Бардак в телекоме России

Деятели телекома как на ладони. Занимательные зарисовки.

Previous Entry Share Next Entry
О культуре публикаций по информационной безопасности в журнале Форбс
Бардак
telecom_bardak

Удивительный подход к публикациям по безопасности информационных технологий демонстрирует журнал «Форбс».


Ранее мы уже писали о том, как, не разбираясь, а возможно, и умышленно опуская реальные подробности одного оперативно-розыскного мероприятия Управление «К» МВД РФ, журнал представил обычное российское ООО «Групп Айби» в виде монстра, пожирающего хакеров. Некоторые из них при этом, как оказалось, являлись бездействующими полицейскими источниками, а успех правоохранителям сопутствовал из-за патологической жадности жуликов при обналичивании похищенного. Кроме того, при подготовке статьи законодательство Российской Федерации об оперативно-розыскной деятельности, правосубьектность ОРД и такие мелочи, как УПК РФ и ФЗ-152, были задвинуты совсем куда подальше. Не судя строго, статья пошла бы на ура бы где-нибудь в Уругвае, но вышла-то она у нас!


И вот, вновь, в конце 2014 года отдел «Технологии» журнала изготовился и выпустил очередной материал о самородке информационной безопасности в уже ставшей присущей ему (возможно, только для России?) форме. В форме, которую можно описать одной фразой – «полное, всепоглощающее и щемящее своей чистотой доверие к любым высказываниям, заявлениям и суждениям, сопряженное с устойчивым нежеланием проверять получаемые сведения». Речь идет о статье «Контракт со взломом: как хакер построила бизнес за счет банков и корпораций».



Развитие информационной безопасности и её субъектов – весьма полезное дело, мы можем только поддержать этот процесс. Вот только остается один вопрос: почему читателей при этом следует держать за недалёких профанов?


Но, обо всём по порядку. Мы проанализируем наиболее одиозные пассажи статьи в порядке предъявления их автором на суд публики.


1. Начнём с заголовка – он начинается с избитой аллюзии «Контракт со взломом:…». Уже у Ильфа и Петрова в «Золотом телёнке», который штудируется студентами-журналистами как образец сатиры, корреспонденты договорились между собой «не писать об Узун-Кулаке и о «легенде озера Иссык-Куль». Тоже самое и с пассажами вроде «сделки с совестью», «контракта со смертью» и прочими фразами, подходящими для метровагонного чтива, но никак не для мирового журнального бренда в области экономики и политики.


2. В подзаголовке статьи сообщается, что «Алиса Шевченко «взламывает» компьютерные системы крупных компаний по их заказу и зарабатывает около 10 млн рублей в год».


Далее в тексте раскрывается, что компания Алисы ООО «Цифровое оружие и защита» только собиралась заработать в 2014 году эти 10 млн руб. Получается, что фирма хакерши хотела получить от заказчиков порядка 220 000 $ год (1$ = 45руб). Это очень неплохо для одного специалиста, способного взломать «компьютерную систему» (гм, что это?) крупной компании.


В ИТ отрасли такие заработки нередки. Вот, например, один хитрый вице-президент Сбербанка, из-за действий которого его организация «просела» на более чем 200 млн. рублей, зарабатывает, по его же словам, во столько:


Профессиональный опыт: 
1995 – 1998	АБН Амро Банк, Узбекистан (40,000$ годовая зарплата - 10,000$ бонус) 
1998 – 1999	АБН Амро Банк, Голландия (60,000$ - 20,000$)
1999 – 2001	АБН Амро Банк, Россия (100,000$ - 30,000$)
2001 – 2005	Альфа  Банк, Россия (250,000$ - 150,000$)
2006 – 2008	Консультационное подразделение IBM, Россия и СНГ (400,000$ - 150,000$)
2008 – н/в	Руководитель блока ИТ, Сбербанк (1,200,000$ - 2,500,000$)


Вот только 10 млн руб на компанию — это выходит как-то маловато. Зарплата нескольким сотрудникам, закупка уникального, а потому и дорогого ПО — все это стоит значительно больше.


Особенно удивительно это читать, проверив публичную отчетность ООО «Цифровое оружие и защита» за 2013 год. По ней весь баланс компании составил только 630 тысяч рублей, все они получены в качестве кредита и все пошли в убытки. А в 2014 году будет сразу раз — и 10 успешных миллионов…


Это не в первый раз, когда журналисты «Форбс» верят на слово амбициозным руководителям ИБ-компаний. Ранее руководитель Group-IB заявлял журналу, что его компания заработала в 2013 году $36 млн, а официально она отчиталась о балансе только в 22 млн рублей. «Форбс» же простодушно передал в печать слова Ильи Сачкова про десятки млн долларов без элементарной проверки.


