Примечание редактора: в 2012 году российский хакер по прозвищу Арес получил обычное электронное письмо с вопросом о Intercepter-NG, популярном инструменте, который он разработал, который можно использовать для перехвата трафика.
У пользователя возникли трудности - инструмент вылетал, когда он пытался использовать его для анализа больших объемов данных, - и Арес быстро ответил. «Человек, ты быстро исправь!» пользователь написал в ответ.
По словам Ареса, сообщения пришли с [email protected] , адреса электронной почты, который использовал подрядчик АНБ Эдвард Сноуден. Примерно через год после их первого разговора Сноуден будет жить как беглец, разыскиваемый правительством США за то, что он раскрыл журналистам тысячи секретных документов.
В недавнем интервью Арес поговорил с экспертом по анализу угроз компании Recorded Future Дмитрием Смилянецом о Intercepter-NG, его переписке со Сноуденом и на другие темы. Беседа велась на русском языке и была переведена на английский с помощью профессионального переводчика. Приведенное ниже интервью было слегка отредактировано для большей длины и ясности.
Дмитрий Смилянец: Расскажите об Intercepter-NG - зачем вы его создали и каким вы видите его развитие в будущем?
Арес: Intercepter-NG - это сниффер, анализатор сетевых пакетов, инструмент для проведения сетевых атак типа «человек посередине». Он также включает в себя множество других функций, таких как сетевые атаки методом перебора и восстановление файлов из трафика. Представьте, что вы объединили Cain & Abel, Wireshark, Network Miner, THC-Hydra и ряд других отдельных утилит друг с другом, и вы получите Intercepter-NG. Помимо прочего, в нем есть уникальные сетевые атаки, которых, в принципе, нет ни в одном другом инструменте. В этом году проекту исполняется 15 лет.
В середине 2000-х для Windows было очень мало интересных сетевых инструментов, я хотел сделать один, а главное, сделать его бесплатным. У меня есть идеи на будущее. Может, я конвертирую его в кроссплатформенный проект с открытым исходным кодом, может, что-нибудь еще ...
Как используется ваш продукт?
Арес: Спектр применения Intercepter-NG очень широк. Как я уже сказал, он имеет очень разнообразный функционал, но, несмотря на кажущуюся простоту и обилие графических элементов управления, от пользователя требуется очень специфическая техническая подготовка. Среди пользователей есть системные администраторы, специалисты по информационной безопасности, тестеры на проникновение, но, к сожалению, его могут использовать и люди со злым умыслом.
Члены Blue Teams могут использовать Intercepter-NG в некотором смысле как горшок с медом, отслеживая попытки подключения к различным службам или попытки подбора паролей. Члены Red Team могут напрямую выполнять наступательные действия в сети: перехватывать трафик, получать удаленный доступ и так далее.
Расскажите подробнее о вашем общении с Эдвардом Сноуденом.
Арес: В середине 2012 года один из англоязычных пользователей моей программы написал мне и сказал, что при определенных условиях программа дает сбой. Внес необходимые изменения и исправил недоработку. За этим последовал ряд недавно обнаруженных с его стороны ошибок.
Электронная переписка, предоставленная Аресом.
Как правило, сбои происходили с большими объемами данных - гигабайтами и десятками гигабайт. Я спросил, откуда этот трафик, на что мой собеседник ответил, что это с выходного узла сети Tor. Чтобы решить некоторые программные ошибки, мне нужно было получить часть данных, из-за которых программа вылетела. Таким образом, в моем распоряжении было определенное количество файлов pcap, с помощью которых я смог улучшить производительность своего приложения [примечание редактора: Tor - это анонимная сеть, которая сохраняет конфиденциальность личности пользователя, шифруя трафик и передавая его через путевые точки, чтобы сделать трудно отследить. Файлы захвата пакетов, или pcap, создаются анализаторами сети для сбора и записи пакетных данных из сети]. Через некоторое время разговор прекратился, но 30 мая 2013 года я написал ему сообщение с просьбой передать какие-то файлы с трафиком, потому что я готовился к выпуску новой версии Intercepter-NG и хотел протестировать новые обработчики протоколов, но ответа не было, и я забыл об этом разговоре. Только через полгода, листая старую переписку, я заметил имя моего собеседника [email protected]. Это было сюрпризом!
Как вы думаете, он использует ваш продукт сегодня?
Арес: Откуда мне знать? Наша переписка закончилась в 2012 году… Воспользуюсь случаем, чтобы передать ему привет!
