Перейти к содержимому








Фотография

Контракт со взломом: как хакер построила бизнес


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 Moderator

Moderator

    Продвинутый пользователь

  • Модераторы
  • 31 сообщений

Алиса Шевченко «взламывает» компьютерные системы крупных компаний по их заказу и зарабатывает около 10 млн рублей в год. Зачем компании ей платят?

В 15 лет Алиса выучила язык ассемблера, но программистом не стала — ее больше интересовали взломы.

Бросила учебу в трех технических вузах, посчитав, что попусту теряет время, а сейчас ее приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана.

Свою первую компанию EsageLab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году.

  «Ей всегда было интересно узнать и понять, как все устроено изнутри. А потом использовать эти знания, для того чтобы обойти систему», — вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», где Шевченко пять лет работала вирусным аналитиком. Расследуя кражу денег в одном из российских банков, вспоминает Гостев, он показал Шевченко выявленный руткит-модуль. Для Алисы-Esage руткиты были профессиональной страстью, и она вспомнила, что уже видела похожий. В итоге взломщик был обнаружен. А Шевченко почувствовала, что на противодействии киберпреступникам можно заработать: «Документы, которые раньше прятали в сейфах, переместились в компьютеры, на смену кешу приходил интернет-банкинг, и криминал двигался к тому, чтобы захватывать цифровые активы».

В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей практически не было, он появился к 2010 году, замечает Александр Поляков, технический директор из питерской компании Digital Security. На целевых атаках зарабатывали прежде всего хакеры-преступники, охотившиеся за деньгами или промышленными секретами. Поначалу бизнес EsageLab был связан с консалтингом и исследованиями целевых атак. Стартовых инвестиций не понадобилось: весь капитал заключался в навыках нескольких проверенных сотрудников и собственных компьютерах.
Первых крупных заказчиков EsageLab получила по рекомендации системного интегратора «ДиалогНаука», с руководством которого Шевченко была знакома. К примеру, в 2010 году один из российских банков обратился в EsageLab, чтобы разобраться, как с помощью сотен поддельных денежных переводов кибермошенники выводили суммы от $3000 до $30 000. Группа Шевченко нашла бреши, через которые атакующие внедрились в систему банка и могли бы вновь это сделать в любой момент. Такие расследования, которые показывали логику и сценарий атаки, занимали у EsageLab в среднем месяц работы и приносили $10 000–15 000 выручки.
Гендиректор «ДиалогНаука» Виктор Сердюк подтвердил Forbes факт сотрудничества с Шевченко, но раскрывать подробности не стал, сославшись на конфиденциальность информации. Судя по списку выигранных контрактов, клиентами интегратора были суды, Минобороны, структуры ФСО, аппарат Госдумы, Сбербанк, «Газпром», «Транснефть», МТС, «Мегафон». Партнерство «ДиалогНаука» с EsageLab было вполне логичным, замечает руководитель Group-IB Илья Сачков: для интеграторов поиск уязвимостей — это подготовка дальнейших поставок клиентам софта и оборудования.
Однако бизнес оказался не столь привлекателен, как казалось вначале: контракты на расследования и тестирования разовые, накладные расходы велики, команду надо постоянно держать в Москве.
Шевченко решила сосредоточиться на том, что у нее получалось лучше всего, — на взломах-проверках. Так можно было заполучить клиентов на длительное обслуживание.
В поисках новых вариантов партнерства Шевченко переговорила с Натальей Касперской. К тому времени соосновательница «Лаборатории Касперского» вышла из бизнеса бывшего мужа и развивала свою компанию InfoWatch. «Алиса занималась консультациями в области защиты от руткитов. Было непонятно, как на этом можно было заработать. Инвестировать мы не стали, но какими-то советами помогли», — вспоминает Касперская.
Владелице EsageLab нужно было около $150 000 на создание программного инструментария для управляемых взломов. За год с лишним она заработала недостающую сумму. В 2011 году Шевченко заключила первый контракт по поиску уязвимостей в ПО для компании «ИнформЗащита». А в следующем году — первый контракт по пентестам с Parallels. Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security, в России — «боевые учения». Команда Шевченко знает лишь название компании-клиента и по открытым источникам собирает информацию на ключевых сотрудников, как при подготовке к реальному киберпреступлению.
«Мы всегда работаем по контракту с предоплатой. За штучные заказы уже не беремся», — говорит Шевченко.
Почему заказчики «боевых учений» привлекают людей со стороны?
«Держать таких специалистов в штате накладно, ведь пентесты делаются не каждый день», — объясняет вице-президент по безопасности банка «Тинькофф Кредитные системы» Станислав Павлунин. Даже если у фирмы есть свой отдел реагирования на целевые атаки, возникает потребность проверить, насколько надежна защита, то есть провести внешний аудит.
Поиском уязвимостей, по словам Ильи Сачкова из Group-IB, в России сейчас занимаются не менее 30 больших компаний, преимущество Шевченко — в ее «бутиковости» и соответствующем качестве проверки.

