Одкровення українського хакера. Наскільки складно вести кібервійну з росіянами і як ставляться до сепаратистів в Facebook, PayPal і Приватбанку 14 травня 2016, 09:00 Вы также можете прочесть этот материал на русском языке

Засновник Українських кібервійськ Євген Докукін розповідає, скільки ресурсів змушені витрачати донбаські сепаратисти, щоб протистояти кібератакам.

Під час зустрічі з кореспондентом НВ в одному з кафе на Хрещатику Євген Докукін, 32-річний хакер і засновник Українських кібер військ (УКВ), відмовляється замовити собі хоча б чашку чаю. «Скільки мільйонів українців сидять в кафешках, а я роками зайвої копійки не витрачаю», - говорить він, пояснюючи, що вкладає всі вільні гроші в кіберборотьбу з Росією.

Посеред розмови він показує свій мобільний телефон – стару Nokia. Економія в усьому.

Докукін скаржиться на відсутність уваги держави і преси до УКВ. Зрідка якийсь пост хакера на його сторінці в соціальній мережі Facebook збирає хоча б сотню лайків. Він також веде свій сайт websecurity.com.ua. Американський сайт Daily Beast назвав Докукіна кібервоїном-одинаком.

Заробляє на життя Докукін тим, що шукає вразливості в системі Приватбанку. Раніше йому вдавалося знаходити дірки в системах американських, британських і українських спецслужб.

Але всі думки хакера – про УКВ. Він створив УКВ в червні 2014-го і багато встиг з того часу. Станом на січень 2016-го, кіберсили Докукіна заблокували понад $11 млн на рахунках людей, що мають відношення до сепаратистського руху. Заблоковані тисячі сайтів і акаунтів сепаратистів в соціальних мережах. Отримані гігабайти даних так званих розвідки Міністерства державної безпеки і Народної ради ДНР. «Майже всю роботу доводиться робити самому», - підкреслює Докукін.

НВ публікує розповідь Докукіна про те, чим займаються хакери, чого вдалося досягти УКВ в боротьбі з Росією і що не так у ставленні держави до проблеми кібербезпеки.

- В програмуванні я самоучка і вже до 1994 р. знав багато чого з того, що мені знадобилося для подальшої роботи в IT-сфері. Я закінчив університет Україна в 2008 р. з червоним магістерським дипломом з програмування. Хоча я самоучка, університет теж багато чому мене навчив. Але до кібербезпеки це ніякого відношення не мало. В університеті викладали програмування, системне адміністрування, розроблення веб-сайтів, чим я почав займатися ще в 1990-х.

Однак з 2005 р. я став займатися кібербезпекою, чим і заробляю собі на життя. Називаю себе аудитором безпеки і рідко використовую слово «хакер». Журналісти споганили це слово в гонитві за сенсацією, з того часу воно є синонімом слова «зловмисник».

Заснувавши УКВ в червні 2014-го, вже до вересня 2015-го я залишився практично без помічників. З моменту запуску тільки, може, одна людина мене згадує та іноді приходить допомогти. Волонтерський ентузіазм давно закінчився, всім треба займатися роботою. Хоча і на початку багато хто обіцяв допомогу, але реально нічого не робили, посилаючись на свою зайнятість.

Але заходиш до них в соціальні мережі – стільки розмов, веселих постів. На це час у них знаходиться. Я не проти розваг – дуже багато слухаю музику, навіть коли працюю за комп'ютером. Сам пишу музику. Але треба ж і для країни щось робити.

А необов'язково адже тільки зломами займатися. Можна взагалі нічого не вміти і допомагати. У мене було багато різних операцій, яким можна допомогти або зусиллями, або грошима. Можна, наприклад, дивитися через веб-камери на Донбасі, контроль над якими я отримав. Можна заплатити сто або тисячу доларів на добу агентам, які проводять DDOS-атаки (під час таких атак на веб-сайт, що став метою, звертається велика кількість запитів, у результаті чого він блокується).

Хитрі технології DDOS-атак

Сам я веб-криміналом не займаюся. Можна "класти" сайти і без бот-мереж. Я навчаю це робити тих, хто до мене приходить. Сепаратистським сайтам доводилося витрачати десятки тисяч доларів після наших атак на зміну хостингу, доменів, захист. Зараз вже знайти сайт, який можна було б покласти без DDOS-атаки, дуже складно.

Є некласичні технології DDOS-атак, коли використовується не модель «командний центр і зомбі», а атака відбувається з однієї IP-адреси, хоча жертва буде бачити, що різні IP-адреси атакують сайт і не зможе їх легко заблокувати.

Є моя розробка Davoset, створена в 2010 р. Були інші програми, які генерували дуже великий трафік. Мої провайдери лаялися щодо підозрілого трафіку, коли я їх використав. Можна атакувати з простого мобільного телефону, навіть не зі смартфона.

