Ссылки для упрощенного доступа

Профессия: хакер


Кто такие хакеры, что это за профессия будущего?

Сергей Медведев: Начну с анекдота. Ламер говорит хакеру: "Смотри, я написал код, а где у меня тут ошибка?" – "В ДНК", – отвечает ему хакер.

Давайте поговорим о людях, которые живут с ДНК хакеров. Кто такие хакеры, что это за профессия будущего, как они сотрясли глобальный мир 2016 года? У нас в гостях Андрей Солдатов, главный редактор сайта Агентура.ру, и Ирина Бороган, заместитель главного редактора того же сайта. Андрей и Ирина – специалисты по компьютерной безопасности, недавно вышла их книга "Битва за рунет".

Хакеры – что это за люди? С появлением интернета появился и первый хакер?

Первые хакеры появились едва ли не в самом начале девяностых

Андрей Солдатов: Первые хакеры появились едва ли не в самом начале 90-х, а может быть, даже и раньше. Это очень старое понятие, с которым мы привыкли жить.

Сергей Медведев: Насколько это в человеческом инстинкте? Меня всегда интересовал вопрос, кто те люди, которые пишут вирусы. Это какой-то инстинкт Герострата в человеческой природе, тот самый подпольный человек Достоевского, который хочет показать фигу хрустальному дворцу?

Ирина Бороган: Насколько я понимаю, там есть два типа людей. Одни называют себя хакерами, но являются законопослушными гражданами. Со школьных лет они принимают участие в поисках всяких уязвимостей, в соревнованиях, потом часто нанимаются в компьютерные фирмы. Они все это хорошо знают, могут тоже написать и заслать что-нибудь такое. Природа интереса та же: поймать кого-то на уязвимости и сделать что-то такое, стащить информацию или что придет в голову…

А вторые – это люди, которые прочно встают на эту стезю. Они, может быть, и не являются хакерами с детства. Многие из них получили неплохое техническое образование, а потом просто оказались в сложных финансовых обстоятельствах, как, например, хакеры (по большей части их называют русскими, но они были с Украины), которые обкрадывали счета западных банков и достигли в этом больших успехов. У них просто не было денег. Это талантливые, образованные, толковые ребята, живущие в государстве, где у них нет никаких возможностей толком развивать это. Что может прийти в голову? Украсть деньги с какого-то далекого безымянного банка. Нельзя сказать, что это страшное преступление: в принципе, они никому особо не навредили, ведь эти деньги покроет страховка.

Сергей Медведев: То есть, видимо, есть хакеры-романтики и хакеры-прагматики?

Андрей Солдатов: Я думаю, идеология все равно какая-то общая и для первой, и для второй группы. Есть идея противостояния системе: ты один, и есть огромная система, которая тебя контролирует.

Сергей Медведев: То есть в глубине своей это анархисты?

Андрей Солдатов: Я думаю, да. Сама идея, что ты можешь найти способ, как подорвать изнутри эту систему, проникнуть в нее или что-то с ней сделать, резко повышает самооценку.

Ирина Бороган: Есть еще третья категория – это люди, которые совершили атаки, их поймали за руку и сказали: "В тюрьму вас сажать не будем, давайте сотрудничайте или с МВД, или с ФБР, или идите работать в антивирусную компанию, одновременно сотрудничая со всеми этими ведомствами".

Сергей Медведев: И таких довольно много. По-моему, самый известный был Михник, который взломал Пентагон, а потом стал работать на Пентагон же.

Компании – производители софта или компании, которые создают у себя систему безопасности, открыто объявляют соревнование по поиску уязвимостей

Андрей Солдатов: Да, и в России были такие примеры.

Сергей Медведев: Есть такое определение, как "черные шляпы" и "белые шляпы" – "черные хакеры" и хакеры, вполне официально работающие в государственных структурах.

