Кібербезпека по-українськи: про тиск силовиків, білих і чорних хакерів і цінності диванних експертів

Микита Книш — експерт в області інформаційної безпеки, служив в СБУ, допомагав ловити кіберзлочинців, а зараз працює над захистом веб-сервісів і займається кібер-розслідуваннями. Організатор форуму з кібербезпеки HackIT. Микита був одним з перших, хто почав публічно висвітлювати атаку вірусу Petya і публікувати рекомендації щодо мінімізації збитку.

Кілька тижнів тому Микита посів посаду позаштатного радника Адміністрації Президента. В інтерв'ю для DOU Микита розповів про співпрацю з госслужбами з питань ІБ, кар'єрних шляхах сб і «білих» хакерів, існуючі проблеми та способи їх вирішення.

— Микита, ви давно співпрацюєте з державними службами з питань ІБ. З чого все почалося?

У мене дуже активна позиція. Коли в 2015 році анонсували створення кіберполіції, ми з колегами поїхали в ОБСЄ до координаторів національних проектів і запропонували їм програму навчання для кіберполіції. Ми розробили прозору публічну процедуру підбору кадрів, придумали, як можна зібрати гроші на гідні зарплати для інструкторів з допомогою краудфандінга. Однак у них ця процедура була дуже закрита і заангажована, і нам тоді відмовили. Деталі цієї історії я розповідав в інтерв'ю на «Цензоре», матеріал називається «„Кримський ботнет“, або Хто замовив „Цензор.НІ“?» .

Там, крім іншого, розписані всі деталі моєї поїздки в Київ, як ми спілкувалися з ОБСЕшниками, як виходили на керівництво кіберполіції, як пропонували свій варіант навчання, радили, підбирали інструкторів-тренерів. І як вони розповідали, що платити 150 грн фахівця з інформаційної безпеки за годину лекції — це теж нормально.

Ось після цього і почалося моє взаємодія з представниками влади. Я для себе вирішив, що моя компанія ProtectMaster і я особисто ніколи не будемо брати участь у державних тендерах, щоб уникнути конфліктів інтересів. Моя компанія почала безкоштовно пропонувати співробітникам всіх силових відомств пройти майстер-класи з способів збору інформації із відкритих джерел і базовим навичкам у сфері практичної кібербезпеки. Ми зайнялися навчанням СБУ, прокуратури і силовиків, розповідаючи, як правильно документувати, збирати інформацію, користуватися відкритими базами даних і всім, що дає нам інтернет.

— Як потрапили на посаду радника при Адміністрації Президента?

Наша ініціатива по навчанню співробітників СБУ, поліції, кіберполіції і прокуратури призвела до знайомства із представниками влади. Вони також виявилися зацікавлені у профільних, професійних консультаціях. Це співробітництво природним шляхом оформився офіційно, і мене призначили позаштатним радником АП.

У посвідченні написано просто «Радник Адміністрації Президента». Але, як ви розумієте, ні в якій іншій сфері, крім кібербезпеки, я радити не можу :)

— Що входить в обов'язки радника?

Якщо загальними словами: підготовка рекомендацій в різних областях, в тому числі з розвитку інформаційної безпеки України. Що саме раджу, розголошувати не можу.

Я намагаюся спочатку обговорювати всі питання з профільним співтовариством, зібрати їх думку з тих чи інших питань, а потім донести це рішення до вищого керівництва. Хочу зазначити, що в АП для цього є штатні працівники, які займаються цим щодня, я можу лише намагатися донести ту чи іншу думку в надії, що вона буде почута.

— Чим ви займаєтеся зараз, якими питаннями?

Зараз займаюся питанням, пов'язаним з тиском на IT-бізнес силовиків. Мене нерідко самого залучали для проведення обшуків IT-компаній як технічного спеціаліста, а тому я знаю, що існує така проблема. Щоб прибрати аспект тиску, я вважаю, що треба заборонити силовикам вилучати комп'ютерну техніку. Потрібно зробити правильну законодавчу базу для роботи з образами комп'ютерів (віртуальними образами), щоб можна було прийти, скопіювати на флешку, не паралізуючи діяльність всієї компанії на кілька місяців.

Ось це я намагаюся пролобіювати, доносити на всіх рівнях. Одного разу намагався з одним з депутатів через Верховну Раду: розглядали законопроект від жодної політичної партії, але взяти його не вдалося, не вистачило голосів. На жаль, у Верховній Раді не розуміють, навіщо забороняти силовикам вилучати техніку.

— Які ще проблеми інформаційної безпеки бачите?