Євген Докукін вкладає у кібервійну власні гроші і скаржиться, що силовики з мільярдними бюджетами зовсім не хвилюються про кібер-АТО. Фото: Олександр Медведєв

Найнята на стороні DDOS-атака – це дороге задоволення. При цьому 90% людей, які володіють бот-мережами і надають такі послуги – це люди сумнівного характеру, у них часто завищені ціни, вони морочать голову. Часто я платив свої гроші, щоб заблокувати сайт, на який своїх сил у мене не вистачало.

На відміну від мене, у російських пропагандистів мільйонні бюджети – Life News, Russia Today. І навіть якщо по тисячі доларів на добу витрачати на атаки, у них все одно грошей більше, щоб відбиватися.

Телефонні методи в арсеналі Українських кібер військ

Перші наші операції – це було блокування телефонів терористів за допомогою SMS-повідомлень і дзвінків. Я написав програму, встановивши яку телефон сам надсилає повідомлення через потрібні шлюзи. Люди тільки запускали програму – і все. Був у нас також спеціальний плагін для Skype, щоб атакувати телефони терористів.

Номери телефонів терористів ми знаходили у відкритому доступі в інтернеті, адже з 2014-го вони активно проводили запис в ополчення, давали свої контакти. Після наших атак терористи нервували, викидали SIM-карти, змінювали номери.

Записали якось телефонну розмову співробітників одного з міністерств ДНР. Звернулися до преси – там не зацікавилися. Віддав в підсумку запис в СБУ.

Млява реакція українських спецслужб і преси

При цьому у силовиків десятки мільярдів гривень бюджетних грошей, але вони не зробили нічого для кібер-АТО. Вони тільки й можуть, що клянчити у мене або когось іншого – заDDOSьте те, зламайте це. Вони навіть не здатні закрити сайти, домени терористів в Україні, зловити сепаратистів на підконтрольній території. Я зараз спілкуюся з новоствореною кіберполіцією, даю їм списки сайтів – не обов'язково сепаратистських, але просто шахрайських – так вони теж нічого не хочуть робити.

Іноді кажуть мені «спасибі», але не кожного разу. У 2015-му відсоток «спасибі» зменшився, в 2016-му впав практично до нуля. І це при тому, що у мене є свої контакти в СБУ, якийсь рівень довіри, мене їм рекомендували. Відповідають штампом: «Проводяться оперативно-слідчі дії». Але час йде, а результатів немає. Силовики нічого не зробили за два роки для кібервійни з Росією. Від Служби зовнішньої розвідки я теж толку не помітив.

У мене за цей час було до двох десятків операцій, для кожної потрібно було навчити людей. Операція Кібершторм – блокування телефонів сепаратистів за допомогою SMS. Операція Кіберураган – те ж саме, але за допомогою дзвінків. Я всі витрати несу сам. Крім того, вдалося знищити тисячі сайтів і соціальних акаунтів. Є вагон і маленький візок даних про прізвища та імена російських військових, які беруть участь у війні проти України.

Ми отримали доступ до більш ніж 600 гігабайт даних з сепаратистських сайтів. Я викладаю ці дані, їх можна аналізувати. Давав ці дані і СБУ. СБУ пару разів заявила, що когось навіть зловила, і в приватній бесіді визнала – мої дані були використані. Служба зовнішньої розвідки, Міністерство оборони теж приватно дякували мені, але жодна з державних осіб публічно мені або УКВ не сказала «дякую».

В березні 2016 р. ДНР публічно визнала, що ми зламали їхній сервер, а також пошту місцевого Міністерства транспорту. У цій пошті ми знайшли докази того, що Україна фактично дозволила ДНР здійснювати залізничні перевезення українською територією на кордоні з ЄС. Жодне ЗМІ ні слова про це не написало. Журналісти зазвичай кажуть: це не моя специфіка. І все.

Сайт Inform Napalm робив публікації за нашими даними. Є ще такий ресурс Миротворець (на момент написання тексту керівництво сайту заявило про його закриття у зв'язку з критикою, викликаною публікацією даних журналістів, які отримували акредитацію у сепаратистів), у них є свої хакери. Я їм теж багато давав, але вони скаржаться, що у моїх даних недостатньо доказів. Але я вважаю, що коли є лист в поштовій скриньці, в якому хтось просить записати його в ополчення, то це достатній доказ. Важливо те, що деякі українські суди, компанії, банки блокують рахунки сепаратистів, посилаючись на дані сайту Миротворець. Навіть російські банки іноді роблять це.

На сайтах, контрольованих російською ФСБ, про мене писали цілі статті, з моїми фотографіями, які я сам і розміщував в інтернеті. Пишуть і про інших українських патріотів, публікують наші адреси. Я все це блокую, наскільки можу.

На чиєму боці PayPal?

Окрема тема – країни, які спонсорують тероризм. Я передавав інформацію про це трьом різним агентам СБУ, але в підсумку опублікував її сам. Наприклад, були дані з транзакцій платіжної системи PayPal, спрямовані на підтримку сепаратизму. Зазначено, хто відправляв гроші, хто отримував та валюту переказу. Природно, російські рублі, але також американські долари, канадські долари, австралійські долари, євро. З усіх цих країн сепаратисти отримують гроші.

Радник тодішнього голови СБУ Валентина Наливайченка обіцяв звернутися з цього приводу до американського ФБР, але нічого так і не було зроблено. Я сам написав в PayPal, попросив заблокувати рахунок. Вони спочатку мовчали, потім відповіли: ми не будемо нічого робити, тому що ви не є нашим клієнтом. Я відповів: слухайте, ось я пишу в Яндекс Гроші й українські платіжні системи, так вони блокують рахунки терористів, хоча я цими системами теж не користуюся. Коротше, у PayPal дуже нахабна і буратиниста служба підтримки.

Зі мною працює одна людина з 2014-го. Вона живе в Німеччині, куди емігрувала ще років двадцять тому. Спочатку вона брала участь у телефонних операціях, Skype-операціях, але зрозуміла, що їй це не дуже цікаво і захотіла більшого. Я їй запропонував зайнятися PayPal. Його листи ігнорували, і вона подзвонила в найближчий офіс PayPal в Люксембурзі і поговорила з ними німецькою мовою. Через місяць або два після цього рахунок був заблокований.

В цілому через PayPal проходить більше мільйона доларів місяць пожертвувань на підтримку сепаратистів, система бере з них свій відсоток, а закриває тільки копійчані рахунки. Великі рахунки не блокуються.

Засновник Українських кібер військ заробляє на пошуку вразливостей для банків, кафе відмовляється навіть від чаю, щоб заощадити. Фото: Олександр Медведєв

Без підтримки банків виграти в кібервійні складно

Українські банки теж часто відмовляються блокувати рахунки терористів, скільки б я їм не писав. За моїми даними, більшість таких рахунків знаходяться в Приватбанку, але помічені також Ощадбанк, БМ Банк. В СБУ сказали з такими питаннями звертатися у Державну службу фінансового моніторингу. Написав я їхньому директору – спочатку він відповів, що якраз збирається у відпустку. Потім сказав, що тільки-тільки повернувся з відпустки. Потім написав, що відповість трохи пізніше.

Я вийшов з цим питанням на службу безпеки Приватбанку. Я добре знаю цих хлопців, тому що з 2012 р. співпрацюю з ними за програмою пошуку вразливостей. Вони заблокували половину рахунків, які я їм дав. Це були рахунки шахраїв, які називали себе волонтерами і нібито збирали гроші для АТО, а також ті, хто прямо збирав кошти для сепаратистів. Але з грудня 2014-го і Приватбанк почав відмовлятися блокувати рахунки.

Знаходити такі рахунки стає все складніше. Якщо раніше сепаратисти просто розміщували їх в інтернеті і програма пошуку їх копіпейстила, то зараз вони роблять відеоролики, а в цих роликах показують папірець з банківськими реквізитами. Пошуком такі дані знайти не можна.

Кібервійна та американські технологічні гіганти

Деякі писали мені в Twitter листи, робили пости, що у нас є твоя адресу, чекай нас, готуйся, ти труп. Я тоді написав в службу підтримки Twitter про це, але вони не побачили жодного порушення. Зрештою, вони таки змусили людину прибрати пост з погрозами, але аккаунт не заблокували. Twitter, Facebook, Google – вони дуже рідко блокують сепаратистів.

Ось, наприклад, відомий сепаратист і троль Анатолій Шарій обливав мене і УКВ вагонами помиїв. Особливо гостро реагував на наші дані з доказами того, як Донецьком їдуть російські війська.

YouTube Шарія чомусь блокувати не хоче, хоча там жахлива пропаганда. Але я їм навіть не намагався доводити, що це пропаганда і брехня. Я поскаржився, що Шарій використовує у своїх роликах мої фото, а це порушує мої авторські права. В YouTube прочитали це і заблокували Шарія спочатку. Але потім він їм якось довів, що прав на мої фото у мене немає, і його відеоканал розблокували.

На мої аккаунти були численні атаки з акаунтів сепаратистів з тисячами фоловерів. Вони писали скарги, щоб мене заблокували, сподіваючись, що кількість фоловерів стане додатковим чинником. Але поки жодна соціальна мережа не наважилася мене заблокувати. Треба вміти! Але секрет простий – англійський інтерфейс. Раз в моєму профілі англійський інтерфейс, всі запити з скаргами на мене розглядає англомовна служба Facebook або Twitter, а там ватників немає. Правда, вони і сепаратистів не блокують.

