Что происходит на рынке кибербезопасности? Аркадий Бух — о трансформации проекта «белых хакеров» и белорусских заказах
08.07.2019 19:37
—
Разное
«Как только компания выходит на определённые суммы, руководителей можно арестовывать».
Американский проект «белых русских хакеров», который, по словам Дмитрия Насковца, сдулся, всё-таки живёт и здравствует. Его инициатор, известный нью-йоркский адвокат Аркадий Бух, специализирующийся на защите русскоязычных хакеров в США, немного изменил формат кибербизнеса, объединив его с адвокатской деятельностью.
В разговоре с dev.by он рассказал, что происходит на рынке кибербезопасности и как верхушка белорусской компании с годовой выручкой в миллион долларов может оказаться в американской тюрьме.
Cybersec — американская компания, была организована пять лет назад адвокатом Аркадием Бухом и борисовским «хакером» Дмитрием Насковцом, которого Бух спас от экстрадиции в Беларусь. Идея заключалась в том, чтобы бывшие хакеры оказывали консультационные услуги бизнесу по кибербезопасности. Дмитрий Насковец вышел из проекта спустя год: по его словам, компания так и не смогла найти заказчиков, которые доверились бы бывшим преступникам.
«Все ли они завязали с преступной деятельностью? Я надеюсь, да»
Технические консультанты Cybersec — это мои бывшие клиенты, от великих спамеров до великих вирусописателей. Например, господин Панин (Россиянин Александр Панин, был осужден в США на 9,5 лет тюремного заключения за создание вируса SpyEye. — Прим. dev.by), господин Белороссов (петербуржец Дмитрий Белороссов, был приговорён в США к 4,5 года тюрьмы за кибермошенничество. — Прим. dev.by), Игорь Клопов (был руководителем хакерской группы выпускников-экономистов МГУ, похитил 1,5 млн долларов со счетов американцев из списка Forbes‑500. — Прим. dev.by), ваш Серёжа Павлович (Сергей Павлович, уроженец Могилёвской области, в 2000-х в составе объединённой группы хакеров организовал крупный синдикат, занимавшийся кардингом. — Прим. dev.by) тоже иногда даёт консультации.
Всего бывших хакеров около дюжины, они принимают участие в выполнении разных заказов. Некоторые из них согласились сотрудничать с США и остались в Америке, другие уехали в Россию или Израиль, некоторые до сих пор сидят в тюрьме, но в состоянии давать консультации по телефону, и ничто мне не запрещает платить им зарплату.
Все ли они завязали с преступной деятельностью? Я надеюсь, да. Насколько я знаю, никто из моих клиентов не был арестован повторно. При том что за ними следят службы всех стран намного пристальнее, чем за журналистами.
Сначала мы собирались консультировать те компании, с которыми ещё ничего не случилось. Но эта идея не вызвала дикого интереса у средних и крупных американских компаний: их полиси не разрешали работать с людьми, у которых за плечами криминальная история. Мелкие компании пользовались нашим сервисом, но это не приносило больших доходов. Такая ситуация продолжалась до тех пор, пока я не связал кибербезопасность с адвокатской деятельностью. Как только я сделал это и добавил в сервис американский compliance (Соответствие различным американским законам — Прим. dev.by), ситуация кардинально изменилась.
«Дикий скачок экстрадиций повысил спрос на американский compliance»
Почему при киберкомпании должен быть адвокатский офис? Киберкомпания, которая засекает взлом, обязана заявить об этом, это может привести к утечке информации. Присутствие адвоката же помогает сохранить конфиденциальность. Работая с нами, компании имеют возможность утаивать происходящие с ними «хаки». Это важно, ведь, как только всплывает какой-нибудь «хак», компания гарантированно получает групповой иск от клиентов на десятки и сотни миллионов долларов.
Система групповых исков в США устроена так, что адвокат, подающий иск, не обязан иметь кучу клиентов — достаточно парочки. Дальше судья издаёт судебный приказ открыть всех клиентов и передать адвокатскому дому, и тот инициирует иск от имени всех пострадавших.
В последние полтора года по запросу США по всему миру активно арестовывают и экстрадируют белорусских, российских и украинских граждан. Это продиктовано политическими мотивами — желанием Штатов контролировать электронные сети, бизнес и т. д., а также притягивать золотые умы. Еще одна причина — сведение счётов между компаниями: когда одна компания подставляет другую, пользуясь услугами США как «мирового полицейского».
