Diverse
Контракт со взломом: как хакер построила бизнес за счет банков и корпораций
Алиса Шевченко «взламывает» компьютерные системы крупных компаний по их заказу и зарабатывает около 10 млн рублей в год. За что компании ей платят?
В фабричных окнах загорается свет. Локомотив тянет вагоны через железнодорожный переезд. Кран поднимает грузы. Миниатюрный городок, появившийся в мае этого года в московском техноцентре Digital October, — не игрушка, а хакерский полигон, построенный для форума Positive Hack Days.
За сотню километров от этого места, сидя в подмосковном коттедже, блондинка с татуировкой-иероглифом на левом предплечье взламывает со своего компьютера систему управления предприятием городка-полигона. Она побеждает в конкурсе «Взлом умного города» — легальной хакерской атаке, нацеленной на выявление слабых мест в инфраструктурных и промышленных системах.
«Я даже не ожидала такой тривиальности — около 10 критических уязвимостей всего за пару часов», — рассказывает Алиса Шевченко, она же Esage, она же владелица компании «Цифровое оружие и защита» с годовой выручкой около 10 млн рублей.
В 15 лет Алиса выучила язык ассемблера, но программистом не стала — ее больше интересовали взломы.
Бросила учебу в трех технических вузах, посчитав, что попусту теряет время, а сейчас ее приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана.
Свою первую компанию EsageLab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году. «Ей всегда было интересно узнать и понять, как все устроено изнутри, а потом использовать эти знания, для того чтобы обойти систему», — вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», где Шевченко пять лет работала вирусным аналитиком. Расследуя кражу денег в одном из российских банков, вспоминает Гостев, он показал Шевченко выявленный руткит-модуль (программу, которая в обход антивирусов скрытно управляет компьютером).
Для Алисы-Esage руткиты были профессиональной страстью, и она вспомнила, что уже видела похожий. В итоге взломщик был обнаружен, а Шевченко почувствовала, что на противодействии киберпреступникам можно заработать: «Документы, которые раньше прятали в сейфах, переместились в компьютеры, на смену кешу приходил интернет-банкинг, и криминал двигался к тому, чтобы захватывать цифровые активы».
«В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей практически не было, он появился к 2010 году», - считает Александр Поляков, технический директор из питерской компании Digital Security.
На целевых атаках зарабатывали прежде всего хакеры-преступники, охотившиеся за деньгами или промышленными секретами. Поначалу бизнес EsageLab был связан с консалтингом и исследованиями целевых атак. Стартовых инвестиций не понадобилось: весь капитал заключался в навыках нескольких проверенных сотрудников и собственных компьютерах.
Первых крупных заказчиков EsageLab получила по рекомендации системного интегратора «ДиалогНаука», с руководством которого Шевченко была знакома. К примеру, в 2010 году один из российских банков обратился в EsageLab, чтобы разобраться, как с помощью сотен поддельных денежных переводов кибермошенники выводили суммы от $3000 до $30 000.
Группа Шевченко нашла бреши, через которые атакующие внедрились в систему банка и могли бы вновь это сделать в любой момент. Такие расследования, которые показывали логику и сценарий атаки, занимали у EsageLab в среднем месяц работы и приносили $10 000–15 000 выручки.
Гендиректор «ДиалогНаука» Виктор Сердюк подтвердил Forbes факт сотрудничества с Шевченко, но раскрывать подробности не стал, сославшись на конфиденциальность информации. Судя по списку выигранных контрактов, клиентами интегратора были суды, Минобороны, структуры ФСО, аппарат Госдумы, Сбербанк, «Газпром», «Транснефть», МТС, «Мегафон». Партнерство «ДиалогНаука» с EsageLab было вполне логичным, считает руководитель Group-IB Илья Сачков: для интеграторов поиск уязвимостей — это подготовка дальнейших поставок клиентам софта и оборудования.
В 2009 году Алиса Шевченко, по ее словам, получила от заказчиков 1,5 млн рублей. Обратился к ней и бывший работодатель. EsageLab тестировала один из антивирусов KasperskyLab. «Поработали хорошо, нашли много уязвимостей», — вспоминает предпринимательница.
Однако бизнес оказался не столь привлекателен, как казалось вначале: контракты на расследования и тестирования разовые, накладные расходы велики, команду надо постоянно держать в Москве.
Шевченко решила сосредоточиться на том, что у нее получалось лучше всего, — на взломах-проверках. Так можно было заполучить клиентов на длительное обслуживание.
В поисках новых вариантов партнерства Шевченко переговорила с Натальей Касперской. К тому времени соосновательница «Лаборатории Касперского» вышла из бизнеса бывшего мужа и развивала свою компанию InfoWatch. «Алиса занималась консультациями в области защиты от руткитов. Было непонятно, как на этом можно было заработать. Инвестировать мы не стали, но какими-то советами помогли», — вспоминает Касперская.
Владелице EsageLab нужно было около $150 000 на создание программного инструментария для управляемых взломов. За год с лишним она заработала недостающую сумму. В 2011 году Шевченко заключила первый контракт по поиску уязвимостей в ПО для компании «ИнформЗащита», а в следующем году — первый контракт по пентестам (испытаниям на проникновение) с Parallels.
Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security (агрессивная защита информации), в России — «боевые учения». Команда Шевченко знает лишь название компании-клиента и по открытым источникам собирает информацию на ключевых сотрудников, как при подготовке к реальному киберпреступлению (например, через компьютер сисадмина можно проникнуть в критические узлы локальной сети). Дальнейшие действия — информация, не подлежащая разглашению.
Штатных сотрудников Шевченко отбирала долго и тщательно. Еще до «Лаборатории Касперского» она тусовалась на хакерских сайтах под ником codera. Из числа знакомых по сообществам — хакеров из Санкт-Петербурга и Новосибирска, не связавшихся с криминалом, — она и стала собирать команду. «Это мои лучшие специалисты, проверенные годами», — уверяет Шевченко.
На вопрос о возможности проверки на полиграфе она пожимает плечами: «Хакеры знают, как его обойти. «Детектор лжи» мне часто заменяет женская интуиция».
Другим источником кадров для Шевченко стал хакспейс «Нейрон», открывшийся в Москве в 2011 году. Хакспейс — нечто среднее между коммуной гиков-технарей и советским кружком робототехники. Идея создания хакспейса появилась у Алисы Шевченко и Александра Чемериса, основателя компании Fairwaves (разработка GSM-оборудования для сотовой связи), после посещения аналогичных мест в Берлине.
Проект, по словам Шевченко, некоммерческий: аренда помещения в Хохловском переулке обходится в 220 000 рублей в месяц, членство в хакспейсе стоит от 3000 до 10 000 рублей в месяц (первые полтора года хакспейс существовал за счет EsageLab, сейчас его поддерживает «Лаборатория трехмерной печати»). Зато среди полусотни участников «Нейрона» всегда есть, кого взять на стажировку, работу над внутренними проектами, а потом, если кандидат пройдет отбор, на очередной контракт ЦОР.
На досуге предпринимательница-хакер ищет слабые места в системах Microsoft, Apple, Adobe. За выявленные «дыры» платятся премии (в среднем $2000 за одну уязвимость), так что за уязвимостями охотятся сотни независимых хакеров, конкурирующих с собственными отделами тестирования вендоров.
Участвует она и в онлайн-соревнованиях по компьютерной безопасности: «В одиночку против команд — это ни с чем не сравнимый тренинг всех отделов мозга».
Городская среда для Алисы Шевченко — поле для тренировки. Однажды, отправляя зарплату сотрудникам с компьютера, на котором установлено оборудование для поиска уязвимостей, она обнаружила бреши в банковской системе. На вокзале, купив билет в автомате, задержалась возле терминала. «Смотрите, на табло высвечивается меню программного обеспечения, — Шевченко показывает фотографию в своем телефоне. — Значит, можно установить на терминал модифицированную «прошивку», например, чтобы выводить деньги».
Недавно фирма Polaris попросила ее протестировать на наличие уязвимостей модель пароварки, которой можно управлять через Интернет. Проблема в том, что через блок управления бытовым устройством можно влезть в локальную сеть и выкачать из домашнего компьютера информацию. Судя по всему, пока существует Интернет, без заказов Шевченко не останется.
via | www.forbes.ru
Autentificare
Autentificarea se poate efectua cu ajutorul adresei de E-mail sau a Login-ului
E-mail/Login *
Parola *
Contul de utilizator a fost creat cu succes. Pentru confirmarea înregistrării accesați linkul de confirmare expediat la e-mailul indicat în formularul de înregistrare, care este valabil până la 30 zile calendaristice
Adresează-ne o întrebare
Dorești să obții un răspuns rapid si complex sau să ne sugerezi tematica unui articol necesar procesului tău de lucru? Loghează-te, expediază întrebarea sau sugestia și primești răspunsul experților în cel mai scurt timp la adresa de e-mail sau în profilul tău de pe pagină.
E-mail *
Mesaj *
0/500
Comanda serviciului prin telefon
Introduceți corect datele solicitate și în scurt timp veți fi contactat de un operator
Prenumele *
Numele *
E-mail *
Telefon *
Feedback
Pentru monitorizarea statutului de prelucrare a Feedbackului expediat, recomandăm inițial să parcurgeți procesul de autentificare pe portal. Astfel, mesajul de răspuns din partea PP „Monitorul Fiscal FISC.md” la feedback se va salva și afișa în Profilul Dvs. În cazul expedierii feedback-ului fără a fi autentificat pe portal, mesajul va fi remis la adresa de e-mail.
E-mail *
Mesaj *
0/500
Stimate utilizator
Pentru îmbunătățiri ulterioare vă îndemnăm să oferiți un feedback cu privire la calitatea și disponibilitatea serviciilor furnizate prin intermediul site-ului web și al interfeței de utilizator comune.
1989 vizualizări
Data publicării:
13 Februarie /2015 19:30
Domeniu:
Noutăți
Etichete:
компании | хакеры | бизнес | банки | корпорации
0 comentarii
Doar utilizatorii înregistraţi şi autorizați au dreptul de a posta comentarii.