Интервью Agnitum с хакером
Специалисты компании Agnitum провели небольшое исследование деятельности так называемых сетевых преступников, а также пообщались на условиях конфиденциальности с несколькими хакерами, живущими в Санкт-Петербурге. Эти статья и интервью представляют общее мнение этих хакеров по ряду вопросов. Мы все наслышаны о «подвигах» русских хакеров. Можно привести бессчетное количество примеров – от громкого кибер-ограбления Citibank в 1994-м году, совершенного русским программистом Владимиром Левиным, до недавней кражи пин-кодов из шведского Nordea Bank. Ущерб от подобных преступлений может исчисляться миллионами долларов.
Как представители российского разработчика средств безопасности, мы, разумеется, лишь втайне гордимся «умельцами»-соотечественниками – сколь бы умным и талантливым ни был злоумышленник, преступление остается преступлением. Но не собираемся и извиняться за их деятельность – Россия вовсе не единственная страна в мире, в которой техническая подкованность населения сочетается с внутренней финансовой нестабильностью. Наоборот, нам пришлась по вкусу идея пристальнее изучить, что же движет всеми киберпреступниками. Мы живем бок о бок с хакерами и хорошо знаем их повадки. Это помогло нам провести небольшое исследование среди местного сообщества хакеров и организовать интервью с бывшим кибервзломщиком, который утверждает, что отошел от дел, и готов анонимно поделиться своим опытом. Бывшему хакеру Виктору 30 лет, он живет в Санкт-Петербурге. С хакерством он «завязал» и нашел легальную работу в российской компании-разработчике программного обеспечения. Кажется, он вполне доволен ей. Виктор не захотел подробно рассказать нам о том, почему переметнулся на «легальную» сторону, но с удовольствием говорил о своем мастерстве. Когда он узнал, что Agnitum ищет информацию о киберпреступлениях, что называется, «из первых рук», Виктор предложил поговорить о так называемом «заказном вредоносном ПО» и инструментах для его разработки.
Agnitum:Как долго вы занимались хакерством и написанием вредоносных программ?
Виктор: Хакерством, хм, ну, я не знаю точно. Около десяти лет или типа того. Все началось еще когда я был студентом. Помню, однажды мне понадобился доступ к серверу, и я загрузил свой компьютер с дискеты с Linux’ом и с ее помощью сбросил все пароли в Windows. До сих пор помню удивление администратора. Вот так это было… по-моему, забавно. В юности я занимался и другими делами – например, писал вирусы на заказ и рассылал фишинговые письма. Интересно было узнать, легко ли я могу заставить людей расстаться с информацией и деньгами?
Agnitum: Если это было так выгодно, то почему вы решили покончить с хакерством?
Виктор: Ну, может быть потому, что немного повзрослел и решил, что перспективы долгосрочной карьеры программиста, занимающегося поиском багов в программном обеспечении за легальные деньги – это лучше, чем хакерство. Может быть потому, что в конце концов понял – простое написание вредоносного кода больше не приносит удовлетворения. Я получаю удовольствие от своего вклада в разработку открытых исходиков.
Agnitum: Насколько сложно создать свою собственную вредоносную программу?
Виктор: В сети много доступных средств (если вы знаете где искать), которые легко могут создать новую версию, скажем, «трояна» из его исходных бинарников. Хотя это будет и примитивное изменение, есть шансы, что некоторые несвоевременно обновляющиеся средства безопасности пропустят его. Все, что вам нужно, это немного опыта написания кода на C++ – я делал это в течение нескольких минут.
Agnitum: Можете назвать примеры таких инструментов?
Виктор: Конечно, хотя я не хочу вдохновлять людей на их поиск. Большинство из них, тем не менее, находятся в свободном доступе. Например, Pinch Builder – «популярный» ассемблерный «троян». Любой может загрузить образчик (размером около 20 Кб) и изменить его по своему усмотрению. Исходный бинарник пытается получить доступ к Windows Protected Storage (хранилищу «безопасных» паролей пользователя) и выудить оттуда информацию. Итог очевиден – компрометация данных пользователя. Pinch может быть расширен до функциональности кейлоггера или спам-робота и даже выступать плацдармом для действий других вредоносных программ. Исходный Pinch был разработан с целью распространения в момент shut-down’а (начала выключения компьютера) и обходил системы безопасности, так как они обычно уже выключены в этот момент.
Agnitum: Звучит как неплохое подспорье для хакера. А сколько он стоит?
Виктор: Ну, я некоторе время не интересовался этим и не владею точной информацией, но думаю, что в районе 30 долларов – довольно приемлемо для такого рода экспериментов. В сети также несложно найти и пару подобных бесплатных утилит.
Agnitum: А может ли среднестатистическое средство безопасности эффективно противостоять Pinch и подобным?
Виктор: Если вы говорите о продуктах, основанных на сигнатурном поиске, то ответ такой: очень непросто найти мощное непробиваемое решение. Такие угрозы – как хамелеоны. Обнаружить их предельно сложно – иногда они видны, иногда с другими вариантами Pinch (неважно, с теми же вредоносными программами или нет) — полностью скрыты. Pinch может быть крайне неуловимым. Возможно, что некоторые инструменты проактивной защиты, контролирующие системные и программные взаимодействия, могут обеспечить лучшее обнаружение, но стопроцентной гарантии нет.
Agnitum: То есть верного решения нет?
Виктор: Ну, System Safety Monitor – программа, которая отслеживает активность Windows в реальном времени – неплохое начало, как и любое другое средство для борьбы с malware (вредоносным ПО), подобным Pinch. И вам будет приятно услышать, что Outpost также держится достойно.
Agnitum: А что вы думаете о заказном вредоносном ПО, нацеленном на специфическую активность пользователей или специфические типы пользователей?
Виктор: Существует вполне определенный рынок заказных вирусов, эксплойтов и неопубликованных уязвимостей. Но принимая во внимание способности и опыт современных разработчиков malware, никто не в состоянии предсказать, кто победит – разработчики или хакеры. Имея опыт работы по обе стороны баррикад, я бы сказал, что «темные» имеют большое преимущество. Появление технологий, подобных руткитам, и сетевых служб представляет огромный потенциал для использования хакерами.
Agnitum: Кто в конце концов победит?
Виктор: Никто не знает наверняка. Я могу сказать лишь одно: разработчики средств безопасности всегда будут позади, пока будут делать ставку на реактивные меры – как в стратегических решениях, так и в методологии продуктов. Обыкновенные пользователи всегда будут заражать свои компьютеры, пока будут игнорировать основные меры безопасности. Победителем будет тот, кто будет работать энергичнее – неважно, со стороны атаки или защиты. Полагаю, вы можете сказать, что я переметнулся на сторону «светлых», так как, в итоге, хотел бы видеть их победителями в этой схватке.