UA / RU
Поддержать ZN.ua

Егор Аушев. "Хакнуть" мозг легче, чем взломать сайт ЦИК

Как защититься от хакерских атак и как не стать инструментом в чужих руках – в интервью с Егором Аушевым.

Автор: Инна Ведерникова

Надев тапочки и свободно расположившись на домашнем диване с кнопкой в открытый виртуальный мир, мы не задумываемся о возможных подвохах, которые он нам готовит.

Да мы вообще не заметили, как оказались в самой авторитарной из возможных точек, некогда описанной Оруэллом. Только вместо портрета Большого брата на стене у нас в руках маленький любимый девайс, наблюдающий за нами не менее пристально.

Возможно ли защититься от технологий, делающих нас и целые государства все более прозрачными? Как укрыться от прогресса, подарившего нам, как теплые расслабляющие ванны в социальных сетях, так и хакерские атаки на информационные системы государств и корпораций? Как не попасться на удочку первых, куда мы годами по собственной воле сливаем данные о себе, и защититься от вторых, бесцеремонно взламывающих наши тайны? Как вести себя в этом мире человеку и государству, чтобы не стать инструментом в чужих руках?

Ответы на эти и другие вопросы в Международный день защиты информации мы искали с экспертом по кибербезопасности, соучредителем компании Haсken и школы "белых" хакеров Егором Аушевым.

Об адронном коллайдере, "случайных" биткоинах и "белых" хакерах

- Егор, у кого сейчас ключи от мира?

- У тех людей, которые обладают информацией. Мы все - государственные органы, частный бизнес, граждане - живем в мире, в котором все наши данные накапливаются и хранятся в интернете. И это как раз самый уязвимый участок каждого, который нужно защищать всеми возможными способами. Чтобы не отдавать свои ключи чужим людям, которые будут пользоваться ими как хотят и когда захотят.

- Как так произошло, что вы из своего мира физики переместились в мир технологий и занялись не наукой, а защитой данных?

- В свое время мне действительно посчастливилось поработать в сфере экспериментальной физики, физики высоких энергий. Четыре с половиной года в Германии и США на коллайдере Теватрон в научном центре Fermilab под Чикаго я занимался наукой. Наблюдал за четырнадцатью мониторами, по которым одновременно передавались полученные с коллайдера данные. Это были очень закрытые, можно сказать, сверхсекретные данные. Уже тогда я начал задумываться о том, как они защищаются, сколько имеют степеней доступа, и насколько важна кибербезопасность. Потом я защитил диссертацию, над которой работал частично в Штатах, частично в Германии. После этого вернулся в Украину, как раз в самый разгар революции, и занялся здесь бизнесом.

- Почему же не наукой?

- Вы спрашиваете, почему в Украине неинтересно заниматься наукой?

- Принимается.

- У меня две дочери, и мне нужно было зарабатывать. И вместе со своим школьным товарищем мы открыли компанию по кибербезопасности. Спустя некоторое время я пришел к идее создания некоего глобального проекта в Украине. Естественно, нужны были средства. И мы, уже с новыми партнерами, их привлекли - посредством криптовалюты. В 2017 году провели IСO, выпустили несколько миллионов новых виртуальных монеток, продав их по всему миру. Взамен получили биткоины и обменяли их на доллары. В результате была создана платформа, на которой сейчас работают три тысячи "белых" хакеров.

Параллельно мы развиваем бренд компании ХАКЕН и школу "белых" хакеров Cyber School. Мы сделали упор на образование, поскольку сотрудников нашей отрасли катастрофически не хватает.

- Западные специалисты называют Украину страной мозгов и технарей, которые не занимаются стартапами.

- Да, у нас много умных людей и очень мало стартапов. Потому что наши технари не умеют создавать бизнес-продукт, упаковывать свои идеи так, чтобы они были интересны всему миру.

- Откуда у физика, умение создавать и упаковывать бизнес-продукт?

- У нас работала команда. Мы проводили много мозговых штурмов, буквально по шагам продумывали, как все должно происходить, почему и чем мы будем лучше наших конкурентов. С одной стороны, нам нужно было привести на платформу специалистов по кибербезопасности, ожидающих, когда появится новый продукт, который нужно попытаться легально взломать. С другой стороны, необходимо было заводить клиентов, нуждающихся в такой услуге. Нужно было научиться выдерживать баланс между этими задачами.