А сепаратисти використовують і Facebook і Twitter, і Word Press, LiveJournal, і Google з їх сервісами Blogger, Blogspot, YouTube і Google Maps, на якому терористи наносять позиції українських військових.

LiveJournal, хоч він і російський, іноді блокує сторінки з персональними даними українських патріотів, про що я прошу. Яндекс Гроші, WebMoney, QIWI блокують рахунки сепаратистів у відповідь на мої листи.

Треба подавати до суду на американські компанії, на серверах яких розміщується сепаратистський контент. Але у них мільйонні бюджети на юридичну підтримку, засудити їх складно. СБУ, знову ж таки, пасивно в цьому напрямку. Бояться, напевно, що їх напружить судова тяганина., що це дорого. Так знайдіть юристів, які вам безкоштовно допоможуть.

Євген Докукін вважає за краще, щоб його називали не «хакером», а «аудитором безпеки». Фото: Олександр Медведєв

Тому що атакувати Google або Twitter DDOS-атаками нереально. Треба до 10 тисяч доларів на добу витрачати щоб на їхніх сервісах почалися хоча б мінімальні гальма. Та й це нераціонально, адже мільйони людей легально користуються їх послугами, і вони постраждають.

Але є хороші новини – здається, мені вдалося знайти людину, яка займеться судовими справами проти американських компаній. Доказами я її забезпечу. Подивимося.

І є ж санкційний список США. До нього, наприклад, включені колишні українці Олег Царьов і Наталія Поклонська, прокурор Криму. Ми написали в Facebook, щоб вони заблокували обліковий запис Царьова на цій підставі. Вони заблокували, але його фанати створили новий. І Facebook перестав реагувати. Twitter те ж саме. У Поклонської купа акаунтів, аналогічна історія. Посол США в Україні Джеффрі Пайетт теж мої звернення ігнорував.

Так що треба судитися і подавати позови на нормальні суми, щоб оплатити послуги адвокатів, і щоб щось залишилося на допомогу пораненим українським військовим і добровольцям.

Монетизація вразливостей – важлива стаття доходів хакерських

Я заробляю на пошуку дірок з 2006 р. Тоді я ще намагався заробляти розробкою веб-сайтів, але в 2007-му вирішив зосередитися на аудиті безпеки.

Я знаходив у Приватбанку, який запустив програму пошуку вразливостей в 2012 р., дуже велику кількість дірок на нормальні суми грошей. Багато тисяч гривень. Хоча оплата у них разів у п'ять менша, ніж у російського Яндекса. А Яндекс, в свою чергу, платить разів у п'ять менше, ніж американський Google. Приватбанк хоч і платить менше, і дірок у них більше, але він принаймні не обманює.

До 2012 р. в Україні вразливості не було кому продавати, працювати можна було тільки на західні країни. Я спілкувався з Google ще навіть до того, як вони офіційно запустили свою програму пошуку вразливостей. Говорив – хлопці, ось вам діра. Вони відповіли, що це не дірка, а задумана частина функціоналу. Тоді за допомогою своєї програми Davoset я таких дірок знайшов десятки і опублікував інформацію. Google нишком дірки виправив. Суть була в тому, що їхні сервіси могли бути використані для DDOS-атак зомбі. Виправивши, вони мені не заплатили ні копійки, навіть «дякую» не сказали.

У 2012-му я почав писати Яндексу про їх дірки. Знайшов одну дірку – невелику, але в критичному сервісі. За їхніми розцінками, фіксація такої діри коштує дві тисячі доларів, це середній рівень вразливості. Вони, як і Google, нишком її виправили і нічого не заплатили. Відповідають, мовляв, дірки вашої немає. Я їм відіслав скріншот, який показує, що діра є. Вони її виправили за кілька годин після отримання від мене, а мене намагалися переконати в підсумку, що цю дірку їм підказав хтось інший. Після цього я їх не поважаю.

Я знаходив купу вразливостей на українських державних сайтах, але навіть «спасибі» вкрай рідко отримував. Вони взагалі не дбають про безпеку. При цьому створили ціле відділення в рамках Держслужби зв'язку та захисту інформації, створили команду реагування альянсу CERT-UA. Однак все що вони можуть – це тільки хвалитися закриттям якихось незначних дірок.

Ненормований робочий день

У першу ж ніч після розмови, приблизно опів на другу, Докукін написав кореспонденту НВ в Facebook повідомлення з посиланнями на свіжу інформації про УКВ. Приблизно в той самий час наступного дня Докукін написав ще раз. Робочий день з 10-00 до 18-00 – не для хакерів.

«Не буду розповідати, скількох нервів мені варта кібервійна, - зауважує лідер УКВ. – Про своє здоров'я я з журналістами не розмовляю».