Современные воры больше не крадутся в темноте по квартире в поисках сейфа с драгоценностями. Самые громкие преступления цифровой эпохи совершаются с помощью ноутбука и развитого технического мышления. Мы поговорили с руководителем лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Валерием Баулиным о том, кто они – суперзлодеи нашего времени — и как простому пользователю защитить свои данные.
У нас много секретов: не все кейсы из своей работы мы можем раскрывать, но, когда ты рассказываешь друзьям, как преступники могут украсть деньги, данные, переписку или фоточки, — все, что близко и дорого каждому человеку, — это вызывает шок и священный трепет. Потому что похоже на уличную магию.
Я учился в госуниверситете: окончил факультет компьютерных наук и информационных технологий, кафедру теоретических основ компьютерной безопасности и криптографии, моя специальность — «компьютерная безопасность». Еще в школе к нам приходил преподаватель из этого вуза и рассказывал про криптографию и шифрование совершенно завораживающие вещи. В тот момент я уже выбрал для себя, чем хочу заниматься.
На втором курсе я, как практикант, смог поработать вместе со своим преподавателем — Юриным Игорем Юрьевичем. Его компания занималась компьютерными экспертизами и оказывала содействие правоохранительным органам. Мне было интересно разбираться, как можно использовать программы, находить в них уязвимости. Здесь есть романтика, как в книгах про Шерлока Холмса. Интересно понять и раскопать, отмотать хронологию развития инцидента от конца к началу — до выяснения причин и обстоятельств.
Наши исследования были довольно простые. Тогда была популярна кража паролей. Только появился безлимитный интернет, а с ним и люди, которые занимались компрометацией логинов и паролей у юрлиц. Они просто хотели у себя дома качать фильмы и музыку с хорошей скоростью. Иногда приходилось исследовать цифровые носители, которые принадлежали моим однокурсникам.
Но были и достаточно серьезные преступления. Например, в 2004 году — дело так называемых балаковских хакеров. Эти люди занимались вымогательством у зарубежных брокерских компаний. Они грозили DDOS-атаками и требовали десятки тысяч долларов за прекращение атак. В итоге хакеров задержали. Это был крупный и интересный кейс, в котором коллеги принимали очень активное участие.
Когда я искал работу, мне очень понравилось описание вакансии в Group-IB. Там было сказано, что команда работает на результат. Поэтому можно поспать подольше, прийти к 11, быстренько сделать все дела и уже в обед пойти отдыхать. Это была правда, но лишь отчасти. Мы придем на работу к 7 утра, а уйдем — через двое суток, если это нужно для работы. У нас случаются ночные выезды. Поэтому график ненормированный, нет строгого распорядка, как на госслужбе.
Рабочее место киберкриминалиста — это его компьютер с тремя-четырьмя мониторами и топовым железом, потому что у нас крайне важна скорость обработки данных. Плюс личный ноутбук, который персонально настроен под сотрудника, с учетом его стиля работы и привычек. С таким ноутбуком удобно выезжать на инцидент.
Нам звонят и говорят: «Я сейчас смотрю на счет своего банка и вижу, как с него утекают деньги. Давайте что-то делать». В пределах часа мы уже на месте. Даже если в момент звонка спали у себя дома. В компании есть дежурные специалисты, которые отвечают на такие звонки 24\7. Но мы легко можем сорваться с оперативным чемоданчиком для выезда, потому что от скорости реакции будет зависеть многое.
Пока мы едем — консультируем человека удаленно, чтобы снизить потенциальный ущерб и сократить время действия злоумышленников. При этом очень важно сохранить максимально полное количество данных. Чем больше данных мы соберем, тем выше шансы, что удастся быстро найти и задержать преступников.
Несмотря на то что мы проводим расследование в киберпространстве, используем информацию из сети Интернет, чтобы попытаться идентифицировать злоумышленников, все это оформляется документально. Следственные мероприятия проходят так же, как и при расследовании обычных преступлений. Злоумышленников также задерживают, проводят у них обыски, а дело доводят до суда.
Запросы бывают самые разные. Например, однажды к нам пришел человек и принес с собой огромную стопку документов. Ему казалось, что за ним следят и скачивают данные с его мобильного устройства. Поэтому он восемь месяцев подряд днем и ночью каждые 4 часа замерял степень разряженности своего устройства и то, насколько сильно оно греется. Были даже графики с данными, что ночью его телефон разряжается сильнее, чем днем. И человек сделал вывод, что к его устройству кто-то подключался и что-то скачивал.