- Как вам - новичкам, по сути, - удалось так лихо провернуть операцию с биткоинами? Где этому учат? Я просто хочу помочь другим.

- Нигде. Это был как раз пик привлечения средств с помощью криптовалют. Мы случайно об этом узнали - кто-то сбросил линк. Посмотрели, как это работает. За два месяца на пятидесяти страницах описали нашу идею на английском языке и поехали по миру привлекать средства. Просто говорили: если вы верите в нашу идею и хотите поучаствовать в создании такой платформы - покупайте наши монетки. Мы их назвали хакены. Один хакен - один доллар. Таким образом, мы собрали более четырех с половиной миллионов долларов. Наш хакен пошел на криптобиржу, он там торгуется до сих пор. Сейчас у него есть продолжение, миграция на новый блокчейн. А наша платформа, на которой работают "белые" хакеры, теперь уже предоставляет услуги более крупным компаниям. Если мы начинали с небольших клиентов, человек 10-20, то сейчас к нам заходят крупные мировые лидеры.

- Что происходит после того, как вы находите уязвимость?

- За каждую найденную "дырочку" в системе безопасности "белый" хакер получает вознаграждение. Это может быть сто долларов, а может быть тысяча - в зависимости от критичности этой уязвимости.

- Ваш заработок? И у вас работает штатный персонал?

- Мы получаем свой процент, как платформа. В штате работают всего несколько десятков специалистов, а три тысячи хакеров со всего мира постоянно присутствуют на платформе и ждут, образно говоря, новую жертву, которую мы им принесем.

- Как часто вы приносите им "жертв" из Украины?

- Не часто. В нашей стране еще не совсем осознана необходимость защиты данных, а значит и уровень кибербезопасности достаточно низкий.

О "черных" хакерах, атаках на мозг и правах человека

- Черный хакер целится в человека, а может попасть в государство или - в целый мир. Давайте как-то разведем эти две дорожки - человека и государство.

- Самая уязвимая часть любой системы - это человек. Саму инфраструктуру взломать сложнее, чем хакнуть человека, работающего с этой инфраструктурой. Потому что люди не любят соблюдать правила, а порой этих правил у них вообще не существует. Но существует такое понятие, как кибергигиена - базовый набор инструментов, которыми должен оперировать каждый пользователь.

- Чем мы рискуем, если не пользуемся?

- Ну, в первую очередь рискуете вы и, к примеру, ваш работодатель.

- У меня взламывали аккаунт в Google.

- Для того чтобы не взламывали аккаунт, нужно пользоваться двухуровневой идентификацией и не привязываться к мобильному телефону. А привязываться к application Google, который будет менять коды. К примеру, хакеру-злоумышленнику нужно дискредитировать какое-нибудь интернет-издание. Для этого он не будет взламывать само издание, ему будет проще взломать почту или аккаунт в соцсетях какого-нибудь сотрудника. Потом с этого аккаунта отправить директору или системному администратору линк с "интересной новостью". После клика на этот линк злоумышленник получит допуск ко всей инфраструктуре. То есть обычно атака идет не напрямую, а присутствует так называемый вектор атаки.

Так, через родственника одного из работников некоторое время назад взломали инфраструктуру Федерации футбола Украины. При этом хакерам не обязательно нужно украсть или удалить информацию. Он может добавить ложную информацию, может перемешать существующие данные, получить банковскую и другую информацию, в зависимости от поставленной заказчиком цели.

- Но помимо того, что на нас могут охотиться хакеры, есть еще глобальная легальная история соцсетей, накапливающих информацию о каждом пользователе. Кто, как и в какой момент может ею воспользоваться? Или уже пользуется. Давайте пофантазируем.

