Хакер: мыслить, как атакующий

— Как я понимаю хакеры — совсем не те люди, за которых их принято считать и которых показывают в фильмах. Чем на самом деле занимаются хакеры? — Ну, это очень сложный вопрос. Стоит сразу разобраться, что хакинг делится на несколько подразделений в зависимости от систем, на которые ориентирован конкретный специалист. Есть веб хакинг (атаки на веб ресурсы\веб приложения и тд), атаки на операционные системы (вирусология, уязвимости конечных систем), реверс инжиниринг (у каждого на компе найдется пиратский фотошоп или офис, а то и винда) и социальная инженерия (атаки на пользователей). Стоит отметить, что последнее не является технической дисциплиной, это, скорее, психология, при чем довольно тонкая. Еще один уровень атак — атака на транспортные протоколы (wifi, например). У меня был коллега, он с помощью mitm заставлял в макдаке всех смотреть порнуху через бесплатный вайфай.

На данный момент в головах общественности сложилось мнение, что хакеры — это по определению какие-то негодяи и злодеи, которые деньги со счетов воруют и вэкашечки взламывают. Но, на самом деле, хакерская субкультура существует очень давно, появилась она чуть ли не с момента появления первых компьютеров. И в те времена, когда языков программирования было не очень много, документации к ним практически не было, хакеры того времени — это были высококвалифицированные специалисты с невероятным айкью. И все они были идейные — идея заключалась в свободе информации.

Чем конкретно занимаются хакеры? Ответ на вопрос кроется в самом вопросе. Существует 3 направления: WhiteHat, GreyHat, BlackHat. Первые занимаются легальным поиском уязвимостей в системах, участвуют в багс баунти, ну или работают на какие-то информационные конторы. 2 и 3 — это сегмент криминального хакинга. Атаки на всякие ресурсы с целью хищения каких-то данных с последующей их монетизацией.

— Расскажи подробнее про BlackHat. Как можно монетизировать данные? И в чем отличие GreyHat от BlackHat? — Смотри, в 2011 году у ВК была довольно крупная утечка данных, тогда с помощью инъекции было похищено 134 миллиона строк данных пользователей. В стринг входили подробные данные о странице, почта, пароль, номер телефона и всякие указанные данные, типа icq, skype и тд. А теперь про монетизацию. Если взять в расчет теорию, что у обычного человека в голове умещается максимум 5 парольных фраз, получается, что пароль от ВК может легко подойти к любому другому сервису, например, к каким-нибудь онлайн играм. А там можно украсть какой-нить крутой шмот и продать. Я не шарю в играх, к сожалению или счастью. BlackHat — это настоящая чернуха, GreyHat — это те, кто воюет в обе стороны. Может работать в белую, но и не прочь поживиться чем-нибудь нелегальным. Сейчас покажу, как выглядит стринг с базы ВК:

Можешь по id проверить, база реальная. Данная база до сих пор довольно эффективна для пробива информации по конкретному пользователю.

Интернет помнит все. Пароли там уже, конечно, не актуальные, а вот почты и номера телефонов валидные встречаются довольно часто.

Я так одному троллю из инета пиццу домой заказывал.

— То есть можно и сейчас нарыть много информации из относительно доступных данных? — Более того, при пробиве, большая часть инфы элементарно гуглится, любой устойчивый ник или любой другой фингер принт может рассказать очень много о человеке.

— Какие есть способы пробить, кроме гугла? Много ли доступных способов для обычных пользователей? — С этим сейчас борются довольно серьезно. В свободном доступе баз почти не найти, только на закрытых площадках, куда только инвайты действуют. Раньше была куча всяких баз, в том числе и паспортных.

А так, наличие некоторых баз данных и правильный подход делают тебя чуть ли не всевидящим оком.

— Как, например, можно получить доступ к таким базам данных? — Некоторые до сих пор валяются по торрентам, нужно только поискать. Другие же — через закрытые площадки или из рук в руки.

— Что самое необычное ты узнавал о людях таким способом? Приходилось ли узнавать неприятные вещи о знакомых людях? — Ну взламывал пару раз ВК бывшей, ничего хорошего там не нашел, что было ожидаемо. Против своих воевать — так себе развлечение. А так, бывало находились регистрации на сайтах для нетрадиционных знакомств, ну и всякое по мелочи.

— Хорошо, теперь перейдем к твоей истории. С чего началось твое путешествие в мир темного интернета и как долго продолжалось? — Меня привёл туда товарищ, которого я знаю с детства, но о его хакерской деятельности узнал только тогда. Очень хитро шифровался чувак. У меня тогда не было работы, и я попросил его подкинуть мне какую-нибудь халтуру. Он заставил меня зарегистрироваться почти на сотне разных форумов и везде дать объяву об оказании некоторых услуг. Так я вошёл в комьюнити.

