Cloned Boy
Professional
- Messages
- 1,113
- Reaction score
- 850
- Points
- 113
ТОПОВЫЕ РУССКИЕ ХАКЕРЫ.
В этой теме известный кардер Сергей Павлович продолжает беседу с Сергеем Никитиным, заместителем руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB, одного из главных мировых борцов с киберпреступностью.
Приятного чтения!
Содержание:
Вычисляли ли Group-IB в сотрудничестве с правоохранительными органами тех, кто занимается шифровками данных (вирусы-вымогатели)?
Павлович:
Ты говоришь вот этих админов, этих серверов, самих зломышленников, ну, спецслужбы там по миру, уровня АНБ образно, вычисляют. То есть вы хоть раз со своей конторой группы Group-IB, сотрудничащих там с правоохранительными органами РФ или СНГ, вы вычисляли вообще хоть раз, кто занимается вот этими шифровками?
Никитин:
Да-да-да, у нас есть прям несколько дел уголовных, реальных, где уже были обыска, где люди там сейчас в СИЗО, вот, поэтому несколько групп, которые работали по России, да, получилось, получилось найти людей, вот, но опять же там после нескольких эпизодов шифрования, тут уязвимое место для хакеров это естественно то, что они вынуждены переписываться с людьми, но чтобы просто они договорились о том как платить выкуп.
Это как бы, это путь, это ниточка к реальным киберпреступникам, поэтому да.
Павлович:
Но они чаще всего же по электронной почте переписываются просто.
Никитин:
Да, там про протон, что угодно, но все равно это все определенные нити. Это определенные нити к людям, плюс еще если есть нескольких эпизодов, мы сразу видим, что это один и тот же шифровальщик, один и тот же стиль писем и так далее. Вот, а то найти людей реально, но, конечно, есть суровые группы, например, как ситуация с Гармином. Гармин – это огромная компания, специализирующаяся на навигационном оборудовании, причем… Часы, спорты, часы там, трекеры, фитнес-трекеры всякие.
Наверное, да, если вы обычный пользователь, то это там GPS-навигатор и часы. Эхо-лоты. Да, но на самом деле это компания продукции двойного назначения и огромное количество навигационного оборудования в управляемых ракетах, в американских истребителях и так далее. Ну суда, флот.
Да, тоже связано с Гармином, и произошло ужасное, их так сильно прошифровали, что люди покупают часы допустим в магазине, они не могут их активировать, потому что сервера лежат, и эти часы невозможно воспользоваться. Вот, то есть они, ну просто бесполезные, и там их прям возвращали прямо в магазинах, то есть настолько ударило это по их бизнесу, вот, и да, там уже много раз об этом писали, они заплатили выкуп, насколько я помню, там было 100 биткоинов.
Павлович:
Ну для корпораций такой уровни, это как для меня вон в Макдоналдс сходить.
Как защитить свои данные на устройствах
Никитин:
Да, но все равно это же удар по престижу, достаточно серьезный, вот, и это опять же показывает о том, что они не смогли восстановиться из бэкапов, вот, и отсюда Это очень простой пример, если там физ. лицо, юр. лицо, неважно. Первое, делайте бэкапы на внешних носителях. И второе, нужно так, чтобы, если взломали ваш компьютер, нельзя было удалить и зашифровать ваши бэкапы. Вот, я могу привести пример, то есть сейчас есть много программ для бэкапирования, но если у вас, допустим, Mac, вы можете просто все в iCloud выгружать или в Time.
Machine. Там все встроено, то есть можно не платить там подписку и так далее. Если Windows, есть многие там решения сейчас, но в чем их фишка? Некоторые из них просто могут класть куда-то файл с бэкапами, а некоторые из них они работают по своему собственному протоколу. Ну то есть, допустим, там есть клиентская часть и серверная.
Вот у вас серверная, она просто с клиентов забирает по своему протоколу эти бэкапы и хранит у себя. А недоступные из сети обычные, ну то есть это не виндовая шара, где можно там зайти. И тогда, естественно, если даже вас поломали, туда так просто не попасть. Вот, поэтому есть шутка по этому поводу, значит все люди делятся на три категории, те кто не делает бэкапы, те кто уже делает бэкапы и те кто проверяет сделанные бэкапы, то есть у нас тоже были примеры, когда люди вроде бы, они говорят, мы бэкапируем, все и так далее, а потом выяснилось, что в какой-то момент там один инженер пропатчил версию, он обновился, что-то такое и там сменился формат, но не проверил, короче бэкапы с какой-то даты они все невалидные были, перестали делаться, не делались, но они все битые. То есть, иногда нужно проверять просто, что бэкапы, которые делаются, они корректные, они восстановимы вообще. Вот. Это такая вещь неочевидная, но просто убедиться, что у вас что-то куда-то бэкапируется мало, желательно иногда, допустим, раз в год и так далее, но это больше для юриков, конечно.
Проверить, что бэкапы, которые вы делаете, они, во-первых, доступны и корректны.
Павлович:
Ну и плюс, смотрите, в зависимости от важности и актуальности вашей инфы, насколько часто вам нужно делать бэкапы. Например, мы у себя в компании в кэшбэке делаем там, наверное, ну раз в дня три, то есть кому-то могут понадобиться ежедневные бэкапы, кому-то ежечасные бэкапы, кому-то достаточно там раз в полгода скопировать. И чем закончилась эта история с Гармином вообще?
Никитин:
Они заплатили выкуп, собственно, они все расшифровали, все заработало, но это сильный прецедент, там скандал был, ну и с акционерами, и вообще, как бы, там это не очень одобряется, что они как бы заплатили тебе преступником. Попали в эти счастливые 15%. А сейчас недавно была новость о том, что какой-то там безопасник из Uber, он получил срок за то, что они тоже заплатили киберпреступникам, и он скрыл это, его там осудили и так далее.
Это прямо недавно новость проскакивала. То есть на Западе это не очень поощряется, и я знаю, что многие страховые не разрешают эту страховку платить злоумышленникам. То есть они страхуют вас от ущерба, но нельзя воспользоваться этими деньгами, страховой выплатой для того, чтобы заплатить злодеям, чтобы расшифровали.
О развитости рынка страхования и систем «Клиент-Банков» на западе
Павлович:
То есть на Западе эта проблема отчасти, мы можем сказать, решается тем, что ты страхуешь вот всю свою компьютерную сеть в специальных там страховых конторах.
Никитин:
На самом деле, Сергей, тут фишка в том, что на Западе вообще страхование сильно лучше развито, и они давно очень сильно страхуют свои киберриски, и очень часто они выбирают, что им дешевле, внедрить какие-то средства защиты технические, либо просто застраховать все. Вот, и очень часто там просто страхуют, и вот даже как раз пример с фродом банков, банковским фродом против клиентов и так далее, там очень много кто не парится по этому поводу, вообще у них клиент банки сильно хуже, чем наши, то есть вот, кажется, отличный пример с нашим Тиньковым, о котором мы говорили, если мы там даже в Штатах посмотрим, у них только вот Apple Card, который появился совсем недавно, он хоть как-то похож на наш Тиньков, да?
Павлович:
Но так на сайт заходишь, по логину-паролю, онлайн-банкинг у них.
Никитин:
Там вообще, ну вот это как у нас там, не знаю, в начале двухтысячных, очень сильно примитивный, но там огромное количество всех вещей решается за счет страхования. Вот. У нас пока именно рынок страхования, ну только зарождаются именно киберрисков, вот, поэтому, да, у них много что решается страховкой.
Павлович:
Давай смешные случаи какие-то там, с обысков и всяких там реагирований, да, потому что у меня есть приятель, он в Америке сидел там ну с этими с возвратом налогов что-то мутил 6 лет сидел сейчас и он варил ноут это известный случай он сварил ноут 2 часа держал их под дверью они в Америке не могли к тебе ворваться и если у них нет четкой уверенности что в квартире кто-то есть а он там на цыпочках ходил варил ноут и потом засунул в морозилку еще после этого 2-3 часа держал их там под дверью вот это смешной случай, но я один такой знаю, с вашей практики.
О работе и обязанностях в Group-IB
Никитин:
Да, случаев много, сейчас расскажу. Во-первых, чтобы было понятно, чем вообще я занимаюсь, да, то есть почему у меня эти случаи есть. Как бы основная задача нашей лаборатории – это проведение неких экспертиз и исследований. Да, то есть нам дают какой-то диск и говорят, знаете, у нас что-то случилось, нам нужно выяснить, как это произошло, и зафиксировать это в виде некоего заключения, которое может потом быть неким доказательным в суде. Вот, это может быть и коммерческая организация, может быть правоохранители могут обратиться, это может быть Прямо судебная компьютерная экспертиза, например.
Вот. И фишка в том, что вот из этих данных получить некая бумага, которая будет понятна юристам и будет понятна там адвокатам и так далее, не технарям, да. Но естественно, прежде чем получить этот объект, его нужно где-то взять, да. Но если это потерпевший, все понятно, мы приезжаем к потерпевшему, там работаем с их сетью, снимаем копии и так далее. Но часто бывает, что правоохранитель просит нас поучаствовать в обысках, чтобы корректно все изъять у хакеров, потому что…
Павлович:
Ну и в задержании.
Никитин:
И в задержании. Ну и в обыск сразу с содержанием, потом его просто там пишут постановление о задержании и все дела, вот. И тут в чем вся фишка, во-первых, нужно очень правильно все процессуально оформить, в протоколе отразить, потому что если накосячат, а у нас были такие примеры, когда изымали без нас, да, мы потом проводим отличную экспертизу, где все понятно, мы там все нашли, а это доказательство может быть отклонено, потому что опера, когда это изымали, они написали неправильно серийные номера, там все, в общем, неправильно упаковали, нарушили кучу всяких инструкций.
Павлович:
Ну или включили со своего компа, полазили по файлам, а там даты изменения файлов или открытий уже другие.
Никитин:
Да, да, да. Вот и поэтому нас часто просят поучаствовать в таких мероприятиях, чтобы все корректно прошло. Плюс еще очень часто бывает, что, допустим, у злодеев все зашифровано, да, нужно к ним зайти, когда у них компьютер работает, И нужно определенным образом, допустим, скопировать ключи шифрования из оперативной памяти, пока компьютер разблокирован, и там много всяких фишек, чтобы в случае чего можно было получить туда доступ, и для этого нас тоже с собой берут.
Павлович:
То есть, когда, я поясню, речь идет о программах шифрования, типа вот как я в прошлом видео говорил, да, про славу КПСС, эту песню, там, когда у тебя зашифрован диск, там, типа DriveCrypt, BestCrypt, TrueCrypt, но сейчас вот Veracrypt, я в прошлом видео упустил вам про Veracrypt сказать, сейчас используют в основном Veracrypt, и получается он создает у тебя на диске шифрованный контейнер, и вся инфа там находящаяся, если ты диск этот, ну, полазил там, что тебе надо сделать и отключил, потом практически невозможно расшифровать, особенно если у тебя длинный и сложный пароль используется, да, но можно, вот Сергей говорит, что если ты, например, лазишь на этом, этот диск у тебя не отдисмаунчен, ну короче не отключен от компа, ты находишься в нем и твой пароль к этому, к этой всей штуке, даже ты успел, тебе в дверь ломились, ты успел отключить этот шифрованный контейнер, но пароль, которым ты его раскрывал, он у тебя в оперативке находится, и подойдут, вот так заломают тебе креветки, тебя отведут от компа и с оперативки высосут вот этот вот, из стека вот этот вот пароль.
Смешные случаи, связанные с обысками и задержаниями киберпреступников
Никитин:
Да, да, да. На самом деле даже не пароль, а прям готовые ключи, расшифрования, да, и можно будет это все расшифровать. Есть огромное количество специальных криптических утилит, которые это все умеют, ну это прям заявление у них на сайтах. Вот. И фишка именно, когда нужно правильно зайти, да, нужно опять же оперов там подготовить, ну и там, допустим, если тяжелые есть, то есть как это делать, чтобы они, допустим, не выключали свет, потому что погаснет техника и пропадут ключи и так далее.
Нужно дождаться, пока человек за комп сядет, там, чаёк себе заварит и так далее, вот. И, допустим, трафик пойдет, да, там, к провайдеру, это все можно отслеживать. Вот. И потом это все корректно изъять, чтобы это можно было происследовать. И, естественно, бывали очень разные ситуации.
Значит, первая ситуация смешная была, как поймали одного хакера, он был очень тучный такой, и он купил себе на украденные деньги Каен, значит, большой белый дизельный Каен клёвый, вот, и он зарегистрировался на местном форуме, ну это в регионах было, Порше Клуба, вот, и он там использовал свой ник, в общем, и он там засветился, и он там писал, что он такой большой, что он залезает в этот Каен, и он протер руль, то есть пузом протер руль, вот, и так на него, в общем, вышли, вот.
Само задержание было не очень клёво, вообще я могу сказать, что участие в задержаниях, ну и в обысках, оно отличное лекарство от киберпреступности, потому что люди, которые ползут и визжат после взрыва светушумовой гранаты по разбитому стеклу, да, и вокруг еще от лазерных прицелов мелькают точки, вот, это отличный прицел.
Это ты кино насмотрел, с лазерными прицелами? Да-да-да. У нас у СОБРа, у московского есть ЛЦУ, там, где я участвовал в задержании. Мы заходили через дверь, правда, но они заходили через окно, и человек, который, он просто спал, у него разбили окно и взорвали светошумовую гранату, и он пополз просто по осколкам в ужасе, вот, въезжал, причём он полз к нам. Он полз к двери, к выходу, а там уже заходили.
Вот. И вот эта картина, она отлично показывает о том, что почему бы я не хотел быть на тёмной стороне, например, да, хотя Естественно, там, десятилетний опыт расследования всех этих вещей, оно даёт огромный багаж знаний, вот, потому что всегда есть риск, что к судьбе так придут.
Вот, и вот очень разные случаи бывали, вот, в основном они достаточно трагичные, да, то есть там, к вам стучаться под каким-то предлогом, там, затопили ещё что-то, ну это банальные предлоги.
Павлович:
У меня бывало такое, уберите коробки, первый раз было затопили в Украине, я говорю, так я на первом этаже живу. Ну реально, да, в основном у меня всегда было это с просониями. Вот, кстати, часто приходят по ночам, чаще по ночам.
Никитин:
Или как? Обычно утром, обычно утром. Ну ранним утром. Ранним утром. 6-5 там, да. Еще до того, как все уходят на работу. Обычно это раннее утро. Вот. И человек открывает дверь, к нему вваливаются. Вот. Но если знаешь, что там опытный человек, допустим, которого уже задерживали, который уже готов, могут зайти через окно. Вот. Несколько раз я предлагал взорвать стену межкомнатную, но ни разу не получилось.
