2018-04-28T11:18:59+03:00

"В истории с "русскими хакерами" уже на входе было понятно, что никаких реальных доказательств нет и никогда не будет"

“Белый хакер” Иван Новиков - о том, что можно взломать, а что лучше не трогать
Нельзя одной рукой развивать IT-индустрию, а второй блокировать интернет.Нельзя одной рукой развивать IT-индустрию, а второй блокировать интернет.Фото: EAST NEWS
Изменить размер текста:

Иван Новиков - один из молодых русских айтишников, которые успешны в Кремниевой долине. Ивану 29 лет, он выпускник МГУ, сооснователь и глава компании Wallarm. Новикова называют “белым хакером” - он и его команда занимаются защитой информации от злоумышленников. Иван живет в Сан-Франциско и изредка приезжает в Москву.

Тем, кому некогда или лень читать текст, предлагаем послушать подкаст.

Иван Новиков, CEO Wallarm, в "КП"

00:00
00:00

“КП”:

- Обычно хакеры - это такие плохие ребята, которые портят людям жизнь. А тут хакер на белом коне, получается: взломал, показал, где у компании дыра в заборе, получил гонорар. Примерно так это работает?

Иван Новиков:

- Да, всё почти так, как вы описали. Но слово «хакер» здесь не очень правильное. Мы называем себя экспертами по информационной безопасности. В простонародье слово «хакер» имеет такую негативную окраску. Мы со злоумышленниками по разные стороны баррикад.

- А всё ли можно взломать? В смешных боевиках хакеры мгновенно связываются с системой распознавания лиц, вычисляют за секунды местонахождение человека, даже перехватывают управление беспилотными автомобилями, дронами. Это правда?

- Во всей истории, которую вы описываете, всё смешно, кроме того, что она почти правдивая. Там правда всё, кроме внешнего вида этих людей: толстовки с капюшонами, они сидят, сутулясь, в темной комнате за компьютером, на мониторах огромные буквы, зеленые обязательно! Во всех системах можно найти какие-то уязвимости. Они регулярно находятся, будь то мобильные телефоны, беспилотные автомобили или какие-то другие беспроводные устройства.

Иван Новиков, 29 лет, CEO Wallarm. Фото: Личный архив героя публикации

Иван Новиков, 29 лет, CEO Wallarm.Фото: Личный архив героя публикации

- У вас слоган Be Faster Than Hackers – “Быть быстрее, чем хакеры”...

- Да, мы призываем людей быть быстрее, чем хакеры, за счет автоматизации.

- То есть у вас уязвимости ловит искусственный интеллект?

- Это применяется не только у нас, это в принципе большое направление всей индустрии. Очень много уязвимостей, которые может ловить машина. Раньше это было больше похоже на автопилот в самолете или какую-то очень формальную систему, чем на то, что называется искусственным интеллектом. А с появлением машинного обучения (это более корректный термин) можно автоматизировать эту работу, не просто повторяя какие-то действия за человеком, но и придумывая новые способы обнаружения уязвимости, чем и занимается машинное обучение.

- У вас всё ещё стартап или вы уже взрослые ребята? Говорят, вашими услугами пользуются многие корпорации, например, Яндекс.

- Имена клиентов мы никогда не раскрываем, [сотрудничество с ними] не подтверждаем и не опровергаем. Это принцип работы на рынке информационной безопасности. Очень мало клиентов готовы распространяться, что они используют наши системы. Нас меньше 50 человек. Это не глобальная корпорация, не сотни сотрудников, поэтому, наверное, по меркам мира можно называть нас стартапом.

ГДЕ УЧИТЬСЯ НА ХАКЕРА

- А как вообще стать хакером, где на них учат? Ну, не хакером, а специалистом по информационной безопасности. Это же очень востребованная и перспективная профессия?

- Да, очень востребованная. В России очень много открытых позиций. Если вы посмотрите HeadHunter, там будут огромные зарплаты стоять. Я не очень хорошо понимаю, насколько сейчас хорошее образование (просто не имею информации), возможно, где-то учат целенаправленно. В свое время мы делали спецкурс в МГУ для студентов. Сейчас многие люди оттуда вышли, разошлись по многим компаниям. Они действительно сейчас мировые эксперты. В МИФИ тоже был такой спецкурс. Но так, чтобы курс, куда можно поступить и быть специалистом по практической информационной безопасности (потому что есть еще криптография и много других вещей, менее относящихся к практике), - я не знаю. Но, конечно, они существуют.

