Илья Колошенко – этичный швейцарский хакер

07.09.2011
Представляем вам президента и генерального директора женевской компании High-Tech Bridge, романдского лидера в области компьютерной безопасности, готовящегося осваивать новые территории.

Представляем вам президента и генерального директора женевской компании High-Tech Bridge, романдского лидера в области компьютерной безопасности, готовящегося осваивать новые территории.<br />
<br />
Если честно, до последнего времени мы не знали, что слово хакер может обладать положительной коннотацией – ведь и сами мы становились мишенью этих компьютерных пиратов, и не раз описывали, как страдали от них другие уважаемые швейцарские институты. Однако весной этого года мы обратили внимание на рекламу курсов по этичному хакерству, организуемых от России (причем не где-то в подворотне, а в учебном центре «Специалист» при МГТУ имени Н.Э. Баумана) до Мексики.<br />
<br />
Мы обратились за разъяснениями к профессионалу, который рассказал, что, поскольку адекватная защита информационных ресурсов компании (<a class="txttohtmllink" href="https://www.htbridge.ch/">https://www.htbridge.ch/</a>) является обязательным требованием бизнеса, она подразумевает создание системы, направленной на минимизацию существующих информационных рисков. Одним из инструментов оценки эффективности принятых в компании мер обеспечения информационной безопасности является метод «этического хакерства», активно применяющийся на Западе и относительно недавно появившийся в России.<br />
<br />
Заинтересовавшись, существует ли подобное в Швейцарии, мы обнаружили, что не только существует, но и активно развивается, причем не последнюю роль в этом процессе играет человек, фамилия которого не могла не привлечь наше внимание.<br />
Сам Илья Колошенко определяет себя так: «по менталитету я – швейцарец. Я прибыл в Швейцарию, еще будучи младенцем, вырос и учился в Женеве, закончил университет с отличием, потом проходил службу в армии в немецкой части страны».<br />
<br />
Внешне г-н Колошенко похож, скорее, на американца: светлоглазый шатен, белозубая улыбка, деловой костюм в полоску, безупречная вежливость манер. При этом по-русски говорит как мы с вами – абсолютно естественно и без всякого акцента.<br />
<br />
Времени для разговора было не очень много, поэтому мы сразу перешли к делу.<br />
<br />
Наша Газета.сh: Илья, подростки обычно мечтают стать если не космонавтами уже, то, например, банкирами, или рок-певцами. А Вы решили стать хакером. Чем привлек Вас этот сравнительно новый род занятий?<br />
<br />
Илья Колошенко: В моем понимании, хакерство – это умение выжимать из каждой стандартной ситуации немного больше, чем она позволяет остальным. Оно применимо и к финансам, и к компьютерам, и к личной жизни. Возьмем самый простой пример: стоит автомат, торгующий напитками. К нему подходят граждане, опускают монетку, нажимают кнопочку, и получают соответствующую бутылку. И никому не приходит в голову, что в некоторых автоматах старой модели можно нажав одновременно на две кнопочки, получить за ту же монетку две бутылки. А ведь это – азы хакерства! (Мы очень надеемся, что, получив такое руководство к действию, наши читатели не ринутся громить швейцарские и прочие автоматы! – Н.С.).<br />
<br />
А Вы на хакера специально учились?<br />
<br />
Вообще-то нет, но с 15 лет я начал этим серьезно интересоваться, а в 16, после поступления в Университет, хакерство стало увлечением, хобби, жизнью, работой… Учился я на отлично, благодаря чему мог пользоваться системой свободного посещения, а потому располагал массой времени для саморазвития.<br />
<br />
И, тем не менее, созданная Вами компания как раз и занимается тем, что с хакерством борется, разве не так?<br />
<br />
