Во время встречи с корреспондентом НВ в одном из кафе на Крещатике Евгений Докукин, 32-летний хакер и основатель Украинских кибер войск (УКВ), отказывается заказать себе хотя бы чашку чая. «Сколько миллионов украинцев сидят в кафешках, а я годами лишней копейки не трачу», – говорит он, объясняя, что вкладывает все свободные деньги в киберборьбу с Россией.
Посреди разговора он показывает свой мобильный телефон – старую Nokia. Экономия во всем.
Докукин жалуется на отсутствие внимания государства и прессы к УКВ. Редко какой пост хакера на его странице в социальной сети Facebook собирает хотя бы сотню лайков. Он также ведет свой сайт websecurity.com.ua. Американский сайт Daily Beast назвал Докукина одиноким кибервоином.
Зарабатывает на жизнь Докукин тем, что ищет уязвимости в системе Приватбанка. Ранее ему удавалось находить дыры в системах американских, британских и украинских спецслужб.
Но все мысли хакера – об УКВ. Он создал УКВ в июне 2014-го и многое успел с тех пор. По состоянию на январь 2016-го, киберсилы Докукина заблокировали более $11 млн на счетах людей, имеющих отношение к сепаратистскому движению. Заблокированы тысячи сайтов и аккаунтов сепаратистов в социальных сетях. Получены гигабайты данных так называемых разведки Министерства государственной безопасности и Народного совета ДНР. «Почти всю работу приходится делать самому», – подчеркивает Докукин.
НВ публикует рассказ Докукина о том, чем занимаются хакеры, чего удалось достичь УКВ в борьбе с Россией и что не так в отношении государства к проблеме кибербезопасности.
– В программировании я самоучка и уже к 1994 г. знал многое из того, что мне пригодилось для дальнейшей работы в IT-сфере. Я окончил университет Украина в 2008 г. с красным магистерским дипломом по программированию. Хотя я и самоучка, университет тоже многому меня научил. Но к кибербезопасности это никакого отношения не имело. В университете преподавали программирование, системное администрирование, разработку веб-сайтов, чем я начал заниматься еще в 1990-х.
Однако с 2005 г. я стал заниматься кибербезопасностью, чем и зарабатываю себе на жизнь. Называю себя аудитором безопасности и редко использую слово «хакер». Журналисты испоганили это слово в погоне за сенсацией, с тех пор оно является синонимом слова «злоумышленник».
Основав УКВ в июне 2014-го, уже к сентябрю 2015-го я остался практически без помощников. С момента запуска только, может, один человек меня вспоминает и иногда приходит помочь. Волонтерский энтузиазм давно закончился, всем нужно заниматься работой. Хотя и в начале многие обещали помощь, но реально ничего не делали, ссылаясь на свою занятость.
Но заходишь к ним в социальные сети – столько разговоров, веселых постов. На это время у них находится. Я не против развлечений – очень много слушаю музыку, даже когда за компьютером работаю. Сам пишу музыку. Но надо же и для страны что-то делать.
А необязательно ведь только взломами заниматься. Можно вообще ничего не уметь и помогать. У меня было много разных операций, которым можно помочь либо усилиями, либо деньгами. Можно, например, смотреть за веб-камерами на Донбассе, контроль над которыми я получил. Можно заплатить сто или тысячу долларов в сутки агентам, которые проводят DDOS-атаки (во время таких атак на веб-сайт, ставший целью, обращается большое количество запросов, в результате чего он блокируется).
Хитрые технологии DDOS-атак
Сам я веб-криминалом не занимаюсь. Можно укладывать сайты и без бот-сетей. Я обучаю это делать тех, кто ко мне приходит. Сепаратистским сайтам приходилось тратить десятки тысяч долларов после наших атак на смену хостинга, доменов, защиту. Сейчас уже найти сайт, который можно было бы положить без DDOS-атаки, очень сложно.
Есть неклассические технологии DDOS-атак, когда используется не модель «командный центр и зомби», а атака происходит с одного IP-адреса, хотя жертва будет видеть, что разные IP-адреса атакуют сайт и не сможет их легко заблокировать.
Есть моя разработка Davoset, созданная в 2010 г. Были другие программы, которые генерировали очень большой трафик. Мои провайдеры ругались насчет подозрительного трафика, когда я их использовал. Можно атаковать с простого мобильного телефона, даже не со смартфона.
