На минулому тижні офіційний представник ФСБ заявив, що за рік об'єкти критичної інформаційної інфраструктури Росії піддавалися атакам близько 70 млн раз і "більшість комп'ютерних атак були з-за кордону". В цей же час за кордоном не вщухають дебати про зловмисні дії "російських хакерів" в США і Європі. Надходять і свіжі новини з "фронтів": кібератаці піддалися Збройні сили Швеції, в Євросоюзі констатували, що під ударом сервери ЄС (110 спроб злому тільки в Єврокомісії), в Японії пройшов спецсемінар для ключових компаній в сфері енергетики і транспорту з кібербезпеки, оскільки загроза "вторгнення" в їх системи як ніколи висока.
Реальні хакери виглядають набагато прозаїчніше розтиражованого романтичного образу, але від цього вони не менш небезпечні.
Фото: Blend RM / John Fedele / DIOMEDIA
"Цифровий саботаж", іншими словами, вже не виглядає екзотикою і вигадкою фантастів - це нова реальність, в якій ми живемо. "Вогник" вирішив розібратися, що і хто стоїть за випадками хакерських атак і чи можна говорити про конфлікти нового типу в кіберпросторі. І ще: як влаштована хакерська тусовка, ніж чорні хакери відрізняються від білих і скільки народу служить в наших і ненаших кібервійськ?
Якщо відкинути елементи шоу, то з'їзд хакерів виглядає нудно. На стільцях, лавках і пуфиках сидять люди з ноутбуками, п'ють каву, а по екранах повзуть рядки коду. Публіка - нічим не виділяється, в футболках і толстовках з капюшонами, зрідка - в сорочках, з рюкзачками за спиною. Ні дати ні взяти - звичайна конференція програмістів. Саме слово поступово відходить в минуле. Хакери вважають за краще іменуватися нейтральним терміном "дослідники".
Сам Ілля почав цікавитися предметом, коли йому було 12 років.
- Програми тоді були простіше. Часто все, що потрібно було зробити, - це обійти віконце реєстрації, куди треба було ввести номер. Іноді досить просто запустити відладчик і в потрібне місце вставити інструкцію безумовного переходу, - каже Русанен.- Зараз ці найпростіші хакі вже майже не зустрічаються.
Злом для початківців
- Наприклад, на багатьох форумах заборонено відкрито обговорювати все, що стосується DDoS-атак (атаки на систему безліччю запитів з метою викликати відмову в обслужіваніі.- "О"). Якщо полювання кого-то задідосіть - вирішуйте в приватному порядку. Навіть якщо ви нікого не знаєте, для цього існує система репутації, система довіри. Є людина з високою репутацією на форумі, який виступає гарантом. Ви йому переводите гроші, він проконтролює, щоб виконавець виконав роботу, і розплатиться, - розповідає Ілля Русанов.
Звичайно, серйозних питань на відкритих майданчиках не обговорюють і нічого справді цінного не продають. Щоб купити, скажімо, zero-day (тобто жодного разу ще не описану і не використану), доведеться відправитися в Глибокий інтернет, на сайти якого не ввійдеш без спеціального шифрованого браузера. Там, наприклад, працює відомий форум Hell. Він не тільки в зашифрованому інтернеті, але ще і платний для учасників. Зате тут хакери обмінюються найціннішим. Втім, обдурити можуть і тут. Спілкування йде англійською - благо без пристойного мови хакером все одно не стати.
- Фактично вже неправильно говорити: російські хакери або китайські хакери. Все, що в інтернеті, глобалізованому. Якщо я з Таїланду шукаю вразливість на американському сайті, то який я хакер? - міркує керівник відділу безпеки банківських систем компанії Positive Technologies Тимур Юнусов.
Втім, деяка національна спеціалізація все-таки зберігається.
- Наприклад, Східна Європа завжди славилася фішингом (фінансовим шахрайством за допомогою фальшивих рассилок.- "О"). Китай відомий ботами, які вже дістали весь інтернет. Якщо ви ставите новий сервер, через півгодини на нього прийдуть китайські боти, будуть усюди довбати в пошуках вразливостей, - каже Ілля Русанен.- Раніше в Росії були потужні спільноти по кардингу (крадіжки банківських карт.- "О"). Але зараз це складно, дорого і можна за це легко отримати неприємності.
