Mutt
Professional
- Messages
- 1,157
- Reaction score
- 824
- Points
- 113
КИТАЙ ВЕРБУЕТ РУССКИХ ХАКЕРОВ?!
Известный кардер Сергей Павлович продолжает беседу c Сергеем Никитиным, заместителем лаборатории компьютерной криминалистики компании Group-IB – главного российского частного борца с хакерами, кардерами и прочими киберпреступниками, и в девятом выпуске из серии говорим о вирусах для взлома айфонов, защите макбуков, взлома Wi-Fi и техники Apple, как устроиться в компанию по информационное безопасности наподобие той, что создал Илья Сачков, и многом другом.
Приятного чтения!
Содержание:
Можно ли попасть в Group-IB, если занимался whitehat-хакингом?
Павлович:
Вопрос от зрителей. Ты сказал в третьей части, что на полиграфе вы проверяете, не засланный ли я казачок, не состою ли я в кибергруппировках, не занимаюсь ли я чернухой. А вот если я пару лет назад хакал сайты и сети, порой доходило до глубокого доступа к 1С и к бухгалтерии, по возможности сообщал владельцам о найденных уязвимостях, доступы не продавал, в чернухе не участвовал. То есть, ну, по сути, white hat, да? Есть ли вообще шансы попасть к вам в контору?
Специалист:
Я думаю, что вполне. Ну, то есть, нужно понимать, что это же не какая-то суперстрогая граница. Там, ой, ты что-то взломал, и всё, ты сразу киберпреступник. Очень важна мотивация человека, его мысли, с какой целью он это делал, к чему он преследовал. Он им сообщал. Да, да, да. То есть, вполне возможно, что… Кажем так, это всегда всё индивидуально.
Основная идея в том, что мы просто не берем именно киберпреступников с киберпреступным мышлением, то есть не обязательно, чтобы они были осуждены за что-то, может быть, это и сошло им с рук, но у человека меняется определённым образом мышление. Я думаю, что ты сам помнишь свою бытность, когда ты сем этим занимался, наверняка ты мыслил не так, как сейчас. Я имею в виду самый образ мышления, мотивация и прочее-прочее.
И именно идея в этом, то есть у нас там есть некая миссия, наверняка она многому не нравится, но она работает вот так. И мы ищем прежде всего единомышленников, когда набираем людей на работу. Если человек хочет бороться с киберпреступностью, сам он напрямую в чем-то таком плохом не замешан, почему нет? Всегда имеет смысл отправить, если он пройдет проверку службы безопасности, почему нет?
Павлович:
Но я думаю в данном случае ты до того как устроился тоже что-то взламывал там и так далее не всегда это было там законно просто тут ну цель именно что-то ну да взломал там окей я смог как бы с точки зрения закона если бы тебя словили наверное это было бы незаконно конечно и тебя бы подвергли кому-то преследованию но ты взломал у тебя получилось сообщил чувакам там у вас дырка к примеру и это я думаю у всех такие в жизни бывали.
Про взлом Wi-Fi
Специалист:
Да, на самом деле, я думаю, что там практически все пытались сломать Wi-Fi какой-нибудь, когда это стало популярным инструментом. Мне кажется, много кто познакомился из-за этого с Callie. Вернее, до этого он назывался Backtrack еще. Насколько я помню, Backtrack или как-то так. Наверняка в комментах поправят меня. Естественно, это не всегда несет какую-то супер-возрушительную штуку. Тем более, я повторюсь, что там многие подростки могут не понимать, что они вообще совершают преступление какое-то.
Взламывая соседский Wi-Fi. Да, да, взламывая соседский Wi-Fi. Типа ну мне просто нужен интернет, а мне денег платить и прочее.
Павлович:
Ко мне приезжал один в гости, и он мне тут же взломал соседский Wi-Fi, там 1, 2, 3, 4, 5, 6, 7, 8 было, ну и всё, даёт пароль мне, говорит, я говорю, так нахер ты это.
Спикер 1:
Сделал?
Вирус по взлому айфонов Pegasus
Павлович:
У тебя дома, вот у меня дома есть интернет, тебе интернета не хватает или что? Ну вот у него такая привычка и всё, то есть таким образом он ещё с моего IP ломал, да, ещё и меня подставил. Так, просит человек дать ресурсы НСО-групп, продуктов или хотя бы сэмплы. Что он хочет иметь в виду?
Специалист:
Это я рассказывал про компанию, которая, скажем так, позаказывала спецслужб разрабатывать некие киберооружия, я рассказывал про взлом айфонов. Сам вирус называется Пегас, а по-английски он пишется Pegasus. Его можно поискать, есть сэмплы, прямо в интернете их можно скачать, посмотреть. Он достаточно известен, он и хорошо проресерчен, Есть по нему статьи.
Павлович:
Исходники этого Pegasus есть в открытой сети в интернете? Не исходники, а бинарии есть.
Специалист:
Есть скомпилированные файлы. Исходники, наверное, есть только у НС-групп. Но все равно, кому интересно, их можно открыть в дизассемблере, посмотреть, исследовать и почитать ресерчи. Возможно, я не помню, называл ли я название вируса. Если нет, то он называется Pegasus. И уже по этому ключевому слову, то есть НС-группе Pegasus, можно будет все найти в интернете.
Были ли реальные взломы с помощью Spectre и Meltdown?
Павлович:
Следующий вопрос, я не совсем знаю, что это, но вопрос задают. Были ли в вашей практике реальные взломы при помощи спектра и Meltdown?
Специалист:
Отлично, рассказываю. Значит, вот эти красивые названия, это названия уязвимости в процессорах Intel, которые внезапно выяснились, и заключаются они в том, что там в процессе есть специальный защищённый режим и фишка в том, что одна программа не должна просто так получать доступ к памяти другой программы и там для этого есть специальные аппаратные алгоритмы и выяснилось, чтобы повысить производительность Intel уж пошли на некие ухищрения в результате обнаруженных уязвимостей можно было получать доступ к, скажем на контексте других программ просто похищать из оперативной памяти некие данные и можно было даже эту атаку делать удаленно То есть я отправляю на сервер какие-то специальные фрагменты И он может случайно выдать мне какие-то страницы памяти обратно И в теории в этих страницах памяти могут быть и пароли в открытом виде, и ключи шифрования, все что угодно Если достаточно долго атаковать такой сервак, можно считать кучу памяти Она, правда, случайным образом выдается, но можно получить какие-то ценные данные
Павлович:
Ну это теоретически, а практически в вашей практике были?
Специалист:
Практически это практически бесполезно То есть шансы получить что-то нужное, они не очень велики. А дальше что? Дальше выпустили обновление BIOS, огромное количество их. И если их поставили, обновили, там в BIOS зашит микрокод. Как раз это вот, скажем так, некая программа, как работает процессор. И в этом микрокоде сделали некие специальные замедления, в результате чего вы теряете в производительности. Но большая часть этих атак становится не очень релевантной.
Аппаратные уязвимости
Специалист:
Но это отличный момент связанный с тем что сам вопрос он поднял такой момент что кроме программных уязвимостей есть аппаратные да которые очень сложно закрыть и мало кто из пользователей полностью перейдет на другие новые процессоры потому что там нашли только просто очень дорого особенно если мы говорим про enterprise вот когда я рассказывал про уязвимость процессор айфонов да старых вот она все еще имеет место быть и чип т2 который было в макбуках для некоторых моделей макбуков он тоже основан на старом чипе от мобильных процессоров и он тоже уязвим и сейчас макбуке с чипом т2 можно заразить с помощью этой уязвимости а так как чип т2 загружается до операционной системы получайте такой rootkit который например может перехватить ваш пароль от входа в систему, а это пароль от шифрования fail vault, и отправить куда-нибудь, так как это работает как rootkit. Но работает это снова только при физическом доступе к ноутбуку.
Сергей Никитин про макбуки
Специалист:
И если я в прошлом выпуске давал рекомендацию всем покупать макбуки с чипом T2, то теперь, наверное, Тим Кук мне снова заплатил, но буквально вчера была презентация новых макбуков на их собственных процессорах, где этой уязвимости уже нет.
Павлович:
Ну вот мне уже пришла пора поменять, по-моему.
Специалист:
Вот, а еще прикольно, что они за ту же цену их продают, вот, и с невероятной автономностью. Но Security Enclave, вот тот самый сопроцессор безопасности, он теперь перенесен внутрь чипа, он не отдельный, и эта дырка там закрыта. Вот, поэтому... То есть новые чипы от Apple неплохи, да? Да, очень хороши.
Павлович:
На сегодняшний день?
Специалист:
На сегодняшний день. Это всегда будет некая борьба, там, меча и щита, но если я в прошлый раз рекламировал T2, можно сказать так рекламировал, я просто должен оговориться о том, что смотрите, он тоже сейчас взламывается, он может нести некие риски, он не может взломать ваше шифрование, но может сделать так, что у вас просто перехватит этот пароль, но это все требует физического доступа к ноутбуку, но вы можете забыть его в отеле, его могут досмотреть в аэропорту.
Ну как у Байдена было сейчас, у его сына. И поэтому, в общем, макбуки с чипом Т2 на Авито, а сами покупайте новые, благо там цена не изменилась и там на самом деле доплатить, возможно, за разницу придется не очень много. Там это проблема пофиксена.
Пытались ли атаковать сайт Group-IB?
Павлович:
Пытались ли хоть раз, я понимаю, что вопрос чуть-чуть наивный, пытались ли хоть раз атаковать Group-IB? Регулярно, конечно, абсолютно.
Специалист:
Что ломают? Ну, первое, естественно, самое слабое место — это люди, да, то есть пытаются заслать фишинг, все, что угодно, получить данные и доступ к сотрудникам, взломать личные аккаунты сотрудников, личные девайсы, несколько раз, было несколько интересных случаев, на самом деле, несколько раз от имени группы IV пытались сделать рассылки, то есть подменяли просто адреса отправителей, в почте это возможно, вот, если плохо настроены у получающего всякие спам-фильтры, то может прокатить.
Второй момент, я помню, была утечка, по-моему, исходников Бухтрапа, ну это вирус такой, и там пароль на архив был, Group-IB, Smart Boys, что-то такое, вот, некое такое признание тоже от киберпреступников, вот, значит, было такое, что, скажем так, было оповещение, по-моему, от нашего серта, вернее, кто-то подделывался под оповещение нашего серта, и тоже делали рассылку, то есть будто бы от нашего имени какие-то вредоносцы распространяли.