Нанятая на стороне DDOS-атака – это дорогое удовольствие. При этом 90% людей, которые владеют бот-сетями и предоставляют такие услуги – это люди сомнительного характера, у них часто завышенные цены, они морочат голову. Часто я платил свои деньги, чтобы заблокировать сайт, на который своих сил у меня не хватало.
В отличие от меня, у российских пропагандистов миллионные бюджеты – Life News, Russia Today. И даже если по тысяче долларов в сутки тратить на атаки, у них все равно денег больше, чтобы отбиваться.
Телефонные методы в арсенале Украинских кибер войск
Первые наши операции – это была блокировка телефонов террористов с помощью SMS-сообщений и звонков. Я написал программу, установив которую телефон сам шлет сообщения через нужные шлюзы. Люди только запускали программу – и все. Был у нас также специальный плагин для Skype, чтобы атаковать телефоны террористов.
Номера телефонов террористов мы находили в открытом доступе в интернете, ведь с 2014-го они активно проводили запись в ополчение, давали свои контакты. После наших атак террористы нервничали, выбрасывали SIM-карты, меняли номера.
Записали как-то телефонный разговор сотрудников одного из министерств ДНР. Обратились к прессе – там не заинтересовались. Отдал в итоге запись в СБУ.
Вялая реакция украинских спецслужб и прессы
При этом у силовиков ведь десятки миллиардов гривен бюджетных денег, но они не сделали ни черта для кибер-АТО. Они только и могут, что клянчить у меня или кого-то другого – заDDOSьте то, взломайте это. Они даже не способны закрыть сайты и домены террористов в Украине, поймать сепаратистов на подконтрольной территории. Я сейчас общаюсь с новосозданной киберполицией, даю им списки сайтов – не обязательно сепаратистских, но просто мошеннических – так они тоже ничего не хотят делать.
Иногда говорят мне «спасибо», но не каждый раз. В 2015-м процент «спасибо» уменьшился, в 2016-м упал практически до нуля. И это при том, что у меня есть свои контакты в СБУ, какой-то уровень доверия, меня им рекомендовали. Отвечают штампом: «Проводятся оперативно-следственные действия». Но время идет, а результатов нет. Силовики ничего не сделали за два года для кибервойны с Россией. От Службы внешней разведки я тоже толку не заметил.
У меня за это время было до двух десятков операций, для каждой нужно было обучить людей. Операция Кибершторм – блокировка телефонов сепаратистов при помощи SMS. Операция Киберураган – то же самое, но при помощи звонков. Я все растраты несу сам. Кроме того, удалось уничтожить тысячи сайтов и социальных аккаунтов. Есть вагон и маленькая тележка данных о фамилиях и именах российских военных, участвующих в войне против Украины.
Мы получили доступ к более чем 600 гигабайтам данных с сепаратистских сайтов. Я выкладываю эти данные, их можно анализировать. Давал эти данные и СБУ. СБУ пару раз заявила, что кого-то даже поймала, и в частной беседе признала – мои данные были использованы. Служба внешней разведки, Министерство обороны тоже приватно благодарили меня, но ни одно государственное лицо публично мне или УКВ не сказало «спасибо».
В марте 2016 г. ДНР публично признала, что мы взломали их сервер, а также почту местного Министерства транспорта. В этой почте мы нашли доказательства того, что Украина фактически разрешила ДНР осуществлять железнодорожные перевозки по украинской территории к границе с ЕС. Ни одно СМИ ни слова об этом не написало. Журналисты обычно говорят: это не моя специфика. И все.
Сайт Inform Napalm делал публикации по нашим данным. Есть еще такой ресурс Миротворец (на момент написания текста руководство сайта заявило о его закрытии в связи с критикой, вызванной публикацией данных журналистов, получавших аккредитацию у сепаратистов), у них есть свои хакеры. Я им тоже много давал, но они жалуются, что у моих данных недостаточно доказательств. Но я считаю, что когда есть письмо в почтовом ящике, в котором кто-то просит записать его в ополчение, то это достаточная улика. Важно то, что некоторые украинские суды, компании, банки блокируют счета сепаратистов, ссылаясь на данные сайта Миротворец. Даже российские банки иногда делают это.
На сайтах, контролируемых российской ФСБ, обо мне писали целые статьи, с моими фотографиями, которые я сам же и размещал в интернете. Пишут и про других украинских патриотов, публикуют наши адреса. Я все это блокирую, насколько могу.
На чьей стороне PayPal?