Андрей Солдатов: К "белым хакерам", в том числе, относятся те люди, о которых говорила Ирина. Компании – производители софта или компании, которые создают у себя систему безопасности, открыто объявляют конкурс или соревнование по поиску уязвимостей. Там сидят команды, и в какой-то степени они занимаются хакингом, но в данном случае – абсолютно законным: они ищут те дырки, которые потом покажут компании.

Сергей Медведев: Насколько это регионально локализовано? Ведь большинство историй, которые доводится видеть, – это Россия, Украина, Восточная Европа и Израиль, где, по всей видимости, тоже есть люди с какими-то постсоветскими корнями.

Андрей Солдатов: Британский журналист Миша Гленни, наш очень хороший друг, автор книги "МакМафия", изучавший организованную преступность в разных странах мира, очень хорошо представляет себе ситуацию с хакингом. И он рассказывал чудесную историю о том, как в Эстонии в начале 90-х в результате распада Советского Союза в одном из городов, где градообразующим предприятием был некий ядерный объект, закрыли этот объект, и большое количество людей осталось без работы. Многие из них переехали в Санкт-Петербург. Считается, что это история одной из крупнейших хакерских группировок. Людям просто нечем было заняться, а техническое образование у них было, и они стали заниматься хакингом.

Сергей Медведев: То есть это один из побочных продуктов распада Советского Союза и советской инженерной, математической, технической школы?

Такие проекты, как Сколково, просто закрылись и больше не развиваются

Ирина Бороган: Такие проекты, как Сколково, просто закрылись и больше не развиваются, их просто мало.

Сергей Медведев: С одной стороны, чисто социально, это проблема транзита, перехода, хотя уже непонятно, перехода откуда куда, но было принято называть это переходным периодом. С другой стороны, некая этическая составляющая, а с третьей стороны, готовые возможности, готовые деньги. В какой степени использует этих людей российское государство?

Ирина Бороган
Ирина Бороган

Андрей Солдатов: У российского государства всегда были очень интересные и очень сложные отношения с хакерами. Ведь хакеры тоже, прямо скажем, люди не глупые, и не каждый из них хочет слишком близко подходить к государству. Была довольно знаменитая история в середине 2000-х. Тогда российское государство считало главной проблемой всякие сайты чеченских сепаратистов, с ними нужно было как-то бороться, а как бороться, не знали. Поэтому на хакерских форумах был брошен клич: приходите, помогите. Один хакер пустил в это закрытое сообщество хакеров сотрудника ФСБ. Все хакеры мгновенно испугались, закрыли сообщество, этого человека изгнали из хакерского комьюнити, потому что все подумали: хорошо, сегодня мы начинаем работать с ФСБ, а что завтра помешает ФСБ всех нас посадить, потому что изменилась политика?

У российского государства всегда были интересные и сложные отношения с хакерами

Хакеры чаще все-таки стараются иметь дело с государством не напрямую, а через каких-то посредников. Иногда это могут быть какие-то теневые пиар-структуры, иногда – люди, близкие к молодежным движениям, которые финансируются Кремлем или околокремлевскими структурами. В этом случае, во-первых, у вас уже есть налаженный поток денежных средств, из которых можно финансировать эту деятельность, а во-вторых, вы напрямую не контактируете с людьми, которые могут посадить вас в тюрьму.

Ирина Бороган: Можно привести конкретные примеры. Один из них – это история с переносом памятника неизвестному солдату в Эстонии, когда один российский гражданин по фамилии Голоскоков, комиссар "Наших", признался, что он организовал DDos-атаку как гражданскую акцию сопротивления этому акту. Понятно, что "Наши" – это администрация президента, кремлевское движение.

Второй пример – это хакер Хелл, который взламывал оппозиционеров, российский и в то же время немецкий гражданин, он жил в Германии. Был процесс, он получил условное наказание – 17 месяцев. Там были собраны доказательства, и понятно, что он взламывал Навального, он работает на Кремль как прокси, как неформальный актор, потому что мало кого еще интересует в плане взлома Навальный и другие оппозиционеры.

