Интервью с хакером или 10 вопросов Джеффу Моссу

Если вы не знаете, кто это такой (как и я не знал неколько дней назад), то описать можно двумя словами – крутой чувак. Понимаю, что многим этого недостаточно, поэтому вот данные из кеддропедии.

Джеф Мосс – в прошлом известный хакер, основатель хакерских конференций Black Hat и Defcon. Имеет степень бакалавра по уголовному судопроизводству университета Гонзага. Занимал руководящие посты в компаниях Secure Computing и Ernst & Young. Входит в состав консультационного совета по вопросам национальной безопасности США, а также занимается консультациями по обеспечению безопасности компьютерных сетей организаций. С мая 2011 года – вице-президент ICANN по вопросам кибербезопасности.

Основные компетенции:

• компьютерная безопасность, существующие кибер-угрозы и способы защиты;
• философия группировок хакеров, в частности, международной группы «Anonymous»;

Фотография Джеффа наверху.

Лекция Джеффа на RIGF была весьма любопытной, но пересказывать я ее не буду. Гораздо интересней было пообщаться лично. К сожалению, много вопросов задать не удалось, поскольку сразу после выступления Джеффа утащил на разговор министр связи и массовых коммуникаций России Игорь Щеголев (“Вот щегол!”, – промелькнуло у меня тогда в голове). Но диалог, хоть и небольшой, все же вышел.

Я. Джефф, сейчас Вы работаете в структуре, которая должна обеспечивать защиту от киберугроз. В прошлом Вы были хакером. Что заставило Вас перейти, так скажем, на светлую сторону?

Д.М. А я всегда был на светлой стороне.

Раньше это было комплиментом, когда тебя называли хакером. Это означало, что ты обладаешь знаниями, которые позволяют тебе делать что-то, что другие не умеют. А потом появились злоумышленники и они стали совершать организованные преступления. В результате произошло заимствование терминов. Вместо того, чтобы называть этих людей компьютерными преступниками, их стали называть хорошим словом хакеры.

Для меня хакер, если хотите, это набор навыков и умений. Но намерения не входят в понятие этого слова. Его подпортили, и теперь начинают говорить про белых хакеров, черных хакеров, пытаясь добавить в смысл то самое намерение.

Товарищи старой школы все еще продолжают называть себя хакерами, подразумевая хорошее. А вот молодежь уже называет себя компьютерными специалистами.

Я. Приходилось ли применять свои умения в корыстных целях любого масштаба?

Д.М. Денег никогда не зарабатывал. Ну, во-первых, надо понимать, что на заре Интернета в сети не хранилось ничего, что имело бы смысл воровать. И этика была такая – глазками смотрим, ручками не трогаем. Если из новостей узнавали, что приятеля загребли, значит, он эту этику нарушил.

Кроме того, когда я был молодым, не было никакого законодательства, запрещающего хакерство. Поэтому, мне, в общем-то, повезло. Я мог ошибаться, но реальных проблем на свою голову навлечь не мог.

А сейчас меня очень беспокоит судьба молодежи, потому что наказания и штрафы за одно скачивание хакерского инструмента, чтобы поиграть и попробовать, такие серьезные, что это может сломать всю твою жизнь.

Я. Джефф, Вы говорили, что на сегодня самой опасной киберугрозой являются ботнет-сети. Cразу вспоминается недавняя история с компаниями Apple и Dr.Web. Можно ли назвать эту ситуацию первым звоночком для купертиновской команды? Насколько это опасно для «яблочников»?

Д.М. Это первая распиаренная история, связанная с безопасностью Apple. То есть, их предупреждали-предупреждали, и теперь это реально начинает реализовываться. Там, по-моему, около 600 тысяч ботнет-узлов было зафиксировано. Игнорировать такой масштаб невозможно.

Что произошло на самом деле, как мне кажется: Apple дошла до 6-7% рынка. Это большая доля, теперь имеет смысл на них покушаться.

Я. А у Вас какой компьютер? Mac или PC?

Д.М. У меня PC, а у жены Mac.

Я. Есть ли смысл обыкновенным людям, не компаниям, пытаться обезопасить себя от киберугроз? Если да, то назовите три самых простых способа сделать это.

Д.М. Беспокоиться следует.

Дам один совет. Если вам надо что-то сделать в браузере, какие-то финансовые, банковские операции, то открываете отдельное окно браузера, делаете то, что надо и закрываете его. Зачастую все проблемы от незакрытых окошек с банковскими операциями.

Я. На Вашем выступлении Вы периодически подсматривали в блокнот. Ни в планшет, ни в смартфон, а в блокнот. Это из соображений безопасности?

Д.М. Да нет. На бумажке просто удобно рисунки делать: кружочки, стрелочки, диаграммы. Я не параноик. Но банковскими услугами в сети не пользуюсь.

Я. Что подталкивает хакеров заниматься своим делом: корыстные цели, тщеславие, скука или что-то еще?

Д.М. Я думаю, что основная задача – это вызов. Ну, и частично покрасоваться, конечно.

В моей молодости, например, я не мог позволить себе более дорогой компьютер. И мне пришлось его хакнуть. Просто, чтобы он быстрее заработал. А в детстве у меня были деньги только на одну видеоигру, а у друга была другая видеоигра, и она была защищена от копирования… В общем, пришлось научиться копировать игры.

Думаю, что есть еще альтруистичные хакеры, которые дают людям доступ к чему-либо. На самом деле, мотиваций может быть много.

Я. Если бы Вас попросили заняться кибер безопасностью в России на государственном уровне, предложили бы соответствующий пост, то с чего бы Вы начали? Какие бы были первые шаги?

Д.М. Для начала нужно оценить размер проблемы. Я бы ввел закон, который всех бы обязывал сообщать о случаях атак. То есть, если вашу компанию атаковали, то вы ОБЯЗАНЫ написать отчет государству. Может быть открытого публичного оповещения и не надо, чтобы не подвергать свою репутацию риску, но государству надо сообщать. Такой подход дал бы компаниям возможность как бы объединиться, не раскрывая своей информации о клиентах. Защищены лучше всего те, кто делится данными с другими. Такой обмен позволяет понять, что работает, а что нет в борьбе с кибер преступностью. Соответственно, набрав такой информации: о типах атак, как часто они возникают, уже можно выстраивать защиту.

Я. А если бы это была не Россия, а Украина, например, подход был бы точно такой же?

Д.М. В принципе, да.

Такая координация помогла бы вообще во многих областях нашей жизни. Страховые компании смогли бы взять на себя обязательства по страхованию от кибератак. Сейчас им просто не на что опираться. Нет информации, которая помога бы им сделать расчеты.

Как я говорил, если бы я стал Королем Интернета на один день, я бы точно издал указ, чтобы все регуляторы всех стран в Интернете ввели стандарты. Такие «гигиенические» правила, простейшие вещи, но чтобы они были стандартными.

Я. Допустим, Вы знаете адрес моего почтового ящика. Сколько времени Вам понадобиться, чтобы получить доступ к моим письмам?

Д.М. А у меня есть на то причина?

Вообще, конечно, все зависит от вашего сервера, определяет ли он мои попытки угадать пароль.

Я. Самый быстрый вариант?

Д.М. Пять минут. Я отправлю вам письмо с вредным приложением.

Я. Спасибо!

Д.М. Спасибо!