Что вы думаете о его действиях и о нем как о профессионале?
Арес: Он определенно отличный технический специалист, а не какой-то рядовой системный администратор. Думаю, его позицию знают все, моя оценка его действий не имеет значения.
Вы открыли канал на YouTube и выпустили несколько интересных видео и интервью, но не раскрываете себя. Почему?
Арес: Во-первых, это привычка. Мы якобы хакеры, мы должны скрываться и оставаться анонимными, хотя скрывать особо нечего. Во-вторых, однажды меня пригласили участвовать в подкасте, а потом я изменил голос. В результате получился такой загадочный образ, к которому теперь добавили маску. Это так классно. Думаю, совершенно очевидно, что после запуска канала YouTube выход из тени не так уж и далек.
Арес прячет лицо и маскирует голос в видео на YouTube.
Моя основная деятельность не связана с IT, мой проект и текущая медиа-деятельность - это скорее хобби. Кроме того, я занимаюсь научными и полунаучными исследованиями. Это все, что я могу сказать.
Как изменилась хакерская сцена за последние 20 лет?
Арес: На мой взгляд, он не только изменился, но и умер - навсегда. Для меня сцена хакерства существовала с конца 1990-х до конца 2000-х. Это было время, когда лучшие хакеры, программисты, взломщики и вирусописатели объединялись в группы и обменивались информацией, взаимодействовали друг с другом и жили ею. В каждой стране были центральные сцены, и эти люди тусовались в основном на IRC. Золотым веком было начало 2000-х, когда заговорили о таких группах, как TESO, uNf, THC, w00w00, 29a, ADM, Phenoelit и других. Это был бум в развитии многих методов эксплуатации уязвимостей, и большое количество уязвимостей RCE было обнаружено в самых популярных программных продуктах. После этого стали активно разрабатываться новые механизмы защиты. Многие члены хакерского сообщества начали создавать собственные компании по информационной безопасности или устроились на работу в ИТ-гиганты. Кто-то решил заняться незаконной деятельностью… Поэтому люди разошлись, эти группы стали выпускать все меньше и меньше инструментов. Intercepter-NG, кстати, сначала позиционировался именно как релиз от хакерской группы, в которой я был программистом.
Что вы думаете о программах-вымогателях? Какой вариант вы считаете наиболее технически совершенным и почему?
Арес: С технической точки зрения программа-вымогатель для крипто-шкафчиков - это очень примитивный тип вредоносного ПО, его мог написать даже школьник, поэтому самые первые криптоблокеры были настолько плохими, что вирусные аналитики постоянно находили в них ошибки, благодаря что можно было восстановить зашифрованные данные. Понятно, что опытные программисты вредоносных программ начали использовать асимметричное шифрование, при котором возможность самостоятельно расшифровывать данные тренда практически равна нулю. С этической точки зрения я категорически не люблю крипто-шкафчики и осуждаю людей, которые используют их для шантажа и вымогательства.
Какой совет вы бы дали компаниям, которые еще не подвергались атакам программ-вымогателей? Как они могут защитить свою корпоративную сеть от атак?
Арес:К сожалению, человеческий фактор почти всегда является самым слабым звеном. Вы должны работать с персоналом и исключить ситуации, когда рядовой сотрудник выполняет файлы неизвестного происхождения и содержания. Важные данные следует регулярно резервировать. Все это довольно очевидно.
Раньше вы обучали молодых специалистов по информационной безопасности. Как вы думаете, сможет ли Россия обеспечить работой выпускников в 2021 году? Или им нужно будет и дальше искать незаконные возможности?
Арес: Обучал молодых специалистов - это преувеличение. Однажды я читал лекцию студентам в одном университете, не более того. Что касается работы… Я не думаю, что государство должно быть обязано выделять рабочие места для новоиспеченных специалистов. Есть ли вакансии молодых IT-специалистов в госструктурах? Я уверен, что есть. Должны ли завтрашние выпускники устраивать свою жизнь самостоятельно? Им следует. Если вас нигде не наняли, значит, вы, вероятно, плохо учились и не являетесь специалистом. Это капитализм.
Что вы думаете об атрибуции атаки SolarWinds?
Арес: Я не использую подобные хаки, мне это не интересно. Что касается обвинений российских хакеров во всех грехах - это устоявшаяся традиция. Американские президенты писают в коридорах, и они повсюду видят хакеров в ушанках.
Расскажи мне секрет.
Арес: «Я Бэтмен. Ваш секрет в безопасности.