Нас лично очень затрагивают запросы по поводу детей, которые уходят из дома. Здесь наша работа заключается в том, чтобы восстановить цепочку событий. Мы ведем таких детей по камерам видеонаблюдения на улицах, чтобы проследить их маршрут, проверяем самые свежие поисковые запросы, исследуем личные компьютеры — ищем бэкапы данных мобильного телефона, переписки и файлы.
Когда была история с так называемыми группами смерти, мы помогали разыскивать и задерживать админов таких сообществ. И были случаи, когда благодаря нашим данным удавалось снять подростка с крыши за минуту до рокового шага. В такие моменты ясно чувствуешь, что твоя работа действительно полезна.
В случае громких инцидентов мы выезжаем в любую точку мира и проводим наши работы. Речь идет о крупнейших мировых банках и многомиллионных ущербах. Как правило, при таких запросах мы обнаруживаем то, чего не видел еще ни один антивирус.
Основная доля злоумышленников — это финансово мотивированные хакеры, которым интереснее всего украсть деньги — как у самих банков, так и у их клиентов. Есть и те, чья цель — украсть данные, госсекреты, устроить кибердиверсию. Еще существуют хакеры, которые создают вирусы-шифровальщики. Их целью может быть и банальное вымогательство денег за расшифровку данных, и масштабный саботаж. А некоторые люди просто занимаются хищением данных, составляющих коммерческую тайну. Например, недобросовестные сотрудники, которые имеют доступ к данным компании и используют их ради личного обогащения. Обычно это те, кто плохо уволился и пытается нанести ущерб компании, или те, кто просто получил данные и пытается их продать.
Какого-то суперзлодея, который решил, как в кино, захватить власть над миром, я не знаю. Есть группы людей, которые могут по уровню ущерба сильно выделяться среди других. Например, ущерб больше $15-45 млн. – это огромная сумма. И тем не менее это не суперзлодеи, а просто преступники с жаждой наживы.
В хакерской группе может быть один-два участника, а может — и 40–50 человек, с четким разделением труда. Разные участники пишут вирусы, ищут уязвимости в структурах, занимаются выводом и обналичиванием денег. Причем те, кто натурально стоит у банкомата и получает украденные деньги, могут состоять сразу в нескольких группировках — работать на подряде. Их услугами могут пользоваться разные группировки за 50–60% от украденной суммы.
У каждой группы свой стиль. Некоторые ищут инсайды, другие — работают самостоятельно. Одни обогащаются за счет числа совершенных преступлений, а другие атакуют точечно и тонко, но причиняют очень большой ущерб. Киберпреступность постоянно развивается, придумывает новые способы мошенничества. Но мы тоже все время повышаем свой уровень — думаем на опережение и разрабатываем средства предотвращения таких атак.
Самое горячее время для хакеров — это вечер пятницы. В конце рабочей недели люди уже не столь бдительны, не проверяют состояние своих счетов, плюс есть целые выходные на обналичивание украденных денег. Нормальные люди в пятницу вечером отдыхают, а для нас это самое время поработать.
Есть две главные составляющие профессии. Первая — это технические навыки, математическое, логическое мышление, пытливый ум. Сюда можно добавить навыки администрирования, информационной безопасности, базовые знания процессов взаимодействия систем, знания о типах хранения данных. Совсем без базы начинать будет довольно сложно.
Второе важное требование — этические нормы, как бы это ни звучало. Наша работа предполагает постоянное противоборство с компьютерной преступностью. И объемы хищений бывают просто огромными. Соответственно, киберпреступники обладают большими бюджетами: деньги идут на разработку новых способов совершения преступлений, на поиск инсайдеров и в том числе на возможные действия в отношении экспертов, которые занимаются расследованиями. На мой взгляд, нужно обладать сильным характером и с детства знать, что ты на светлой стороне, чтобы в какой-то момент отказаться от поступающих со стороны злоумышленников предложений. Это некая струнка, которая формирует характер человека, создает образ положительного героя.