Взрывают дверь иногда, но все зависит на самом деле от решимости командира тяжелых, то есть нужно понимать, что там в следственных мероприятиях участвует следователь, это там дяденька, который возбуждает дело, он ведет его, участвуют оперативники, которые в общем помогают, помогают проводить обыск, есть вот группа там тяжелых, дядек с автоматами, с ферами, с всякими спецсредствами и в общем в зависимости от того, что там за злодей, что про него известно, допустим, что он вооружен, будет, будет разный сценарий входа, вот, и бывали в общем очень разные варианты, но в основном они трагичные, то есть там людей будет, да, они в ужасе там ползают, вот, у них шоковое состояние, вот, но бывали и всякие комические, комичные моменты, конечно, мы задерживали одного злодея, который специализировался на скиммерах, то есть он делал сами накладки на банкоматы, вот, и когда к нему зашли, у него на балконе стоял банкомат, просто ему так было удобнее, он к нему все примерял, да-да-да, у него было огромное количество там карт, пластика и так далее, как в криминальной России, и там был момент, у него был ноутбук, в него вставлена SD-карта была, вот, а в SD-карту была вставлена микро-SD-карточка, и значит ноутбук стоял рядом с ним, он там сидел, на него надели браслет, ну спереди как бы, он сидел, он такой тихо-тихо-тихо, вот, а я просто постоянно смотрел за этим ноутом потому что ну там по порядку идет обыск и когда доходит до объектов там я уже сажусь вместе с понятыми и говорю вот давайте посмотрим так далее я поэтому все время на него смотрел и в какой-то момент я вижу что он просто быстренько эту карту достал вот и собирался ее съесть просто вот а микроSD она совсем маленькая вот ну я ткнул опера говорю смотри что происходит он его заломал забрал у него карту он говорит блин типа увидели и так далее и мне опера Рассказали историю, как у них злодей съел эту карту Они не знают, что делать А на самом деле ей ничего не будет в желудке.
Он не поломал, не жевал Просто проглотил Они побежали, купили ему какое-то там Слабительное, жидкое, без цвета, без вкуса, без запаха Влили ему какую-то конскую дозу И через буквально меньше 10 минут Эта SD-карта уже была готова на горшке Но этот обвиняемый Он потом еще на них Возможно и по правде то есть справедливо, написал жалобу в генпрокуратуру, потому что они ему влепили такую дозу, что он потом в ВВС и в СИЗО там срал 4 дня, не мог остановиться.
Вот. Это как бы такое, комичное. Был один хакер, он даже писал книгу о том, причем такая книга очень пафосная.
Павлович:
Заразная, наверное.
Никитин:
Там книга очень пафосная, из серии «Как я имел всю систему» и «Какой я крутой», вот. И он был уже в федеральном розыске. Что такое федеральный, давай разберемся, это по всей России? По всей России, да. То есть его ищут во всех регионах, и он во всех базах. Вот. Он не может купить, допустим, билет на поезд, билеты, где нужно... Бывают даже междугородние автобусы, где только по паспорту продают.
Павлович:
А выше тип розыска это, насколько я понимаю, межгосударственные по странам СНГ, как раньше был всесоюзный.
Никитин:
Да, а потом уже международный. Потом уже международный, то есть это через интерпол вот, и в общем этот хакер он достаточно успешно вскрывался он правда продолжал общаться со своей девчонкой, так его вычислили, но он сделал пластическую операцию у него торчали уши и он сделал так, чтобы они не торчали то есть прям как в кино, пластик и так далее, вот и в общем он все что нужно, весь такой темный материал он держал на microSD карточке, вот И он думал, что в случае чего он её просто сломает или уничтожит и так далее.
И он банально вышел за хлебом, и его прямо на улице приняли. И когда к нему поднялись, у него просто ноут и карточка лежит рядом. Человеческий фактор. И когда он её увидел, он там просто весь побледнел, абсолютно сменил несколько раз цвета свои, а он как раз собирался её зашифровать или ещё что-то, но в общем не дошли у него руки, и да, всё попалось.
Может ли жидкий азот «заморозить» оперативная память?
Павлович:
А ты читал, такие случаи есть, вот когда из данных оперативной памяти достают все, что там содержится в данный момент. Но если ком перезагрузишь, оно же стирается, не выключишь.
Никитин:
Да, верно.
Павлович:
И я читал недавно случай, что бывает, там как-то жидким азотом каким-то из баллончиков охлаждают именно оперативку, чтобы хотя бы какая-то часть, чтобы она не так быстро остывала, и часть данных можно было хотя бы пусть в битом виде, но извлечь.
Никитин:
Да, это реально работает, то есть есть это типа proof of concept, как это работает, грубо говоря, у вас оперативка состоит из ячеек, да, как SSD-шка, но когда пропадает питание, они начинают как бы размагничиваться, ну на самом деле там пропадают эти самые нули, единицы, но если мы зальем вот этим жидким азотом, там будет сверхпроводимость, и эти электроны, они не уйдут так быстро, и пока она заморожена, оперативка, ее можно найти в другой комп и быстро снять дамп ее. То есть это реально? Это реально, но, значит, для тех, кто не знает, жидкие азоты выносят в таких специальных соседах дюара, это огромный термос, он очень тяжелый, а для того, чтобы залить, допустим, тот же ноут, там нужно много жидкого азота, вот, поэтому, в общем, если вы увидите, что в подъезд заходит какой-нибудь человек с огромным термосом, еле его за собой таща, наверное, можно напрячься, но это, скорее, больше, как бы, страшилка, да, потому что, ну, в реальности, при тащении это с собой на обыск, но это мало реально.
То есть в лабораторных условиях работает отлично и действительно получается всякое извлечь, но именно практическая применимость сложная. Плюс, допустим, вот здесь МАК, да, здесь пока его разберешь, вот, пока это зальешь оперативку, она здесь, допустим… Это больше для домашних компов, где корпус… Да, она здесь вообще распаяна, то есть здесь вообще как бы ее потом никуда не заткнуть. Ну, то есть вот такое.
Были ли случаи непринятия судом улик из-за процессуальных нарушений?
Павлович:
Сколько раз в практике ты встречал, что вот улики, да, изъяты там с каким-то небольшими процессуальными нарушениями суд не признает. Просто я объясню почему. Я из Беларуси и вот там у меня, например, изымают ноут вообще не упаковывая и не опечатывая, изымает одно ведомство КГБ, через там часов 16 он уже всплывает по бумагам ВМВД, но он не был упакован и опечатан в присутствии меня и понятых, изымало одно ведомство, а он потом был передан в другое.
И я пишу, что это прямое нарушение уголовно-процессуального кодекса, и как бы вы не хотели, он не может являться доказательством и служить основанием для возбуждения уголовного дела. В России, вот, но я, сколько ни писал жалоб лично я и все мои знакомые, ни разу их не удовлетворяли. То есть неважно, что это с нарушениями, ты будешь сидеть в любом случае, в России как с этим обстоит.
Никитин:
На самом деле есть примеры, когда в судах это разваливалось, особенно в судах высшей инстанции, и именно поэтому я говорю, что важно привлекать специалистов на такие приятия, чтобы это все правильно опечатывать, описывать, да, то есть там можно неправильно писать модель, перепутать модель, серийник и так далее, а модель, допустим, она там у всех одинаковые номера, вот, ну, то есть он не уникальный идентификатор, и на самом деле бывало прямо, то есть меня как эксперта вызывали в суды, да, там по моей экспертизе, например, или по осмотру, или еще что-то, бывало такое, что какие-нибудь из объектов их прямо исключали из дел, вот, и на самом деле в России, И что я могу сказать, если мы говорим про московский регион, Москва и область, полицейский беспредел не встречается вообще, то есть все очень вежливые, все… Ну ты про компьютерные дела именно. Ну да, ну это как сейчас же, на самом деле, допустим, мы в экономические преступления, нас тоже привлекают, потому что мы приходим в контору, которая занимается каким-то
обналом, там их 100 компов… Не, ну там с одной стороны.
Павлович:
Умные, и с другой стороны умные, вот как я попадал в этот отдел, понятно, что меня там не били, да, то сидели, пили, ну как бы все на уровне. То есть даже они там тебя закрывать будут на час, но это не быдло, они тебя прикладами мочить не будут, как сейчас в Беларуси, просто женщин, детей, там, стариков избивают, это там он сумасшедший за власть, там, пристрелил этого диктатора.
Никитин:
Вот, да, и поэтому вся обыска проходит достаточно прилично, но вот в моей практике не было ни разу жести. Был разок, когда одного админа предупредили, чтобы он не врал. Вот, и он соврал и подхватил по щам, но он даже не жаловался, в принципе было было справедливо, вот, а в общем-то в основном все происходило мило, и тут даже есть целая проблема, например, с теми же телефонами, да, то есть если они заблокированы, там далеко не все их можно разблокировать так просто, вот, а код-пароль узнать нужно, чтобы туда залезть, вот, и никто там каких-то именно там не пытает, да, не выбивает эти коды-пароли, вот, это реально именно прям проблема для оперативников часто бывает, да, что они не их узнать, потому что там не применяют никаких силовых людей, не в СИЗО когда они сидят, неважно, либо прямо в момент обыска, вот, поэтому, скажем так, в Московском регионе, да, здесь достаточно такая мягкая полиция, вот, и поэтому, действительно, если накосячили, могут убрать из дела, могут отругать еще всех, или уже прямо в ходе суда судья может исключить, то есть примеры, примеры такие есть.
Вскрываете ли вы зашифрованные диски и возможно ли это?
Павлович:
А если мы уже коснулись паролей, вот как вы, например, вскрываете, ну телефоны, понятно, там есть там всякие устройства, там израильского производства и прочее, там стоят от 15 тысяч долларов и выше, допустим, и они там вскрывают любые телефоны, но мы сейчас об этом поговорим, но интересно, например, как вы вскрываете и вскрываете ли вот диски криптоконтейнера зашифрованные тем же Veracrypt?
Никитин:
Veracrypt отличный пример стойкого шифрования, если там большой стойкий пароль, ничего с ним не сделать, и на самом деле есть пример даже не наш, а пример АНБ, которые тогда задержали мексиканского мошенника, это просто ну прям фрод, они изъяли у него ноутбук, который был на тот момент true crypto зашифрован, и они в течение семи лет его брутили со всеми их мощностями и официально ему вернули его, ничего, они не смогли его сломать, вот, поэтому если действительно это какой-то стойкий контейнер со стойким шифрованием, ничего с ним не сделать, вот, самое главное, чтобы сам пароль был стойкий.
Павлович:
Ну у меня когда-то было, знаешь, как у меня вскрывали бесткриптовые диски в Беларуси, когда меня там первый раз арестовывали, но у меня на один из криптоконтейнеров стоял такой же пароль, как есть программа почтовая забат, и у меня просто было, что в забате стоял такой же пароль, как на один из криптоконтейнеров, ну из забата непростой утилит его достали, и соответственно они вскрыли у меня один криптоконтейнер, но они же, это произошло буквально в течение там суток первых после ареста, но потом они еще смогли достать пароли еще к двум дискам, а все лишь потому, что первая часть у них была неизменная, и они знали, потом там нижнее подчеркивание было и дописаны там какие-то другие, то есть они уже оставшуюся часть сбрутили, и на все это у них ушло там дня 2-3, ну вот опять же человеческий фактор. Зачем мне было ставить одинаковые пароли на почту там и на этот.
Никитин:
Да, это как раз вопрос о стойкости, то есть чтобы было понятно, там утилиты, они что позволяют, например, у вас есть какой-то объем переписки человека и вообще все его данные на компьютере, по ним можно составить уникальный словарь, и по этому словарю проводить атаку перебором, это всегда производится, естественно, то есть в случае, если, допустим, человек отправил похожий пароль или еще что-то, где-то в переписке и так далее, не важно где, то есть где-либо на компьютере, все эти данные используются для того, чтобы подобрать пароль, Поэтому, естественно, любые пароли похожие, схожие, они уже являются нестойкими.
Вот, а пример успешных переборов у меня тоже достаточно много. Я, наверное, штук 15. В процентном соотношении это вот у вас было 100 дисков шифрованных? Наверное, треть. Наверное, треть или даже четверть, меньше четверти – это успешные переборы. Вот, ну и в основном там действительно либо какой-то пароль, либо пароль по паттерну, вот как раз, когда он каким-то образом составляется понятным.
Вот, поэтому, да, пароли очень важны, то есть пароли на шифрование должны быть вообще такими супер стойкими, но был пример смешной, когда опера задержали там парня, и у него пытаются узнать пароль, вот, а он сидит не очень в адеквате, а он говорит, я его не помню, они говорят, ну, типа, хорош, он говорит, вот, говорит, на шкафу, у него на шкафу там какие-то вещества, он говорит, я, говорит, после этих веществ, говорит, сам не могу туда зайти, типа вообще все отбило вот поэтому вот желательно иметь такой пароль который можно действительно забыть.
О методах защиты и шифрования данных
Павлович:
Смотри сразу на лету я давно об этом думал ты сейчас напомнил я не уверен допустим что выдержу там сильные пытки к примеру да и возможно боль которую я там или там ты или вот кто-то будет испытывать она кажется сильнее чем ценность этих данных соответственно можно ли замутить такую систему, например, того же верокрипта, где будет динамический пароль, к примеру, вот как бы я сделал по уму, да, и просто, вот ты там пропал, допустим, на сутки от компа, понятно, что с тобой что-то случилось там, либо плохое, ну, скорее всего, вряд ли ты забухал, и можно ли сделать так, что как бы тебя не пытали, ты при всем желании не смог назвать пароль, ну а когда-нибудь все-таки доступ к нему получить?
Никитин:
Здесь есть три момента, первое, есть такая вещь, как отрицательное шифрование, знаешь, как это работает, тот же TrueCrypt, по-моему, сейчас вера вам позволяет это делать. Допустим, у вас есть там зашифрованный контейнер с виндой, на самом деле там две винды, и в зависимости от того, какую из паролей вы вводите, вам дается доступ к разным системам. Но это один момент. Да, но, к сожалению, тут очень сложно обмануть эксперта, потому что он увидит просто по занятому пространству, по используемому фактически, что они сходятся размеры контейнера.
То есть можно догадаться, да, просто по энтропии, что, скорее всего, это не настоящий пароль. Да, и опять же я добавлю здесь, что эксперт же не.