(c) https://therecord.media/an-intervie...der-who-built-a-swiss-army-knife-for-hackers/
У пользователя возникли трудности - инструмент вылетал, когда он пытался использовать его для анализа больших объемов данных, - и Арес быстро ответил. «Человек, ты быстро исправь!» пользователь написал в ответ.
По словам Ареса, сообщения пришли с [email protected] , адреса электронной почты, который использовал подрядчик АНБ Эдвард Сноуден. Примерно через год после их первого разговора Сноуден будет жить как беглец, разыскиваемый правительством США за то, что он раскрыл журналистам тысячи секретных документов.
В недавнем интервью Арес поговорил с экспертом по анализу угроз компании Recorded Future Дмитрием Смилянецом о Intercepter-NG, его переписке со Сноуденом и на другие темы. Беседа велась на русском языке и была переведена на английский с помощью профессионального переводчика. Приведенное ниже интервью было слегка отредактировано для большей длины и ясности.
Дмитрий Смилянец: Расскажите об Intercepter-NG - зачем вы его создали и каким вы видите его развитие в будущем?
Арес: Intercepter-NG - это сниффер, анализатор сетевых пакетов, инструмент для проведения сетевых атак типа «человек посередине». Он также включает в себя множество других функций, таких как сетевые атаки методом перебора и восстановление файлов из трафика. Представьте, что вы объединили Cain & Abel, Wireshark, Network Miner, THC-Hydra и ряд других отдельных утилит друг с другом, и вы получите Intercepter-NG. Помимо прочего, в нем есть уникальные сетевые атаки, которых, в принципе, нет ни в одном другом инструменте. В этом году проекту исполняется 15 лет.
В середине 2000-х для Windows было очень мало интересных сетевых инструментов, я хотел сделать один, а главное, сделать его бесплатным. У меня есть идеи на будущее. Может, я конвертирую его в кроссплатформенный проект с открытым исходным кодом, может, что-нибудь еще ...
Как используется ваш продукт?
Арес: Спектр применения Intercepter-NG очень широк. Как я уже сказал, он имеет очень разнообразный функционал, но, несмотря на кажущуюся простоту и обилие графических элементов управления, от пользователя требуется очень специфическая техническая подготовка. Среди пользователей есть системные администраторы, специалисты по информационной безопасности, тестеры на проникновение, но, к сожалению, его могут использовать и люди со злым умыслом.
Члены Blue Teams могут использовать Intercepter-NG в некотором смысле как горшок с медом, отслеживая попытки подключения к различным службам или попытки подбора паролей. Члены Red Team могут напрямую выполнять наступательные действия в сети: перехватывать трафик, получать удаленный доступ и так далее.
Расскажите подробнее о вашем общении с Эдвардом Сноуденом.
Арес: В середине 2012 года один из англоязычных пользователей моей программы написал мне и сказал, что при определенных условиях программа дает сбой. Внес необходимые изменения и исправил недоработку. За этим последовал ряд недавно обнаруженных с его стороны ошибок.
Электронная переписка, предоставленная Аресом.
Как правило, сбои происходили с большими объемами данных - гигабайтами и десятками гигабайт. Я спросил, откуда этот трафик, на что мой собеседник ответил, что это с выходного узла сети Tor. Чтобы решить некоторые программные ошибки, мне нужно было получить часть данных, из-за которых программа вылетела. Таким образом, в моем распоряжении было определенное количество файлов pcap, с помощью которых я смог улучшить производительность своего приложения [примечание редактора: Tor - это анонимная сеть, которая сохраняет конфиденциальность личности пользователя, шифруя трафик и передавая его через путевые точки, чтобы сделать трудно отследить. Файлы захвата пакетов, или pcap, создаются анализаторами сети для сбора и записи пакетных данных из сети]. Через некоторое время разговор прекратился, но 30 мая 2013 года я написал ему сообщение с просьбой передать какие-то файлы с трафиком, потому что я готовился к выпуску новой версии Intercepter-NG и хотел протестировать новые обработчики протоколов, но ответа не было, и я забыл об этом разговоре. Только через полгода, листая старую переписку, я заметил имя моего собеседника [email protected]. Это было сюрпризом!
Как вы думаете, он использует ваш продукт сегодня?
Арес: Откуда мне знать? Наша переписка закончилась в 2012 году… Воспользуюсь случаем, чтобы передать ему привет!
Что вы думаете о его действиях и о нем как о профессионале?