Свой первый успешный взлом я совершил спустя полгода, то была одна американская площадка по доставке товаров из Америки в СНГ. Тогда разрабы заплатили мне 1000$. Ну и стоить отметить, что техническое образование у меня уже было к тому времени, мне оставалось только принять философию и научиться правильно мыслить. Мыслить, как атакующий.

— Как раз о вопросе образования, на кого учился? — Информационные технологии и связь. Связист я, сетевик.

— Сейчас ты работаешь только в сфере WhiteHat? Если, да из-за чего решил прекратить. Не тянет вернуться к взламываниям? — Во-первых, нет стабильного заработка. Можно за неделю несколько тысяч долларов сделать, а потом 2 месяца сидеть пустым. Во-вторых, риски стали выше, очень много громких задержаний всяких хакеров в информационном поле в последнее время, да и, в принципе, жить на иголках не очень приятно.

Сейчас я даже не WhiteHat, по сути, обычный безопасник в одной IT конторе. Провожу тестирования и всякое такое.

Джаст фо фан иногда сканирую всякое, без цели наживы. Недавно очень интересный случай был. У супруги украли айфон, спустя время ей пришло смс, мол, айфон будет отвязан от icloud, типа перейдите по ссылке, чтоб предотвратить операцию. Открываешь ссылку, и там сайт 1 в 1 icloud, только на другом домене. Ну я стал изучать, сканировать и нашел очень интересные данные. Оказывается, это сайт мошенников, которые пытаются отвязать таким образом краденный айфон. Но самое интересное не это. Украденные данные они хранят в открытом виде. Так у меня оказалось около 100 пар логин:пароль icloud несчастных жертв карманников .

Он продолжает работать. Подчистили данные, судя по всему, было около сотни их там.

— Интересно! Как-то слышала от программиста, что это очень полезно, знать на уровень ниже. Может быть, есть ещё какие-то забавные истории? — Всегда полезно знать на уровень ниже, лучше даже на несколько. Из забавных историй, сложно так на вскидку что-то вспомнить. Но находил взломанный до меня сайт, в базах которого хранились банковские карты, так вот тот, кто его взломал до меня, при выгрузке данных поменял часть полей и написал там что-то типа "это очень крутой сайт, я буду рекомендовать его всем своим друзьям". В строках, где должны были храниться данные по картам, он оставил вот такое послание админу.

— Несколько тысяч долларов за неделю — это реальный пример? Какая самая большая сумма выходила? — 2500 с одного заказа. Был заказ на полтора биткоина, когда он по 8000$ стоил, но я его не смог исполнить. Бывают и выше ценники.

— По какой причине не смог исполнить? — Моих ресурсов не хватило для проведения атаки. Когда ты не можешь с технической стороны побороть ресурс, нужно заходить со стороны социальной инженерии, применяя другие техники (вирусология, например) и тд.

— А кто оставляет подобные заказы? — Ну это анонимно все, я старался не вникать в этическую сторону заказа.

Есть работа — есть гонорар, остальное меня не интересует.

— Хорошо, поняла. А в твоем окружении и на нынешней работе знают, чем ты занимался до? — В окружении знают, да и на работе тоже. Все-таки это полезный скилл, понимать, как провести атаку. Для того, чтоб защитить, — нужно знать, как сломать.

— Защищать — твоя работа сейчас? — Моя работа заключается в предотвращении вторжений и тестировании систем перед выкатом в продакшен. Защита — это очень обширный термин, но в какой-то степени, да, это моя работа. Слежу за появлением новых уязвимостей и, если они затрагивают мои системы, — стараюсь максимально оперативно закрыть эти дыры.

— Наверное, прошлый опыт очень помог продвинуться в работе, было не тяжело перестраиваться и идти по карьерной лестнице? — Некоторые трудности были, но они больше связаны с отсутствием опыта teamwork. А в целом, опыт — он и в Африке опыт, на расследование инцидентов уходит меньше времени, потому что понимаешь вектор атаки. Компаний поменял 2, в первой очень быстро перерос задачи, которые там ставили. Там почти не было самописных решений, почти все было энтерпрайз, что само по себе довольно безопасно, не без исключений конечно, но все же. Сейчас работаю в команде разработчиков, тут уже гораздо интереснее.

Быстро писать лаконичный и безопасный код — это целое искусство, дается не каждому и не сразу.

Потому каждое тестирование для меня превращается в целый квест, почти как в былые времена.

