«У тебя серверная сгорит»
— Как получаете заявку на выезд от компании?
— Во-первых, практически ничего через почту не идет, корпоративная почта сразу отметается. Неважно в какой стране мира, начальник, директор, неважно кто, он берет трубку, звонит в локальный офис «Лаборатории Касперского».
У меня вводные только такие — надо лететь, и ты говоришь начальнику офиса: «Хорошо, я буду в аэропорту, у меня самолет приземляется тогда-то, вот я там буду». И дальше прилетаешь, тебя встречают с табличкой. Опять же никто не знает заранее, что случилось. Это нормально. Даже если в Москве какой-то инцидент, то никто не будет по телефону тебе говорить. Вся информация только на месте.
— Ни адреса, ни компании?
— Ты ничего не знаешь. Но можешь догадываться. Ты приезжаешь, здание, переговорная комната, там сидят мужики, и ты говоришь: «Ну, что случилось?» Ты берешь листочек, тебе начинают рассказывать, ты это все записываешь. Только в этой переговорке, никто по телефону не собирается обсуждать.
— Как осуществляется коммуникация между специалистами на таких выездах? Через мессенджеры?
— По умолчанию считается, что все каналы связи в этой переговорной, в этом здании, в этой компании, все скомпрометированы и находятся под контролем злоумышленника.
И дальше ты начинаешь: «Так, у вас какие программки стоят?» Если в Европе, то обычно выбирается Threema, если у нас, то, вероятнее всего, Telegram. На самом деле можешь использовать все, что угодно.
И затем общий чат. Они создаются с названиями типа «Выбираем подарок на день рождения». И туда добавляется 100 человек, и начинается: «Ты иди туда, сделай это».
— Что в основном пишут в этом чате?
— Это оперативный чат, и туда в основном пуляются сразу фотографии. То есть я там-то, вижу вот это. И все в виде фотографий, потому что если кто-то что-то начинает писать, еще и на местном диалекте, это вообще непонятно.
Все начальники присутствуют, но именно в оперативность они не влезают. Оперативность обуславливается начальниками отделов, конкретными специалистами на местах.
Я приглашенный специалист, поэтому не могу ими прямо командовать. Я говорю так: «На вашем месте я бы сейчас пошел в гермозону и дернул вот этот проводок». Они говорят: «Поняли, приняли, пошли делать».
Если компания международная, то они внимательно читают эти чатики, регулярно на связи с локальным офисом, где произошел инцидент. Я очень редко принимаю участие во встречах для обсуждения ситуации, потому что они очень долгие. На столе такая «лягушка» (спикерфон для переговорных комнат. — «Газета.Ru»), и там голоса раздаются.
Причем на таком ломаном английском, что ты не понимаешь, что он у тебя спрашивает. А если они выпьют, то вообще ничего не понятно. Даже если ты будешь в англоговорящей стране, то может быть какой-нибудь индус. То есть, ты его будешь понимать, конечно же, но суть вопроса будет непонятна.
— Были случаи, когда все-таки принимали участие в таких переговорах?
— Я участвую в таких переговорах, только когда понятно, что ситуация критическая. Например, говорю: «Ребят, все, хана, надо сносить вот этот компьютер, ставить заново».
И тут какой-нибудь умник говорит: «Да вы что, это остановит наши бизнес-процессы, это же невозможно выполнить в кратчайшие сроки, нужно согласовать это».
В ответ я говорю: «Хочешь по моей рекомендации действовать — я за. Хочешь по своим правилам действовать — действуй. Но только если пока ты будешь это все делать, у тебя серверная сгорит, то я здесь вообще не при делах». Это меняет ход их мысли.
«Какой-то русский мальчик»
— Было такое, что мешали работать на выезде внутри компании?
— Да, была такая история. Огромная частная компания, у который есть хозяин, очень уважаемый человек. У него много бизнесов, и вот один бизнес как раз связан с финансовой организацией.
Из-за инцидента этот богатый человек обратился к нам, и для выезда выбрали меня. На месте сидели генеральный директор, IT-директор и директор по безопасности. И вот эти три мужика мне начинают все рассказывать.
