- Головна
- інтерв'ю
- Інтерв'ю з колишнім кардером: «Потрібно бути останнім дурнем, щоб красти в Інтернеті замість того, щоб заробляти в ньому набагато більше»
SecureNews пропонує увазі читачів інтерв'ю з білорусом Сергієм Павловичем - одним з найвідоміших кардерів в СНД.
Чому ви вирішили стати кардером? Чи настав усвідомлення того, що ви займаєтеся протиправною діяльністю, поступово або ви з самого початку це розуміли?
Цей напрямок кардинг називалося «речовим кардинг» і існує і понині.
Як можна захиститися від дій кардерів? Хто, на ваш погляд, є найбільш слабкою ланкою в ланцюжку користувач-банк-постачальник товарів / послуг? І які серйозні помилки відбуваються в ході операцій з банківськими картами?
Найслабшою ланкою в ланцюжку передачі банківської інформації не завжди є користувач - дуже часто винуватцем виступає сам банк (так, зараз в одному з московських судів слухається справа, коли з-за стандартних налаштувань банкоматів, інструкція до яких є в Інтернеті, злочинці змогли налаштувати банкомати на видачу грошей і викрали понад мільярд рублів). А взагалі, найбільші витоку інформації про кредитні картки походили з великих ритейл-мереж типу Walmart - зламуючи їх, хакери викрадають відразу мільйони кредитних карт покупців (у мене по справі проходило близько 200 мільйонів кредитних карт). Все, що побудовано людина, можна зламати, і в основному це відбувається через халатність самих банківських / торгових структур, ненадійно захищають свої комп'ютерні мережі або використовують при встановленні обладнання заводські паролі за замовчуванням.
Наскільки сильно сучасні технології допомагають в справі захисту від кардинг? Наприклад, чіпи для карт і 3DSecure?
Коли до вас прийшло усвідомлення того, що обраний вами життєвий шлях - неправильний?
Після того, як я відсидів 8 років у білоруських тюрмах (а всього я відсидів 10). Я зрозумів, що я не хочу більше сидіти, ніколи, і реалізовувати свій потенціал в кримінальному напрямку неправильно. Тому відразу після звільнення я зайнявся бізнесом - фактично, ти вирішуєш все ті ж завдання, що і в криміналі, тільки думаєш вже не про те, де зручніше вкрасти, а як обійти конкурентів і зробити сервіс, який буде робити життя людей кращим, простіше, економніше, защищеннее і так далі. Ну а гроші - неминучий наслідок цього.
Яким чином black-hat хакери можуть служити на благо суспільству?
З відомих хакерів перекваліфікувався і став робити все те ж саме, але тільки вже легально (за замовленням самих же компаній тестувати їх комп'ютерні мережі на уразливості), якщо мені не зраджує пам'ять, тільки Кевін Митник, заснувавши компанію Mitnick Security Consulting. З російських я не знаю нікого. І проблема тут не тільки в тому, що «горбатого могила виправить», а в тому, що наші компанії / уряд не можуть запропонувати гідних зарплат, адже місячний заробіток нормального black-hat хакера обчислюється десятками тисяч доларів.
У ЗМІ періодично з'являються повідомлення про співпрацю хакерів з владою західних країн. А чи відомі вам приклади кооперації хакерів з правоохоронцями Білорусі і Росії? Якщо немає, то в чому, на ваш погляд, причина відсутності такої співпраці?
Про це дуже добре сказав Ілля Сачков (власник компанії з комп'ютерної безпеки Group-IB): «Правоохоронні органи країн СНД ніколи не беруть на роботу колишніх хакерів, тому що вважають, що якщо людина хоч раз себе заплямував, то він і далі продовжить займатися протиправною діяльністю, тому краще взяти на роботу молоду людину після інституту з кришталево чистою біографією ». Як показує практика, це теж не є панацеєю - на лаві підсудних ми нерідко бачимо високопоставлених співробітників ФСБ і МВС, які займаються тим же самим, що і звичайні хакери. Великі гроші є чималим спокусою.
Якщо брати особисто мене, то ні мені, ні комусь із моїх знайомих хакерів і кардерів ніколи не пропонували роботу в правоохоронних органах - ймовірно, за вищезазначеною причини. Ну а те, що хакери західних країн працюють на уряд - такі випадки бувають, найяскравіший з них (робота Альберта Гонсалеса з Секретної служби США) описаний в моїй книзі, але і в тих випадках назвати це роботою не можна - найчастіше вони «стукають» на своїх же соратників, щоб самому не загриміти на лаву підсудних.
Після звільнення з в'язниці у вас не було думки попрацювати в сфері інформаційної безпеки?