Є серед хакерів, виявляється, і серйозні вікові відмінності. Молодше хакерської покоління росло вже в епоху мобільних пристроїв і явно більше тяжіє до веб-технологій. Вийшли досить вузькі фахівці, багато з яких ніколи не бачили бінарного коду і не знають, як працює пам'ять комп'ютера. Але їм і не потрібно - ці зломи беруть на себе люди похилого віку, які, навпаки, слабкіше в веб-технологіях.
Хороші, погані, злі
В основному хакери тепер діляться не на російських і китайських, а на white hat - "білі капелюхи" (по-англійськи) - і black hat, тобто "чорні капелюхи". Термінологія відбувається зі старих вестернів, де хороші і погані ковбої розрізнялися кольором головного убору. Білі, вони ж "етичні", хакери живуть тим, що тестують програми і обладнання і повідомляють про всі знайдені вразливості розробникам.
Тут є три варіанти роботи. Одні "білі капелюхи" працевлаштовані в компаніях, що займаються аудитом безпеки. Інші йдуть на онлайн-майданчики, на кшталт Hacker One, де фірми самі пропонують пошукати уразливості в їх системах за винагороду. За маленьку проблему платять 100 доларів. За серйозну - десятки тисяч.
- Вищий пілотаж - за власною ініціативою зайнятися масштабними дослідженнями, знайти критичну уразливість і вже з нею на руках звернутися в компанію. Це може принести і 100 тисяч доларів, і більше, - каже Ілля Русанен.- Правда, завжди є ризики, що ти пред'явиш вразливість, а в компанії тобі замість грошей і подяки почнуть загрожувати.
Тут своя етика. Виробника електронного пристрою або програми, де знайшли уразливість, описують її і дають 90 днів на виправлення. Після того як проблема вирішена або по закінченні трьох місяців опис уразливості публікується на професійних майданчиках. Для "білого капелюха" дуже важливо похвалитися своїми досягненнями. Для всього цього і проводяться всілякі з'їзди хакерів. Від великих конференцій, яких зазвичай дві-три на рік, до невеликих щотижневих зустрічей.
- Велика частина тих, з ким я общаюсь-- це white hat. Вони добре заробляють і спокійно сплять ночами. Працюють у великих компаніях, а у вільний час шукають уразливості за винагороду, - каже Тимур Юнусов.- Буквально кілька днів тому один мій колишній співробітник заробив 40 тисяч доларів за те, що знайшов уразливість в одному з додатків Facebook. Я сам двічі отримував нагороди від Microsoft.
- Зараз у кожного є вибір. Якщо у тебе є талант, ти можеш не тільки займатися криміналом або працювати на спецслужби, ти можеш легально заробляти. Так безпечніше і спокійніше. Ще 10 років тому такої можливості просто не було, - пояснює Ілля Русанен.- Втім, я впевнений, що чисто "етичних" хакерів не буває. Будь-яка людина, який коли-небудь що-небудь ламав, не відмовиться від задоволення залізти в базу, скопіювати просто для себе.
На цьому тлі менше стало і безглуздого хуліганства, на зразок знаменитого вірусу "Чорнобиль", пошкоджує материнські плати заражених комп'ютерів без будь-якої вигоди для свого творця.
- Той, хто написав "Чорнобиль", був дослідником. Йому було перш за все цікаво, як зробити, щоб комп'ютер "згорів" від запуску однієї програми, - упевнений Тимур Юнусов.- Зараз люди можуть задовольнити цей інтерес на хакерських заходах: спалити кавоварку, зламати модель "розумного будинку".
Але є і більш прагматичний аргумент.
- У наш час ти розумієш, що за будь-яку вразливість можеш заробити гроші або репутацію. Придумав, як що-небудь зламати - йди до розробника або готуй звіт. Навіщо просто так зливати то, за що можна отримати гроші? - міркує Ілля Русанов.
Можна сказати, що ось він, справедливий порядок, коли і хакери ситі, і комп'ютери цілі. А можна і по-іншому: суспільство від хакерів просто відкуповується.