— Даётся не каждому. То есть для этого нужен некий талант? Чем должен обладать человек, чтобы вникнуть в это быстрее? — Нужен какой-то творческий подход к решению задачи. Для этого нужно иметь определённый склад ума.

На самом деле, хакеров, именно хакеров, — не очень много. Скрипт кидди огромное множество, просто бесконечное. А настоящих спецов, если выделять их в общей массе, — не более 10%.

— Полагаю, это можно связать с уровнем сложности? — Ну скрипт кидди — это ребята, которые не обладают достаточным уровнем подготовки для того, чтоб самостоятельно писать эксплоиты, но зато в состоянии запустить и проэксплуатировать чужие наработки.

— Ловил ли кого-то знакомого на попытке похитить уже ваши данные? — Не ловил, но бывало в другую сторону. Поломал как-то сервак одного чувака, который продавал сайты с web shell (бекдор). Весь его материал оказался у меня, почти 7 тысяч сайтов с бекдором. Вернул ему все назад за небольшой донат.

— Поясни для читателей, что такое бэкдор и почему ты решил вернуть ему данные? — Давай с самого начала тогда разберёмся.

В интернете абсолютно любой сайт — это сервер (хост) прежде всего. Роль хоста может выполнять любое устройство, которое чуть умнее чайника и умеет в интернет выходить. Так вот, когда ты в адресной строке вводишь адрес сайта, сервис днс обрабатывает запрос и переводит его из букв (vk.com, например) в ip адрес хоста, на котором крутится этот сайт. В своём браузере ты видишь только то, что позволено тебе видеть. Так работает механизм веб сервера.

Так вот бекдор позволяет видеть данные, к которым у тебя доступа нет. На некоторых уровнях абстракции с помощью бекдор можно получить полный контроль над сайтом (доступ и редактирование таблиц базы данных, изменение настроек самого веб сервера и тд. Когда тестировал один игровой сервис для чуваков из Казахстана, смог проникнуть в бд и нарисовать на своём игром счету 666 миллионов рублей), а иногда и над операционной системой самого сервера (перезагружать, выключать, форматировать и тд).

Вернуть решил, потому что в таком объёме продать самостоятельно было бы крайне трудно. Ну и к тому же, я до конца не понимаю, для чего их можно использовать, кроме как строить ботнеты для DDOS атак.

Вообще, бекдор сам по себе — это крайне удобный инструмент управления серваком. Много раз видел, как разрабы оставляют в своих сайтах wso Web shell, чтоб потом быстро и просто управлять файлами или данными на серваке.

— Расскажи о самой сложной «операции», которую тебе приходилось выполнять? — Очень сложный вопрос. Они все довольно не простые были. Был ресурс, на котором разработчик почти на каждый вектор атаки расставил ловушки. Выглядит, как настоящая уязвимость, только проэксплуатировать её невозможно. На исследование каждого потенциального узкого места уходит довольно много времени, а в итоге это так сильно надоедает, что проще плюнуть и отказаться. Очень интересный подход.

— Побывав на обеих сторонах, про какие подводные камни ты можешь рассказать? С чем не самым приятным можно столкнуться? — Да как на любом фрилансе, в общем-то:

1) Кидают. Такое бывает, ты тратишь время и ресурс впустую;
2) Неприятные заказчики, заказчики без денег. Типа ты мне материал дай сейчас, а я с тобой потом поделюсь, но такие есть везде.

Рынок там ничем не отличается от любого другого рынка.

— А есть ли какая-то реальная угроза со стороны тяжелой руки закона? За какие вещи можно получить срок? Или анонимность решает? — Анонимность решает, но никто не застрахован от ошибки. Был один известный тип, под ником bulba, держал магазин кардерский (краденные данные о банковских картах). Сидит в США, лет 20 ему дали или что-то такое. Спалился максимально тупо — засветил свой личный email, по нему его и раскрутили. Интерпол принял в аэропорту на каком-то курорте.

Есть негласное правило — на территории своей страны не работать. «Кто работает по РУ — к тем приходят по утру». Но даже работая на территории других стран, можно наворотить серьезных дел.

Ты можешь быть бесконечно крутым ниндзя, но все равно ты не застрахован от глупой ошибки.

В нашей стране все несколько иначе выглядит, нежели в всем мире. У нас, если ты сломал систему и украл данные, — то тут почти ничего не будет, а вот если украл и продал, то проблемы могут быть очень серьезные.