Поэтому регулярно мы сталкиваемся с какими-то атаками и это как бы совершенно нормально. А сайт взломали, успешные были атаки? Сайт, там говорят, что сайт-визитка у нас, он несет какие-то функциональные возможности, и там его ломать просто нет смысла.
Павлович:
Вы не дефейсили?
Специалист:
Нет, не дефейсили, опять же это сложно, потому Потому что, банально, там же нет никаких форм, да, вот таких простых.
Да, там чисто HTML и сложные пароли. Да, да, да. То есть там особо, просто физически сложно сломать. Скажем так, нам, естественно, помогают наши продукты, да, которые там проверяют все входящие вложения на почте, запускают их в песочницах, поэтому шанс того, что фишинг достигнет вообще получателя, он очень-очень невелик.
Внутренние игры и тренинги Group-IB
Специалист:
Плюс у нас еще регулярно проходят всякие игры, да, когда наша команда по тестированию делает внутренние всякие рассылки, проверяет там пройдут ли по ним по ссылкам пользователи, ведут ли они пароли, то есть так скажем держат в напряжении, что конечно помогает, но нужно понимать что какой-то идеальной защиты не бывает и я уверен что какие-нибудь сотрудники, особенно не технические подразделения могут быть в какой-то момент взломаны вот как каким-то образом на какое-то время да тут бессмысленно выдумывать да что там мы супер защищены и так далее естественно инженерный уровень очень-очень велик но человеческий фактор о котором я говорю да он всегда играет определенную роль вот мы регулярно проводим определенные тренинги по цифровой гигиене как себя нужно вести что нужно делать вот но я думаю что какой-нибудь молодой сотрудник который только к нам пришел еще может там чего-то не знать быть взломан.
А благо ни к чему, какому-то глобальному распространению это не приводит.
Павлович:
Да и обычно, когда говоришь, что нас там никто не взломал, да ну, ты как-то, я не знаю, как-то во вселенную устроил, а через пару дней вот это вот обязательно произойдёт, вот как ни от чего не зарекайся. Я никогда там, не знаю, не дрался на улицах, оп, пару дней прошло, и всё, так что да, правильно, не зарекаемся.
Можно ли студенту попасть в Group-IB на удаленную работу?
Павлович:
Спрашивают ребята, можно ли студенту попасть на практику в Group-IB хотя бы удалённо.
Специалист:
Смотрите, у нас есть адрес, можно слать туда резюме. Дело в том, что у нас есть целый департамент поиска талантов и счастья, и на самом деле можно присылать свои резюмешки там в любом виде, как вам удобно, что что вы умеете, чем вы хотели заниматься и почему вы клёвый.
У нас есть разные программы стажировки в разных отделах, сейчас в моем отделе, например, нету, но, как я говорю, нужно слать туда, там распределяться.
Павлович:
Слать, в общем, на входящую почту.
Специалист:
На самом деле нам очень нужны разработчики, самые различные. Нужны девопсы, это прямо кадровый голод, шлите, удаленно вы работаете, неудаленно, неважно, питонисты нужны. В общем, у нас на самом деле огромное количество вакансий.
Павлович:
Аналитики. Масалович сильно в своём выступлении говорил, что востребованы аналитики, т.е. именно кто умеет обрабатывать инфу и делать какую-то выжимку с неё.
Специалист:
И они тоже, особенно если вы понимаете, что такое threat intelligence, как работает вообще киберразведка, все эти навыки, они очень применимы. И плюс у нас ещё есть и нетехнические вакансии, на самом деле. Поэтому шлите, засылайте, может быть вам повезет, может быть будем коллегами.
Спецслужбы пытались вербовать вас?
Павлович:
Пытались ли тебя, либо кого-то из вашего коллектива вербовать в западные спецслужбы, скажем так?
Специалист:
Ну, за коллектив мне сложно сказать, да, меня не пытались, Я думаю, что это связано с тем, что я не знаю никаких гостайн, я же никогда не служил нигде, я имею в виду ни в полиции, ни в спецслужбах, нигде, то есть абсолютно гражданский, закончил гражданский ВУЗ и потом начал работать в Group-IB, и так как я не знаю никакой гостайны, я работаю в коммерческой организации, особого смысла от вербовки меня… Ну только конкуренты, если да.
Да-да-да, конкурентам, может быть, было бы интересно, но нас хантили, естественно, нас регулярно хантят друг друг у друга кто-то пытается что-то переманить, но именно вот спецслужбам мои знания просто не нужны, я трезво это сам осознаю.
Павлович:
Ну так твои знания, они в принципе за бабло могут получиться.
Специалист:
Да, конечно, конечно, то есть учитывая какое сильное влияние на самом деле имеют западные спецслужбы на западные компании, да, они могут покупать любые наши услуги, продукты и прочее, и что-то об этом узнавать, само собой. Я думаю, что западным спецслужбам вряд ли интересны наши коммерческие тайны какие-то, и я тоже не особо ими владею, которые связаны с разработкой чего-то, я имею в виду ПО или чего-то такого.
Все-таки у меня более аналитический отдел, поэтому я думаю, что просто я не составляю какой-то ценности для спецслужб наших или западных, даже никто и не пробовал их хорошо, с моей точки зрения это хорошо.
Текучка кадров, хантинг специалистов
Павлович:
А ты говоришь, конкуренты хантят сотрудников, ну и вы, соответственно, может, каких-то у конкурентов хантите, да? Текучка кадров большая вообще?
Специалист:
Очень зависит от отдела, да, то есть там есть отделы более дружные, например, у нас в лаборатории очень такое крепкое подразделение, вот, есть менее дружные, опять же, бывают договоры о не-хантинге, ну ты, наверное, знаешь, как, знаешь, там Амазон и Гугл, они договариваются там, вот. Ну у них бывают там специальные договоры, что типа или Эппл и Гугл, чтобы не переманивать просто так сотрудников, что он там не может сколько-то лет работать после того, как здесь работал у конкурента.
В общем, с разной степенью эффективности это все работает, но, естественно, специалистов не хватает, и кадровый голод есть, и хантинг идет достаточно частый, и очень часто западные компании хантят. У Ильи, кстати, известное выступление, его можно найти на ютубе, где он выступал перед правительством, и он рассказывал о том, что Huawei, например, очень сильно хантит российских специалистов, просто скупает их как только может.
Это тоже определенную проблему приносит, да.
Дроны, нейронные сети, недалекое будущее
Павлович:
Ну большими зарплатами просто переманивают и лучшим соцпакетом. Да, да. Как думаешь, наступит ли когда-нибудь момент, когда киберпреступления себя изживут, но просто потому, что это станет невыгодным заниматься, потому что развитие искусственного интеллекта, нейронных сетей и так далее. Наступит ли когда-нибудь вселенское счастье и ты сможешь уйти в отпуск на год?
Специалист:
Я уверен, что нет. Почему? Как это работает? Это к вопросу о замене тем же искусственным интеллектом людей. Как только мы до чего-то такого доберемся, сразу возник вопрос, а кто программирует этот искусственный интеллект? Как с нейронными сетями и машинным обучением. Например, в теории, может быть, можно найти, создать некую условную нейронную сеть, которая ловит хакеров.
Я очень упрощённо говорю, но её нужно как-то обучать, и будут люди, которые будут её обучать, то есть это уже какие-то специалисты, а ещё будут люди, которые будут злые нейронные сети обучать, которые будут автоматом всё их сами красть, или, конечно, похищать, то есть сами совершать себе преступления, ведь любую технологию можно использовать во благо и во зло. Я могу сразу вспомнить всю эту историю с дронами, которые только появлялись, типа это клёвая штука, чтобы снимать с дронов, а потом сразу же этими дронами начали закидывать наркотики через границу и сразу на них повесили ракеты и начали убивать людей.
Павлович:
Сигарету знакомому закидывают.
Специалист:
То есть, скажем так, любую технологию её сразу начнут применять по военному и преступному пути, а потом уже по мирному, например. И точно так же с любыми технологиями, которые мы здесь назвали, будут просто новые методы совершения тех же киберпреступлений. Возможно, классические киберпреступления пропадут, но появятся какие-то новые. Но и вряд ли они пропадут полностью, потому что мы же видим, что технологии просто позволяют перерождаться старым видом преступлений.
Телефонное мошенничество, которое сейчас так или иначе связано с тем, чтобы какие-то данные выведать цифровые, но всё равно это же обычное, скажем так, разводилово из того момента, как появились телефоны. И вся эта социальная инженерия до сих пор...
Павлович:
И казино.
Специалист:
В интернете. А эти самые письма африканские, которые реально раньше были письмами, которые там из-за колонии в Британию приходили. Вот. Поэтому все просто делает некий круг, некую спираль, и полностью это не живет себя никуда. Наверное, в моих мечтах, неких определенных, возможно даже лучше, если насильственные преступления заменят какие-то киберпреступления.
Ну, имущественные. Да-да-да, имущественные. То есть, будет меньше насилия на улицах, в семьях, где угодно. Там убийств, вот этого всего, изнасилований, тяжких преступлений каких-то. А больше будет каких-то, пускай, киберпреступлений, хоть это несет и ущерб и людям, и экономике, но не насильственных. И, мне кажется, что, может быть, развитие цивилизации оно приведет к тому, что мы не изживем, естественно, преступления вообще никогда. Это человеческая природа.
Но пускай лучше мы победим уличную преступность и какое-то насилие, чем победим всю эту кибер-историю.
«Цифровой профиль»
Павлович:
Как думаешь, сильно бы повлияло введение уроков каких-то обязательных в программу школьного образования по компьютерной грамотности, повлияло бы это на снижение тех же преступлений?
Специалист:
Я уверен, что да, я уверен, что это вообще строго обязательно. Я не помню, говорил я об этом в прошлых выпусках или нет, но я отмечу, что сейчас очень важно абсолютно всем детям иметь некую цифровую личность, то есть они сейчас дети будут рождаться в эпоху уже тотального интернета, они сразу будут во всех соцсетях, и супер важно самых младших, прям вот там детских лет, учить их как себя вести в интернете, что и куда можно постить, и как вести свой вот этот цифровой облик, да, свой цифровой профиль, но тот же самый, как говоришь, ник, да, один и тот же ник, который везде используется, Если вы будете везде регаться с ним, за вами будет тянуться огромный след, и нужно это в том числе использовать на свою пользу, чтобы там потом, когда вас будут нанимать на работу, не знаю, через 20 лет, уже совершенно все будет по-другому, и все это будет автоматически искаться, и сразу будет некий цифровой профиль, уже сейчас есть, но это будет еще более развито, цифровой профиль этого человека, если вы выкладываете видосы со вписок на хатах каких-нибудь, где там трэш, угар, алкоголь в 14, то в 20 вас могут не взять на работу.
