- 84
- 107
- 14 Май 2017
Алиса Шевченко «взламывает» компьютерные системы крупных компаний по их заказу и зарабатывает около 10 млн рублей в год. Зачем компании ей платят? Давайте разберемся.
Взлом умного города
В фабричных окнах загорается свет. Локомотив тянет вагоны через железнодорожный переезд. Кран поднимает грузы. Миниатюрный городок, появившийся в мае этого года в московском техноцентре Digital October, - не игрушка, а хакерский полигон, построенный для форума Positive Hack Days. За сотню километров от этого места, сидя в подмосковном коттедже, блондинка с татуировкой-иероглифом на левом предплечье взламывает со своего компьютера систему управления предприятием городка-полигона. Она побеждает в конкурсе «Взлом умного города» - легальной хакерской атаке, нацеленной на выявление слабых мест в инфраструктурных и промышленных системах.
«Я даже не ожидала такой тривиальности - около 10 критических уязвимостей всего за пару часов», - рассказывает Алиса Шевченко, она же Esage, она же владелица компании «Цифровое оружие и защита» с годовой выручкой около 10 млн рублей.
История
В 15 лет Алиса выучила язык ассемблера, но программистом не стала - ее больше интересовали взломы. Бросила учебу в трех технических вузах, посчитав, что попусту теряет время, а сейчас ее приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана.
Свою первую компанию EsageLab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году.
«Ей всегда было интересно узнать и понять, как все устроено изнутри. А потом использовать эти знания, для того чтобы обойти систему», - вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», где Шевченко пять лет работала вирусным аналитиком.
Расследуя кражу денег в одном из российских банков, вспоминает Гостев, он показал Шевченко выявленный руткит-модуль (программу, которая в обход антивирусов скрытно управляет компьютером). Для Алисы - Esage руткиты были профессиональной страстью, и она вспомнила, что уже видела похожий. В итоге взломщик был обнаружен. А Шевченко почувствовала, что на противодействии киберпреступникам можно заработать:
«Документы, которые раньше прятали в сейфах, переместились в компьютеры, на смену кешу приходил интернет-банкинг, и криминал двигался к тому, чтобы захватывать цифровые активы».
Развитие
В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей практически не было, он появился к 2010 году, замечает Александр Поляков, технический директор из питерской компании Digital Security. На целевых атаках зарабатывали прежде всего хакеры-преступники, охотившиеся за деньгами или промышленными секретами. Поначалу бизнес EsageLab был связан с консалтингом и исследованиями целевых атак. Стартовых инвестиций не понадобилось: весь капитал заключался в навыках нескольких проверенных сотрудников и собственных компьютерах.
Первых крупных заказчиков EsageLab получила по рекомендации системного интегратора «ДиалогНаука», с руководством которого Шевченко была знакома. К примеру, в 2010 году один из российских банков обратился в EsageLab, чтобы разобраться, как с помощью сотен поддельных денежных переводов кибермошенники выводили суммы от $3000 до $30 000. Группа Шевченко нашла бреши, через которые атакующие внедрились в систему банка и могли бы вновь это сделать в любой момент.
Такие расследования, которые показывали логику и сценарий атаки, занимали у EsageLab в среднем месяц работы и приносили $10 000–15 000 выручки.
Гендиректор «ДиалогНаука» Виктор Сердюк подтвердил Forbes факт сотрудничества с Шевченко, но раскрывать подробности не стал, сославшись на конфиденциальность информации. Судя по списку выигранных контрактов, клиентами интегратора были:
Для интеграторов поиск уязвимостей - это подготовка дальнейших поставок клиентам софта и оборудования.
Шевченко и "Лаборатория Касперского"
В 2009 году Алиса Шевченко, по ее словам, получила от заказчиков 1,5 млн рублей. Обратился к ней и бывший работодатель. EsageLab тестировала один из антивирусов KasperskyLab.
«Поработали хорошо, нашли много уязвимостей», - вспоминает предпринимательница.
Однако бизнес оказался не столь привлекателен, как казалось вначале: контракты на расследования и тестирования разовые, накладные расходы велики, команду надо постоянно держать в Москве.
Шевченко решила сосредоточиться на том, что у нее получалось лучше всего, - на взломах-проверках. Так можно было заполучить клиентов на длительное обслуживание.
В поисках новых вариантов партнерства Шевченко переговорила с Натальей Касперской. К тому времени соосновательница «Лаборатории Касперского» вышла из бизнеса бывшего мужа и развивала свою компанию InfoWatch.
«Алиса занималась консультациями в области защиты от руткитов. Было непонятно, как на этом можно было заработать. Инвестировать мы не стали, но какими-то советами помогли», — вспоминает Касперская.
Боевые учения
Владелице EsageLab нужно было около $150 000 на создание программного инструментария для управляемых взломов. За год с лишним она заработала недостающую сумму. В 2011 году Шевченко заключила первый контракт по поиску уязвимостей в ПО для компании «ИнформЗащита». А в следующем году - первый контракт по пентестам (испытаниям на проникновение) с Parallels.
Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security (агрессивная защита информации), в России - «боевые учения».