- Ну, мы действительно можем только пофантазировать, поскольку точно не знаем, насколько честен тот же Фейсбук или Google, заверяющие, что ни у кого нет доступа к их данным. Тем не менее можно предположить, что все наши лайки, пристрастия, результаты опросников… собираются в специальных личных профайлах того же Фейсбука. Который, в свою очередь, имеет доступ к Инстаграму и прочим сетям. Вот, предположим, вы решите стать президентом, и вам нужно получить максимальную аудиторию в Интернете и таргетировать ее правильными месседжами. И вдруг (или не вдруг) Фейсбук решит поддержать именно вас и даст вам доступ к профайлам пользователей. Перед вами - полностью оцифрованная страна, сегментированная с учетом своих предпочтений, склонностей и привычек. Вы знаете, в котором часу какая из групп ложится спать, что и где любит есть, что читать, на каком транспорте ездить и пр. То есть Фейсбук поддерживает вас и, по сути, обеспечивает вам победу. Больше не нужно взламывать ЦИК, проще взломать мозг человека. Вы любите животных? Так вот же он - ваш кандидат! Так зарождаются симпатии. А потом вы и сами не заметите, как идете на референдум, который объявил ваш кандидат уже в качестве президента. Ваш мозг давно хакнули и вложили в него то, что нужно кому-то. И это уже совсем иная демократия, проходящая через цифровые системы.

- А значит - через мозг того, в чьих руках находятся эти цифровые системы.

- Безусловно.

- Вы сейчас говорите о гипотетически не честных владельцах социальных сетей. Но наши недавние выборы подтвердили, что хакнуть мозг можно и без непосредственного участия Цукерберга. Таргетированная реклама в умелых руках поднимает до Печерских холмов.

- Мы стали свидетелями самой сильной диджитал-маркетинг кампании во всем мире. Сильнее, чем у Трампа и любого другого лидера. Я не знаю нюансов, кто и в чем помогал, но ребята из команды нашего президента определенно молодцы.

- Ребята молодцы, а мы?

- Ну, 73 процента… тоже молодцы.

- Как не позволить хакнуть свой мозг?

- Заниматься самообразованием. Получать информацию из разных источников.

- То есть другого мира уже не будет?

- Он будет еще в разы более агрессивным. Все алгоритмы, используемые сегодня, - лишь начало новой глобальной истории. Параметров накапливаемой информации будет становиться все больше, как и таргетированных дорожек к каждому из нас.

- Что покупать, где лечиться, кому верить…все это будут решать за меня?

- Да.

- И за таких как вы?

- Конечно, можно сколько угодно думать, что тобой не руководят, но это не значит, что тобой не руководят. Есть еще одна сторона этой истории. Доступность для детей и подростков разнообразных, скажем так, услуг. Вы обращали внимание, что сейчас весь город завешен информацией о продаже наркотиков в Телеграме? То есть дети спокойно, за 100–200 гривен, могут купить наркотики. Двенадцатилетние дети с передозами попадают в больницу. Все стало настолько близко и просто, что с этим нужно бороться прямо сейчас.

- Здесь еще известное сообщество "Синий кит" можно вспомнить. Тем самым мы переходим к некоей государственной истории. Где граница между свободой, открытым миром, правами человека и табу, которые должно регулировать государство? Кто и как в этом случае защитит детей?

- В моем понимании государство - это как раз и есть люди, живущие в этом государстве. И в этом контексте вопрос кибербезопасности касается каждого гражданина страны. Люди должны чувствовать себя в безопасности. Однако кибербезопасность - это не одна кнопка, которую нажал, и - нет проблем. Поскольку мир движется в эту сторону, мы должны начать какое-то параллельное движение, защищая и государственные институции, и экономику, и людей. А в данном случае - детей. В Украине есть киберполиция, и она наверняка борется с подобными угрозами.

- Ключевое - наверняка?

- Я думаю, что у них есть какие-то программы на этот счет. На самом деле я готов встречаться и привлекать своих специалистов к решению этой проблемы. Для того, чтобы мы находили эти группы, блокировали их и включались в борьбу. Но я - бизнес, а еще есть государство и гражданское общество. Здесь только объединенные усилия могут быть продуктивными.

- Для того чтобы создать алгоритм, который будет реагировать на определенные слова и блокировать вредные платформы, нужно ждать, пока мы все объединимся?

- Вы затронули еще одну сторону проблемы: стоит ли блокировать какие-то сайты и IP-адреса одной кнопкой? Сейчас готовится законопроект с подобной опцией, когда можно будет блокировать любой ресурс одной кнопкой. Но это же будет, по сути, давление. Очень тонкая граница на самом деле. Даже если все идеально прописать и посадить в качестве контролера порядочного человека, то спустя некоторое время что-то изменится, придет другой человек и, передвинув запятую, будет использовать этот инструмент как элемент давления и манипуляций. То есть с благими намерениями можно породить монстра, который будет контролировать весь Интернет.