Павлович:
Будет, вот как он, он не будет на твоем компе, ну, чаще всего, все это лазить и так далее, он просто снимет твой диск, подключится к своей рабочей станции, которая, опять же, продается, да, и стоит там многие тысячи долларов, если мы в Америке покупаем, и просто он уже будет лазить по твоей файловой системе, где он, ну, да, вот подобное увидит, что у тебя там не одна винда, а две, допустим.
Никитин:
Вот. Второй момент заключается в том, что есть отличные аппаратные токены. То есть, это кроме самого верокрипта, чтобы расшифровать нужно ввести не только пароль, но еще вставить, допустим, токен. Флешку. Да, флешку или токен, я такое встречал. И на самом деле далеко не каждый может понять, что это флешка, а это на самом деле ключи. То есть, ну, USM, там флешка, ничего нет, а на ней нет файлов вообще.
На ней не будет файлов. Вот, и могут про нее забыть просто, да, то есть такое тоже встречалось, и аппаратные токены это вообще проблема в этом смысле, потому что его можно сломать, его можно выкинуть и все, даже если говорить пароль, ничего не получится. Вот, и наконец есть третий вариант, бывает система шифрования, не помню, умеет ли так делать вера, что есть пароль для уничтожения данных. Вот. То есть ты называешь неверный пароль и он уничтожает? Да, и он уничтожает данные, но при этом, возможно, вам уничтожат глаз, например, или что-нибудь такое.
После этого. Ну то есть это истерический, то есть мы говорим какие-то экстремальные неправовые методы, да, если вас уже пытают, это уже что-то за гранью вообще, вот, то возможно люди, которые спытаются, очень расстроятся, когда поймут, что данные уничтожены, возможно, самые различные последствия. Я даже не знаю, что хуже просто.
Павлович:
В общем, порядка 20, допустим, процентов паролей вот зашифрованных там криптоконтейнера вы открывали, и чаще всего к этому приводило то, что вы исследовали его переписку и так далее, и это были где-то похожие пароли, либо понимали общую систему построения его паролей.
Несколько историй задержания реальных киберпреступников
Никитин:
Да. Значит, был случай обыска у братьев-близнецов, братьев-Попелыши, могу назвать их фамилию, но просто у нас есть пресс-лиза, по этому поводу. Это два брата-близнеца, вот, они занимались фродом, как раз по физикам-клиентам банка, вот, и они там получили осужденные, вот.
Павлович:
Ты говоришь, вот в тебе сразу полицейского узнаёшь, потому что нормальный человек, он говорит, осужденный. А вот все, кто имеет отношение к правоохранительным органам или в СИНу, исполнительной пенитенциарной системе, они говорят, осужденный.
Никитин:
Да, да, да. И ещё розыскная, вот это всё. Ну, наобщаешься с ними, и в какой-то момент, я-то сам гражданский совершенно, то есть я ещё студентом устроился в группу IB и работал там, вот, работаю до сих пор. И в какой-то момент, уже мы так много взаимодействовали с правоохранителями, еще было не так много, сейчас мы большей частью занимаемся коммерческими заказами, но поначалу плотно помогали правоохране, и в какой-то момент я понял, что я научился видеть ментов в толпе, то есть я прямо, они в гражданском, да, я прямо безошибочно знаю, что вот это точно какие-то полицейские и и так далее. Они еще были милиционеры в тот момент, еще до всех этих аттестаций. Вот, такой навык получен. Вот, а на самом деле насчет осужденных и так далее, это скорее опыт выступления в судах, да, потому что операторы никогда не называют их там какими-то громкими словами.
А вот в судах там же вся эта система, там гособвинитель, адвокат, они вот эти термины применяют, вот, скорее оттуда. Я достаточно много выступал в судах по самым разным кейсам. Так вот, у Попелыши было интересное то, что в общем-то к ним ломился спецназ, а у них была очень крепкая дверь, а спецназ что-то побоялся ее взрывать, вот, и они ее спиливали, они спиливали ее, наверное, часа три, и один из братьев, он, собственно, жесткий диск положил на специальную электромагнитную пушку, вот, она размагничивает его просто, да, то есть у них прям была купленная электромагнитная пушка, там целая установка... Другая штука, сейчас. Нет, она, кстати, продается даже легально совершенно. На Алиэкспресс. Да нет, даже прям конторы, юр. лица в России, которые торгуют, их можно даже встроить, прямо если системник взять, там корзина для дисков, можно прям под корзину ее встроить, и будет, допустим, еще одна кнопка на системнике, то есть даже прям промышленный образцы, не какой-то самопал.
Вот, у них самопальная была, мы даже проводили следственный эксперимент, что он действительно уничтожает диски, вообще без вариантов, то есть там головки ложатся на поверхность, ну в общем там все плохо.
Павлович:
А сколько времени нужно, чтобы на ней полежало, допустим? Секунд 30-40.
Никитин:
Да-да-да. Сразу могу, кстати, развеять один миф по поводу остаточной намагниченности. Есть, короче, такой миф о том, что с жесткого диска можно всегда восстановить данные, даже если его разбили, то можно электронным микроскопом вчитать эти дорожки и получить данные. Вот, а фишка в том, что примерно в 2010 году компании, которые производят диски, они перешли на технологию перпендикулярной записи. То есть, грубо говоря, есть несколько слоев еще намагниченности.
Из-за этого теперь если с диском что-то случилось потом электронным микроскопом невозможно понять по глубине вот и считать это но если раньше вот так линейно вот еще глубина тут еще и вглубь а сейчас еще с плотностью запись его где-то мы тоже 4 терабайта и так далее там еще в кривость-накость и короче там мешанина если что-то удалено мешанина вот получается им этим было связано тем что нужно много раз перезаписывать данные думал остаточная на магничность один раз прочитали а электронным микроскопом сразу можно считать старые данные.
Сейчас уже даже по руководящим документам каких-нибудь спецслужб в США, у них сказано, что если, насколько я помню, ДСП, то можно один раз перезаписать, всего один раз, а если секретный, совершенно секретный, диск нужно уничтожить в доменной печи. Вот, но это я к тому, что однократной перезаписи более чем достаточно, к сожалению, ничего… Да, сейчас. На современных дисках с высокой плотностью.
И если диск сильно поврежден, что-то с него считать практически невозможно.
Павлович:
Ну это мы говорим о том, что для удаления данных, просто когда ты их удаляешь в корзину и даже очищаешь корзину, этого недостаточно. Нужно использовать программу типа BCWipe, ну Adjetyka, BestCryptWipe, ну и всякие другие вайперы, которые просто на место удаленного твоего вот инфы, они запишут другую инфу какую-то. И вот ты говоришь один раз, сейчас уже….
Никитин:
Да, если полностью один раз перезаписать диск, то все, как бы восстановить данные практически невозможно. Это, конечно, зовет время. Но вайперы, они вообще долго очень удаляют. Да это это не быстрый процесс вот но как сам факт так вот они размагнитили диск и видать они просто запаниковали один одного брата взяли прямо на личности площадки а второй остался с другой стороны двери вот и он просто запаниковал похоже вот и он начал смывать пятитысячные купюры в унитазе флешки какие-то и так далее вот но он не знал что там все равно в коллекторе стоит сетка, и оно там все забилось, вот, в итоге оттуда все это...
Павлович:
Ну сетка просто стандартная, водопроводная.
Никитин:
Я помню отлично, типа просто там морек пятитысячных купюр, которые такие все, от воды их всех покосило. Вот, еще был пример, когда мы одного мошенника задерживали, он именно отвечал за обнал, вот, абсолютно нормальная квартира, единственное, что он безработно снимал за 100 тысяч в месяц квартиру в Москве, вот, но у него просто лежала дома огромная сумка, где было, насколько я помню, там было что-то 15 миллионов рублей, 40 тысяч долларов и 40 тысяч евро, вот, и он такой, да, банкам не доверяю, все храню там у себя, все, вот, вот такие дела, вот такой жизнерадостный дядька.
Павлович:
Короче, 300 тысяч долларов хранил Кэшин, но на самом деле это не что, потому что вот у этих Захарченко и вот этого, кого там взяли после него, там у них сотни миллионов долларов кэшем лежат, что эти 300 тысяч несчастных.
Никитин:
Да, да, да. А еще был обыск в одном банке, там какой-то банк был обнальный, и так было смешно, мы пришли в кабинет зампреда этого банка, который всем этим рулил, а у него, мне запомнилась тоже сумка, там лежало что-то 15 тысяч долларов, 15 тысяч евро, нескольких паспортов разных, и спортивный костюм Adidas. И еще билет был у него с открытой датой.
Павлович:
Т.е. есть такие билеты, где дата не указана, и ты пришел в аэропорт, и если есть место, то улетел в любой.
Никитин:
День или что? Некоторые авиакомпании предлагают для регулярных рейсов вот такие билеты, то есть с открытой датой они называются.
Павлович:
Ну это если место будет на данном рейсе, конечно.
Никитин:
Да, наверное, да, насчет этого не знаю, но вот я такой билет увидел, и просто прикольно, опять же, про сумку сейчас мне вспомнилось. Вот, ну вот как-то так.
Самые громкие раскрытые киберпреступления и хакерские атаки
Павлович:
Самые громкие раскрытые преступления ты про этого Попелыша сказал?
Никитин:
Ну, попил, что туда входит, еще был такой панч, да, это реально клевый, именно как технарь дядька, он написал эксплойт-кит свой, вот, и этот эксплойт-кит был настолько известен, что его даже закупали западные спецслужбы у него, вот, чтобы им пользоваться.
Павлович:
Ну, скажи для простых зрителей, кто слабо в технике понимает, что такое эксплойт-кит.
Никитин:
Да, это ExploitKit – это набор программ, которые эксплуатируют уязвимости как раз, допустим, в программах у посетителей, и фишка в том, что он писал не Trojan, он именно собрал и написал, скомпоновал вот этот набор программ для эксплуатации, и он продавал это как сервис, то есть это было там SaaS, да, то есть он говорит, я могу разливать любой ваш Trojan, кому угодно, просто с помощью моего ExploitKit, это как средства доставки, то есть оно эксплуатирует уязвимости у посетителей, а заливают уже любой троян.
Причем это может быть даже по расписанию. Днем заливается один троян, вечером заливается другой троян.
Павлович:
Ну, кстати, достаточно удобно, потому что вечером, допустим, порнуху там чаще качают, к примеру, да. Днем удобно заливать банковский троян, потому что могут на работе какие-то финансовые, в онлайн-банки ходить. Вечером, там, порнуха, соответственно, можно заливать троян такой, чтобы превратить его в бота и рассылать там потом спам через него, там прокси использовать.
Никитин:
Да, в общем вот он именно сам, как предприниматель, да, он открыл именно прям площадку, он ввел техподдержку, он удалял старые сплойты, он следил, чтобы они не детектировались с антивирусами и так далее. Долго проработал? Достаточно, наверное, года полтора, вот. Но он связался с ребятами из группы Карберп, это про них тоже у нас есть процесс релиз, это именно банковский троян был, группа Карберп, вот, которая крала деньги у юриков и физиков. И они разливали карбер через его сплойт, из-за чего он стал тоже интересен правоохранителем и был задержан.
Было несколько групп, связанных с андроид троянами. Наверное, самая смешная из них была группа «Пятый рейх».
Павлович:
Я думаю, многие из них сейчас смотрят тебя, потому что мне писали «изон карбер», не писали, а там полуверхушки знают, на связи, вот, а значит.
Никитин:
Пятый Рейх, там был очень одиозный владелец этой бот-сети, есть фото его задержания, у него в ванной плитке был выложен орел, этот, ну не фашистской Германии, надо, чтобы у него закинули фото каких-то прикольных, а я думаю, это есть, по-моему, это есть даже в пресс-релизах, вот, в общем, и у него админка, админка этой бот-сети была там, Пятый Рейх и так далее, вот, ну тут тоже такое необычная.
Вот, что еще такого прям громкого? Была группа HotProd, тоже банковские трояны, вот, и, скажем так, мы расследовали много инцидентов группы Lurk, вот, сейчас, кстати, над ними суд проходит, я не знаю, он не закончился, еще закончился, там глава этой группы, он активно ведет Facebook, вот, там прям много всего пишет, ну, интересное.
Вот, меня Три раза на запросы вызывали по видеоконференц-связи, потому что суд в Екатеринбурге проходит, но мы там не задерживали группу, не расследовали ее, там это делали Касперские, мы именно жертв, то есть исследовали компьютеры их жертв, там достаточно много было по всей России. Тоже очень крутые ребята, именно технической плане, они, во-первых, первые написали Torrent под 64-битные системы, То есть это еще было давно, когда Windows 7.64, типа, что-то новым было. Вот, и они первые написали свой крутой TrojanLurk. Он позволял внедряться в один клиент-банк, написанный на Java, и он позволял на лету менять реквизиты в ней.
И был пример, когда это выглядит как. Человек, допустим, бизнесмен, он заходит в свой клиент-банк, он проводит платежи, у него украли деньги, но Trojan позволял пересчитывать суммы, и он не видит именно этой транзакции. То есть он не видит вредоносных транзакций. Выписки. Да, да, да. И он говорит, у меня не украли деньги, что вы говорите, типа у меня все нормально на моем компьютере. А ему бухгалтер говорит, я не могу провести платежи, у нас ноль на счету.
Он говорит, да вот смотри, у меня-то все нормально. Вот. То есть Трой был интеллектуальный, он умел пересчитывать все это и подделывать. И когда ему уже объясняешь, что показываешь на другом компьютере, что на самом деле деньги украдены, вот. У меня просто был пример, что мы выезжали с представителями банка туда, ну же они звонят в банк и так далее, и там Этот гендир чуть ли не с топором бегал за банкирами, говорят, это не может быть, у меня-то здесь мои деньги, они все на месте, вот, то есть технически Троян был очень крутой, вот, но эта группа в какой-то момент начала красть деньги у банков вместе с другой группой, там, Бухтрап, вот, они там друг друга обвиняют, они там, в общем, чего только не приплетают, ну, в этом Фейсбуке, да, там, то, что они были завербованы, ну, в общем, чего только не было, но именно как Троян прикольный, и сама группа, это огромная группа,
была задержана, и они работали реально долго, они работали наверное почти 5 лет.
Привлекают ли к сотрудничеству с правоохранительными органами хакеров в России?
Павлович:
Привлекают ли в России правоохранительные органы, ну понятно, что большинство случаев можешь не знать, но привлекают ли к сотрудничеству какие-то хакеров детствующих или бывших? Почему спрашиваю, потому что мне очень часто задают этот вопрос, и лично у меня в практике таких знакомых нет.
Ну вот из Беларуси, допустим, и мне никогда не предлагали вот подобного плана сотрудничества, как с этим в России обстоит?