Команда Шевченко знает лишь название компании-клиента и по открытым источникам собирает информацию на ключевых сотрудников, как при подготовке к реальному киберпреступлению (например, через компьютер сисадмина можно проникнуть в критические узлы локальной сети). Дальнейшие действия - информация, не подлежащая разглашению.
«Мы всегда работаем по контракту с предоплатой. За штучные заказы уже не беремся», — говорит Шевченко.
Даже если у фирмы есть свой отдел реагирования на целевые атаки, возникает потребность проверить, насколько надежна защита, то есть провести внешний аудит.
Поиском уязвимостей, по словам Ильи Сачкова из Group-IB, в России сейчас занимаются не менее 30 больших компаний, преимущество Шевченко = в ее «бутиковости» и соответствующем качестве проверки.
«Я никудышный продавец, - признается Алиса. - В компании на мне лежит исследовательская задача - получение инновационных технологий».
Впрочем, клиенты, как правило, находят ее сами. Заказчики проверяют хакеров, а хакеры - заказчиков.
«По одному контракту переговоры шли почти год, пока мы не стали доверять друг другу, - рассказывает Шевченко. - Мы используем дорогие технологии стоимостью $100 000–200 000, и они не должны попасть в руки к кому попало».
Ребрендинг
Год тому назад EsageLab была переименована в «Цифровое оружие и защиту» (ЦОР). Это не просто эффектное название: в декабре 2013 года технологии вторжения в программное обеспечение (intrusion software), которые создает и использует группа Шевченко, были внесены в реестр международного Вассенаарского соглашения, регулирующего экспорт обычных вооружений.
Алиса Шевченко выходит на зарубежные рынки.
Скоро в Сингапуре должна начать работу ее новая компания, которая будет продавать программное обеспечение для проведения реалистичных тестов на проникновение.
На аренду офиса ЦОР не тратится, сотрудники работают дистанционно, ядро компании - пять человек, в зависимости от задач команда увеличивается до 10-15 человек.
Штатных сотрудников Шевченко отбирала долго и тщательно. Еще до «Лаборатории Касперского» она тусовалась на хакерских сайтах под ником codera. Из числа знакомых по сообществам - хакеров из Санкт-Петербурга и Новосибирска, не связавшихся с криминалом, - она и стала собирать команду.
«Это мои лучшие специалисты, проверенные годами», - уверяет Шевченко.
На вопрос о возможности проверки на полиграфе она пожимает плечами:
«Хакеры знают, как его обойти. «Детектор лжи» мне часто заменяет женская интуиция».
➖
Взлом умного города
В фабричных окнах загорается свет. Локомотив тянет вагоны через железнодорожный переезд. Кран поднимает грузы. Миниатюрный городок, появившийся в мае этого года в московском техноцентре Digital October, - не игрушка, а хакерский полигон, построенный для форума Positive Hack Days. За сотню километров от этого места, сидя в подмосковном коттедже, блондинка с татуировкой-иероглифом на левом предплечье взламывает со своего компьютера систему управления предприятием городка-полигона. Она побеждает в конкурсе «Взлом умного города» - легальной хакерской атаке, нацеленной на выявление слабых мест в инфраструктурных и промышленных системах.
«Я даже не ожидала такой тривиальности - около 10 критических уязвимостей всего за пару часов», - рассказывает Алиса Шевченко, она же Esage, она же владелица компании «Цифровое оружие и защита» с годовой выручкой около 10 млн рублей.
История
В 15 лет Алиса выучила язык ассемблера, но программистом не стала - ее больше интересовали взломы. Бросила учебу в трех технических вузах, посчитав, что попусту теряет время, а сейчас ее приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана.
Свою первую компанию EsageLab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году.
«Ей всегда было интересно узнать и понять, как все устроено изнутри. А потом использовать эти знания, для того чтобы обойти систему», - вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», где Шевченко пять лет работала вирусным аналитиком.
Расследуя кражу денег в одном из российских банков, вспоминает Гостев, он показал Шевченко выявленный руткит-модуль (программу, которая в обход антивирусов скрытно управляет компьютером). Для Алисы - Esage руткиты были профессиональной страстью, и она вспомнила, что уже видела похожий. В итоге взломщик был обнаружен. А Шевченко почувствовала, что на противодействии киберпреступникам можно заработать:
«Документы, которые раньше прятали в сейфах, переместились в компьютеры, на смену кешу приходил интернет-банкинг, и криминал двигался к тому, чтобы захватывать цифровые активы».
Развитие
В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей практически не было, он появился к 2010 году, замечает Александр Поляков, технический директор из питерской компании Digital Security. На целевых атаках зарабатывали прежде всего хакеры-преступники, охотившиеся за деньгами или промышленными секретами. Поначалу бизнес EsageLab был связан с консалтингом и исследованиями целевых атак. Стартовых инвестиций не понадобилось: весь капитал заключался в навыках нескольких проверенных сотрудников и собственных компьютерах.