Безусловно, какие-то формы воздействия государства на эту сферу должны быть. Но они должны быть очень тонко и точно прописаны, совместно с экспертным комьюнити.

О "дырявом" государстве, пуле экспертов и исчерпанной миссии человечества

- Я правильно понимаю, что бизнес давно ждет от государства приглашения к сотрудничеству? У вас был опыт работы в Укроборонпроме. Что вы там делали?

- Я совсем немного там работал. Был советником. Изначально была интересная идея создать отдельный киберцентр на базе Укроборонпрома. До этого Укроборонпром вообще не занимался кибербезопасностью. И, честно говоря, я не знаю, занимается ли сейчас. Что такое киберцентр? На сегодня в Украине есть один государственный киберцентр CERT-UA, который защищает всю государственную инфраструктуру. В Германии, к примеру, таких центров тридцать три. В Чехии - более двадцати, в Польше - около десятка. И в какой-то момент, общаясь с сотрудниками Укроборонпрома, я предложил им создать отдельный киберцентр, который будет обеспечивать безопасность всей отрасли. Идея всем понравилась. Мы начали работать над проектом, выписывать систему и алгоритм ее запуска, провели несколько аудитов предприятий, которые уже можно было подключать к некоему центру, но…дальше дело не пошло. То ли по причине бюрократии, то ли еще чего.

- В чем основная проблема, по вашему мнению?

- Несколько лет назад был принят закон об основах кибербезопасности. Достаточно рамочный и неглубокий закон, в котором не затронуто и не описано очень много вещей. Поэтому мы ждем нового закона. В то же время мы понимаем, что один закон не изменит ситуацию. У нас все давно устарело. Подходы, стандарты… государство подходит к этой теме по абсолютно остаточному принципу. Несмотря на то, что мы уже прогремели на весь мир с вирусом notPetya. У нас спрашивают зарубежные партнеры: запустились ли в вашей стране в связи с этим какие-то серьезные процессы по кибербезопасности? Трудный, честно говоря, вопрос.

Ну, каким-то образом мы сами продолжаем толкать и запускать эти процессы. Даем какие-то рекомендации. У меня сейчас есть, образно говоря, осторожный оптимизм.

- Кто - "мы"? С кем вы "толкаете" и "запускаете" процессы, которые на самом деле должно толкать государство?

- Ну, мы - это бизнес, гражданское общество, собираемся по вечерам и обсуждаем, что делать в этой ситуации. Иногда к нам присоединяются представители госсектора.

- Есть пул экспертов, которые сегодня разрабатывают стратегию для государства?

- Таких групп несколько. И я хожу на эти собрания. Бизнес действительно заинтересован во взаимодействии с государством и в расширении рынка. Сегодня я предоставляю услуги высокого уровня азиатским и другим мировым компаниям, но мне абсолютно непонятно, почему они не востребованы в Украине. Отрасль может начать развиваться, только если государство обратит внимание на свою кибербезопасность. Нужно садиться вместе и смотреть, где убрать монополиста, где разрегулировать законодательство, где написать новое.

- На сегодня весь государственный сектор "охраняет" старая и ненадежная система государственного образца, контролируемая Госспецсвязью?

- Наши стандарты никак не соотносятся с зарубежными. К нам заходит, к примеру, западная компания и предлагает подключить какой-то объект к своей системе. Изучают государственные стандарты безопасности. И разводят руками, рекомендуя получать международные. И зачем вся эта морока? Почему не завести в страну стандарты, по которым работает весь мир? Обнадеживает то, что появился отдельный орган исполнительной власти - Министерство цифровой трансформации. Мы начали общение и с министерством, и с СНБО, и с ОП. Даем рекомендации. Я не могу сказать, на каком уровне серьезности и понимания с нами общается государство. Но пока нет каких-то блокировок и нежелания слушать.