- А где взять опыт?

- Самый хороший способ – участвовать в соревнованиях. Они бывают двух видов. Командные соревнования называются Capture the flag (CTF). В них открытый вход, они организуются по всему миру разными университетами, в том числе и нашими.

Второй способ набраться практического опыта - участвовать в так называемых программах поиска уязвимостей за вознаграждение. Есть много порталов, где собраны все эти программы. Те же Фейсбук, Гугл и многие другие компании платят деньги экспертам и энтузиастам информационной безопасности за обнаруженные уязвимости. Начинать можно с них, набраться опыта. Причем самого лучшего опыта, настоящего, приближенного к боевым условиям. Это почти настоящие проекты по аудиту, это абсолютно законно и оплачивается неплохо.

- Сколько платят?

- Вознаграждение может быть разное – от 2-5 тысяч рублей до сотен тысяч долларов, если мы говорим об уязвимости, например, в Tesla. Но такие уязвимости нельзя найти в одиночку, если вы не очень известный эксперт.

ПРО TELEGRAM

- Что с Telegram? Как вы вообще относитесь к этой истории?

- Никак не отношусь.

- Вы им пользовались?

- И продолжаю пользоваться. Потому что в моем понимании он не заблокирован. Независимо от того, кто его сделал, я бы продолжал им пользоваться, потому что он удобный. И он бесплатный, что тоже очень важно. Потому что ближайшие средства, которые могут его заменить, либо плохо работают, либо дорогие.

Насчет ключей шифрования и всего остального - давайте разберемся с этим. Существует два способа передачи информации в Telegram. Это открытые публичные каналы и закрытые чаты. В случае секретных чатов никаких ключей не существует. Если мы будем сейчас обмениваться закрытыми сообщениями, ключи будут созданы на наших устройствах – у вас будет свой ключ, у меня свой. Мы не будем знать ключи друг друга, и никто другой их знать не будет, включая Дурова.

- То есть предоставить их можно только одним способом – принести на Лубянку, показать свой телефон?

- Да, для каждого чата. Что невозможно сделать. Если же мы говорим про публичные, не секретные, чаты, у сервера, конечно, ключи есть, но, как я понимаю, Telegram эти ключи разделяет между собой и хранит на разных серверах. Они (представители Telegram - Ред.) говорили, что технической возможности собрать эти ключи назад нет, хотя формально они им принадлежат. Я так понимаю, эти ключи и стали камнем преткновения. Конечно, все ключи они передать физически не могут.

- Претензии по поводу секретных чатов – якобы, в них общаются террористы.

- Злоумышленникам ничто не мешает передавать зашифрованное сообщение с очень стойким шифрованием напрямую. Неважно, используется ли просто интернет как публичная сеть или конкретно какой-то клиент или мессенджер. Это понятные алгоритмы, они публичны, известны, и никто не мешает [злоумышленникам] это сделать. Наша реальность в том, что можно зашифровать сообщение таким образом, что расшифровать его, кроме его настоящего получателя, не сможет никто.

- Власти прилагают столько усилий к тому, чтобы блокировать серверы в погоне за Telegram. Чисто технически не было бы проще и более рационально ловить злоумышленников в том же Telegram и других мессенджерах?

- Да, вы правы. Но наверное, это разные люди делают. Вряд ли криминалисты, которые занимаются поиском настоящих террористов и помогают нам жить в безопасной стране, занимаются такими вещами, как блокировка.

- Я имею в виду ведомство в целом.

- Мне кажется, что задача свелась к следующему: “заблокировать Telegram” примерно равно “заблокировать интернет”. Сейчас в России за счет этих блокировок не работает очень много ресурсов, притом абсолютно нормальных. В том числе страдают стартаперы, которые размещают свои легальные, незаблокированные проекты в ресурсах, которые попадают в бан, потому что невозможно блокировать облака. Просто у них большие пулы адресов. То, что когда-то на 10 минут этот адрес принадлежал Telegram, через него прошло несколько тысяч сообщений, не значит, что этот адрес можно навсегда заблокировать. Сейчас он ему [Telegram] не принадлежит уже. И система передачи друг другу адресов лежит на стороне cloud-провайдера. Такая блокировка будет приводить к тому, что все больше и больше ресурсов перестанут быть доступны в России.