3. Текст самой статьи начинается с описания работы игрушечной железной дороги. Для подписчиков «Юного техника» - это интересно, но для читателей «Форбса»? Не знаем. Возможно, это просто вставка автора для увеличения объема статьи и своего гонорара за нее.


А потом… пошло-поехало! Дальнейший текст и повлиял на наше окончательное решение покритиковать статью журнала.


4. «В 15 лет Алиса выучила язык ассемблера, но программистом не стала – её больше интересовали взломы». Любой молодой ИТ-шник начинал с изучения высоко- и низкоуровневых языков программирования, коих множество. Тех же самых видов ассемблеров – полно. Что бы автору стала ясна пошлость данной фразы, переведем её на язык большинства читателей «Форбса»: «В 15 лет Алиса выучила славянский язык, но писателем не стала - её больше интересовали книжные переплёты». Что за славянский язык? Почему, если выучил иностранный или родной язык, надо стать писателем? Что общего у лингвистики и переплётного дела? Не понятно.


5. Увы, дальше число недоразумений нарастает. «Бросила учебу в трёх технических вузах, посчитав, что попусту теряет время, а сейчас её приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана».


Трудно себе представить человека, который бы гордился тем, что бросил учебу в трёх вузах. Сложнее убедить других, что тебя от туда не выгнали. Гейтс тоже недоучился в колледже, но они этим никогда и не гордился.


Прискорбно также, что корреспондент не осведомлен о статье 46 ФЗ "О высшем и послевузовском профессиональном образовании":


Право на занятие педагогической деятельностью

Право на занятие педагогической деятельностью имеют лица, имеющие среднее профессиональное или высшее образование и отвечающие квалификационным требованиям, указанным в квалификационных справочниках, и (или) профессиональным стандартам.


Если ты все вузы бросил, да ещё не аттестовывался ни разу для занятий педагогической деятельностью, то полноценно преподавать в вузе права не имеешь. Так что информация, изложенная журналистом, если она верна, может заинтересовать не столько читателей «Форбса», сколько прокуратуру. Ей будет, кого из завкафедр и деканов проверить.


Скорее всего, в статье имелись в виду все-таки т.н. «встречи» со студентами, которые похожи на «чтение лекций», но к настоящей педагогической деятельности формального отношения не имеют. Недоучка-Алиса таких тонкостей не знает, а доверчивый автор «Форбс» приводит ее слова безо всяких комментариев.


6. Текст льется дальше и наивность автора демонстрирует всё новые высоты. «Свою первую компанию Esagelab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году».


А вот всезнающий ЕГРЮЛ не знал и не знает такой компании как Esagelab.


Товарный знак EsageLab (он же eSageLab) также никогда и никем не регистрировался – ни в России, ни за рубежом. (см. сайты Знаковед и Intellectual Property Office).


А в обыденной действительности героиня статьи в 2008 году получила удостоверение ИП в Промышленном районе Ставрополя с присвоением ИНН, которое действует и сейчас.


При такой невообразимой легкости при обращении с непроверенными фактами, можно бы в ближайшем номере «Форбса» написать: «Журнал «Форбс» готовится опубликовать новый рейтинг самых богатых людей России, в виду того, что гр-н Сарафанников, проживающий по адресу: Москва, Кропоткинский пер., д.23, палата №37; проинформировал нас о том, что он располагает 100 триллионами долларов и, таким образом, является богатейшим человеком страны и мира с занятием 1-го места в рейтинге». Убедительно текст выглядит?


7. А теперь самое изумительное: «В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей не было, он появился к 2010 году, замечает Александр Поляков, … из Digital Security».


Автор статьи, Павел Седаков, не стал поправлять сотрудника Digital Security. Но мы можем отметить, что рынок услуг в области информационной безопасности существует в России с начала 1990-х годов, причем он возник не на пустом месте и возраст его методик намного старше. Микрорынок тестирования проникновений и поиска уязвимостей, как составная часть электронного сегмента рынка услуг в области информационной безопасности существует с середины 1990-х гг. Он тогда был небольшим и продолжает оставаться таким и сейчас.


