«Интернет — территория, где можно стать сверхзлодеем»: записки арестованного антихакера
В начале 2017 года СМИ облетела новость — арестован глава отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов. Киберкоп — так он сам себя называл с того самого момента, как начал расследовать самые громкие преступления в сфере компьютерных технологий. Вначале Стоянов работал в полицейском управлении «Р», а потом уже перешел в «Лабораторию». А та ведь с 2013 года сотрудничала с ФСБ и МВД: оказывала экспертное сопровождение уголовных дел в сфере кибербезопасности. Его рассказы про задержание киберпреступников, возможно, когда-нибудь будут экранизированы. Это даже не детектив, а чистый триллер! Там и про нападение с осиновыми колами, и про «белые шляпы» (так называют отдельных хакеров), и много про что, что до сих пор было неизвестно обывателям. Сейчас Стоянов в СИЗО «Лефортово». Страдает от артроза, отсутствия горячей воды и нужных ему для исследования книг по антропогенезу, когнитивной нейробиологии и прочих серьезных наук. Обижается, когда его деятельность связывают с группировкой «Шалтай-Болтай», и надеется на скорейшее обретение свободы. «МК» публикует записки главного киберкопа России из «Лефортово». СПРАВКА МК Одновременно с Романом Стояновым под стражу взят и руководитель одного из подразделений центра информационной безопасности ФСБ Сергей Михайлов. Оба проходят по одному делу, подозреваются по статье 275 УК РФ («Государственная измена»). Свой путь в борьбе с киберпреступностью я начал в 2000 году. Так случилось, что в городское Управление по борьбе с преступлениями в сфере высоких технологий «Р» меня привели не профессиональные знания технического специалиста, а обстоятельства и авантюризм. По образованию я преподаватель географии и экологии. Экология и привела меня в милицию, я устроился в Управление экологической милиции Москвы в 1998 году. А когда оно было расформировано, узнал о создании Управления «Р». Надо сказать, с высокими технологиями я был знаком очень поверхностно. Образование гуманитарное, ну собирал компьютеры из комплектующих, ну любил игры, ну видел, как работает модем, посещал кружок программирования в школе… Ах да! У друга листал пару номеров журнала «Хакер»… Но даже сотового телефона у меня тогда не было. Всего собеседования я не помню, но один вопрос я не забуду. Звучал он примерно так: «Известен сетевой адрес злодея, но как узнать его настоящее имя?». Сложный? Ха, но я-то помнил «Хакер» с деревянной лошадью на обложке! «Я использую программу типа «троянский конь»!» — был мой дерзкий ответ. Бинго! Меня приняли! В тот же день двух первых оперативников отдела «Р» управления «Р» Москвы уже представили их начальнику — Елене Ивановне Громовой. Новый босс смерила нас взглядом и выставила на стол пачку запретов Интерпола на закрытие отдельных сайтов толщиной полметра. Изучайте, мол. «А где наши компьютеры? Где Интернет?» Ничего этого не было. Нам пояснили: изучайте в теории борьбу с этим злом. Но потом я почти всегда оказывался на самом острие расследований, поскольку большинство дел вел сам (по крайней мере их технологический аспект). Вскоре я научился находить общий язык с настоящими технарями, познакомился со сленгом форумов. Настоящие технари удивительно легко стали приходить на помощь страшному менту, понимающему их жизнь в мире высоких технологий… А комп (компьютер. — «МК»), собранный совместно с ними, еще долго служил Управлению «Р» после моей отставки… Помню, однажды в Управление «Р» при Чепчугове (основатель Московского подразделения) явились сотрудники УСБ. Они были в шоке, увидев, что мы оснащены вполне современными «писюками» (персональными компьютерами. — «МК»). Надо сказать, что с самого основания Управления, государство не купило ни одного компьютера для него... А вообще я с самого начала понял, что киберпреступность — это прежде всего явление. Это целый социум индивидуумов, извлекающих блага посредством манипулирования реальным миром