Ні, не було, тому що, в першу чергу, я не «технар». Я генератор ідей, як я сам себе називаю, «архітектор ідей», тому мені цікаво вибудовувати бізнес. Сидіти цілодобово за комп'ютером, отлавливая чергових «черв'яків», троянів, вірусів або хакерів мені нецікаво. Та й заробітки, знову ж.
На які сфери діяльності варто звернути увагу людині, яка вирішила піти з кіберзлочинності в «легальне поле»?
Чи вважаєте ви кар'єру в сфері ІБ хорошою можливістю для хакера, який бажає вийти з тіні?
Не знаю, можливо для якогось технічно грамотно фахівця, який не претендує на великі гроші, це і хороше рішення, в основному ж топ-хакери вважають за краще після відсидки займатися бізнесом або продовжують свої колишні заняття.
Ви написали книгу «Як я вкрав мільйон, сповідь розкаявся кардера». Ви плануєте продовжувати писати? І якими проектами ви займаєтеся в даний час?
Книгу я написав, відгуки про неї досить хороші, читається легко, але писати продовження я не планую, у мене просто немає на це часу. Та й що писати? Вигадувати, як Промови це майстерно робить, я не можу, я лише можу описати те, що пережив сам. Кримінальний період мого життя закінчено, написанням книги я поставив в ньому жирну крапку, тому наступна книга якщо і буде, то тільки тоді, коли я зароблю мільйонів сто доларів, а зараз я не вважаю за можливе комусь щось радити. Мені дуже хочеться написати книгу про бізнес, за гратами я прочитав сотні книг про бізнес, біографій великих підприємців типу Стіва Джобса, і мені хочеться написати книгу про те, як я втілюю все те, що дізнався і придумав сам і це в кінцевому рахунку призвело мене до успіху, але, повторюся, я сяду писати її тільки тоді, коли зароблю ці гроші. Може бути більше, може бути менше, але зароблю. Це своєрідний виклик для мене. Восени моя теперішня книга вийде англійською в Америці, а далі подивимося.
П ока же я іноді пишу в своєму блозі, Carding.pro - щоб, так би мовити, не втратити гостроту пера.
Порівнюючи законодавство різних країн - яке з них найбільш жорстоко по відношенню до кіберзлочинів? І навпаки.
Якщо взяти окремо кримінальний кодекс, то найбільші терміни за кіберзлочини в Сполучених штатах Америки. Якщо в Білорусі мене судили за статтею, яка передбачає до 15 років позбавлення волі, то в Америці цілком можуть дати і довічне. АЛЕ! Якщо в Америці ти погоджуєшся на угоду зі слідством, даєш їм весь «розклад» (кому охота працювати, розслідуючи кілька років твоя справа!), Не створюєш слідчим особливих проблем і йдеш на певні поступки (не обов'язково при цьому «здавати» подільників; на скільки тобі совість дозволяє), то на практиці виходить, що ти отримуєш набагато менше, ніж в тій же Білорусі. Не завжди, але в більшості випадків. Та й сидіти там не в приклад краще. Самі ж м'які, найчастіше умовні, терміни кіберзлочинці отримують в Росії або Україні - через корумпованість правоохоронної системи і судових органів.
Чому в Росії і країнах колишнього СРСР так багато кіберзлочинців, проте жертв їх діяльності не таке відносно велике число? На це є якісь етичні причини? Або справа в тому, що населення цих країн в масі своїй біднішими?
Звичайно, основними «мішенями» хакерів і кардерів всіх мастей завжди були і будуть Сполучені Штати - з причини великої кількості грошей і розвиненою мережевої інфраструктури, яку можна зламати. У країнах колишнього СРСР мало того, що грошей практично немає, так ще й не все комп'ютеризовано, до сих пір багато баз даних існують тільки в локальних мережах (а то і в папках в архівах). Це, з одного боку, незручно для самих же працівників таких відсталих структур, але, з іншого боку, рятує від масових комп'ютерних атак на зразок останніх гучних WannaCry і Petya.
Етичні причини були раніше - ще у мого покоління кіберзлочинців, коли ми рідко крали у своїх унаслідок:
а) відсутність великих грошей
б) а також тому, що наш нещасний народ вже держава не раз обібрати і продовжує це робити, якщо ще і ми будемо.
В цілому, можу констатувати, що сьогодні набагато більше різних способів заробітку в Інтернеті (це і арбітраж трафіку, і різні стартап-інкубатори та венчурні фонди, які допомагають тобі втілити твою ідею в життя), ніж в мій час, і потрібно бути останнім дурнем, щоб красти в Інтернеті замість того, щоб заробляти в ньому набагато більше. Легально.