Вопрос, стоящий внимания - именно поэтому, тема риск-менеджмента стала центральной для Итогового клуба АвтоБосс 2022!
И в его преддверии мы запускаем серию интервью со спикерами, которые будут выступать 22 декабря 2022 года в Бункере-42 на Таганке!
Подробную программу клуба смотрите на сайте: https://clck.ru/32nphr
Сегодня хотим представить вам уникального спикера Дмитрия Федорова - исполнительного директора академии Codeby.net . Чтобы вас сразу заинтриговать, есть “страшные хакеры”, а есть ребята, которые учат “белых хакеров” и сами таковыми являются.
И где же граница между белыми и нет! Давайте разбираться вместе с Дмитрием.
Итак, Дмитрий, расскажите про мир хакеров - как понять где белые, где серые?
- На самом деле не всегда можно определить границу - белые отличаются от черных несильно. Белый предотвращает взлом, но чтобы его предотвратить надо его сначала произвести, т. е. белый занимается взломом, но контролируемым. В этом случае компания обращается к специалистам, чтобы ее взломали, белый хакер ломает внутреннюю сеть, делает отчет и, соответственно, благодаря этим действия компания может укрепить уязвимые места. Таким образом, черный хакер опоздает, если белый взломает компанию первым.
А компании платят за это?
- Конечно, компания платит - это называется ПЕНтест или тестирование на проникновение.
И вы обучаете белых хакеров?
- Да, мы обучаем белых хакеров-программистов, то есть академия предоставляет курсы в разных направлениях: взлом, программирование и скоро выйдут курсы направленные именно на выстраивание защиты.
Отличная новость, для наших гостей это будет очень актуально!
- Да, в декабре/январе курсы уже будут готовы.
А как все таки определить: белый хакер или не очень? Где эта грань? В профессионализме, этике, юридическом аспектах государства? Есть какие-то границы, которые могут разделить их?
- Легко, серые и черные ищут личную выгоду, т.е. это может быть взлом ради информации либо ради денег, после этого они перепродают информацию другим хакерам. Так называемые “школьники”, которые что-то умеют, например, утащить базу данных, но не знают, что с ней делать - они перепродают на профильных форумах другим более опытным хакерам за копейки, а те уже решают - что дальше с ней делать.
Вы сейчас сказали о “школьниках”, а если говорить вообще о хакерах - как выглядит структура? Это кто? Сколько их, какие они?
- Очень многочисленна армия и начинается она от так называемых “школьников” - потому что новички (школьнику может быть и 40 лет), абсолютно зеленые, дальше они уже сбиваются в небольшие группы - учатся, часто можно найти на форумах объявления “ищу коллег для совместного обучения”. Таким образом проще и обучиться и взломать. Хакеры-одиночки встречаются реже, поэтому чаще можно в СМИ видеть, что именно группировка произвела взлом. Группой взломать проще, потому что один знает лучше компьютерные сети, другой базы данных, и так далее. Они дополняют друг друга, повышая шансы на успешный взлом.
А есть кто-то над ними?
- Есть конечно. Например, уходящие корнями в правительство, это группировки которые работают на правительство - они есть в каждой стране.
Если говорить о количестве? Сколько их?
- Я думаю, речь о миллионах, ведь это очень популярная тема. Допустим, есть программа Bug Bounty, где любой хакер может взломать площадку, которая сама себя выставила. То есть, компания выставляет свой сайт и хакер ломает его, присылает отчеты, они выплачивают деньги, но меньше, чем могли бы потребовать черные взломщики. Например, на одной такой площадке несколько миллионов зарегистрированных
Это только российских?
- Нет, это не наша площадка. Но реальные хакеры часто на таких площадках вообще не присутствуют.
А если говорить о кибербезопасности - почему мы вообще подняли эту тему на Итоговом клубе?
Потому что хорошие знакомые рассказали, что за лето 3 крупнейших холдинга были взломаны и цена за разблокировку систем для ведения бизнеса была объявлена в 30 млн рублей. Бизнесу пришлось найти деньги, выплатить их нелегально деньги, а у одной компании даже когда они получили код, чтобы разблокировать систему, заплатили деньги - сервера не смогли разблокировать и были большие проблемы. Так вот расскажите, тема кибербезопасности - насколько она опасна для бизнеса, насколько это массовое явление?
