«Можно взломать сайт правительства и уволить министра»

Уральский хакер, нашедший брешь в безопасности «Сименс», делится секретами профессии.

В конце января в Свердловской области сотрудники ФСБ и МВД в ходе спецоперации задержали одного из последних хакеров, создавших вирус Lurk. Начиная с 2013 года эта группировка украла со счетов российских банков 1,7 млрд рублей. «АиФ-Урал» разбирается, кто такие хакеры и для кого они опасны.

Спец из Екатеринбурга

Наш собеседник – екатеринбургский хакер Александр Берсенев, известный тем, что в середине 2016 года в ходе официальных соревнований взломал оборудование немецкой компании Siemens, обнаружив бреши в системе безопасности.

– Александр, могу ли я стать хакером? Какими навыками должен обладать?

– Этим может заниматься даже школьник. Самый простой уровень хакерства – скачать программу, эксплуатирующую уязвимость, из Интернета и запустить ее на слабо защищенных сайтах, найденных с помощью Google или «Яндекса». Это не потребует особых умений.

Иной уровень – самостоятельный поиск уязвимостей, который потребует знаний во многих областях: устройстве протоколов, архитектуре компьютеров, программировании, администрировании, криптографии (науке обеспечения конфиденциальности, науке о шифрах - ред.) и т. д.

– Где этому учат? И учат ли?

– В профильных вузах научат некоторым умениям – например, программированию и криптографии. Но чтобы заниматься серьезно, необходимы специальные навыки, которым можно научиться только самостоятельно, постоянно практикуясь.

«Черные» и «белые» хакеры

– Хакеры в основном ассоциируются только с чем-то противозаконным. Так ли это?

– Их делят на два типа – White Hat (дословно – «белые шляпы», «белые» хакеры) и Black Hat («черные»). Если говорить простым языком, те, кто используют уязвимости, чтобы нарушить закон, – это Black Hat.

Быть «черными» хакерами сегодня не только рискованно, но и порой невыгодно. Почти все крупные компании (социальные сети, интернет-поисковики, платежные системы) открыто скупают информацию об уязвимостях в своих сервисах, чтобы поощрять White Hat. Причем цена зачастую намного выше, чем можно заработать, используя эту уязвимость для разных нехороших вещей.

– Твое участие в выявлении уязвимости Siemens – аналогичный случай?

– Это были соревнования. Компания «Лаборатория Касперского», чтобы привлечь внимание к безопасности автоматизированных систем управления техническим процессом, собрала модель электроподстанции с использованием реального промышленного оборудования и объявила конкурс по обнаружению уязвимостей в них. Команду «Хакердом» из Екатеринбурга, в составе которой я находился, пригласили поучаствовать в конкурсе. В сетевом модуле мне удалось обнаружить уязвимость: злоумышленник мог подключиться к памяти устройства, используя это для дальнейших кибератак (устройство предназначено для предотвращения в электросети коротких замыканий – прим. ред.).

После соревнований мы оповестили компанию Siemens об уязвимости, и через несколько месяцев она была исправлена.

Похороны президента

– Но кто Black Hat? Кем они могут быть?

– Кто они – косвенно можно судить по тем хакерам, которые уже задержаны. В основной массе это школьники или студенты вузов. Можно предположить, что некоторые из людей, взламывающих по заказу и организовывающих утечки информации, имеют работу, как и то, что часть хакеров спонсируется государством. Но это лишь предположение.

– Как может навредить хакер? К примеру, взломав сайт Кремля – kremlin.ru?

– Теоретически можно разместить на сайт не соответствующую действительности информацию. Например, взломать сайт правительства и уволить министра. Обычно на таких серверах не хранят «чувствительную» информацию и размещают их в особом, изолированном сегменте внутренней сети, называющимся «демилитаризованной зоной» (дополнительный уровень безопасности для минимизации ущерба от атаки – Прим. ред.).

– Как узнать, уязвим ли сайт, например, Правительства Свердловской области?

– Правительство Свердловской области может заключить договор с организацией и провести тест на проникновение. Его суть: определенная группа хакеров целенаправленно пытается взломать сайт, принадлежащий компании, которая их наняла. По результатам составляется отчет, по которому можно оценить степень защищенности сайта.

Кроме теста на проникновение существуют другие методы, например изучение исходного кода сайта (текст программы – Прим. ред.) и защищенность сервера.

Защита от хакеров

– Как простой человек может пострадать от рук хакеров?

– Вариантов много: хакер может перевести деньги из интернет-банка, стереть все ваши данные, прочесть личную переписку и многое другое.

– В таком случае как обезопасить себя?

– Регулярно обновлять оперативную систему и программное обеспечение, особенно такие программы, как Java, Acrobat Reader и Flash Player – самые уязвимые программы для работы в Интернете (работа с видео, аудиозаписями, играми, просмотром документов). Также использовать сложные пароли и двухфакторную аутентификацию (дополнительная защита для входа – например, подтверждение кодом СМС), не использовать один и тот же пароль на нескольких сайтах, использовать антивирус, не запускать подозрительные файлы из Интернета, не открывать подозрительные вложения в письмах и не игнорировать предупреждения браузера (программы, позволяющей путешествовать в Интернете) о небезопасных страницах.

Хакеры в кино и книгах

– Какие фильмы или сериалы о хакерах более или менее близки к реальности?

– Есть классический фильм Hackers, в котором процесс взлома изображен в виде трехмерной анимации. Она больше походит на картинку в голове у хакера, чем на то, как выглядит реальный взлом.

Но, например, в «Матрице» довольно реалистично показан процесс взлома подстанции. Если не ошибаюсь, именно с этого фильма пошла мода на использование утилиты сетевого сканирования Nmap в фильмах.

– А книги?

– Произведение Кевина Пулсена «Kingpin: Как один хакер утянул миллиард долларов киберпреступного мира». Очень подробно и реалистично описано кардерство (мошенничество с платежными картами – прим. ред.). Я потратил несколько десятков часов, занимаясь проверкой фактов в ней с помощью Google. На «хабре» (habrahabr.ru) есть перевод некоторых частей.