Тот же «Крок», который мы так часто критикуем, был создан в 1992 году и в нём мощное управление ИБ, костяк которого составляли выпускники орловской Академии ФСО, со времен СССР занимавшейся проблемами безопасности связи и программного обеспечения.


8. Интересна своей неоднозначностью часть статьи про «сотрудничество с системным интегратором «ДиалогНаука», который выдавал Шевченко какие-то рекомендации по «получению крупных заказчиков».


Среди рекомендованных Алисе клиентов фигурирует довольно неоднозначный банк «Траст», доверившейся талантливой хакерше и поручившей ей заделать бреши в своей системе дистанционного банковского обслуживания. Для анализа таких систем серьезные банкиры обращаются в компании с мировым опытом, с проверенной репутацией на рынке, с представительным офисом и с постоянным штатом, наконец. В 2010 году такие в России уже были и смелый поступок со стороны финансистов «Траста» говорит только об их стремлении сэкономить на важном, а не на профессиональном благоразумии. Падение банка в октябре 2014 года — лишнее подтверждение неадекватности этих банкиров.


Похоже, люди из «Диалога» просто передали Шевченко «непростых» заказчиков, лишь бы от себя подальше…


9. Та же наивная песенка появилась и в разделе про «ИнформЗащиту» и мадам Касперскую. Всем, кроме журналиста, понятно, что Наталья Касперская упоминает Шевченко лишь в контексте бесполезности её как сотрудника InfoWatch, причем делает это очень элегантно. Журналист же, лишенный всякого критического взгляда на вещи, принимает за чистую монету слова руководительницы «ИнформЗащиты», которые на доходчивый ему язык можно было бы перевести как: «Алиса была неэффективна и бесполезна с точки зрения бизнеса и мы от неё отделались».


10. Ещё одно любопытное определение в статье, которое нельзя обойти. «Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security (агрессивная защита информации), в России – «боевые учения».


Здесь судить строго не стоит – девушки военной терминологии не знают, а, глядя на окружающих её гиков консультации получить явно не от кого:


HackatonTeam

Фотография сообщества хакеров, где состоит А.Шевченко (в красной майке), с сайта «Хакатон».


Существует официальное понятие тактических учений с боевой стрельбой. Боевых учений – не бывает, тут не нужно выдумывать отсебятину. А то так, глядишь, и появятся «железнодорожная кавалерия» и «бронетанковая милиция», т.е. взаимоисключающие друг друга понятия.


11. Загипнотизированный чарами хакерши журналист готов совершать даже арифметические ошибки. «Год тому назад Esagelab была переименована в «Цифровое оружие и защиту». Трудно представить, каким образом ИП (или просто группа программистов) может быть переименовано в ООО «Цифровое оружие и защиту», зарегистрированное под августа 2012 года. И почему август 2012 по отношению к декабрю 2014 является «годом тому назад»? Но это уже мелочи.


Про 10 тысяч рублей уставного капитала ООО «ЦОР» в статье даже и не упоминается. Неужели читатели и клиенты «ЦОР» считают нормальным доверять свою защиту компании с таким крошечным УК?


12. Трудно сказать, зачем в статью была добавлена сентенция про то, что «…в декабре 2013 года технологии вторжения в программное обеспечение (intrusion software), которые создает и использует группа Шевченко, были внесены в реестр международного Вассенаарского соглашения, регулирующего экспорт обычных вооружений».


Вассенаарские соглашения объединяют более чем 40 государств, договорившихся о принципах и порядке контроля за экспортом вооружений и двойных технологий. Конкретных типов вооружений, марок, названий и других уточняющих понятий в документах соглашений нет. Собственно Intrusion software попадает в пятую категорию (5.2 «Информационная безопасность») продукции двойного назначения, сформулированной весьма размыто.


То, что технологии, которые использует Алиса, подпадают под ограничения Вассенаара трудно отнести к ее достижениям: она их не создавала, а только применяет на практике, да и лом тоже можно отнести к образцу вооружений. Или же это подается как недоработка ставропольской хакерши? Трудно сказать, что хотел сказать этим пассажем автор статьи.


13. Очень странно, что журналист не проявил интереса к тому, где располагается хостинг «ЦОР» – а это немаловажно для компании, занимающейся услугами в области безопасности. Самое лучшее расположение – у себя в охраняемом офисе в защищенной серверной, так надежнее всего контролируется доступ к данным (как к своим, так и к клиентским). Есть и другие варианты с уже большей степенью рисков — в ЦОДе с шифрованием или без, у партнёров, дома и т.п.