Там нужно было пройти в комнату для анализа, а она за железной дверью и ключом. Нам нужен ключ, а сотрудник с этим самым ключом уехал. IT-директор пошел в отказ, не хотел открывать дверь.
— Как удалось решить проблему?
— Я ему прямо сказал: «Не хотите — не надо, не собираюсь вам болгаркой дверь выносить». Предложил позвонить хозяину, чтобы уведомить о моем отъезде без результата.
А хозяин был прикольный. Спросил, почему не пускают, а ему ответили: «Какой-то русский мальчик приехал и говорит, что нам делать».
И хозяин спрашивает у IT-директора: «Представь, у тебя дома трубы прорвало. Ты же зовешь сантехника. Он просит открыть стояк, ты ему дома скажешь «нет»?». Хозяин сказал отдать мне ключи и стал слушаться моих рекомендаций.
Айтишник очень негативно был настроен. Это нормально, потому что это в его епархии произошел инцидент, он вроде как не справляется со своими служебными обязанностями.
«Куда вы его отпускаете?»
— Если выезжаете на инцидент, NDA (соглашение о неразглашении. — «Газета.Ru») подписываете?
— Всегда. Любой инцидент — тайна, и в список документов подкладывается и соглашение о неразглашении информации.
— И никогда об этом приглашающая сторона не забывала?
— Был один случай. Я прилетел уже в Москву и после командировки нужно было передать NDA. Это документ, где на нескольких языках было написано обо всем, а он у меня весь такой скомканный, грязный.
И когда документы сдавал, то коллеги спросили: «А что с бумажкой произошло?» А там произошло следующее. После инцидента в компании меня уже все провожают.
Тут выбегает их главный юрист: «NDA не подписали! Куда вы его отпускаете?!» И директор говорит: «Я так и чувствовал, что я должен был что-то сделать!»
И, собственно говоря, стоит машина, идет дождик, он подписывает, я подписываю, а машина грязная. С одной стороны капли, с другой стороны грязь — вот и наш NDA. Он необходим. Я уезжал и забирал с собой несколько дисков на анализ, и нужно было указать, на каком основании я их выношу. Я их забрал, через две недели отдал отчет. То есть сделал все, как договорились.
— Не было проблем с тем, что вы российский специалист?
— Сталкивался ли я с русофобией? Да, сталкивался несколько раз.
— Это в последние пару лет?
— Нет. Это было и раньше, и в 2012, 2014 году. Несколько раз такое было.
Это были две разных англосакских страны. В одной мне прямо сказали: «Ты русский, мы русским тут не доверяем». Второй случай произошел, когда уже завершили работу, а потом сидим пиво пьем. И во время разговора проскакивали пару раз фразочки, что у меня паспорт такого странного цвета.
Но это абсолютно нормально. Я говорю: «Я хотя бы белый». Он говорит: «Это да».
Это все такие шуточки-прибауточки, но они мне запомнились.
«Там был прикол»
— Что запомнилось из поездок по Латинской Америке?
— Там был прикол, потому что злоумышленник оказался точно местным. Есть такой способ атаки — подбрасывать устройство. Например, компьютерную технику в офисы.
И он подбросил это устройство в банк, а потом его ограбил. И руководители банка позвали русского, который бы прилетел и нашел это устройство.
Причем, такой вектор атаки – известная история. Эти же устройства мы и ближе к России находили. Выглядит примерно так. В здании были переговорные комнаты до пункта охраны. Туда можно было свободно прийти, не показывая паспорт. То же самое очень часто и в других организациях есть. И вот в переговорке свое устройство закрепили к проводам.
— А что оно может передавать?
— Эта штучка дает прямой доступ в сеть компании. Смысл в том, что есть маленький компьютер, Raspberry Pi называется, размером с телефон. Туда сим-карту вставляют, а провод втыкают в разъем стола. И получается, что штучка одним концом подключена к интернету, и, соответственно, так злоумышленник подключается к этому устройству, а другим концом эта штука смотрит в корпоративную сеть.
— И как такие устройства вычислить?
