Cloned Boy
Professional
- Messages
- 1,363
- Reaction score
- 1,325
- Points
- 113
Известный кардер Сергей Павлович продолжает беседу с сотрудниками компании Group-IB – главного российского частного борца с хакерами, кардерами и прочими киберпреступниками, и в восемнадцатом выпуске из серии мы встретились в офисе компании, чтобы посмотреть всё вживую, и беседуем с Сергеем Никитиным, который улетел в Сингапур.
Приятного чтения!
Содержание:
- Какой отдел компании считаешь самым важным?
- Увеличивается ли важность отдела CERT в данное время?
- Прямая линия отдела CERT
- Влияние компании Group-IB на Telegram и YouTube
- Есть доска почёта компании?
- Что самое важное в развитии компании?
- Есть ли мотивационные программы для сотрудников компании?
- Предоставляете защиту букмекерским компаниям?
- Кража чертежей Apple. К чему привело?
- Эпилог
Какой отдел компании считаешь самым важным?
Павлович:
Слушай, вот мы посетили у тебя уже кучу отделов, да? Можно ли сказать, что какой-то самый важный, без которого все остановится?
Специалист:
Ну, я думаю, что в разное время, да, в разное время этапов развития компании эти отделы разные на самом деле. Исторически я рассказывал о том, что лаборатория, так как мы находимся на передовой постоянно, мы все время находим недетектируемые вирусы, которые на вирус тотали дают 0,71, одного. Мы все время вот в живых инцидентах, мы все время собираем сэмплы, данные и прочее. Мы были таким драйвером для всех остальных наших отделов и продуктов.
С помощью наших данных расследования находили людей, с помощью наших данных мы обогащали наш Threat Intelligence, базу индикаторов, данных о том, как действуют киберпреступники, которые мы продаем как сервис. Опять же, все наши продукты начинают детектировать всякое и делать из-за того, что мы собираем, но опять же, скажем так, сами инциденты меняются, количество данных, которые можно собрать с каждого инцидента меняется,
сейчас наверняка, то есть я абсолютно уверен, что наши продукты куда более важнее, наши разработчики, они причем тоже очень самые разные, да, то есть высоконагруженные системы, там низкоуровневое программирование для агентов и песочниц. Огромное количество всякой работы для компании. Наверное, сейчас разработка более важна. Например, в этом году там стратегически мы занимаемся очень сильным маркетингом.
То есть надо поднять уровень наших материалов, наших отчетов, статей, сайта и прочего. Отличный отчет по поводу шифровальщиков за последний год. Он приятно выглядит, приятно держать его в руках, почитай, там может быть просто что-то прикольное, интересное.
Павлович:
На русский не переводится, да?
Специалист:
Нет, у нас бывает и то, и то, но сейчас у нас приоритет международка, поэтому все выходит на английском, и если нужно, мы уже допереводим на русский. Поэтому, я говорю, каждый год какой-то самый важный отдел, он меняется. Это совершенно нормальная история. Вот, наши синергии, скорее, вот что это важно, когда мы обмениваемся данными И благодаря этому обмену рождаются новые отделы, новые продукты и так далее
Увеличивается ли важность отдела CERT в данное время?
Павлович:
А вот последний отдел, в котором я был, CERT, да? То есть они реагируют на угрозы какие-то Можно ли сказать, что именно вот сейчас важность CERT поднимается, растет с каждым днем? Они вообще всегда важны.
Специалист:
Дело в том, что это такой отдел, знаешь, типа вот как раз, наверное, наша служба там тихо и не видна, да, но очень важна. Потому что, во-первых, он аккредитован для того, чтобы удалять в RU-зоне мошеннические фишинговые и вредоносные сайты. То есть нас аккредитовал аккредитационный центр RUNETA, и для доменов RU, RF и SU мы можем выявлять такие домены, разделегировать, их удалять, блокировать, и это такая в том числе социальная помощь, я имею ввиду вообще общество в целом, потому что в ру-зоне мы отвечаем и удаляем кучу вот скама, просто самого разнообразного, подготовки к фишингу, просто распространители вредоносов.