Ну, в серьёзную структуру. В серьёзную структуру, да. Сколько же сейчас уже было уничтожений карьер политиков, когда там выкладывают какие-то их фото с наркотой и проститутками. И точно так же это будет касаться всё больше и всех, не только каких-то ВИПов. И опять же, как я говорил, огромное количество людей попадают под различные статьи, в том числе и компьютерные, не совсем осознавая, что они делают именно.
Они чувствуют, что здесь есть какой-то подвох, они, например, не могут только зарабатывать, но они, может быть, даже не могут сформулировать, в чём же проблема.
Павлович:
Ну, как в примере с Дзюбой, да, то есть могут правоохранители при желании, они расценят это как распространение порнографии, но понятно, что в случае с Дзюбой это нафиг никому не надо, но даже вот человек не задумывается, вот мой друг мне прислал по моей просьбе, а может, я его провоцировал, может, я там сотрудник правоохранительного органа, он мне прислал, и всё, я ему говорю, о, приехали.
Специалист:
Поэтому обязательно нужно этому учить и учить тому, что цифровой мир, он в это неотъемлемая часть жизни уже сейчас. И о том, как себя там нужно вести и как себя там вести не нужно.
Образовательные курсы по кибербезопасности
Павлович:
Так сделали бы образовательный курс какой-то, продали бы его государству или бесплатно дали, внедрили бы его в всех школах.
Специалист:
Даже это несложно.
Павлович:
Вы же знаете, на какие моменты нужно обратить внимание.
Специалист:
Мы занимаемся этим, бывают всякие открытые уроки, то есть у нас там наши тренеры выступают, но все-таки одно дело какая-то инициатива кампании, а другое дело государственный уровень, поддержка и самое главное некий пиар всего этого. Я сам несколько раз выступал у школьников, например я выступал в лицее, которое я закончил, и всегда это вызывает живейший интерес, потому что много чего из этого нет в школьных программах, а мне кажется, что этому нужно учить совсем с маленьких лет.
Павлович:
Значит, если кто из мужей государственных нас смотрит, вот задумайтесь просто, чтобы повысить компьютерную грамотность, безопасность и прочее, прямо вот начиная со школы, можно разработать с ними там, с другой компанией, меня привлечь в каких-то целях, можно разработать какой-то курс определенный, который в принципе пойдет на пользу всем, и правоохранителям легче будет, и у банков меньше красть будет, и школьники меньше до делов будут попадать, и не будут ломать свою карьеру, вольно или невольно.
Считывание информации с монитора методом анализа электромагнитного излучения
Павлович:
Вопрос от зрителя, можно ли удаленно считать инфу прямо с экрана монитора методом анализа электромагнитного излучения?
Специалист:
Нет, я вижу скепсис на твоем лице, на самом деле. Существует такая штука, называется ПМИН, это целый раздел определенных технических видов разведки, и на самом деле еще во времена, скажем, Советского Союза были специальные устройства, которые позволяли чуть ли не через стену с электронной лучевой трубки, то есть с экрана телевизора либо монитора, считывать данные, и эта вся история регулярно всплывает о том, что, например, по звуку нажатия на клавиатуре можно понять, что вводится по каким-то остаточным магниточным сценам на экране и прочее-прочее.
Если коротко отвечать, то да, можно, действительно, и научные есть обоснованные примеры, и даже, скажем так, пруфов концепты есть, и, возможно, даже у каких-то спецслужб есть какие-то приборы, но в реальности с этим столкнуться практически невозможно.
Павлович:
Заморачиваться некуда.
Специалист:
Да, да. Обычно все эти защищённые от ПМИН помещения, есть там даже специальные аттестации, например, в которых работают со сведениями совершенно секретные или особой важности. У них даже батареи разводят специальным образом через мягкие подушки, чтобы звук не передавался, не резонировал. Там тройные двери, восьмерные стеклопакеты, чтобы лазером нельзя было считать звук с колебания стекла. И точно так же все это относится про компьютеры, например будет какая-то сетка Фродея, которая будет экранировать всю эту историю.
Но в реальности шансы на это ничтожно малы, если там вы не владелец Амазона, как Безоса взломали тогда, и то взломали топорно через Принца, вряд ли кто-то будет настолько заморачиваться.
Мне кажется, значительно проще применять человеческие всякие методы, подослать человеку, не знаю, любовницу, которая заразит при физическом доступе компьютер, либо если это какой-то компьютер, где вы синхронизируете с облаком, просто попросить ту компанию на облачную, чтобы она предоставила данные, чем вот настолько заморачиваться.
Как переговариваются в тюрьме
Павлович:
Паяльник. Ты напомнил про батарею, я помню, мы в тюрьме переговаривались по батарее, там идет узкая труба к батарее, и ты к ней подставляешь кружку, и говоришь, мы были на втором этаже, разговаривали с четвертым аж, то есть просто резонанс идет по трубам, и ты разговариваешь посредством кружки, ставишь стакан этот, разговариваешь через этаж даже, представляете, просто по обычной батарее.
Есть ли эксплойты, позволяющие при помощи гироскопа подобрать пароль?
Павлович:
Есть ли эксплойты, позволяющие на андроиде, например, анализом гироскопа подобрать пароль?
Специалист:
Опять же, были и концепты, то есть показывали всякие штуки о том, что, во-первых, там есть всякие распознания жестов, постукивания на разные части смартфона, это даже применяется некими производителями. И точно так же стало понятно, что если пароль короткий, то нажатие на разные экраны, слушать микрофон или отслеживать как раз акселерометр или гироскоп в этом смартфоне, можно понять, как вводится этот пароль.
Но тут нужно понимать, что все эти штуки, они такие более теоретические, такое приложение может быть, но его нужно как-то поставить на этот телефон, а дальше у каждого разная длина пальцев, он с разной силой нажимает на экран, то есть этот вирус придется еще обучать каким-то образом. Разные модели телефонов, разный вес, разные модели экранов.
Я думаю, что если вирус уже на вашем компьютере, ему не нужен ваш пароль, он уже все данные оттуда и так вытащит без всяких проблем.
Павлович:
Короче, теоретически, да, на практике, как не у Лайму Джо.
Специалист:
Я видел из прикольных фишек, я видел примеры накладок на банкоматы, скиммеры, которые были с инфракрасной камерой. И они видят просто остаточный след от тепла на клавишах. То есть, даже если человек прикрывает ввод пин-кода, он потом убирает руку, и там, допустим, 3 или 4 клавиши светятся.
Павлович:
А, то есть это сделано для того, чтобы просто, так-то проще было бы считать видеокамерой, поскольку он прикрыл пин-коды в Альфа-банке, у них в банкоматах есть специальные такие штуки, то есть если камеру поставить, она не увидит, что я там вожу, а поэтому светящемуся теплу они смогут. Да, да. А поскольку там цифра 4, это 4 и у нас возможных комбинаций сколько там 16 или 4 в четвертой степени, не помню, ну короче Да, логично, но методы эти, видите, теоретически работают и на практике нафиг не нужны, потому что есть паяльник.
Почему пользуешься техникой Apple?
Павлович:
Вопрос от Дагбы, или Дагба, видно, что гость пользуется экосистемой Apple. По информации от Snowden у американского правительства есть официальный закон, по которому все американские IT-компании должны оставлять бэкдоры для спецслужб.
Как ты допускаешь для себя тогда пользование этими гаджетами, вот айфоном, например, будучи руководителем отдела информационного.
Специалист:
Да, на самом деле, просто американские спецслужбы не входят в мою модель угроз, да, то есть, ну, если даже они получат какие-то данные, это никак не отразится на мне, там, на деятельности компании и так далее. Тут нужно отметить, что, во-первых, это действительно так, да, то есть, я уже даже упоминал про откровение снодное, мы понимаем, что все, что вы выгружаете, если мы говорим про вот экосистему Apple, все, что вы отдаете в iCloud, это точно есть у АНБ, вот, у АНБ были проблемы с доступом именно к самим айфонам, то есть когда их изымали там у террористов всяких, нет доступа к самому устройству, то есть они облаком допустим не пользуются, они выключили всю облачную историю, а им интересно что было там, что он прямо вот перед там взрывом или атакой писал, кому и так далее, от кого получал команды, в облаках этого нету, и вот тогда у них начинаются все эти проблемы, там же даже как-то Трамп типа дайте доступ, там Apple писали, типа Apple дайте доступ вот они специально так сделали что они не могут это сделать ну то есть там могут но это очень-очень это пойдет просто но на нарушение всех их же там внутренних правил и скорее всего это уничтожат ну как самобизнесовую составляющую им перестанут доверять вот и тут просто момент заключается в том что если там вы боитесь американские спецслужбы в принципе экосистему Apple можно использовать, да, но выключаете всю облачную историю, но при этом удобство всей этого использования резко падает.
Ключ в iCloud
Специалист:
У тебя был гость, BadB, по-моему, он рассказывал о том, что у него был ноут с TrueCrypt и был Macbook, и Macbook типа взломали мгновенно. Я вот могу привести пример. Если вы в Macbook включаете шифрование FailVault, да, он спросит, а вы хотите сохранить резервную копию в iCloud ключа для восстановления? Если вы нажимаете да, то, конечно, потом, если вас задерживают американские спецслужбы, они сразу расшифруют этот файл, несмотря на то, что он супер стойкий, потому что ключ-то хранится в iCloud. И нужно здесь отметить нет, если вы забудете ключ, всё, данным хана. И точно так же с любым другим шифрованием, например, Microsoft, BitLocker, встроенное в Windows шифрование. И если вы отдаёте в свой Live аккаунт этот ключ для восстановления, конечно, он потом может быть доступен западным спецслужбам.
И не надо удивляться, что потом мгновенно расшифруют всё это.
«Бывают специальные поставки оборудования со специальными закладками и прочим
Павлович:
Ну тебе и мне ладно, да, а, допустим, политику высокого ранга лучше, естественно, не использовать вражескую технику.