Існує величезна проблема з цифровою криміналістикою: з документування злочинів у сфері кібербезпеки. В інститутах судових експертиз утворюються величезні черги, які дозволяють оглядати комп'ютерну техніку і проводити експертизу тільки через 6-8 місяців після вилучення. Зрозуміло, що якщо у хостинг-провайдера вилучити на 6 місяців обладнання, цей бізнес буде повністю знищений. Цим і користуються силовики для тиску на IT-компанії, і я відкрито про це говорю.

Думаю, треба щось змінювати і вводити приватні комп'ютерні експертизи, щоб у людини був вибір і можливість не чекати 8 місяців, рік, іноді 2 роки, щоб твій комп'ютер відкрили і подивилися, є там потрібні для слідства файли чи ні. Я пропоную зробити приватну експертизу: віддати повноваження найманим експертів для проведення експертизи щодо тієї ж процедури, що проводять НДІ судових експертиз.

ДСТЗІ, на мій погляд, дуже заангажована структура, яка видає сумнівні ліцензії та сертифікати за рівнем якості. Можна зробити цей процес більш публічним — створити відкриту некомерційну організацію, яка буде займатися питаннями сертифікатів, ліцензій. Прозора процедура дозволить прибрати корупційну складову.

Вважаю, що така організація буде самоокупна: експертиза коштує грошей, це зрозуміло. І компанія, наприклад, в якої вилучили комп'ютерну техніку, буде зацікавлена максимально швидко провести огляд та експертизу цієї техніки і повернути її собі. Потім вона доведе свою невинність у суді, не затримуючись на нескінченному етапі досудового слідства, яке у нас в країні може тривати роками. Я думаю, такі компанії будуть готові платити недержавним експертним центрам.

Ось такі публічні (законодавчі або не законодавчі) IT-ініціативи я пропоную на критику громадськості. Поки що конструктивної критики не отримав.

— А як реагує держава? Щось поліпшується?

Зрушення є: я бачу якісь рішення РНБО, які вводяться указами Президента. Можливо, провести такі рішення через ВР не завжди вистачає голосів. Приміром, та ж блокування «ВКонтакте», «Яндекса» — це вже конкретні кроки.

Останнє рішення РНБО декларує публічне взаємодія з приватними компаніями в області інформаційної безпеки. Це допоможе залучати нормальних адекватних фахівців у допомогу державі в налаштуванні і системної інтеграції сервісів, які є у держави.

— Що гальмує прогрес на державному рівні?

Проблема в абсолютній хаотичності дій. Поширений приклад: киберполиция розслідує якусь справу. До неї приходить співробітник СБУ, намагається вилучити справу. Потім ще приходить прокуратура, і починаються незрозумілі танці з бубном навколо гучного резонансної справи.

На мій погляд, основна проблема — це відсутність координації та єдиноначальності. Має бути людина або команда, які зможуть чітко говорити, що, як і коли ми робимо, куди йдемо, і давати іншим чіткі й зрозумілі вказівки.

Проблема в тому, що вище керівництво країни не розуміє (та й не повинно детально розуміти) інформаційну безпеку. Тому і потрібно залучати професіоналів у цій сфері, давати їм можливість висловлювати ідеї і, найголовніше, чути їх.

— Чи багато в Україні таких професіоналів? Наскільки розвинене спільнота?

Спільнота розвинене досить непогано, але його вже нудить від політичних підкилимних ігор, від незрозумілої політики держави в цій сфері. І ніхто не хоче взаємодіяти з державою, тому що мізерні зарплати, ризик того, що взагалі за це посадять, ризик тиску на твій бізнес, якщо ти затронешь чиїсь фінансові інтереси. Люди не те щоб залякані, а просто не хочуть з цим зв'язуватися. Я теж отримав цілий потік бруду з-за публічного представлення взаємодії з державою.

У приватному секторі все більш-менш добре, роботи достатньо. Програмісти можуть отримувати там від 1,5 до 4-5, а то і 6 тис. доларів на місяць і не хочуть зв'язуватися з державою. А сама спільнота розвивається, змінюється, адаптується до ринкових тенденцій. Бізнес завжди розвивається швидше, ніж держава.

— Якщо порівнювати кібербезпека в Україні та в інших країнах Європи, США — наскільки ми відстаємо?