- Это у Telegram такая тактика - брать сервер на короткое время, минут на 10, использовать и уходить с него?

- Это делает облачный провайдер. Как было раньше? Раньше мы покупали сервера. Можно было купить сервер и отправить его в Россию, в Петербург, в Амстердам, куда угодно по всему миру. Можно было арендовать чей-то чужой сервер. А сейчас вы арендуете конкретные ресурсы, то есть возможность выполнять на вычислительных мощностях какую-то вашу программу. Как будут распределены эти мощности - это уже оптимизирует поставщик услуг. Поэтому ваш IP-адрес меняется. Это позволяет более эффективно использовать ресурсы и получать лучшую цену. Можно доплатить и ваш адрес не будет меняться.

- То есть методы Роскомнадзора устарели?

- Просто по IP-адресам – очень странный метод, сейчас так невозможно блокировать. Во-вторых, в принципе заниматься какими-то блокировками в публичных сетях очень странно, потому что вся концепция таких сетей в том, чтобы они были публичными. Как мы видим, это [блокировка Telegram по IP-адресам] не особенно работает. У вас же работает Telegram?

- Да, но в последнее время со сбоями.

- Вам же никто не запретит общаться с любыми людьми. На какие темы вы будете общаться - зависит от вас. Сегодня страдает бизнес, страдает экономика, которую люди делают в IT, и это плохо.

- Есть ощущение, что ведомства вообще не очень в курсе, что существуют масса возможностей обмениваться сообщениями. Можно зайти в онлайн-игру, и там в чате спокойно общаться. Там безо всякого шифрования, но никто это не мониторит. Я прав?

- Это один из способов. Люди, которым есть что скрывать, - их не заблокируешь… Вообще нынешняя блокировка Telegram выглядит как способ заблокировать интернет внутри страны. Потому что фактически так и происходит.

- А реально заблокировать вообще все VPN?

- В Китае, например, так сделано.

- При этом та же Opera VPN теперь принадлежит китайцам. Которые сами себе блокируют VPN. Парадокс.

- Китай контролирует большую часть железа, на котором держат интернет, сети, именно на магистральном уровне. Это всё китайское железо!

ПРО АМЕРИКУ

- Вы живете и работаете в Калифорнии?

- Да, последние 2 года почти полностью в Сан-Франциско.

В Сан-Франциско хорошо, но Москва Ивану Новикову из Wallarm нравится больше. Фото: Личный архив героя публикации

В Сан-Франциско хорошо, но Москва Ивану Новикову из Wallarm нравится больше.Фото: Личный архив героя публикации

- У вас там семья?

- Личные вопросы не комментирую, а в целом идея переезда больше связана с работой. Для любой компании, которая имеет локальный офис, это неизбежно.

- В Сан-Франциско лучше, чем в Москве?

- Москва мне нравится куда больше, но работать там [в США] выгодно. Если завтра надо будет лететь в Сингапур - я буду работать в Сингапуре.

- После скандала с “русскими хакерами” отношение к русским айтишникам поменялось в Штатах?

- Лучше спрашивать человека, который работает в [местной крупной IT-] компании. Мы немного обособлены от этого. Но такого, чтобы тыкали пальцем, нет. И в целом отношение всегда было нормальным. Плюс в нашей сфере работы много и нет возможности заниматься всем этим. Люди очень загружены и очень аполитичны. Если люди делают какие-то классные вещи, мы, независимо от национальности, уважаем людей за эти дела. IT-специалисты редко смотрят телевизор. Вот самый хороший ответ на этот вопрос.

МОГЛИ ЛИ БЫТЬ РУССКИЕ ХАКЕРЫ

- А можно ли вообще взломать американскую систему голосования?