Специалист:
Абсолютно. И тут вопрос даже не про Apple как таковой, а вообще любое, какое-то устройство на чужих процессах, на чужой аппаратной базе. Потому что, опять же, с откровением Сноуда, мы знаем, что бывают даже специальные поставки, в эту страну идёт специальная партия оборудования, в том числе телевизионного, с особыми закладками и прочего. А нужно знать, что в Советском Союзе на самом деле были целые отделы в НИИ, которые рентгенографией проверяли на наличие аппаратных закладок, всю эту технику.
Но сейчас проблема в том, что техпроцесс настолько уменьшился, что эта штука просто не работает. Это микроны уже. Да. Нанометры. Нанометры. Вот. И найти аппаратные закладки просто невозможно. Таким образом, это слишком затратно.
Поэтому, да, если вы какой-то там чиновник или бизнесмен, у которого реально могут украсть какой-то супер ноу-хау, то нужно понимать, что если вы отдаёте что-то облако, это точно может быть использовано против вас, спецслужбами западных стран, потому что, как мы там не говорили, но когда у них весь бизнес там, они обязаны выполнять любые законы местные, не могут просто слать всех нафиг, и в моем случае какой-то угрозы от Apple я просто не вижу, я далеко не все отдаю в iCloud, но какой-то прям прямой угрозы в этом абсолютно нет.
Павлович:
Ну я фотки отдаю и я отдаю заметки, вот в этом есть и плюс, потому что они у меня всегда под рукой на всех устройствах, но это есть и минус, их могут будут взяться конкуренты. И в связи с этим передаем привет Дмитрию Анатольевичу Медведеву с его айпадом. Помнишь, он постоянно на совещаниях сидел в айпаде и залип.
Специалист:
Да, да, да. Поэтому, конечно, да, определенные угрозы это может нести.
Применяются ли «Data Science» подходы для анализа сложных случаев?
Павлович:
И последний сложный вопрос от наших зрителей, потом пройдемся под другим моментом, применяются ли Data Science подходы для анализа сложных случаев, например, поиск аномалий в сетевых логах, если да, то в каких случаях насколько успешно.
Специалист:
Да, на самом деле вот Big Data и анализ больших данных, в том числе с применением и машинного обучения, и нейронных сетей, это супер важная история. У нас во многих продуктах это применяется прямо сейчас. Например, у нас есть такой продукт как SecureBank, SecurePortal, да, который анализирует различные транзакции там в банках, в ритейли и может, например, на основании движение мышки, ввода там клавиатуры, обучаться и находить эти аномалии.
Вот. И мы в том числе при анализе какого-то огромного объема логов или чего-то такого тоже применяем самые разные алгоритмы, например, чтобы вычислять, что человек работает в нерабочее время, или там нехарактерный всплеск передачи данных. Это в том числе и на самом деле достаточно обычные статистические методы из МАТТАТА. Так что, конечно, Data Science это все важно, за этим определенно будущее.
Почему? Потому что объемы данных нарастают уже так сильно, что анализировать их человеческим разумом скоро будет просто невозможно. Слишком просто большие объемы. Сейчас, допустим, логи могут занимать гигабайты, а если интернет проникнет везде по всему миру, там все, не знаю сколько у нас, 8 миллиардов. Чайники, микроволновки еще.
И еще куча устройств будет генерировать трафик, и даже у рядового сайта будут терабайты логов, не переданных, а логов, то анализировать это можно будет только такими методами, поэтому применяем, нужно еще лучше это разрабатывать, дальше углубляться, обучать, использовать как бы за этим точно будущее.
Анализ банковских данных
Павлович:
Поэтому, если да, задали такой вопрос, может приходите он, будьте с Data Science работать в Group-IB, а сразу вопрос банки не боятся отдавать вам такую инфу для анализа?
Специалист:
Там очень хитро это работает, то есть мы им отдаем скрипт, анализ проводится по большей части на их стороне, мы не видим конкретные данные, мы скорее сообщаем, алертим, подсвечиваем некие флаги, что здесь аномалии, а дальше у них уже есть антифрод-системы собственные, и они это используют просто в скоринге, то есть у них, допустим, есть какой-то набор баллов, который можно получить, и наша система дает один из этих баллов, но они еще проверяют и по другим каналам, и если набирается какое-то количество, транзакция может приостанавливаться и так далее.
У нас есть публичная инфа о том, что мы работаем со Сбером, и даже на Хабре там какой-то человек очень напрягся, когда увидел, что на сайте Сбербанк Онлайн отдается скрипт какой-то Group-IB, и тут нужно понимать, что там просто миллионы пользователей, миллионы транзакций в секунду, это супер сверхнагруженные системы, это еще нужно все анализировать и отдавать какие-то данные.
Поэтому это реально круто, интересно, если вы разработчик или интересуетесь такими штуками, присоединяйтесь к команде, там реально проекты такого мирового уровня.
ID клиентов
Павлович:
Ну а напрямую вы, например, ID юзера не видите?
Специалист:
Нет, нет, конечно, для этого это и не требуется. Ну и, собственно, банки просто по закону о банковской тайне не могут нам такое отдавать, и в этом просто нет необходимости.
Павлович:
Ну я, например, я тоже в кэшбэке не могу отдавать, к примеру, данные юзера, да, но я не могу отдать его мыло, к примеру, и, там, телефон, но я могу отдать его ID в нашей базе, потому что это сугубо наша внутренняя информация, там, шесть цифр, или я могу, если требуется для какой-то синхронизации, могу отдать часть мыла, например, там, звездочками, к примеру, то есть, по-первому, необязательно там отдать, там, 10 символов мыла, то есть первых 4-5 ему достаточно будет для синхронизации.
Почему обновляется «пиратская» Windows 10?
Павлович:
Если используешь Windows 10, у меня, благо, не Windows, но активированную пиратским вот этим ключом, да, почему она обновляется вот в России, например? Почему не блокируется? Они же понимают, что это пиратским ключом она за это заактивирована.
Специалист:
А это связано с репутацией Майкрософта что случилось если вы помните семерка когда она была не активирована она не ставила все обновления то есть ставила только часть обновлений вот и орала постоянно что она не активирована там будут недоступны и так далее а потом начали публиковать различные сайты обзоры и пишут количество зараженных устройств по процентам операционки и выясняется что Windows была просто в супер топ лидерах а это все из-за того что Windows пиратская она не обновляется и еще ни в коем случае не ставите обновление, не дай бог активация слетит или пиратская, еще что-то.
Вот, кстати, было куча клиентов потерпевших, которые такие, у нас все пиратское, типа мы ничего не ставим, не дай бог какие-то обновления, там все снесется, типа работает и слава богу. А там дырки такие, что школьник открывает кали, запускает метасплойд, нажимает одну кнопку и они уже похеканы, то есть там не нужно даже никаких знаний, просто IP нужно знать, а там просто уязвимый сервак, и все.
И как бы Microsoft, я так понимаю, поняли, что это большая проблема. И первое, что они начали внедрять, это вот Windows. Defender, то есть защитник, некий небольшой встроенный антивирус.
Павлович:
Свой firewall.
Специалист:
Вот, антивирус, прям антивирус. Вот, firewall там сразу в семерке был, да, а значит, дальше в десятке они уже, даже если она не активирована вообще, то есть пиратским ключом, или даже не активирована совсем, она все равно ставит все обновления безопасности, там уже прям встроенный Defender, его не надо ставить отдельно, раньше бы там Microsoft Security Essentials, как-то так он назывался, вот, и я так понимаю, что это именно для имиджа, то есть, чтобы просто домашние пользователи меньше страдали от всяких атак, им автоматом прилетают все обновления, обновляется Office, кстати, автоматом тоже, вот, если он там стоит, и стоит какой-то базовый антивирус бесплатный совершенно, вот, и от массовых угроз такой пользователь будет заражен, будет всем и рекомендовать и это играет именно на им на репутацию на имидж и я думаю что это самая основная проблема да блокировать пиратские Windows а сейчас даже на самом деле учитывать лимиты в десятки узнавать кто это за человек чем он пользуется там я не знаю и даже что угодно делать своего лаптопом в теории Майкрософт могла бы вот но не делают это просто потому что им я так понимаю, что сейчас все компании переориентируются на продажу сервисов, вот, и Office 365, вот этот облачный от Microsoft, и все эти истории с Azure,
«По моим прогнозам какая-то версия Windows будет бесплатной, с платными подписками»
Специалист:
И они показывают, что по моим прогнозам, я думаю, что какая-то из следующих Windows будет бесплатной, вот, и они просто будут продавать эту подписку какую-нибудь, облако, ну, вот это вот всё. Зарабатывать что-то с другого, да? Зарабатывать через сервисы, да, вот, и наоборот будут стараться подсадить как можно больше людей на свою платформу, чтобы все платили за сервисы.
Сергей Павлович о платных сервисах
Павлович:
Ну это как с этими, с Айкосом, да, дается почти даром это устройство, но ты платишь за эти стики и точно так же с автомобилями, то есть они забирают свое с ремонта потом запчастей, потому что на самих автомобилях маржа она не сильно большая, у меня был чел с автобизнеса и я ему говорил, озвучивал цифры, что на машине, к примеру, Toyota Camry взять или там не знаю там BMW тройку какой-нибудь производитель зарабатывает очень мало там 700 тысяч долларов ну реально потому что все что мы покупаем машине все это стоит реально денег маржа очень низкая но на премиум марках вот с продажи Porsche там заработок где-то полторы две тысячи евро уже идет то есть с премиальных марок но они конечно все забирают свое сервисом и мне один из вас скинул именно под тем видео с автоподборщиком скинул реальную статью то есть подтверждающие эти мои слова, чтобы вы не говорили. И вот, ребята, пришло время прощаться в рамках этой серии, всем пока!
Известный кардер Сергей Павлович продолжает беседу c Сергеем Никитиным, заместителем лаборатории компьютерной криминалистики компании Group-IB – главного российского частного борца с хакерами, кардерами и прочими киберпреступниками, и в девятом выпуске из серии говорим о вирусах для взлома айфонов, защите макбуков, взлома Wi-Fi и техники Apple, как устроиться в компанию по информационное безопасности наподобие той, что создал Илья Сачков, и многом другом.
Приятного чтения!
Содержание:
- Можно ли попасть в Group-IB, если занимался whitehat-хакингом?