Если это в ру-зоне расположено, находится, удаляется в течение нескольких часов.
Прямая линия отдела CERT
Специалист:
И причем тут я отмечу, что CERT еще у него и горячая линия есть, нам регулярно кто-нибудь звонит, и ребята разговаривают с людьми, и регулярно им самые разные звонки поступают, с угрозами в том числе, потому что там они удалили, заблокировали чей-нибудь домен, а человек даже не узнал, что его сайт давно взломан, и с него раздается все что угодно, и он думает, что мы просто так его заблокировали.
От этого, конечно, горит много у кого. Плюс, эти ребята, они мониторят продукты, которые стоят у наших клиентов. Мы их не продаем просто как коробки, типа вот вам мы их поставили и развлекайтесь с ними сами. Это типа антивирусы какие-то там? Это сетевые сенсоры, это системы детонации вредоносцев, то есть чтобы анализировали входящую почту. Это как она, полигон у вас называется?
Павлович:
Да, полигон, полигон.
Специалист:
Чтобы они открывали все вложения и смотрели, что произойдет. Вот, это наши агенты, которые ставятся прямо на компьютеры, хандпоинты Вот, это система, которая коллерирует данные со всех этих сенсоров Это хандбокс называется И вот ребята, считая, они следят за всеми этими хандбоксами, которые стоят у клиентов И они видят, где там левые события, ну, ложноположительные, где действительно нужно напрячься Они мониторят это 24 на 7, то есть у них посменная работа реально без выходных, без праздников, без всего Там все время кто-то есть И они оповещают наших клиентов, что, типа, смотрите, у вас беда.
И это большой плюс, потому что далеко не каждая компания может себе позволить безопасника. А еще безопасника, который будет мониторить 24 на 7. Это должно быть трое сотрудников минимум, чтобы поработать на 8 часов. Но это вообще малореально. Мы забираем на себя эту функцию, что сильно повышает защищенность клиента.
Потому что куча атак было такое, что это в пятницу вечером, чтобы точно все выходные никто не знал, и в понедельник уже столкнулись с последствиями. Поэтому СЕРД выполняет кучу функций, они точно важны, плюс там прям много народу работает, ты видел, что там только часть смены, в 9 часов будет пересмена, там новые люди придут и так далее,
и это прям такая постоянная история, это все время рука тоже на пульсе, немножко по-другому, то есть без выездов, взрывов, дверей и так далее, но однозначно тоже интересная, прикольная работа.
Влияние компании Group-IB на Telegram и YouTube
Павлович:
А вы не имеете влияние на Телеграм, на ютуб, например?
Специалист:
С разными площадками есть разные договоренности, в том числе по антипиратству, например, да, то чтобы удалять и блокировать пиратский контент, там фишинг, вредоносцы и прочее.
Где-то есть там права, допустим, какого-нибудь модератора, но не того, что мы там можем сами всё удалять, а чтобы быстро отправлять в техподдержку какие-то материалы, чтобы это проходило там отдельной очередью рассмотрения, ну потому что у нас есть компетенции, ясно, что мы просто так туда не будем обузить всё это. Вот, да, то есть в разных площадках разные методы взаимодействия, конечно, с российскими попроще, там ВКонтакте каком-нибудь, да, с там Телеграмом тоже возможно, а там с какими-то зарубежными там сложнее, вот, но регулярно, в общем, что-нибудь допиливается, доделывается.
Павлович:
У меня по телеграмму есть вопросы. Я там сделаю какой-нибудь ресурс бота или еще тут же его кто-то клонирует, там называет похоже на меня и начинает скамить людей. Я просто не представляю каким дописаться даже. Вообще не знаю как с этим бороться, с Телеграммом.