- Всё можно взломать, любую систему. Но я не знаком конкретно с системой голосования. Вопрос атрибуции - можно ли говорить, что атака точно была направлена из какого-то конкретного региона? Это невозможно. Это всё равно как если бы мы сказали, что Дуров использует только американские адреса, чтобы обходить российские блокировки. Чушь. Используются провайдеры, которые где-то расположены. Где угодно! И это нормально.

Журналисты часто готовы раздуть. И если у людей нет фактов, они могут их придумать. Мы видим технические признаки и какие-то косвенные вещи, но доказать невозможно. За исключением случаев, когда поймали человека в какой-то стране, когда обычные сотрудники милиции сказали: вот у него был компьютер и такая-то версия программы. И, наверное, он ее использовал. Тогда можно сопоставить факты.

- Ну то есть разговоры о “русском следе” так и останутся всего лишь разговорами?

- Уже на входе было понятно, что никаких реальных доказательств нет и никогда не будет, можно бесконечно друг друга обвинять.

О ПЕРСОНАЛЬНЫХ ДАННЫХ И ЧАСТНОМ СЕКТОРЕ

- Мы все свои персональные данные отдаём на серверы, чтобы получать госуслуги онлайн. Не опасно ли это?

- Тут вопрос надо ставить так: если людям нужна такая услуга - служба «одного окна» в интернете, - то это нужно делать. Должна быть очень сильная интеграция между разными ведомствами. И хорошо, что государство работает над этим. Каким образом это защищать - задача других людей, она не связана напрямую с этой бизнес-функцией.

- А государство справится с этим?

- Должно. И у нас хватит специалистов, чтобы сделать всё хорошо.

- А специалисты пойдут работать на государство? Или это надо отдавать на аутсорс?

- Тут сложно. С точки зрения бизнеса надо смотреть, что можно отдавать на аутсорс, а что нет. Максимально отдать всё в частный сектор и наложить ограничения, которые не позволят частному сектору работать вне поля, делать что-то небезопасное, - это правильная история. Чем больше будет частного бизнеса, тем лучше. Какое-то время в IT был хаос, поскольку новая сфера. И люди делали что-то, появлялись классные компании. Потом государство начало вокруг себя собирать. Сейчас всё в эту сторону движется. Потом будет что-то иное. Вопрос: хорошо это или плохо? Это наша реальность. У меня нет возможности судить.

ПРО ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ

- Машины уже начали ставить диагнозы и делать это более точно, чем люди. Надо ли бояться искусственного интеллекта?

- Есть более правильное определение: машинное обучение. Оно делится на аналитические алгоритмы и нейронные сети. И есть больше маркетинговое выражение – искусственный интеллект. Если “artificial intelligence” переводить на русский дословно, то это, скорее, “искусственный разум”. Возможность машины критически воспринимать информацию, что равносильно понимать, что она существует. Оценка самой себя. Этого пока нет. А машинное обучение работает очень хорошо. Когда мы говорим, что боимся машин, мы на самом деле боимся не саму машину, а человека, который её создавал и мог допустить ошибку. Проблема в людях.

ПРО УТЕЧКУ МОЗГОВ И ЛИЦЕМЕРИЕ

- Как остановить утечку мозгов?

- Проблемы утечки мозгов, я думаю, как таковой нет. Что, люди массово уезжают? Нет.

- Имеете ввиду, что они не рвут все связи, а едут только поработать?

- Вопрос, скорее, в следующем: куда эти люди вкладывают заработанные деньги? В какую экономику и почему.

- Возможно ли улучшить ли климат для айтишников в России?

- Все зависит от климата в экономике. Если будет экономика открытая, можно будет привлекать внешние инвестиции, то будет всё хорошо. Сначала, как мне видится, должны прийти компании-гиганты. Они драйверы. И только потом можно “нижний хвост” подтянуть.

Если быть открытым к интернету, развивать его, будет развиваться автоматически всё. А если его блокировать, мешать ему… Нельзя говорить, что мы развиваем IT, блокируя интернет. Это лицемерие.

ИСТОЧНИК KP.RU

Понравился материал?

Подпишитесь на еженедельную рассылку, чтобы не пропустить интересные материалы:

Нажимая кнопку «подписаться», вы даете свое согласие на обработку, хранение и распространение персональных данных

 
Читайте также