В твиттере дискуссия про мову: может ли компания просить коммуницировать на беларуском?

Почему хакерам выдали «ломать» ненастоящую «Дiю»? Говорим с Егором Аушевым

На платформе Bugcrowd 8 декабря стартовал багбаунти украинского приложения «Дiя», объявил в своём телеграм-канале глава Минцифры Михаил Федоров. Те, кто найдёт уязвимости в приложении по оказанию госуслуг, поделят между собой 1 млн гривен (35 тысяч долларов) от USAID. Нюанс в том, что белым хакерам отдали на растерзание не само приложение, а его копию.

Почему в Украине нельзя иначе, как государство сотрудничает с белыми хакерами и зачем этому помогает заграница, поговорили с основателем компании по кибербезопасности Cyber Unit Technologies, и школы «белых» хакеров Cyber School Егором Аушевым. 

Почему хакерам выдали «ломать» ненастоящую «Дiю»? Говорим с Егором Аушевым

На платформе Bugcrowd 8 декабря стартовал багбаунти украинского приложения «Дiя», объявил в своём телеграм-канале глава Минцифры Михаил Федоров. Те, кто найдёт уязвимости в приложении по оказанию госуслуг, поделят между собой 1 млн гривен (35 тысяч долларов) от USAID. Нюанс в том, что белым хакерам отдали на растерзание не само приложение, а его копию.

Почему в Украине нельзя иначе, как государство сотрудничает с белыми хакерами и зачем этому помогает заграница, поговорили с основателем компании по кибербезопасности Cyber Unit Technologies, и школы «белых» хакеров Cyber School Егором Аушевым. 

«Приходится исправлять репутацию: доказывать, что мы не чёрные, а белые»

Егор, как на отрасль кибербезопасности повлияла эпидемия? Клиентов хватает?

Клиентов хватает, с массовым переходом на удалёнку вопрос безопасности стал ещё актуальнее. Количество взломов постоянно растёт, а с ним и количество обращений к нам. Основные заказчики — из стран, где приняты стандарты и требования кибербезопасности: Южной Кореи, Сингапура, Японии, США, ЕС. Если там происходит утечка информации, ответственных сильно «бьют по головам» и наказывают штрафами. В Украине такого регулирования пока нет, делаются лишь первые шаги.

Сколько в Украине хакеров? Сколько из них «белых» и сколько «чёрных»?

Хакеров — несколько сотен. Вопрос про «чёрных» часто задают. На этот случай у меня заготовлена шутка, что «белые» ночью становятся «чёрными». Но эта шутка. Если кто-то будет пойман, то будет отвечать по всей строгости.

Самое главное, что есть у «белых хакеров», или white hat hackers, это их репутация. Я никогда не возьму на проект человека с улицы — кого не знаю, кто не прошёл проверку. Ведь мы видим все «внутренности» систем наших клиентов, и я своим именем отвечаю за то, что никакая информация не будет унесена и продана.

Запросы на «не-белые» взломы приходят то и дело — допустим, «а можете инстаграм бывшей девушки взломать»? Но это не наша клиентура. Мы пропагандируем идею, что зарабатывать на взломах можно и нужно честным путём. 

Аудит криптобиржи или банка может стоить 40 тысяч долларов — мы официально заработаем эти деньги. Можно взламывать «по-чёрному», но зачем? Обычно «чёрные хакеры» заканчивают либо в тюрьмах, либо на принудительной работе на спецслужбы.

Откуда берутся ваши «белые хакеры»?

Один из источников — наша школа, где мы обучаем хакингу. Курсы длятся три месяца, но мы и не с нуля учим: к нам приходят люди, которые уже умеют программировать или имеют сисадминский опыт. При отборе проводим тестирование и если видим, что у человека неэтичные намерения, то просто не берём его. Конечно, на 100% уверенным быть нельзя, но лекторы постоянно напоминают слушателям об этике: не вздумайте ломать, за это уголовная ответственность, «белый хакер» пару тысяч долларов в месяц всегда заработает. Кстати, половина ИТ-департамента в Офисе президента Украины сформирована из наших выпускников, они защищают президента круглосуточно.