— Дальше уже в игру вступаю я. Прихожу к службе безопасности этой организации: «Как тут у вас сеть настроена?» И начинаем разбирать, как хакер обходил меры службы безопасности. В общем, были инциденты, когда мы такие устройства находили, и инциденты все боевые.
Потому что никто это устройство не будет искать до тех пор, пока не будет причины его искать. А учитывая, что зданий много, они высокие, нельзя сразу понять, где эта штука прячется.
Если в расследовании я понимаю, что такое устройство должно где-то быть, то начинаем искать. Берешь фонарик и лезешь под стол. Находишь: «О! Смотри, что я нашел!» И давай это фотографировать. И вот в поездке в Латинскую Америку было очень прикольное место, где эта штука лежала — все в пыли и посередине лежит абсолютно новенькая, без пыли штучка.
На самом деле можно подкинуть и забыть про нее на целый год, а потом уже подключиться, за год она покроется слоем пыли. В тот раз мы посчитали, что чувак к ней подключился, как только положил. В течение нескольких дней максимум.
«У нас труп»
— Какая поездка запомнилась необычным расследованием? Что-то самое нестандартное, чего раньше не встречали?
— Перед ковидом в Западной Европе была очень прикольная история. Что я там увидел в первый раз? Я в первый раз увидел в офисе бассейн. Сейчас расскажу, как я там оказался.
Лечу на инцидент без обратного билета, без гостиницы, потому что я же не знаю, куда именно и зачем лечу, такие правила у этих выездов для соблюдения конфиденциальности.
Позвонили, говорят: «Тебя встретят в таком-то аэропорту, бери ближайший билет». Прилетел, меня встречают с табличкой, затем сажусь в машину и привозят по адресу. В офисе встречает такой дедушка, директор по безопасности, и начинает рассказывать, зачем позвал.
И нас там собирается консилиум экспертов из кучи разных стран. Потому что компания большая, международная. Была организована система по группам, когда два человека работают по 16 часов, из них 8 часов ты работаешь один, потом 8 часов вы работаете вдвоем, потом один идет спать, а второй продолжает работать.
— А где весь рабочий процесс происходит?
— В это время уже создается импровизированный ситуационный центр по анализу. На этом рабочем месте анализируются, например, какие-то журналы, на другом — диски. И так построена работа. Я работал всю пятницу и субботу, а у меня нет гостиницы.
В ночь с субботы на воскресенье я говорю: «Слушайте, пойду посплю, я вырубаюсь, это бессмысленно все становится». А у них гигантский опен-спейс, в котором стоят стеклянные переговорки.
Я захожу в переговорку, там такие диванчики, подушечки, но на них неудобно. Поэтому положил эти подушки на пол и таким образом уложился. Дул кондиционер, а выключить его не получалось. Мне делать нечего, я беру свой черный плащ, наушники вставляю и капюшоном от плаща себя закрыл.
Поставил будильник, чтобы проснуться через три часа. Проснулся, иду в ситуационную комнату, там тот же самый дедушка стоит: «Пойдем, я тебя в душ отведу, у нас и бассейн есть».
И вот мы идем там по коридору, и он такой: «Сереж, можно я тебя попрошу кое-что сделать? Ты в следующий раз, когда будешь спать, пожалуйста, капюшон на голову не натягивай». Я говорю: «А что случилось? Там кондиционер дует, я простужусь еще».
Он говорит: «Понимаешь, сегодня воскресенье, и по утрам приходят уборщицы. И они бегут все ко мне: «У вас там труп в переговорке лежит!» А я им говорю: «Это не труп, это русский отдыхает».
Но с технической точки зрения во время этого инцидента ничего сверхъестественного не было. Точку входа хакера мы нашли, как по этим зданиям двигался, нашли, как прыгал из одной сети в другую, нашли. Все восстановили. Просидел я там неделю, наверное. И на две ночи себе взял гостиницу. У них была служебная машина, она меня возила туда-сюда.
«Ребята, у нас тут полтергейст»
— Чем запомнились поездки в страны Африки?
— Я был в одной стране региона совсем незадолго до «арабской весны». Когда я улетел оттуда, все и началось. Помню, когда показывали «арабскую весну», там была жесть, показывали кадры, как горит, и показывали гостиницу, где я жил.
Скажу только, что там есть несколько государств, которые «ого-го», которые очень много вкладываются в IT, в современные технологии, чтобы страна росла, развивалась. Но потом пришла «арабская весна», и про это забыли. Что сейчас там, я без понятия, поездок у меня с тех пор туда не было.
— Чем отличаются в плане кибербезопасности страны Юго-Восточной Азии?
— Помню, как после одной из поездок в тот регион, я вернулся в Москву, а у меня рабочее место рядом с Евгением Касперским (основатель и глава «Лаборатории Касперского». — «Газета.Ru»).
И он такой: «Ну, чего там? Как вообще защищенность страны, всего?» Я ему говорю: «Знаешь, у нас есть в Москве сеть кафешек, так вот они лучше защищены, чем вот там все».
Потому что это была феерическая чушь. Стоит здание, там сидят уважаемые люди, — ну как они могут пользоваться домашними Wi-Fi-роутерами? Я не понимаю. Если ты рулишь огромными суммами денег, то ты не можешь использовать вот этот Wi-Fi по четырем цифрам.
— И эти пароли из четырех цифр везде одинаковые?
— Конечно! Во всем здании одни и те же, чтобы удобно было. И люди про это даже не думали. Зачем сложные пароли? Вот четыре циферки. Причем там эти циферки даже что-то означали — праздник какой-то.
И там история такая, которая на самом деле одинакова для многих стран. Люди, которые там живут, строят IT, развивают безопасность, они просто не очень пуганые, скажем так. Нет у них инцидентов. Там местному жителю не придет в голову пойти и вставить флешку в банкомат, чтобы банкомат выплюнул все деньги. Зачем? Пойду рыбу половлю.
И вот постепенно находятся люди, которые выйдут в интернет, начитаются всяких инструкций и вытащат деньги из банкомата. А местные такие: «А как он это сделал?» А специалистов, которые знают, как это работает, нет.
Начинают звонить, писать всем подряд: «Ребята, у нас тут полтергейст. Само выплевывает деньги на улицу». Как в фильме «Хакеры».
Соответственно, они начинают искать специалистов, которые этим занимаются. И находят меня.
— Сталкивались с языковым барьером? Или английского хватает?
— Английского и русского хватает. Единственное, в некоторых странах Азии была проблема, мне требовался переводчик, потому что они ни по-русски не говорили, ни по-английски.
— То есть такая история только в Азии была?
— На самом деле даже в некоторых странах бывшего Советского Союза уже надо по-английски говорить, а не по-русски. Там есть старое поколение — да, они прекрасно говорят по-русски языком Тютчева и Фета, а новое поколение — с ними по-английски.
«Единственная проблема — гастарбайтеры»
— Почему редко слышим о каких-то проблемах с кибербезопасностью в скандинавских странах? Удалось там поработать?
— На самом деле там есть свои специалисты, но в этих странах практически ничего не происходит.
Во-первых, интернет дорогой. Там есть определенный ценз на покупку доменов в сети. Домены стоят по €300. Существуют же спамеры, которые покупают десятки тысяч доменов, но никто не собирается приобретать скандинавские домены, потому что в таком количестве они будут стоить €3 млн.
У них существуют местные лаборатории, которые занимаются информационной безопасностью, они реально местечковые, там работает человек 20 максимум, которые занимаются всеми инцидентами. Они публикуют работы свои, рассказывают, чем занимаются.
Там единственная проблема — это гастарбайтеры, «гастролеры», которые приезжают и что-то там делают. Не бывает никаких инцидентов с участием местных.
Даже если мы посмотрим на наши карты, которые публикуем, то там указано, что вероятность поймать вирус в интернете, находясь на территории Скандинавии, крайне мала. Эти территории всегда «зеленые».
— А гастролеры какие действия пытаются провести?
— Там в любом случае будет мошенничество, но не будет никаких вирусов. Пиратский софт? А его там нет, его никто не качает.
В скандинавских странах живут люди, которые покупают компьютеры и загружают на него софт и за все платят. Они уже привыкли, что да, это все дорого, потому что IT. С нашим менталитетом, честно говоря, это трудно понять.