Интервью с (анти)хакером
— Работаю зам. директора по информационной безопасности одной из группы IT-компаний. Круг обязанностей широк, перечислять все долго. В целом, основная задача — тестирование заказчика на проникновение извне и изнутри сети.
— Как вы пришли в IT?
— В детстве родители постоянно забирали компьютер, ставили пароли, мне это не нравилось, так как хотелось играть. Приходилось выкручиваться, снимать пароли, ставить «закладки» для доступа к системе, «нарезать» диски со сбросом пароля, потом были форумы по ИБ (в то время был популярный whack.ru и antichat.ru) — оттуда и понеслось.
— Какое у вас образование?
— Среднее специальное. Все навыки приобрел самостоятельно, обучаясь на форумах, грубо говоря.
— С какими языками программирования работаете?
— Ни одного не знаю толком, ну вот не могу я в программирование, и всё тут. А так, знаю PHP\JS\C++ на уровне редактирования готовых скриптов и допиливания несложного функционала.
— Вы пишите ПО для проверки сами? Вы пользуетесь языками программирования?
— ПО используем купленое, но лучшее ПО — это руки и знания.
— Расскажите о периоде вашей деятельности, когда вы были тем, с кем боретесь сейчас.
— Да по большей части я сейчас и остался «Черной шляпой», просто совмещаю с белой деятельностью, так сказать для прикрытия и стабильности (в финансах).
Начиналось всё с того, как однажды я зашел на whack.ru и искал «программы для приколов над друзьями», там были так называемые билдеры программ, которые могут скрыть меню «Пуск», заставить курсор хаотично бегать по монитору и т. д. Потом заобщался с одним из старичков, он мне показал, как делаются сайты на ucoz.ru (улыбается), это было большое открытие на тот момент. Далее начал ломать сайты, которые взломали другие по их шагам (которые были расписаны на форуме), стало получаться, и я «дефейсил» (дефейс — хакерская атака с заменой главной страницы сайта, — Изнанка) с приветами своим сетевым друзьям; было очень весело, это были 2005-2009 года, тогда на сайтах еще было полно уязвимостей, и код толком никто не проверял. Самая частая была — SQL-Injection. Собственно, через нее в большинстве случаев я и пролазил на сайт (сливал базу) и выкладывал на форум ради репутации. Потом захотелось себе красивую аську, научился брутить (подбирать пароли), заимел шестизнак, потом была большая череда событий, куча новых знакомств, и я узнал, что такое спам, зарегистрировался в партнерке, которая дает деньги за регистрацию «дрочера» на порно-сайте. Начал спамить по базе ICQ, и тогда я получил первый профит из сети, эти было примерно 200$ за неделю. Но и в то же время это был переломный момент, когда я потерял спортивный интерес, и в голову полезли бабки. С этого момента я меньше обучался и больше пытался найти «темы», как можно поднять легких денег с моими скромными умениями.
Опуская пару-тройку лет, когда я занимался самообразованием [...]. Потом, в 2008, на одном из форумов я познакомился с командой людей, с которыми мы впоследствии организовали «закрытый» форум, куда пускали только профессионалов после прохождения нескольких этапов собеседования, но это уже другая история.
— Почему решили уйти в белый сектор?
— Потому что все деньги, что я поднимаю по «черным» темам — они большие, но нестабильные. То есть я могу в начале года заработать пару миллионов, а потом до зимы сидеть на дошираках. А белая работа — стабильные деньги.
Очень много в моей жизни примеров, как люди из темных тем уходили в белые. Было несколько знакомых, которые за один проект поднимали от 30 до 250 млн рублей и уходили из сети насовсем: один открыл сеть спортзалов, второй вложил в недвижку. На данный момент я «хакерую» и жду, когда же выпадет мой счастливый билет.
— Сколько поднимали на «черной» деятельности в лучшее время и сколько зарабатываете сейчас, работая в двух сферах?
— В лучший год вышло около 22 млн за весь год, в среднем получается 4 млн с черных тем (но я сейчас не сильно стараюсь).
— Черные темы — это карж (товар в интернете либо украденный, либо купленный за украденную кредитку)?
— Черные темы — это взлом сайтов с целью слития базы\дефейса\достать данные.
— С какими самыми крупными проектами имели дело?