Что касается Госспецсвязи, то мы рекомендовали реформировать этот государственный орган. Туда сейчас пришел новый руководитель, разделяющий с нами понимание, что Госспецсвязь должна заниматься - спецсвязью. И еще какими-то отдельными секретными направлениями. Но этот государственный орган уж точно не должен регулировать весь рынок и продавать всем свои сертификаты. Я знаю историю, когда в АТО ребятам нужно заплатить десятки тысяч гривен, чтобы сертифицировать компьютер и взаимодействовать с госорганами. Однако у них таких денег нет, и они используют печатную машинку. Маразм на самом деле. Госспецсвязь - орган, который ответственен за все и, в итоге, за ни что. Если сейчас взломают какое-то министерство, то отвечать, почему так случилось, - некому.

- Вы с коллегами писали в 2017-м году концепцию государственной кибербезопаности. Недавно снова вышла статья, где есть отсылки к необходимости все-таки разработать и принять эту концепцию. Что для вас станет сигналом того, что на этот раз государство осознает уровень ответственности?

- Приведу такой пример. Когда-то в СССР были проблемы с поставками хлеба в Москву. И наш советский специалист поехал в Британию изучать опыт. Он долго пытался понять, кто на уровне государства ответствен за поставки хлеба в Лондон, пока не понял, что весь процесс там регулирует рынок. То есть должен быть открытый, незарегулированный рынок, в нашей стране и в нашей отрасли в том числе.

- Ну, сейчас вам скажут оппоненты, что такую стратегическую отрасль, как кибербезопасность, нельзя отдавать в руки частнику.

- Отдать в руки бизнесу - это значит четко обозначить ответственного. И если моя компания тестирует какой-либо элемент государственной системы или корпорации, то я беру на себя ответственность за качество нашей работы. Здесь включается репутационная история. Однако кибербезопасность - не какая-то разовая опция, это - перманентный процесс. Тестирование систем должно быть регулярным. Что сейчас? Да вообще ничего. Никто ни за что не отвечает. Почитайте ленты в Фейсбуке, куда постоянно сливают какие-то базы данных. Парадокс в том, что даже если сейчас указать какому-то министерству на проблему, то ее никто не исправляет. Ну, дырявый сайт, и дырявый. Никто за это не накажет и не привлечет к ответственности. У меня пару лет назад знакомый случайно нашел уязвимость в одном министерстве, попросил меня передать. Я сказал, чтобы закрыли. В ответ: "А как мы объясним, откуда мы узнали об уязвимости? Получается, что вы специально взламывали наш сайт, и за это уголовная статья". Как-то так. Нужны новые подходы и законы.

Еще один пример. В прошлом сентябре мы начали общение с генеральным директором тендерной платформы ProZorro. Цель - протестировать платформу "белыми" хакерами. Больше года мы вместе думали о том, как не наступить ни на какую статью и выполнить задачу. Нам это удалось. У нас получилось интересное и полезное мероприятие, когда несколько наших ребят - самому младшему участнику пятнадцать лет - целый день сидели и хакали ProZorro. Менеджеры наблюдали за процессом, и когда там находили уязвимости, все искренне радовались. Большую, маленькую - неважно. Шесть тысяч долларов заработали наши специалисты. А антикоррупционная платформа обеспечила себе еще более надежную систему. Но понадобился год! И мы не могли тестировать систему онлайн. Это был, по сути, тест клона системы с измененными данными, чтобы, не дай Бог, кто-то из сторонних людей не увидел настоящие данные.

И тут же мы переносимся в параллельный мир той же Америки, где ФБР проводит такие тестирования на регулярной основе. Или к заявлению Military & Defense США о том, что тот, кто взломает любой их сайт, будет получать баллы на американской платформе "белых" хакеров HackerOne. Вы чувствуете разницу? Все корпорации и компании пользуются такими услугами.

- А эдакое дырявое государство Украина - нет.

- На самом деле мы живем в поле глобальных рисков. Я только вчера вернулся из Одессы, где за одним столом американцы посадили представителей бизнеса отрасли и госсектор. Последний всю нашу острую дискуссию стоял на непоколебимой позиции: "У нас все хорошо".

- И на каком уровне делались эти заявления?