На самом деле, нам приходится исправлять репутацию, и это довольно сложно. Украинцев всегда знали как «чёрных хакеров», поэтому приходится доказывать, что мы не «чёрные», а «белые». Этому помогает работа с госсектором: когда нам доверяют министерства и киберполиция, больше верят и остальные.

«Весной я поспорил с Михаилом Федоровым на ТВ, что хакеры найдут в „Дiя“ уязвимости»

Расскажите про своё сотрудничество с госсектором.

В ноябре мы проводили тренинг для 20 представителей объектов критической инфраструктуры и украинских спецслужб. Это был недельный интенсив на базе Рады нацбезопасности и обороны Украины при поддержке CRDF Global и Госдепартамента США, мы рассказывали о методологиях, которые применяет частный сектор в бизнесе, чтобы взламывать или защищаться. По сути, первый случай частно-государственного партнёрства в этой области — первый раз, когда частный сектор обучал госсектор «белому хакингу».

Вы учили госслужащих защищаться от взломов, а киберследователей — ловить плохих хакеров?

Да, именно так. Наши ребята выступали с лекциями и практическими занятиями — показывали, как это происходит в бизнесе и как это можно использовать в госструктурах.

С 2014 года я на всех конференциях рассказываю, что невозможно сделать безопасную страну, не привлекая частников. У государства нет таких специалистов, как в частном секторе, хотя бы из-за разницы зарплат в 5-10 раз. Лучшие специалисты сегодня работают в частном секторе, и взаимодействие тут неизбежно: частники должны обучать государство, а государство должно выступать заказчиком.

Лет пять назад, когда мы плотно сотрудничали с эстонцами, я их спросил, какой процент заказов, связанных с государством, у них выполняет само государство. Оказалось, государство выступает только заказчиком, а исполнитель на 100% — частный сектор.

В слове «хакер» нет ничего страшного или позорного. В Штатах государство регулярно устраивает тестирование систем с помощью «белых хакеров», на разных платформах запускают различные багбаунти программы, даже мои коллеги иногда в них участвуют.

На Hackerone открылась программа для всех милитаризованных сайтов США — их можно официально взламывать на платформе. И это правильно, потому что другим способом, кроме как с привлечением хакеров, защититься невозможно: чтобы противостоять взлому, нужно понимать, как он происходит. 

Минцифры как раз сейчас проводит багбаунти приложения «Дiя». Зачем им это?

Вероятно, чтобы показать, что у них всё «секьюрно». На них навалилась волна критики после тех* утечек. Я тоже спрашивал: а кто вас тестировал? Сейчас им будет что отвечать: нас протестировали 50 хакеров со всего света, дырок нет. Это повышает уровень доверия. Часто компании используют кибербезопасность как элемент пиара и маркетинга — смотрите, мы заботимся о безопасности ваших данных.

Весной я поспорил с Михаилом Федоровым на ТВ, что хакеры найдут в «Дiя» уязвимости — сделал это специально для того, чтобы подстегнуть и обратить на это внимание. Он тогда не отреагировал. Но прошло полгода, и вот запускается эта программа. Замминистра даже тегнул меня в фейсбуке.

*Предыстория багбаунти

У «Дiя» для багбаунти были особые показания — скандал с утечкой персональных данных. В мае 2020 года паспортные данные, водительские удостоверения, адреса, сведения об имуществе и работе 26 млн украинцев оказались в свободном доступе. Обвинили разработчиков «Дii». Минцифры тогда открестилось: мол, приложение не хранит данные, а только пользуется ими, слил кто-то другой. «Мы создали такую архитектуру, которую невозможно взломать», — заявил Федоров в эфире телеканала «Iнтер».

Егор Аушев на это возразил: «Чтобы сказать, было ли это возможно или нет, нужно провести проверку. Со своей стороны я готов поспорить с министром, что там уязвимости наверняка есть». Эти слова прозвучали в том же сюжете «Iнтера», и хоть министр на них ничего не ответил, на деле вызов, получается, принял.

На проверку выставлена не вся платформа, а только мобильное приложение. Но есть ещё нюанс — это даже не само приложение, а его клон. «Дiя» создала копию системы, и именно её хакеры сейчас взламывают.

Потому что в Украине по закону нельзя взламывать напрямую — получится статья, и кого-то могут посадить.

В Украине есть система госзакупок Prozorro. Два года назад я познакомился с её директором, и мы с ним почти год придумывали, как провести первую стране багбаунти-программу. В конце концов решили сделать копию существующей системы — протестировать её, найти проблемы и устранить их в действующей системе. Prozorro тоже нашла выход: там, где они не могли заплатить деньгами, они дарили подарки — чашки, пледики, победителю достался дрон.

Сейчас механизм клонирования повторяют с «Дiя» — лучше, чем ничего, но всё же это очень энергозатратный процесс. В США тестируют действующие системы напрямую — это закреплено законодательно.

Когда делаешь инновационное приложение для удобства людей, важно обращать внимание на соотношение скорости и безопасности. Как в автомобиле: нельзя ускоряться, не подумав о качестве резины. И лучше любого сертификата здесь обезопасит краудсорс-секьюрити — проверка от «белых хакеров».

Получается, вы с госорганами уже успешно сотрудничаете, раз тестировали Prozorro.

Да, но мы на этом не зарабатываем. Задачей Prozorro было популяризировать идею багбаунти. Для этого мы пригласили в оффлайн 20 хакеров со всей Украины. Младшему было 15 лет, он приехал с папой, старшему 40+. Они хакеры сидели в одном помещении и взламывали, при этом их снимало ТВ — мы хотели, чтобы все узнали, кто такие white hat hackers и почему их не надо бояться.

Сегодня у нас есть только рамочный закон об основах кибербезопасности, принятый ещё при прошлом президенте, в 2017 году. Но сфера не зарегулирована, в ней пока нет правил. И если мы, белые хакеры, сейчас найдём уязвимость в системе госоргана, то нам сложно будет даже сообщить об этом, потому что нас могут обвинить во взломе. 

А зачем вам искать уязвимости в госсистемах без заказа?

Это может выйти случайно. Мы можем работать с клиентом, который взаимодействует с каким-то министерством, и увидеть, что там «всё торчит наружу» — например, база данных. Однажды мы организовывали конференцию для «белых хакеров» в Киеве, и иностранные гости докладывали: у вас такие-то министерства «с дырками», у них есть багбаунти, куда можно зарепортить?

В Верховной Раде сейчас разрабатывают закон о кибербезопасности, в котором пропишут вопросы ответственности. Я участвую в рабочей группе. Но это долгий процесс, в лучшем случае закон будет подан на рассмотрение в следующем году. 

Расскажите, чего вы ждёте от закона.

Во-первых, механизмов взаимодействия частного сектора и государства. Нужна возможность легально заключить договор, чтобы частные «белые хакеры» могли прийти и отрегулировать госсистему. 

Сейчас это запрещено. Мол, а что будет, если хакер увидит нашу внутреннюю информацию? Мой ответ: а ничего что ваша информация и так «торчит наружу», и никто не может вам об этом сообщить, и нет людей, которые бы это исправили? 

Во-вторых, в Украине должны появиться международные стандарты безопасности и ответственность за их несоблюдение. В моем понимании она должна лежать на гендиректоре.

Несколько лет назад у нас было несколько больших историй хакерских взломов. Например, во время атаки вируса NotPetya. Помню, приезжаю на АЗС и не могу рассчитаться кредитной картой, потому что NotPetya заблокировал процессы. К сожалению, немногие тогда захотели что-то исправить. А зачем — всё равно никакой ответственности.

Даже если ты госорган и от тебя утекла база данных украинских граждан, можно исправлять уязвимости, а можно оставить как есть.