Были примеры, которые расследовала "Медуза". Было блестящее расследование Туровского, где рассказывалось о том, что "Наши" заказали DDos-пушку – это вполне официальный представитель Ростехнологий и представитель Министерства связи. Они для этого обратились к российской компании "Кратер", и компания выделила человека, потому что не знала, куда деться. Этот человек приехал на какую-то конспиративную встречу в Софию, его попросили сделать DDos-пушку, и он ее сделал. Они ее даже испытали, попытавшись обрушить, по-моему, украинское Минобороны и заодно сайт "Слона". И она даже неплохо работала, пока этот человек не испугался и не убежал в Финляндию, сказав, что не хочет участвовать в организации компьютерных преступлений и быть их исполнителем. Он был очень напуган и дал всю эту информацию, которую расследовала и опубликовала "Медуза".

Опять же, тут мы видим Ростехнологии и Министерство связи, и все это, как ни странно, не спецслужбы. Есть три случая, когда мы знаем, кто такие хакеры, которые работали на государство.

Сергей Медведев: Как прописана такого рода деятельность в законодательстве? В России есть какие-то законы по поводу хакерской деятельности?

Хакеры чаще стараются иметь дело с государством не напрямую, а через каких-то посредников

Андрей Солдатов: Конечно, у нас есть Уголовный кодекс. Более того, когда еще был "розовый" период сотрудничества, например, с Великобританией, британские сыщики очень активно работали здесь вместе с российскими сыщиками и ловили хакеров, которые атаковали банки Великобритании: их сажали в тюрьму, выдавали. Сотрудничество правоохранительных органов было налажено очень хорошо.

Но это был "розовый" период года до 2006–2007-го, а потом он просто закончился. С Соединенными Штатами, по-моему, такого уровня сотрудничества на серьезном уровне никогда не было, хотя тоже были определенные попытки. Но соответствующие подразделения МВД периодически отчитываются о том, что посадили в тюрьму такое-то количество хакеров. Все это у нас вполне криминализировано.

Сергей Медведев: У американцев есть экстерриториальность, они ловят хакеров по всему миру, и там дают сроки по 25 и более лет.

Ирина Бороган: Был случай Врублевского, который, согласно обвинению, задедосил один сайт по продаже билетов "Аэрофлота". Он был наказан, получил срок, и исполнитель получил срок.

Сергей Медведев: Какой у него был мотив для того, чтобы задедосить сайт "Аэрофлота"?

Андрей Солдатов: У него компания, которая занимается продажей билетов, то есть это была какая-то вполне коммерческая конкурентная история.

Сергей Медведев: Но при этом хакеры все чаще выходят в политическое пространство, начинают играть на сетевом поле.

Андрей Солдатов: Первые случаи серьезного политического хакинга – это где-то 1999 год. Была очень любопытная история. В тот момент российские спецслужбы, которые должны были заниматься проблемой компьютерной безопасности, занимались странными вещами – боролись с воображаемой угрозой проникновения американских спецслужб в правительственные сети. А реальной угрозой были сайты чеченских сепаратистов – по крайней мере, так считал Кремль. И когда началась вторая чеченская война, не было средств и никаких возможностей с ними бороться. МИД, конечно, послал ноты всем государствам, где хостились эти сайты, но это не произвело никакого эффекта.

Подразделения МВД периодически отчитываются о том, что посадили в тюрьму такое-то количество хакеров

И вдруг появилась группа томских студентов, которые абсолютно спонтанно решили собраться и уронить этот сайт. Местное управление ФСБ так обрадовалось, что сразу выпустило специальное заявление о том, что "мы крайне одобряем этот патриотический акт наших студентов, наказывать их не собираемся, они молодцы". Собственно, именно тогда родилась идея о том, что можно использовать неформальных акторов, вот этих "патриотических хакеров" для того, чтобы наносить удары по политическим целям за пределами страны. Потом стали наносить удары по политическим целям внутри страны – по активистам, по либеральным СМИ, и при этом всегда находились в ситуации, когда можно отрицать свою ответственность: это же не спецслужбы, а "патриотические ребята".