У нас паперова країна. Тому, наприклад, коли «Прикарпаттяобленерго» атакували і вимкнули світло, ми завжди могли послати електрика Василя, щоб він фізично включив рубильник. Якщо трапиться щось подібне в країнах Європи або США, у них послати включити рубильник буде набагато складніше :)

Ми знаходимося ще в аналоговому столітті, у нас все поки що на папері, частково як і реформи. На мій погляд, за рівнем кібербезпеки і впровадження IT в світовому Топі зараз Естонія. Це повністю комп'ютеризована країна, у якій варто повчитися, брати досвід. У нас є дуже мудра представниця Естонії — Яника Мірило. Вона активно виступає ініціатором впровадження iGov в Україні і особисто мене вона неймовірно мотивує щось робити. Яника в буквальному сенсі пробиває лобом стіни для того, щоб зробити нашу країну ще трішки більше комп'ютеризованої. Спасибі їй за це.

— Чи змінилось у нас що-то в кращу сторону після NotPetya? Прийняло держава якісь превентивні заходи?

Було прийнято рішення на базі РНБО. Поки що він тільки на папері. Чи будуть якісь зрушення і зміни? Покаже час.

Зрозуміло наша держава, що потрібно куди більше займатися кібербезпеки, ніж самопіаром і голослівними заявами? Не знаю, не можу відповісти. Час покаже. Суттєвих зрушень, як, наприклад, блокування «ВКонтакте» у відповідь на російську інформаційну агресію, зроблено не було.

Чи готові наші силовики до наступних атак? У всякому разі вони про це знають. Служби попередили людей, що слід поміняти паролі, заблокувати якісь порти. Список цих рекомендацій дуже конкретний, дуже повний. Він опублікований на сайтах СБУ і кіберполіції, в засобах масової інформації. Я вважаю, що це вже «невеличка, але перемога» наших силовиків — вони зрозуміли, що наступний крок (атака).

— Великий попит в українських компаніях на фахівців з ІБ?

Після NotPetya попит трохи піднявся, але в цілому — ні. Український ринок працює на аутсорсинг, аутстаффінг — за кордон. Українські компанії не створюють такої кількості продуктів, які могло б тестувати стільки професіоналів. Тому висококваліфіковані фахівці в інформаційній безпеці змушені брати замовлення з-за кордону.

— Які кар'єрні шляху можливі для фахівця з кібербезпеки?

Фахівці з інформаційної безпеки, кибербезопасники, хакери — це, за великим рахунком, всі IT-шники: програмісти, фахівці з мережної безпеки і мережним технологіям, які переросли у щось більше. Вони навчилися не тільки писати код, але і ламати його.

Хакери — це свого роду ті ж програмісти і розробники з нестандартним мисленням, які хочуть докопатися до суті і зрозуміти, як це працює. Можна стати програмістом, можна — системним інтегратором: придумувати і проектувати системи. Можна піти безопасником в компанію, можна влаштуватися в антивірусну компанію або в яку-небудь security-лабораторію, яка займається дослідженням вірусів.

В Україні є дуже талановиті «білі» хакери. Наприклад, українська команда Dcua в 2015 році зайняла перше місце на всесвітніх хакерських змаганнях CTF. Мета «білих» хакерів — займатися захистом і одержувати за це непогані гроші замість того, щоб займатися зломом і завдавати шкоди, репутаційні втрати компаніям, як це роблять «чорні» хакери.

Треба сказати, що в плані «чорних» хакерів нам теж є чим «похвалитися». Українсько-руської командою був створений «Зевс» — один з найвідоміших і найпопулярніших банківських троянів, який краде гроші з банківських карток. Чорна платіжна система Liberty Reserve, яка використовувалася в основному для відмивання грошей, для чорних платіжних операцій, була створена киянином, його заарештувало ФБР. Обороти всередині цієї системи обчислювалися сотнями мільйонів доларів.

— Як працюють «білі» хакери?

«Білі» хакери, як правило, працюють через Bug Bounty програми. Великі і поважають себе бренди запускають такі програми і кажуть: «Ми публічно дозволяємо всім хакерам тестувати наші сервіси, намагатися їх зламати за умови, що ви надішлете нам звіт про те, що ви знайшли. Ми в обмін на це оплатимо вартість знайдених вразливостей». Складається список, що дозволено, що заборонено. Наприклад, не можна використовувати DDOS-атаки і автоматичні сканери. Якщо порушити правило, те, швидше за все, вам не заплатять.

Після того, як хакер знайшов вразливість і відправив її на оцінку компанії, платформа перевіряє, вразливість, чи відповідає подана заявка правилами і не опублікована вона публічно. Після того, як компанія підтверджує і закриває уразливість, щоб інші не могли її повторити, хакеру виплачують винагороду.

Складно описати «типовий» шлях хакера, кожен доходить до цього по-своєму. Хтось починає, як я, з іграшок, хтось відразу починає тестувати форуми і чати, хтось створює електронні девайси, які дозволяють щось обходити і кудись вступати.