Киберкриминалистика — сложная отрасль с точки зрения поиска и подбора персонала, потому что этому нигде серьезно не учат, в университетах отсутствует такая дисциплина. Есть пара вузов, где в виде факультатива можно научиться чему-то.
Нам интересны студенты технических вузов. Специальности — связанные с компьютерной безопасностью, криптографией, разные математические направления. Среди наших сотрудников много выпускников Бауманки и МИФИ. Опыт показывает, что из гуманитария практически невозможно сделать специалиста с мышлением математика, с навыками компьютерной безопасности. Исключение — самоучки, которые в какой-то момент решили сменить гуманитарный профиль, но таких крайне мало.
У нас есть отличный опыт выращивания сотрудников. Мы приглашали с последних курсов университета на полставки людей, которые потом превращались в мегаспециалистов в киберкриминалистике и расследовании киберпреступлений. Наверное, самые лучшие сотрудники — именно те, кого мы обучили сами.
Компания уже на том этапе, когда хотелось бы рассматривать больше специалистов с опытом. Но такие люди попадаются довольно редко. В основном потому, что всех «звезд» мы уже собрали у себя.
Навыки защиты своих личных данных напрямую связаны с корпоративной безопасностью. Трафик компании проходит через несколько систем защиты, а личный гаджет провоцирует неконтролируемые действия. Люди подключаются к корпоративному вай-фаю, скачивают что-то с личной почты, и все эти действия могут быть потенциально опасны для данных компании. Надо понимать, что в случае кражи денег или данных компания потратит огромные ресурсы, чтобы с этим разобраться. И когда человек отдает себе в этом отчет, он начинает ответственнее относиться к любым своим действиям.
Важно соблюдать простые правила цифровой гигиены. Например, обязательно настраивать двухфакторную аутентификацию для доступа ко всем своим аккаунтам. Нельзя использовать простые пароли, не стоит их хранить на бумажке, приклеенной к компьютеру. Не надо писать пин-код от своей карты на ней же. Если вы трепетно относитесь к тому, какие ресурсы посещаете и какие письма открываете, то это снижает риск.
Современные воры больше не крадутся в темноте по квартире в поисках сейфа с драгоценностями. Самые громкие преступления цифровой эпохи совершаются с помощью ноутбука и развитого технического мышления. Мы поговорили с руководителем лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Валерием Баулиным о том, кто они – суперзлодеи нашего времени — и как простому пользователю защитить свои данные.
У нас много секретов: не все кейсы из своей работы мы можем раскрывать, но, когда ты рассказываешь друзьям, как преступники могут украсть деньги, данные, переписку или фоточки, — все, что близко и дорого каждому человеку, — это вызывает шок и священный трепет. Потому что похоже на уличную магию.
Кибер-Шерлок
Я учился в госуниверситете: окончил факультет компьютерных наук и информационных технологий, кафедру теоретических основ компьютерной безопасности и криптографии, моя специальность — «компьютерная безопасность». Еще в школе к нам приходил преподаватель из этого вуза и рассказывал про криптографию и шифрование совершенно завораживающие вещи. В тот момент я уже выбрал для себя, чем хочу заниматься.
На втором курсе я, как практикант, смог поработать вместе со своим преподавателем — Юриным Игорем Юрьевичем. Его компания занималась компьютерными экспертизами и оказывала содействие правоохранительным органам. Мне было интересно разбираться, как можно использовать программы, находить в них уязвимости. Здесь есть романтика, как в книгах про Шерлока Холмса. Интересно понять и раскопать, отмотать хронологию развития инцидента от конца к началу — до выяснения причин и обстоятельств.
Наши исследования были довольно простые. Тогда была популярна кража паролей. Только появился безлимитный интернет, а с ним и люди, которые занимались компрометацией логинов и паролей у юрлиц. Они просто хотели у себя дома качать фильмы и музыку с хорошей скоростью. Иногда приходилось исследовать цифровые носители, которые принадлежали моим однокурсникам.
Но были и достаточно серьезные преступления. Например, в 2004 году — дело так называемых балаковских хакеров. Эти люди занимались вымогательством у зарубежных брокерских компаний. Они грозили DDOS-атаками и требовали десятки тысяч долларов за прекращение атак. В итоге хакеров задержали. Это был крупный и интересный кейс, в котором коллеги принимали очень активное участие.