Никитин:
Да, расскажу. На самом деле мы не берем, например, бывших хакеров к себе на работу, хотя можно было бы в отдел там тестировать на проникновение и так далее, по той причине, что в большинстве случаев люди, которые особенно в большом масштабе, ну, крали деньги, у них перестраивается просто психология, да, они не очень готовы потом сидеть в офисе работать, вот, ну и именно тут про моральные качества их. Ну вы ладно, у вас свои причины. Я про спецслужбы.
И спецслужбы, вот как это обычно выглядит, да, то есть как это все представляют, что, допустим, если мы говорим про Россию, тебя посадят там в разведку, будешь ломать Пентагон. Ну условно, условно. На самом деле, хакеров активно используют, но в основном используют как агентуру, то есть как агентов, как осведомителей. Вот. Потому что для того, чтобы, например, сказать какому-нибудь хакеру о какой-то атаке, нам нужно взломать, допустим, там какие-то правительственные организации противника.
Все равно нужно ему рассказать вводную, нужно ему сказать совершенно секретную информацию, нужно ему доверять, да, а это невозможно, ну, они просто не пройдут эти проверки у спецслужб.
Павлович:
Но уровень коммерческих хакеров наверняка повыше,
Никитин:
Чем у тех, кто работает на правительство? — Есть намного выше, да, то есть есть примеры, когда намного выше, хотя сейчас у нас есть там всякие научные роты, да, ну и известно, что практически все сейчас крупные страны, они имеют свои именно киберразведывательные подразделения. Американцы регулярно нас обвиняют, там, в русских хакерах. Ну что, типа ГРУ, там, если б батальоны там….
Павлович:
Ну то есть это уже не мифы, да?
Никитин:
Вот, нет, это не мифы 100%, потому что я, например, лично встречался с китайскими троянами, китайскими хакерскими группами, которые атакуют наши предприятия, и я практически вижу даже по времени, когда они начинают работать, то у них там в Китае временная зона другая, они встали там с утра на построение, разошлись, значит, в этой части, и всё, они начали работать, это прям отлично прослеживается, что это там китайское время, и поэтому
точно так же есть обвинения вот с отношений США и России, они нас обвиняют, вот, и, грубо говоря, привлекают именно, ну, вот именно киберпреступников практически никогда напрямую, то есть только как осведомителей, или ещё есть примеры именно про вирусописатели. Я просто вирусописателей все время выделяю в отдельный колокласс, потому что очень часто это нормальные программисты, даже высококлассные, и они непосредственно в мошенничествах участия вообще не принимают никакого.
Они написали свой той, трое продали его, поддерживают его, но сами ничего не делают, не крадут, ничего такого.
Павлович:
Ну тут знаешь, такая законодательная грань есть, я просто и по своим делам сталкивался и в Америке, а вот, она знаешь как звучит, если ты знал, что его используют для кражи денег, либо для взлома там Пентагона, то все, заедут.
Никитин:
Нет, с правовой точки зрения, все как ты говоришь, то есть их привлекут 100%, я имею в виду именно то, что они часто не вовлечены вот в этот сам криминальный процесс, но именно иногда у них спецслужбы могут закупать какие-то модули. Вот, и есть примеры, когда, например, Россию обвиняют там на основании, допустим, что там где-то кириллица есть в каком-то модуле их вредоноса, а фишка в что этот модуль, может быть, вообще купили в Даркнете, или под заказ в Даркнете для них написали.
То есть проправительственные хакерские группы, они не чураются, используют любые инструменты и могут закупать их также, или даже на аутсорс отдать написание, но сами атаки они проводят, естественно, самостоятельно, не привлекая, как правило, никого из блэков.
То есть как агентуру, как осведомителей без проблем, даже как иногда консультантов, да-да-да, но не как настоящих, прямо активных бойцов.
О скупке «0-day» уязвимостей
Павлович:
Ну, точно так же спецслужбы американские, да, и бывшие всякие агенты, которые вышли на пенсию, они знаешь, чем занимаются, ну я просто знаком, и напрямую, и через посредников с такими людьми, они просто по всему миру скупают за сотни и миллионы, ну, по пятьсот тысяч долларов есть уязвимости, они за родные уязвимости скупают просто для сплойтов для американского правительства.
Никитин:
Да, есть даже целые компании, которые занимаются прямо официально скупкой этих уязвимостей, есть даже прайс-листы, например, сейчас полный чейн на iOS стоит полтора миллиона долларов. Что такое полный чейн? Это значит, что не нужно ничего делать, это полная цепочка всех вирусов, которые нужно, чтобы пользователя заразить, да, то есть человек просто открывает страницу и должна быть полный набор инструментария до получения полного доступа на его iPhone. Полтора миллиона долларов.
Полтора миллиона долларов, а под Android сейчас миллион долларов, тоже полный набор, то есть не просто уязвимость, да, они скупают, а прям готовый инструментарий, просто уязвимости там дешевле, по-моему, 500 тысяч, что ли.
Являются ли русскоязычные хакеры лучшими в мире и почему?
Павлович:
Давай это прозвучит чуть-чуть субъективно, но твое мнение, являются ли российские хакеры, куда мы относим и программистов, вот лучшими в мире?
Никитин:
Я бы сказал, как правило, вот СМИ и там американцы и политики, они неправильно принимают этот термин «российские хакеры. Я могу сказать, что русскоязычные хакеры действительно однозначно как инженеры, наверно, лучшие в мире, потому что просто исследуя огромное количество вредоносного кода, наши действительно пишут и делают лучше всех.
Павлович:
С чем ты связываешь, что именно на просторах СНГ, и я тебе скажу, больше именно Россия, а не правы, когда говорят Россия, потому что еще Белоруссия чуть-чуть, потому что в Украине больше кардеров, больше всяких мошенников. Но именно я просто лично знаком примерно стоп-20 хакеров мира, да, это вот здесь Челябинск получается, потом это Сыктывкар, там Скорпа, да, Дринкман и братья, потом я только одного
человека знаю, который ломал там СЭК, этот американский биржу и вообще очень крупные мишени с Украины, в основном все топ-хакеры, ну с Беларуси несколько знаю, в основном вот из этих 20 условно человек из них будет там 14 из России именно поэтому наверное все-таки в СМИ правы когда говорят ну российские да ну конечно же мы как с тобой живем здесь мы понимаем что это весь СНГ но с чем ты связываешь что именно вот как так сложилось да что именно ну как часы швейцарские да условно считаем лучшее мире почему именно вот это вот земля именно российские хакеры русскоязычные такие лучшие в мире, на твой.
Никитин:
Субъективный взгляд? Ну тут комплекс причин на самом деле, первое из них это отличное советское образование, которое не успели развалить, и в основном хакеры это молодые люди до 40, то есть они еще получали там, ну может быть в 90-х образование школьное, но все равно это еще остатки советского образования, это первое, то есть именно инженерное образование, я не говорю, что это прям там высшее, Причем большинство хакеров, которые я знаю, они либо безвнево, либо не оконченное выше имеют.
И это, кстати, не принципиально вообще, потому что они в основном самоучки и так далее. Но вот именно база, школьная база, она отличная, и это первое по спору. Второе, огромное количество этих молодых людей не смогли реализоваться, то есть много из них из регионов. Как раз из Москвы очень мало хакеров, а большинство из них, из кого я знаю, опять же, они из регионов, потому что они там не могли найти себе нормальную работу.
Я помню, мы задерживали, ну мой коллега задерживал дедостера под Иркутском, то есть это в Иркутске, и под ним еще был какой-то город, вот, и там парень дедостил, причем зарабатывал очень неплохо, там десятки тысяч долларов в месяц, по местным меркам, я имею ввиду. Вот, и мы пришли туда, ну они пришли туда, а там такой полный молодой человек, совсем молодой, вот, он говорит, у меня выбор небольшой, у нас либо здесь уголь добывать, а у меня, говорит, астма, либо, говорит, курицу типа на птицефабрике типа щипать, а у меня аллергия, говорит.
Поэтому вот я дедонедосом занимался, вот, а больше работы нет в городе вообще.
Павлович:
Образование первое, второе не реализовалось, ну нет возможности для реализации.
О наказании за киберпреступления в России: как это было раньше и как сейчас?
Никитин:
Да, и мягкость, мягкость наказания кебе преступления, то есть достаточно долгое время у нас была, были только вот эти три компьютерные статьи, и если кто не знает, там третья статья, она вообще не рабочая, это типа неправильная эксплуатации компьютеров в сети, вообще по ней нет дел практически, и она нерабочая. Всего две статьи, первая – это неправомерный доступ к охраняемой законно-компьютерной информации, а вторая – это создание, распространение вирусов, программ или компьютерной информации и так далее.
Павлович:
А есть что-то здесь по российскому УК, аналогично от белорусской 212, это хищение с использованием компьютерной техники?
Никитин:
Вот сейчас до этого договорю, да. Изначально были вот эти три статьи, одна нерабочая вообще, то есть две, и там, если это первый какой-то приговор, первая ходка, то там условный вообще срок практически всегда, и сама статья, связанная с мошенничеством, 159-ая, она вообще была без подпунктов, и там не было ничего про это, и там было отдельное разъяснение Верховного суда о том, как это применять,
и что вот именно, допустим, через ДБО это мошенничество, потому что фактически злодеи, они как будто бы злоупотребляют доверием банка и так далее, юридическая казуистика. Но потом были внесены изменения в УК, и сейчас у нас есть 159 часть 6, которая как раз именно мошенничает с использованием компьютерной техники, и еще есть отдельно по-моему четвертая, это именно с банковскими картами, вот, и теперь их судят по совокупности, то есть там компьютерные статьи, да, это именно, но компьютерные статьи давно перестали быть самоцелью, то есть никому не интересует просто неправомерный доступ, да, и вот для чего-то он, Ну, деньги их ищут. Да. И там уже следующая статья. И там уже можно доказать ущерб, а на самом деле по российскому наказанию там уже миллион рублей – это особо крупный размер. И это офигеть.
Павлович:
Ну, в Беларуси еще меньше, там 10-12 тысяч долларов, ну здесь 15 тысяч.
Никитин:
Да, и это офигеть, какой срок, там уже, то есть там если будет еще и компьютерная статья доказана, они там будут суммироваться, и там можно получить даже за первый раз лет 8, ну вот, что достаточно сурово.
Павлович:
Но при всем этом, знаешь, в России это издавна выражение старских времен еще, не помню, кто классик сказал, что в России строгость законов компенсируется необязательностью их исполнения. И я вижу до сих пор ребят, которые там, украв миллион долларов, получают пять лет.
Никитин:
Условно. Конечно, есть примеры, но то есть слабое законодательство, да. У нас, допустим, до сих пор огромное количество киберпреступлений, которые во всем мире выделяют в отдельные, вообще их нет. Тот же DDoS, тот же спам и так далее, то есть, а у нас это там очень сложно, это же DDoS, допустим, это нужно доказать, что у вас есть бот-сеть, это уже вирусы, которая будет атаковать кого-то, что привело к блокированию информации. Ну и за что досер рассудить тогда вот?
Нет, за что, из практики, как его судят? Его судят по совокупности статей, то есть, его судят за распространение ботов, которыми он досит, и судят за то, что боты заблокировали информацию на каком-то ресурсе, но это настолько все сложно для адвокатов, следствий и судей, что в общем, ну, как бы это прям в суде это выглядит очень и очень вяло.
Павлович:
А если он стрессор арендовал у кого-то готовых ботов по сути?
Никитин:
Я могу сказать, даже был пример, когда человек антидозащиту осуществлял, а у него один из клиентов был шлюха сайт, то есть там публичные дома, там индивидуалки, и его судили за вовлечение в протитуцию вместе с этой группой, потому что он их защищал.
Павлович:
Это уже перегиб, конечно.
Никитин:
А он говорит, да, у меня, говорит, кто угодно может купить мои услуги, там просто меняется А-запись, да, и все, я защищаю, там мой айпишник появляется вместо их, и я просто, я даже, говорит, не знаю, чем занимаются эти клиенты.
Павлович:
Да, я допускаю, я Досгвардом пользуюсь, и, конечно, я вот завтра изменю, и они ничего не увидят вообще, что я там поменял.
Никитин:
Вот, и как бы поэтому, ну, бывают абсурды, да, бывают абсурдные ситуации, вот, но вот слабое законодательство Это минус. Чтобы всем участникам процесса было понятно, за что их судят, как их судят. Даже вот банально. У нас есть там, это называется, вредоносные программы. А нигде нет определения, что такое вредоносные программы. То есть в УК есть статья за вредоносные программы, но критериев вредоносности и определения именно в УК нет.
Вот. И выясняется, что, оказывается, вредоносность – это юридическое понятие. И эксперт, ну как я, технарь, он не может сказать, что программа вредоносная. Я могу сказать, что, смотрите, программа делает то-то, то-то, то-то, и только суд или следствие могут признать, ага, мы считаем, что эти действия, они вредоносные. У меня есть пример в практике.
Павлович:
Но ты же можешь, с другой стороны, вот ты в данном случае, Мерила, да, выступаешь такой, ты можешь и в ту сторону повернуть, и в эту. Также и судья может повернуть из-за того, что четких критериев не прописано.
Никитин:
Вот, да, я именно про это. То есть, я, значит, как эксперт, я всегда просто описываю функционал вредоноса, говорю, вот она делает то-то. Вот. А уже они решают, что и как, и в судах как бы это уже давно отработанная практика, но это всегда там проблемы для, даже для подсудимых, они бы хотели, ну, какое-то большее понимание в процессе. Вот. И опять же, то есть там бывают ковичные примеры, тайм-машины, о которых мы сейчас говорили, я знаю пример одного судебного решения, где тайм-машина была принята, признана вредоносной программой.
И расскажу, как это произошло. Что админ настроил тайм-машин на компьютере босса, и тайм-машина сливала на тайм-капсулу эти бэкапы, а он их оттуда крал. И получается, что тайм-машина выступала как троян, потому что босс не знал о том, что эти бэкапы делаются, и суд признал тайм-машин вредоносной в данном конкретном случае.
Потому что важна не только сама программа, но и как и для чего она использовалась, вот все эти юридические обстоятельства.
Павлович:
Хорошо, что мы делаем, чтобы больше российских талантливых ребят попадало не за решетку, а мы их знали как создателей Гугла.
Продолжение следует...
В этой теме известный кардер Сергей Павлович продолжает беседу с Сергеем Никитиным, заместителем руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB, одного из главных мировых борцов с киберпреступностью.
Приятного чтения!
Содержание:
- Вычисляли ли Group-IB в сотрудничестве с правоохранительными органами тех, кто занимается шифровками данных (вирусы-вымогатели)?