— Ви сказали, що починали з ігор. А як взагалі зацікавилися сферою інформаційної безпеки?

Мені було 14-15 років, коли під руку підвернулася книжка «HTML 4.0», і я захопився, став пробувати створювати сайти. Тоді твердо визначився, що хотів би працювати в напрямку IT. На той момент, як і всі однолітки, ходив у комп'ютерні клуби, де можна було грати по мережі з друзями. З часом став системним адміністратором в такому клубі. По трохи вивчав мережеві технології, налаштовував сітки, створював сайти, почав створювати чіти для ігор. Потім написав програму, яка дозволяє дивитися закриті фотографії «ВКонтакте», це, до речі, теж активно обговорюється тролями на певних ресурсах. Але пізніше закинув це діло і перейшов в арбітраж веб-трафіку: займався скупкою реклами в Google і перепродажем на більш вигідних умовах.

На другому курсі відправився в США по програмі обміну «Work and Travel» , де прожив майже 6 місяців, переймаючи досвід. На 3 курсі університету пішов на військову кафедру, звідти потрапив до СБУ, де прослужив два роки. Розчарувався службою з-за інтриг і нерозуміння з боку керівництва простих істин, але все одно за цей час отримав дуже багато корисного життєвого досвіду. На мій погляд, структура в 2014 році була більш «беззуба», зараз вона міцніша.

Після того, як залишив службу, приєднався до старої команді друзів, і оформили це все юридично. Так з'явилася ProtectMaster — компанія, яка займається інформаційною безпекою. Створив хакерську конференцію HackIT.

— Наскільки важливі знання з безпеки для програмістів?

Для програмістів, які пишуть сайти і мобільні додатки, — це все дуже потрібно. У нас є багато кодерів, але не всі розуміють, що таке чистота коду, культура написання коду і так далі. Це все, на мій погляд, неможливо без будь-якого досвіду в сфері інформаційної безпеки, кібербезпеки.

Створення незахищених продуктів і сайтів з непродуманою логікою і архітектурою призводить до витоку персональних даних користувачів, репутаційних і фінансових втрат.

Я вважаю, що кожен розробник повинен мати хоча б базовими знаннями для того, щоб підвищити свою цінність на ринку IT-праці, писати більш чистий і якісний код, розуміти, де недоліки можуть створити інформаційну вразливість.

— Як програмісти можуть внести свій внесок у забезпечення кібербезпеки на державному рівні?

Як я говорив, я намагаюся виносити всі питання на обговорення з профільним співтовариством. Я б хотів публічно закликати всіх фахівців брати участь у цих обговореннях, відкрито зв'язуватися зі мною і пропонувати свої ідеї. Я вважаю, що один в полі не воїн, одна голова — добре, а багато — краще.

Я завжди хотів, щоб люди, у яких є хороші ідеї, могли бути почуті на вищому рівні. Закликаю «диванних експертів» приєднуватися до дискусії, розповісти, як зробити цю країну кращою, що для цього потрібно робити в сфері інформаційної безпеки. Я буду намагатися максимально відкрито донести будь-які ідеї та пропозиції, якщо вони будуть мати за собою якийсь план імплементації. Не так, як на конференціях політиків — зібралися, полялякали, обговорили «взагалі про взагалях», сказали «як все погано», підписали меморандум, потиснули один одному руки. А на виході нічого не відбувається.

Я б хотів, щоб кожен діалог з профільним фахівцем, людиною, яка розбирається в цій сфері, закінчувався для мене якимись позитивними висновками, рекомендаціями, які я б зміг донести на вищому рівні :)

Якщо ми не будемо захищати держава у сфері інформаційної безпеки, інформаційної агресії, то ми програємо війну. Війна виграється в головах. Та ж блокування «ВКонтакте» дає ефект і приклади зниження рівня російської пропаганди, зниження рівня залученості українців в російські новини і події. Як би бурхливо спочатку люди не реагували, толк є — це треба визнати.

Тому я і закликаю всіх максимально об'єднуватися і приєднуватися. Мені дуже подобається девіз десантників: «Хто, якщо не ми?»

Опубліковано: 27/09/17 @ 10:00
Розділ Безпека

Рекомендуємо:

Junior дайджест: курси, стажування, інтернатура. Жовтень'17
Кейс: від 0 до 13000 чоловік в місяць для сайту клініки лазерної медицини
Віддалена робота: плюси і менеджерські особливості
Front-Еnd дайджест #26: Yarn 1.0, потоки в JS, Atom-IDE, починаємо писати на Reason і WebAssembly
Нюанси UI & UX для iPhone X