Дикий скачок экстрадиций повысил спрос на американский compliance. Если европейские, белорусские, российские компании не подчиняются Административному кодексу своей страны, обычно это ведёт к штрафу или ограничению по лицензии. В США практически за любое нарушение Административного кодекса вы получаете 20 лет тюрьмы плюс ещё 20 лет за отмывание денег, если речь идёт о финансовой деятельности.
Наглядный пример — мадам из Huawei (Мэн Ваньчжоу, главный финансовый директор компании Huawei и старшая дочь её основателя. Была арестована в Канаде в декабре 2018 года по подозрению в нарушении антииранских санкций Вашингтона. — Прим. dev.by), компании, которая не сделала достаточный американский compliance и из Индии на Иран продала софт для телефонов. За это она была арестована и сейчас ожидает экстрадиции в США, хотя в этом деле речь не идёт о нарушении уголовного кодекса — речь о приказе американского президента не торговать с Ираном. По сути, это дело об отсутствии лицензии. Теоретически с Ираном можно торговать при наличии лицензии, просто её никому не дают. За небольшими исключениями. Например, у Ирана уже давно нельзя покупать нефть, но США решили не ссориться с Эрдоганом и дали туркам право на покупку нефти у Ирана. Так было до прошлого месяца, а потом Эрдоган им надоел, и они сказали: «Мы никому не давали лицензии, а теперь и тебе не дадим!»
Это обстоятельство — то, что США взяли на себя роль мирового полицейского — привело к тому, что компьютерным, кибер-, хостинговым, торрентовым, софтверным компаниям по всему миру нужен американский compliance. Им нужна экспертиза, интерпретация статей, связанных с софтом и хакингом, и в этом хорошо разбираются мои ребята, адвокаты по кибербезопасности. Таким образом, мы сместились из технической сферы в юридическую, где требуется глубокое понимание технических аспектов. И денег стало больше.
«Если вы думает, что атаки вымогателей — это не ежедневная рутина, вы ошибаетесь»
Другое направление нашей работы связано с ransomware — вымогательством. Представьте себе большой госпиталь: территория 1,5 км х1,5 км, сотня зданий, тысячи пациентов, медицинские услуги на миллиарды долларов в год. И вот однажды там выключается электричество и автоматически включаются генераторы. Одновременно приходит е-мэйл от хакера: «Только что мы вам выключили электричество, через 10 минут мы вам включим электричество, но выключим генераторы, а ещё через два часа мы вам выключим и то, и другое. И люди, которые подключены к аппаратам, начнут умирать. Чтобы этого не произошло, пришлите нам 200 биткоинов».
Кадр из фильма «Миссия невыполнима»
Госпиталь звонит в полицию, полиция говорит: «Шикарно! Мы будем разбираться». Но времени разбираться нет. Тогда госпиталь звонит нам, и мы начинаем cyber response, который включает в себя одновременно переговоры с вымогателями (есть вероятность снизить платёж) и попытки обезвредить вирус в экстренном порядке. Борд директоров в этой ситуации находится под дулом пистолета, и им уже сложнее устраивать то, что они нам устраивали раньше. Раньше они говорили: «Вы не такие белые и пушистые, как нам хотелось бы», — а тут им надо спасать людей.
Описанный пример — реальный, он произошёл два-три года назад с кардиологическим центром в Бруклине. Тогда мы только начали работу с жертвами шантажа и в этой истории принимали участие лишь отчасти.
Но в последнее время атаки на больницы участились, и нас то и дело привлекают к решению этих проблем. Я не могу разглашать названия, но нам удалось частным образом разрешить несколько ситуаций. В одном случае хакеры взломали и зашифровали базу данных, так что госпиталь был не в состоянии обслуживать пациентов. Требовали полмиллиона долларов. Менеджеры стали звонить как сумасшедшие: они не только теряли миллионы долларов каждый день, без базы данных они не могли даже выдать лекарства своим пациентам. Хорошо, что в emergency room у них были бумажные файлы и взлом произошёл в субботу, так что у нас было полтора дня, чтобы разобраться с ситуацией.
В первом случае удалось только снизить сумму выкупа, а во втором нам удалось расшифровать и запустить базу. Сейчас мы консультируем этого клиента по вопросам системы защиты.