Так, вернее, мы не боремся с хакерством, а помогаем нашим клиентам от него максимально защититься. Нашу работу можно сравнить с испытаниями автомобилей, для которых специально создают аварийные ситуации, чтобы проверить реакцию. Так и мы, проводя аудит сайта, сети или мобильных устройств клиента, «взламываем» их, находим уязвимые места и предлагаем способы защиты. Само собой, всё это происходит в условиях строжайшей конфиденциальности, с письменного согласия и под полным контролем клиента.<br />
<br />
Так же наша компания специализируется в расследовании компьютерных преступлений, среди которых встречается не только хакерство, но и инсайдерская активность, такая как, например, утечка информации.<br />
<br />
А попадался ли такой клиент, взломать сайт которого вашим специалистам не удалось?<br />
<br />
На сегодняшний день показатель успеха равен 100%. Но, разумеется, ситуация может измениться. Кроме того, не все потенциальные клиенты заинтересованы в объективной и реальной оценке уровня своей безопасности. Некоторых ИТ-менеджеров, спокойно сидящих на солидных зарплатах, больше привлекают красиво составленные аудиторские отчеты, уверяющие их самих и их начальство, в том, что «все хорошо, прекрасная маркиза».<br />
<br />
Но ведь это пока гром не грянет…<br />
<br />
А даже если и грянет, ИТ-менеджер всегда может сказать, что, мол, говорил я вам, что надо аудит не раз в год делать, а каждые три месяца, а вы деньги не выделили. Глядишь, и бюджет дополнительный получит, и извинения в придачу.<br />
<br />
И на сайте, и в брошюре Вашей компании подчеркивается, что все сотрудники компании, работающие на территории Конфедерации, являются ее гражданами. Зачем это, ведь Швейцария славится космополитизмом?<br />
<br />
Дело в том, что большая часть наших клиентов – это банковские и финансовые структуры, часовые и люкс компании. Все они очень щепетильно подходят к вопросу защиты своей информации и информации своих клиентов и поэтому соблюдают все необходимые нормы и правила для обеспечения строжайшей тайны, в частности, банковской, которой так знаменита Швейцария.<br />
<br />
В нашей технической лаборатории, в которую мы вложили более миллиона франков, – работает много выходцев из СНГ, есть также жители Израиля, Германии, США и Бразилии. Это лучшие эксперты по информационной безопасности, которых нельзя найти на местном рынке. Они занимаются разработкой инновационных систем защиты и нападения, предоставляя все результаты своей работы своим швейцарским коллегам. Подчеркиваю, что сотрудники нашей лаборатории никогда не работают напрямую с нашими клиентами и даже не знают, кто они.<br />
<br />
А это правда, что «наши» хакеры – самые лучшие?<br />
<br />
Ну, если не самые, то одни из самых.<br />
<br />
Чем Вы это объясняете?<br />
<br />
Жизненными обстоятельствами. Европейский мальчишка с раннего возраста получает доступ к интернету, всяким компьютерным играм, в которых его интересует, не как они работают, а исключительно развлекательный момент.<br />
У нас же средний парнишка счастлив получить какой-нибудь подержанный компьютер, зато уж он его разберет до основания и сам игры делать начнет. Так и учатся.<br />
<br />
Какое главное качество хакера?<br />
<br />
Желание этим заниматься.<br />
<br />
В этом году швейцарские СМИ пестрели рассказами о хакерских атаках на сайты различных политических партий и организаций системы ООН. Как бы Вы прокомментировали эти происшествия?<br />
<br />
На мой взгляд, сегодня нет такого сайта, который нельзя было бы взломать. Причем чем больше система, тем легче это сделать. Сравним сайт с особняком. Чем больше особняк, тем больше в нем дверей, окон, вентиляционных систем, гаражей, помещений для прислуги, бассейнов и собачьих конур. А значит, тем больше вероятность, что кто-то да и забудет что-то запереть. Так же и с сайтами.<br />
То, что взломали именно ооновские сайты, не удивительно, ибо довольно часто информационная безопасность в ООН ограничивается покупкой антивирусов по самой доступной цене.<br />
<br />
А зачем вообще нападают на сайты?<br />
