13
02 2015
1318

Контракт со взломом: как хакер построила бизнес за счет банков и корпораций

Алиса Шевченко «взламывает» компьютерные системы крупных компаний по их заказу и зарабатывает около 10 млн рублей в год. За что компании ей платят?

В фабричных окнах загорается свет. Локомотив тянет вагоны через железнодорожный переезд. Кран поднимает грузы. Миниатюрный городок, появившийся в мае этого года в московском техноцентре Digital October, — не игрушка, а хакерский полигон, построенный для форума Positive Hack Days.

За сотню километров от этого места, сидя в подмосковном коттедже, блондинка с татуировкой-иероглифом на левом предплечье взламывает со своего компьютера систему управления предприятием городка-полигона. Она побеждает в конкурсе «Взлом умного города» — легальной хакерской атаке, нацеленной на выявление слабых мест в инфраструктурных и промышленных системах.

«Я даже не ожидала такой тривиальности — около 10 критических уязвимостей всего за пару часов», — рассказывает Алиса Шевченко, она же Esage, она же владелица компании «Цифровое оружие и защита» с годовой выручкой около 10 млн рублей.

В 15 лет Алиса выучила язык ассемблера, но программистом не стала — ее больше интересовали взломы.

Бросила учебу в трех технических вузах, посчитав, что попусту теряет время, а сейчас ее приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана.

Свою первую компанию EsageLab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году. «Ей всегда было интересно узнать и понять, как все устроено изнутри, а потом использовать эти знания, для того чтобы обойти систему», — вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», где Шевченко пять лет работала вирусным аналитиком. Расследуя кражу денег в одном из российских банков, вспоминает Гостев, он показал Шевченко выявленный руткит-модуль (программу, которая в обход антивирусов скрытно управляет компьютером).

Для Алисы-Esage руткиты были профессиональной страстью, и она вспомнила, что уже видела похожий. В итоге взломщик был обнаружен, а Шевченко почувствовала, что на противодействии киберпреступникам можно заработать: «Документы, которые раньше прятали в сейфах, переместились в компьютеры, на смену кешу приходил интернет-банкинг, и криминал двигался к тому, чтобы захватывать цифровые активы».

«В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей практически не было, он появился к 2010 году», — считает Александр Поляков, технический директор из питерской компании Digital Security.

На целевых атаках зарабатывали прежде всего хакеры-преступники, охотившиеся за деньгами или промышленными секретами. Поначалу бизнес EsageLab был связан с консалтингом и исследованиями целевых атак. Стартовых инвестиций не понадобилось: весь капитал заключался в навыках нескольких проверенных сотрудников и собственных компьютерах.

Первых крупных заказчиков EsageLab получила по рекомендации системного интегратора «ДиалогНаука», с руководством которого Шевченко была знакома. К примеру, в 2010 году один из российских банков обратился в EsageLab, чтобы разобраться, как с помощью сотен поддельных денежных переводов кибермошенники выводили суммы от $3000 до $30 000.

Группа Шевченко нашла бреши, через которые атакующие внедрились в систему банка и могли бы вновь это сделать в любой момент. Такие расследования, которые показывали логику и сценарий атаки, занимали у EsageLab в среднем месяц работы и приносили $10 000–15 000 выручки.

Гендиректор «ДиалогНаука» Виктор Сердюк подтвердил Forbes факт сотрудничества с Шевченко, но раскрывать подробности не стал, сославшись на конфиденциальность информации.Судя по списку выигранных контрактов, клиентами интегратора были суды, Минобороны, структуры ФСО, аппарат Госдумы, Сбербанк, «Газпром», «Транснефть», МТС, «Мегафон». Партнерство «ДиалогНаука» с EsageLab было вполне логичным, считает руководитель Group-IB Илья Сачков: для интеграторов поиск уязвимостей — это подготовка дальнейших поставок клиентам софта и оборудования.

В 2009 году Алиса Шевченко, по ее словам, получила от заказчиков 1,5 млн рублей. Обратился к ней и бывший работодатель. EsageLab тестировала один из антивирусов KasperskyLab. «Поработали хорошо, нашли много уязвимостей», — вспоминает предпринимательница.

Однако бизнес оказался не столь привлекателен, как казалось вначале: контракты на расследования и тестирования разовые, накладные расходы велики, команду надо постоянно держать в Москве.

Шевченко решила сосредоточиться на том, что у нее получалось лучше всего, — на взломах-проверках. Так можно было заполучить клиентов на длительное обслуживание.

В поисках новых вариантов партнерства Шевченко переговорила с Натальей Касперской. К тому времени соосновательница «Лаборатории Касперского» вышла из бизнеса бывшего мужа и развивала свою компанию InfoWatch. «Алиса занималась консультациями в области защиты от руткитов. Было непонятно, как на этом можно было заработать. Инвестировать мы не стали, но какими-то советами помогли», — вспоминает Касперская.

Владелице EsageLab нужно было около $150 000 на создание программного инструментария для управляемых взломов. За год с лишним она заработала недостающую сумму. В 2011 году Шевченко заключила первый контракт по поиску уязвимостей в ПО для компании «ИнформЗащита», а в следующем году — первый контракт по пентестам (испытаниям на проникновение) с Parallels.

Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security (агрессивная защита информации), в России — «боевые учения». Команда Шевченко знает лишь название компании-клиента и по открытым источникам собирает информацию на ключевых сотрудников, как при подготовке к реальному киберпреступлению (например, через компьютер сисадмина можно проникнуть в критические узлы локальной сети). Дальнейшие действия — информация, не подлежащая разглашению.

Штатных сотрудников Шевченко отбирала долго и тщательно. Еще до «Лаборатории Касперского» она тусовалась на хакерских сайтах под ником codera. Из числа знакомых по сообществам — хакеров из Санкт-Петербурга и Новосибирска, не связавшихся с криминалом, — она и стала собирать команду. «Это мои лучшие специалисты, проверенные годами», — уверяет Шевченко.

На вопрос о возможности проверки на полиграфе она пожимает плечами: «Хакеры знают, как его обойти. «Детектор лжи» мне часто заменяет женская интуиция».

Другим источником кадров для Шевченко стал хакспейс «Нейрон», открывшийся в Москве в 2011 году. Хакспейс — нечто среднее между коммуной гиков-технарей и советским кружком робототехники. Идея создания хакспейса появилась у Алисы Шевченко и Александра Чемериса, основателя компании Fairwaves (разработка GSM-оборудования для сотовой связи), после посещения аналогичных мест в Берлине.

Проект, по словам Шевченко, некоммерческий: аренда помещения в Хохловском переулке обходится в 220 000 рублей в месяц, членство в хакспейсе стоит от 3000 до 10 000 рублей в месяц (первые полтора года хакспейс существовал за счет EsageLab, сейчас его поддерживает «Лаборатория трехмерной печати»). Зато среди полусотни участников «Нейрона» всегда есть, кого взять на стажировку, работу над внутренними проектами, а потом, если кандидат пройдет отбор, на очередной контракт ЦОР.

На досуге предпринимательница-хакер ищет слабые места в системах Microsoft, Apple, Adobe. За выявленные «дыры» платятся премии (в среднем $2000 за одну уязвимость), так что за уязвимостями охотятся сотни независимых хакеров, конкурирующих с собственными отделами тестирования вендоров.

Участвует она и в онлайн-соревнованиях по компьютерной безопасности: «В одиночку против команд — это ни с чем не сравнимый тренинг всех отделов мозга».

Городская среда для Алисы Шевченко — поле для тренировки. Однажды, отправляя зарплату сотрудникам с компьютера, на котором установлено оборудование для поиска уязвимостей, она обнаружила бреши в банковской системе. На вокзале, купив билет в автомате, задержалась возле терминала. «Смотрите, на табло высвечивается меню программного обеспечения, — Шевченко показывает фотографию в своем телефоне. — Значит, можно установить на терминал модифицированную «прошивку», например, чтобы выводить деньги».

Недавно фирма Polaris попросила ее протестировать на наличие уязвимостей модель пароварки, которой можно управлять через Интернет. Проблема в том, что через блок управления бытовым устройством можно влезть в локальную сеть и выкачать из домашнего компьютера информацию. Судя по всему, пока существует Интернет, без заказов Шевченко не останется.


via | www.forbes.ru

0 comentarii

Doar utilizatorii înregistraţi şi autorizați au dreptul de a posta comentarii.