Эксперт "Лаборатории Касперского" Голованов рассказал о самых необычных командировках за рубеж

"У тебя серверная сгорит" - Как получаете заявку на выезд от компании? - Во-первых, практически ничего через почту не идет, корпоративная почта сразу отметается. Неважно в какой стране мира, начальник, директор, неважно кто, он берет трубку, звонит в локальный офис "Лаборатории Касперского". У меня вводные только такие - надо лететь, и ты говоришь начальнику офиса: "Хорошо, я буду в аэропорту, у меня самолет приземляется тогда-то, вот я там буду". И дальше прилетаешь, тебя встречают с табличкой. Опять же никто не знает заранее, что случилось. Это нормально. Даже если в Москве какой-то инцидент, то никто не будет по телефону тебе говорить. Вся информация только на месте. - Ни адреса, ни компании? - Ты ничего не знаешь. Но можешь догадываться. Ты приезжаешь, здание, переговорная комната, там сидят мужики, и ты говоришь: "Ну, что случилось?" Ты берешь листочек, тебе начинают рассказывать, ты это все записываешь. Только в этой переговорке, никто по телефону не собирается обсуждать. - Как осуществляется коммуникация между специалистами на таких выездах? Через мессенджеры? - По умолчанию считается, что все каналы связи в этой переговорной, в этом здании, в этой компании, все скомпрометированы и находятся под контролем злоумышленника. И дальше ты начинаешь: "Так, у вас какие программки стоят?" Если в Европе, то обычно выбирается Threema, если у нас, то, вероятнее всего, Telegram. На самом деле можешь использовать все, что угодно. И затем общий чат. Они создаются с названиями типа "Выбираем подарок на день рождения". И туда добавляется 100 человек, и начинается: "Ты иди туда, сделай это". - Что в основном пишут в этом чате? - Это оперативный чат, и туда в основном пуляются сразу фотографии. То есть я там-то, вижу вот это. И все в виде фотографий, потому что если кто-то что-то начинает писать, еще и на местном диалекте, это вообще непонятно. Все начальники присутствуют, но именно в оперативность они не влезают. Оперативность обуславливается начальниками отделов, конкретными специалистами на местах. Я приглашенный специалист, поэтому не могу ими прямо командовать. Я говорю так: "На вашем месте я бы сейчас пошел в гермозону и дернул вот этот проводок". Они говорят: "Поняли, приняли, пошли делать". Если компания международная, то они внимательно читают эти чатики, регулярно на связи с локальным офисом, где произошел инцидент. Я очень редко принимаю участие во встречах для обсуждения ситуации, потому что они очень долгие. На столе такая "лягушка" (спикерфон для переговорных комнат. - "Газета.Ru"), и там голоса раздаются. Причем на таком ломаном английском, что ты не понимаешь, что он у тебя спрашивает. А если они выпьют, то вообще ничего не понятно. Даже если ты будешь в англоговорящей стране, то может быть какой-нибудь индус. То есть, ты его будешь понимать, конечно же, но суть вопроса будет непонятна. - Были случаи, когда все-таки принимали участие в таких переговорах? - Я участвую в таких переговорах, только когда понятно, что ситуация критическая. Например, говорю: "Ребят, все, хана, надо сносить вот этот компьютер, ставить заново". И тут какой-нибудь умник говорит: "Да вы что, это остановит наши бизнес-процессы, это же невозможно выполнить в кратчайшие сроки, нужно согласовать это". В ответ я говорю: "Хочешь по моей рекомендации действовать - я за. Хочешь по своим правилам действовать - действуй. Но только если пока ты будешь это все делать, у тебя серверная сгорит, то я здесь вообще не при делах". Это меняет ход их мысли. "Какой-то русский мальчик" - Было такое, что мешали работать на выезде внутри компании? - Да, была такая история. Огромная частная компания, у который есть хозяин, очень уважаемый человек. У него много бизнесов, и вот один бизнес как раз связан с финансовой организацией. Из-за инцидента этот богатый человек обратился к нам, и для выезда выбрали меня. На месте сидели генеральный директор, IT-директор и директор по