- Про взлом Wi-Fi
- Вирус по взлому айфонов Pegasus
- Были ли реальные взломы с помощью Spectre и Meltdown?
- Аппаратные уязвимости
- Сергей Никитин про макбуки
- Пытались ли атаковать сайт Group-IB?
- Внутренние игры и тренинги Group-IB
- Можно ли студенту попасть в Group-IB на удаленную работу?
- Спецслужбы пытались вербовать вас?
- Текучка кадров, хантинг специалистов
- Дроны, нейронные сети, недалекое будущее
- «Цифровой профиль»
- Образовательные курсы по кибербезопасности
- Считывание информации с монитора методом анализа электромагнитного излучения
- Как переговариваются в тюрьме
- Есть ли эксплойты, позволяющие при помощи гироскопа подобрать пароль?
- Почему пользуешься техникой Apple?
- Ключ в iCloud
- «Бывают специальные поставки оборудования со специальными закладками и прочим»
- Применяются ли «Data Science» подходы для анализа сложных случаев?
- Анализ банковских данных
- ID клиентов
- Почему обновляется «пиратская» Windows 10?
- «По моим прогнозам какая-то версия Windows будет бесплатной, с платными подписками»
- Сергей Павлович о платных сервисах
Можно ли попасть в Group-IB, если занимался whitehat-хакингом?
Павлович:
Вопрос от зрителей. Ты сказал в третьей части, что на полиграфе вы проверяете, не засланный ли я казачок, не состою ли я в кибергруппировках, не занимаюсь ли я чернухой. А вот если я пару лет назад хакал сайты и сети, порой доходило до глубокого доступа к 1С и к бухгалтерии, по возможности сообщал владельцам о найденных уязвимостях, доступы не продавал, в чернухе не участвовал. То есть, ну, по сути, white hat, да? Есть ли вообще шансы попасть к вам в контору?
Специалист:
Я думаю, что вполне. Ну, то есть, нужно понимать, что это же не какая-то суперстрогая граница. Там, ой, ты что-то взломал, и всё, ты сразу киберпреступник. Очень важна мотивация человека, его мысли, с какой целью он это делал, к чему он преследовал. Он им сообщал. Да, да, да. То есть, вполне возможно, что… Кажем так, это всегда всё индивидуально.
Основная идея в том, что мы просто не берем именно киберпреступников с киберпреступным мышлением, то есть не обязательно, чтобы они были осуждены за что-то, может быть, это и сошло им с рук, но у человека меняется определённым образом мышление. Я думаю, что ты сам помнишь свою бытность, когда ты сем этим занимался, наверняка ты мыслил не так, как сейчас. Я имею в виду самый образ мышления, мотивация и прочее-прочее.
И именно идея в этом, то есть у нас там есть некая миссия, наверняка она многому не нравится, но она работает вот так. И мы ищем прежде всего единомышленников, когда набираем людей на работу. Если человек хочет бороться с киберпреступностью, сам он напрямую в чем-то таком плохом не замешан, почему нет? Всегда имеет смысл отправить, если он пройдет проверку службы безопасности, почему нет?
Павлович:
Но я думаю в данном случае ты до того как устроился тоже что-то взламывал там и так далее не всегда это было там законно просто тут ну цель именно что-то ну да взломал там окей я смог как бы с точки зрения закона если бы тебя словили наверное это было бы незаконно конечно и тебя бы подвергли кому-то преследованию но ты взломал у тебя получилось сообщил чувакам там у вас дырка к примеру и это я думаю у всех такие в жизни бывали.
Про взлом Wi-Fi
Специалист:
Да, на самом деле, я думаю, что там практически все пытались сломать Wi-Fi какой-нибудь, когда это стало популярным инструментом. Мне кажется, много кто познакомился из-за этого с Callie. Вернее, до этого он назывался Backtrack еще. Насколько я помню, Backtrack или как-то так. Наверняка в комментах поправят меня. Естественно, это не всегда несет какую-то супер-возрушительную штуку. Тем более, я повторюсь, что там многие подростки могут не понимать, что они вообще совершают преступление какое-то.
Взламывая соседский Wi-Fi. Да, да, взламывая соседский Wi-Fi. Типа ну мне просто нужен интернет, а мне денег платить и прочее.
Павлович:
Ко мне приезжал один в гости, и он мне тут же взломал соседский Wi-Fi, там 1, 2, 3, 4, 5, 6, 7, 8 было, ну и всё, даёт пароль мне, говорит, я говорю, так нахер ты это.
Спикер 1:
Сделал?
Вирус по взлому айфонов Pegasus
Павлович:
У тебя дома, вот у меня дома есть интернет, тебе интернета не хватает или что? Ну вот у него такая привычка и всё, то есть таким образом он ещё с моего IP ломал, да, ещё и меня подставил. Так, просит человек дать ресурсы НСО-групп, продуктов или хотя бы сэмплы. Что он хочет иметь в виду?
Специалист:
Это я рассказывал про компанию, которая, скажем так, позаказывала спецслужб разрабатывать некие киберооружия, я рассказывал про взлом айфонов. Сам вирус называется Пегас, а по-английски он пишется Pegasus. Его можно поискать, есть сэмплы, прямо в интернете их можно скачать, посмотреть. Он достаточно известен, он и хорошо проресерчен, Есть по нему статьи.
Павлович:
Исходники этого Pegasus есть в открытой сети в интернете? Не исходники, а бинарии есть.
Специалист:
Есть скомпилированные файлы. Исходники, наверное, есть только у НС-групп. Но все равно, кому интересно, их можно открыть в дизассемблере, посмотреть, исследовать и почитать ресерчи. Возможно, я не помню, называл ли я название вируса. Если нет, то он называется Pegasus. И уже по этому ключевому слову, то есть НС-группе Pegasus, можно будет все найти в интернете.
Были ли реальные взломы с помощью Spectre и Meltdown?
Павлович:
Следующий вопрос, я не совсем знаю, что это, но вопрос задают. Были ли в вашей практике реальные взломы при помощи спектра и Meltdown?
Специалист:
Отлично, рассказываю. Значит, вот эти красивые названия, это названия уязвимости в процессорах Intel, которые внезапно выяснились, и заключаются они в том, что там в процессе есть специальный защищённый режим и фишка в том, что одна программа не должна просто так получать доступ к памяти другой программы и там для этого есть специальные аппаратные алгоритмы и выяснилось, чтобы повысить производительность Intel уж пошли на некие ухищрения в результате обнаруженных уязвимостей можно было получать доступ к, скажем на контексте других программ просто похищать из оперативной памяти некие данные и можно было даже эту атаку делать удаленно То есть я отправляю на сервер какие-то специальные фрагменты И он может случайно выдать мне какие-то страницы памяти обратно И в теории в этих страницах памяти могут быть и пароли в открытом виде, и ключи шифрования, все что угодно Если достаточно долго атаковать такой сервак, можно считать кучу памяти Она, правда, случайным образом выдается, но можно получить какие-то ценные данные
Павлович:
Ну это теоретически, а практически в вашей практике были?
Специалист:
Практически это практически бесполезно То есть шансы получить что-то нужное, они не очень велики. А дальше что? Дальше выпустили обновление BIOS, огромное количество их. И если их поставили, обновили, там в BIOS зашит микрокод. Как раз это вот, скажем так, некая программа, как работает процессор. И в этом микрокоде сделали некие специальные замедления, в результате чего вы теряете в производительности. Но большая часть этих атак становится не очень релевантной.
Аппаратные уязвимости
Специалист:
Но это отличный момент связанный с тем что сам вопрос он поднял такой момент что кроме программных уязвимостей есть аппаратные да которые очень сложно закрыть и мало кто из пользователей полностью перейдет на другие новые процессоры потому что там нашли только просто очень дорого особенно если мы говорим про enterprise вот когда я рассказывал про уязвимость процессор айфонов да старых вот она все еще имеет место быть и чип т2 который было в макбуках для некоторых моделей макбуков он тоже основан на старом чипе от мобильных процессоров и он тоже уязвим и сейчас макбуке с чипом т2 можно заразить с помощью этой уязвимости а так как чип т2 загружается до операционной системы получайте такой rootkit который например может перехватить ваш пароль от входа в систему, а это пароль от шифрования fail vault, и отправить куда-нибудь, так как это работает как rootkit. Но работает это снова только при физическом доступе к ноутбуку.
Сергей Никитин про макбуки
Специалист:
И если я в прошлом выпуске давал рекомендацию всем покупать макбуки с чипом T2, то теперь, наверное, Тим Кук мне снова заплатил, но буквально вчера была презентация новых макбуков на их собственных процессорах, где этой уязвимости уже нет.
Павлович:
Ну вот мне уже пришла пора поменять, по-моему.
Специалист:
Вот, а еще прикольно, что они за ту же цену их продают, вот, и с невероятной автономностью. Но Security Enclave, вот тот самый сопроцессор безопасности, он теперь перенесен внутрь чипа, он не отдельный, и эта дырка там закрыта. Вот, поэтому... То есть новые чипы от Apple неплохи, да? Да, очень хороши.
Павлович:
На сегодняшний день?
Специалист:
На сегодняшний день. Это всегда будет некая борьба, там, меча и щита, но если я в прошлый раз рекламировал T2, можно сказать так рекламировал, я просто должен оговориться о том, что смотрите, он тоже сейчас взламывается, он может нести некие риски, он не может взломать ваше шифрование, но может сделать так, что у вас просто перехватит этот пароль, но это все требует физического доступа к ноутбуку, но вы можете забыть его в отеле, его могут досмотреть в аэропорту.
Ну как у Байдена было сейчас, у его сына. И поэтому, в общем, макбуки с чипом Т2 на Авито, а сами покупайте новые, благо там цена не изменилась и там на самом деле доплатить, возможно, за разницу придется не очень много. Там это проблема пофиксена.
Пытались ли атаковать сайт Group-IB?
Павлович:
Пытались ли хоть раз, я понимаю, что вопрос чуть-чуть наивный, пытались ли хоть раз атаковать Group-IB? Регулярно, конечно, абсолютно.
Специалист:
Что ломают? Ну, первое, естественно, самое слабое место — это люди, да, то есть пытаются заслать фишинг, все, что угодно, получить данные и доступ к сотрудникам, взломать личные аккаунты сотрудников, личные девайсы, несколько раз, было несколько интересных случаев, на самом деле, несколько раз от имени группы IV пытались сделать рассылки, то есть подменяли просто адреса отправителей, в почте это возможно, вот, если плохо настроены у получающего всякие спам-фильтры, то может прокатить.
