Интервью со специалистом по кибербезопасности (3 фото + 4 гиф)

О том, как стать «белым хакером», штрафах и IT-феминизме

Как вы попали на эту работу?

Я учился в университете на одной из специальностей, связанных с комплексной защитой информации в организации. Обучали нас защите организации в целом, начиная от документации – политика, регламент и прочее, заканчивая технической составляющей – видеокамеры, системы контроля и управления доступом. Было несколько курсов по криптографии, курс компьютерной безопасности – это как раз та сфера, которая меня заинтересовала.

Примерно на экваторе обучения в университете в поисках подработки я попал в одну очень хорошую компанию, где работал параллельно с учебой и много лет после.

Какая у вас специализация?

Конкретную назвать не могу, я один из специалистов по исследованию различного рода кибератак. Мы изучаем их механизмы и функциональность и придумываем, как их предотвращать.

То есть вы – белый хакер?

Меня ни разу не называли ни белым хакером, ни черным, ни серым. Мне больше нравится градация «специалист по кибербезопасности» - «киберпреступник». Я на светлой стороне силы, этого достаточно.
Вы работаете удаленно или ходите в офис?

Многие специалисты по ИБ работают в больших известных организациях, почти все они трудятся в офисе. Я в том числе. Распорядка как такового нет, я прихожу к десяти и работаю до семи. Кто-то приходит к часу и уходит в девять-десять часов вечера. Главное – результат. Всегда можно работать из дома – все на связи с ноутбуком.

Офисы у нас достаточно комфортные со множеством приятных плюшек, типа кофемашин, вендинговых аппаратов и прочих атрибутов современного офиса.

Аппараты платные?

Конечно платные. Еще есть кухни – в уважающих себя организациях это все по умолчанию.

Ночные смены бывают?

В большинстве компаний есть сменный график. Я уже давно по сменам не работаю, но начинал именно со сменного графика. Потом переключился на сферу, которая мне интересна.

Есть ли девушки в профессии?

Девушек в кибербезопасности достаточно много, в том числе и в России. Есть специалисты с мировым именем, которые являются лучшими или одними из лучших в определенных сферах.
Это отрасль, где феминизм победил?

Нет, в этой сфере главное – знания. Я работал с несколькими аналитиками-девушками, это были очень крутые спецы. В этом плане в IT все открыто. Точно так же, как девушки-программисты сейчас никого не удивляют. Опять же, главное – это знания и умения, а не пол.

Есть ли какие-нибудь нормы KPI? Если работы нет – значит хорошо работаете?

Работа есть всегда, и всегда есть, что делать. Насколько я знаю, во многих компаниях есть определенные показатели для сотрудников, работающих по сменному графику. У тех, кто находится в свободном плавании, таких показателей может и не быть, потому что в некоторых ситуациях исследование одной кибератаки может занимать недели или месяцы.

За что могут уволить, оштрафовать?

За все то же, что и в любой другой компании. Из особенностей – компании, занимающиеся защитой информации, не возьмут на работу человека с запятнанной репутацией в нашей сфере, а также тех, кто совершил преступления по статьям 272, 273 и 274 УК РФ: неправомерный доступ к компьютерной информации; создание, использование и распространение вредоносных компьютерных программ; нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.

Это сразу черная метка. Наш мир узкий – маловероятно, что человека возьмут куда-либо.

Корпоративы, зарплата и карьерный рост

Как у вас с корпоративами?

Я долгое время работал в одной крупной компании, там было очень весело и комфортно. Часто посещали различные профильные конференции, всегда было много возможностей для саморазвития. И коллектив на тот момент сложился очень дружный.

На корпоративы System of a Down, конечно, не приезжали, но Би-2, Мумий Тролль, Сплин и другие звезды русского рока выступали у нас. Би-2, например, оказались совсем простыми парнями – Лева после концерта вышел к нам со словами: «Пацаны, дайте зажигалку». Покурили вместе с ним, было весело. У нас, как и у многих других компаний, два глобальных корпоратива – Новый год и день рождения компании. Раз в полгода гуляем.

Но это не только у нас – у любых других организаций вроде того же Google все хорошо в плане корпоративов, условий труда и разных плюшек. Они знают, как удержать работника.

Есть ли профессиональный праздник?

Вроде бы есть, но я не помню, чтобы кто-то его отмечал. Такого, как в день ВДВ или в день пограничника, не бывает точно. День рождения компании отмечают с куда большим размахом, чем день айтишника.

Сколько зарабатывает специалист по кибербезопасности?

Хороший специалист получает хорошие деньги. Все зависит от опыта и сферы, от твоей уникальности. В Москве можно получать 200 000 р. Максимум – ну, несколько сотен. На уровне топ-менеджера. Это, конечно, выше среднего по стране.
Лет десять назад на испытательном сроке я получал 20 000 рублей. У меня было жилье, я ни за что не платил, и для меня это были ох***ть какие бабки. Сейчас у стажеров чуть больше – кризис, инфляция – но я, к сожалению, точно не знаю.