Как работают киберкриминалисты
Когда я искал работу, мне очень понравилось описание вакансии в Group-IB. Там было сказано, что команда работает на результат. Поэтому можно поспать подольше, прийти к 11, быстренько сделать все дела и уже в обед пойти отдыхать. Это была правда, но лишь отчасти. Мы придем на работу к 7 утра, а уйдем — через двое суток, если это нужно для работы. У нас случаются ночные выезды. Поэтому график ненормированный, нет строгого распорядка, как на госслужбе.
Рабочее место киберкриминалиста — это его компьютер с тремя-четырьмя мониторами и топовым железом, потому что у нас крайне важна скорость обработки данных. Плюс личный ноутбук, который персонально настроен под сотрудника, с учетом его стиля работы и привычек. С таким ноутбуком удобно выезжать на инцидент.
Нам звонят и говорят: «Я сейчас смотрю на счет своего банка и вижу, как с него утекают деньги. Давайте что-то делать». В пределах часа мы уже на месте. Даже если в момент звонка спали у себя дома. В компании есть дежурные специалисты, которые отвечают на такие звонки 24\7. Но мы легко можем сорваться с оперативным чемоданчиком для выезда, потому что от скорости реакции будет зависеть многое.
Пока мы едем — консультируем человека удаленно, чтобы снизить потенциальный ущерб и сократить время действия злоумышленников. При этом очень важно сохранить максимально полное количество данных. Чем больше данных мы соберем, тем выше шансы, что удастся быстро найти и задержать преступников.
Несмотря на то что мы проводим расследование в киберпространстве, используем информацию из сети Интернет, чтобы попытаться идентифицировать злоумышленников, все это оформляется документально. Следственные мероприятия проходят так же, как и при расследовании обычных преступлений. Злоумышленников также задерживают, проводят у них обыски, а дело доводят до суда.
Необычные запросы и спасение жизней
Запросы бывают самые разные. Например, однажды к нам пришел человек и принес с собой огромную стопку документов. Ему казалось, что за ним следят и скачивают данные с его мобильного устройства. Поэтому он восемь месяцев подряд днем и ночью каждые 4 часа замерял степень разряженности своего устройства и то, насколько сильно оно греется. Были даже графики с данными, что ночью его телефон разряжается сильнее, чем днем. И человек сделал вывод, что к его устройству кто-то подключался и что-то скачивал.
Нас лично очень затрагивают запросы по поводу детей, которые уходят из дома. Здесь наша работа заключается в том, чтобы восстановить цепочку событий. Мы ведем таких детей по камерам видеонаблюдения на улицах, чтобы проследить их маршрут, проверяем самые свежие поисковые запросы, исследуем личные компьютеры — ищем бэкапы данных мобильного телефона, переписки и файлы.
Когда была история с так называемыми группами смерти, мы помогали разыскивать и задерживать админов таких сообществ. И были случаи, когда благодаря нашим данным удавалось снять подростка с крыши за минуту до рокового шага. В такие моменты ясно чувствуешь, что твоя работа действительно полезна.
В случае громких инцидентов мы выезжаем в любую точку мира и проводим наши работы. Речь идет о крупнейших мировых банках и многомиллионных ущербах. Как правило, при таких запросах мы обнаруживаем то, чего не видел еще ни один антивирус.
Как работают хакеры
Основная доля злоумышленников — это финансово мотивированные хакеры, которым интереснее всего украсть деньги — как у самих банков, так и у их клиентов. Есть и те, чья цель — украсть данные, госсекреты, устроить кибердиверсию. Еще существуют хакеры, которые создают вирусы-шифровальщики. Их целью может быть и банальное вымогательство денег за расшифровку данных, и масштабный саботаж. А некоторые люди просто занимаются хищением данных, составляющих коммерческую тайну. Например, недобросовестные сотрудники, которые имеют доступ к данным компании и используют их ради личного обогащения. Обычно это те, кто плохо уволился и пытается нанести ущерб компании, или те, кто просто получил данные и пытается их продать.
Какого-то суперзлодея, который решил, как в кино, захватить власть над миром, я не знаю. Есть группы людей, которые могут по уровню ущерба сильно выделяться среди других. Например, ущерб больше $15-45 млн. – это огромная сумма. И тем не менее это не суперзлодеи, а просто преступники с жаждой наживы.
