Один из тех самых "русских хакеров" Алекс Ребл: "Самые защищённые сайты в России — это социальные сети"
Все началось с того, что Алекс Ребл взломал "Хорошие новости". Ну как взломал — обнаружил "дыру" в системе безопасности сайта и рассказал нам об этом. Огрехи мы устранили, стали общаться. Выяснилось, что за последние полгода Алекс нашел "щели" в ресурсах практически всех челябинских СМИ, дюжины федеральных информагентств, пары-тройки госкорпораций и даже обнаружил пробоину на сайте делегации Евросоюза в США. Анонимус мог бы воспользоваться этим, но не стал: наш собеседник стоит на стороне сил добра (иначе бы мы о нем не писали), поэтому он просто указывал админам на проблемы, мол, исправьте то-то и то-то. Некоторые его слушали, а некоторые посылали к черту.
"Хорошие новости" пообщались с "тем самым русским хакером" и узнали, какие пробелы есть в системе информационной безопасности и почему взломать можно каждого. Общались мы, как положено, на условиях анонимности: Алекс Ребл — разумеется, псевдоним.
Чем вы руководствуетесь, когда выбираете сайт для проверки на предмет ошибок? Сайтов же много.
— Это должен быть более-менее известный сайт. Хотя, часто я помогаю и любительским сайтам. Суммарно имею данные на несколько десятков самых различных ресурсов. В базе: уязвимости, ляпы, проблемы с безопасностью. Как правило, это СМИ, государственные ресурсы и многие другие.
И всем вы указываете на ошибки?
— Указываю на ошибки тем, кто готов слушать. Был случай, например: редактор одного из челябинских СМИ после моего сообщения о проблеме на сайте просто добавила меня в чёрный список в "Вконтакте", а аналогичное сообщение моего коллеги, оставленное как комментарий, удалили из их сообщества в ВК. Не вижу смысла помогать тем, кому не нужна помощь.
А что вам обычно отвечают, когда вы пишете, мол так и так, на вашем сайте имеются проблемы?
— Большинство игнорят, некоторые спорят — кстати, я тоже бываю не прав — были те, кто пытались вынудить меня удалить посты с информацией. (Описание проблемы того или иного сайта Алекс выкладывает у себя на страничке в "Вконтакте". прим. ред) Есть и те, кто отвечает и кому я был реально полезен.
А зачем вам все это? Существует ли некая миссия у вас и ваших коллег?
— Правительство РФ намерено выделить 200 млрд рублей на информационные технологии, я считаю, что это "деньги на ветер". Есть множество сфер, например, медицина в Челябинске, в других городах, где эти деньги нужны. В итоге, мы с коллегами устроили крестовый поход на гос. сайты, чтобы показать, что их финансирование особо ничего не даёт и что лучше средства направить в другое русло. На сайте администрации одного из городов-миллионников была проблема с безопасностью. В результате экспериментов случайно повредил сайт (благо, просто снёс все картинки). Информацию о проблемах скинул им на почту, забавно, но администрации реагируют чаще если, что-то сломать.
Потом произошел инцидент с сайтом одного из федеральных телеканалов (конкретные названия СМИ и компаний редакция не указывает по этическим соображениям. Прим. ред). Он вообще не вписывался в мои планы, там нет ничего гениального, но была страшная утечка документов компании — это очень грубое нарушение безопасности. Я им написал. Мне не ответили, потом решил в наглую, в социальных сетях связаться, получилось, со мной связались. Через несколько недель сотрудники компании сами связались со мной и попросили написать опровержение, потому что руководство их поставило под увольнение. Причем уволить хотели совершенно других, невиновных людей. В результате сотрудников не уволили, они отделались выговором, проблемы исправили.
А у вас-то лично из-за вашей деятельность были проблемы? Может, угрожали?
— Как-то мне удалось найти дыру на сайте одной старейшей федеральной газеты. В результате я получил данные (логин, пароль и т.д.) от их базы данных. Потом сотрудники издания намекали, чтобы я удалил инфу, иначе, случись чего, пойду как соучастник. Обвиняли, что я не профессионально поступаю, написав у себя в профиле об их проблемах, обвиняли, что это неэтично. Я же считаю, что люди, которые допускают поистине глупые ошибки на своих ресурсах, сами далеки от профессионализма.
Как правило, отечественные сайты лучше защищены, чем зарубежные, или хуже?
— Далеко не все отечественные сайты хорошо защищены, к сожалению. У западных тоже бывают проколы в безопасности, например, две недели назад взломал старый сайт делегации Евросоюза в США, теперь его перенесли. Также сайт правительства Франции тоже имел проблемы. Я, кстати, мирно рассказал им о них.
К слову, верите ли вы в историю западных СМИ о вездесущих русских хакерах, которые настолько всемогущие, что способны повлиять на выборы в США?
— Логически подумайте: российские программисты 3 год подряд выигрывают мировые чемпионаты по программированию. Определённо, в России могут быть таланты в этой области.
Какие сайты в России лучше всего защищены? Это сайты госкомпаний, госучреждений, крупных информагентств?
— Самые защищённые сайты в России — это социальные сети. Их руководство более всех заинтересовано в безопасности, хотя ежегодно "багов" (ошибок. прим.ред) находится очень много. Разумеется, я сам сижу "Вконтакте" и порой нахожу что-то и в нём. Скажем, есть история с утечкой данных ВК. Не очень хочу о ней распространяться, скажу лишь, что тогда был получен номер Дмитрия Медведева, Павла Дурова, Марии Кожевниковой, Дианы Мелисон и разработчиков "Вконтакте". Это было где-то 1,5 года назад.
Есть ли толк от стандартного антивируса?
— Антивирусы бывают полезны, но мало эффективны, потому что к глупостям склонны сами пользователи. По идее, можно взломать всех (банально отгадав логин и пароль), но иногда шансы очень малы.
Неужели так плохо паролятся?
— Знаете, иногда пароли действительно слабые, для более сложных случаев, где много вариантов, это делает специальный скрипт или программа, но шансов угадать мало. Впрочем, самое забавное, что эти жалкие шансы вполне реальны. Когда есть за что зацепиться, проще искать уязвимости
Напоследок скажите, так вы и есть тот самый "русский хакер"?
— Честно, не задумывался хакер я или кто-то другой.
Хорошо, а на какой вы на какой стороне? Тьмы или света?
— Я мирный. Обычно стараюсь следить за всеми: и "светлыми", и "тёмными". Они, кстати, имеют свойство меняться местами. Поэтому в целом предпочитаю сдерживаться и никому не вредить.