Я зарабатываю от 150 000 р. Но я работаю – за просто так никто платить ничего не будет. Все адекватные, все считают деньги и делают бизнес.

Есть независимые эксперты. Они занимаются тем, что им интересно, работают из дома и могут сотрудничать, с кем угодно.

Насколько востребованы такие специалисты?

Дефицит кадров есть всегда. У меня в команде таких не один и не два. Команда может быть географически раздроблена, каждый работает с конкретной задачей. В комнате сидит примерно десять человек. Конкуренции нет – все делаем одно дело.

Есть специальный отдел, который обрабатывает заявки.

Заявки от организаций?

Да. В крупных компаниях есть отделы, которые занимаются, например, чисто промышленной безопасностью. Сейчас ведь все постепенно оцифровывается – заводы, промышленные предприятия. У них представление о защите может быть устаревшим – вот и приходится все АСУТП защищать.

Ключевой момент, который изменил всю индустрию на годы вперед – обнаружение червя Stuxnet в 2010 году. Он был создан для предотвращения развития иранской ядерной программы. Прошло девять лет, а Stuxnet до сих пор вспоминают.

Что с карьерным ростом?

Хорошо работаешь – хорошо растёшь. Кому-то хочется заниматься только одним направлением и иметь горизонтальный рост, а кто-то вверх растет. Я несколько лет назад переключился на смежную сферу, связанную с консалтингом – диагональный рост получился.

Нужен ли антивирус и зачем заклеивать камеру на ноутбуке
Есть ли толк от антивируса?

Конечно.

Какой самый лучший?

Есть несколько весьма уважаемых компаний, которые тестируют продукты для защиты: AV-Comparatives, AV-TEST и Virus Bulletin. Они показывают более-менее правдивые результаты.

У меня и у всех родных стоит Kaspersky Internet Security. Звук свиньи, кстати, при обнаружении вируса, уже не используется достаточно давно :)

Мак безопаснее ПК?

Под Мак тоже много вирусов и антивирусов. И когда яблочники говорят, что у них все хорошо – них*ра у них не хорошо. Эта беспечность потом приносит свои плоды киберпреступникам.
С айфонами сложнее – под них тяжело разрабатывать вредоносные программы. Фактически, крайне сложно запустить какой-то код не из App Store. Ходы-выходы там есть, но массовых атак на конечных пользователей нет. Но на самом деле – если захотят что-то взломать, то взломают что угодно.

Цель любой системы защиты информации – не только предотвратить атаки, но и сделать взлом максимально сложным и дорогим для киберпреступников.

А что с андроидом?

На андроид тоже обязательно ставить защитное программное обеспечение. Существует мнение, что андроид – самый незащищенный. В 2014 году, когда под него существовало уже несколько сотен тысяч вредоносных программ, их представители несли какую-то чушь, что вредоносных нет, есть только потенциально опасные. Из мобильных операционок iOS все-таки безопаснее.

Ходят слухи, что некоторые большие корпорации, которые располагаются в Америке, могут прослушивать телефон без вашего ведома через приложения. Но сегодня никаких прямых доказательств этому нет, и при этом есть множество фактов, которые играют против этой теории.

А если телефон выключен?

Скорее, нет. Слухи, опять же, ходят, но это слухи. Если паранойя подкатывает – можете отключать. Но ведь потом все равно придется включить.

А камеру на ноутбуке заклеивать?

Камеру желательно заклеивать. Есть множество вредоносных программ, которые втайне от вас могут передавать видео и аудиоданные злоумышленникам.
Как обезопасить свои данные?

Поставить комплексную систему защиты, не сидеть под админской учеткой – это сразу снимает множество проблем. Не пользоваться публичными Wi-Fi сетями – пароля нет, весь трафик передается в открытом виде. Или же использовать VPN в этом случае. Придумать надежные пароли для каждого сервиса или же использовать менеджер паролей.

То есть, в кафе деньги перекидывать не стоит?

Онлайн-банки сами шифруют трафик, но есть способы атаки и в этом случае. Поэтому, если подключился к публичному Wi-Fi – сразу включай VPN. Трафик зашифрован, вероятность его скомпрометировать очень низка.

А какой должен быть пароль?

Пароль должен быть длинной не менее 8 символов, естественно, заглавные и прописные буквы, цифры, спецсимволы. Можно придумать мнемоническое правило, чтобы делать пароли для каждого ресурса, но при этом чтобы они все были разные. Нужно хорошо потренироваться, запомнить и раз в три месяца менять.

Крайне важно использовать двухфакторную аутентификацию. И крайне важно не использовать в качестве второго фактора (хотя бы для критически важных ресурсов) смски.
Сегодня смс по-прежнему широко используются для двухфакторной аутентификации и одновременно с этим есть разные способы получить содержимое заветной для киберпреступника смски. Поэтому большинство специалистов настоятельно рекомендуют использовать аппаратные токены или приложения для двухфакторной аутентификации.

Под Линукс пишут вирусы?

Существует такое мнение, что Линукс – это «Неуловимый Джо». Но на самом деле осуществлять атаки на эту систему тоже возможно.

Не существует невзламываемых систем. Невзламываемая система – это стальной куб в самом охраняемом военном бункере, в котором стоит компьютер, полностью залитый цементом. Только тогда компьютер в безопасности. И то не факт.

Все правила безопасности написаны кровью, они глобально не поменялись – что сейчас, что десять лет назад. Они могут адаптироваться под новые технологии, но суть в целом остается той же самой.

О взаимодействии с управлением «К», вычислении по IP и телефоне Путина
Что вы думаете про закон об ограничении интернета?

Поставьте VPN или Tor.

Telegram – самый надежный мессенджер?

Спецслужбы, естественно, интересуются получением доступа. Есть другие мессенджеры, которые более защищены, чем Telegram. Самый важный момент – какое шифрование используется: сквозное, или же сообщения шифруются только во время передачи на серверы мессенджера и там уже хранятся незашифрованными. В сегодняшних реалиях лучше всего использовать мессенджеры со сквозным (end-to-end) шифрованием, когда ключ есть только у вас и того, с кем вы общаетесь. Это, например, Signal. Я с настороженностью отношусь к WhatsApp, несмотря на то, что у них тоже используется такой вид шифрования по умолчанию, так как сегодня он принадлежит Фейсбуку.

А вообще – взломать можно все, главные вопросы - цель взлома и ресурсы атакующего.
Обращаются ли к вам полиция или спецслужбы за помощью?

Это регулярная тема. Ко многим компаниям, которые занимаются кибербезопасностью, может прийти официальный запрос на экспертизу из управления «К», и все их делают. Киберпреступление – это то же самое уголовное преступление. Это рутина. Сейчас уже наработана практика сбора доказательной базы – что и как искать, как доказывать вину конкретного человека.

А как можно доказать вину человека? На винчестере ведь не остается отпечатков пальцев?

Нет, но чаще всего к подозреваемому приезжают «Маски Шоу» и изымают ноутбук, сотовые телефоны, смартфоны, SIM-карты, флэшки и другую технику, и передают их нам для технического исследования.

Насколько опасно ставить пиратское ПО дома?

Пиратское ПО вообще не нужно ставить никогда. Это раньше была проблема с доступом к софту, а сейчас на ноутбуках предустановленные основные программы. К вам вряд ли приедут из-за фотошопа, но заразиться чем-нибудь легко.

Можно ли вычислить по IP?

Когда вы входите в интернет, провайдер выдает вам адрес. То есть, он знает ваш физический адрес и привязывает к нему IP. Но я сомневаюсь, что провайдер даст его какому-то левому Васе. Если вы сидите через прокси – то еще сложнее. Провайдер может предоставить все данные спецслужбам, но ревнивая жена не будет искать мужа через МТС.

Действительно ли русские хакеры могут повлиять на выборы президента США?

Теоретически возможно все.

На Россию постоянно сыпятся потоки обвинений во всех самых страшных кибер- (и не только) грехах. А реальных доказательств никто толком и не показал. И при этом все знают о том, что тот же Фейсбук* массово сливал персональную информацию и метаданные компании Cambridge Analytica.
Многие страны сегодня осознают необходимость обеспечения кибербезопасности государства в целом и критической инфраструктуры в частности. Поэтому во многих странах есть подразделения, которые занимаются защитой от кибератак.

Скорее всего, точно никто никогда не скажет, повлияли ли русскоговорящие хакеры на выборы или нет. Но факт в том, что русскоговорящие программисты и специалисты по безопасности – серьезные ребята и одни из лучших в мире, если не лучшие. И встретить их можно не только в России, но и в Силиконовой долине, и в Европе, и в других странах.

Есть ли у вас профессиональный сленг?

Много технологических слов – калька с английского. Сорцы – исходный код, вирье – вирусы, малварь – общее название вредоносных программ.

Что на счет примет, суеверий?

Профессиональная паранойя есть, она у многих наступает.

Большой брат следит за нами?

Анонимности не существует. Если захотят – найдут.
Говорят, у Путина нет телефона

А зачем он ему? Он умный человек. Наши службы – ребята с головой, они все понимают. Есть специальное подразделение ФСО, которое занимается обеспечением правительственной связи. Как и что там работает - знают только они. Но почему-то я уверен на 100% в том, что там все сделано очень надежно.

Смартфончики и твиттеры на таком уровне – это баловство.

Путин – он все-таки чекист, а бывших чекистов не бывает.

* Запрещены в РФ