безопасности. И вот эти три мужика мне начинают все рассказывать. Там нужно было пройти в комнату для анализа, а она за железной дверью и ключом. Нам нужен ключ, а сотрудник с этим самым ключом уехал. IT-директор пошел в отказ, не хотел открывать дверь. - Как удалось решить проблему? - Я ему прямо сказал: "Не хотите - не надо, не собираюсь вам болгаркой дверь выносить". Предложил позвонить хозяину, чтобы уведомить о моем отъезде без результата. А хозяин был прикольный. Спросил, почему не пускают, а ему ответили: "Какой-то русский мальчик приехал и говорит, что нам делать". И хозяин спрашивает у IT-директора: "Представь, у тебя дома трубы прорвало. Ты же зовешь сантехника. Он просит открыть стояк, ты ему дома скажешь "нет"?". Хозяин сказал отдать мне ключи и стал слушаться моих рекомендаций. Айтишник очень негативно был настроен. Это нормально, потому что это в его епархии произошел инцидент, он вроде как не справляется со своими служебными обязанностями. "Куда вы его отпускаете?" - Если выезжаете на инцидент, NDA (соглашение о неразглашении. - "Газета.Ru") подписываете? - Всегда. Любой инцидент - тайна, и в список документов подкладывается и соглашение о неразглашении информации. - И никогда об этом приглашающая сторона не забывала? - Был один случай. Я прилетел уже в Москву и после командировки нужно было передать NDA. Это документ, где на нескольких языках было написано обо всем, а он у меня весь такой скомканный, грязный. И когда документы сдавал, то коллеги спросили: "А что с бумажкой произошло?" А там произошло следующее. После инцидента в компании меня уже все провожают. Тут выбегает их главный юрист: "NDA не подписали! Куда вы его отпускаете?!" И директор говорит: "Я так и чувствовал, что я должен был что-то сделать!" И, собственно говоря, стоит машина, идет дождик, он подписывает, я подписываю, а машина грязная. С одной стороны капли, с другой стороны грязь - вот и наш NDA. Он необходим. Я уезжал и забирал с собой несколько дисков на анализ, и нужно было указать, на каком основании я их выношу. Я их забрал, через две недели отдал отчет. То есть сделал все, как договорились. - Не было проблем с тем, что вы российский специалист? - Сталкивался ли я с русофобией? Да, сталкивался несколько раз. - Это в последние пару лет? - Нет. Это было и раньше, и в 2012, 2014 году. Несколько раз такое было. Это были две разных англосакских страны. В одной мне прямо сказали: "Ты русский, мы русским тут не доверяем". Второй случай произошел, когда уже завершили работу, а потом сидим пиво пьем. И во время разговора проскакивали пару раз фразочки, что у меня паспорт такого странного цвета. Но это абсолютно нормально. Я говорю: "Я хотя бы белый". Он говорит: "Это да". Это все такие шуточки-прибауточки, но они мне запомнились. "Там был прикол" - Что запомнилось из поездок по Латинской Америке? - Там был прикол, потому что злоумышленник оказался точно местным. Есть такой способ атаки - подбрасывать устройство. Например, компьютерную технику в офисы. И он подбросил это устройство в банк, а потом его ограбил. И руководители банка позвали русского, который бы прилетел и нашел это устройство. Причем, такой вектор атаки – известная история. Эти же устройства мы и ближе к России находили. Выглядит примерно так. В здании были переговорные комнаты до пункта охраны. Туда можно было свободно прийти, не показывая паспорт. То же самое очень часто и в других организациях есть. И вот в переговорке свое устройство закрепили к проводам. - А что оно может передавать? - Эта штучка дает прямой доступ в сеть компании. Смысл в том, что есть маленький компьютер, Raspberry Pi называется, размером с телефон. Туда сим-карту вставляют, а провод втыкают в разъем стола. И получается, что штучка одним концом подключена к интернету, и, соответственно, так злоумышленник подключается к этому устройству, а другим концом эта штука смотрит в корпоративную сеть. - И как такие устройства вычислить? - Дальше уже в игру вступаю я. Прихожу к службе безопасности этой организации: "Как тут у вас сеть настроена?" И начинаем разбирать, как хакер обходил меры службы безопасности. В общем, были инциденты, когда мы такие устройства находили, и инциденты все боевые. Потому что никто это устройство не будет искать до тех пор, пока не будет причины его искать. А учитывая, что зданий много, они высокие, нельзя сразу понять, где эта штука прячется. Если в расследовании я понимаю, что такое устройство должно где-то быть, то начинаем искать. Берешь фонарик и лезешь под стол. Находишь: "О! Смотри, что я нашел!" И давай это фотографировать. И вот в поездке в Латинскую Америку было очень прикольное место, где эта штука лежала - все в пыли и посередине лежит абсолютно новенькая, без пыли штучка. На самом деле можно подкинуть и забыть про нее на целый год, а потом уже подключиться, за год она покроется слоем пыли. В тот раз мы посчитали, что чувак к ней подключился, как только положил. В течение нескольких дней максимум. "У нас труп" - Какая поездка запомнилась необычным расследованием? Что-то самое нестандартное, чего раньше не встречали? - Перед ковидом в Западной Европе была очень прикольная история. Что я там увидел в первый раз? Я в первый раз увидел в офисе бассейн. Сейчас расскажу, как я там оказался. Лечу на инцидент без обратного билета, без гостиницы, потому что я же не знаю, куда именно и зачем лечу, такие правила у этих выездов для соблюдения конфиденциальности. Позвонили, говорят: "Тебя встретят в таком-то аэропорту, бери ближайший билет". Прилетел, меня встречают с табличкой, затем сажусь в машину и привозят по адресу. В офисе встречает такой дедушка, директор по безопасности, и начинает рассказывать, зачем позвал. И нас там собирается консилиум экспертов из кучи разных стран. Потому что компания большая, международная. Была организована система по группам, когда два человека работают по 16 часов, из них 8 часов ты работаешь один, потом 8 часов вы работаете вдвоем, потом один идет спать, а второй продолжает работать. - А где весь рабочий процесс происходит? - В это время уже создается импровизированный ситуационный центр по анализу. На этом рабочем месте анализируются, например, какие-то журналы, на другом - диски. И так построена работа. Я работал всю пятницу и субботу, а у меня нет гостиницы. В ночь с субботы на воскресенье я говорю: "Слушайте, пойду посплю, я вырубаюсь, это бессмысленно все становится". А у них гигантский опен-спейс, в котором стоят стеклянные переговорки. Я захожу в переговорку, там такие диванчики, подушечки, но на них неудобно. Поэтому положил эти подушки на пол и таким образом уложился. Дул кондиционер, а выключить его не получалось. Мне делать нечего, я беру свой черный плащ, наушники вставляю и капюшоном от плаща себя закрыл. Поставил будильник, чтобы проснуться через три часа. Проснулся, иду в ситуационную комнату, там тот же самый дедушка стоит: "Пойдем, я тебя в душ отведу, у нас и бассейн есть". И вот мы идем там по коридору, и он такой: "Сереж, можно я тебя попрошу кое-что сделать? Ты в следующий раз, когда будешь спать, пожалуйста, капюшон на голову не натягивай". Я говорю: "А что случилось? Там кондиционер дует, я простужусь еще". Он говорит: "Понимаешь, сегодня воскресенье, и по утрам приходят уборщицы. И они бегут все ко мне: "У вас там труп в переговорке лежит!" А я им говорю: "Это не труп, это русский отдыхает". Но с технической точки зрения во время этого инцидента ничего сверхъестественного не было. Точку входа хакера мы нашли, как по этим зданиям двигался, нашли, как прыгал из одной сети в другую, нашли. Все восстановили. Просидел я там неделю, наверное. И на две ночи себе взял гостиницу. У них была служебная машина, она меня возила туда-сюда. "Ребята, у нас тут полтергейст" - Чем запомнились поездки в страны Африки? - Я был в одной стране региона совсем незадолго до "арабской весны". Когда я улетел оттуда, все и началось. Помню, когда показывали "арабскую весну", там была жесть, показывали кадры, как горит, и показывали гостиницу, где я жил. Скажу только, что там есть несколько государств, которые "ого-го", которые очень много вкладываются в IT, в современные технологии, чтобы страна росла, развивалась. Но потом пришла "арабская весна", и про это забыли. Что сейчас там, я без понятия, поездок у меня с тех пор туда не было. - Чем отличаются в плане кибербезопасности страны Юго-Восточной Азии? - Помню, как после одной из поездок в тот регион, я вернулся в Москву, а у меня рабочее место рядом с Евгением Касперским (основатель и глава "Лаборатории Касперского". - "Газета.Ru"). И он такой: "Ну, чего там? Как вообще защищенность страны, всего?" Я ему говорю: "Знаешь, у нас есть в Москве сеть кафешек, так вот они лучше защищены, чем вот там все". Потому что это была феерическая чушь. Стоит здание, там сидят уважаемые люди, - ну как они могут пользоваться домашними Wi-Fi-роутерами? Я не понимаю. Если ты рулишь огромными суммами денег, то ты не можешь использовать вот этот Wi-Fi по четырем цифрам. - И эти пароли из четырех цифр везде одинаковые? - Конечно! Во всем здании одни и те же, чтобы удобно было. И люди про это даже не думали. Зачем сложные пароли? Вот четыре циферки. Причем там эти циферки даже что-то означали - праздник какой-то. И там история такая, которая на самом деле одинакова для многих стран. Люди, которые там живут, строят IT, развивают безопасность, они просто не очень пуганые, скажем так. Нет у них инцидентов. Там местному жителю не придет в голову пойти и вставить флешку в банкомат, чтобы банкомат выплюнул все деньги. Зачем? Пойду рыбу половлю. И вот постепенно находятся люди, которые выйдут в интернет, начитаются всяких инструкций и вытащат деньги из банкомата. А местные такие: "А как он это сделал?" А специалистов, которые знают, как это работает, нет. Начинают звонить, писать всем подряд: "Ребята, у нас тут полтергейст. Само выплевывает деньги на улицу". Как в фильме "Хакеры". Соответственно, они начинают искать специалистов, которые этим занимаются. И находят меня. - Сталкивались с языковым барьером? Или английского хватает? - Английского и русского хватает. Единственное, в некоторых странах Азии была проблема, мне требовался переводчик, потому что они ни по-русски не говорили, ни по-английски. - То есть такая история только в Азии была? - На самом деле даже в некоторых странах бывшего Советского Союза уже надо по-английски говорить, а не по-русски. Там есть старое поколение - да, они прекрасно говорят по-русски языком Тютчева и Фета, а новое поколение - с ними по-английски. "Единственная проблема - гастарбайтеры" - Почему редко слышим о каких-то проблемах с кибербезопасностью в скандинавских странах? Удалось там поработать? - На самом деле там есть свои специалисты, но в этих странах практически ничего не происходит. Во-первых, интернет дорогой. Там есть определенный ценз на покупку доменов в сети. Домены стоят по €300. Существуют же спамеры, которые покупают десятки тысяч доменов, но никто не собирается приобретать скандинавские домены, потому что в таком количестве они будут стоить €3 млн. У них существуют местные лаборатории, которые занимаются информационной безопасностью, они реально местечковые, там работает человек 20 максимум, которые занимаются всеми инцидентами. Они публикуют работы свои, рассказывают, чем занимаются. Там единственная проблема - это гастарбайтеры, "гастролеры", которые приезжают и что-то там делают. Не бывает никаких инцидентов с участием местных. Даже если мы посмотрим на наши карты, которые публикуем, то там указано, что вероятность поймать вирус в интернете, находясь на территории Скандинавии, крайне мала. Эти территории всегда "зеленые". - А гастролеры какие действия пытаются провести? - Там в любом случае будет мошенничество, но не будет никаких вирусов. Пиратский софт? А его там нет, его никто не качает. В скандинавских странах живут люди, которые покупают компьютеры и загружают на него софт и за все платят. Они уже привыкли, что да, это все дорого, потому что IT. С нашим менталитетом, честно говоря, это трудно понять.