Отдельная тема – страны, которые спонсируют терроризм. Я передавал информацию об этом трем разным агентам СБУ, но в итоге опубликовал ее сам. Например, были данные с транзакций платежной системы PayPal, направленные на поддержку сепаратизма. Указано, кто отправлял деньги, кто получал и валюта перевода. Естественно, российские рубли, но также американские доллары, канадские доллары, австралийские доллары, евро. Из всех этих стран сепаратисты получают деньги.
Советник тогдашнего главы СБУ Валентина Наливайченко обещал обратиться по этому поводу к американскому ФБР, но ничего так и не было сделано. Я сам написал в PayPal, попросил заблокировать счет. Они сначала молчали, затем ответили: мы не будем ничего делать, потому что вы не являетесь нашим клиентом. Я ответил: слушайте, вот я пишу в Яндекс Деньги и украинские платежные системы, так они блокируют счета террористов, хотя я этими системами тоже не пользуюсь. Короче, у PayPal очень наглая и буратинистая служба поддержки.
Со мной работает один человек с 2014-го. Он живет в Германии, куда эмигрировал еще лет двадцать назад. Сначала он участвовал в телефонных операциях, Skype-операциях, но понял, что ему это не очень интересно и захотел большего. Я ему предложил заняться PayPal. Его письма игнорировали, и он позвонил в ближайший офис PayPal в Люксембурге и поговорил с ними на немецком языке. Через месяц или два после этого счет был заблокирован.
В целом через PayPal проходит больше миллиона долларов месяц пожертвований на поддержку сепаратистов, система берет с них свой процент, а закрывает только копеечные счета. Большие счета не блокируются.
Без поддержки банков выиграть в кибервойне сложно
Украинские банки тоже часто отказываются блокировать счета террористов, сколько я им не писал. По моим данным, большинство таких счетов находятся в Приватбанке, но замечены также Ощадбанк, БМ Банк. В СБУ сказали с такими вопросами обращаться в Государственную службу финансового мониторинга. Написал я их директору – сначала он ответил, что как раз собирается в отпуск. Потом сказал, что только-только вернулся из отпуска. Затем написал, что ответит немного позже.
Я вышел с этим вопросом на службу безопасности Приватбанка. Я хорошо знаю этих ребят, потому что с 2012 г. сотрудничаю с ними по программе поиска уязвимостей. Они заблокировали половину счетов, которые я им дал. Это были счета мошенников, которые называли себя волонтерами и якобы собирали деньги для АТО, а также те, кто прямо собирал средства для сепаратистов. Но с декабря 2014-го и Приватбанк начал отказываться блокировать счета.
Находить такие счета становится все сложнее. Если раньше сепаратисты просто размещали их в интернете и программа поиска их копипейстила, то сейчас они делают видеоролики, а в этих роликах показывают бумажку с банковскими реквизитами. Поиском такие данные найти нельзя.
Кибервойна и американские технологические гиганты
Некоторые писали мне в Twitter письма, делали посты, что у нас есть твой адрес, жди нас, готовься, ты труп. Я тогда написал в службу поддержки Twitter об этом, но они не увидели никакого нарушения. В конце концов, они таки заставили человека убрать пост с угрозами, но аккаунт не заблокировали. Twitter, Facebook, Google – они очень редко блокируют сепаратистов.
Вот, например, известный сепаратист и тролль Анатолий Шарий обливал меня и УКВ вагонами помоев. Особенно остро он реагировал на наши данные с доказательствами того, как по Донецку едут российские войска.
YouTube Шария почему-то блокировать не хочет, хотя там ужасная пропаганда. Но я им даже не пытался доказывать, что это пропаганда и вранье. Я пожаловался, что Шарий использует в своих роликах мои фото, а это нарушает мои авторские права. В YouTube прочитали это и заблокировали Шария вначале. Но затем он им как-то доказал, что прав на мои фото у меня нет, и его видеоканал разблокировали.
На мои аккаунты были многочисленные атаки с аккаунтов сепаратистов с тысячами фолловеров. Они писали жалобы, чтобы меня заблокировали, надеясь, что количество фолловеров станет дополнительным фактором. Но пока ни одна социальная сеть не осмелилась меня заблокировать. Надо уметь! Но секрет прост – английский интерфейс. Раз в моем профиле английский интерфейс, то все запросы с жалобами на меня рассматривает англоязычная служба Facebook или Twitter, а там ватников нет. Правда, они и сепаратистов не блокируют.