Андрей Солдатов
Андрей Солдатов

Сергей Медведев: Если человек уронил сайт американского банка или сайт исламских сепаратистов, юридически это одинаковая ответственность?

Андрей Солдатов: По идее – да, потому что этот сайт хостится, он же не живет в безвоздушном пространстве. Ты имеешь дело с чем-то, что хостится, например, на пространстве американской компании-хостера, и, по идее, ты рушишь их жесткие диски. Я не помню ни одного случая какого-то расследования.

Ирина Бороган: Наоборот, в спецслужбах некоторых стран приняты законы по поводу того, что они могут заражать, красть информацию с компьютеров в своих целях и так далее. Фактически это является преступлением.

Хакер – это такой своего рода киберпреступник будущего

Сергей Медведев: Мы вышли на тему киберпреступности. У меня такое ощущение, что если попытаться представить следующие 20–30 лет, то преступность вообще постепенно будет перетекать в сеть. Хакер – это такой своего рода киберпреступник будущего. Уже не нужно убивать банкира или врага, достаточно просто взломов сетей и поражения критической инфраструктуры.

Андрей Солдатов: Скорее, можно говорить о том, что те преступления, которые мы знаем, исключая, может быть, убийства, будут перетекать в новую среду, хотя интернет вещей тоже предоставляет массу интересных вариантов. Например, история десятилетней давности: сайты для съема проституток в некоторых российских городах физически находились на территории других стран, а проститутки были реальные.

Ирина Бороган: А может случиться так, что будут уже и виртуальные…

Андрей Солдатов: Тоже интересная история… Но это затрудняет процесс поимки организаторов этого бизнеса.

Сергей Медведев: Невозможно никому инкриминировать сутенерство.

Андрей Солдатов: Да, если сайт хостится где-нибудь в Сингапуре.

Ирина Бороган: Настоящее преступление будущего станет возможно, когда виртуальная проституция будет запрещена, но виртуальные проститутки будут существовать, и будут существовать сети, нелегально продавать механизмы, которые позволят людям получать удовольствие, входя в контакт с виртуальной проституткой. Вот это будет большой челлендж для всех расследователей мира. И за это будут платить биткоинами.

Сергей Медведев: Мне кажется, что мы не так уж далеки от этой реальности, от таких цифровых преступлений и цифровой расплаты. В какой степени это может происходить в закрытых сетях? Я не могу обойти вопрос Тора. Государство и контролирующие надзорные органы могут как-то контролировать то, что происходит в Торе?

Опасности растут, и одновременно с ними растут средства защиты

Андрей Солдатов: Это очень интересная история, потому что Тор был создан как проект американских разведывательных служб. Идея была в том, что в новом мире интернет-пространства нужно попытаться так организовать связь со своей агентурой, чтобы было невозможно ее вычислить. И идея заключалась не в том, чтобы предоставить им средства криптографической защиты, а именно в том, чтобы спрятать их коммуникации. Решено было создать сеть, в которой будет такое количество случайных контактов, чтобы невозможно было отследить мой разговор с моим агентом, и запустили Тор. Он до сих пор частично финансируется военно-морским управлением.

Сергей Медведев: Интересно: как интернет, так и Тор придумали американские военные…

Андрей Солдатов: Военные развивают технологии в ХХ и XXI веке. Другое дело, что сейчас разработчики Тора, которых мы знаем, очень хорошо живут.

Ирина Бороган: Они находятся уже очень далеко от всех этих ведомств, они дистанцировались и сейчас уже существуют независимо.