- Подвергается риску любая компания которая имеет свои сайты, внутреннюю корпоративную сеть. В зависимости от того, какую можно получить прибыль (конечный результат), взломщики могут идти вплоть до того, чтобы устраиваться в эту компанию. Если внешний периметр не получается взломать, человек устраивается в компанию и приносит вредонос на флешке, подключается к компьютеру. Или просит сообщников знакомиться с человеком - использовать вредонос “в темную”.
Но вот 30 млн. рублей - это обычная цена взлома?
- Это очень большая сумма. Как правило, скажем,”школьники” берут 50-100 $.
То есть, если попросили 30 млн, это значит кто-то конкретно тебя заказал? Что это для Вас, как для профессионала значит? Это маркер того, что профессионалы работают именно в автоиндустрии?
- Это не обязательно именно автоиндустрия, но если это одинаковые суммы, в одно и то же время, то вероятно работает одна группа. Я бы сказал, что лучше всего какие-то превентивные меры сначала применять, чтобы вас не взломали. Даже выплаченные суммы не всегда приводит к результату, как Вы сказали и некоторые взломщики вообще даже никакие коды не присылают.
То есть может быть такое, что ты заплатил 30 млн. рублей, тебе сказали “спасибо, до свидания”?
- Да, кроме того, если вы заплатили, вам прислали код все успешно разблокировали, это не значит, что потом это не повторится. Если вы продолжаете жить такой же жизнью - у вас осталась дыра, через которую вас взломали, и вы ничего не поменяете, то вас просто через какое-то время заново взломают, возможно, другие люди.
Потому что они в даркнете этой информацией поделятся?
Да, такое тоже может быть. Бывает такое, что сами не просят выкуп, а продают другим. Это лишь одна из цепочек - схем огромное количество, можно часами рассказывать.
И что же с этим делать? Дилерам можно защититься? Только мы знаем три случая, но их точно больше, потому что публично никто из бизнесменов такое не обсуждает. Но вот по Вашему мнению, вообще платить или не платить?
По моему опыту - платить не нужно. В большинстве случаев это не помогает. Три случая это, скажем так, небольшая статистика. Если взять более глобально, то чаще всего, заплатив люди не получают нужного. Они ещё и не честные.
А куда-то надо сообщить в нужные структуры? Куда писать “меня взломали”, наша милиция нас бережет этом плане?
-Нет, 100%. Это нужен специальный отдел, который занимается киберпреступлениями.
А есть где-то такой отдел?
У нас есть отдел “К”, но он не занимается такой мелочевкой. У них более глобальные задачи: обнаружить шпионов и так далее. Это только в некоторых кино рассказывают, что преступников ищут. На самом деле, киберпреступления почти никогда не раскрываются.
Можете посоветовать три лайфхака?
- Как я сказал - нужно принимать превентивные меры. Что это может быть? Например, для сайта используются, так называемые, файерволлы или система обнаружения. При попытке взлома сайта, запрос злоумышленника блокируется. Есть, конечно, способы обхода файерволла -это зависит от настройки файервола: кто будет настраивать, профессионал или сами.
Но вы же сами рассказывали, что если Вам нужно кого-то взломать, то это исчисляется в минутах!
- Бывают минуты, бывают часы, если это мотивированный взлом, то люди сидят месяцами, чтобы взломать конкретную компанию. Но в этом случае должна быть большая мотивация, то есть какие-то сведения, что у них есть или деньги или информация, а может это заказ конкретный. т
И Вы ведь не случайно через сайт сказали, потому что сайт это “входные ворота во всю внутреннюю кухню компании”?
- Сайт сайту - рознь, но большинство сайтов имеют базу данных. В ней содержатся данные клиентов. Допустим, вы занимаетесь продажей запчастей, естественно принимаете оплату картой, там записываются номера карт. Также, есть адреса электронных почт, которые подходят для спам-рассылки. Соответственно, утащив базу данных, очень много возможностей - как ее использовать дальше.
А про казначейство? В тех компаниях, про которые известно нам, зашли и заблокировали операционную систему 1С и заблокировали сумму денег на счетах.
- Для этого нужно попасть во внутреннюю сеть. Через сайт это также можно попасть подключиться и перейти на следующий внутренний IP адрес. Обычно просто шифруется 256-ти битным шифрованием или 128-ми битным, но смысл в том, что расшифровать почти нереально - это может занять 50 или 100 лет. Почти нереально.
Правильно ли, что во время подготовки к нашему Итоговому клубу, Вы “пощупаете” автодилеров как настоящий белый хакер? По вашему ощущению, на сколько дилеры защищены?
- Большинство компаний вообще не думают о защите. У абсолютного большинства даже нет бесплатных средств обнаружения вторжения. Поэтому, посмотрим!
Если шанс у дилеров, что вы кого-то не сможете взломать?
- Конечно есть. Вообще на 100% не взламываемых ресурсов не существует - все, что человек сделал можно взломать, но есть защищенные действительно хорошо ресурсы, которые взломать не только трудно, но может быть какой-то отрезок времени невозможно. Есть, так называемая, уязвимость нулевого дня, о которых никто не знает. Они есть, но через какое-то время находится человек, который находит новую дыру - через нее ломается все легко. Когда о ней узнается, она переходит в разряд общедоступных, дыра закрывается ну и у кого нет обновления, тот подвержен риску. Потом все обновляют ПО и уже через этот вектор нельзя будет взломать.
Интересная у вас работа!
- Да, это очень интересно. Захватывает, потому что никогда не знаешь, какие могут быть сюрпризы. Иногда достаточно поставить одну единственную кавычку и образуется дыра.
Но как вы сейчас в своей академии обучаете людей? Как вы доносите, что “надо быть белым хакером, не надо быть черным”? Вы на входе тестируете - подлец или примерный человек? Есть ли какие-то инструменты, которые бы измерили - насколько человек этичный?
- Я думаю таких инструментов нет и никогда не будет.
Вы какую-то воспитательную беседу ведете? О том, что воровать это плохо?
- Нет, не проводим. Тестирование на проникновение это интересная вещь, но белый, черный или серый каждый человек решит сам. Есть серые, которые могут иногда где-то что-то украсть. Я лично знал человека, который в принципе нормальный программист, но один раз так нужны были деньги, что он нашел уязвимое место ВК, продал на черном рынке за 1000 долларов. Вот пример серого хакера.
Это такая очень тонкая грань и все опять на уровне людей. Когда вы начали говорить, что люди могут войти в компании, устроиться на работу в компанию, чтобы потом изнутри украсть это еще страшнее…
- Да, но это отследить сложно, конечно. В большинстве компаний есть свои безопасники, но они обычно проверяют - есть судимость или нет и на этом все заканчивается.
Вы сейчас сказали что важную вещь, мы делали регулярно встречи именно для СБ автобизнеса и мы видели тренд - большинство из них, это серьезные бывшие военные, которые отвечают за периметр. Например, чтобы механики не перелили масло и не утащили запчасти. И только недавно мы увидели новый формат СБ - красивые молодые люди принципиально другого внешнего вида, которые говорят: “Пускай механик украдет литр масла, это не так важно, потому что если киберпреступник украдет нашу базу, мы потеряем в сотни раз больше, чем украденный литр масла.” Новые кибер безопасники -, это другой контингент, но их в автобизнесе - по пальцам одной руки можно пересчитать. Получается, после вашего выступления, у собственников авторитейла должно измениться отношение к СБ, правильно?
- Обязательно. С каждым годом все больше государство выделяет проблему кибербезопасности. Открывается Bug Bounty, где можно ломать официально сайт - без риска, что привлекут к ответственности. Кстати, это очень хорошая площадка для тренировки белых хакеров: реальные сайты взламываешь и получаешь какую-то сумму. Потом выходит множество приказов, принимаются федеральные законы, которые гласят о том, что в каждой компании, по крайне мере, государственных должен быть руководитель по кибербезопасности. Обязательно штатный человек, также должно быть повышение квалификации. Конечно, есть свои и плюсы и минусы - часто все это сводится к бумажной кибербезопасности - берут человека в штат, но по факту ничего не делается. Но это уже другая история.
Скажите, 22 декабря Вы будете выступать на Итоговом клубе. Есть ли еще что-то такое интересное и вкусное, что расскажете, чего не обсудили сегодня?
- Конечно, обязательно.
Более того, Дмитрий даст конкретные рекомендации, что делать если взломали. То есть “ делай 1,2,3” ну и, конечно, расскажет про ПЕНтесты.
Нам предстоит интересное исследование, но кому-то из гостей оно может не понравится. Конечно мы не будем называть имена тех, кого взломаем для проверки, но грядет однозначно захватывающий процесс!
Не пропустите возможность и узнайте, как оградить себя от рисков,в том числе, выстроить кибербезопасность!
Регистрация на Итоговой клуб АвтоБосс 2022 - https://clck.ru/32nphr