Як кардер вийшов із в’язниці і робить бізнес на кібербезпеці
Дмитро Насковець про своє ремесло
Після звільнення Насковець та Бух створили компанію Cybersec у Нью-Йорку — вони допомагають бізнесу боротися з кібератаками та шукати вразливі місця у системах безпеки. «Секрет» поговорив з Насковцем та Бухом про захист даних та майбутнє їхньої компанії.
— Ваш текст на білоукраїнському сайті багатьох вразив своєю відвертістю.
— Так, нормальний резонанс пішов завдяки тому, що мене заарештували американські спецслужби. Вони дуже люблять роздмухувати — прокурор одразу пішов на прес-конференцію. У тій же Німеччині чи Чехії зовсім інше ставлення, менший за медійний натиск. Мені вже зателефонували продюсери, пропонують написати сценарій, зробити серіал чи кіно. У них там контракти, як у акул, хочуть, щоб ти цю історію нікому не розповідав, купа будь-яких обмежень. Будемо думати.
— Але ви все-таки хакер чи кардер? Програмуєте?
— Ні, я навіть Windows перевстановити не можу, комп'ютер взагалі не люблю. У нас розуміють різницю між хакером та кардером, а в Америці ФБР люблять роздмухувати історії про те, що ловлять хакерів, це корисно для кар'єри. А який я хакер? Там зовсім інші навички потрібні. Якщо ти хочеш обдурити людину, витягнути з неї пароль, ти не повинен розбиратися в технічних зломах, ти маєш зателефонувати та представитися, поговорити з представниками банку.
— Чому так багато хакерів і кардерів із колишнього СРСР потрапляють до Америки? Як виникла ця спільнота?
— Наприкінці 90-х у будинках з'явився інтернет, люди отримали інформацію та дізналися, що за допомогою простих математичних формул можна генерувати номери карток, купувати в американських магазинах реальні продукти. Кардер - той же злодій, але йому не потрібно йти в магазин і бачити жертву. Почали створювати закриті форуми,обмінюватися досвідом. Я спілкувався на українськомовних та американських форумах. Є купа непрофесійних форумів, де тусуються школярі, які намагаються вкрасти $50. Реальних злочинців, які заробляють по $10 000 на місяць, в українськомовному світі десь 15 000 людей.
Кардери та хакери є у всіх країнах світу, але наших більше, бо ми голодніші. Німець або американець може заробити свої $100 000 на рік, сидячи в офісі. Москвичів теж небагато, а ось Мінськ, Харків, якесь маленьке місто в Естонії — там усе починається.
- Велика конкуренція?
— Божевільна. Хтось вигадав нову схему і нікому про неї не розповідає. Все секретно, часто люди параноя з приводу того, що їх кинуть, що прийде поліція. Наприкінці операції гроші залишаються в одного, завжди є небезпека, що він кине. Атмосфера специфічна.
— Виходило багато заробляти?
— Вистачало на гідне життя — не мільйони, а тисячі доларів заробляв. До цього я працював у банку та автодилером, отримував $300–400 на місяць, а тут міг такі ж гроші заробити за день. За нашими мірками я була багата людина.
— Бувало відчуття: зараз вас знайдуть?
Мені подобалася атмосфера — таємність, ніхто не знає, чим ти займаєшся, належиш до якоїсь закритої спільноти. Щоразу не знаєш, чи зможеш обійти систему безпеки банку. У Білоукраїнсії та Україні заарештовували дуже рідко, зараз уже частіше. У КДБ Білоукраїнсії все нормально: запустили такі шпигунські програми, яких навіть наші фахівці з безпеки не бачили. Кардерів складно відстежити - весь прибуток йде в електронній валюті, яка оформлена на неіснуючі імена. Більше заарештовують кардерів, які на вулиці скоюють злочини, наприкладгенерують картки та йдуть з ними знімати гроші до банкомату. А якщо ти дзвониш зі Skype в американський банк десь у Техасі, знайти тебе дуже важко. Нас знайшли завдяки інформаторам, а не якимось технічним помилкам.