Легко найти, что сайты Шевченко — zorsecurity.ru, esagelab.ru/esagelab.com и alisa.sh — хостятся в Эстонии. На фоне нынешней антизападной истерии в России сейчас не самое удачное время для работы с эстонскими провайдерами. Но если вернуться к бизнесу, то расположение своего почтового сервера (сайт-визитка не в счёт) в другой стране небезопасно, если вы собираетесь вести деловую переписку на темы брешей в системе защите своего клиента. Организации с государственным участием такому факту, очевидно тоже будут не рады.


Тут же возникают и более серьёзные вопросы, на которые нет ответов в статье. Например, где хранятся рабочие данные «ЦОРа»? У Шевченко нет офиса, нет постоянного штата, нет конкретного места, где можно гарантировать сохранность данных. Сегодня она тут, завтра - там, кто-то примкнул к её команде с ноутбуком, кто-то ушел с флешкой с данными клиента. В динамичном коллективе хакерши клиентские данные могут оказаться на домашнем диске, на сервере у партнеров или же в облаке. Где они лежат на самом деле и как они охраняются от постороннего взгляда?


Любой вменяемый специалист по безопасности у клиента придет в ужас от такого подхода к хранению его данных. Но не иссякают заказчики, которые находят интерес в «бутиковости» Алисиного сервиса и позволяют себе отчаянно сотрудничать с ней. Журналист «Форбс» тут им не советчик, он и сам попал под ее очарование.


14. Вызывают вопросы и юридические аспекты деятельности организаций подобных ООО «Цифровое оружие и защита», тестирующих работающие системы заказчиков. Особенно в части, касающейся федерального закона №152 «О персональных данных».


Дело в том, что как только создается потенциальная угроза получения доступа к персональным данным субъектов персональных данных (ПД), информация о которых находится на серверах компаний, этим компаниям следует, исходя из текста части первой ст.9 152 ФЗ, получить у субъектов (т.е. граждан) конкретное, информированное и сознательное согласие. В противном случае, субъекты ПД – обычные граждане – могут не понять, почему кто-то ломает какие-то серверы и получает доступ к их личной информации. 152 ФЗ защищает данные, хранящиеся у заказчика пен-теста, и неважно какими мотивами руководствуются «белые хакеры», хакерским образом пытаясь в них проникнуть.


Если угроза персональным данным есть, значит, заказчики пен-тестов должны озаботиться получением у своих клиентов четкого (желательно, письменного) согласия на такой тест. Нужно собрать такое согласие у всех субъектов ПД! Буквально. А это очень нелегко, с учетом того, что, например, у банка их число может достигать сотен тысяч. Тот, кто проводит пен-тест, должен знать об этом и настаивать на получении всех этих бумаг заранее, до теста.


Избежать проблем с 152 ФЗ можно, если проверять защиту клиентов на макете работающей системы. Но ни сама Алиса, ни автор статьи не приводят примеров такой деятельности. Видимо, в хакерской среде это не считается «крутым».


Нельзя не отметить, что Шевченко не одинока в своем пренебрежении к закону (сказываются три брошенных вуза) — многие мелкие и средние компании в российской отрасли ИБ нарушают по «производственной необходимости» закон о ПД. С этой сфере сложилась и действует своеобразная круговая порука в стиле «Не спрашивай — не отвечай». Однако попасться за нарушение может не только добыча, но и охотник и это будет неприятным событием для российской отрасли ИБ. А отдел «Технологии» журнала «Форбс» напишет по этому поводу ещё одну статью.


В качестве итога


Несуразности в статье «Контракт со взломом» можно перечислять еще долго — Алиса Шевченко обильно сорит ляпами как осеннее дерево листьями. К сожалению, легковерность автора и его нежелание перепроверять факты, изложенные героиней статьи, сильно снижают уровень материала, вызывая множество вопросов, на которые статья могла с успехом ответить и сама.


Тщательность в проверке фактов обязательна для качественных СМИ и «Форбс» тут не исключение!




  • 1

Да, статья просто в яблочко, если учесть ситуацию с ЦОР в свете решений амеров и скнкций.
Не надо в жизни, в реальности, играть в Джеймс Бондиху. Хочешь и можешь работать - работай, а не трепись.
И кураторы ее додики, не обучили девку и подставили.


  • 1
?

Log in

No account? Create an account