<br />
Причины могут быть самые разные, но среди главных я бы выделил три. Первая, это стремление инфицировать сайт, заразив вирусом всех его посетителей. С этой точки зрения сайты ООН привлекательны, так как посетителей у них много, и в разных странах. В результате создаются так называемые «зомби сети», контролируемые хакерами, и через которые они могут рассылать спам, или осуществлять атаки на другие компьютерные системы.<br />
<br />
Вторая причина – возможность шантажа. Вот представьте себе, какой-нибудь большой чин в ООН располагает конфиденциальной информацией. Хакер получает доступ к его компьютеру, взламывает его, создает страничку под солидным названием типа unog.ch/audit/report, на которую привешивает вирус. После чего пишет чиновнику письмо с невинным запросом, например, «У вас на сайте отчеты только за три года, а где за текущий?» Чиновник удивляется, но, видя HTTPS ссылку на свой сайт, кликает – и вся его информация оказывается украденной. В ООН конфиденциальной информации процентов 10, но она может дорого стоит.<br />
<br />
Ну, в третью причину можно определить как «дети шалят».<br />
<br />
Хочу заметить, что часто атаки, совершаемые профессиональными хакерами, не только не попадают в СМИ, но о них не подозревают даже их жертвы. Информация тихо и дорого продается на черном рынке.<br />
<br />
А чем отличается профессиональный хакер от любителя?<br />
<br />
Профессионал работает тихо, быстро и за большие деньги. А любителем часто движет тщеславие, он стремится привлечь к себе побольше внимания, создать шумиху.<br />
<br />
Есть ли у вас клиенты в СНГ?<br />
<br />
Есть, но мало. Начиная нашу деятельность в 2007 году, мы именно на этот регион и ориентировались. Однако потом грянул кризис, и мы полностью передислоцировались на швейцарский рынок.<br />
<br />
Как Вы оцениваете ситуацию с информационной безопасностью на постсоветском пространстве?<br />
<br />
Это весьма специфический рынок, так как практически любую информацию можно купить, даже к услугам хакеров прибегать не надо. Не секрет, что в России информационной безопасностью ведают государственные структуры. Например: заниматься шифрованием данным можно только, дав госорганам доступ к расшифровке.<br />
<br />
Ваша компания существует с 2007 года. Что достигнуто?<br />
<br />
Достигнуто многое. Каждый год мы удваивали оборот компании, и я надеюсь, что по окончанию 2011 нам удастся его утроить по сравнению с прошлым годом. Наша компания обладает сильнейшей на швейцарском рынке технологической базой, в том числе, и благодаря нашей лаборатории. У нас самое большое количество сертифицированных технических специалистов, многие из которых имеют опыт работы в нашей сфере более 10 лет. Наш совет директоров состоит из ведущих экспертов в области информационной и банковской безопасности в Швейцарии. В прошлом году наша компания была сертифицирована SGS по стандарту ISO 27001. Помимо этого есть еще много маленьких деталей, например, наш сайт является одним из самых посещаемых сайтов по информационной безопасности в Швейцарии, наша компания чаще других цитируется в местных СМИ. Наконец, мы можем позволить себе снимать офис в одном из самых престижных и дорогих бизнес центров Женевы, вкладывать деньги в высококлассную рекламу, а так же нанимать лучших сотрудников.<br />
<br />
Каковы Ваши ближайшие планы?<br />
<br />
В 2012 году планируем выйти на рынок немецкоязычной Швейцарии, а также на соседние страны – Францию, Германию, Италию.<br />
<br />
Вы много работаете?<br />
<br />
Ну как Вам сказать… в отпуске не был с момента создания компании. Ношу галстук по 18 часов в сутки, зачастую без выходных…<br />
<br />
Больше о компании High-Tech Bridge вы узнаете, посетив ее сайт - <a class="txttohtmllink" href="https://www.htbridge.ch/">https://www.htbridge.ch/</a>.<br />
<br />
Надежда Сикорская, НашаГазета.ch - Швейцарские новости на русском