В Америці, якщо йдеться про суму меншу за $10 000, навіть розслідування не починають — банку простіше швиденько повернути гроші зі страховки. Вони страхують усі рахунки, а гроші крадуть із 5%, тож це навіть вигідно.
- Моральні дилеми?
Рідко. Ти практично не чуєш голос своєї жертви – розмовляєш із банком, із співробітником безпеки банку, жертва у тебе лише у вигляді імені на екрані. У мене нещодавно у самого вкрали картку, за ніч зняли 800 доларів. Я зателефонував до банку, і ці гроші відразу повернулися. Це інший рівень — не те, що фізично вкрасти гроші з гаманця. Потім уже, в залі суду, коли читаєш якісь заяви, розумієш, що у людини стрес, ти заліз у його заощадження.
Ще є такий момент у співтоваристві — думка, що Америку треба душити. Люди пропагують: ми українськомовні і маємо душити ворога. Роман Вега, який одержав 17 років арешту, проводив симпозіуми в готелях. Його думка — цією інформацією має мати кожна українськомовна людина, і таким чином ми всіх переможемо. Хакери зараз якісь політичні завдання виконують.
— Чому після в'язниці ви вирішили зайнятися кібербезпекою?
— Багато злочинців, яких я бачив, навіть не думають, що можна заробити інакше, але це не мій варіант. Арешт став полегшенням - нарешті ця каша закінчилася. Я поставив хрест на злочинній діяльності у 2010 році.
Але коли я вийшов із в'язниці, було стільки уваги. Партнери сказали, що його можна використовувати у бізнес-цілях. Тож я став віце-президентом Cybersec.org. Я непозиціоную себе як хакер, не обманюю клієнтів. Я займаюся операційною роботою, збираю інформацію, мені маркетинг. Але все одно іноді доводиться відповідати на питання щодо проблем безпеки, грати в гру, що я експерт. Може, я експерт зі злочинів, але точно не в галузі комп'ютерів.
— Ви тепер боретеся з такими, як ви?
— Так, ми допомагаємо захистити від таких людей, якими самі були 2007 року. Наша робота пов'язана зі зберіганням баз даних, де йдеться про чутливу інформацію та особисті дані.
Коли йдеться про зберігання особистих даних, чи то історії хвороби у лікарнях, чи бази даних клієнтів у банках, є закони, які вимагають використовувати захист на певному рівні. Компаній у сфері кібербезпеки багато, але переважно в них працюють нещодавні випускники університетів. У них знання лише з підручників.
— А у вас у компанії які є фахівці?
— Зараз є чотири людини, які на світовому рівні створюють фантастичні речі в галузі безпеки, вірусів, вигадують усілякі схеми. Мій партнер Владислав Хорохорін має глибокі знання в різних областях, знає чотири мови, у нього багато знайомих у хакерському світі. Він зараз сидить у в'язниці, але може спілкуватися звідти електронною поштою, допомагає нам консультаціями.
— Створити компанію запропонував ваш адвокат Аркадій Бух?
Мені така думка ніколи б на думку не спала. У нас уявити, що ти працюєш в адвокатському офісі після того, як сидів у в'язниці, нереально. Уявіть, якби американець сидів у в'язниці в Україні, вийшов би, його не депортували до Америки, чи зміг би він відкрити компанію?
— Скільки можна заробити вашими консультаціями?
— Акції компаній із кібербезпеки зростають у ціні. Ринокконсультацій у цій галузі до 2020 року досягне $120 млрд. Fireye, яка працювала з Sony і банком Chase, капіталізує $6,7 млрд. Ціни на послуги кібербезпеки зростають: у 2011 році консультації коштували $190 на годину, зараз можуть коштувати $500.
— Ваша репутація не заважає працювати з великими клієнтами?
— Найчастіше відділ безпеки готовий співпрацювати. Впиратися можуть ті, хто несуть відповідальність перед акціонерами. В Америці відкрито ніхто не співпрацює зі злочинцями, навіть коли йдеться про вигідні відносини. Якісь люди думають, бандит і є бандит, вкраде все. Але багато хто готовий ризикнути.