В хакерской группе может быть один-два участника, а может — и 40–50 человек, с четким разделением труда. Разные участники пишут вирусы, ищут уязвимости в структурах, занимаются выводом и обналичиванием денег. Причем те, кто натурально стоит у банкомата и получает украденные деньги, могут состоять сразу в нескольких группировках — работать на подряде. Их услугами могут пользоваться разные группировки за 50–60% от украденной суммы.
У каждой группы свой стиль. Некоторые ищут инсайды, другие — работают самостоятельно. Одни обогащаются за счет числа совершенных преступлений, а другие атакуют точечно и тонко, но причиняют очень большой ущерб. Киберпреступность постоянно развивается, придумывает новые способы мошенничества. Но мы тоже все время повышаем свой уровень — думаем на опережение и разрабатываем средства предотвращения таких атак.
Самое горячее время для хакеров — это вечер пятницы. В конце рабочей недели люди уже не столь бдительны, не проверяют состояние своих счетов, плюс есть целые выходные на обналичивание украденных денег. Нормальные люди в пятницу вечером отдыхают, а для нас это самое время поработать.
Светлая сторона силы: как стать киберкриминалистом
Есть две главные составляющие профессии. Первая — это технические навыки, математическое, логическое мышление, пытливый ум. Сюда можно добавить навыки администрирования, информационной безопасности, базовые знания процессов взаимодействия систем, знания о типах хранения данных. Совсем без базы начинать будет довольно сложно.
Второе важное требование — этические нормы, как бы это ни звучало. Наша работа предполагает постоянное противоборство с компьютерной преступностью. И объемы хищений бывают просто огромными. Соответственно, киберпреступники обладают большими бюджетами: деньги идут на разработку новых способов совершения преступлений, на поиск инсайдеров и в том числе на возможные действия в отношении экспертов, которые занимаются расследованиями. На мой взгляд, нужно обладать сильным характером и с детства знать, что ты на светлой стороне, чтобы в какой-то момент отказаться от поступающих со стороны злоумышленников предложений. Это некая струнка, которая формирует характер человека, создает образ положительного героя.
Киберкриминалистика — сложная отрасль с точки зрения поиска и подбора персонала, потому что этому нигде серьезно не учат, в университетах отсутствует такая дисциплина. Есть пара вузов, где в виде факультатива можно научиться чему-то.
Нам интересны студенты технических вузов. Специальности — связанные с компьютерной безопасностью, криптографией, разные математические направления. Среди наших сотрудников много выпускников Бауманки и МИФИ. Опыт показывает, что из гуманитария практически невозможно сделать специалиста с мышлением математика, с навыками компьютерной безопасности. Исключение — самоучки, которые в какой-то момент решили сменить гуманитарный профиль, но таких крайне мало.
У нас есть отличный опыт выращивания сотрудников. Мы приглашали с последних курсов университета на полставки людей, которые потом превращались в мегаспециалистов в киберкриминалистике и расследовании киберпреступлений. Наверное, самые лучшие сотрудники — именно те, кого мы обучили сами.
Компания уже на том этапе, когда хотелось бы рассматривать больше специалистов с опытом. Но такие люди попадаются довольно редко. В основном потому, что всех «звезд» мы уже собрали у себя.
Как защитить свои данные от хакеров
Навыки защиты своих личных данных напрямую связаны с корпоративной безопасностью. Трафик компании проходит через несколько систем защиты, а личный гаджет провоцирует неконтролируемые действия. Люди подключаются к корпоративному вай-фаю, скачивают что-то с личной почты, и все эти действия могут быть потенциально опасны для данных компании. Надо понимать, что в случае кражи денег или данных компания потратит огромные ресурсы, чтобы с этим разобраться. И когда человек отдает себе в этом отчет, он начинает ответственнее относиться к любым своим действиям.
Важно соблюдать простые правила цифровой гигиены. Например, обязательно настраивать двухфакторную аутентификацию для доступа ко всем своим аккаунтам. Нельзя использовать простые пароли, не стоит их хранить на бумажке, приклеенной к компьютеру. Не надо писать пин-код от своей карты на ней же. Если вы трепетно относитесь к тому, какие ресурсы посещаете и какие письма открываете, то это снижает риск.