el_cesar

Контракт со взломом: как хакер построила бизнес за счет банков и корпораций

2 сообщения в этой теме

Закрепленный пост

Статья об основательнице компании ЦОР, на которую сегодня наложили санкции США, обвинив в причастности к кибератакам на США.

Алиса Шевченко «взламывает» компьютерные системы крупных компаний по их заказу и зарабатывает около 10 млн рублей в год. Зачем компании ей платят?
В фабричных окнах загорается свет. Локомотив тянет вагоны через железнодорожный переезд. Кран поднимает грузы. Миниатюрный городок, появившийся в мае этого года в московском техноцентре Digital October, — не игрушка, а хакерский полигон, построенный для форума Positive Hack Days. За сотню километров от этого места, сидя в подмосковном коттедже, блондинка с татуировкой-иероглифом на левом предплечье взламывает со своего компьютера систему управления предприятием городка-полигона. Она побеждает в конкурсе «Взлом умного города» — легальной хакерской атаке, нацеленной на выявление слабых мест в инфраструктурных и промышленных системах.
«Я даже не ожидала такой тривиальности — около 10 критических уязвимостей всего за пару часов», — рассказывает Алиса Шевченко, она же Esage, она же владелица компании «Цифровое оружие и защита» с годовой выручкой около 10 млн рублей.

В 15 лет Алиса выучила язык ассемблера, но программистом не стала — ее больше интересовали взломы.
Бросила учебу в трех технических вузах, посчитав, что попусту теряет время, а сейчас ее приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана.

Свою первую компанию EsageLab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году. «Ей всегда было интересно узнать и понять, как все устроено изнутри. А потом использовать эти знания, для того чтобы обойти систему», — вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», где Шевченко пять лет работала вирусным аналитиком. Расследуя кражу денег в одном из российских банков, вспоминает Гостев, он показал Шевченко выявленный руткит-модуль (программу, которая в обход антивирусов скрытно управляет компьютером). Для Алисы-Esage руткиты были профессиональной страстью, и она вспомнила, что уже видела похожий. В итоге взломщик был обнаружен. А Шевченко почувствовала, что на противодействии киберпреступникам можно заработать: «Документы, которые раньше прятали в сейфах, переместились в компьютеры, на смену кешу приходил интернет-банкинг, и криминал двигался к тому, чтобы захватывать цифровые активы».
В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей практически не было, он появился к 2010 году, замечает Александр Поляков, технический директор из питерской компании Digital Security. На целевых атаках зарабатывали прежде всего хакеры-преступники, охотившиеся за деньгами или промышленными секретами. Поначалу бизнес EsageLab был связан с консалтингом и исследованиями целевых атак. Стартовых инвестиций не понадобилось: весь капитал заключался в навыках нескольких проверенных сотрудников и собственных компьютерах.
Первых крупных заказчиков EsageLab получила по рекомендации системного интегратора «ДиалогНаука», с руководством которого Шевченко была знакома. К примеру, в 2010 году один из российских банков обратился в EsageLab, чтобы разобраться, как с помощью сотен поддельных денежных переводов кибермошенники выводили суммы от $3000 до $30 000. Группа Шевченко нашла бреши, через которые атакующие внедрились в систему банка и могли бы вновь это сделать в любой момент. Такие расследования, которые показывали логику и сценарий атаки, занимали у EsageLab в среднем месяц работы и приносили $10 000–15 000 выручки.

[IMG]

Гендиректор «ДиалогНаука» Виктор Сердюк подтвердил Forbes факт сотрудничества с Шевченко, но раскрывать подробности не стал, сославшись на конфиденциальность информации. Судя по списку выигранных контрактов, клиентами интегратора были суды, Минобороны, структуры ФСО, аппарат Госдумы, Сбербанк, «Газпром», «Транснефть», МТС, «Мегафон». Партнерство «ДиалогНаука» с EsageLab было вполне логичным, замечает руководитель Group-IB Илья Сачков: для интеграторов поиск уязвимостей — это подготовка дальнейших поставок клиентам софта и оборудования.
В 2009 году Алиса Шевченко, по ее словам, получила от заказчиков 1,5 млн рублей. Обратился к ней и бывший работодатель. EsageLab тестировала один из антивирусов KasperskyLab. «Поработали хорошо, нашли много уязвимостей», — вспоминает предпринимательница.

Однако бизнес оказался не столь привлекателен, как казалось вначале: контракты на расследования и тестирования разовые, накладные расходы велики, команду надо постоянно держать в Москве.
Шевченко решила сосредоточиться на том, что у нее получалось лучше всего, — на взломах-проверках. Так можно было заполучить клиентов на длительное обслуживание.
В поисках новых вариантов партнерства Шевченко переговорила с Натальей Касперской. К тому времени соосновательница «Лаборатории Касперского» вышла из бизнеса бывшего мужа и развивала свою компанию InfoWatch. «Алиса занималась консультациями в области защиты от руткитов. Было непонятно, как на этом можно было заработать. Инвестировать мы не стали, но какими-то советами помогли», — вспоминает Касперская.
Владелице EsageLab нужно было около $150 000 на создание программного инструментария для управляемых взломов. За год с лишним она заработала недостающую сумму. В 2011 году Шевченко заключила первый контракт по поиску уязвимостей в ПО для компании «ИнформЗащита». А в следующем году — первый контракт по пентестам (испытаниям на проникновение) с Parallels. Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security (агрессивная защита информации), в России — «боевые учения». Команда Шевченко знает лишь название компании-клиента и по открытым источникам собирает информацию на ключевых сотрудников, как при подготовке к реальному киберпреступлению (например, через компьютер сисадмина можно проникнуть в критические узлы локальной сети). Дальнейшие действия — информация, не подлежащая разглашению.

[IMG]

«Мы всегда работаем по контракту с предоплатой. За штучные заказы уже не беремся», — говорит Шевченко. Почему заказчики «боевых учений» привлекают людей со стороны? «Держать таких специалистов в штате накладно, ведь пентесты делаются не каждый день», — объясняет вице-президент по безопасности банка «Тинькофф Кредитные системы» Станислав Павлунин (в 2013 году банк привлекал Шевченко для аудита кода и пентеста). Даже если у фирмы есть свой отдел реагирования на целевые атаки, возникает потребность проверить, насколько надежна защита, то есть провести внешний аудит.
Поиском уязвимостей, по словам Ильи Сачкова из Group-IB, в России сейчас занимаются не менее 30 больших компаний, преимущество Шевченко — в ее «бутиковости» и соответствующем качестве проверки.

«Я никудышный продавец, — признается Алиса. — В компании на мне лежит исследовательская задача — получение инновационных технологий».
Впрочем, клиенты, как правило, находят ее сами. Заказчики проверяют хакеров, а хакеры — заказчиков. «По одному контракту переговоры шли почти год, пока мы не стали доверять друг другу, — рассказывает Шевченко. — Мы используем дорогие технологии стоимостью $100 000–200 000, и они не должны попасть в руки к кому попало».
Год тому назад EsageLab была переименована в «Цифровое оружие и защиту» (ЦОР). Это не просто эффектное название: в декабре 2013 года технологии вторжения в программное обеспечение (intrusion software), которые создает и использует группа Шевченко, были внесены в реестр международного Вассенаарского соглашения, регулирующего экспорт обычных вооружений. Алиса Шевченко выходит на зарубежные рынки. Скоро в Сингапуре должна начать работу ее новая компания, которая будет продавать программное обеспечение для проведения реалистичных тестов на проникновение.
Насколько успешен легальный хакерский бизнес? По словам Шевченко, выручка EsageLab в 2012 году составляла 3 млн рублей, «Цифровое оружие и защита» по итогам 2014 года должна заработать около 10 млн рублей. На аренду офиса ЦОР не тратится, сотрудники работают дистанционно, ядро компании — пять человек, в зависимости от задач команда увеличивается до 10-15 человек.


Штатных сотрудников Шевченко отбирала долго и тщательно. Еще до «Лаборатории Касперского» она тусовалась на хакерских сайтах под ником codera. Из числа знакомых по сообществам — хакеров из Санкт-Петербурга и Новосибирска, не связавшихся с криминалом, — она и стала собирать команду. «Это мои лучшие специалисты, проверенные годами», — уверяет Шевченко.

На вопрос о возможности проверки на полиграфе она пожимает плечами: «Хакеры знают, как его обойти. «Детектор лжи» мне часто заменяет женская интуиция».

Поделиться сообщением


Ссылка на сообщение

Ну и видок у неё для фото)

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас