому.

Когда-то в СССР были проблемы с поставками хлеба в Москву. И наш советский специалист поехал в Британию изучать опыт. Он долго пытался понять, кто на уровне государства ответствен за поставки хлеба в Лондон, пока не понял, что весь процесс там регулирует рынок. То есть должен быть открытый, незарегулированный рынок, в нашей стране и в нашей отрасли в том числе.

Отдать в руки бизнесу — это значит четко обозначить ответственного. И если моя компания тестирует какой-либо элемент государственной системы или корпорации, то я беру на себя ответственность за качество нашей работы. Здесь включается репутационная история. Однако кибербезопасность — не какая-то разовая опция, это — перманентный процесс. Тестирование систем должно быть регулярным. Что сейчас? Да вообще ничего. Никто ни за что не отвечает. Почитайте ленты в Фейсбуке, куда постоянно сливают какие-то базы данных. Парадокс в том, что даже если сейчас указать какому-то министерству на проблему, то ее никто не исправляет. Ну, дырявый сайт, и дырявый. Никто за это не накажет и не привлечет к ответственности. У меня пару лет назад знакомый случайно нашел уязвимость в одном министерстве, попросил меня передать. Я сказал, чтобы закрыли. В ответ: "А как мы объясним, откуда мы узнали об уязвимости? Получается, что вы специально взламывали наш сайт, и за это уголовная статья"

Нужны новые подходы и законы. В США ФБР проводит такие тестирования на регулярной основе.


В этом интервью сравнительно маленький раздел, посвященный личной безопасности, т.е. что надо делать чтобы не хакнули твой мозг, и очень большой, где описывается ситуация с кибербезопансотью в стране и государстве Украина.

Мне более всего интересна первая часть - как себя вести, чтобы тобой не манипулировали. Это важно, потому что я ежедневно наблюдаю последствия такой манипуляции. И хуже всего на мой взгляд то, что человек может сам собой манипулировать в нужном ему направлении и ежедневно каждый это делает, а угроза как раз в том и состоит, что манипуляторам удается направить процесс самогипноза, остальное персона сделает сама.

Хотя большая часть интервью как раз посвящена кибербезопансти государства. Впрочем, применительно к Украине всю ее можно уложить в одну фразу: на сегодня таковая не просто отсутствует, отсутствует понимание, что она необходима и какие-либо движения в этом направлении. Для России мы просто подарок в этом смысле.

Но те, кому это интересно, могут обратиться к оригинальному тексту по ссылке или послушать запись интервью


Tags: ЗН, безопасность, манипуляция
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 16 comments