- Это закрытое мероприятие, и я не могу называть конкретные фамилии. Но ответа на вопрос, откуда вы это знаете, у этих людей просто нет. Однако если вас еще не хакнули, то, возможно, вы просто об этом еще не знаете. Единственный способ это знать точно - регулярные тестирования. Но в Украине нет центра ответственности и принятия решений. А в таких случаях - всегда бардак и хаос. Нужен какой-то официальный экспертный совет, где будут присутствовать в том числе и специалисты частного сектора, через которых будут тестироваться идеи и предложения. Исходя из уровня зарплат, очевидно же, где работают самые квалифицированные эксперты. Явно не в госсекторе. Мы должны собираться не просто по собственной инициативе вместо того, чтобы поехать на футбол, а официально и целенаправленно. Но у нас почему-то так сложилось, что государство и частный бизнес - это какие-то два враждующих лагеря.

Но хакерские атаки будут происходить все чаще. Придет время следующей. Возможно, ее закладки уже находятся в наших системах. Мы этого не знаем потому, что их не тестируем. В какой-то момент их активируют одной кнопкой и положат какие-то большие системы. Злоумышленники обычно так и делают - они выжидают подходящего момента. Я знаю истории, когда хакеры проникали в систему, и для того, чтобы их не заметили, оптимизировали ее работу.

- С государством понятно. Бизнес? Насколько наш бизнес продвинут и осознан в этом контексте?

- Компании по кибербезопасности у нас сильные. Банки и финансовые учреждения, там, где угрозы очевидны, работают над безопасностью своих систем, и там зрелый рынок. А вот обычный бизнес еще не пришел к пониманию этого вопроса. Рынок не развит.

- Егор, насколько комфортно или некомфортно вам работать в нашем параллельном слабо цивилизованном мире?

- В свое время я сделал выбор и решил жить и работать в Украине.

- Почему?

- Наверное, и в Германии, и в Штатах я видел над собой какой-то стеклянный потолок. И в бизнесе, и в карьере. Там с точки аспиранта, защитившего диссертацию, стартовать намного сложнее. Твой путь - очерчен. У нас же ты можешь рисковать. Возможности, по сути, не ограничены. Все зависит от твоего умения складывать пазлы и трудиться. От умения удерживать связь с миром и запускать свой бизнес в партнерстве с иностранцами.

- Мир, с которым вы удерживаете связь, он какой для вас?

- Это философский вопрос?

- Да.

- Я очень люблю мир. Мир мне интересен. Но у меня такое ощущение, что миссия человечества подходит к концу. В скором будущем весь мир будет оцифрован. Каждый человек, каждое дерево, каждый предмет. Родится параллельный искусственный мир. При этом люди становятся все меньше и меньше значимы. Им нужно будет как-то выживать. И для этого, мы же фантазируем с вами, они начнут как-то видоизменяться. Для того, чтобы быть грузчиком, эффективнее поставить себе специальные протезы рук, стать киборгом и конкурировать на рынке с машинами. Таким образом люди могут начать постепенно уничтожать самих себя.

- И что делать?

- Ну, этому точно не стоит противостоять. Нужно приспосабливаться. Развиваться. Пользоваться технологиями и ни в коем случае не становится параноиком, который трясется над своими персональными данными. На самом деле мы идем к полной прозрачности. Нужно наслаждаться жизнью такой, какая она есть.

- Чего вы боитесь больше всего?

jetsetter.uа

- Как человек я боюсь каких-то обычных вещей. Чтобы дети не покупали наркотики. Чтобы мои дети были в безопасности. Но в то же время я не хочу следить за их цифровым миром, не хочу смотреть в роутере, на какие сайты они заходят, и потерять из-за этого связь с детьми и их доверие. Хочу сохранить связь со своими друзьями. Потому что все в этом мире распределяется все дальше в офлайн жизни, и все ближе в онлайне. Хочется сберечь эту близкую дистанцию в реальном мире.

В каком-то глобальном смысле я не могу представить себе, что будет, если в какой-то момент пропадет интернет. Нам даже сейчас трудно подумать какие жизненно важные для мира процессы могут остановиться. Какими беспомощными и бесполезными существами мы окажемся. И буквально начнем все с нуля.

- Может быть, это хорошо?

- Возможно. Однако человеческий мозг не может противостоять развитию. В нас заложено это постоянное стремление в будущее.

Видео версию интервью смотрите тут.