— То есть, теоретически, по России работают, скорее, зарубежные хакеры? — Настоящим хакерам русскоязычная аудитория почти не интересна. У нас платежеспособность довольно низкая, иной раз пожрать не на что купить, не говоря уже о том, чтоб размещать какие-то средства на площадках, откуда их можно украсть.

Крупные утечки у нас, конечно, бывали. Например, сбербанк несколько лет назад выкатил приложение с уязвимостью, которую довольно быстро обнаружили, но все равно некоторые успели пострадать. Но стоит отметить, что среди русскоязычных пользователей тематических ресурсов, где торгуют данными, очень много ребят из незалежной. Вот они как раз не стесняются работать по ру. Но конкретно профессионалов среди них мне не встречалось. Скрипт кидди, не более, а иногда и того нет. Чаще кардеры-вбивалы и чуваки, которые скупают данные формата почта:пароль и потом пытаются их в играх монетизировать.

— Предположим, что я ни с того ни с сего захотела взламывать сайты и влиться в хакерское комьюнити. Что мне для этого нужно сделать? Как обычному человеку стать хакером? Я для подруги просто интересуюсь. — Ахаха, очень хороший вопрос. Для того, чтобы устраивать атаки на сайты, нужно достаточно точно представлять, как работает интернет, иметь хотя бы приблизительные знания в программировании. Ну и целый вагон желания и энтузиазма.

Любая атака — это всегда очень кропотливый труд, плюнуть и все бросить очень легко.

А так, начинать можно в малого, опять же с sql инъекций и сканирования. В комьюнити можно войти и без этих знаний. Достаточно найти живые борды тематические и там общаться. Хакером, может, и не станешь, но в кружок кибер-преступности точно войдешь. Там же тебе любезно продадут или, может быть, даже подарят пару схем для заработка таким образом. Раньше бордов было очень много — сейчас большая часть уехала в даркнет, какая-то часть закрылась, а какие-то до сих пор работают в клирнете. migalki, darkmoney и прочие, усилиями ркн усиленно блокируются, но продолжают жить.

Прямо сейчас кто-то очень упорно DDOSит сайт госуслуг и mos.ru.

— Объясни для чайников, что значит DDOSит? — Атака, которая вызывает отказ в обслуживании. На целевой сервер отправляется огромное количество мусорных запросов, что в свою очередь вешает сервак. Он перестаёт работать полностью или частично.

Госуслуги не работают, мосру тоже. С утра еще.

— Есть какая-то определённая цель, чтобы застопорить госуслуги? — Система пропусков в Москве. Многие против. Её саботируют таким образом.

— А есть вероятность, что за такой саботаж посадят? — Посадят обязательно, если найдут. Система ботнетов может насчитывать миллионы ip адресов, среди которых только 1 оператор, остальные боты.

— Что в интернете может гарантировать полную анонимность? — Что-то конкретное не может, это всегда комплекс мер самых разных. Собственные VPN серверы, дедикейтед серверы и прочее, онион сети и тд. Все зависит от уровня твоей паранойи.

— И напоследок, какие меры безопасности ты бы порекомендовал? Заклеивать камеры вариант? Кому МОЖНО доверять в интернете? — Заклеивать камеры есть смысл, конечно, потому что существует масса систем rat, которые умеют подглядывать в вебкамеру. Но помимо этого они умеют еще массу других прикольных вещей.

Кому в интернете можно доверять? Наверное, никому. Самое главное — это помнить, что все, что попадает в интернет, — остается там навсегда. Не стоит скачивать пираченый софт со всяких варез помоек, любой школьник, который хоть немного понимает в IT запросто разберет установщик, подселит туда свою малварь (maleware) и соберет его обратно.

Антивирусы это, конечно, хорошо все, но так же не стоит забывать, что ни один антивирус не защищает тебя даже на 30% от всех угроз интернета.

Внимательно читать ссылки, которые вам присылают в сообщениях, особенно от незнакомых контактов. gosuslugi и gosuslugl очень легко спутать визуально и отправить свои данные неизвестно кому. Все это уже 100500 раз из каждого утюга говорили, на самом деле.

Не использовать одинаковые пароли — это, наверное, самое важное. Потому что в большинстве своем уязвимы не компьютерные системы, а люди. Я называю это "гигиена паролей".

К тому же существует масса угроз, основанных на социальной инженерии. Это, наверное, большая часть всех сетевых угроз. Это совсем другое направление и требования к безопасности там совсем иные.

— А стоит ли переживать обычному человеку? Я, как, думаю, и многие, обычно живу с мыслью, что я-то человек простой, меня не коснётся. — Стоит, атака может быть таргетированная, на конкретного пользователя, а может быть массовая. Во втором случае пострадать может абсолютно любой.