- Как защитить свои данные на устройствах
- О развитости рынка страхования и систем «Клиент-Банков» на западе
- О работе и обязанностях в Group-IB
- Смешные случаи, связанные с обысками и задержаниями киберпреступников
- Может ли жидкий азот «заморозить» оперативная память?
- Были ли случаи непринятия судом улик из-за процессуальных нарушений?
- Вскрываете ли вы зашифрованные диски и возможно ли это?
- О методах защиты и шифрования данных
- Несколько историй задержания реальных киберпреступников
- Самые громкие раскрытые киберпреступления и хакерские атаки
- Привлекают ли к сотрудничеству с правоохранительными органами хакеров в России?
- О скупке «0-day» уязвимостей
- Являются ли русскоязычные хакеры лучшими в мире и почему?
- О наказании за киберпреступления в России: как это было раньше и как сейчас?
Вычисляли ли Group-IB в сотрудничестве с правоохранительными органами тех, кто занимается шифровками данных (вирусы-вымогатели)?
Павлович:
Ты говоришь вот этих админов, этих серверов, самих зломышленников, ну, спецслужбы там по миру, уровня АНБ образно, вычисляют. То есть вы хоть раз со своей конторой группы Group-IB, сотрудничащих там с правоохранительными органами РФ или СНГ, вы вычисляли вообще хоть раз, кто занимается вот этими шифровками?
Никитин:
Да-да-да, у нас есть прям несколько дел уголовных, реальных, где уже были обыска, где люди там сейчас в СИЗО, вот, поэтому несколько групп, которые работали по России, да, получилось, получилось найти людей, вот, но опять же там после нескольких эпизодов шифрования, тут уязвимое место для хакеров это естественно то, что они вынуждены переписываться с людьми, но чтобы просто они договорились о том как платить выкуп.
Это как бы, это путь, это ниточка к реальным киберпреступникам, поэтому да.
Павлович:
Но они чаще всего же по электронной почте переписываются просто.
Никитин:
Да, там про протон, что угодно, но все равно это все определенные нити. Это определенные нити к людям, плюс еще если есть нескольких эпизодов, мы сразу видим, что это один и тот же шифровальщик, один и тот же стиль писем и так далее. Вот, а то найти людей реально, но, конечно, есть суровые группы, например, как ситуация с Гармином. Гармин – это огромная компания, специализирующаяся на навигационном оборудовании, причем… Часы, спорты, часы там, трекеры, фитнес-трекеры всякие.
Наверное, да, если вы обычный пользователь, то это там GPS-навигатор и часы. Эхо-лоты. Да, но на самом деле это компания продукции двойного назначения и огромное количество навигационного оборудования в управляемых ракетах, в американских истребителях и так далее. Ну суда, флот.
Да, тоже связано с Гармином, и произошло ужасное, их так сильно прошифровали, что люди покупают часы допустим в магазине, они не могут их активировать, потому что сервера лежат, и эти часы невозможно воспользоваться. Вот, то есть они, ну просто бесполезные, и там их прям возвращали прямо в магазинах, то есть настолько ударило это по их бизнесу, вот, и да, там уже много раз об этом писали, они заплатили выкуп, насколько я помню, там было 100 биткоинов.
Павлович:
Ну для корпораций такой уровни, это как для меня вон в Макдоналдс сходить.
Как защитить свои данные на устройствах
Никитин:
Да, но все равно это же удар по престижу, достаточно серьезный, вот, и это опять же показывает о том, что они не смогли восстановиться из бэкапов, вот, и отсюда Это очень простой пример, если там физ. лицо, юр. лицо, неважно. Первое, делайте бэкапы на внешних носителях. И второе, нужно так, чтобы, если взломали ваш компьютер, нельзя было удалить и зашифровать ваши бэкапы. Вот, я могу привести пример, то есть сейчас есть много программ для бэкапирования, но если у вас, допустим, Mac, вы можете просто все в iCloud выгружать или в Time.
Machine. Там все встроено, то есть можно не платить там подписку и так далее. Если Windows, есть многие там решения сейчас, но в чем их фишка? Некоторые из них просто могут класть куда-то файл с бэкапами, а некоторые из них они работают по своему собственному протоколу. Ну то есть, допустим, там есть клиентская часть и серверная.
Вот у вас серверная, она просто с клиентов забирает по своему протоколу эти бэкапы и хранит у себя. А недоступные из сети обычные, ну то есть это не виндовая шара, где можно там зайти. И тогда, естественно, если даже вас поломали, туда так просто не попасть. Вот, поэтому есть шутка по этому поводу, значит все люди делятся на три категории, те кто не делает бэкапы, те кто уже делает бэкапы и те кто проверяет сделанные бэкапы, то есть у нас тоже были примеры, когда люди вроде бы, они говорят, мы бэкапируем, все и так далее, а потом выяснилось, что в какой-то момент там один инженер пропатчил версию, он обновился, что-то такое и там сменился формат, но не проверил, короче бэкапы с какой-то даты они все невалидные были, перестали делаться, не делались, но они все битые. То есть, иногда нужно проверять просто, что бэкапы, которые делаются, они корректные, они восстановимы вообще. Вот. Это такая вещь неочевидная, но просто убедиться, что у вас что-то куда-то бэкапируется мало, желательно иногда, допустим, раз в год и так далее, но это больше для юриков, конечно.
Проверить, что бэкапы, которые вы делаете, они, во-первых, доступны и корректны.
Павлович:
Ну и плюс, смотрите, в зависимости от важности и актуальности вашей инфы, насколько часто вам нужно делать бэкапы. Например, мы у себя в компании в кэшбэке делаем там, наверное, ну раз в дня три, то есть кому-то могут понадобиться ежедневные бэкапы, кому-то ежечасные бэкапы, кому-то достаточно там раз в полгода скопировать. И чем закончилась эта история с Гармином вообще?
Никитин:
Они заплатили выкуп, собственно, они все расшифровали, все заработало, но это сильный прецедент, там скандал был, ну и с акционерами, и вообще, как бы, там это не очень одобряется, что они как бы заплатили тебе преступником. Попали в эти счастливые 15%. А сейчас недавно была новость о том, что какой-то там безопасник из Uber, он получил срок за то, что они тоже заплатили киберпреступникам, и он скрыл это, его там осудили и так далее.
Это прямо недавно новость проскакивала. То есть на Западе это не очень поощряется, и я знаю, что многие страховые не разрешают эту страховку платить злоумышленникам. То есть они страхуют вас от ущерба, но нельзя воспользоваться этими деньгами, страховой выплатой для того, чтобы заплатить злодеям, чтобы расшифровали.
О развитости рынка страхования и систем «Клиент-Банков» на западе
Павлович:
То есть на Западе эта проблема отчасти, мы можем сказать, решается тем, что ты страхуешь вот всю свою компьютерную сеть в специальных там страховых конторах.
Никитин:
На самом деле, Сергей, тут фишка в том, что на Западе вообще страхование сильно лучше развито, и они давно очень сильно страхуют свои киберриски, и очень часто они выбирают, что им дешевле, внедрить какие-то средства защиты технические, либо просто застраховать все. Вот, и очень часто там просто страхуют, и вот даже как раз пример с фродом банков, банковским фродом против клиентов и так далее, там очень много кто не парится по этому поводу, вообще у них клиент банки сильно хуже, чем наши, то есть вот, кажется, отличный пример с нашим Тиньковым, о котором мы говорили, если мы там даже в Штатах посмотрим, у них только вот Apple Card, который появился совсем недавно, он хоть как-то похож на наш Тиньков, да?
Павлович:
Но так на сайт заходишь, по логину-паролю, онлайн-банкинг у них.
Никитин:
Там вообще, ну вот это как у нас там, не знаю, в начале двухтысячных, очень сильно примитивный, но там огромное количество всех вещей решается за счет страхования. Вот. У нас пока именно рынок страхования, ну только зарождаются именно киберрисков, вот, поэтому, да, у них много что решается страховкой.
Павлович:
Давай смешные случаи какие-то там, с обысков и всяких там реагирований, да, потому что у меня есть приятель, он в Америке сидел там ну с этими с возвратом налогов что-то мутил 6 лет сидел сейчас и он варил ноут это известный случай он сварил ноут 2 часа держал их под дверью они в Америке не могли к тебе ворваться и если у них нет четкой уверенности что в квартире кто-то есть а он там на цыпочках ходил варил ноут и потом засунул в морозилку еще после этого 2-3 часа держал их там под дверью вот это смешной случай, но я один такой знаю, с вашей практики.
О работе и обязанностях в Group-IB
Никитин:
Да, случаев много, сейчас расскажу. Во-первых, чтобы было понятно, чем вообще я занимаюсь, да, то есть почему у меня эти случаи есть. Как бы основная задача нашей лаборатории – это проведение неких экспертиз и исследований. Да, то есть нам дают какой-то диск и говорят, знаете, у нас что-то случилось, нам нужно выяснить, как это произошло, и зафиксировать это в виде некоего заключения, которое может потом быть неким доказательным в суде. Вот, это может быть и коммерческая организация, может быть правоохранители могут обратиться, это может быть Прямо судебная компьютерная экспертиза, например.
Вот. И фишка в том, что вот из этих данных получить некая бумага, которая будет понятна юристам и будет понятна там адвокатам и так далее, не технарям, да. Но естественно, прежде чем получить этот объект, его нужно где-то взять, да. Но если это потерпевший, все понятно, мы приезжаем к потерпевшему, там работаем с их сетью, снимаем копии и так далее. Но часто бывает, что правоохранитель просит нас поучаствовать в обысках, чтобы корректно все изъять у хакеров, потому что…
Павлович:
Ну и в задержании.
Никитин:
И в задержании. Ну и в обыск сразу с содержанием, потом его просто там пишут постановление о задержании и все дела, вот. И тут в чем вся фишка, во-первых, нужно очень правильно все процессуально оформить, в протоколе отразить, потому что если накосячат, а у нас были такие примеры, когда изымали без нас, да, мы потом проводим отличную экспертизу, где все понятно, мы там все нашли, а это доказательство может быть отклонено, потому что опера, когда это изымали, они написали неправильно серийные номера, там все, в общем, неправильно упаковали, нарушили кучу всяких инструкций.
Павлович:
Ну или включили со своего компа, полазили по файлам, а там даты изменения файлов или открытий уже другие.
Никитин:
Да, да, да. Вот и поэтому нас часто просят поучаствовать в таких мероприятиях, чтобы все корректно прошло. Плюс еще очень часто бывает, что, допустим, у злодеев все зашифровано, да, нужно к ним зайти, когда у них компьютер работает, И нужно определенным образом, допустим, скопировать ключи шифрования из оперативной памяти, пока компьютер разблокирован, и там много всяких фишек, чтобы в случае чего можно было получить туда доступ, и для этого нас тоже с собой берут.
Павлович:
То есть, когда, я поясню, речь идет о программах шифрования, типа вот как я в прошлом видео говорил, да, про славу КПСС, эту песню, там, когда у тебя зашифрован диск, там, типа DriveCrypt, BestCrypt, TrueCrypt, но сейчас вот Veracrypt, я в прошлом видео упустил вам про Veracrypt сказать, сейчас используют в основном Veracrypt, и получается он создает у тебя на диске шифрованный контейнер, и вся инфа там находящаяся, если ты диск этот, ну, полазил там, что тебе надо сделать и отключил, потом практически невозможно расшифровать, особенно если у тебя длинный и сложный пароль используется, да, но можно, вот Сергей говорит, что если ты, например, лазишь на этом, этот диск у тебя не отдисмаунчен, ну короче не отключен от компа, ты находишься в нем и твой пароль к этому, к этой всей штуке, даже ты успел, тебе в дверь ломились, ты успел отключить этот шифрованный контейнер, но пароль, которым ты его раскрывал, он у тебя в оперативке находится, и подойдут, вот так заломают тебе креветки, тебя отведут от компа и с оперативки высосут вот этот вот, из стека вот этот вот пароль.
Смешные случаи, связанные с обысками и задержаниями киберпреступников
Никитин:
Да, да, да. На самом деле даже не пароль, а прям готовые ключи, расшифрования, да, и можно будет это все расшифровать. Есть огромное количество специальных криптических утилит, которые это все умеют, ну это прям заявление у них на сайтах. Вот. И фишка именно, когда нужно правильно зайти, да, нужно опять же оперов там подготовить, ну и там, допустим, если тяжелые есть, то есть как это делать, чтобы они, допустим, не выключали свет, потому что погаснет техника и пропадут ключи и так далее.
Нужно дождаться, пока человек за комп сядет, там, чаёк себе заварит и так далее, вот. И, допустим, трафик пойдет, да, там, к провайдеру, это все можно отслеживать. Вот. И потом это все корректно изъять, чтобы это можно было происследовать. И, естественно, бывали очень разные ситуации.
Значит, первая ситуация смешная была, как поймали одного хакера, он был очень тучный такой, и он купил себе на украденные деньги Каен, значит, большой белый дизельный Каен клёвый, вот, и он зарегистрировался на местном форуме, ну это в регионах было, Порше Клуба, вот, и он там использовал свой ник, в общем, и он там засветился, и он там писал, что он такой большой, что он залезает в этот Каен, и он протер руль, то есть пузом протер руль, вот, и так на него, в общем, вышли, вот.
Само задержание было не очень клёво, вообще я могу сказать, что участие в задержаниях, ну и в обысках, оно отличное лекарство от киберпреступности, потому что люди, которые ползут и визжат после взрыва светушумовой гранаты по разбитому стеклу, да, и вокруг еще от лазерных прицелов мелькают точки, вот, это отличный прицел.
Это ты кино насмотрел, с лазерными прицелами? Да-да-да. У нас у СОБРа, у московского есть ЛЦУ, там, где я участвовал в задержании. Мы заходили через дверь, правда, но они заходили через окно, и человек, который, он просто спал, у него разбили окно и взорвали светошумовую гранату, и он пополз просто по осколкам в ужасе, вот, въезжал, причём он полз к нам. Он полз к двери, к выходу, а там уже заходили.
Вот. И вот эта картина, она отлично показывает о том, что почему бы я не хотел быть на тёмной стороне, например, да, хотя Естественно, там, десятилетний опыт расследования всех этих вещей, оно даёт огромный багаж знаний, вот, потому что всегда есть риск, что к судьбе так придут.
Вот, и вот очень разные случаи бывали, вот, в основном они достаточно трагичные, да, то есть там, к вам стучаться под каким-то предлогом, там, затопили ещё что-то, ну это банальные предлоги.
Павлович:
У меня бывало такое, уберите коробки, первый раз было затопили в Украине, я говорю, так я на первом этаже живу. Ну реально, да, в основном у меня всегда было это с просониями. Вот, кстати, часто приходят по ночам, чаще по ночам.
Никитин:
Или как? Обычно утром, обычно утром. Ну ранним утром. Ранним утром. 6-5 там, да. Еще до того, как все уходят на работу. Обычно это раннее утро. Вот. И человек открывает дверь, к нему вваливаются. Вот. Но если знаешь, что там опытный человек, допустим, которого уже задерживали, который уже готов, могут зайти через окно. Вот. Несколько раз я предлагал взорвать стену межкомнатную, но ни разу не получилось.
Взрывают дверь иногда, но все зависит на самом деле от решимости командира тяжелых, то есть нужно понимать, что там в следственных мероприятиях участвует следователь, это там дяденька, который возбуждает дело, он ведет его, участвуют оперативники, которые в общем помогают, помогают проводить обыск, есть вот группа там тяжелых, дядек с автоматами, с ферами, с всякими спецсредствами и в общем в зависимости от того, что там за злодей, что про него известно, допустим, что он вооружен, будет, будет разный сценарий входа, вот, и бывали в общем очень разные варианты, но в основном они трагичные, то есть там людей будет, да, они в ужасе там ползают, вот, у них шоковое состояние, вот, но бывали и всякие комические, комичные моменты, конечно, мы задерживали одного злодея, который специализировался на скиммерах, то есть он делал сами накладки на банкоматы, вот, и когда к нему зашли, у него на балконе стоял банкомат, просто ему так было удобнее, он к нему все примерял, да-да-да, у него было огромное количество там карт, пластика и так далее, как в криминальной России, и там был момент, у него был ноутбук, в него вставлена SD-карта была, вот, а в SD-карту была вставлена микро-SD-карточка, и значит ноутбук стоял рядом с ним, он там сидел, на него надели браслет, ну спереди как бы, он сидел, он такой тихо-тихо-тихо, вот, а я просто постоянно смотрел за этим ноутом потому что ну там по порядку идет обыск и когда доходит до объектов там я уже сажусь вместе с понятыми и говорю вот давайте посмотрим так далее я поэтому все время на него смотрел и в какой-то момент я вижу что он просто быстренько эту карту достал вот и собирался ее съесть просто вот а микроSD она совсем маленькая вот ну я ткнул опера говорю смотри что происходит он его заломал забрал у него карту он говорит блин типа увидели и так далее и мне опера Рассказали историю, как у них злодей съел эту карту Они не знают, что делать А на самом деле ей ничего не будет в желудке.
Он не поломал, не жевал Просто проглотил Они побежали, купили ему какое-то там Слабительное, жидкое, без цвета, без вкуса, без запаха Влили ему какую-то конскую дозу И через буквально меньше 10 минут Эта SD-карта уже была готова на горшке Но этот обвиняемый Он потом еще на них Возможно и по правде то есть справедливо, написал жалобу в генпрокуратуру, потому что они ему влепили такую дозу, что он потом в ВВС и в СИЗО там срал 4 дня, не мог остановиться.
Вот. Это как бы такое, комичное. Был один хакер, он даже писал книгу о том, причем такая книга очень пафосная.
Павлович:
Заразная, наверное.
Никитин:
Там книга очень пафосная, из серии «Как я имел всю систему» и «Какой я крутой», вот. И он был уже в федеральном розыске. Что такое федеральный, давай разберемся, это по всей России? По всей России, да. То есть его ищут во всех регионах, и он во всех базах. Вот. Он не может купить, допустим, билет на поезд, билеты, где нужно... Бывают даже междугородние автобусы, где только по паспорту продают.
Павлович:
А выше тип розыска это, насколько я понимаю, межгосударственные по странам СНГ, как раньше был всесоюзный.
Никитин:
Да, а потом уже международный. Потом уже международный, то есть это через интерпол вот, и в общем этот хакер он достаточно успешно вскрывался он правда продолжал общаться со своей девчонкой, так его вычислили, но он сделал пластическую операцию у него торчали уши и он сделал так, чтобы они не торчали то есть прям как в кино, пластик и так далее, вот и в общем он все что нужно, весь такой темный материал он держал на microSD карточке, вот И он думал, что в случае чего он её просто сломает или уничтожит и так далее.
И он банально вышел за хлебом, и его прямо на улице приняли. И когда к нему поднялись, у него просто ноут и карточка лежит рядом. Человеческий фактор. И когда он её увидел, он там просто весь побледнел, абсолютно сменил несколько раз цвета свои, а он как раз собирался её зашифровать или ещё что-то, но в общем не дошли у него руки, и да, всё попалось.
Может ли жидкий азот «заморозить» оперативная память?
Павлович:
А ты читал, такие случаи есть, вот когда из данных оперативной памяти достают все, что там содержится в данный момент. Но если ком перезагрузишь, оно же стирается, не выключишь.
Никитин:
Да, верно.
Павлович:
И я читал недавно случай, что бывает, там как-то жидким азотом каким-то из баллончиков охлаждают именно оперативку, чтобы хотя бы какая-то часть, чтобы она не так быстро остывала, и часть данных можно было хотя бы пусть в битом виде, но извлечь.
Никитин:
Да, это реально работает, то есть есть это типа proof of concept, как это работает, грубо говоря, у вас оперативка состоит из ячеек, да, как SSD-шка, но когда пропадает питание, они начинают как бы размагничиваться, ну на самом деле там пропадают эти самые нули, единицы, но если мы зальем вот этим жидким азотом, там будет сверхпроводимость, и эти электроны, они не уйдут так быстро, и пока она заморожена, оперативка, ее можно найти в другой комп и быстро снять дамп ее. То есть это реально? Это реально, но, значит, для тех, кто не знает, жидкие азоты выносят в таких специальных соседах дюара, это огромный термос, он очень тяжелый, а для того, чтобы залить, допустим, тот же ноут, там нужно много жидкого азота, вот, поэтому, в общем, если вы увидите, что в подъезд заходит какой-нибудь человек с огромным термосом, еле его за собой таща, наверное, можно напрячься, но это, скорее, больше, как бы, страшилка, да, потому что, ну, в реальности, при тащении это с собой на обыск, но это мало реально.
То есть в лабораторных условиях работает отлично и действительно получается всякое извлечь, но именно практическая применимость сложная. Плюс, допустим, вот здесь МАК, да, здесь пока его разберешь, вот, пока это зальешь оперативку, она здесь, допустим… Это больше для домашних компов, где корпус… Да, она здесь вообще распаяна, то есть здесь вообще как бы ее потом никуда не заткнуть. Ну, то есть вот такое.
Были ли случаи непринятия судом улик из-за процессуальных нарушений?
Павлович:
Сколько раз в практике ты встречал, что вот улики, да, изъяты там с каким-то небольшими процессуальными нарушениями суд не признает. Просто я объясню почему. Я из Беларуси и вот там у меня, например, изымают ноут вообще не упаковывая и не опечатывая, изымает одно ведомство КГБ, через там часов 16 он уже всплывает по бумагам ВМВД, но он не был упакован и опечатан в присутствии меня и понятых, изымало одно ведомство, а он потом был передан в другое.
И я пишу, что это прямое нарушение уголовно-процессуального кодекса, и как бы вы не хотели, он не может являться доказательством и служить основанием для возбуждения уголовного дела. В России, вот, но я, сколько ни писал жалоб лично я и все мои знакомые, ни разу их не удовлетворяли. То есть неважно, что это с нарушениями, ты будешь сидеть в любом случае, в России как с этим обстоит.
Никитин:
На самом деле есть примеры, когда в судах это разваливалось, особенно в судах высшей инстанции, и именно поэтому я говорю, что важно привлекать специалистов на такие приятия, чтобы это все правильно опечатывать, описывать, да, то есть там можно неправильно писать модель, перепутать модель, серийник и так далее, а модель, допустим, она там у всех одинаковые номера, вот, ну, то есть он не уникальный идентификатор, и на самом деле бывало прямо, то есть меня как эксперта вызывали в суды, да, там по моей экспертизе, например, или по осмотру, или еще что-то, бывало такое, что какие-нибудь из объектов их прямо исключали из дел, вот, и на самом деле в России, И что я могу сказать, если мы говорим про московский регион, Москва и область, полицейский беспредел не встречается вообще, то есть все очень вежливые, все… Ну ты про компьютерные дела именно. Ну да, ну это как сейчас же, на самом деле, допустим, мы в экономические преступления, нас тоже привлекают, потому что мы приходим в контору, которая занимается каким-то
обналом, там их 100 компов… Не, ну там с одной стороны.
Павлович:
Умные, и с другой стороны умные, вот как я попадал в этот отдел, понятно, что меня там не били, да, то сидели, пили, ну как бы все на уровне. То есть даже они там тебя закрывать будут на час, но это не быдло, они тебя прикладами мочить не будут, как сейчас в Беларуси, просто женщин, детей, там, стариков избивают, это там он сумасшедший за власть, там, пристрелил этого диктатора.
Никитин:
Вот, да, и поэтому вся обыска проходит достаточно прилично, но вот в моей практике не было ни разу жести. Был разок, когда одного админа предупредили, чтобы он не врал. Вот, и он соврал и подхватил по щам, но он даже не жаловался, в принципе было было справедливо, вот, а в общем-то в основном все происходило мило, и тут даже есть целая проблема, например, с теми же телефонами, да, то есть если они заблокированы, там далеко не все их можно разблокировать так просто, вот, а код-пароль узнать нужно, чтобы туда залезть, вот, и никто там каких-то именно там не пытает, да, не выбивает эти коды-пароли, вот, это реально именно прям проблема для оперативников часто бывает, да, что они не их узнать, потому что там не применяют никаких силовых людей, не в СИЗО когда они сидят, неважно, либо прямо в момент обыска, вот, поэтому, скажем так, в Московском регионе, да, здесь достаточно такая мягкая полиция, вот, и поэтому, действительно, если накосячили, могут убрать из дела, могут отругать еще всех, или уже прямо в ходе суда судья может исключить, то есть примеры, примеры такие есть.
Вскрываете ли вы зашифрованные диски и возможно ли это?
Павлович:
А если мы уже коснулись паролей, вот как вы, например, вскрываете, ну телефоны, понятно, там есть там всякие устройства, там израильского производства и прочее, там стоят от 15 тысяч долларов и выше, допустим, и они там вскрывают любые телефоны, но мы сейчас об этом поговорим, но интересно, например, как вы вскрываете и вскрываете ли вот диски криптоконтейнера зашифрованные тем же Veracrypt?
Никитин:
Veracrypt отличный пример стойкого шифрования, если там большой стойкий пароль, ничего с ним не сделать, и на самом деле есть пример даже не наш, а пример АНБ, которые тогда задержали мексиканского мошенника, это просто ну прям фрод, они изъяли у него ноутбук, который был на тот момент true crypto зашифрован, и они в течение семи лет его брутили со всеми их мощностями и официально ему вернули его, ничего, они не смогли его сломать, вот, поэтому если действительно это какой-то стойкий контейнер со стойким шифрованием, ничего с ним не сделать, вот, самое главное, чтобы сам пароль был стойкий.
Павлович:
Ну у меня когда-то было, знаешь, как у меня вскрывали бесткриптовые диски в Беларуси, когда меня там первый раз арестовывали, но у меня на один из криптоконтейнеров стоял такой же пароль, как есть программа почтовая забат, и у меня просто было, что в забате стоял такой же пароль, как на один из криптоконтейнеров, ну из забата непростой утилит его достали, и соответственно они вскрыли у меня один криптоконтейнер, но они же, это произошло буквально в течение там суток первых после ареста, но потом они еще смогли достать пароли еще к двум дискам, а все лишь потому, что первая часть у них была неизменная, и они знали, потом там нижнее подчеркивание было и дописаны там какие-то другие, то есть они уже оставшуюся часть сбрутили, и на все это у них ушло там дня 2-3, ну вот опять же человеческий фактор. Зачем мне было ставить одинаковые пароли на почту там и на этот.
Никитин:
Да, это как раз вопрос о стойкости, то есть чтобы было понятно, там утилиты, они что позволяют, например, у вас есть какой-то объем переписки человека и вообще все его данные на компьютере, по ним можно составить уникальный словарь, и по этому словарю проводить атаку перебором, это всегда производится, естественно, то есть в случае, если, допустим, человек отправил похожий пароль или еще что-то, где-то в переписке и так далее, не важно где, то есть где-либо на компьютере, все эти данные используются для того, чтобы подобрать пароль, Поэтому, естественно, любые пароли похожие, схожие, они уже являются нестойкими.
Вот, а пример успешных переборов у меня тоже достаточно много. Я, наверное, штук 15. В процентном соотношении это вот у вас было 100 дисков шифрованных? Наверное, треть. Наверное, треть или даже четверть, меньше четверти – это успешные переборы. Вот, ну и в основном там действительно либо какой-то пароль, либо пароль по паттерну, вот как раз, когда он каким-то образом составляется понятным.
Вот, поэтому, да, пароли очень важны, то есть пароли на шифрование должны быть вообще такими супер стойкими, но был пример смешной, когда опера задержали там парня, и у него пытаются узнать пароль, вот, а он сидит не очень в адеквате, а он говорит, я его не помню, они говорят, ну, типа, хорош, он говорит, вот, говорит, на шкафу, у него на шкафу там какие-то вещества, он говорит, я, говорит, после этих веществ, говорит, сам не могу туда зайти, типа вообще все отбило вот поэтому вот желательно иметь такой пароль который можно действительно забыть.
О методах защиты и шифрования данных
Павлович:
Смотри сразу на лету я давно об этом думал ты сейчас напомнил я не уверен допустим что выдержу там сильные пытки к примеру да и возможно боль которую я там или там ты или вот кто-то будет испытывать она кажется сильнее чем ценность этих данных соответственно можно ли замутить такую систему, например, того же верокрипта, где будет динамический пароль, к примеру, вот как бы я сделал по уму, да, и просто, вот ты там пропал, допустим, на сутки от компа, понятно, что с тобой что-то случилось там, либо плохое, ну, скорее всего, вряд ли ты забухал, и можно ли сделать так, что как бы тебя не пытали, ты при всем желании не смог назвать пароль, ну а когда-нибудь все-таки доступ к нему получить?
Никитин:
Здесь есть три момента, первое, есть такая вещь, как отрицательное шифрование, знаешь, как это работает, тот же TrueCrypt, по-моему, сейчас вера вам позволяет это делать. Допустим, у вас есть там зашифрованный контейнер с виндой, на самом деле там две винды, и в зависимости от того, какую из паролей вы вводите, вам дается доступ к разным системам. Но это один момент. Да, но, к сожалению, тут очень сложно обмануть эксперта, потому что он увидит просто по занятому пространству, по используемому фактически, что они сходятся размеры контейнера.