«Я никудышный продавец, — признается Алиса. — В компании на мне лежит исследовательская задача — получение инновационных технологий».

Впрочем, клиенты, как правило, находят ее сами. Заказчики проверяют хакеров, а хакеры — заказчиков.
«По одному контракту переговоры шли почти год, пока мы не стали доверять друг другу, — рассказывает Шевченко. — Мы используем дорогие технологии стоимостью $100 000–200 000, и они не должны попасть в руки к кому попало».
Год тому назад EsageLab была переименована в «Цифровое оружие и защиту»(ЦОР). Это не просто эффектное название: в декабре 2013 года технологии вторжения в программное обеспечение , которые создает и использует группа Шевченко, были внесены в реестр международного Вассенаарского соглашения, регулирующего экспорт обычных вооружений. Алиса Шевченко выходит на зарубежные рынки. Скоро в Сингапуре должна начать работу ее новая компания, которая будет продавать программное обеспечение для проведения реалистичных тестов на проникновение.
Насколько успешен легальный хакерский бизнес? По словам Шевченко, выручка EsageLab в 2012 году составляла 3 млн рублей, «Цифровое оружие и защита» по итогам 2014 года должна заработать около 10 млн рублей. На аренду офиса ЦОР не тратится, сотрудники работают дистанционно, ядро компании — пять человек, в зависимости от задач команда увеличивается до 10-15 человек.
На досуге предпринимательница-хакер ищет слабые места в системах Microsoft, Apple, Adobe. За выявленные «дыры» платятся премии (в среднем $2000 за одну уязвимость), так что за уязвимостями охотятся сотни независимых хакеров, конкурирующих с собственными отделами тестирования вендоров.
Участвует она и в онлайн-соревнованиях по компьютерной безопасности: «В одиночку против команд — это ни с чем не сравнимый тренинг всех отделов мозга».
Городская среда для Алисы Шевченко — поле для тренировки. Однажды, отправляя зарплату сотрудникам с компьютера, на котором установлено оборудование для поиска уязвимостей, она обнаружила бреши в банковской системе. На вокзале, купив билет в автомате, задержалась возле терминала. «Смотрите, на табло высвечивается меню программного обеспечения, — Шевченко показывает фотографию в своем телефоне. — Значит, можно установить на терминал модифицированную «прошивку», например, чтобы выводить деньги». Недавно фирма Polaris попросила ее протестировать на наличие уязвимостей модель пароварки, которой можно управлять через интернет. Проблема в том, что через блок управления бытовым устройством можно влезть в локальную сеть и выкачать из домашнего компьютера информацию.
Судя по всему, пока существует интернет, без заказов Шевченко не останется.

 

Прикрепленные файлы

  • Прикрепленный файл  677_581.jpg   276,39К   0 Количество загрузок:





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

Яндекс.Метрика