А сепаратисты используют и Facebook, и Twitter, и Word Press, и LiveJournal, и Google с их сервисами Blogger, Blogspot, YouTube и Google Maps, на котором террористы наносят позиции украинских военных.
LiveJournal, хоть он и российский, иногда блокирует страницы с персональными данными украинских патриотов, о чем я прошу. Яндекс Деньги, WebMoney, QIWI блокируют счета сепаратистов в ответ на мои письма.
Надо подавать в суд на американские компании, на чьих серверах размещается сепаратистский контент. Но у них миллионные бюджеты на юридическую поддержку, засудить их сложно. СБУ, опять же, пассивно в этом направлении. Боятся, наверное, что их напряжет судебная тяжба., что это дорого. Так найдите юристов, которые вам бесплатно помогут.
Потому что атаковать Google или Twitter DDOS-атаками нереально. Надо до 10 тысяч долларов в сутки тратить чтобы на их сервисах начались хотя бы минимальные тормоза. Да и нерационально это, ведь миллионы людей легально пользуются их услугами, и они пострадают.
Но есть хорошие новости – кажется, мне удалось найти человека, который займется судебными делами против американских компаний. Доказательствами я его обеспечу. Посмотрим.
И есть же санкционный список США. В него, например, включены бывшие украинцы Олег Царев и Наталья Поклонская, прокурор Крыма. Мы написали в Facebook, чтобы они заблокировали аккаунт Царева на этом основании. Они заблокировали, но его фанаты создали новый. И Facebook перестал реагировать. Twitter то же самое. У Поклонской куча аккаунтов, аналогичная история. Посол США в Украине Джеффри Пайетт тоже мои обращения игнорировал.
Так что надо судиться и подавать иски на нормальные суммы, чтобы и услуги адвокатов оплатить, и чтобы что-то осталось на помощь раненым украинским военным и добровольцам.
Монетизация уязвимостей – важная статья хакерских доходов
Я зарабатываю на поиске дыр с 2006 г. Тогда я еще пытался зарабатывать разработкой веб-сайтов, но в 2007-м решил сосредоточиться на аудите безопасности.
Я находил Приватбанку, который запустил программу поиска уязвимостей в 2012 г., очень большое количество дыр на нормальные суммы денег. Много тысяч гривен. Хотя оплата у них раз в пять меньше, чем у российского Яндекса. А Яндекс, в свою очередь, платит раз в пять меньше, чем американский Google. Приватбанк хоть и платит меньше, и дыр у них больше, но он по крайней мере не обманывает.
До 2012 г. в Украине уязвимости не было кому продавать, можно было работать только на западные страны. Я общался с Google еще даже до того, как они официально запустили свою программу поиска уязвимостей. Говорил – ребята, вот вам дыра. Они ответили, что это не дыра, а задуманная часть функционала. Тогда при помощи своей программы Davoset я таких дыр нашел десятки и опубликовал информацию. Google втихаря дыры исправил. Суть была в том, что их сервисы могли быть использованы для DDOS-атак как зомби. Исправив, они мне не заплатили ни копейки, даже «спасибо» не сказали.
В 2012-м я начал писать Яндексу об их дырах. Нашел одну дыру – небольшую, но в критическом сервисе. По их расценкам, фиксация такой дыры стоит тысячи две долларов, это средний уровень уязвимости. Они, как и Google, втихаря ее исправили и ничего не заплатили. Отвечают, мол, дыры вашей нет. Я им отослал скриншот, который показывает, что дыра есть. Они ее исправили за несколько часов после получения от меня информации, а меня пытались убедить в итоге, что эту дыру им подсказал кто-то другой. После этого я их не уважаю.
Я находил кучу уязвимостей на украинских государственных сайтах, но даже «спасибо» крайне редко получал. Они вообще не заботятся о безопасности. При этом создали целое отделение в рамках Госслужбы связи и защиты информации, создали команду реагирования на киберугрозы CERT-UA. Однако все что они могут – это только хвастаться закрытием каких-то незначительных дыр.
Ненормированный рабочий день
В первую же ночь после разговора, примерно в половине второго, Докукин написал корреспонденту НВ в Facebook сообщение со ссылками на свежую информации об УКВ. Примерно в том же часу на следующий день Докукин написал еще раз. Рабочий день с 10-00 до 18-00 – не для хакеров.
«Не буду рассказывать, скольких нервов мне стоит кибервойна, – замечает лидер УКВ. – О своем здоровье я с журналистами не разговариваю».