Андрей Солдатов: Технологически они установили очень жесткие границы, они утверждают (и нет оснований им не доверять), что даже у американских спецслужб нет возможности контролировать все эти соединения, потому что так устроена архитектура. Идея американских спецслужб была не в том, чтобы контролировать этот Тор, а в том, чтобы обеспечить коммуникацию. Они это получили. Сейчас, может быть, они даже и хотели бы контролировать все точки выхода и входа в сеть Тор, но, я думаю, у них нет этих возможностей.

Сергей Медведев: Как я понимаю, есть несколько серверов, через которые Тор сообщается с обычной сетью?

Андрей Солдатов: Сейчас их уже около пяти тысяч. Причем любой волонтер может поставить такой сервер у себя на домашнем компьютере, и у него будет точка выхода.

Сергей Медведев: То, что происходит в Торе: торговля оружием, органами, людьми, – это никак невозможно отследить?

Все больше ведомств начинают идентифицировать тебя с твоим телефоном, а ведь телефон следит за тобой

Андрей Солдатов: Пока получается, что да.

Ирина Бороган: Судя по тому, что говорят люди из Тора, это невозможно сделать.

Сергей Медведев: То есть это темная сеть, и в ней существует совершенно особая форма жизни. В России он так же распространен, как и в остальном мире. Насколько велики угрозы безопасности для обычного пользователя, ведь мы движемся к интернету вещей, переводим онлайн все наши транзакции, скоро не будем пользоваться наличными деньгами?

Андрей Солдатов: Опасности растут, и одновременно с ними растут средства защиты, которые на самом деле являются средствами контроля. Например, сейчас очень многие российские системы онлайн-банкинга вводят такие интересные вещи – ты не можешь осуществить некоторые функции не со своего телефона. Казалось бы, ты готов предоставить свои пароли и все данные, но этого недостаточно, ты должен обязательно зайти с устройства, которое ассоциируется именно с тобой, что фактически говорит о том, что ты постоянно идентифицирован. Все больше ведомств начинают идентифицировать тебя с твоим телефоном, а ведь телефон – это великолепное средство, которое следит за тобой, и не только за тем, с кем ты говоришь и что ты говоришь, но и за тем, где ты находишься. В общем, все это выглядит очень грустно.

Кроме того, такое впечатление, что мы уже несколько лет как прошли эту точку невозврата, и если ты не находишься в социальных сетях, то уже сейчас это выглядит очень плохо. Вся твоя история, весь твой бэкграунд выглядит крайне подозрительно, если ты не предоставил информацию о том, что у тебя есть аккаунт здесь, аккаунт там...

Такое впечатление, что мы уже несколько лет как прошли эту точку невозврата

В связи с этим китайцы сейчас продвигают очень интересный проект, так называемый "интернет плюс". Идея состоит в том, что будет система социального рейтинга в зависимости от твоего поведения в интернете. И в зависимости от этого тебе будут выдавать или не выдавать кредиты, брать или не брать тебя на работу. Это уже опробуется.

Сергей Медведев: Это же первая серия нового сезона сериала "Черное зеркало".

Андрей Солдатов: Это делает "Алибаба", то есть серьезные крупные компании, а не государство. Мы крайне скептически относимся к тому, что делает государство, но к тому, что делают компании, приходится относиться серьезно.

Ирина Бороган: Компании совместно с государством. У них есть возможности интегрировать государству все базы данных, которые вытянуты из интернета. Можно посмотреть, сколько вы тратите, что вы покупаете: может быть, вы с утра до вечера покупаете водку, а может быть, наоборот, хорошую дорогую косметику.

Андрей Солдатов: И на вашем сайте, на вашем аккаунте в соцсетях высвечивается ваш рейтинг, люди гордятся им, показывают друг другу. Медведев увидел, как работает эта система (пока в тестовом режиме, но уже работает), и весной прошлого года уже было совещание у Дворковича о том, что надо бы изучить этот опыт. Так что недалек тот веселый день, когда мы можем получить что-то подобное у нас.

Ирина Бороган: Я консультировалась со многими специалистами, которые занимаются бигдейтом в России, с коммерческой точки зрения пытаются объединять какие-то базы данных, хотя бы просто покупок. Они мне сказали, что перспективы у России, особенно на фоне импортозамещения, в этом отношении очень туманные, потому что у нас у всех разное программное обеспечение, никто ничего не интегрирует, и невозможно заставить подразделение одной и той же компании установить что-то одно. А если говорить о государстве, то регионы не могут договориться с центром. И в этом смысле такое количество технических ограничений, что, по их словам, в ближайшем будущем никакой подобный рейтинг у нас воплотить невозможно. Можно, конечно, придумать, какую-то глупость типа: давай, показывай, сколько брал кредитов, как отдавал…

Хедхантинговые агентства прежде всего скринят профили в социальных сетях

Сергей Медведев: Во многом это работает. Я знаю, что хедхантинговые агентства прежде всего скринят профили в социальных сетях, банки и коллекторы находят людей через "ВКонтакте" и другие сети. Человек, по-моему, сейчас настолько прозрачен и уязвим, полностью выложен в сеть, что он становится предметом атак и интереса одновременно и хакера, и государства. Речь идет о гораздо большей персональной уязвимости.

Ирина Бороган: Именно так. Мы с Андреем еще года четыре назад опубликовали цикл, в котором рассматривали опасности от электронной слежки, возможные абсолютно для каждого. Мы начали с того, что пытались отследить слежку Кремля за гражданами, а перешли к тому, что коммерческие компании предпринимают намного больше усилий, чем государство, и намного эффективнее, чем государство. Если они соединят свои усилия, грубо говоря, ваши покупки станут частью вашей медицинской страховки. Медицинские компании, которые вас страхуют, посмотрят, что вы покупаете вино и вредные жирные продукты, одновременно посмотрят ваши диагнозы, связанные с нездоровой печенью и с чем-то еще, и просто сдерут с вас в пять раз больше денег, чем с человека, у которого такой истории нет. Есть такая опасность.

Сергей Медведев: Защита здесь может быть только одна – защита персональных данных? Но это же невозможно.

Андрей Солдатов: Практически невозможно.

Ирина Бороган: В чем-то возможно. Например, не пользоваться карточками покупателя в магазинах, не получать скидку (ведь скидки очень маленькие), не давать огромное количество информации о себе, например, в супермаркете.

По 200 лайкам я знаю вас лучше, чем вы сами

Сергей Медведев: Платить наличными.

Ирина Бороган: Самая простая система – это карточка покупателя. По банку сложнее отследить, что вы взяли – это надо уже вынимать информацию из другой базы данных. Это же очень просто, но люди этого не делают. Я вижу: каждый открывает кошелек, и у него там по 30 карточек покупателей в разных системах. По покупкам человека можно узнать о нем многое, установить адрес у нас – не секрет, а еще жилая площадь, автомобиль – и вы знаете об обычном человеке практически все. Вы можете очень просто установить все его слабые места, атаковать его рекламой.

Сергей Медведев: По покупкам и затем по лайкам. Есть статья, в которой ученый говорит, что "по 10 лайкам я вас знаю лучше, чем ваши коллеги по работе, по 50 – лучше, чем родители, по 100 – лучше, чем жена, а по 200 – лучше, чем вы сами". Так что человек, выложенный в сеть, действительно становится абсолютно и неожиданно уязвимым. Здесь, конечно, проблема не только хакеров, но и глобальных сетей, глобальной матрицы, которая за нами наблюдает и пытается манипулировать нашей жизнью. Так что, уважаемые слушатели Радио Свобода, будьте бдительны!

XS
SM
MD
LG