с помощью компьютерной информации. Например, получить реальные купюры той или иной валюты, изменив код программы внутри банковской информационной системы. Задержание вирусописателя со зловещим псевдонимом Мистер Садист или Товарищ Садист стало для меня первым. Вышеуказанный индивид отличался тем, что писал низкокачественные вирусы, но был очень плодовит и жутко настырен в деле продвижения своих поделок на компьютеры частных пользователей. Его настырность настолько утомила всех, что к нам в «контору» написали заявление. Дело вел оперативник 1-го отдела Александр Журавлев. Вот с ним я и поехал задерживать в качестве «технаря в погонах». Вечером, взяв с собой участкового инспектора, мы под видом проверки документов ворвались в квартиру. И оказалось, попали… в смысле «попали». И Мистер Садист, и его мать, как мне тогда показалось, состояли или должны были состоять на учете в психоневрологическом диспансере. Невменяемый вирусописатель, что может быть прекрасней для первого опыта задержания? Всклокоченный вид, горящие глаза, быстрая сбивчивая речь, стены, изрисованные свастикой и пентаграммами. Пока в квартире находился участковый в форме, мать и сын вели себя вполне прилично, но в скором времени у участкового образовались срочные дела, и он ушел… Это стало сигналом. Поведение становилось все более неадекватным, и вот уже мать грозится выпрыгнуть из окна, а этаж-то высокий… Вирмейкер (человек, который создает вирусы. — «МК») выхватил из-под дивана деревянный кол, скинул на пол системный блок компьютера и начал колотить по нему. Александр не растерялся и героически заслонил собой избиваемый компьютер. Как потом оказалось, злодей частично достиг своей цели — уничтожения цифровых следов. Пришлось попотеть, посекторно восстанавливая жесткий диск для следствия. Результатом этого дела стало принудительное лечение Мистера Садиста. Неожиданное продолжение этой истории меня ждало через несколько лет. Я познакомился с «белыми шляпами» — хакерами, не нарушающими закон, и они с восторгом предложили мне прочитать документальную повесть «Истинное лицо зла». Почитай, говорили, на форумах подпольных исповедь настоящего хакера… Я начал читать, и первыми строками были: «Эта история началась одним зимним вечером, когда ко мне домой пришли два опера из Управления «Р». «Что-то знакомое», — подумал я и вспомнил про Садиста. Автором исповеди был именно он. Так я первый раз попал в документальную прозу… *** Как-то к нам в Управление «Р» обратились знакомые из Яндекса. У них вымогали деньги. Злодей утверждал, что взломал почтовые сервера, и грозился рассказать всем пользователям сервиса о ненадежности защиты их данных. В доказательство он предоставил письма профессиональной спортивной команды. Следы вели в город Волгодонск, но в городе не было своего отдела киберполиции. Нужно было ехать на место самим и найти злодея. Руководство связалось с главком, нам дали «зеленый» свет и двух министерских оперов. Обязанности поделили вполне ожидаемым образом: мы с напарником ищем, министерские обеспечивают «административный ресурс» и руководят. У нас было два IP-адреса (уникальный сетевой адрес узла в компьютерной сети. — «МК»). Один в жилом доме, другой принадлежал то ли АЭС, то ли местному интернет-кафе. Пошли по следу. К вечеру мы получили первые ошеломляющие результаты. Дело в том, что второй IP-адрес принадлежал не АЭС или кафе, а принадлежал им обоим, одновременно!!! Точнее, оба объекта выходили в Интернет через один шлюз. Становилось понятно, как злодей «взломал» Яндекс. По сути дела самого взлома не было, а была неверная конфигурация прокси (сервер (комплекс программ) в компьютерных сетях, позволяющий клиентам выполнять запросы к другим сетевым службам. — «МК»). Звучит непонятно, но вот в двух словах: если кто-то до тебя заходил в свою почту и если при этом логин и пароль запоминались, то злоумышленник попадал в чужой ящик. Так злодей и добыл доказательства «взлома». Осталось дело за малым — найти горе-хакера. На следующий день я отправился в интернет-кафе проверять работоспособность «взлома», а остальная группа занялась установкой «лица». Первое — «хакер» работает на АЭС и оттуда читает почту посетителей интернет-кафе. И второе… Самое неприятное — он состоит на учете в психоневрологическом диспансере. Ночь мы провели в осмыслении ситуации. Мы гоняемся за психом-вымогателем с АЭС! Что самое скверное, если что-то пойдет не так, мы даже из города не сможем быстро свалить, у нас «уазик», который быстрее 80 не ездит... В Москву ситуацию мы докладывать не решились, опасаясь резких реакций министерства. Только воздушного десанта нам тут не хватало... Просто сгоняли до круглосуточного магазина за «успокоительным»... На следующий день поисковик перевел злодею «выкуп». Он на работу не пошел, а отправился тратить деньги, к нашему немалому облегчению. Во время слежки за ним «потерялся» один из министерских оперов. Мы сильно занервничали, ведь он следил за «психом» с АЭС. Правда, злодей быстро нашелся, чем нас успокоил, у него просто бы не хватило времени на манипуляции со здоровьем нашего коллеги. Самого коллегу обнаружили значительно позже... Задержание «с поличным» прошло гладко, и об успехе мы доложили в Москву. В Волгодонске мы провели еще двое незабываемых суток. Мне особенно запомнилось посещение АЭС для изъятия вещдоков с рабочего места «злодея». Ровная, как стрела, дорога к красному сиянию на горизонте... Полная луна над степью, блики лунного света на гладких сводах куполов противоатомных укрытий по обе стороны дороги. Предупреждение сопровождающих о том, что 50 метров по парковке нужно идти спокойно и не нервировать снайперов... Романтика, блин... Через два дня Москва категорически потребовала возвращения. Уже в дороге, по радио, мы услышали, что на АЭС остановили один из энергоблоков. Очень обрадовались, что наши дела в городе «мирного атома» на тот момент уже завершены. «Сталкеры» ехали домой... *** Рассуждаю. Сети стали для человечества территорией свободного самовыражения личности, новым Диким Западом, где роль государственных органов, СМИ, элит и прочих «сильных мира сего» не так уж и выражена. Территория, где можно стать сверхзлодеем, продавая наркотики тоннами или детскую порнографию терабайтами. Перенаправлять миллиардные потоки «грязных» денег. Или можно примерить «белую шляпу» киберсыщика, и у тебя всегда есть выбор «злодеев» для погони. Чем не отдельная реальность? Но вот мысли о необходимости «присутствия в Сети» родились в головах чиновников. Укоренялись идеи о собственных «кибервойсках». Яркий пример — DdoS-атаки (это атаки на сайт, основной целью которых является выведение его из строя путем подачи большого количества ложных запросов. — «МК») российских хакеров на Эстонию, которые окрестили «первой мировой кибервойной». Политики и СМИ раздули эту шалость нескольких патриотично настроенных российских спамеров в акт нападения России на страну в НАТО. В результате Эстония получила бюджет на оборонный киберцентр, а Россия с удивлением узнала, что у нее есть какое-то «кибероружие». Но произошло кое-что более пугающее: интернет-пространство начало стремительно меняться, превратившись из территории свободы самовыражения в поле боя и поле для шпионских игр. Как хакеров, так и тех, кто их разоблачал, спецслужбы начали либо приручать, либо устранять. Мой пример весьма показателен в этом плане. Но я не жалуюсь, нет. Я хочу предупредить. Самый ужасный сценарий, по которому могут пойти наши спецслужбы, — дать киберпреступникам иммунитет от возмездия за кражи денег в других государствах в обмен на разведданные. Если это произойдет, появится целый слой «воров-патриотов» — нарушающих принципы верховенства закона и неотвратимости наказания. Появление таких людей сразу породит новую субкультуру. Через подпольные форумы явление будет романтизировано и породит волну последователей, почти не контролируемую государством и по природе склонных к анонимности.