— Конкретно проекты я не могу называть. Скажу, что самая большая сумма контракта была 8 млн рублей.
— На работе какого типа поднимали больше всего?
— Продажа политической информации.
— Можете поделиться чем-то из этой информации?
— Это может меня деанонимизировать, да и владение этой информацией несет определенные риски.
— Если без подробностей, то информация могла бы заставить СМИ шуметь об этом? Может, мы даже могли слышать какую-то часть этой информации?
— Мы взламывали миграционную службу Украины, добывали оттуда письма. Прямо на почту им падали запросы от интерпола, и прям по этой же почте улетали ответы с полными данными людей. Также несколько раз встречались прямые «приказы» не пускать того или иного человека в страну, вне зависимости от того, можно ему или нет.
— СБУ может получить информацию из частных переписок в телеграме?
— Наверняка вам никто не ответит.
Если мне нужно обсудить что-либо слишком приватное, я использую секретные чаты, либо вообще делаю это в Jabber с включенным OTR шифрованием.
— Откуда берете идеи для черных схем?
— Честно говоря, узнаю на форумах от других, либо использую старые проверенные, либо (что очень редко) пробую сам чего-нибудь новенького.
— Назовите 5 стран с самыми сильными хакерами.
— Я думаю: Турция, Россия, Китай, США, Иран.
— Какая основная категория ваших заказчиков?
— Крупные предприятия, кто уже осознал, что один день простоя IT-инфраструктуры может стоить в 10 (а то и больше) раз дороже одного аудита.
— На чём самом простом вам удалось заработать в интернете?
— Спам по аськам с ссылкой на порнушник\партнерку — были самые изи мани.
— Когда сливали дампы с баз данных сайтов, каким образом доставали дорки (список определенных запросов в поисковик, используемый в процессе (выкачивания с сервера) баз сайтов) и парсили (парсить — автоматически обрабатывать (разбирать) с целью получения нужных данных) ссылки?
— Я специализировался на целевых атаках, никогда не парсил по доркам, если такое и было нужно, то этим занимались комрады по команде.
— Если вскроется то, что вы параллельно белой работе имеете прибыль с черных тем, как это повлияет на вашу работу?
— Мой начальник знает об этом, он тоже промышляет, но он в сфере hardware. Что будет, если узнает собственник компании? Не знаю.
— Сложнее ли стало ломать сайты в сравнении с тем, что было 10 лет назад?
— Для меня — да. Пооткрывалось много bug bounty (когда сама компания платит белым хакерам за нахождение уязвимостей у них в проекте), появились другие технологии вроде mongoDB, Node.JS, docker и т. д., и там немного другие пути взлома, а мне сложно перестроить свою логику для работы с ними. На бОльшей части сайтов сейчас уже пофикшены банальные SQL-Inj, кодеры стали опытнее. Сейчас в тренде XSS уязвимости, в чем, я к сожалению, шарю посредственно.
— Не могли бы вы развеять миф о романтичности в деятельности хакеров? Думаю, это будет полезная профилактика для некоторых.
— Меня «принимали» три раза, все три раза я выходил сухим, нервов это не прибавляет. Я сплю по 3-4 часа в сутки, из-за этого проблемы со здоровьем + постоянная паранойя, что у тебя на хвосте сидят, часто не дает заснуть, каждый звонок в дверь вызывает дичайший выброс адреналина в кровь. Зрение тоже не хило падает. В фильмах очень часто показывают, как легко ломаются системы управления электроснабжением домов\городов, например, но на самом деле что бы такое осуществить, нужна команда ОЧЕНЬ талантливых людей разных спецификаций, и найти всех и собрать воедино — задача, которая под силу только правительствам стран, я думаю.
— Как относитесь к «хакерским» фильмам?
—Mr. Robot первый сезон — наиболее реалистичный из всего, что я смотрел. Остальное все — сладкая розовая вата.
— Как можете прокомментировать ситуацию с РКН и телеграмом?
— Слишком жаркая тема. Честно, не хочу отвечать, потому что это политика, а там всё очень запутано.
— Насколько правдивы рассказы про русских хакеров, работающих на правительство/спецслужбы?
— Из тех, что я читал — 90% правды, но я читаю на специализированных ресурсах. А в большинстве СМИ идет желтуха для хайпа.
— Есть ли для вас сложности в «белой» работе, или всё достаточно просто и рутинно?
— Там очень много бюрократии, нужно знать всякие ФЗ (федеральные законы) и т. д. и т. п. Я больше практик, но приходится учить ФЗ, общаться с регулирующими органами. А в целом — всё просто.
— Вспомните самую сложную и необычную проблему, которую приходилось решать на работе.
— На одном из предприятий постоянно сливались бух. документы, база клиентов и т. д. По итогу (через три месяца и десять ведер пота) выяснилось, что на предприятии работает сотрудник, который в определенное время втыкает в сеть WI-FI роутер с направленной антенной и дает доступ другому человеку, который находился в автомобиле рядом с предприятием. Он и получал доступ к сети и сливал все документы.
— Были ли стычки с законом до того, как стали работать «под прикрытием»?
— Да, как выше описал, принимали три раза. Все три раза я нарушал негласное правило\закон в сети: «Кто работает по РУ — к тем приходят по утру». Больше не нарушаю (привет, ФСБ).
— Насколько актуально хакерство в наши дни?
— Актуально, но сейчас научиться чему-либо на форумах сложнее. Во-первых, засилье «инфоциган», которые пытаются продать тебе всю эту информацию, которая есть в свободном доступе, тем самым заспамливая выдачу поисковиков и форумы. Во-вторых, на форумах слишком много «школоты» (это, кстати, в понятии хакеров — состояние души). Они умеют только ломать стим, вечно просят взломать ВК, подкидывают подругам скрытые тимвиеверы, чтобы подглядывать и кидают добропорядочных коллег.
— Можно ли взломать телеграм без социальной инженерии?
— Да, к примеру «сделать» доверенность якобы от человека, чья сим-карта (привязанная к ТГ), прийти к ОПСОСу и получить дубликат симки. При включенном 2FA (двухфакторная аутентификация) такое не поможет, конечно же, но есть и другие способы.
— Показывали ли вы когда-нибудь найденную уязвимость непосредственно администрации взломанного сайта за вознаграждение?
— Да, однажды показал, вежливо попросил денег... денег я не получил, зато ко мне пришли рано утром. В другом случае это был уже US сайт, за найденную уязвимость на тот момент я получил 2к$.
— Как вы считаете, правительство сильно следит за взломами? Какой шанс, что после взлома чего-либо могут прийти?
— Правительство следит за политическими взломами. Сильно.
Если ломать не СНГ, то по моим наблюдениям, можно очень долго и счастливо жить и не сидеть.
— Часто используете свои навыки для развлечения? Что самое забавное делали?
— Сейчас уже не часто. Раньше постоянно приходил в интернет-кафе и «сниффал» разные доступы. Чаще всего это был ВК, что я делал с анкетами, я говорить не буду, потому что вы меня тапками закидаете, но поверьте мне — было весело. Самое забавное — это.
— Вообще, как часто плоды вашей работы всплывают в СМИ?
— Конкретно мои — нечасто, это единственный. А когда у нас была команда — частенько.
— На вашей основной работе проблемы какого типа самые частые? Бывают какие-то крайне серьезные атаки?
— Самая частая проблема — это человеческий фактор. Пока я работаю в белой сфере, таких атак, как когда-то делали мы (а мы были далеко не самыми крутыми ребятами), не попадалось.
— Все привыкли, что в кино образ хакера достаточно однообразен. Можете ли вы сказать, что внешне совершенно не похожи на классического полного или, наоборот, худого задрота?
— Когда-то я был похож, если бы однажды не нашел ИРЛ друзей, который вытащили меня из дома. Сейчас мой рост 180, вес 73, телосложение худощавое. Сложно объективно оценивать свою внешность, но скажу, что вниманием девушек не обделен.
— Есть ли поступки, которые даже черные хакеры не станут делать?
— Кидать «своих» (хотя сложно дать точное определение этому понятию). Крыс не любит никто. Работать по странам СНГ не станет ни один уважающий себя и ценящий свободу хакер из СНГ.
— Поделитесь историями из практики, которые лучше всего расскажут о вас как о профессионале.
— Ломали mysql.com, но так и не дотянули до получения профита, хотя он там мог исчисляться сотнями тысяч вечнозеленых. По итогу продали исходники сайта.
Ломали службу статистики в ЮСА, получали финансовые отчеты компаний до их официального выхода, исходя из этих пресс-релизов прогнозировали рынок и торговали ценными бумагами, либо сливали инсайдерскую информацию другим трейдерам.
Я говорю «ломали», потому что каждый должен заниматься своим делом, нет универсальных людей\хакеров. Кто-то шарит во взломе сайтов, кто-то шарит в «закреплении» во взломанной сети, кто-то шарит во взломе ОС. Так же и я, всё крупное делает только в команде, так как требует разнообразных навыков на разных этапах.
— Нормально заработали на этом?
— Это было при курсе доллара в 35 рублей, заработали около 150к рублей с одной продажи.
— Никогда не «рыли» информацию о ваших друзьях, знакомых или даже родных?
— Нет. За семь лет отношений с девушкой ни разу не поддавался соблазну «почитать ее соцсети». Принципы. Ну, или доверие.
— Когда вы что-либо взламывали, кому вы продавали эту информацию за деньги (где находили людей/они вас находили)?
— Либо по знакомым узнавал, либо выкладывал пост на форумы. Были и постоянные заказчики, но это чаще всего были полит. заказчики.
— Если не секрет, то политические заказы чаще поступали от власти или оппозиции?
— Естественно, заказчик не скажет, кто он, но, исходя из наблюдений, чаще власть. Но подавляющее большинство заказов, что можно отнести к политическим — это заказы на удаление информации в интернете о конкретных депутатах, кстати, чаще всего из Казахстана, либо найти информацию о том, кто выложил какую-то компрометирующую информацию на этого человека.
— Где «блэки» берут ресурсы (vps, прокси, vpn и т. д.) для темных дел? Сами взламывают, покупают за битки на форумах, оформляют на левые доки, или они не заморачиваются с анонимностью, если не работают по ру?
— Заморачиваются с анонимностью все... кто адекватный. Не могу сказать за всех, но мы покупали у хакерских сервисов впны, прокси и т. д. Сейчас я покупаю на анонимные карты сервера и сам всё на них поднимаю.
— У вас есть желание работать в IT в той же Америке? Ведь сейчас СНГшные айтишники занимают там не последнее место по востребованности.
— Нет. Я патриот, но с другой стороны мне очень не нравится текущая внутренняя политика России, поэтому проскальзывают мысли уехать туда, где тепло. Но в Европе более суровые законы касательно преступлений в сфере ИТ.
— Но зарубежные предложения по постоянной работе вам поступали?
— Нет, я не светился на зарубежных HR сайтах.
— Не было желания работать кодером?
— Мечтаю. Но склад ума\нервы\усидчивость не позволяет. Много раз начинал, но доходя до момента, который не работает, и с которым я сам не могу разобраться, я забивал.
— Есть ли сайт, который вы мечтаете взломать?
— Очень интересный вопрос. Я мечтаю взломать то, что принесет мне много денег. И нет, я не алчный.
— А если не из корыстных целей, а хотя бы чисто ради интереса?
— Ради интереса — корпорацию Oracle, посмотреть, как у них там всё устроено.
— Как вы считаете, чтобы стать более-менее нормальным хакером в наше время нужно знать языки программирования? Или достаточно доставать готовые варианты?
— Даже чтобы не стать хакером, я бы выучил какой-нибудь ЯП, например, Java. Потому что это — будущее. Готовые варианты юзают так называемые скрипткидди, это околонизший уровень хакерства. «Труъ» пишут эксплоиты и вспомогательные утилиты сами.
— Вы никогда случайно во время «черной» или «белой» работы не натыкались на настолько абсурдную информацию, что было сложно поверить в её правдивость?
— Да, финансовые отчеты некоторых очень мелких банков, например, либо информация о внеземных вторжениях от NASA.
— Каким образом ваша деятельность пересеклась с NASA?
— Когда-то ломали НАСА, но не потому, что заказ, а потому что было можно. Сливали маленькие куски снимков с хаббла, ибо один нормальный снимок весил около 300-700 гигабайт. Профита не получили, ломалось ради спортивного интереса узнать, как там всё устроено.
— И что там говорилось про вторжения?
— Что бы не врать, не скажу конкретно, было давно. Из воспоминаний: описывались различные феномены, возникающие на земле, вроде «порталов», вспышек энергии и т. д.