В общем, беспорядок. Поэтому сейчас мы потихоньку начинаем приучать госорганы к частному сектору, просим привлекать нас к обучению специалистов, разработке законодательства.

Какие-то изменения на госуровне уже идут. Например, раньше у нас Госспецсвязь была единственным центром, который отвечал за всю кибербезопасность, на правах монополиста они выдавали внутренние украинские сертификаты. Приходила крупная иностранная компания и не понимала, как законнектиться для обмена информацией с украинским госорганом, наш внутренний стандарт безопасности им был непонятен. Сейчас вводятся международные стандарты, которые должны быть более понятны иностранным компаниям.

«Нужен муравейник как в UBER: там все люди — таксисты, а тут все — хакеры»

Вы проводили семинар при поддержке Госдепа, призовой фонд на багбаунти «Дiя» выделил USAID. Штаты поддерживают кибербезопасность в Украине?

Сейчас мы видим большую активность в этом направлении. US-Ukraine cyber dialogue — программа на миллионы долларов, в её рамках проходит много тренингов. Например, наша компания выиграла тендер от CRDF Global, в его рамках мы до конца года помогаем настраивать систему обучения госорганов.

Украина — в состоянии кибервойны, как говорят наши официальные источники, на наши госструктуры постоянно летят атаки со стороны большого соседа. И тут у нас две линии поддержки: одна — помочь защититься, вторая — помочь исследовать атаки. Кибербезопасность — очень геополитическая история, что-то среднее между ИТ и оборонкой. 

Зачем вам как бизнесмену сотрудничество с государством? У госзаказчиков, как правило, денег мало, а претензий много.

Я жил пять лет в Германии, сейчас живу в Украине. Это моя страна, моя отрасль, и мне хочется, чтобы за неё не было стыдно. Хочется, чтобы в этой сфере был наведён какой-то порядок, чтобы из Сингапура мне не писали: ха-ха, у вас опять хакнули такую-то базу данных. 

Да, сейчас нам заплатили американцы, но что-то мы делаем бесплатно. Сегодня, например, мы ездили в киберполицию и договаривались о проведении тренингов. Бесплатных. Ведь это наша киберполиция, и кто им проведёт тренинги, как не мы? Это элемент социальной ответственности. Со времён революции он нас всех держит и пока не отпускает.

Я считаю, что в здоровом обществе должна быть тесная кооперация между частным сектором и государством. По любви, а не по принуждению. Это должно быть массовое явление — пусть оно напоминает муравейник.

Как в Uber все люди таксисты, так и тут все люди — хакеры, все проверяют друг друга. Убрав преграды, мы сможем залатать дырявую систему.

«Те, кто подался на рассмотрение в „Лесту“, сразу терял из компенсации 2 зп».

Послесловие — что сотрудники думают о том, как уходит WG.

Читайте также
Украинки собрали $700+ тысяч для ВСУ на продаже нюдсов
Украинки собрали $700+ тысяч для ВСУ на продаже нюдсов
Украинки собрали $700+ тысяч для ВСУ на продаже нюдсов
Робопёс Boston Dynamics поможет разминировать Бучу
Робопёс Boston Dynamics поможет разминировать Бучу
Робопёс Boston Dynamics поможет разминировать Бучу
Сколько тысяч айтишников могли покинуть Беларусь за два года. Подсчёты dev.by
Сколько тысяч айтишников могли покинуть Беларусь за два года. Подсчёты dev.by
Сколько тысяч айтишников могли покинуть Беларусь за два года. Подсчёты dev.by
С 2020 года беларусская ИТ-отрасль переживает уже вторую волну массового отъезда айтишников. Мы собрали в одном тексте всю информацию о количестве уехавших в разные страны и попробовали вывести (очень приблизительное) число ИТ-мигрантов. По нашим подсчётам, с осени 2020 года Беларусь могли покинуть до 20+ тысяч айтишников.
Украина вводит визовый режим с Россией с 1 июля
Украина вводит визовый режим с Россией с 1 июля
Украина вводит визовый режим с Россией с 1 июля

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже