О перспективах для подростков, увлеченных хакерской тематикой, несовершенстве закона и человечности поговорили с экспертом нашего проекта Александром Сушко, руководителем белорусского представительства международной компании Group-IB, которая специализируется на расследовании киберпреступлений, экс-начальником управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности главного следственного управления Следственного комитета Республики Беларусь.
Автор: Наталья Котелева
Александр Сушко
— 29 несовершеннолетних привлечено к уголовной ответственности за киберпреступления только лишь в январе-ноябре 2018г. И это лишь сухая статистика. У нас немало увлеченных ребят, которым интересна тема инфобезопасности, которым нравится пробовать «на зуб» устойчивость к взлому тех же гаджетов. Может быть, стоило бы эту энергию и талант направить в более созидательное русло?
— Да, несовершеннолетние, как правило, старше 16 лет, действительно каждый год привлекаются к ответственности. Чаще речь идет об интернет-хулиганстве, когда пользователь хочет показать, что он может сделать, как круто он может это сделать. Более серьезные последствия наступают, когда молодой человек (как правило, девушки этим занимаются значительно реже) в итоге причиняет ущерб, в том числе и материальный. Ребята в первую очередь должны понимать, что за ту или иную «шалость» предусмотрена уголовная ответственность.
— А если руки все-таки чешутся?
— Можно, например, поучаствовать в тематических хакатонах. Количество и качество таких мероприятий растет с каждым годом, что радует. Стоило бы также привлекать со стороны государства ресурсы для обучения молодежи. Может быть, этот молодой хакер гораздо эффективнее научил бы даже тех же представителей организаций, госорганов, как успешно атаковать и как защищаться от атак.
— Подросток пентестер – по сути, хакер, который исследует безопасность веб-сайтов, мобильных приложений и даже банкоматов, причем «взламывает» он их абсолютно законно и получает за это «белую» заработную плату у работодателя. Чем не выход для юношей и девушек, которые «болеют» кибервзломами, но желают оставаться в рамках закона? Насколько это реально в Беларуси с точки зрения законодательства?
— Подросток действительно может стать пентестером – было бы желание и талант. Но есть сложности с юридической составляющей вопроса. Во-первых, пентест в первую очередь подразумевает под собой грамотное оформление работы, в том числе и четкое составление договоров, определение векторов атаки и пр. Если такие документы не составляются, то обладатель атакуемого информационного ресурса имеет полное право обратиться с заявлением в правоохранительные органы. Последние, кстати, могут узнать о такой атаке даже без заявления. Тогда будет запущен уголовный процесс и «неграмотного пентестера» могут привлечь к ответственности. Во-вторых, трудовое законодательство подразумевает определенные ограничения при приеме на работу несовершеннолетних. И даже если в компании не сомневаются в компетенции юного кандидата, захотят ли они взять в штат подростка – вопрос.
— Вам несовершеннолетние подростки-пентестеры встречались за всю вашу практику?
— Да.
— Кафедра защиты информации в БГУИР — единственный вариант обучения будущих ибэшников?
— Специалист по защите информации совсем не обязательно выпускник этой кафедры. Во многих организациях и банковских учреждениях люди занимаются обеспечением информационной безопасности, получив совсем не ибэшную техническую специальность. Главное – опыт, понимание того, как работают бизнес-процессы, желание постоянно совершенствовать свои навыки. Это сейчас самый оптимальный путь — находить внутри организации айтишников, которые хотят и могут успешно работать в сфере инфобезопасности. Крупные компании, как Epam, так и делают. Туда вряд ли возьмут 21-летнего выпускника вуза, пусть и с профильной кафедры, — нужно четко видеть его навыки и возможности.
Кстати, для талантов в мире есть немало возможностей «дообучаться».
Можно, например, постучаться в паблики в соцсетях (подписаться на publiclyDisclosed в Twitter, где люди делятся отчетами о найденных уязвимостях). Важно поучаствовать в паре-тройке соревнований. Хорошим стартом для начинающего пентестера будет участие в CTF-соревнованиях (от англ. Capture the Flag). Для начала полезно почитать отчеты о том, как решалась поставленная взломщикам задача. В России можно попробовать свои силы в RUCTF, а также присмотреться к хакерским соревнованиям Hack and Go и «Противостояние» — белорусским подросткам туда также путь открыт. Также нужно посидеть на соответствующих форумах, сайтах (например, Antichat, RDot).
Если ехать куда-то нет возможности, а опробовать навыки хочется, можно воспользоваться виртуальными лабораториями (Pentestit, Hackthebox): некоторое количество гарантированно уязвимых виртуальных машин. Участнику необходимо подключится к лаборатории, искать уязвимости и общаться с себе подобными, постепенно набираясь знаний, опыта. Помимо этого, есть обучаться по видео (неплохая подборка есть на сайте Security Tube). Кроме этого, есть такой вид программы, которую поддерживают многие компании по всему миру, — Bug Bounty.
Словом, если есть способности и желание, можно найти, над чем пораскинуть хакерскими мозгами, не выходя за рамки закона.
— Реально ли в сообщество профессионалов (условных «взрослых и крутых дяденек и тетенек») войти обычному белорусскому подростку, который загорелся стать белым хакером?
— Реально. Но проблема в том, что рынок ИБ в нашей стране только начинает развиваться. О «взрослых крутых дяденьках» говорить можно, но их не так много и надо знать, где эта маленькая группка людей находится. Но это проблемы роста. В странах, где выделяются большие деньги на обеспечение информационной безопасности, малышей привлекают к этой работе с самого начала. Если ты будешь видеть человека, растить его, шлифовать его навыки, то из него в дальнейшем получится крутой профессионал.
— Есть ли шанс у белорусских «малышей» так же профессионально расти под присмотром крутых специалистов?
— Шанс есть. У нас, к примеру, второй год подряд ОАО «Агат — системы управления» будет проводить CTF-соревнование. Да, там участвуют студенты, но и более юный возраст тоже, думаю, стоило бы привлекать. Конечно, этого мало. Нужно проводить конкурсы по теме информационной безопасности, больше рассказывать о том, какие у школьников есть возможности показать свои навыки, развить их, поделиться своим опытом. Говорить нужно о том же Bug Bounty. Ведь это тоже неплохая возможность. Да, опыта у молодежи не так много, поэтому успехов тут сразу можно и не достичь. Хотя есть такие ребята, которые могут делать и это.
— Профессионала можно подготовить, он может подготовиться сам, но что может убедить подростка в итоге выбрать светлую сторону и не становиться киберпреступником?
— Многие профи становятся на преступный путь, желая славы и/или денег. Можно стать крутым профессионалом, но при этом человеком можно и не быть. Тот, кто более it-скиловый, должен защищать более слабых, тех, у кого нет таких навыков, а не кичиться мастерством и совершать преступления в отношении других. Если понимаешь, что слабых обижать недостойно, — на «темную сторону» не перейдешь.
— А вы сами как стали киберполицейским?
— Всегда было желание помогать людям, которые попали в беду. Антихакером я стал только последние 16-17 лет. До этого 5-7 лет работал по общим уголовным статьям — хулиганство, грабежи, разбои, убийства, экономические преступления. Я чувствовал и видел, что могу защитить граждан в том числе и в кибермире. И сейчас, к примеру, белорусские правоохранительные органы могут взаимодействовать и с американскими правоохранительными органами, и с российскими, и с европейскими, что доказывает: даже находясь в разных странах, даже при отсутствии общего законодательства антихакеры могут объединиться, чтобы привлечь к ответственности тех, кто использует интернет, чтобы скрыться.
— Наказание всегда соразмерно киберпроступку?
— Наказать нарушителя закона – всегда сложное решение. Во-первых, некоторые подозреваемые и обвиняемые в моей практике оказывались гораздо лучше, чем многие потерпевшие. Во-вторых, законы зачастую несовершенны, а цифровой закон и вовсе еще не создан. В каждом конкретном случае нужно четко видеть, когда, например, человеком руководила лишь жажда наживы, а когда молодые ребята, взламывавшие сайты, хотели лишь развивать свои навыки, а в итоге должны привлекаться к ответственности, потому что преступили закон по незнанию или его недопониманию… Для меня в первую очередь было важно, чтобы человек искренне раскаялся в проступке, чтобы в следующий раз он не совершил то, что совершил сейчас. Никогда не было желания использовать власть, чтобы наказать. Всегда хотел помочь человеку прийти к пониманию того, какие вредные последствия у его действий… В общем, напишу когда-нибудь книгу – обязательно расскажу все подробности.