Там, где речь идёт только о торге, теоретически киберспециалисты не нужны, но фактически в такого рода переговорах возникает масса технических вопросов. Заплатить выкуп значит решить вопрос на неделю, через неделю они сделают то же самое. Надо понимать, что на что мы обмениваем, и тут переговорщикам нужна техническая поддержка. Не забывайте, что приходится работать с пиратами (которые находятся в странах, не имеющих договора об экстрадиции с США) и расплата идёт биткоинами.
Если вы думает, что ransomware — это не ежедневная рутина, вы совершенно ошибаетесь. В нашей практике таких случаев было всего 4-5, но в целом количество атак — сумасшедшее. Они инфицируют машины, видят всю бухгалтерию компании, оценивают потери от дневного простоя и на основании этого выставляют счёт.
Раньше атаки предпринимались на частных лиц: хакеры просто выводили из строя компьютеры и требовали за восстановление 100 долларов. Связываться с этим нам не было смысла. Когда вымогатели стали просить сотни тысяч и миллионы долларов с компаний, всё изменилось.
Ransomware — это сегмент, который нас очень интересует, мы пытаемся захватить этот рынок. Оценить market share такой молодой индустрии довольно трудно. Это неустоявшийся рынок, ситуация на нём развивается настолько быстро, что даже статистику выработать трудно. Но по сравнению с тем, что представляем собой мы, этот рынок — бесконечный. От действий вымогателей американские компании теряют миллиарды. Причём наши конкуренты не бросаются в глаза: их либо нет, либо они занимаются не совсем тем, чем мы.
«По наивности своей российские и белорусские бизнесмены думают, что если они делают мультфильмы, то их не посадят»
Другой сегмент бизнеса — когда одна компания подсиживает другую на теме cyber compliance. В этом направлении нам не очень нужны хакеры, но, с другой стороны, речь в этих делах часто идёт о софте и лицензировании компьютерных операций, и тут хакеры знают многие вещи, которых не знают адвокаты. Этот бизнес у нас поставлен на поток: каждый день кто-то приходит и либо хочет убедиться, что его бизнес — compliant, либо кого-то заказывает. Это называется «вышибать конкурентов».
Допустим, российская компания говорит: мы — белые, а наш конкурент, тоже из России, подозреваем, занимается ИТ-деятельностью без лицензии. Он думает, что российской лицензии ему достаточно. Мы проверяем compliance конкурента за его спиной и однозначно находим какие-то нарушения Уголовного или Административного кодекса США, после этого обращаемся к знакомым из ФБР, Department of Homeland Security и Секретной службы (у меня там масса знакомых) и добиваемся обвинения. По заказу нашего российского клиента против другой российской компании. Или же белорусской. И когда президент этой российской или белорусской компании приезжает, например, в Финляндию, его там арестовывают, и компания разваливается.
Большинство таких заказов поступает из России и Украины. Но вот прямо сейчас у нас в разработке есть и одна белорусская ИТ-компания (по заказу российской). Человека или людей из этой компании арестуют за рубежом, куда они приедут отдохнуть. И это приведёт к развалу компании.
Пока Huawei работала в сегменте дешёвых телефонов для бедных людей, компанию Apple она не интересовала. Её интересовали состоятельные люди, которые могут заплатить 500-1000 долларов за телефон. Но Huawei становилась всё сильнее и постепенно стала наступать на пятки Apple. Тогда Apple обратилась к compliance-адвокатам и компьютерным специалистам (полагаю, это были хакеры), и те, проведя расследование, обнаружили, что софт продаётся в Иран. Они принесли эти результаты адвокатам Apple на тарелочке с голубой каёмочкой. Потом адвокатский дом, который представляет интересы Apple, обратился к знакомому полковнику ФБР, после этого работников Huawei во главе с директором арестовали. В результате компания полностью облита грязью и выброшена с американского рынка.
Это международные разборки, но то же самое происходит и с конкурирующими российскими или белорусскими компаниями. Как только они выходят из своей деревни, то оказываются на международном рынке. Нашими клиентами они становятся в тот момент, когда дорастают до порога интереса американских спецслужб, а он невысокий — миллион долларов годовой выручки. Даже маленькая компания запросто может оказаться в этих сетях. Если она всего лишь продаёт мороженое в парке Горького на миллион долларов в год, всё равно её лидеры могут сесть в тюрьму за нарушение американского законодательства. Это реальный случай: компания покупала молоко через USAID в Литве, и после этого их заказали и арестовали.