Второй момент, я помню, была утечка, по-моему, исходников Бухтрапа, ну это вирус такой, и там пароль на архив был, Group-IB, Smart Boys, что-то такое, вот, некое такое признание тоже от киберпреступников, вот, значит, было такое, что, скажем так, было оповещение, по-моему, от нашего серта, вернее, кто-то подделывался под оповещение нашего серта, и тоже делали рассылку, то есть будто бы от нашего имени какие-то вредоносцы распространяли.
Поэтому регулярно мы сталкиваемся с какими-то атаками и это как бы совершенно нормально. А сайт взломали, успешные были атаки? Сайт, там говорят, что сайт-визитка у нас, он несет какие-то функциональные возможности, и там его ломать просто нет смысла.
Павлович:
Вы не дефейсили?
Специалист:
Нет, не дефейсили, опять же это сложно, потому Потому что, банально, там же нет никаких форм, да, вот таких простых.
Да, там чисто HTML и сложные пароли. Да, да, да. То есть там особо, просто физически сложно сломать. Скажем так, нам, естественно, помогают наши продукты, да, которые там проверяют все входящие вложения на почте, запускают их в песочницах, поэтому шанс того, что фишинг достигнет вообще получателя, он очень-очень невелик.
Внутренние игры и тренинги Group-IB
Специалист:
Плюс у нас еще регулярно проходят всякие игры, да, когда наша команда по тестированию делает внутренние всякие рассылки, проверяет там пройдут ли по ним по ссылкам пользователи, ведут ли они пароли, то есть так скажем держат в напряжении, что конечно помогает, но нужно понимать что какой-то идеальной защиты не бывает и я уверен что какие-нибудь сотрудники, особенно не технические подразделения могут быть в какой-то момент взломаны вот как каким-то образом на какое-то время да тут бессмысленно выдумывать да что там мы супер защищены и так далее естественно инженерный уровень очень-очень велик но человеческий фактор о котором я говорю да он всегда играет определенную роль вот мы регулярно проводим определенные тренинги по цифровой гигиене как себя нужно вести что нужно делать вот но я думаю что какой-нибудь молодой сотрудник который только к нам пришел еще может там чего-то не знать быть взломан.
А благо ни к чему, какому-то глобальному распространению это не приводит.
Павлович:
Да и обычно, когда говоришь, что нас там никто не взломал, да ну, ты как-то, я не знаю, как-то во вселенную устроил, а через пару дней вот это вот обязательно произойдёт, вот как ни от чего не зарекайся. Я никогда там, не знаю, не дрался на улицах, оп, пару дней прошло, и всё, так что да, правильно, не зарекаемся.
Можно ли студенту попасть в Group-IB на удаленную работу?
Павлович:
Спрашивают ребята, можно ли студенту попасть на практику в Group-IB хотя бы удалённо.
Специалист:
Смотрите, у нас есть адрес, можно слать туда резюме. Дело в том, что у нас есть целый департамент поиска талантов и счастья, и на самом деле можно присылать свои резюмешки там в любом виде, как вам удобно, что что вы умеете, чем вы хотели заниматься и почему вы клёвый.
У нас есть разные программы стажировки в разных отделах, сейчас в моем отделе, например, нету, но, как я говорю, нужно слать туда, там распределяться.
Павлович:
Слать, в общем, на входящую почту.
Специалист:
На самом деле нам очень нужны разработчики, самые различные. Нужны девопсы, это прямо кадровый голод, шлите, удаленно вы работаете, неудаленно, неважно, питонисты нужны. В общем, у нас на самом деле огромное количество вакансий.
Павлович:
Аналитики. Масалович сильно в своём выступлении говорил, что востребованы аналитики, т.е. именно кто умеет обрабатывать инфу и делать какую-то выжимку с неё.
Специалист:
И они тоже, особенно если вы понимаете, что такое threat intelligence, как работает вообще киберразведка, все эти навыки, они очень применимы. И плюс у нас ещё есть и нетехнические вакансии, на самом деле. Поэтому шлите, засылайте, может быть вам повезет, может быть будем коллегами.
Спецслужбы пытались вербовать вас?
Павлович:
Пытались ли тебя, либо кого-то из вашего коллектива вербовать в западные спецслужбы, скажем так?
Специалист:
Ну, за коллектив мне сложно сказать, да, меня не пытались, Я думаю, что это связано с тем, что я не знаю никаких гостайн, я же никогда не служил нигде, я имею в виду ни в полиции, ни в спецслужбах, нигде, то есть абсолютно гражданский, закончил гражданский ВУЗ и потом начал работать в Group-IB, и так как я не знаю никакой гостайны, я работаю в коммерческой организации, особого смысла от вербовки меня… Ну только конкуренты, если да.
Да-да-да, конкурентам, может быть, было бы интересно, но нас хантили, естественно, нас регулярно хантят друг друг у друга кто-то пытается что-то переманить, но именно вот спецслужбам мои знания просто не нужны, я трезво это сам осознаю.
Павлович:
Ну так твои знания, они в принципе за бабло могут получиться.
Специалист:
Да, конечно, конечно, то есть учитывая какое сильное влияние на самом деле имеют западные спецслужбы на западные компании, да, они могут покупать любые наши услуги, продукты и прочее, и что-то об этом узнавать, само собой. Я думаю, что западным спецслужбам вряд ли интересны наши коммерческие тайны какие-то, и я тоже не особо ими владею, которые связаны с разработкой чего-то, я имею в виду ПО или чего-то такого.
Все-таки у меня более аналитический отдел, поэтому я думаю, что просто я не составляю какой-то ценности для спецслужб наших или западных, даже никто и не пробовал их хорошо, с моей точки зрения это хорошо.
Текучка кадров, хантинг специалистов
Павлович:
А ты говоришь, конкуренты хантят сотрудников, ну и вы, соответственно, может, каких-то у конкурентов хантите, да? Текучка кадров большая вообще?
Специалист:
Очень зависит от отдела, да, то есть там есть отделы более дружные, например, у нас в лаборатории очень такое крепкое подразделение, вот, есть менее дружные, опять же, бывают договоры о не-хантинге, ну ты, наверное, знаешь, как, знаешь, там Амазон и Гугл, они договариваются там, вот. Ну у них бывают там специальные договоры, что типа или Эппл и Гугл, чтобы не переманивать просто так сотрудников, что он там не может сколько-то лет работать после того, как здесь работал у конкурента.
В общем, с разной степенью эффективности это все работает, но, естественно, специалистов не хватает, и кадровый голод есть, и хантинг идет достаточно частый, и очень часто западные компании хантят. У Ильи, кстати, известное выступление, его можно найти на ютубе, где он выступал перед правительством, и он рассказывал о том, что Huawei, например, очень сильно хантит российских специалистов, просто скупает их как только может.
Это тоже определенную проблему приносит, да.
Дроны, нейронные сети, недалекое будущее
Павлович:
Ну большими зарплатами просто переманивают и лучшим соцпакетом. Да, да. Как думаешь, наступит ли когда-нибудь момент, когда киберпреступления себя изживут, но просто потому, что это станет невыгодным заниматься, потому что развитие искусственного интеллекта, нейронных сетей и так далее. Наступит ли когда-нибудь вселенское счастье и ты сможешь уйти в отпуск на год?
Специалист:
Я уверен, что нет. Почему? Как это работает? Это к вопросу о замене тем же искусственным интеллектом людей. Как только мы до чего-то такого доберемся, сразу возник вопрос, а кто программирует этот искусственный интеллект? Как с нейронными сетями и машинным обучением. Например, в теории, может быть, можно найти, создать некую условную нейронную сеть, которая ловит хакеров.
Я очень упрощённо говорю, но её нужно как-то обучать, и будут люди, которые будут её обучать, то есть это уже какие-то специалисты, а ещё будут люди, которые будут злые нейронные сети обучать, которые будут автоматом всё их сами красть, или, конечно, похищать, то есть сами совершать себе преступления, ведь любую технологию можно использовать во благо и во зло. Я могу сразу вспомнить всю эту историю с дронами, которые только появлялись, типа это клёвая штука, чтобы снимать с дронов, а потом сразу же этими дронами начали закидывать наркотики через границу и сразу на них повесили ракеты и начали убивать людей.
Павлович:
Сигарету знакомому закидывают.
Специалист:
То есть, скажем так, любую технологию её сразу начнут применять по военному и преступному пути, а потом уже по мирному, например. И точно так же с любыми технологиями, которые мы здесь назвали, будут просто новые методы совершения тех же киберпреступлений. Возможно, классические киберпреступления пропадут, но появятся какие-то новые. Но и вряд ли они пропадут полностью, потому что мы же видим, что технологии просто позволяют перерождаться старым видом преступлений.
Телефонное мошенничество, которое сейчас так или иначе связано с тем, чтобы какие-то данные выведать цифровые, но всё равно это же обычное, скажем так, разводилово из того момента, как появились телефоны. И вся эта социальная инженерия до сих пор...
Павлович:
И казино.
Специалист:
В интернете. А эти самые письма африканские, которые реально раньше были письмами, которые там из-за колонии в Британию приходили. Вот. Поэтому все просто делает некий круг, некую спираль, и полностью это не живет себя никуда. Наверное, в моих мечтах, неких определенных, возможно даже лучше, если насильственные преступления заменят какие-то киберпреступления.
Ну, имущественные. Да-да-да, имущественные. То есть, будет меньше насилия на улицах, в семьях, где угодно. Там убийств, вот этого всего, изнасилований, тяжких преступлений каких-то. А больше будет каких-то, пускай, киберпреступлений, хоть это несет и ущерб и людям, и экономике, но не насильственных. И, мне кажется, что, может быть, развитие цивилизации оно приведет к тому, что мы не изживем, естественно, преступления вообще никогда. Это человеческая природа.
Но пускай лучше мы победим уличную преступность и какое-то насилие, чем победим всю эту кибер-историю.
«Цифровой профиль»
Павлович:
Как думаешь, сильно бы повлияло введение уроков каких-то обязательных в программу школьного образования по компьютерной грамотности, повлияло бы это на снижение тех же преступлений?