То есть можно догадаться, да, просто по энтропии, что, скорее всего, это не настоящий пароль. Да, и опять же я добавлю здесь, что эксперт же не.
Павлович:
Будет, вот как он, он не будет на твоем компе, ну, чаще всего, все это лазить и так далее, он просто снимет твой диск, подключится к своей рабочей станции, которая, опять же, продается, да, и стоит там многие тысячи долларов, если мы в Америке покупаем, и просто он уже будет лазить по твоей файловой системе, где он, ну, да, вот подобное увидит, что у тебя там не одна винда, а две, допустим.
Никитин:
Вот. Второй момент заключается в том, что есть отличные аппаратные токены. То есть, это кроме самого верокрипта, чтобы расшифровать нужно ввести не только пароль, но еще вставить, допустим, токен. Флешку. Да, флешку или токен, я такое встречал. И на самом деле далеко не каждый может понять, что это флешка, а это на самом деле ключи. То есть, ну, USM, там флешка, ничего нет, а на ней нет файлов вообще.
На ней не будет файлов. Вот, и могут про нее забыть просто, да, то есть такое тоже встречалось, и аппаратные токены это вообще проблема в этом смысле, потому что его можно сломать, его можно выкинуть и все, даже если говорить пароль, ничего не получится. Вот, и наконец есть третий вариант, бывает система шифрования, не помню, умеет ли так делать вера, что есть пароль для уничтожения данных. Вот. То есть ты называешь неверный пароль и он уничтожает? Да, и он уничтожает данные, но при этом, возможно, вам уничтожат глаз, например, или что-нибудь такое.
После этого. Ну то есть это истерический, то есть мы говорим какие-то экстремальные неправовые методы, да, если вас уже пытают, это уже что-то за гранью вообще, вот, то возможно люди, которые спытаются, очень расстроятся, когда поймут, что данные уничтожены, возможно, самые различные последствия. Я даже не знаю, что хуже просто.
Павлович:
В общем, порядка 20, допустим, процентов паролей вот зашифрованных там криптоконтейнера вы открывали, и чаще всего к этому приводило то, что вы исследовали его переписку и так далее, и это были где-то похожие пароли, либо понимали общую систему построения его паролей.
Несколько историй задержания реальных киберпреступников
Никитин:
Да. Значит, был случай обыска у братьев-близнецов, братьев-Попелыши, могу назвать их фамилию, но просто у нас есть пресс-лиза, по этому поводу. Это два брата-близнеца, вот, они занимались фродом, как раз по физикам-клиентам банка, вот, и они там получили осужденные, вот.
Павлович:
Ты говоришь, вот в тебе сразу полицейского узнаёшь, потому что нормальный человек, он говорит, осужденный. А вот все, кто имеет отношение к правоохранительным органам или в СИНу, исполнительной пенитенциарной системе, они говорят, осужденный.
Никитин:
Да, да, да. И ещё розыскная, вот это всё. Ну, наобщаешься с ними, и в какой-то момент, я-то сам гражданский совершенно, то есть я ещё студентом устроился в группу IB и работал там, вот, работаю до сих пор. И в какой-то момент, уже мы так много взаимодействовали с правоохранителями, еще было не так много, сейчас мы большей частью занимаемся коммерческими заказами, но поначалу плотно помогали правоохране, и в какой-то момент я понял, что я научился видеть ментов в толпе, то есть я прямо, они в гражданском, да, я прямо безошибочно знаю, что вот это точно какие-то полицейские и и так далее. Они еще были милиционеры в тот момент, еще до всех этих аттестаций. Вот, такой навык получен. Вот, а на самом деле насчет осужденных и так далее, это скорее опыт выступления в судах, да, потому что операторы никогда не называют их там какими-то громкими словами.
А вот в судах там же вся эта система, там гособвинитель, адвокат, они вот эти термины применяют, вот, скорее оттуда. Я достаточно много выступал в судах по самым разным кейсам. Так вот, у Попелыши было интересное то, что в общем-то к ним ломился спецназ, а у них была очень крепкая дверь, а спецназ что-то побоялся ее взрывать, вот, и они ее спиливали, они спиливали ее, наверное, часа три, и один из братьев, он, собственно, жесткий диск положил на специальную электромагнитную пушку, вот, она размагничивает его просто, да, то есть у них прям была купленная электромагнитная пушка, там целая установка... Другая штука, сейчас. Нет, она, кстати, продается даже легально совершенно. На Алиэкспресс. Да нет, даже прям конторы, юр. лица в России, которые торгуют, их можно даже встроить, прямо если системник взять, там корзина для дисков, можно прям под корзину ее встроить, и будет, допустим, еще одна кнопка на системнике, то есть даже прям промышленный образцы, не какой-то самопал.
Вот, у них самопальная была, мы даже проводили следственный эксперимент, что он действительно уничтожает диски, вообще без вариантов, то есть там головки ложатся на поверхность, ну в общем там все плохо.
Павлович:
А сколько времени нужно, чтобы на ней полежало, допустим? Секунд 30-40.
Никитин:
Да-да-да. Сразу могу, кстати, развеять один миф по поводу остаточной намагниченности. Есть, короче, такой миф о том, что с жесткого диска можно всегда восстановить данные, даже если его разбили, то можно электронным микроскопом вчитать эти дорожки и получить данные. Вот, а фишка в том, что примерно в 2010 году компании, которые производят диски, они перешли на технологию перпендикулярной записи. То есть, грубо говоря, есть несколько слоев еще намагниченности.
Из-за этого теперь если с диском что-то случилось потом электронным микроскопом невозможно понять по глубине вот и считать это но если раньше вот так линейно вот еще глубина тут еще и вглубь а сейчас еще с плотностью запись его где-то мы тоже 4 терабайта и так далее там еще в кривость-накость и короче там мешанина если что-то удалено мешанина вот получается им этим было связано тем что нужно много раз перезаписывать данные думал остаточная на магничность один раз прочитали а электронным микроскопом сразу можно считать старые данные.
Сейчас уже даже по руководящим документам каких-нибудь спецслужб в США, у них сказано, что если, насколько я помню, ДСП, то можно один раз перезаписать, всего один раз, а если секретный, совершенно секретный, диск нужно уничтожить в доменной печи. Вот, но это я к тому, что однократной перезаписи более чем достаточно, к сожалению, ничего… Да, сейчас. На современных дисках с высокой плотностью.
И если диск сильно поврежден, что-то с него считать практически невозможно.
Павлович:
Ну это мы говорим о том, что для удаления данных, просто когда ты их удаляешь в корзину и даже очищаешь корзину, этого недостаточно. Нужно использовать программу типа BCWipe, ну Adjetyka, BestCryptWipe, ну и всякие другие вайперы, которые просто на место удаленного твоего вот инфы, они запишут другую инфу какую-то. И вот ты говоришь один раз, сейчас уже….
Никитин:
Да, если полностью один раз перезаписать диск, то все, как бы восстановить данные практически невозможно. Это, конечно, зовет время. Но вайперы, они вообще долго очень удаляют. Да это это не быстрый процесс вот но как сам факт так вот они размагнитили диск и видать они просто запаниковали один одного брата взяли прямо на личности площадки а второй остался с другой стороны двери вот и он просто запаниковал похоже вот и он начал смывать пятитысячные купюры в унитазе флешки какие-то и так далее вот но он не знал что там все равно в коллекторе стоит сетка, и оно там все забилось, вот, в итоге оттуда все это...
Павлович:
Ну сетка просто стандартная, водопроводная.
Никитин:
Я помню отлично, типа просто там морек пятитысячных купюр, которые такие все, от воды их всех покосило. Вот, еще был пример, когда мы одного мошенника задерживали, он именно отвечал за обнал, вот, абсолютно нормальная квартира, единственное, что он безработно снимал за 100 тысяч в месяц квартиру в Москве, вот, но у него просто лежала дома огромная сумка, где было, насколько я помню, там было что-то 15 миллионов рублей, 40 тысяч долларов и 40 тысяч евро, вот, и он такой, да, банкам не доверяю, все храню там у себя, все, вот, вот такие дела, вот такой жизнерадостный дядька.
Павлович:
Короче, 300 тысяч долларов хранил Кэшин, но на самом деле это не что, потому что вот у этих Захарченко и вот этого, кого там взяли после него, там у них сотни миллионов долларов кэшем лежат, что эти 300 тысяч несчастных.
Никитин:
Да, да, да. А еще был обыск в одном банке, там какой-то банк был обнальный, и так было смешно, мы пришли в кабинет зампреда этого банка, который всем этим рулил, а у него, мне запомнилась тоже сумка, там лежало что-то 15 тысяч долларов, 15 тысяч евро, нескольких паспортов разных, и спортивный костюм Adidas. И еще билет был у него с открытой датой.
Павлович:
Т.е. есть такие билеты, где дата не указана, и ты пришел в аэропорт, и если есть место, то улетел в любой.
Никитин:
День или что? Некоторые авиакомпании предлагают для регулярных рейсов вот такие билеты, то есть с открытой датой они называются.
Павлович:
Ну это если место будет на данном рейсе, конечно.
Никитин:
Да, наверное, да, насчет этого не знаю, но вот я такой билет увидел, и просто прикольно, опять же, про сумку сейчас мне вспомнилось. Вот, ну вот как-то так.
Самые громкие раскрытые киберпреступления и хакерские атаки
Павлович:
Самые громкие раскрытые преступления ты про этого Попелыша сказал?
Никитин:
Ну, попил, что туда входит, еще был такой панч, да, это реально клевый, именно как технарь дядька, он написал эксплойт-кит свой, вот, и этот эксплойт-кит был настолько известен, что его даже закупали западные спецслужбы у него, вот, чтобы им пользоваться.
Павлович:
Ну, скажи для простых зрителей, кто слабо в технике понимает, что такое эксплойт-кит.
Никитин:
Да, это ExploitKit – это набор программ, которые эксплуатируют уязвимости как раз, допустим, в программах у посетителей, и фишка в том, что он писал не Trojan, он именно собрал и написал, скомпоновал вот этот набор программ для эксплуатации, и он продавал это как сервис, то есть это было там SaaS, да, то есть он говорит, я могу разливать любой ваш Trojan, кому угодно, просто с помощью моего ExploitKit, это как средства доставки, то есть оно эксплуатирует уязвимости у посетителей, а заливают уже любой троян.
Причем это может быть даже по расписанию. Днем заливается один троян, вечером заливается другой троян.
Павлович:
Ну, кстати, достаточно удобно, потому что вечером, допустим, порнуху там чаще качают, к примеру, да. Днем удобно заливать банковский троян, потому что могут на работе какие-то финансовые, в онлайн-банки ходить. Вечером, там, порнуха, соответственно, можно заливать троян такой, чтобы превратить его в бота и рассылать там потом спам через него, там прокси использовать.
Никитин:
Да, в общем вот он именно сам, как предприниматель, да, он открыл именно прям площадку, он ввел техподдержку, он удалял старые сплойты, он следил, чтобы они не детектировались с антивирусами и так далее. Долго проработал? Достаточно, наверное, года полтора, вот. Но он связался с ребятами из группы Карберп, это про них тоже у нас есть процесс релиз, это именно банковский троян был, группа Карберп, вот, которая крала деньги у юриков и физиков. И они разливали карбер через его сплойт, из-за чего он стал тоже интересен правоохранителем и был задержан.
Было несколько групп, связанных с андроид троянами. Наверное, самая смешная из них была группа «Пятый рейх».
Павлович:
Я думаю, многие из них сейчас смотрят тебя, потому что мне писали «изон карбер», не писали, а там полуверхушки знают, на связи, вот, а значит.
Никитин:
Пятый Рейх, там был очень одиозный владелец этой бот-сети, есть фото его задержания, у него в ванной плитке был выложен орел, этот, ну не фашистской Германии, надо, чтобы у него закинули фото каких-то прикольных, а я думаю, это есть, по-моему, это есть даже в пресс-релизах, вот, в общем, и у него админка, админка этой бот-сети была там, Пятый Рейх и так далее, вот, ну тут тоже такое необычная.
Вот, что еще такого прям громкого? Была группа HotProd, тоже банковские трояны, вот, и, скажем так, мы расследовали много инцидентов группы Lurk, вот, сейчас, кстати, над ними суд проходит, я не знаю, он не закончился, еще закончился, там глава этой группы, он активно ведет Facebook, вот, там прям много всего пишет, ну, интересное.
Вот, меня Три раза на запросы вызывали по видеоконференц-связи, потому что суд в Екатеринбурге проходит, но мы там не задерживали группу, не расследовали ее, там это делали Касперские, мы именно жертв, то есть исследовали компьютеры их жертв, там достаточно много было по всей России. Тоже очень крутые ребята, именно технической плане, они, во-первых, первые написали Torrent под 64-битные системы, То есть это еще было давно, когда Windows 7.64, типа, что-то новым было. Вот, и они первые написали свой крутой TrojanLurk. Он позволял внедряться в один клиент-банк, написанный на Java, и он позволял на лету менять реквизиты в ней.
И был пример, когда это выглядит как. Человек, допустим, бизнесмен, он заходит в свой клиент-банк, он проводит платежи, у него украли деньги, но Trojan позволял пересчитывать суммы, и он не видит именно этой транзакции. То есть он не видит вредоносных транзакций. Выписки. Да, да, да. И он говорит, у меня не украли деньги, что вы говорите, типа у меня все нормально на моем компьютере. А ему бухгалтер говорит, я не могу провести платежи, у нас ноль на счету.
Он говорит, да вот смотри, у меня-то все нормально. Вот. То есть Трой был интеллектуальный, он умел пересчитывать все это и подделывать. И когда ему уже объясняешь, что показываешь на другом компьютере, что на самом деле деньги украдены, вот. У меня просто был пример, что мы выезжали с представителями банка туда, ну же они звонят в банк и так далее, и там Этот гендир чуть ли не с топором бегал за банкирами, говорят, это не может быть, у меня-то здесь мои деньги, они все на месте, вот, то есть технически Троян был очень крутой, вот, но эта группа в какой-то момент начала красть деньги у банков вместе с другой группой, там, Бухтрап, вот, они там друг друга обвиняют, они там, в общем, чего только не приплетают, ну, в этом Фейсбуке, да, там, то, что они были завербованы, ну, в общем, чего только не было, но именно как Троян прикольный, и сама группа, это огромная группа,
была задержана, и они работали реально долго, они работали наверное почти 5 лет.
Привлекают ли к сотрудничеству с правоохранительными органами хакеров в России?