Или вот свежий пример — приговор Олегу Тищенко из Eagle Dynamics (Cотрудник российской геймдев-компании Eagle Dynamics, которая также имеет филиал в Беларуси, арестован в Грузии, осуждён в США на год заключения за незаконное приобретение руководства по летной эксплуатации американского истребителя F-16. Освобождён, так как ему зачли время, проведённое под стражей. — Прим. dev.by).
Компания занималась созданием компьютерных игр, по сути, просто мультфильмов — казалось бы, при чём тут американский закон? Чтобы понять, как писать софт, они на eBay приобрели инструкцию по эксплуатации старого списанного американского истребителя. Эту бумажку они, скорее всего, купили за 10 долларов, им и в страшном сне не могли привидеться последствия — что его [Тищенко] привезут в США и пообещают 10 лет тюрьмы за отсутствие лицензий.
По наивности своей компании думают, что если они делают мультфильмы, то их не посадят. На самом деле, как только компания выходит на определённые суммы, её руководителей можно арестовывать, так как, скорее всего, они нарушают американский закон. В России не арестовывают, так как обе конкурирующие организации имеют свои выходы на ФСБ, есть какой-то паритет. В мире же сейчас появилась новая сила, которая в состоянии рулить отношениями и в России, и отчасти в Беларуси. Беларусь — маленькая страна, но если белорусская компания начинает наступать на пятки российским, то подобные разборки могут иметь место и у вас.
«Раньше компании не доверяли бывшим преступникам, так как у них не сильно горело. Сейчас горит»
Таким образом, Cybersec сейчас функционирует вместе с адвокатским офисом: у нас под дюжину бывших хакеров, которые разбросаны по всему миру, и несколько десятков адвокатов и администраторов дел, в сумме получится меньше ста человек.
В критической ситуации пострадавшая компания начинает гуглить всё, что только можно, и таким образом находит нас. У нас есть маркетинговый отдел, который выстраивает органический поиск: звонки доходят и в адвокатскую контору, и в Cybersec. Когда поступает заказ, я начинаю обзванивать своих хакеров, и они либо помогают сами, либо показывают пальцем на кого-то из ребят, кто может решить проблему. Если это вирусная emergency, это одна история, если emergency нетворковская, я звоню своему великому хостеру (мы его отправили в Украину, очень хороший мальчик), если это ransomware, то связываемся либо с хостерами, либо с вирусописателями.
Многие хакеры не хотят оставлять в органике свои имена: если они выскакивают в поисковиках, к ним начинают бегать местные милиционеры и крутить им мозги. В Украине нам удалось добиться, чтобы их не беспокоили, а в России [правоохранительные органы] постоянно бегают и пытаются заставить их работать на себя.
Когда клиент просит у нас compliance, то как вишенку на торте мы предлагаем ему при желании расчистить рынок.
У адвокатов это классическая услуга — помочь клиенту расчистить рынок, ведь, если одна компания платит за legal compliance, а другая не платит, то наши клиенты становятся менее конкурентоспособными.
Работа по legal compliance тесно связана с техническими вопросами, и адвокаты в одиночку с ней не справятся. Вы не забывайте, что рядовой адвокат далёк от математики и компьютеров. Хакеров много, а вот адвокатов, способных разобраться в технических вопросах, просто не существует.
Наша работа — почасовая. Входной билет в наш офис стоит 20 тысяч долларов, в случае проблемы эта сумма расходуется по часам. Раньше это был технический час, он стоил 250-300 долларов, сейчас работа ведётся больше «под адвокатской шапочкой», поэтому цена подскочила до 500 долларов. Топовые компании по криминальной и киберзащите просят больше 1 000 долларов в час. Но мы стараемся держать среднюю цену на рынке адвокатских услуг, чтобы захватить большую долю рынка.
Если у наших клиентов просят биткоинов на 20 тысяч долларов, наш ответ будет: ребята, лучше заплатите, так у вас будет меньше головной боли. Сумма потенциального ущерба…. не то чтобы она нас совершенно не волновала. Но если это многомиллиардная компания и на неё была подготовлена очень дорогая атака, скорее всего, 20 тысяч на почасовой основе истратятся очень быстро. Потому что нас завалят тоннами бумаги террабайтами данных, и мне нужно будет поставить на уши весь офис.
Раньше компании не доверяли бывшим преступникам, так как у них не сильно горело. Сейчас горит. Раньше были грустные переговоры, которые редко приводили к чему-то хорошему. Сейчас люди сидят с дулом у лба, и у них — считанные часы на то, чтобы подумать.