Специалист:
Я уверен, что да, я уверен, что это вообще строго обязательно. Я не помню, говорил я об этом в прошлых выпусках или нет, но я отмечу, что сейчас очень важно абсолютно всем детям иметь некую цифровую личность, то есть они сейчас дети будут рождаться в эпоху уже тотального интернета, они сразу будут во всех соцсетях, и супер важно самых младших, прям вот там детских лет, учить их как себя вести в интернете, что и куда можно постить, и как вести свой вот этот цифровой облик, да, свой цифровой профиль, но тот же самый, как говоришь, ник, да, один и тот же ник, который везде используется, Если вы будете везде регаться с ним, за вами будет тянуться огромный след, и нужно это в том числе использовать на свою пользу, чтобы там потом, когда вас будут нанимать на работу, не знаю, через 20 лет, уже совершенно все будет по-другому, и все это будет автоматически искаться, и сразу будет некий цифровой профиль, уже сейчас есть, но это будет еще более развито, цифровой профиль этого человека, если вы выкладываете видосы со вписок на хатах каких-нибудь, где там трэш, угар, алкоголь в 14, то в 20 вас могут не взять на работу.
Ну, в серьёзную структуру. В серьёзную структуру, да. Сколько же сейчас уже было уничтожений карьер политиков, когда там выкладывают какие-то их фото с наркотой и проститутками. И точно так же это будет касаться всё больше и всех, не только каких-то ВИПов. И опять же, как я говорил, огромное количество людей попадают под различные статьи, в том числе и компьютерные, не совсем осознавая, что они делают именно.
Они чувствуют, что здесь есть какой-то подвох, они, например, не могут только зарабатывать, но они, может быть, даже не могут сформулировать, в чём же проблема.
Павлович:
Ну, как в примере с Дзюбой, да, то есть могут правоохранители при желании, они расценят это как распространение порнографии, но понятно, что в случае с Дзюбой это нафиг никому не надо, но даже вот человек не задумывается, вот мой друг мне прислал по моей просьбе, а может, я его провоцировал, может, я там сотрудник правоохранительного органа, он мне прислал, и всё, я ему говорю, о, приехали.
Специалист:
Поэтому обязательно нужно этому учить и учить тому, что цифровой мир, он в это неотъемлемая часть жизни уже сейчас. И о том, как себя там нужно вести и как себя там вести не нужно.
Образовательные курсы по кибербезопасности
Павлович:
Так сделали бы образовательный курс какой-то, продали бы его государству или бесплатно дали, внедрили бы его в всех школах.
Специалист:
Даже это несложно.
Павлович:
Вы же знаете, на какие моменты нужно обратить внимание.
Специалист:
Мы занимаемся этим, бывают всякие открытые уроки, то есть у нас там наши тренеры выступают, но все-таки одно дело какая-то инициатива кампании, а другое дело государственный уровень, поддержка и самое главное некий пиар всего этого. Я сам несколько раз выступал у школьников, например я выступал в лицее, которое я закончил, и всегда это вызывает живейший интерес, потому что много чего из этого нет в школьных программах, а мне кажется, что этому нужно учить совсем с маленьких лет.
Павлович:
Значит, если кто из мужей государственных нас смотрит, вот задумайтесь просто, чтобы повысить компьютерную грамотность, безопасность и прочее, прямо вот начиная со школы, можно разработать с ними там, с другой компанией, меня привлечь в каких-то целях, можно разработать какой-то курс определенный, который в принципе пойдет на пользу всем, и правоохранителям легче будет, и у банков меньше красть будет, и школьники меньше до делов будут попадать, и не будут ломать свою карьеру, вольно или невольно.
Считывание информации с монитора методом анализа электромагнитного излучения
Павлович:
Вопрос от зрителя, можно ли удаленно считать инфу прямо с экрана монитора методом анализа электромагнитного излучения?
Специалист:
Нет, я вижу скепсис на твоем лице, на самом деле. Существует такая штука, называется ПМИН, это целый раздел определенных технических видов разведки, и на самом деле еще во времена, скажем, Советского Союза были специальные устройства, которые позволяли чуть ли не через стену с электронной лучевой трубки, то есть с экрана телевизора либо монитора, считывать данные, и эта вся история регулярно всплывает о том, что, например, по звуку нажатия на клавиатуре можно понять, что вводится по каким-то остаточным магниточным сценам на экране и прочее-прочее.
Если коротко отвечать, то да, можно, действительно, и научные есть обоснованные примеры, и даже, скажем так, пруфов концепты есть, и, возможно, даже у каких-то спецслужб есть какие-то приборы, но в реальности с этим столкнуться практически невозможно.
Павлович:
Заморачиваться некуда.
Специалист:
Да, да. Обычно все эти защищённые от ПМИН помещения, есть там даже специальные аттестации, например, в которых работают со сведениями совершенно секретные или особой важности. У них даже батареи разводят специальным образом через мягкие подушки, чтобы звук не передавался, не резонировал. Там тройные двери, восьмерные стеклопакеты, чтобы лазером нельзя было считать звук с колебания стекла. И точно так же все это относится про компьютеры, например будет какая-то сетка Фродея, которая будет экранировать всю эту историю.
Но в реальности шансы на это ничтожно малы, если там вы не владелец Амазона, как Безоса взломали тогда, и то взломали топорно через Принца, вряд ли кто-то будет настолько заморачиваться.
Мне кажется, значительно проще применять человеческие всякие методы, подослать человеку, не знаю, любовницу, которая заразит при физическом доступе компьютер, либо если это какой-то компьютер, где вы синхронизируете с облаком, просто попросить ту компанию на облачную, чтобы она предоставила данные, чем вот настолько заморачиваться.
Как переговариваются в тюрьме
Павлович:
Паяльник. Ты напомнил про батарею, я помню, мы в тюрьме переговаривались по батарее, там идет узкая труба к батарее, и ты к ней подставляешь кружку, и говоришь, мы были на втором этаже, разговаривали с четвертым аж, то есть просто резонанс идет по трубам, и ты разговариваешь посредством кружки, ставишь стакан этот, разговариваешь через этаж даже, представляете, просто по обычной батарее.
Есть ли эксплойты, позволяющие при помощи гироскопа подобрать пароль?
Павлович:
Есть ли эксплойты, позволяющие на андроиде, например, анализом гироскопа подобрать пароль?
Специалист:
Опять же, были и концепты, то есть показывали всякие штуки о том, что, во-первых, там есть всякие распознания жестов, постукивания на разные части смартфона, это даже применяется некими производителями. И точно так же стало понятно, что если пароль короткий, то нажатие на разные экраны, слушать микрофон или отслеживать как раз акселерометр или гироскоп в этом смартфоне, можно понять, как вводится этот пароль.
Но тут нужно понимать, что все эти штуки, они такие более теоретические, такое приложение может быть, но его нужно как-то поставить на этот телефон, а дальше у каждого разная длина пальцев, он с разной силой нажимает на экран, то есть этот вирус придется еще обучать каким-то образом. Разные модели телефонов, разный вес, разные модели экранов.
Я думаю, что если вирус уже на вашем компьютере, ему не нужен ваш пароль, он уже все данные оттуда и так вытащит без всяких проблем.
Павлович:
Короче, теоретически, да, на практике, как не у Лайму Джо.
Специалист:
Я видел из прикольных фишек, я видел примеры накладок на банкоматы, скиммеры, которые были с инфракрасной камерой. И они видят просто остаточный след от тепла на клавишах. То есть, даже если человек прикрывает ввод пин-кода, он потом убирает руку, и там, допустим, 3 или 4 клавиши светятся.
Павлович:
А, то есть это сделано для того, чтобы просто, так-то проще было бы считать видеокамерой, поскольку он прикрыл пин-коды в Альфа-банке, у них в банкоматах есть специальные такие штуки, то есть если камеру поставить, она не увидит, что я там вожу, а поэтому светящемуся теплу они смогут. Да, да. А поскольку там цифра 4, это 4 и у нас возможных комбинаций сколько там 16 или 4 в четвертой степени, не помню, ну короче Да, логично, но методы эти, видите, теоретически работают и на практике нафиг не нужны, потому что есть паяльник.
Почему пользуешься техникой Apple?
Павлович:
Вопрос от Дагбы, или Дагба, видно, что гость пользуется экосистемой Apple. По информации от Snowden у американского правительства есть официальный закон, по которому все американские IT-компании должны оставлять бэкдоры для спецслужб.
Как ты допускаешь для себя тогда пользование этими гаджетами, вот айфоном, например, будучи руководителем отдела информационного.
Специалист:
Да, на самом деле, просто американские спецслужбы не входят в мою модель угроз, да, то есть, ну, если даже они получат какие-то данные, это никак не отразится на мне, там, на деятельности компании и так далее. Тут нужно отметить, что, во-первых, это действительно так, да, то есть, я уже даже упоминал про откровение снодное, мы понимаем, что все, что вы выгружаете, если мы говорим про вот экосистему Apple, все, что вы отдаете в iCloud, это точно есть у АНБ, вот, у АНБ были проблемы с доступом именно к самим айфонам, то есть когда их изымали там у террористов всяких, нет доступа к самому устройству, то есть они облаком допустим не пользуются, они выключили всю облачную историю, а им интересно что было там, что он прямо вот перед там взрывом или атакой писал, кому и так далее, от кого получал команды, в облаках этого нету, и вот тогда у них начинаются все эти проблемы, там же даже как-то Трамп типа дайте доступ, там Apple писали, типа Apple дайте доступ вот они специально так сделали что они не могут это сделать ну то есть там могут но это очень-очень это пойдет просто но на нарушение всех их же там внутренних правил и скорее всего это уничтожат ну как самобизнесовую составляющую им перестанут доверять вот и тут просто момент заключается в том что если там вы боитесь американские спецслужбы в принципе экосистему Apple можно использовать, да, но выключаете всю облачную историю, но при этом удобство всей этого использования резко падает.
Ключ в iCloud
Специалист:
У тебя был гость, BadB, по-моему, он рассказывал о том, что у него был ноут с TrueCrypt и был Macbook, и Macbook типа взломали мгновенно. Я вот могу привести пример. Если вы в Macbook включаете шифрование FailVault, да, он спросит, а вы хотите сохранить резервную копию в iCloud ключа для восстановления? Если вы нажимаете да, то, конечно, потом, если вас задерживают американские спецслужбы, они сразу расшифруют этот файл, несмотря на то, что он супер стойкий, потому что ключ-то хранится в iCloud. И нужно здесь отметить нет, если вы забудете ключ, всё, данным хана. И точно так же с любым другим шифрованием, например, Microsoft, BitLocker, встроенное в Windows шифрование. И если вы отдаёте в свой Live аккаунт этот ключ для восстановления, конечно, он потом может быть доступен западным спецслужбам.
И не надо удивляться, что потом мгновенно расшифруют всё это.
«Бывают специальные поставки оборудования со специальными закладками и прочим
Павлович:
Ну тебе и мне ладно, да, а, допустим, политику высокого ранга лучше, естественно, не использовать вражескую технику.
Специалист:
Абсолютно. И тут вопрос даже не про Apple как таковой, а вообще любое, какое-то устройство на чужих процессах, на чужой аппаратной базе. Потому что, опять же, с откровением Сноуда, мы знаем, что бывают даже специальные поставки, в эту страну идёт специальная партия оборудования, в том числе телевизионного, с особыми закладками и прочего. А нужно знать, что в Советском Союзе на самом деле были целые отделы в НИИ, которые рентгенографией проверяли на наличие аппаратных закладок, всю эту технику.
Но сейчас проблема в том, что техпроцесс настолько уменьшился, что эта штука просто не работает. Это микроны уже. Да. Нанометры. Нанометры. Вот. И найти аппаратные закладки просто невозможно. Таким образом, это слишком затратно.
Поэтому, да, если вы какой-то там чиновник или бизнесмен, у которого реально могут украсть какой-то супер ноу-хау, то нужно понимать, что если вы отдаёте что-то облако, это точно может быть использовано против вас, спецслужбами западных стран, потому что, как мы там не говорили, но когда у них весь бизнес там, они обязаны выполнять любые законы местные, не могут просто слать всех нафиг, и в моем случае какой-то угрозы от Apple я просто не вижу, я далеко не все отдаю в iCloud, но какой-то прям прямой угрозы в этом абсолютно нет.
Павлович:
Ну я фотки отдаю и я отдаю заметки, вот в этом есть и плюс, потому что они у меня всегда под рукой на всех устройствах, но это есть и минус, их могут будут взяться конкуренты. И в связи с этим передаем привет Дмитрию Анатольевичу Медведеву с его айпадом. Помнишь, он постоянно на совещаниях сидел в айпаде и залип.
Специалист:
Да, да, да. Поэтому, конечно, да, определенные угрозы это может нести.
Применяются ли «Data Science» подходы для анализа сложных случаев?
Павлович:
И последний сложный вопрос от наших зрителей, потом пройдемся под другим моментом, применяются ли Data Science подходы для анализа сложных случаев, например, поиск аномалий в сетевых логах, если да, то в каких случаях насколько успешно.
Специалист:
Да, на самом деле вот Big Data и анализ больших данных, в том числе с применением и машинного обучения, и нейронных сетей, это супер важная история. У нас во многих продуктах это применяется прямо сейчас. Например, у нас есть такой продукт как SecureBank, SecurePortal, да, который анализирует различные транзакции там в банках, в ритейли и может, например, на основании движение мышки, ввода там клавиатуры, обучаться и находить эти аномалии.
Вот. И мы в том числе при анализе какого-то огромного объема логов или чего-то такого тоже применяем самые разные алгоритмы, например, чтобы вычислять, что человек работает в нерабочее время, или там нехарактерный всплеск передачи данных. Это в том числе и на самом деле достаточно обычные статистические методы из МАТТАТА. Так что, конечно, Data Science это все важно, за этим определенно будущее.
Почему? Потому что объемы данных нарастают уже так сильно, что анализировать их человеческим разумом скоро будет просто невозможно. Слишком просто большие объемы. Сейчас, допустим, логи могут занимать гигабайты, а если интернет проникнет везде по всему миру, там все, не знаю сколько у нас, 8 миллиардов. Чайники, микроволновки еще.
И еще куча устройств будет генерировать трафик, и даже у рядового сайта будут терабайты логов, не переданных, а логов, то анализировать это можно будет только такими методами, поэтому применяем, нужно еще лучше это разрабатывать, дальше углубляться, обучать, использовать как бы за этим точно будущее.
Анализ банковских данных
Павлович:
Поэтому, если да, задали такой вопрос, может приходите он, будьте с Data Science работать в Group-IB, а сразу вопрос банки не боятся отдавать вам такую инфу для анализа?
Специалист:
Там очень хитро это работает, то есть мы им отдаем скрипт, анализ проводится по большей части на их стороне, мы не видим конкретные данные, мы скорее сообщаем, алертим, подсвечиваем некие флаги, что здесь аномалии, а дальше у них уже есть антифрод-системы собственные, и они это используют просто в скоринге, то есть у них, допустим, есть какой-то набор баллов, который можно получить, и наша система дает один из этих баллов, но они еще проверяют и по другим каналам, и если набирается какое-то количество, транзакция может приостанавливаться и так далее.
У нас есть публичная инфа о том, что мы работаем со Сбером, и даже на Хабре там какой-то человек очень напрягся, когда увидел, что на сайте Сбербанк Онлайн отдается скрипт какой-то Group-IB, и тут нужно понимать, что там просто миллионы пользователей, миллионы транзакций в секунду, это супер сверхнагруженные системы, это еще нужно все анализировать и отдавать какие-то данные.
Поэтому это реально круто, интересно, если вы разработчик или интересуетесь такими штуками, присоединяйтесь к команде, там реально проекты такого мирового уровня.
ID клиентов
Павлович:
Ну а напрямую вы, например, ID юзера не видите?
Специалист:
Нет, нет, конечно, для этого это и не требуется. Ну и, собственно, банки просто по закону о банковской тайне не могут нам такое отдавать, и в этом просто нет необходимости.
Павлович:
Ну я, например, я тоже в кэшбэке не могу отдавать, к примеру, данные юзера, да, но я не могу отдать его мыло, к примеру, и, там, телефон, но я могу отдать его ID в нашей базе, потому что это сугубо наша внутренняя информация, там, шесть цифр, или я могу, если требуется для какой-то синхронизации, могу отдать часть мыла, например, там, звездочками, к примеру, то есть, по-первому, необязательно там отдать, там, 10 символов мыла, то есть первых 4-5 ему достаточно будет для синхронизации.
Почему обновляется «пиратская» Windows 10?
Павлович:
Если используешь Windows 10, у меня, благо, не Windows, но активированную пиратским вот этим ключом, да, почему она обновляется вот в России, например? Почему не блокируется? Они же понимают, что это пиратским ключом она за это заактивирована.
Специалист:
А это связано с репутацией Майкрософта что случилось если вы помните семерка когда она была не активирована она не ставила все обновления то есть ставила только часть обновлений вот и орала постоянно что она не активирована там будут недоступны и так далее а потом начали публиковать различные сайты обзоры и пишут количество зараженных устройств по процентам операционки и выясняется что Windows была просто в супер топ лидерах а это все из-за того что Windows пиратская она не обновляется и еще ни в коем случае не ставите обновление, не дай бог активация слетит или пиратская, еще что-то.
Вот, кстати, было куча клиентов потерпевших, которые такие, у нас все пиратское, типа мы ничего не ставим, не дай бог какие-то обновления, там все снесется, типа работает и слава богу. А там дырки такие, что школьник открывает кали, запускает метасплойд, нажимает одну кнопку и они уже похеканы, то есть там не нужно даже никаких знаний, просто IP нужно знать, а там просто уязвимый сервак, и все.
И как бы Microsoft, я так понимаю, поняли, что это большая проблема. И первое, что они начали внедрять, это вот Windows. Defender, то есть защитник, некий небольшой встроенный антивирус.
Павлович:
Свой firewall.
Специалист:
Вот, антивирус, прям антивирус. Вот, firewall там сразу в семерке был, да, а значит, дальше в десятке они уже, даже если она не активирована вообще, то есть пиратским ключом, или даже не активирована совсем, она все равно ставит все обновления безопасности, там уже прям встроенный Defender, его не надо ставить отдельно, раньше бы там Microsoft Security Essentials, как-то так он назывался, вот, и я так понимаю, что это именно для имиджа, то есть, чтобы просто домашние пользователи меньше страдали от всяких атак, им автоматом прилетают все обновления, обновляется Office, кстати, автоматом тоже, вот, если он там стоит, и стоит какой-то базовый антивирус бесплатный совершенно, вот, и от массовых угроз такой пользователь будет заражен, будет всем и рекомендовать и это играет именно на им на репутацию на имидж и я думаю что это самая основная проблема да блокировать пиратские Windows а сейчас даже на самом деле учитывать лимиты в десятки узнавать кто это за человек чем он пользуется там я не знаю и даже что угодно делать своего лаптопом в теории Майкрософт могла бы вот но не делают это просто потому что им я так понимаю, что сейчас все компании переориентируются на продажу сервисов, вот, и Office 365, вот этот облачный от Microsoft, и все эти истории с Azure,
«По моим прогнозам какая-то версия Windows будет бесплатной, с платными подписками»
Специалист:
И они показывают, что по моим прогнозам, я думаю, что какая-то из следующих Windows будет бесплатной, вот, и они просто будут продавать эту подписку какую-нибудь, облако, ну, вот это вот всё. Зарабатывать что-то с другого, да? Зарабатывать через сервисы, да, вот, и наоборот будут стараться подсадить как можно больше людей на свою платформу, чтобы все платили за сервисы.
Сергей Павлович о платных сервисах
Павлович:
Ну это как с этими, с Айкосом, да, дается почти даром это устройство, но ты платишь за эти стики и точно так же с автомобилями, то есть они забирают свое с ремонта потом запчастей, потому что на самих автомобилях маржа она не сильно большая, у меня был чел с автобизнеса и я ему говорил, озвучивал цифры, что на машине, к примеру, Toyota Camry взять или там не знаю там BMW тройку какой-нибудь производитель зарабатывает очень мало там 700 тысяч долларов ну реально потому что все что мы покупаем машине все это стоит реально денег маржа очень низкая но на премиум марках вот с продажи Porsche там заработок где-то полторы две тысячи евро уже идет то есть с премиальных марок но они конечно все забирают свое сервисом и мне один из вас скинул именно под тем видео с автоподборщиком скинул реальную статью то есть подтверждающие эти мои слова, чтобы вы не говорили. И вот, ребята, пришло время прощаться в рамках этой серии, всем пока!