— Скільки людей у компанії займаються операційною роботою?
- У нас у команді п'ять осіб. Найманих співробітників як таких у нас немає, фахівці просто вступають до нашого колективу, якщо у них є відповідні навички. Укладаємо з ними контракт як із незалежними консультантами.
— Інші партнери чим займаються?
— Аркадій Бух займається юридичною часткою. Я займаюся всім від створення візиток до зустрічі з клієнтами, тому що я в Америці і на волі. Інші надають кадри. Ігор Клопов (сидів в американській в'язниці, але був депортований до України за власним бажанням) у Москві відповідає за роботу сайту та наш бренд в інтернеті. Все само собою розподілилося.
— Чи можна зламати Telegram?
— Якщо дати $1 млн і шість місяців, будь-де знайдеться дірка. Це завжди питання часу та ресурсів. В американських спецслужбах дуже великий бюджет і багато співробітників, тому вони знаходять, кого треба. Якщо технічно захищеність серйозна, то дірка з'являється у людських звичках. Та сама коханка може виявитися інформатором. Ніхто в жодній системі не може гарантувати безпеку.
Наша справа полягає в тому, щоб дати бізнесу максимально професійну пораду, що він може зробити спати спокійно.
— З якими проблемами до вас приходять?
— Скрізь різні вимоги та завдання, це цікаво, немає рутини. Часто просять підігнати безпеку під вимоги держави щодо присутності компанії в інтернеті.
— Свої системи розробляєте?
— Зараз розроблятимемо ПЗ, яке зможе сканувати ресурси на всілякі вразливості. Це серйозний проект, шукатимемо інвестиції. Якщо ми хочемо бути на ринку, маємо створити щось унікальне.
— Я читала, що ви пропонували свої послуги American Express, чим ви могли б їм допомогти?
— Так, я писав, що можу попрацювати з їхньою системою безпеки. Коли я дзвонив у банки, проблема найчастіше була у людському факторі. Кажеш - я ваш клієнт 20 років, ви мене душите питаннями вже 15 хвилин, у мене на роботі і так дебіл директор, ще ви тут нерви трясете. Включаєш таке і воно спрацьовує у всіх великих американських банках. А в українському банку так не вийде. Там операціоніст все одно, які у тебе проблеми, інші принципи працюють. Він насамперед думає про своє місце.
Аркадій Бух, американський адвокат:
Я звернув увагу на те, що у більшості компаній з кібербезпеки є добрі аналітики, іноді колишні прокурори, white-hat-хакери. Але ніхто з них не ламав банки чи держорганізації для крадіжки інформації.
Тим часом хакери, яких я захищав, від початку до кінця проводили атаку та збирали дані. Я мав вихід на цих людей, вони зацікавлювалися проектом. Вони чудово розуміють, що бюджети компаній величезні, більше, ніж гроші, які хакери отримують від замовників за шкоду, яку вони завдають.Приклад: сьогодні база даних, вкрадена з Michaels або іншого супермаркету — мільйон номерів кредитних карток — на форумі продається за $250 000. Сама компанія готова заплатити такі самі гроші за перевірку вразливості. Ми можемо захистити її від зовнішніх та внутрішніх атак.
Я за освітою адвокат, адвокати гарантій не дають, бо ти ніколи не знаєш, що люди ще придумають. У хакінгу немає гарантій, навіть якщо ти найбільший хакер. Завжди знайдеться той, хто побачить чергову дірку. Але у нас у бізнесі гарантії не потрібні. Добре захищену систему поламати складніше за інших. Хакери – люди ліниві, вони йдуть туди, де простіше дістати дані.
Зараз з нами працюють десятки відомих хакерів, багато з них у розшуку, експертиза знань та умінь дуже широка. Моя адвокатська контора існує вже десять років, щорічно виторг зростає на чверть. Сподіваюся, ця компанія буде такою ж успішною.
Фотографія на обкладинці: надана героєм матеріалу