Арес: Он определенно отличный технический специалист, а не какой-то рядовой системный администратор. Думаю, его позицию знают все, моя оценка его действий не имеет значения.
Вы открыли канал на YouTube и выпустили несколько интересных видео и интервью, но не раскрываете себя. Почему?
Арес: Во-первых, это привычка. Мы якобы хакеры, мы должны скрываться и оставаться анонимными, хотя скрывать особо нечего. Во-вторых, однажды меня пригласили участвовать в подкасте, а потом я изменил голос. В результате получился такой загадочный образ, к которому теперь добавили маску. Это так классно. Думаю, совершенно очевидно, что после запуска канала YouTube выход из тени не так уж и далек.
Арес прячет лицо и маскирует голос в видео на YouTube.
Моя основная деятельность не связана с IT, мой проект и текущая медиа-деятельность - это скорее хобби. Кроме того, я занимаюсь научными и полунаучными исследованиями. Это все, что я могу сказать.
Как изменилась хакерская сцена за последние 20 лет?
Арес: На мой взгляд, он не только изменился, но и умер - навсегда. Для меня сцена хакерства существовала с конца 1990-х до конца 2000-х. Это было время, когда лучшие хакеры, программисты, взломщики и вирусописатели объединялись в группы и обменивались информацией, взаимодействовали друг с другом и жили ею. В каждой стране были центральные сцены, и эти люди тусовались в основном на IRC. Золотым веком было начало 2000-х, когда заговорили о таких группах, как TESO, uNf, THC, w00w00, 29a, ADM, Phenoelit и других. Это был бум в развитии многих методов эксплуатации уязвимостей, и большое количество уязвимостей RCE было обнаружено в самых популярных программных продуктах. После этого стали активно разрабатываться новые механизмы защиты. Многие члены хакерского сообщества начали создавать собственные компании по информационной безопасности или устроились на работу в ИТ-гиганты. Кто-то решил заняться незаконной деятельностью… Поэтому люди разошлись, эти группы стали выпускать все меньше и меньше инструментов. Intercepter-NG, кстати, сначала позиционировался именно как релиз от хакерской группы, в которой я был программистом.
Что вы думаете о программах-вымогателях? Какой вариант вы считаете наиболее технически совершенным и почему?
Арес: С технической точки зрения программа-вымогатель для крипто-шкафчиков - это очень примитивный тип вредоносного ПО, его мог написать даже школьник, поэтому самые первые криптоблокеры были настолько плохими, что вирусные аналитики постоянно находили в них ошибки, благодаря что можно было восстановить зашифрованные данные. Понятно, что опытные программисты вредоносных программ начали использовать асимметричное шифрование, при котором возможность самостоятельно расшифровывать данные тренда практически равна нулю. С этической точки зрения я категорически не люблю крипто-шкафчики и осуждаю людей, которые используют их для шантажа и вымогательства.
Какой совет вы бы дали компаниям, которые еще не подвергались атакам программ-вымогателей? Как они могут защитить свою корпоративную сеть от атак?
Арес:К сожалению, человеческий фактор почти всегда является самым слабым звеном. Вы должны работать с персоналом и исключить ситуации, когда рядовой сотрудник выполняет файлы неизвестного происхождения и содержания. Важные данные следует регулярно резервировать. Все это довольно очевидно.
Раньше вы обучали молодых специалистов по информационной безопасности. Как вы думаете, сможет ли Россия обеспечить работой выпускников в 2021 году? Или им нужно будет и дальше искать незаконные возможности?
Арес: Обучал молодых специалистов - это преувеличение. Однажды я читал лекцию студентам в одном университете, не более того. Что касается работы… Я не думаю, что государство должно быть обязано выделять рабочие места для новоиспеченных специалистов. Есть ли вакансии молодых IT-специалистов в госструктурах? Я уверен, что есть. Должны ли завтрашние выпускники устраивать свою жизнь самостоятельно? Им следует. Если вас нигде не наняли, значит, вы, вероятно, плохо учились и не являетесь специалистом. Это капитализм.
Что вы думаете об атрибуции атаки SolarWinds?
Арес: Я не использую подобные хаки, мне это не интересно. Что касается обвинений российских хакеров во всех грехах - это устоявшаяся традиция. Американские президенты писают в коридорах, и они повсюду видят хакеров в ушанках.
Расскажи мне секрет.
Арес: «Я Бэтмен. Ваш секрет в безопасности.
(c) https://therecord.media/an-intervie...der-who-built-a-swiss-army-knife-for-hackers/
