Про хакерську романтику

Про хакерську романтику

Про хакерську романтику. Легке недільне чтиво.

Колись я багато часу проводив на кібер-кримінальних форумах і розумію романтичні настрої значної частини тамтешньої публіки, особливо у віці від старших школярів до молодших студентів.
“Кинь виклик цьому світу тупих уродів, старих хтивих корупціонерів, які не дають шансів молоді! Стань крутим хакером і візьми від життя все сам!”

Десь приблизно так звучить лейтмотив та прихована мотивація андеграунд-хацкерів.

І декому це насправді вдається.

У юного росіянина Йєвгенійя Нікуліна були Lamborghini Huracan, Bentley, Continental GT і Mercedes-Benz G-Class. А ще коштовні годинники, подорожі Європою та багато інших ніштяків, на які він “заробив” сам.
Зараз розкажу як саме.

На початку березня 2012 йому вдалося інфікувати лаптоп одного з працівників Linkedin та отримати доступ до корпоративного VPN, що дозволило потрапити до нутрощів цієї соціальної мережі. До печери Аладіна тобто. Всього Нікулін вкрав та продав близько 117 мільйонів користувацьких даних: юзернейм, пароль, email. А ще такі скарби можна використовувати не тільки шляхом тупого продажу, а, наприклад використати дані для таргетованого фішингу (який на порядок ефективніше за масову розсилку). І ціль такої сфокусованої атаки – ще одна печера Аладіна: Dropbox. Цілком логічний підхід «якби у мене була чарівна паличка, я б наколдував собі ще мільйон таких паличок». (продовження: а чому не мільярд? Нє, ну це нереально…)

Після проломлення працівника Dropbox Нікулін вкрав та продав десь 68 мільйонів акаунтів користувачів.
А потім інфікував лаптоп інженера Formspring (соціальна мережа питань-відповідей) та потягнув внутрішню базу даних на 30 мільйонів користувачів.

І усе б було добре у житті талановитого хакера-кримінальника, якщо б у жовтні 2016 його не арештували у Празі, разом з його дівчиною.

Бабла у хлопчика було вже немало, на крутих адвокатів цілком достатньо, але все одно його екстрадували до Штатів. Хоча адвокати чесно намагалися врятувати замовника та боролися наче звірі: Нікуліна переводили з однієї тюрми до іншої, проводили різні психічні експертизи на психічну осудність, він відмовлявся співпрацювати зі слідством. А ще через пандемію двічі відкладали розгляд справи.

Цікавий момент: прокурори намагалися навісити на росіянина ще кілька нерозкритих справ. Але суддя назвав ці спроби mumbo jumbo і запитав чи не намагається прокурватура марнувати дорогоцінний суддівський час. А потім попросив прокурорів «Панове, якщо у вас немає справжніх доказів, ніж кілька повідомлень між двома ніками у Інтернет-чатах – то стуліть пельку та ідіть у сраку» (останню частину фразу я вигадав, але контекст був приблизно той самий).
Хоча для української системи кривосуддя та правопохєрони аналогічні обставини (пара повідомлень між двома ніками в месенджері) є цілком достатнім приводом для «36 обшуків у 25 областях України». Під обшуком зазвичай розуміється акція залякування шляхом легального грабунку помешкання, переляком сім’ї та сусідів, і від чого наразі не застрахований ніхто з мешканців України. Мета обшуку – закошмарити клієнта, щоб він визнав себе винним у вбивстві президента Кенеді та початку Першої світової війни.

Що ж до «рузьке хакер».
Хоч як воно не звивалося, все одно його визнали винним. Не тому що рузьке, а тому що скоїв кримінальні злочині та спричинив величезну шкоду.

Винесення приговору призначено на 29 вересня 2020. Не знаю чому так. Мабуть, якісь особливості американського законодавства: ми тебе визнали винним, але скільки років ти отримаєш – почекай, понервуйся, може ще щось згадаєш, ще когось здаси, заробиш собі мінус пару років.

Чому я звернув увагу на цей, начебто звичайний судовий процес над кримінальним хакером?
Ну, по перше, вкотре нагадати, що слово «хакер» вже давно не містить кримінального підтексту, хоча відпочатку від таки був. У світі успішно працюють та платять податки сотні легальних компаній, працівники яких є саме хакерами, але так званими white hat, або «етичними хакерами».

По друге. Дехто досі перебуває у полоні застарілих стереотипів а-ля «та не буде він сидіти, буде працювати на ЦРУ-ФБР десь у підвалі». Таких нікуліних насправді дуже багато, і їх кваліфікація не надто вже й висока, просто хлопець був наполегливий, не боявся порушити закон, а ще використовував правильні (та недешеві) інструменти для зламу. Ось і вся його «цінність». Не буде ж поліція брати на роботу кожного угонщика автомобілів. У часи Мітника, коли фахівців з кібербезпеки були буквально одиниці – так, така практика існувала. А зараз у спецслужб достатньо власних висококваліфікованих фахівців (Україну не маю на увазі). Так що буде Нікулін сидіти, нікуди не дінеться, хоча поки не відомо скільки років.

І останнє, найважливіше. Навчитися хакінгу і піти з цими знаннями у світ криміналу – погана ідея, мої юні колеги, повірте мені. Якийсь час у тебе можуть бути тачки-тьолки-яхти-клуби (хоча далеко не факт), але постійні тривожні відчуття та побоювання «чи не за мною це слідкують» або «а чи не схоплять мене у цій країні» – перекреслять усі матеріальні ніштяки від кібер-криміналу.

Це не враховуючи того, що досягти комерційного успіху у кібер-андеграунді так само важко, як і у легальному бізнесі: величезна конкуренція, демпінг, падіння попиту, зниження цін, висока собівартість, низька рентабельність, необхідність інвестицій, довгий період їх повернення , постійні вимоги конспірації. Закони кібер-кримінального ринку мало чим відрізняються від законів економіки. Точніше – нічим не відрізняються, бо це і є частина економіки, але зі своїми особливостями.

Тому не раджу йти у цьому напрямку.
Краще ходіть на кібер-конференції (тепер ще й онлайн), слухайте профільні подкасти, займайтеся само-освітою, отримуйте професійні сертифікати, надсилайте резюме до кібер-компаній, не бійтеся труднощів на початку кар’єри. І буде у вашому житті Бентлі. Якщо він вам буде ще потрібен.

https://www.zdnet.com/article/russian-hacker-found-guilty-for-dropbox-linkedin-and-formspring-breaches/?fbclid=IwAR3blq0_qCGzX5gp1HjHM3bC-fq28L95cw1h31KAN-9Lw4SD1wMiIhlU5Ng

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.