Специалист:
Слушай, я тебе не подскажу, но это самое, можно будет как раз спросить у Саши Калинина. Он наверняка знает, То есть то, что Телеграм точно мониторится, тоже там всякое отслеживается, всякие группы смерти, вот с этим мы тоже там много кому помогали, я уже рассказывал, с и расследованиями, и блокировкой какой-нибудь заблаговременной, поэтому как раз я думаю, что у Саши можно выяснить, как и что можно делать.
Есть доска почёта компании?
Павлович:
Это Калинин это, что в сердце был, да? А есть ли, знаешь, как в Макдональдсе, вот, у них есть доска почета какая-то, там, не знаю, сотрудник месяца, есть ли у вас такое?
Специалист:
У нас регулярно между продавцами какие-то соревнования по выручке, ну а среди технорей у нас есть различные самые ачивки за всякие спецпроекты, там специальные значки, бонусы, упоминания на наших оперативных мероприятиях, Плюс куча благодарностей на то, что мы уже снимали, и есть скорее не доска почета, а там то, как мы живем, как мы развлекаемся, целая стена, да, о жизни в группе ИБИ, пойдем, заснимем эту историю.
Вот, ну прямо вот в рамочку конкретную фотографию работник месяца нет, такого нету, потому что вот слишком много крутых ребят у нас работает, звезд, и это всегда леет славой. Ну и плюс команде еще, разные отделы во взаимодействии между собой. Да, синергия, она очень развита, то есть мы регулярно там что-нибудь придумываем, взаимодействуем, доделываем, усовершенствуем, это всячески поощряется.
Что самое важное в развитии компании?
Павлович:
А что по-твоему, вот такой чисто бизнесовый вопрос, что по-твоему самое важное, не знаю, в развитии компании, можешь какие-то факторы выделить?
Специалист:
Я абсолютно уверен, что самое важное – верить в то, чем ты занимаешься. То есть, если компания скатывается в корпорацию, которая зарабатывает просто бабло, она становится безликой и неинтересной. Абсолютно любое бизнес, любое дело, оно отлично, здорово работает, когда есть такой драйвер, который верит во все это, в миссию, и он собирает вокруг себя единомышленников, которые продолжают все это делать вместе.
И когда это не просто работа, это не средство зарабатывания денег и так далее, а деньги – это средство для реинвестиции, развития и прочего. Ну, про нашу миссию я уже много раз говорил, что защищать там киберпространство, наших клиентов, бороться с преступностью. Илья Сочков, собственно, как раз такой лидер, который именно харизматичный, он всех заводит, он всех удушевляет, он всех сплачивает вокруг себя, и он ведет это именно
вот это все не только ради….
Павлович:
Корабль ваш.
Специалист:
Да, на корабль не только, абсолютно не только ради денег, да, не чтобы там просто там стать какой-нибудь миллиардной компанией, выйти на IPO и забыть про все это. Нет, это всегда еще и огромная социальная нагрузка, помощь всем подряд, и поэтому мы стараемся быть аполитичными, да, потому что зло, оно везде, вот, и добро, оно тоже должно быть везде, и спасать нужно абсолютно во всех странах клиентов, людей, и помогать нужно везде, и бороться с мошенничеством нужно везде.
И мы уже говорили с тобой, что все преступления так или иначе могут бить по самым незащищённым слоям населения. И прям каких-то супер-Робин Гудов, к сожалению, нет среди преступников. Преступления есть преступления, точно кто-то потеряет на этом деньги, здоровье и всё что угодно. Нервы, жизнь может быть сломана, всё что угодно.
Есть ли мотивационные программы для сотрудников компании?
Павлович:
А есть ли у вас опционы в виде участия в компании для топ-менеджеров, например?
Специалист:
Такие программы самые разные, мотивационные. Они прорабатываются регулярно, запускаются, делаются, то есть в разной степени, разные сотрудники по-разному вовлечены в мотивацию, вот, и сейчас там одна из очередных мотивационных программ запускается, вот, поэтому самые разные варианты есть, но здесь как раз нужно работать. Но аукционы, я имею ввиду, на долю в компании.
Да, такое тоже возможно, да, Ильян в одном из интервью назвал это, что типа кто-то включен в стоимость компанию назвал или как-то так вот да так такие варианты тоже бывают и тут именно вопрос в том что нужно какое-то время отработать до из разные компании будут как по со временем человек будет в них включаться конечно мы максимально заинтересованы в долговременном сотрудничестве плюс у нас невероятные возможности по горизонтальному вертикальному росту вот что-то между под Ну, можно перейти, допустим, из серта в лабу, из лабы в расследовании, а потом стать, там, руководителем расследований.
Вот, допустим, Рома Резухин, который был в интервью, он работал в киберразведке, перешел в лабу. Сейчас уже замруководителя по исследованию вредоносцев, да. Там, условно, у нас работала Веста Матвеева в лабе, она перешла в расследование, потом переехала в Сингапур. Она руководитель расследования в регионе в этом, да, то есть Head of Investigation.
Поэтому вариантов движения очень-очень много, конечно, это требует сверхнагрузки от человека, то есть ему нужно свою работу делать, желание и прочее-прочее, но, да, такие примеры есть, они не уникальные, я все время всем агитирую, делайте, поддавайтесь, у нас сейчас запускается большая программа про локации в новые офисы, да, мы открываем офис на Ближнем Востоке, там есть большое количество новых локаций, которые будут открываться, куда можно будет переехать, разработчиков будем перевозить, программистов, поэтому как бы тут нужно...
Поэтому учите английский язык, как минимум. Учите английский язык, приходите к нам работать, куча интересных вакансий, это всегда здорово.
Предоставляете защиту букмекерским компаниям?
Павлович:
А есть ли среди ваших клиентов букмекерские компании, от чего вы им предоставляете защиту, например, казино, букмекерские компании?
Специалист:
Слушай, насколько я помню, у нас есть какой-то перечень бизнесов, с которыми мы особо не работаем, но если это легальные букмекеры, которые там лицензированы, да, в России работают легально, то, по-моему, мы им помогаем. В основном это, да, всякая защита от скама, антифишинг, что-то в таком роде, но вот именно каких-то кейсов лабораторий я не помню, но были кейсы, когда, допустим, мы работали со стол АТО, это публичная история, мы проводили у них там проверки всякие.
До сих пор тебе под твоими видео комментарии пишут, а зачем ты приглашаешь, он зашкварился в стол АТО. Да-да-да, то есть мы попроводили просто аудит у них там, вот. Но они прошли нормально? Прошли нормально, на самом деле там никакого именно мошенничества нету, там это просто открытая инфа, достаточно посмотреть сколько стоит билет, какой тираж билета и какой тираж разыгрывается. И выяснится, что, грубо говоря, разыгрывается всего половина от суммы проданного.
И условно, если там тираж на 5 миллиардов рублей, а разыграли они 2,5, профит невероятный. Зачем кого-то обманывать? Нет никакого смысла именно делать обманы, какие-то там склейки, вставки Ну, то, о чем там всякие конспирологи говорят Там действительно бывают розыгрыши в записи и прочее Но просто еще раз, это открытая информация У нас есть закон об этой игорной штуке Там понятно, что какое-то число с этого процента они отчисляют в Минспорт, по-моему
Да, как-то там интересно, что это спорт, типа Вот, типа спорт лото и так далее И какую-то часть они разыгрывают Естественно, есть затраты на типографию и на прочее но огромное количество у них чистого профиля, абсолютно законного, белого. Зачем кого-то обманывать, здесь просто в этом нет смысла.
Павлович:
Но там был просто случай года два назад, что выиграл там чуть ли не родственник этого.
Специалист:
Аффилированность, да, какая-то прочая. Но я просто объясняю, что тут просто именно Брит Волкома, да.
Павлович:
Но это уже больше не техническая какая-то там, а, если имело место, да, там, а мошенничество, там, допустим, ну, такого традиционного плана, но не связанное с IT.
Специалист:
Да, и вот в общем в этом году нас пригласили, во-первых, проверить голосование, как шоу «Голос». Там было голосование, как распределить призы. Мы проверили именно саму голосововку на сайте, базу распределения. Там было все хорошо. И они просили проверить сам розыгрыш во время тиража, что вот именно сверка этих номеров, ее нельзя было поделать. И действительно, ее нельзя поделать, потому что там была изолированная сеть, и все это офлайново происходило. То есть они получили тираж и уже работали с ней, вообще отключив все от сети.
Там такая история, мы выборочно проверили кучу билетов и они прошли этот аудит, о чем мы прямо даже в прямом эфире заявили, рассказали. Супер, какого-то зашквара нет. Но смешно, конечно, выступать 1 января.
Павлович:
Да, ты в шмокинге еще был. Чувствовалось, что немного не в своей тарелке.
Специалист:
Абсолютно не в своей тарелке, потому что до этого у меня там сидел Басков, он мне рассказывал веселые истории, потому что мы вместе выходили, он рассказывал, что очень плохо, что он приехал так рано на съемки, это было тяжело, вот, его граммировали массово, вот, ему было тяжко.
Кража чертежей Apple. К чему привело?
Павлович:
Ну и последний вопрос про недавний инцидент с кражей чертежей у Apple. Реально это было и вообще к чему привело?
Специалист:
Да, это, кстати, отличный пример, опять же, вирусов-шифровальщиков, которые после взлома они похищают, то есть после взлома похищают данные, а только потом все шифруют, мы об этом уже говорили. И здесь как раз кванта компьютер это подрядчик как мы знаем apple они сами ничего не собирают да то есть они делают дизайны печатают процессоры ntn смс собирают их разная гиппига трон и вот в том числе кванта кванта отвечала за ipad за apple watch из-за макбуке то есть там перечень продуктов
определенный значит кванту поломали по слухам по слухам у них даже встал конвейер из-за шифрования этого, и украли действительно чертежи, которые Apple им прислала, новых не анонсированных еще MacBook'ов, где они, кстати, вернут HDMI-порт, SD-карты, там много чего стало интересного из этого. MagSafe. MagSafe, да-да-да. И они, собственно, пытались шантажировать Apple, но взломали ведь не Apple, да, и поэтому ничего действительно серьезного там не украли.
Чертежи для сборки, ну как бы, так и так этот продукт выйдет, да, конечно, может быть какие-то есть потери, что это раньше анонса появилось, но ничего страшного.
Павлович:
Ой, ну конкурент, я думаю, в этом мире достаточно у всех денег, я не думаю, что завтра AMD по их украденным чертежам что-то там...
Специалист:
Да и кому нужны чертежи макбуков, да, это просто, скорее, для пользователей интерес, чего ожидать. Если бы взломали саму Apple, украли какие-то разработки, это был бы другой разговор. А это сборщик, подрядчик в Тайване, ну понятно, что у них плохо с безопасностью, поэтому, естественно, Apple даже и не думала платить за Это проблема кванта исключительно. Возможно, там, Apple после этого заставит их усилить ИБ, или вообще откажется, или как заставит, они, то есть, Apple суровые ребята, они могут диктовать условия кому угодно очень жестко, и я не знаю, что станет с несчастной квантой, вот, но поэтому то, что назвали взломом Apple, это на самом деле взлом тайваньского подрядчика, и никакой абсолютно угрозы это никому не несет, вот, но, опять же, это показывает о том, что шифровальщики не дают
они в том числе готовы торговать похищенной инфой, и в том, что я боюсь, что потери от простой конвейера, если это правда, потому что это слухи, намного больше, там сотни миллионов, то есть не сотни, наверное, несколько десятков миллионов долларов они потеряли, чем сумма выкупа или вообще какой-то ущерб именно от самого шифрования.
Эпилог
Павлович:
Все, спасибо за шикарную экскурсию. Удачной на сей раз уже поездки. Пишите комментарии, задавайте вопросы. Обнимаю, пока.