Первых крупных заказчиков EsageLab получила по рекомендации системного интегратора «ДиалогНаука», с руководством которого Шевченко была знакома. К примеру, в 2010 году один из российских банков обратился в EsageLab, чтобы разобраться, как с помощью сотен поддельных денежных переводов кибермошенники выводили суммы от $3000 до $30 000. Группа Шевченко нашла бреши, через которые атакующие внедрились в систему банка и могли бы вновь это сделать в любой момент.
Такие расследования, которые показывали логику и сценарий атаки, занимали у EsageLab в среднем месяц работы и приносили $10 000–15 000 выручки.
Гендиректор «ДиалогНаука» Виктор Сердюк подтвердил Forbes факт сотрудничества с Шевченко, но раскрывать подробности не стал, сославшись на конфиденциальность информации. Судя по списку выигранных контрактов, клиентами интегратора были:
- Суды
- Минобороны
- Структуры ФСО
- Аппарат Госдумы
- "Сбербанк"
- "Газпром"
- "Транснефть"
- "МТС"
- "Мегафон"
Для интеграторов поиск уязвимостей - это подготовка дальнейших поставок клиентам софта и оборудования.
Шевченко и "Лаборатория Касперского"
В 2009 году Алиса Шевченко, по ее словам, получила от заказчиков 1,5 млн рублей. Обратился к ней и бывший работодатель. EsageLab тестировала один из антивирусов KasperskyLab.
«Поработали хорошо, нашли много уязвимостей», - вспоминает предпринимательница.
Однако бизнес оказался не столь привлекателен, как казалось вначале: контракты на расследования и тестирования разовые, накладные расходы велики, команду надо постоянно держать в Москве.
Шевченко решила сосредоточиться на том, что у нее получалось лучше всего, - на взломах-проверках. Так можно было заполучить клиентов на длительное обслуживание.
В поисках новых вариантов партнерства Шевченко переговорила с Натальей Касперской. К тому времени соосновательница «Лаборатории Касперского» вышла из бизнеса бывшего мужа и развивала свою компанию InfoWatch.
«Алиса занималась консультациями в области защиты от руткитов. Было непонятно, как на этом можно было заработать. Инвестировать мы не стали, но какими-то советами помогли», — вспоминает Касперская.
Боевые учения
Владелице EsageLab нужно было около $150 000 на создание программного инструментария для управляемых взломов. За год с лишним она заработала недостающую сумму. В 2011 году Шевченко заключила первый контракт по поиску уязвимостей в ПО для компании «ИнформЗащита». А в следующем году - первый контракт по пентестам (испытаниям на проникновение) с Parallels.
Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security (агрессивная защита информации), в России - «боевые учения».
Команда Шевченко знает лишь название компании-клиента и по открытым источникам собирает информацию на ключевых сотрудников, как при подготовке к реальному киберпреступлению (например, через компьютер сисадмина можно проникнуть в критические узлы локальной сети). Дальнейшие действия - информация, не подлежащая разглашению.
«Мы всегда работаем по контракту с предоплатой. За штучные заказы уже не беремся», — говорит Шевченко.
- Почему заказчики «боевых учений» привлекают людей со стороны?
Даже если у фирмы есть свой отдел реагирования на целевые атаки, возникает потребность проверить, насколько надежна защита, то есть провести внешний аудит.
Поиском уязвимостей, по словам Ильи Сачкова из Group-IB, в России сейчас занимаются не менее 30 больших компаний, преимущество Шевченко = в ее «бутиковости» и соответствующем качестве проверки.
«Я никудышный продавец, - признается Алиса. - В компании на мне лежит исследовательская задача - получение инновационных технологий».
Впрочем, клиенты, как правило, находят ее сами. Заказчики проверяют хакеров, а хакеры - заказчиков.
«По одному контракту переговоры шли почти год, пока мы не стали доверять друг другу, - рассказывает Шевченко. - Мы используем дорогие технологии стоимостью $100 000–200 000, и они не должны попасть в руки к кому попало».
Ребрендинг
Год тому назад EsageLab была переименована в «Цифровое оружие и защиту» (ЦОР). Это не просто эффектное название: в декабре 2013 года технологии вторжения в программное обеспечение (intrusion software), которые создает и использует группа Шевченко, были внесены в реестр международного Вассенаарского соглашения, регулирующего экспорт обычных вооружений.
Алиса Шевченко выходит на зарубежные рынки.
Скоро в Сингапуре должна начать работу ее новая компания, которая будет продавать программное обеспечение для проведения реалистичных тестов на проникновение.
На аренду офиса ЦОР не тратится, сотрудники работают дистанционно, ядро компании - пять человек, в зависимости от задач команда увеличивается до 10-15 человек.
Штатных сотрудников Шевченко отбирала долго и тщательно. Еще до «Лаборатории Касперского» она тусовалась на хакерских сайтах под ником codera. Из числа знакомых по сообществам - хакеров из Санкт-Петербурга и Новосибирска, не связавшихся с криминалом, - она и стала собирать команду.
«Это мои лучшие специалисты, проверенные годами», - уверяет Шевченко.
На вопрос о возможности проверки на полиграфе она пожимает плечами:
«Хакеры знают, как его обойти. «Детектор лжи» мне часто заменяет женская интуиция».
➖