Павлович:
Привлекают ли в России правоохранительные органы, ну понятно, что большинство случаев можешь не знать, но привлекают ли к сотрудничеству какие-то хакеров детствующих или бывших? Почему спрашиваю, потому что мне очень часто задают этот вопрос, и лично у меня в практике таких знакомых нет.
Ну вот из Беларуси, допустим, и мне никогда не предлагали вот подобного плана сотрудничества, как с этим в России обстоит?
Никитин:
Да, расскажу. На самом деле мы не берем, например, бывших хакеров к себе на работу, хотя можно было бы в отдел там тестировать на проникновение и так далее, по той причине, что в большинстве случаев люди, которые особенно в большом масштабе, ну, крали деньги, у них перестраивается просто психология, да, они не очень готовы потом сидеть в офисе работать, вот, ну и именно тут про моральные качества их. Ну вы ладно, у вас свои причины. Я про спецслужбы.
И спецслужбы, вот как это обычно выглядит, да, то есть как это все представляют, что, допустим, если мы говорим про Россию, тебя посадят там в разведку, будешь ломать Пентагон. Ну условно, условно. На самом деле, хакеров активно используют, но в основном используют как агентуру, то есть как агентов, как осведомителей. Вот. Потому что для того, чтобы, например, сказать какому-нибудь хакеру о какой-то атаке, нам нужно взломать, допустим, там какие-то правительственные организации противника.
Все равно нужно ему рассказать вводную, нужно ему сказать совершенно секретную информацию, нужно ему доверять, да, а это невозможно, ну, они просто не пройдут эти проверки у спецслужб.
Павлович:
Но уровень коммерческих хакеров наверняка повыше,
Никитин:
Чем у тех, кто работает на правительство? — Есть намного выше, да, то есть есть примеры, когда намного выше, хотя сейчас у нас есть там всякие научные роты, да, ну и известно, что практически все сейчас крупные страны, они имеют свои именно киберразведывательные подразделения. Американцы регулярно нас обвиняют, там, в русских хакерах. Ну что, типа ГРУ, там, если б батальоны там….
Павлович:
Ну то есть это уже не мифы, да?
Никитин:
Вот, нет, это не мифы 100%, потому что я, например, лично встречался с китайскими троянами, китайскими хакерскими группами, которые атакуют наши предприятия, и я практически вижу даже по времени, когда они начинают работать, то у них там в Китае временная зона другая, они встали там с утра на построение, разошлись, значит, в этой части, и всё, они начали работать, это прям отлично прослеживается, что это там китайское время, и поэтому
точно так же есть обвинения вот с отношений США и России, они нас обвиняют, вот, и, грубо говоря, привлекают именно, ну, вот именно киберпреступников практически никогда напрямую, то есть только как осведомителей, или ещё есть примеры именно про вирусописатели. Я просто вирусописателей все время выделяю в отдельный колокласс, потому что очень часто это нормальные программисты, даже высококлассные, и они непосредственно в мошенничествах участия вообще не принимают никакого.
Они написали свой той, трое продали его, поддерживают его, но сами ничего не делают, не крадут, ничего такого.
Павлович:
Ну тут знаешь, такая законодательная грань есть, я просто и по своим делам сталкивался и в Америке, а вот, она знаешь как звучит, если ты знал, что его используют для кражи денег, либо для взлома там Пентагона, то все, заедут.
Никитин:
Нет, с правовой точки зрения, все как ты говоришь, то есть их привлекут 100%, я имею в виду именно то, что они часто не вовлечены вот в этот сам криминальный процесс, но именно иногда у них спецслужбы могут закупать какие-то модули. Вот, и есть примеры, когда, например, Россию обвиняют там на основании, допустим, что там где-то кириллица есть в каком-то модуле их вредоноса, а фишка в что этот модуль, может быть, вообще купили в Даркнете, или под заказ в Даркнете для них написали.
То есть проправительственные хакерские группы, они не чураются, используют любые инструменты и могут закупать их также, или даже на аутсорс отдать написание, но сами атаки они проводят, естественно, самостоятельно, не привлекая, как правило, никого из блэков.
То есть как агентуру, как осведомителей без проблем, даже как иногда консультантов, да-да-да, но не как настоящих, прямо активных бойцов.
О скупке «0-day» уязвимостей
Павлович:
Ну, точно так же спецслужбы американские, да, и бывшие всякие агенты, которые вышли на пенсию, они знаешь, чем занимаются, ну я просто знаком, и напрямую, и через посредников с такими людьми, они просто по всему миру скупают за сотни и миллионы, ну, по пятьсот тысяч долларов есть уязвимости, они за родные уязвимости скупают просто для сплойтов для американского правительства.
Никитин:
Да, есть даже целые компании, которые занимаются прямо официально скупкой этих уязвимостей, есть даже прайс-листы, например, сейчас полный чейн на iOS стоит полтора миллиона долларов. Что такое полный чейн? Это значит, что не нужно ничего делать, это полная цепочка всех вирусов, которые нужно, чтобы пользователя заразить, да, то есть человек просто открывает страницу и должна быть полный набор инструментария до получения полного доступа на его iPhone. Полтора миллиона долларов.
Полтора миллиона долларов, а под Android сейчас миллион долларов, тоже полный набор, то есть не просто уязвимость, да, они скупают, а прям готовый инструментарий, просто уязвимости там дешевле, по-моему, 500 тысяч, что ли.
Являются ли русскоязычные хакеры лучшими в мире и почему?
Павлович:
Давай это прозвучит чуть-чуть субъективно, но твое мнение, являются ли российские хакеры, куда мы относим и программистов, вот лучшими в мире?
Никитин:
Я бы сказал, как правило, вот СМИ и там американцы и политики, они неправильно принимают этот термин «российские хакеры. Я могу сказать, что русскоязычные хакеры действительно однозначно как инженеры, наверно, лучшие в мире, потому что просто исследуя огромное количество вредоносного кода, наши действительно пишут и делают лучше всех.
Павлович:
С чем ты связываешь, что именно на просторах СНГ, и я тебе скажу, больше именно Россия, а не правы, когда говорят Россия, потому что еще Белоруссия чуть-чуть, потому что в Украине больше кардеров, больше всяких мошенников. Но именно я просто лично знаком примерно стоп-20 хакеров мира, да, это вот здесь Челябинск получается, потом это Сыктывкар, там Скорпа, да, Дринкман и братья, потом я только одного
человека знаю, который ломал там СЭК, этот американский биржу и вообще очень крупные мишени с Украины, в основном все топ-хакеры, ну с Беларуси несколько знаю, в основном вот из этих 20 условно человек из них будет там 14 из России именно поэтому наверное все-таки в СМИ правы когда говорят ну российские да ну конечно же мы как с тобой живем здесь мы понимаем что это весь СНГ но с чем ты связываешь что именно вот как так сложилось да что именно ну как часы швейцарские да условно считаем лучшее мире почему именно вот это вот земля именно российские хакеры русскоязычные такие лучшие в мире, на твой.
Никитин:
Субъективный взгляд? Ну тут комплекс причин на самом деле, первое из них это отличное советское образование, которое не успели развалить, и в основном хакеры это молодые люди до 40, то есть они еще получали там, ну может быть в 90-х образование школьное, но все равно это еще остатки советского образования, это первое, то есть именно инженерное образование, я не говорю, что это прям там высшее, Причем большинство хакеров, которые я знаю, они либо безвнево, либо не оконченное выше имеют.
И это, кстати, не принципиально вообще, потому что они в основном самоучки и так далее. Но вот именно база, школьная база, она отличная, и это первое по спору. Второе, огромное количество этих молодых людей не смогли реализоваться, то есть много из них из регионов. Как раз из Москвы очень мало хакеров, а большинство из них, из кого я знаю, опять же, они из регионов, потому что они там не могли найти себе нормальную работу.
Я помню, мы задерживали, ну мой коллега задерживал дедостера под Иркутском, то есть это в Иркутске, и под ним еще был какой-то город, вот, и там парень дедостил, причем зарабатывал очень неплохо, там десятки тысяч долларов в месяц, по местным меркам, я имею ввиду. Вот, и мы пришли туда, ну они пришли туда, а там такой полный молодой человек, совсем молодой, вот, он говорит, у меня выбор небольшой, у нас либо здесь уголь добывать, а у меня, говорит, астма, либо, говорит, курицу типа на птицефабрике типа щипать, а у меня аллергия, говорит.
Поэтому вот я дедонедосом занимался, вот, а больше работы нет в городе вообще.
Павлович:
Образование первое, второе не реализовалось, ну нет возможности для реализации.
О наказании за киберпреступления в России: как это было раньше и как сейчас?
Никитин:
Да, и мягкость, мягкость наказания кебе преступления, то есть достаточно долгое время у нас была, были только вот эти три компьютерные статьи, и если кто не знает, там третья статья, она вообще не рабочая, это типа неправильная эксплуатации компьютеров в сети, вообще по ней нет дел практически, и она нерабочая. Всего две статьи, первая – это неправомерный доступ к охраняемой законно-компьютерной информации, а вторая – это создание, распространение вирусов, программ или компьютерной информации и так далее.
Павлович:
А есть что-то здесь по российскому УК, аналогично от белорусской 212, это хищение с использованием компьютерной техники?
Никитин:
Вот сейчас до этого договорю, да. Изначально были вот эти три статьи, одна нерабочая вообще, то есть две, и там, если это первый какой-то приговор, первая ходка, то там условный вообще срок практически всегда, и сама статья, связанная с мошенничеством, 159-ая, она вообще была без подпунктов, и там не было ничего про это, и там было отдельное разъяснение Верховного суда о том, как это применять,
и что вот именно, допустим, через ДБО это мошенничество, потому что фактически злодеи, они как будто бы злоупотребляют доверием банка и так далее, юридическая казуистика. Но потом были внесены изменения в УК, и сейчас у нас есть 159 часть 6, которая как раз именно мошенничает с использованием компьютерной техники, и еще есть отдельно по-моему четвертая, это именно с банковскими картами, вот, и теперь их судят по совокупности, то есть там компьютерные статьи, да, это именно, но компьютерные статьи давно перестали быть самоцелью, то есть никому не интересует просто неправомерный доступ, да, и вот для чего-то он, Ну, деньги их ищут. Да. И там уже следующая статья. И там уже можно доказать ущерб, а на самом деле по российскому наказанию там уже миллион рублей – это особо крупный размер. И это офигеть.
Павлович:
Ну, в Беларуси еще меньше, там 10-12 тысяч долларов, ну здесь 15 тысяч.
Никитин:
Да, и это офигеть, какой срок, там уже, то есть там если будет еще и компьютерная статья доказана, они там будут суммироваться, и там можно получить даже за первый раз лет 8, ну вот, что достаточно сурово.
Павлович:
Но при всем этом, знаешь, в России это издавна выражение старских времен еще, не помню, кто классик сказал, что в России строгость законов компенсируется необязательностью их исполнения. И я вижу до сих пор ребят, которые там, украв миллион долларов, получают пять лет.
Никитин:
Условно. Конечно, есть примеры, но то есть слабое законодательство, да. У нас, допустим, до сих пор огромное количество киберпреступлений, которые во всем мире выделяют в отдельные, вообще их нет. Тот же DDoS, тот же спам и так далее, то есть, а у нас это там очень сложно, это же DDoS, допустим, это нужно доказать, что у вас есть бот-сеть, это уже вирусы, которая будет атаковать кого-то, что привело к блокированию информации. Ну и за что досер рассудить тогда вот?
Нет, за что, из практики, как его судят? Его судят по совокупности статей, то есть, его судят за распространение ботов, которыми он досит, и судят за то, что боты заблокировали информацию на каком-то ресурсе, но это настолько все сложно для адвокатов, следствий и судей, что в общем, ну, как бы это прям в суде это выглядит очень и очень вяло.
Павлович:
А если он стрессор арендовал у кого-то готовых ботов по сути?
Никитин:
Я могу сказать, даже был пример, когда человек антидозащиту осуществлял, а у него один из клиентов был шлюха сайт, то есть там публичные дома, там индивидуалки, и его судили за вовлечение в протитуцию вместе с этой группой, потому что он их защищал.
Павлович:
Это уже перегиб, конечно.
Никитин:
А он говорит, да, у меня, говорит, кто угодно может купить мои услуги, там просто меняется А-запись, да, и все, я защищаю, там мой айпишник появляется вместо их, и я просто, я даже, говорит, не знаю, чем занимаются эти клиенты.
Павлович:
Да, я допускаю, я Досгвардом пользуюсь, и, конечно, я вот завтра изменю, и они ничего не увидят вообще, что я там поменял.
Никитин:
Вот, и как бы поэтому, ну, бывают абсурды, да, бывают абсурдные ситуации, вот, но вот слабое законодательство Это минус. Чтобы всем участникам процесса было понятно, за что их судят, как их судят. Даже вот банально. У нас есть там, это называется, вредоносные программы. А нигде нет определения, что такое вредоносные программы. То есть в УК есть статья за вредоносные программы, но критериев вредоносности и определения именно в УК нет.
Вот. И выясняется, что, оказывается, вредоносность – это юридическое понятие. И эксперт, ну как я, технарь, он не может сказать, что программа вредоносная. Я могу сказать, что, смотрите, программа делает то-то, то-то, то-то, и только суд или следствие могут признать, ага, мы считаем, что эти действия, они вредоносные. У меня есть пример в практике.
Павлович:
Но ты же можешь, с другой стороны, вот ты в данном случае, Мерила, да, выступаешь такой, ты можешь и в ту сторону повернуть, и в эту. Также и судья может повернуть из-за того, что четких критериев не прописано.
Никитин:
Вот, да, я именно про это. То есть, я, значит, как эксперт, я всегда просто описываю функционал вредоноса, говорю, вот она делает то-то. Вот. А уже они решают, что и как, и в судах как бы это уже давно отработанная практика, но это всегда там проблемы для, даже для подсудимых, они бы хотели, ну, какое-то большее понимание в процессе. Вот. И опять же, то есть там бывают ковичные примеры, тайм-машины, о которых мы сейчас говорили, я знаю пример одного судебного решения, где тайм-машина была принята, признана вредоносной программой.
И расскажу, как это произошло. Что админ настроил тайм-машин на компьютере босса, и тайм-машина сливала на тайм-капсулу эти бэкапы, а он их оттуда крал. И получается, что тайм-машина выступала как троян, потому что босс не знал о том, что эти бэкапы делаются, и суд признал тайм-машин вредоносной в данном конкретном случае.
Потому что важна не только сама программа, но и как и для чего она использовалась, вот все эти юридические обстоятельства.
Павлович:
Хорошо, что мы делаем, чтобы больше российских талантливых ребят попадало не за решетку, а мы их знали как создателей Гугла.
Продолжение следует...
Last edited:
