secretmag.ru
Технологии

Как кардер вышел из тюрьмы и делает бизнес на кибербезопасности

Дмитрий Насковец о своём ремесле
Как бывшие хакеры помогают защищать компании

В июле Bloomberg Businessweek опубликовал историю Дмитрия Насковца, белорусского кардера (человек, который крадёт деньги с банковских карт). В 2010 году его арестовали в Праге и экстрадировали в США. В интервью порталу dev.by Насковец рассказал о том, как четыре с половиной года отсидел в тюрьме на Манхэттене и избежал депортации благодаря адвокату Аркадию Буху (специализируется на защите хакеров).

После освобождения Насковец и Бух создали компанию Cybersec в Нью-Йорке — они помогают бизнесу бороться с кибератаками и искать уязвимые места в системах безопасности. «Секрет» поговорил с Насковцом и Бухом о защите данных и будущем их компании.

— Ваш текст на белорусском сайте многих впечатлил своей откровенностью.

— Да, резонанс нормальный пошёл благодаря тому, что меня арестовали американские спецслужбы. У них очень любят раздувать — прокурор сразу пошёл на пресс-конференцию. В той же Германии или Чехии совсем другое отношение, меньше медийный напор. Мне уже позвонили продюсеры, предлагают написать сценарий, сделать сериал или кино. У них там контракты, как у акул — хотят, чтобы ты эту историю никому не рассказывал, куча всяких ограничений. Будем думать.

— Но вы всё-таки хакер или кардер? Программируете?

— Нет, я даже Windows переустановить не могу, компьютер вообще не люблю. У нас понимают разницу между хакером и кардером, а в Америке ФБР любят раздувать истории о том, что ловят хакеров, это полезно для карьеры. А какой я хакер? Там совсем другие навыки нужны. Если ты хочешь обмануть человека, вытянуть из него пароль, ты не должен разбираться в технических взломах, ты должен позвонить и представиться, поговорить с представителями банка.

— Почему так много хакеров и кардеров из бывшего СССР попадают в Америку? Как возникло это сообщество?

— В конце 90-х в домах появился интернет, люди получили информацию и узнали, что с помощью простых математических формул можно генерировать номера карточек, покупать в американских магазинах реальные продукты. Кардер — тот же вор, но ему не нужно идти в магазин и видеть жертву. Начали создавать закрытые форумы, обмениваться опытом. Я общался на русскоязычных и американских форумах. Есть куча непрофессиональных форумов, где тусуются школьники, которые пытаются украсть $50. Реальных преступников, зарабатывающих по $10 000 в месяц, в русскоязычном мире где-то 15 000 человек.

Кардеры и хакеры есть во всех странах мира, но наших больше, потому что мы более голодные. Немец или американец может свои $100 000 в год заработать, сидя в офисе. Москвичей тоже немного, а вот Минск, Харьков, какой-нибудь маленький город в Эстонии — там всё начинается.

— Большая конкуренция?

— Сумасшедшая. Кто-то придумал новую схему и никому о ней не рассказывает. Всё секретно, часто у людей паранойя по поводу того, что их кинут, что придёт полиция. В конце операции деньги остаются у кого-то одного, всегда есть опасность, что он кинет. Атмосфера специфическая.

— Получалось много зарабатывать?

— Хватало на достойную жизнь — не миллионы, но тысячи долларов зарабатывал. До этого я работал в банке и автодилером, получал $300–400 в месяц, а тут мог такие же деньги заработать за день. По нашим меркам я был богатый человек.

— Бывало ощущение: сейчас вас найдут?

Мне нравилась атмосфера — секретность, никто не знает, чем ты занимаешься, принадлежишь к какому-то закрытому сообществу. Каждый раз не знаешь, сможешь ли обойти систему безопасности банка. В Белоруссии и России арестовывали очень редко, сейчас уже чаще. У КГБ Белоруссии всё нормально: запустили такие шпионские программы, которые даже наши специалисты по безопасности не видели. Кардеров сложно отследить — вся прибыль идёт в электронной валюте, которая оформлена на несуществующие имена. Больше арестовывают кардеров, которые на улице совершают преступления, например генерируют карточки и идут с ними снимать деньги в банкомат. А если ты звонишь со Skype в американский банк где-нибудь в Техасе, найти тебя очень тяжело. Нас нашли благодаря информаторам, а не каким-то техническим ошибкам.

В Америке, если речь идёт о сумме меньше $10 000, даже расследование не начинают — банку проще быстренько вернуть деньги по страховке. Они страхуют все счета, а деньги воруют с 5%, так что это даже выгодно.

— Моральные дилеммы?

Редко. Ты практически не слышишь голос своей жертвы — разговариваешь с банком, с сотрудником безопасности банка, жертва у тебя только в виде имени на экране. У меня недавно у самого украли карточку, за ночь сняли $800. Я позвонил банк, и эти деньги сразу вернулись. Это другой уровень — не то что физически украсть деньги из кошелька. Потом уже, в зале суда, когда читаешь какие-то заявления, понимаешь, что у человека стресс, ты залез в его сбережения.

Ещё есть такой момент в сообществе — мнение, что Америку надо душить. Люди пропагандируют: мы русскоязычные и должны душить врага. Роман Вега, получивший 17 лет ареста, проводил симпозиумы в отелях. Его мысль — этой информацией должен владеть каждый русскоязычный человек, и таким образом мы всех победим. Хакеры сейчас какие-то политические задания выполняют.

— Почему после тюрьмы вы решили заняться кибербезопасностью?

— Многие преступники, которых я видел, даже не думают, что можно заработать как-то иначе, но это не мой вариант. Арест стал облегчением — наконец-то эта каша закончилась. Я поставил крест на преступной деятельности в 2010 году.

Но когда я вышел из тюрьмы, было столько внимания. Партнёры сказали, что его можно использовать в бизнес-целях. Так что я стал вице-президентом Cybersec.org. Я не позиционирую себя как хакер, не обманываю клиентов. Я занимаюсь операционной работой, собираю информацию, на мне маркетинг. Но всё равно иногда приходится отвечать на вопросы о проблемах безопасности, играть в игру, что я эксперт. Может, я эксперт по преступлениям, но точно не в области компьютеров.

— Вы теперь боретесь с такими, как вы?

— Да, мы помогаем защитить от таких людей, какими сами были в 2007 году. Наша работа связана с хранением баз данных, где речь идёт о чувствительной информации и личных данных.

Когда речь идёт о хранении личных данных, будь то истории болезни в больницах или базы данных клиентов в банках, есть законы, которые требуют использовать защиту на определённом уровне. Компаний в области кибербезопасности много, но в основном в них работают недавние выпускники университетов. У них знания только из учебников.

— А у вас в компании какие есть специалисты?

— Сейчас есть четыре человека, которые на мировом уровне создают фантастические вещи в области безопасности, вирусов, придумывают всякие схемы. Мой партнёр Владислав Хорохорин обладает глубокими познаниями в разных областях, знает четыре языка, у него много знакомых в хакерском мире. Он сейчас сидит в тюрьме, но может общаться оттуда по e-mail, помогает нам консультациями.

— Создать компанию предложил ваш адвокат Аркадий Бух?

— После тюрьмы это был мой единственный друг. Я пошёл к нему в офис помощником адвоката, он предложил такую идею. Сказал: давай откроем компанию, соберём хакеров и будем давать консультации за деньги. В ноябре мы открылись, уже есть клиенты и первая выручка. Клиенты нас сами находят, читают статьи о нас и звонят. Рекламу мы не даём.

Мне такая мысль никогда бы в голову не пришла. У нас представить, что ты работаешь в адвокатском офисе после того, как сидел в тюрьме, нереально. Представьте, если б американец сидел в тюрьме в России, вышел, его не депортировали в Америку, смог бы он открыть компанию?

— Сколько можно заработать вашими консультациями?

— Акции компаний по кибербезопасности растут в цене. Рынок консультаций в этой области к 2020 году достигнет $120 млрд. У Fireye, которая работала с Sony и банком Chase, капитализация $6,7 млрд. Цены на услуги кибербезопасности растут: в 2011 году консультации стоили $190 в час, сейчас могут стоить $500.

— Ваша репутация не мешает работать с крупными клиентами?

— Чаще всего отдел безопасности готов сотрудничать. Упираться могут те, кто несут ответственность перед акционерами. В Америке в открытую никто не сотрудничает с преступниками, даже когда речь идёт о выгодных отношениях. Какие-то люди думают, бандит и есть бандит, украдёт всё. Но многие готовы рискнуть.

— Сколько человек в компании занимаются операционной работой?

— У нас в команде пять человек. Наёмных сотрудников как таковых у нас нет, специалисты просто вступают в наш коллектив, если у них есть подходящие навыки. Заключаем с ними контракт как с независимыми консультантами.

— Другие партнёры чем занимаются?

— Аркадий Бух занимается юридической частью. Я занимаюсь всем, от создания визиток до встречи с клиентами, потому что я в Америке и на свободе. Остальные предоставляют кадры. Игорь Клопов (сидел в американской тюрьме, но был депортирован в Россию по собственному желанию) в Москве отвечает за работу сайта и наш бренд в интернете. Всё само собой распределилось.

— Можно взломать Telegram?

— Если дать $1 млн и шесть месяцев, по-любому найдётся дыра. Это всегда вопрос времени и ресурсов. В американских спецслужбах очень большой бюджет и много сотрудников, поэтому они находят кого надо. Если технически защищённость серьёзная, то дыра появляется в человеческих привычках. Та же любовница может оказаться информатором. Никто ни в одной системе не может гарантировать безопасность.

Наше дело заключается в том, чтобы дать бизнесу максимально профессиональный совет, что он может сделать, чтобы спать спокойно.

— С какими проблемами к вам приходят?

— Везде разные требования и задачи, это интересно, нет рутины. Часто просят подогнать безопасность под требования государства к присутствию компании в интернете.

— Свои системы разрабатываете?

— Сейчас будем разрабатывать ПО, которое сможет сканировать ресурсы на всякого рода уязвимости. Это серьёзный проект, будем искать инвестиции. Если мы хотим быть на рынке, должны создать что-то уникальное.

— Я читала, что вы предлагали свои услуги American Express, чем вы могли бы им помочь?

— Да, я писал, что могу поработать с их системой безопасности. Когда я звонил в банки, проблема чаще всего была в человеческом факторе. Говоришь — я ваш клиент 20 лет, вы меня душите вопросами уже 15 минут, у меня на работе и так дебил директор, ещё вы тут нервы трясёте. Включаешь такое, и оно срабатывает во всех крупных американских банках. А в российском банке так не получится. Там операционисту всё равно, какие у тебя проблемы, другие принципы работают. Он прежде всего думает о своём месте.

Аркадий Бух, американский адвокат:

Я обратил внимание на то, что в большинстве компаний по кибербезопасности есть хорошие аналитики, иногда бывшие прокуроры, white-hat-хакеры. Но никто из них не ломал банки или госорганизации с целью кражи информации.

Между тем хакеры, которых я защищал, от начала до конца проводили атаку и собирали данные. У меня был выход на этих людей, они заинтересовывались проектом. Они прекрасно понимают, что бюджеты компаний огромные, больше, чем деньги, которые хакеры получают от заказчиков за причиняемый ими ущерб. Пример: сегодня база данных, украденная из Michaels или другого супермаркета, — миллион номеров кредитных карточек — на форуме продаётся за $250 000. Сама компания готова заплатить такие же деньги за проверку уязвимости. Мы можем защитить её от внешних и внутренних атак.

Я по образованию адвокат, адвокаты гарантий не дают, потому что ты никогда не знаешь, что ещё люди придумают. В хакинге нет гарантий, даже если ты самый великий хакер. Всегда найдётся тот, кто увидит очередную дырку. Но у нас в бизнесе гарантии не нужны. Хорошо защищённую систему поломать сложнее остальных. Хакеры — люди ленивые, они идут туда, где проще достать данные.

Сейчас с нами работают десятки известных хакеров, многие из них в розыске, экспертиза знаний и умений очень широкая. Моя адвокатская контора существует уже десять лет, ежегодно выручка растёт на четверть. Надеюсь, эта компания будет такой же успешной.

Сегодня работа хакера стоит в среднем $300–400 за час. Предварительный анализ безопасности стоит десятки тысяч долларов, зависит от потенциального ущерба компаний и количества работы. На этом рынке можно зарабатывать миллиарды. Ситуация с кибербезопасностью становится всё хуже и хуже. Очередной пример — вчера арестовали группу хакеров. Они получали пресс-релизы компаний до публикации, взламывая ленты информагентств. На основании этой информации мошенники занимались инсайдерской торговлей, таким образом украли больше $100 млн.

Фотография на обложке: предоставлена героем материала