четверг, 23 декабря 2021 г.

Intercepter-NG 1.1 for Windows



Added:

+ Captive Portal mode (killer feature!)

+ Smart Scan is GREATLY improved (speed and quality)

+ Loopback live capture

+ TZSP encapsulation support

+ SSL support for built-in web-server (FATE\Captive Portal)

+ Whitelist for Auto Poison (misc\whitelist.txt)


Updated:

* Code for X-Scan, SSLStrip, HSTS Spoofing and GP Hijack

* Fingerprints database updated and is in use for scanning process

* OUI and fingerprints files are now available in misc\* folder

* fixed bug in DNS Spoofing and ARP Cage code

* fixed bug with empty MAC on Add Target

* A lot of fixes and improvements, GUI optimized for high resolution

* Native pcapng support (npcap)

* OpenSSL\Npcap\Zlib updated to the latest versions


- ARP Defender

* Tested on Windows 11

 

среда, 18 августа 2021 г.

🎤КИБЕРФАШИЗМ | ВИРУСЫ | КАРДИНГ | ИНТЕРВЬЮ С HangUP | ЧАСТЬ 2🔥

Это текстовая версия интервью. Видео вариант доступен на Youtube

----

- Несколько лет у вас на заглавной странице висела свастика и фраза на английском: киберфашизм миллениум. Расскажи, в чем суть киберфашизма и откуда эта идея пошла.

- Киберфашизм - идеология, придуманная LovinGOD'ом после нескольких бутылок "Балтики". В письменном виде. Суть там была в том, что IT-специалист объявлялся сверхчеловеком нового тысячелетия. Насосался пива, он походу основательно, т.к. текста там весьма много. Воспринимать такое всерьез можно только если догнаться до нужного состояния тем же способом или быть не совсем здоровым на голову. Однако рациональное зерно там было - зачем, обладая серьезными знаниями, вкалывать за копейки в офисе, работая на кого-то заведомо более глупого? Зачем превращать себя в тупой придаток, обслуживающий какую-нибудь базу данных? Уж если IT-технологии превратились в отдельную форму власти, можно взять своё, изымая средства напрямую из финансовой системы. Фактически киберфашизм, в нашем понимании, это идеология кардинга. Текстовую версию можно отыскать в интернете, она так и называется "манифест киберфашизма", он талантливый автор, написано красиво.

- У тебя не сохранилось картинки со свастикой, которая висела не сайте у вас? в инете не нашел...

- Где-то была, но и в инете есть думаю. Есть книга, там даже прям с сайта скрины есть, вроде называется "malicious bots" от ken dunham и jum melnik, потом "Fatal system error", не помню кто автор, и еще какая-то. В принципе можно еще KingPin взять, она на русском. Там упомянуто очень много людей которых я знал. 

- Интересуешься деятельностью ранее пойманных кардеров? Например Павлович активно работает на ютьюбе, у Хорохорина какая-то тоже активность есть, Смилянец берет интервью у различных хакеров.

- Нет. С полисдогом мы вроде как дел не имели, да и с badb напрямую, хотя какие-то доки по пластику с его сайта я изучал, но учитывая что у меня на планете прокси-сервис был, в принципе какое-то взаимодействие могло быть. Фактически все громкие приемы с экстрадицией - или знал или вообще общались даже основательно. Видишь, как бы мы так или иначе друг с другом там все пересекались, тот же скорпо знал габрика, габрик флинта, а с флинтом мне довелось плотно общаться. Ну что говорить, половина "доски почета" которые на сайте фбр "киберкрайм мост вонтед" - это или мои клиенты, или знакомые, ну или коллеги.

- А кроме тебя самого, из хенгап тусовки нулевых, до сегодняшних дней много дошло людей?

- Никого, тот состав который ты видел на irc он весь кончился в 2002-3 году, хотя называть это "составом группы" пожалуй нельзя, т.к. если брать за признак, что чел тусил на ирке на канале, то и тебя можно записать в группу, ты вон даже статью в журнал накатал. Люди поменялись, те которых ты видел до 2004 года никто не "дотянул", даже до 2003. т.е. до чего-то мало-мальски серьезного. Под "членством в группе" разумней брать критерий включающий хотя бы какие-то финансовые отношения. Впрочем были взаимодействия когда человек хотя и не входил в группу, но фактически привнес очень немало, на самом деле это очень скользкая тема - где провести грань, в группе человек или нет?

- Хз как у вас, в моей практике вступление в группу было "официальным" мероприятием, т.е. фаундер объявлял, что у нас новый мембер.

- Ну смотри, по факту отношения в кардерском сообществе, когда кто-то приходит и что-то у тебя покупает - они теснее чем такие сомнительные мембершипы, т.е. в некотором роде взаимодействие такое плотное, что местами трудно разделить где начинается одна группа и заканчивается другая. Из-за этого буржуины тоже путались и в hangup записывали всех подряд. Как в фильме в переводе гоблина - "это кто? - талибы, всем кого поймают, дают халат, тюбитейку, делают обрезание под корень и записывают в талибан". Ну вот и журналисты разные, следователи - расследователи, кого только в ht не записали, и 76service и флая с его хостингом и Russian Business Network.

- Ну я больше про другое, был все равно какой-то core состав начальный, но ты уже сказал, что никто из него в будущее не перешагнул, а просто люди по бизу, это уже не мемберы вроде как.

- Именно так. Ну к тому времени концепция групп и отмерла уже, по факту эффективная группа - это нечто динамическое, что объединяет на время - месяц, год или несколько лет. Вот тебе пример: Для червя lsass, что мы выпускали - сам lsass модуль поставил человек формально не входящий в команду. Ты может даже понял о ком я.

- Зомби?)

- С зомби очень плотно общались, но в команду он как бы не входил, кстати на сайте он линк на Hangup поставил сверху всех. Я подозреваю, что это скорее случайность такое расположение, но аверы думаю прихуели, там текстовый линк был прямо над 29a ссылкой.

- Про code red что можешь сказать?)

- В принципе я, наверное, знаю кто автор, но не скажу, опустим этот скользкий вопрос, скажу лишь что это не я.

- Хорошо. Было ли какое-то общение с буржуями? С иностранными хакерами.

- В основном с иностранными клиентами, среди коих кстати компьютерная грамотность не всегда в чести. Как они умудряются работать - не совсем понятно, но тупили они жестко, самая сложная тех поддержка - это буржуинов, и вовсе не из-за языка. Ну например чтобы файл .vir переименовать в .exe - это целая эпопея, т.к. у них расширения скрыты, а они смотрят с эксплорера, найти и подключить показ расширений толком не могут, а без этого переименовать файл у них не получается, доходило иной раз, что они скрины высылали ну и по пунктам объясняешь.

- Сейчас бы наверняка видео сняли.

- Ну тогда ширина каналов видео не позволяла, да и вообще потом уже набил руку типовые проблемы разъяснять.

- Я брал интервью у Ar3s'а, который занимался поддержкой андромеды, он рассказывал, что какая-то белая израильская контора хотела купить андромеду для удобного обновления своего софта на клиентских машинах. Были ли в твоей практике какие-то подобные дикие запросы?

- Видишь ли, у меня нет привычки спрашивать паспорт у клиентов, так, по косвенным моментам, могу сказать, что мой софт используют всяко-разные разведки. Он под промшпионаж очень удобен, пару раз меня звали посупортить в панели, и будучи кардером видишь, что там деятельность не связанная с деньгами.

- Это старый софт или современный продукт?

- Там у меня много всякого софта, то что я написал относится к одному из них, используют его до сих пор. Впрочем даже старые

боты обладают дикой живучестью и ботнет там годами самоподдерживается. То есть не редкий случай лет через 5 домены поднимаешь - и боты приходят.

- Это скорее всего какой-то полумертвый госсектор или отдельно взятые пенсионеры...

- Нет, в том то и дело. Вирусные технологии способны на многое, могу сказать что в тестовый ботнет, где отладку веду уже много лет, подлива ботов не делал - а он все не кончается. Полезное свойство, когда пробив связок упал почти в ноль.

- Щас вообще существует рынок трафа именно на массовой эксплуатации дырок браузеров? Типа как раньше, заказываешь залив на 100к тачек в сутки.

- Рынок трафа есть, куда он денется, но тут надо поспрашивать клиентов, а не меня уже.

- Что можешь сказать про рынок спама? Он еще хоть как-то живет?

- Как ни странно, да. Не миллионные рассылки, а таргетированные, для проникновения в какую-либо контору.

- Просто в моем понимании, сейчас для доставки сообщения во входящие необходимо отсылать почту с некоего реального аккаунта, а не с открытого релея.

- Ну я знаю, что люди есть которые таким занимаются.

- Можно ли сказать, что текущий спам - только с украденных\сбрученных аккаунтов?

- Как они это делают технически - другой вопрос, может и правда с акков, а может нашли способ получше.

- Окей, являешься ли ты членом или основателем какой-либо APT* или FIN* группировки?

- Нет, но некоторые ребята из таких групп - мои клиенты, сейчас кстати второй золотой век кардинга. Доходы даже больше чем в начале 2000х - правда не у всех. Реально есть люди у кого миллионами долларов идёт. Это не шутка. Первый золотой век - это когда отсутствовала двухфакторка и атмы не проверяли трек толком, время сверхприбылей. А сейчас даже больше можно, рад за молодое поколение ;)

- В месяц или в год?

- Скорее в месяц, но размеры выкупов в принципе иногда публикуют.

- Каких выкупов? Ты про вымогателей?

- Ну ты новости читаешь? Взлом например сети garmin с локом, да.

- Это отдельная тема, их же нельзя кардерами назвать, о чем именно речь?

- "Кардинг" - это не только работа именно с картами, это вообще весь IT-fraud, рэнсомваре оно туда же входит. Терминологически, ботнеты - это не про кардинг, но по факту про него. Кардерское сообщество - это все все, от поставщиков прокси и ддосеров, до пластика и рэнсомваре.

- Т.е. по твоему любой человек, например кодер, который что-то написал для кардеров - тоже кардер?

- Как минимум входит в сообщество, кодер - в зависимости от степени вовлеченности, если годами в теме, то в общем-то да. Да и не бывает такого чтоб человек годами был в теме и не попробовал чего-то, хотя бы разок. Термин "кардер" сложился исторически, но по факту его стоит трактовать вот так - расширенно.

- Принято.

- Ну и что касаемо персоналий, ты же понимаешь, что ребята кто ransomware занимается - они не из вакуума вылупились, а из того же сообщества.

- А вот здесь спорный момент...

- В данном случае я знаю о чем говорю, хотя всегда могут быть исключения.

- Ты согласен, что ransomeware - с технической точки зрения абсолютно убог? Т.е. любой классический троян сложнее технически чем вымогатели.

- Категорически нет, современные образцы весьма сложны. Собственно я как раз одного человека консультировал по этим вопросам...

- Ты наверное говоришь про обход UAC и прочих механизмов защиты, учитывая современные реалии...

- Нет, я говорю в целом, там весьма технологичный продукт.

- В чем технология? Просканить файлы на диске, зашифровать их, и удалить возможные копии?

- Ну для начала возьми тоже шифрование - ассиметричная криптография, коммуникация с юзером, расползание по локалке, поиск бэкапов, автоприем биткоина ну и тд...

- А что с расползанием по локалке? Скан доступных шар и перезапись файлов?

- Там разные варианты, но и шары в том числе + эксплоит.

- Ну т.е. встроенный eternalblue ?

- Скажем так - там одной работы с антивирусами чтобы это не палилось хватит для весьма запредельной сложности. Разные там каскадные шифрования и прочая хрень, обход эмуляторов и тд...

- Но это уже накладные расходы для любой малвари. Ты согласен, что шифровальщик именно в техническом плане - не сложен?

- Видишь ли, в этом бизе последние годы эти накладные расходы составляют 90% всех расходов.

- Вооот, я не про накладые расходы, а про саму суть шифровальщиков.

- Ну скажем так попробуй накидать например свой модуль большой математики для шифрования скажем RSA, уже одного этого хватит чтобы заебаться по уши.

- А зачем свой?

- Чтобы не таскать разное говно с собой.

- Ну openssl можно пережить...

- Я подобный модуль для своего софта делал, пару недель заняло включая генерацию ключей вместе с отладкой. Там есть много неочевидных вещей, поверь я знаком с людьми которые в этой теме работают, это хорошие кодеры и профессионалы, свои миллионы они имеют вполне заслуженно.

- Т.е. в рамках идеи киберфашизма - ransomeware это норм?

- Вполне, чем этот вид заработка хуже любого другого cybercrime заработка?

- Он какой-то слишком гоп-стоп что ли, мне не раз предлагали, я отказывался. 

- Гоп-стоп статья это вообще-то грабеж, не совсем понял твою мысль ;)

- Да я образно, что это примитивно, в лоб, топорно...и неизвестно кто попадёт под пиздорез.

- Ну скажем так, когда с банкинга деньги снимают, тоже не особо смотрят у кого там, и с карт тоже самое...

- Просто было например время локеров - ну там данные никуда не девались, приходил опытный эникейщик и через сейфмод решал проблему, а здесь пиздец...

- Как бы разницы принципиальной нет, ну то есть локеры - это мелочевка, эти ребята работают по корпорациям, то есть они сначала ломают сеть, потом инфицируют и бах лочится вся сетка с бэкапами в считанные часы по сигналу. Встают продажи, забираются документы с угрозой опубликовать. Корпорации склонны заплатить если не слишком цены ломить, в общем это всё непросто.

- Скользкая тема, мне не очень нравится.

- Ну как бы у нас свободная страна и полная демократия - хочешь карты обчищай, хочешь онлайны, хотя имхо разницы принципиальной нет. Это в любом случае откачка денег из чьего то кармана. Мне интересно, что тебя в этой теме смутило? Чем например продажа андромеды принципиально отличается?

- Это слишком прямой и грязный отъем денег, именно для меня лично.

- Той же андромедой прогрузят что-то и результат тот же самый, просто будет как бы прокладка между тобой и целью фрода, дополнительная...

- Посредник и исполнитель\заказчик - разные вещи.

- Речь идёт о комфорте совести?

- Ну вот вчера у меня в чате в телеге нарисовался человек, сказал, что хочет кидать людей в европе на аукционах, типа продаю айфон со скидкой 50%, чистейший фрод...

- Ну главное, что в европе, на мой взгляд мелочно, но как бы и хрен с ним - мошенник обыкновенный.

- Я его забанил, т.к. презираю таких людей, они ничего из себя не представляют, никакими знаниями не обладают, а их называют киберпреступниками.

- Ты в курсе, что была раньше такая тема как "вещевой кардинг"? Она же - вещевуха.

- Да, вбивали в шопах цц.

- А ebay и до сих пор ебут, выставляя несуществующий товар. Сам таким не занимался, но знаю что там в общих чертах не всё так просто, то есть сначала нарываются доверенные акки powerseller или как их там...т.е. вот я так думаю, что если бы я захотел попробовать не факт бы что у меня получилось. Суждение о технологической простоте может быть весьма ошибочным и поспешным, другое дело, что на мой взгляд овчинка выделки не стоит, но если такой чел развернется, то 10-20-30к в месяц делать может.

- У нас у всех свои взгляды, я говорю о своих, тема скользкая в любом случае.

- Есть такая фраза - не суди да не судим будешь, в том плане, что делать оценочные суждения весьма чревато, для этого мощностей человечьего мозга не особо хватает, вот возьми аверов например, у них восприятие мира как у детей младшего дошкольного возраста - черное и белое, добро и зло. В груп иб (если верить сачкову) вообще постеры висят голливудских супергероев, ну тех что трусы поверх штанов одевают зачем-то, и каждый работник какого-то себе выбирает. У касперского так прямо и пишут мол "мы спасаем мир". Везде есть исключения, но вопрос тут не в этом, вот эти люди все они на каких критериях основываются когда делят какое-то явление на добро или зло?

- У них есть корпоративная политика и этика)

- Вот например кто-то спиздил денег - это добро или зло? Как понять...Я к тому, что чтобы делать такие заключения, что добро а что зло - надо как минимум знать в чем смысл жизни,  вопрос очень мутный, системы ценностей у разных групп людей могут быть весьма разные.

- С биологической точки зрения это вопрос выживания любой ценой.

- Биология о добре и зле не рассуждает, лично я смею надеяться, что вот это мое впечатление о груп иб и каспере ложное, т.к. иначе - всё очень печально, люди с таким примитивным восприятием мира как бы отвечают за весьма важную в стране функцию...

- Ты сказал, что тебе не нравится рэнсом, мол напоминает гопстоп.

- Да.

- В связи с чем возник закономерный вопрос, осознаешь ли ты на уровне логики, что между продажей скажем лоадеров, моих троев, рэнсомом и грабежом в подворотне разница по-сути не велика.

- Она есть для каждого отдельно взятого человека, исходя из его мировоззрения. Везде по сути можно отметить "преступление".

- Попробуй логически изложить, в чем разница скажем между рэнсомом и продажей андромеды.

- Я понимаю о чем ты...

- То есть ты осознаешь что это по большому счету заморочка? За которой реальной логики нет, одни эмоции, которые обосновать вряд ли получится.

- Да, в данном случае моя личная, что я ренсом недолюбливаю, хотя могу оправдать другие части киберкрайма. И это нормально. Это как любить одного музыканта, но не любить другого, хотя они оба занимаются музыкой.

- Если осознаешь, что это заеб - то проблем нет. Плохо если бы ты это не признавал заебом, а настаивал на истине в последней инстанции.

- Ну нет, с этим проблем нет. Это просто мое частное мнение такое.

- Как бы личные предпочтения они любые могут быть, для меня например нет ментальных тормозов в случае необходимости человека гоп-стопнуть, ну если других вариантов нет, разумеется.

- Ну, ты вырос в определенной среде и при определенных обстоятельствах, вполне возможно у тебя других путей и не могло быть, а я вырос в других, и у нас разные взгляды на одни и те же вещи.

- Образ жизни накладывает отпечаток, очень много риска, мне доводилось и с пластиком по атм побегать и проводить что-то вроде спецопераций вполне физических, а это требует довольно крепких нервов. Был случай в одной стране, я там мотоцикл купил и снимал выручку с карты - ту, что клиенты перебрасывали. Ну трек чисто пересылали, а я его на ленту и в атм. В общем только я котлету снял (40 листов, как раз - максимум что за раз выдает)

оборачиваюсь, а сзади 2 легавых, оба при оружии. У одного помповое ружьё и у второго что-то типа УЗИ на груди висит. Ну я думаю приплыли, в общем спокойно эту котлету убираю в карман - они это видят, и кладу руку правую в другой - а у меня там отвертка была заточенная, считай дистанция короткая - помповик неудобно если чего разворачивать, в общем легавый сначала дернулся, потом на правую руку глаза скосил и ничего делать не стал. Я спокойно вышел, сел на байк и уехал. Видимо подумали, что там пистолет.

- Сначала подумал, что возможно это Израиль, но в Израиле полиция бы не стала очковать как мне кажется.

- Нет, это не Израиль был. В общем эпизодов подобных этому дофига было.

- Да прикол еще в том был, что я был в глухом шлеме и там маска

ну чисто глаза торчат одни и всё, даже морды не видно. А я по опыту знаю, что перед атакой диаметр зрачка меняется, может легавые тоже в курсе были. В общем в итоге из-за обилия реального риска совсем не люблю разные аттракционы, фильмы ужасов и подобное, это развлекуха для офисного планктона, у кого жизнь слишком пресная.

- По поводу заебов и ренсома, согласись для нашей темы подобный заеб выглядит крайне странно. 

- Я бы не сказал прям странно, но вот именно ренсом для меня не очень тема, это некое отторжение, как например троян под винду на питоне.

- Ну весьма желательно хотя бы для себя разобраться, откуда ноги растут, т.к. подсознательные мотивации могут довести до цугундера. Чуть только ты перестаешь осознавать часть своих действий  - риски возрастают многократно.

- Вот я не зря привел пример про троян на питоне, есть всё равно некая градация, что писать на си\асм - круто, а на паскале или javascript так себе. Именно в плане некоего уровня, "элитарности" что ли...

- Тут можно сказать вот что, каждый инструмент он уместен в своей среде, вполне может быть что где-то будет тачка где трудятся разрабы на питоне, где очень уместно вковырять именно такой трой, чтобы он затерялся в обилии других скриптов.

- Я не спорю, это частности из практики...

- Всё зависит от условий среды, смотри любые суждения про степень элитарности или не элитарности они говна не стоят, потому как каким местом эту элитарность мерять и относительно чего совсем непонятно. Если начать всерьез такими соображениями заниматься можно упасть до уровня "лаборатории касперского" с их девизом "мы спасаем мир" (от чего правда не понятно, и просил ли кто спасать, тоже не ясно). Лучше разъяснить, так будет понятна логика многих поступков, добро и зло не существуют, добро для индивида может оказаться злом для всего общества и наоборот. Фактически всем оценочным суждениям подобного рода - место на помойке.

- Ну так можно оправдать любой поступок, находясь в стороне от события, вплоть до убийства кого-то, мол у человека были свои мотивы...

- Конечно, но тут интереснее другое. Зачем какой-то поступок вообще осуждать если мы не можем его объективно классифицировать как зло или добро? Это попросту невозможно...

- Мы можем утонуть в этом обсуждении и ничего не добьемся, я и ты не дураки, всю аргументацию я понимаю.

- Хотелось бы дополнить примером, это стоит сделать раз уж ты взялся за киберфашизм и идеологии. Вот смотри - заразилась некая тачка моим вирусом, казалось бы на первый взгляд - очевидное зло, однако я в свое время читал фидбэки на форумах от "благодарных пользователей" и выяснилось, что один чел благодаря этому нашел работу сисадмином когда боролся с червяком. Другой аж познакомился с девкой и умудрился жениться, третий поднял свои знания... Последствия наших действий расходятся как круги по воде, оценивать что-то как добро или зло - это очень, очень примитивно. Человек который берет на себя смелость такой оценки, фактически мнит себя богом, способным просчитывать все вот эти последствия на много шагов вперед, подобных примеров можно привести массу, но думаю ты и так уже понял, а лозунг того же касперского "мы спасаем мир" это скорее показание посетить психиатра, тому кто всерьез верит что он что-то там спасает..

- Правильно ли я понимаю, что исходя их твоих слов - любая правоохранительная система изначально мнит себя богом?

- Не совсем, полиция не занимается классификацией на добро и зло, у нее другая функция. То есть мент тебя посадит, не считая иной раз твой поступок чем-то плохим.

- Я подразумеваю суд и государство, диктующих законы и только  потом уже полицию как исполнителей. 

- Да, но это просто прайс лист в некотором роде, если меня попытаются ограбить, то порежу человека не задумываясь о том добро там или зло, и не буду его винить что он гад такой.

- Тут проще - либо ты либо тебя. Просто потому что это коснулось лично тебя.

- Суть ведь не в том чтобы отменить полицию, полиция нужна. Суть в том чтобы не вешать глупые ярлыки на явления уподобляясь идиотам.

- Ну вот с точки зрения государства - скам на авито - преступление, а ты предлагаешь не вешать ярлыки.

- Да, предлагаю не вешать, однако не предлагаю переставать садить за это.

- Т.е. государство берет на себя функции бога, хотя с твоей точки зрения жулики с авито - норм и мы приходим к тому, что это твое частное мнение.

- Точно также я ничего не имею против например антивирусной деятельности, просто не стоит выносить оценочные суждения ибо человеческий разум слаб и не в состоянии просчитывать сложные явления. Одно и тоже событие через год, два, три, десять может трактоваться по-разному ну и так далее...

- У меня есть следующий вопрос.

- Давай, бомби.

- Мне запомнился один момент, когда вышел фильм бумер 2 и мы с тобой о чем-то переписывались, ты тогда отметил, что многие посмотревшие не обратили внимание на фразу одного из героев - "вовка, не нужна тебе такая машина", этот мем кстати периодически фигурирует у меня в чате, когда какой-нибудь зеленый юзер задает элементарные вопросы про intercepter и в ответ ему кидается соответствующая картинка с этой цитатой, но вопрос не в этом. Я знаю, что кардеры в нулевых зачастую имели контакты с реальным криминалом, т.к. продавали карженый товар бандитам. Были ли в твоем случае такие контакты?

- Да, с бандитами контакты были, и далеко не всегда приятные. Дело дошло до того, что пришлось создавать собственную СБ в определенный момент, с оружием и спецсредствами. Денег на это уебано было - страсть, но зато жив и здоров. Потом как все рассосалось потихоньку всё это распустил.

- О каких проблемах шла речь ?

- Тут я внятно рассказать не смогу, чтобы не выдать слишком много деталей, но как обычно, без баб не обошлось.

- Самому приходилось стрелять в кого-то ?

- Там в определенный момент ситуация такая была, что я таскал оружие под курткой почти 2 года непрерывно, и это был не пистолет. Был случай когда мент просто заметил из молнии торчит рукоять, нихуя не сказал вот реально, сделал вид что ничего типа нет.

- Если не пистолет, то что ?

- Кое-что покрупнее, уточнять не буду.

- Это в каких годах было?

- Где-то 2005-2007, примерно там. У меня после подобных событий сложилось какое-то ощущение, что менты вот прям как жопой чувствуют где не надо встревать, я в тот период на взводе был - была прямая угроза жизни, то есть если бы он подошел и стал доебываться, я бы на нервах его положил. Меня тогда чуть не угондошили, реально на грани ходил, я милицию даже как-то зауважал после этого, какое чутье!

- Это все именно из-за киберкрайма или ты успел куда-то еще впутаться?

- Нет, это с кибер не очень связано.

- Как ты себя сам величаешь? Хакер, вирмейкер, кардер или как-то еще? Кем ты хотел стать в начале пути и кем ты стал по факту спустя десятилетия?

- Мне больше нравится термин "кардер", в его расширенном толковании, но это просто предпочтения. Попытка классифицировать что-то как правило ни к чему толковому не ведет, особенно каких-то сложных вещей, а стать хотел космонавтом - в детском садике, а кем стал, это большой вопрос...

- Я вспомнил, что ты помогал мне с изучением ассемблера и разъяснял некоторые особенности по технике пермутации, применял ли ты её в своих продуктах и что думаешь про LLVM?

- Да и сейчас применяю, вполне сбивает сигнатуру - автоматика примерно 60% антивирей отшибает. LLVM ты имеешь в виду виртуальную машину? я верно понял?

- Да, перевод бинарного кода в некую абстракцию, её модификацию и повторную компиляцию в бинарь.

- Эта технология для malware бессмысленна, аверы просто начнут детектить интерпретатор, сам движок вирт машины, т.е. бесполезная трата сил и средств.

- Не не, это другое, вот есть готовый инструментарий, способный перевести существующий бинарник в некое промежуточное представление, по сути декомпилировать его, затем в этом коде можно модифицировать логику типа как в пермутации и это все снова собирается в бинарник. Нет необходимости самому дизасмить сторонний код.

- Это ничего особенно не даст, а сил будет затрачено море. Накручивание сложности ради самой сложности не очень толковая тактика.

- Можно привести другой пример, представим, что есть сорц на асме, "пермутировать" его на уровне исходного кода гораздо проще чем бинарник, и здесь эта технология якобы позволяет из бинарника получить некий исходный код, изменить его и снова превратить в бинарщницу, по крайней мере так заявляется, но на самом деле я не верю в принципиальное преимущество перед обычным дизассемблированием, да и классическая проблема отделения данных от кода никуда не девается, короче я сам не сталкивался поэтому и спрашиваю.

- Если уж асм, то зачем вообще сорцы? С бинарным асмом легче работать. В свое время зомби делал движок мистфаль кажется, где производилась разборка, заражение и снова сборка. 

- С него же и пошло всё, я потом делал свою реализацию...

- В общем работало на половине файлов и глючило что пиздец. В общем это концепт далекий от реальности.  Для меня в этом особого смысла нет, мой софт большинство ав вендоров и так рекомендуют не лечить, а форматить диск и винду заново накатывать, даже лечение загрузившись с болванки иной раз не спасает, т.к. не все файлы обнаруживаются и потом система реинфицируется.

- Холиварный вопрос, пермутация или метаморфизм, ты видешь здесь разницу?

- Да особо нет, в практической плоскости. Я практик, называй как нравится.

- Ну вот и у меня сложилась привычка называть технику "видоизменения" инструкций на их эквиваленты - пермутацией, а потом термин метаморфизм стал чаще применяться.

- Ну это традиционное название, с вирусных журналов еще. Пермутация так пермутация...Возможно там есть разница, метаморф наверное подразумевает, что он сам инициирует мутацию т.е. движок мутации надодится внутри него, а пермутация вполне может быть внешним действием над объектом, т.е. движка мутационного в теле нет, не все ли равно по большому счету? ;)

- Это всё споры прошедших лет... У тебя была нелюбовь к западу с самого начала, с чем она связана и что поменялось в идеологии за эти годы?

- Это не столько нелюбовь, сколько осознание, что идёт война, холодная война на самом деле никогда не кончалась, война другими средствами - экономическими, дипломатическими, но последствия которой ничуть не меньше. Задуши страну экономически, чтобы пенсионеры дохли от голода как в 90-х в России и бутылки по помойкам собирали. Те же санкции например...первый раз ввели еще при иване грозном, то есть это многовековая история и пока конца и края не видно. В Белорусии 90е года кстати прошли мягче гораздо, как и на Украине, там вообще легко, оттого ума и не прибавилось. В ру была реальная жесть, у меня в городе ебашили с гранатомета, реально взрывалось чего-то...Поэтому любой фрод с моей точки зрения направленный против запада - уместен и желателен, даже рэнсом атака на больницы со смертью людей. Вводя экономические санкции, они не особо пекутся о том что пострадают люди у нас, что будут урезаны расходы на медицину и социалку и кто-то от этого умрет - может сотни и тысячи людей, поэтому и я их жалеть не собираюсь.

- Не стала ли ненависть к западу каким-то отдельным самооправданием своих "действий" в сети?

- У меня нет к ним ненависти, это просто расчет, если меня фбр например примет - пощады не будет, 30 лет обеспечено тюрьмы. Смысла даже сдаваться нет, в моем возрасте это просто смерть за решеткой. Проще попробовать забрать кого-то с собой при аресте и поймать пулю, поэтому и от меня им пощады не будет тоже.

- Тратил ли ты деньги впустую, на тачки, на женщин, на какие-то люксовые атрибуты? Ведь те суммы, которые ты зарабатывал в нулевые потратить было не так и просто.

- Было дело, как и у всех, но быстро прошло. На девок правда до сих пор трачу, ну что поделать, не на шлюх правда.

- Просто девчонки, любящие подарки?)

- Модели всяко разные, обычные девчонки, с проститутками не связываюсь.

- А в чем разница?

- Ну что ты хочешь в стране 80% женщин в принципе согласны взять в рот за новый айфон, если предложить вежливо и они будут уверены что никто не узнает. Так что там даже и деньги то не то чтобы сильно большие нужны, под проститутками я имею в виду тех кто работает в досугах и эскортах, как бы там выше шансы подцепить чего-нибудь нехорошее.

- С таким предложением надо как-то красиво подъехать, показать, что есть ресурсы)

- Ну само собой, я и говорю - вежливо, с подходом. В принципе купить можно почти любую женщину, это вопрос цены и прилагаемых усилий. И чем в большей жопе в плане жизненной ситуации женщина находится, тем это проще сделать. Единственное на что не тратил - это на ювелирку и прочее барахло.

- В новостях можно отыскать события 99 года, тогда нескольких российских граждан, якобы причастных к группе хенгап, судили по хакерским статьям. Что это за история?

- А, это челы...ты ж их некоторых видел, на канале тусовались и прислали материал по делу 1999 года, если не ошибаюсь это чуть ли не первое осуждение по компьютерным преступлениям в РФ.

- В 99 у меня еще инета не было...

- Там вроде была рассылка троя "наеби соседа" и даже кто-то в филиале центробанка заразился, в общем эту историю - вместе с фамилиями - просто подвесили на хэнговский сайт. Ну касперкий не мудрствуя лукаво их всех в хэнгап тим и записал, ну как про талибан - халат тюбетейка...

- Т.е. они к хенгапу не имели вообще отношения?

- Ну кроме того что тусили с тобой вместе на ирк канале - никакого. И еще один мне темплэйт сбацал для сайта, я тогда хтмл не очень знал,  ну типа дизайнером подработал. Кого-то их них осудили и вроде выпустили по амнистии, у другого условка, а третий вроде вообще несовершеннолетний - но могу ошибаться за давностью. Этот который по амнистии рассказывал, что пока суд да дело он сидел в одной камере с местным маньяком...В общем история интересна была в основном тем, что это первый случай в РФ...

- Согласно новостям - родина хенгапа - Архангельск, это тоже утка получается или все таки правда?)

- Родина хэнгапа - IRC, или даже скорее - ICQ. А так ребята вроде оттуда, да. Честно говоря я с трудом понимаю зачем касперский такую штуку слепил, они там даже в каких то фактических данных ошиблись,  то есть настольно залипуха на скорую руку. Они выпустили пресс релиз, в котором упомянули оных персонажей - про которые инфа _в открытом виде_ висела на сайте у нас. Т.е. условно говоря выдали им саблю, буденовку и записали в HT. Ну там дичь дикая, т.е. вообще тот пресс-релиз от KAL критического анализа не выдерживал, да и фактические ошибки содержал. Это знаешь как журналисты иногда пишут "Путин думает, что..." и типа того, как будто они знают что там путин думает, телепаты - прикладники, ну вот там подобных вещей хватало.

- Раз заикнулся про Путина...твое мнение о нем как о текущем управленце страной?

- Ну имхо лучшего правителя страны со времен Горбачева не было,

даже какие-то территории смог вернуть утраченные. В принципе сейчас - время больших возможностей, стартапы-инкубаторы - вся херня. Кто с мозгами - может и в легале зарабатывать, это в мое время такой возможности не было, как бы поэтому вопрос выбора даже не стоял, а если сидеть пиво из бутылки перед подъездом пить и обвинять Путина в своей низкой зарплате, ну как бы ... сам понимаешь. Что Ельцин что Горбачев - это были просто катастрофы, Горбачева в армии вообще люто ненавидели. Из Германии вывел войска - в чисто поле, немцы предлагали даже построить военные городки за свой счет - отказался, ну Ельцина результаты правления ты своими глазами мог в РФ видеть. Потери как во время войны в населении. В 98м году бюджет всей РФ был примерно 50 млрд баксов что ли, то есть пиздец просто. В общем, лично мне Путин кардить никак не мешает. Даже Крым прирезал - есть куда не выездному съездить отдохнуть.

- Расскажи какую-нибудь еще историю. 

- Ну я ничего в принципе не расскажу, что было после 2015 года, потом еще через 10 лет приходи, дополним ;)

- Ну выбери сам, тут свежесть не так важна, про свежее изначально и говорить желания нет. Можно осветить то, к чему интерес уже давно пропал. 

- Про случай с TJ MAXX читал? Альберт Гонсалес, все дела?

- Да, слышал. Недавно только узнал, что я в этой истории очень незначительно и поверхностно, но отметиться успел.

- Ну вот я примерно тем же самым занимался - вскрытие wifi - проникновение в крупный торговый объект, установка бэкдоров - сбор дампов - продажа. Правда не в таких масштабах как у Гонсалеса, у меня поскромнее. Там были в том числе и физические операции, у нас никак не получалось получить доступ - ну не было изнутри доступа в инет в том сегменте сети куда проломились. Не сидеть же с ноутом 3 месяца на клумбе, как бы подозрительно. В итоге был взят usb вайфай дешевый и воткнут в одну из машин в интернет-кафе, которое было прямо внутри торгового центра, а оттуда вайфай добивал. Дальше слинковали сеть кафе с сетью молла и так был получен доступ в инет. Модуль несколько месяцев так в юсб порту и проторчал сзади корпуса.

- Это за пределами снг было?

- Да, заграницей.

- Т.е. ты не боялся выезжать в те годы?

- Тогда - нет, тогда много чего не было, например камер везде, распознавания лиц, глобальных стоп-листов и тд. Тот же интерпол работал как шарашкина контора, крайне неэффективно, сейчас все по-другому.

- Используют ли киберпреступники поддельные паспорта для выезда за границу или это бесполезно, учитывая детект по лицу?

- Сейчас не думаю, а раньше выезжали. К тому же даю наводку - человек вполне легально может поменять фамилию и форму носа тоже, чтобы не биться по базам разным автоматическим.

- Это были подделки или можно было намутить реальный паспорт?

- Переклейки как правило, т.е. реальный проебанный паспорт с переклеенной фоткой. Целые сервисы были которое такое делали. Такие паспорты юзались в реальных шопах - если на карту покупали - могли паспорт спросить.

- Спасало то, что никто внимательно не анализировал целостность и оригинальность документа?

- Ну там качественно все делали, я за технологию не знаю, как именно переклейка делалась, но отличить было весьма тяжело. У отдельных личностей было даже оборудование такое - что хоть баксы печатай.

- И купюры проходили чекеры? 

- Это был пример, не думаю что кто-то печатал баксы. Просто некоторые владели крутым типографским железом и паспорт вполне могли бы и напечатать, я не спец тут, но спецы по докам были. В некоторых местах кстати граница пересекается без паспорта. Например даже взять границу RU-UA в то время, ее тупо не было, ходи броди туда-сюда, потом правда какую-то канаву вырыли, но сам понимаешь это не особо помогало. В кое каких странах где я бывал через горы можно было спокойно в соседнюю страну заглянуть.

- Интересная у тебя история, хоть кино снимай)

- Лучше не надо - такого снимут - мне уже хватило рассказов с голливудским размахом от разных американских журналистов. Что ни год - в хэнгап все новых и новых персонажей добавляли, но ты имей в виду оно звучит с виду привлекательно, но изнутри ощущается не совсем так. Ну это как на нелегальном положении постоянно, в принципе даже на нем - когда заграницей работал одна ошибка - и пиздец.

- А есть какая-то атрибуция событий к хенгапу за последние 10 лет? В новостях...

- Ты имеешь в виду где именно употребляется "hangup team" ?

- Ну да, открыто, или этот бренд уже забыт?

- Есть да, буквально пару лет назад, до сих пор вспоминают какие-то вирусные атаки, которые хз вообще кто проводил. И причем тут ХТ тоже не ясно, но нет нет да и проскальзывает

иногда. Таких журналистов высмеивают, но похоже американцам просто нравится такое вот явление, они своими неумеренными фантазиями его накручивают, "русские хакеры" все дела...

- Да, там же никто не разбирается во всех подробностях...

- Лозунг "киберфашизм миллениум", т.е. тысячелетие киберфашизма - удался? Ты рад произошедшим событиям в глобальном плане?

- Хм, хоть вопрос не совсем и понятный и не совсем конкретный - да. Уже говорил, что в моем понимании киберфашизм - это идеология кардинга, "незачем работать на дебилов за копейки, когда можно взять деньги самому", так что да, удался.

- Вспомним про stuxnet - там действительно сугубо правительственные хакеры участвовали? Можешь как-то прокомментировать эту историю?

- Ну насколько я слышал это американцы или евреи, то что это правительственная операция, ну мало кто сомневается. Но как ты понимаешь авторы мне не докладывали. Т.е. я могу только предполагать, но как бы параметры центрифуг и так далее на помойке не валяются, данные не шибко открытые и на балконе тоже не у каждого центрифуга стоит, чтобы это отладить. Опять же скорее всего завод там по обогащению был изолирован от инета и кто-то пронес флэшку - подкупленный сотрудник, т.е. налицо операция по внедрению сложного продукта, для отладки которого нужен доступ к оборудованию по обогащению.

- Ранее ты сказал, что потратил почти все деньги - зрители любят вопросы о деньгах...о каких суммах может идти речь, сколько ты заработал за всё это время, обозначь хотя бы порядок.

- Да я признаться не очень считал, ну если взять когда логи продавал, условно доход 1к в сутки в среднем был, т.е. 365к в год. В принципе, не много, но мне хватало.

- Судя по всему логи это наименьшая статья заработка.

- Да, продажа дампов выгоднее.

- Сумма должна быть >10m$ в любом случае. Тут вопрос, была ли она выше 100m?

- Нет, не была. Деньги - по большому счету крашеная бумага, ну или биты на носителе по-современному, в могилу ты их с собой не возьмешь, как бы они никогда не были целью, это скорее некий критерий оценки успешности проводимых операций. Это не только у меня, многие "пьянели" от кардинга именно в виде азарта, спортивного интереса. Когда дурь из головы вылетает, эти вопросы уже особо не беспокоят, если серьезных патологий нет. Ну да сначала человек начинает покупать там машины и всякое такое, но c этим быстро наигрываешься.

- Очень уж кардеры всегда любили bmw. Вроде даже ты рассказывал, что кто-то из старых товарищей разбился на бэхе.

- Да, дизайнер, совсем молодой парень, 21 или 22 года, не помню сколько ему было. Известен был тем, что на форуме VN предоплатил штрафы вперед, на 2к баксов или вроде того. На форуме были штафы за маты - админы зарабатывали смешно, он говорил мол - чтобы послать вас нахуй - уплочено. Его партнеры там даже на похоронах были, дизайнер это ник если что, а не профессия.

- Понятно.

- Ему кстати песня нервного посвящается, чел под заказ кардерам треки писал, на ютубе есть многие: про кардера джакса, бобби, абдулла...

- Какие современные тенденции, куда движется киберкрайм....

- В светлое будущее, куда Ленин указывал рукой, сколько лет говорят что тема загнется, а она все живее всех живых, правда сильно видоизменялась.

- Какие сейчас наиболее доходные темы кроме ренсома?

- Рэнсом и есть весьма доходная тема, корпоративные выкупы измеряются иногда миллионами баксов. Я даже от чистого сердца парням позавидовал - молодцы, хоть рэнсом и не моя тема.

- А кроме?

- А так живо почти все что и раньше, просто в измененном виде. Ну и пластик с магнитки катать тяжело - чипы кругом, но даже его где-то умудряются катать. Ну видишь я бы тут от себя хотел кое что сказать, многие могут наслушаться и ломануться в кардинг - я бы не советовал, т.к. это требует определенного склада характера и устойчивой нервной системы, когда паранойя становится привычкой. 99% людей на это не способны, они просто попадутся в 1-2-3 года, когда расслабятся. Психика должна быть постоянно на стреме, то есть это не для людей, которые привыкли в тапочках за клавой работать, нужна готовность моральная к обыскам, допросам, отсутствие страха попасть в тюрьму. Многие на это плюют - а зря, когда им срезают дверь и крутят руки, а по дому кругом вещдоки - выпадают в ахуй, мысли в разные стороны и колются в 2-3 дня, потом меняют показания, но это всё беспонту.

- Я наверное не хотел задавать вопрос о твоих пожеланиях подрастающему поколению, учитывая твой позитивный настрой по отношению к киберкрайму, но ты сам выразил свое мнение, довольно скептическое и предостерегающее, респект.

- Ну сейчас есть возможность заработать легально, кардинг это не профессия, это образ жизни, без преувеличений. И я и ты помним скажем 1999 год - ну какие там легальные могли быть заработки?

Как бы вариантов особо не было. Сейчас какой-нибудь сраный джун может 2к получать, а тимлид и 5к. А джун это обезьяна которая полгода изучала по книжке скажем яву и с трудом хелло ворлд пишет. То есть направив те же усилия в легальное русло можно неплохо зарабатывать без риска загреметь. Для меня меняться поздно, не люблю я ходить на работу и всякое такое, возраст уже не тот чтобы меняться ;)

- Взаимодействие со спецслужбами или иными правоохранительными органами. Сталкивался когда-нибудь?

- Много раз, у тех кто в теме годами так или иначе что-то такое бывало. Обычно продажа данных через посредников, dod, всякая mil хрень, если нашим продавать деньги правда там копеечные, ну китайцы побогаче будут.

- Это прям к следующему вопросу в кассу. Хакеры на службе государства - популярная тема в зарубежных сми, естественно не бывает дыма без огня - приходилось ли тебе отрабатывать заказы госов?

- Нет, мне случалось продавать данные, но опять же - через посредников. Т.е. приказать мне кто-то что-то делать не может, да и трудно это.

- Какого рода данные были?

- Военные в основном, халатность она везде халатность, на винтах чего только не валяется.

- Т.е. по большому счету эта инфа оказывалась у тебя просто между делом?

- Да, ну как, я примерно представляю что можно продать, в принципе был случай когда я продал данные по террористам  джамаат как-то там ебись как, не помню уже.

- А как ты понял, что это информация о террористах?

- Ну как бы там не сложно понять было - у них свой специфический сайт был, с соответствующим контентом.

- Ну ты же не сайт конкретный поломал, а хостинг где он хостился ?

- Я конкретно не скажу, ты же понимаешь. Но насколько мне известно там потом несколько ячеек удачно накрыли.

- Просто иначе возник бы вопрос - откуда была цель ломать кого-то конкретно - идеология?

- Не, я их купил у другого чела, сделал наценку небольшую и продал. 

- Но ты знал того, кто готов заплатить...

- Посредников в сети полно, кто такую инфу скупает, жаль бюджеты фуфельные выделяют на такие дела - по кардерским меркам - копейки.

- Вопрос смешной, но все же - актуальность файловых вирусов сегодня?

- Актуальны , даже больше чем раньше, ведь пробив сплоев упал,  а файловые вирусы размножаются эффективно.

- А как же подписи, sfc?

- Это не проблема...

- Тут уже не идет вопрос о чистоте вируса, а о самом факте инфекции, которая может быть легко определена. Расскажи какой-нибудь актуальный сценарий использования файловых вирусов.

- Ну я тебе так скажу, один из моих продуктов, релиз версии первой был где-то в 2006 году, боты до сих пор приходят, это к вопросу актуальности. То есть такой ботнет он несколько лет способен самоподдерживать численность, но это сложно, PE инфекторы это пожалуй самое сложное, что в этой теме есть. Это не равнозначно тому что было в начале 2000х, очень много защитных механизмов добавилось, борьба с АВ, вышибание эмуляторов и тд.

- Я ведь поэтому и спрашиваю, раньше было легко инфектить любой ехе системный.

- И сейчас это можно делать, просто чуть сложнее.

- Хорошо. Эволюция безопасности семейства windows, какие технологии становились бесполезными и существуют ли сейчас руткиты и буткиты? Что можешь сказать про закрепление в системе...

- Руткиты существуют, а буткитов давно не видал. В UEFI там защита стоит на изменение этого дела, большинство современных троев достаточно примитивно, многие вообще обходтся каким-нибудь powershell скриптом, там большие возможности и тяжело их детектить. Такое ощущение, что в ms хотели подбросить админам приключений и спецом разработали powershell. 

- Ну вот смотри, secure boot и прочее, ты свой самоподписанный драйвер уже не подгрузишь.

- Для руткита наличие драйвера не обязательно, ведь индикацию процессов и файлов производит юзерское приложение.

- Ну т.е. сокрытие идет на уровне ring3 для текущей сессии ?

- Да, это тоже вплолне рабочий руткит, даже классические IAT патчи, но как бы в руткитах хоть они и есть - особо смысла то нет, вот ты открой у себя список процессов, ты за каждый процесс сможешь внятно пояснить чем он там у тебя занимается? Иной раз достаточно сформировать имя выглядящее достоверно и 99% людей уже не заметят ничего.

- Ну я при желании открою process explorer и посмотрю у каких pid'ов бинари подписаны валидно.

- Некоторая малварь вполне себе валидно подписана, серты прут и подписывают ;) или даже покупают и подписывают.

- Это уже другая история)

- Ну эти подписи их мало кто смотрит, большая часть юзеров не особо и знает про их существование, больно там бухгалтеру из канады есть дело до подписей всяких, а тебя например инфектить какой смысл? что с тебя взять? копию этого интервью? ;)

- Я про меры предосторожности, периодически проверяю, не завелся ли какой зверь в системе.

- Ну ты проверяешь, а офисным крысам до этого дела нет. У них там раз в месяц админ по аутсорцу приходит картридж поменять в принтере.

- Но вот могу с достаточной уверенностью сказать, что лет за 20 у меня не было ни одного вируса, либо я его вычищал в первые минуты его появления.

- Боюсь тебя огорчить, но именно вирус ты бы врядли вычистил быстро, если бы вообще вычистил. Как ты представляешь себе ручную чистку 2-3к зараженных exe?

- Я имел ввиду обобщенную малварь, файловые вирусы в моей практике закончились в 90х на onehalf.

- Опытный человек вполне может не допустить установки троя, но опять же есть способы пробраться в систему с каким-нибудь софтом. Если лицензионную винду еще покупают, то вот желающих купить фотошоп или 3д макс  чего-то не очень много, как у нас так и на западе, автокады всякие и прочий такой софт, у меня например вообще каждая рабочая сессия -  это снэпшот с виртуальной машины.

- Всю жизнь сижу на пиратском софте, и тьфу тьфу ни разу не ловил ничего. По крайней мере если бы что-то словил - были бы попытки увода аккаунтов, но такого ни разу не было.

- Ты мог поймать и не заметить, такое тоже бывает. Просто хоум юзер тачки представляют мало интереса, вот прямо сейчас ты можешь быть частью какого-то ботнета, но всем похер, т.к. взять особо нечего.

- Ну сейчас нельзя авторизоваться в современных крупных сервисах без каких-либо уведомлений, с дублированием по смс или почте.

- SS7 тебе что-нибудь говорит? sim swapping?

- Слышал да, но это сугубо таргетированные атаки, не про масс хак. 

- В штатах сим своппинг был именно как масс хак,  там была автоматизированная процедура, только недавно заштопали дыру эту.

На моей памяти были группы, которые работали связкой: трой виндовый + андроидный, т.е. там в какой-то момент во входе куда-то выдавался qr код, андроидом типа сканишь и ставишь себе что-то "писец как нужное для авторизации", инжектом отрисовка, в итоге смс перехватывались незаметно для холдера. Бывает и такое, сложно, да - но бывает.

- Блуждает мнение, что windows шпионит за пользователями...ты много лет кодишь под винду, наверняка читал слитые сорцы и так далее, твоё мнение - действительно ли винда может слать реально критические персональные данные на сервера майкрософт?

- Ну тут как бы не нужно и мое мнение, то что вин10 фонтанирует данными это давно не секрет, там снифер запустить так чего только не валится на кучи серверов.

- Давай конкретику, т.к. в инете куча фейков. 

- Ну у меня чел один что на меня работал как то ставил снифер, там чуть не гигами насрало, и это не апдейты были, именно что исходящие данные, я лично не смотрел, т.к. это не шибко мне актуально.

- В ютубе есть фейковые видео, где якобы шифрованный траффик до серверов MS дешифруют каким-то волшебным образом, и там якобы обнаруживаются скриншоты рабочего стола пользователя, но это как ты понимаешь булщит полнейшний.

- Вполне может быть, фейков наверняка хватает, но мне как то попадался документ утекщий, как АНБ троянит разные девайсы, так там даже в vga кабели умудрились засадить жука аппаратного, глупо предполагать что в винде ничего нет. Эта проблема решается по другому, вместо попыток отключить неотключаемое, винда садится в изолированную среду, откуда пакеты не выходят вообще  и выход в инет через сокс только для некоторых приложений, как-то так. Смысла голову ломать что и откуда там сифонит нет никакого.

- Есть, чтобы уличить Microsoft)

- В чем? Что они шпионят? Я в этом и так не сомневаюсь ;). То что тот же Сноуден в свое время сказал, для меня откровением не было. Как бы он говорил очевидные для всех кто в теме вещи. Вот кстати windows update, это классическая троянская компонента "загрузить и выполнить", а то что ее сделали почти невыключаемой и принудительной под разными предлогами о многом говорит.

- Но при этом ты сам ведь пользуешься виндой?

- Да.

- И как ты обходишь эти скользкие моменты? Какие меры безопасности?

- Изолированная среда, без доступа в инет - выход через прокси для некоторых приложений, винда так сказать сидит в оффлайне ;)

- Чем ты сейчас занимаешься и насколько ты конкурентен в современных реалиях. 

- Вот конкретно сейчас я клубнику на даче высаживаю, вернее днем делал это. А так работаю больше для поддержания квалификации, как-то особо въебывать надобности да и желания нет, в принципе можно, просто зачем? Лучше браться только за то, что интересно, а не чисто ради денег. А что касаемо конкурентоспособности, то по скорости высадки клубники в округе мне равных нет.

- Ты просто заикался про шпионаж, взломы и продажу секретной информации.

- Ну да, такое бывает, но у меня нет расписания как у барона мюнхгаузена, "пятница с утра - шпионаж, по вторникам - продажа секретной информации". Возраст накладывает определенные ограничения, количество энергии уже не то ;)

- Давай сделаем акцент на второй части вопроса, ты человек с очень большим опытом из прошлого, насколько ты готов решать современные задачи в современной среде ? Не наступает ли молодежь на пятки?

- Нет, молодежь почему-то не особо в нашей теме задерживается, 2-3-5 лет и куда-то пропадают, приемов очень много, обычно заграницей крутят. Ну ты по ящику мог видеть, копу - в израиле, на мальдивах психа, максика в турции, даже этого как его...северу, и то повязали...

- А причина? Молодецкая глупость?

- Ну как бы не столько глупость, сколько пренебрежение безопасностью, согласись, этих людей дураками не назовешь, у всех высокий интеллект, но потом начинаешь смотреть как поймали. Выясняется, что один следил за своей девкой, репорты от андроид троя получал на емэил, который задействовался в еще каких-то операциях, о которых он уже тупо забыл. Другой там свой мыльник где-то вбил в какие-то формы, ну вот такие тупые проколы от невнимательности / пренебрежения, я почему и предостерегаю не спешить ломиться в эту сферу, т.к. тут достаточно сделать 1 ошибку, потом поехать со своей телкой отдыхать на пляжи и получить наручники в аэропорту. Тот же славик, автор зевса - висит на доске почета.

- Не жалеешь, что возможность выезда закрыта?

- Нет, РФ страна большая, к тому же есть страны куда я выехать могу, венесуэлла, иран и еще парочка, прямым рейсом конечно. Врядли ради меня кто-то будет исстребители поднимать и садить самолет. В венесуэлле зашибенные лепешки кстати делают.

- Т.е. это страны куда любой разыскиваемый США киберпреступник из России может спокойно поехать не опасаясь быть принятым?

- Да, которые в явных контрах с США, есть еще страны со средним уровнем риска, где формально договора о выдаче нет, но туда надо въезжать и выезжать резко, чтоб не получилась как с мальдивами. Есть страны где даже договор есть, но там настолько пиздоватистое отношение местных ко всему, что по факту стоп-листы не работают и вообще можно на лапу пачку баксов дать и ехать дальше. Тот же псих, он рассчитывал выезжая на мальдивы на отсутствие договора с США, его там и правда нет, и если бы он просто внезапно туда въезжал-выезжал на неделю-полторы, его бы и не приняли. Просто тупо бы не успели среагировать, но он же там недвижимость купил и тд...США пришлось договариваться с местными заранее, там психа фактически депортировали "виртуально",  с передачей в руки сша, т.е. формально выдачи в сша не было, а была депортация. То есть это всё за полчаса не договориться,

они знали что он там будет и знали когда. А когда ты внезапно в страну въезжаешь без брони отелей и покупки белетов за полгода и потом дней через 7-10 выезжаешь, как правило не успеют среагировать. Ну даже взять Беларусь сейчас, я так думаю после последних событий вопросы сотрудничества с США слегка пересмотрены  и того же полисдога уже сейчас бы в 2021 году за те же дела не повязали, ну и опять же, кто мешает сменить фамилию и рожу и получить паспорт на другие ФИО. Пластические хирурги есть, фио меняется легально вполне, мороки много, но если цена вопроса велика, то можно. 30 лет федеральных тюрем как бы это не очень весело, можно и заморочиться. Кстати еще по возможности выезда, вот даже вполне законопослушным гражданам может прилететь. Какой-нибудь IT специалист, вот те же positive technologies недавно под санкции попали на ровном месте, то есть вполне может получиться, что их сотрудника где-нибудь примут в аэропорту и основания найдут, и чего ты им сделаешь? Скажут рашин хакир, влиял на выборы или байдену под дверь насрал и будут в тюрьме держать, там последнее время демонстративно даже не утруждаются какие-то правдоподобные причины арестов придумывать. Обычные граждане станут заложниками политических игр, можно верить или не верить в фактически развязанную войну с США, но с точки их зрения обладатель паспорта РФ - это враг и обращаться с ним будут как с говном, нравится нам или нет - это сейчас объективная реальность. Хоть ты трижды либерал будь, не факт что в тюрьму не загремишь.

- Я впервые задам этот вопрос своему гостю - в чем смысл жизни?

- А, это вопрос очень скользкий, но скажем так, за многие тысячелетия не найдено иного смысла кроме развития, а вот что именно будет развиваться это уже каждый решает сам. Лучше всего развивать сознание, но это мое частное мнение, оно не претендует на истину в последней инстанции. Мы совершаем очень много действий, мотивы которых не осознаем, мозг это как гигантская нейросеть - импульсы гоняются туда-сюда, нам кажется, что мы принимаем решения, но на самом деле мы тут скорее регистратор, вроде лога каких то нервных процессов. Люди практически спят на ходу, как роботы, т.е. сознательная часть это наверное меньше 1% от общего объема сознания, остальные процессы протекают незаметно для нас.

-------------

 - Ковырять прошлое оно иной раз занятно, но творить историю прямо сейчас всё-таки интереснее. Я про размер этого воздействия на мир. Возьмем тот скандальный инцидент 2004 года с хенгап. Штука в том, что он был далеко не единственный, просто в остальных уже наш лейбл не светился. Последний, например, вообще в 2019 году был, когда опять все обоссались кипятком в СМИ, а у моего коллеги, который кстати - долларовый миллионер, вообще что не месяц - то на весь мир опять ор. Он как-то по приколу в Ванкувере метро отключил, причем это все получалось само собой, никто не стремился к огласке.

 - И я и мой коллега выполняем в этом мире определенную функцию, причем даже не мы выбрали этот путь - так сложилось исторически, а то и можно сказать, что нас сюда "назначило". Может быть мы выполняем функцию той инфекции, что тренирует иммунную систему. Может оказываем влияние в каких-то точках бифуркации.

 - В результате факапов развитие IT, и не только, может сворачивать в другую сторону. Возьми инцидент 2004 года, он оказал немалое влияние на то, что доминирование браузера IE пошло на спад, и то, что сейчас популярны хром и фаирфокс, в этом есть и вклад того случая. Я не берусь судить, хорошо это или плохо.

 Когда Биллу, который Гейтс, доложили об этом, он вышел из себя. В общем это довольно странное и интересное занятие - соприкасаться с силами, которые формируют облик современного мира - что может быть интересней?

среда, 11 августа 2021 г.

🎤ИНТЕРВЬЮ С ЛИДЕРОМ ХАК-ГРУППЫ HangUP Team | ЧАСТЬ 1🔥

Это текстовая версия интервью. Видео вариант доступен на Youtube.

-----

Вы неоднократно просили записать интервью с кем-то по ту сторону. В этот раз я пообщался с одним из ключевых участников легендарной хак-группы нулевых - HangUP Team. Они одни из первых поставили на коммерческие рельсы продажу кибер оружия, их обвиняли в самых разных компьютерных преступлениях. С этим человеком мы не общались уже больше десяти лет и было не так просто отыскать его актуальный контакт. Мой старый знакомый наотрез отказался записывать интервью голосом, поэтому мы ограничились текстовой перепиской на анонимной платформе с одноразовыми аккаунтами. Я понятия не имею где он живет, как его зовут и как с ним связаться, поэтому надеюсь, что ни у кого не возникнет ко мне вопросов, поехали...


- Расскажи свою предысторию, как у тебя появился комп, чем занимался на первых порах.

- Купил, это был zx spectrum, советская модификация. Знаком тебе этот аппарат?

- Спектрум у меня был, насчет модификаций не знаю.

- Ну там они как только не назывались, но по сути это тот же спектрум, просто спаивалось где-то в кооперативах.

- Кассетный)

- Да, кассетный, подключался к телеящику - после перепайки. Ну и занимался тем же чем и остальные, сначала играл, потом изучил программирование, а на спекки был простой асм, заодно и его освоил.

- Спекки?

- Ну, так называли спектрум сокращенно.

- Т.е. первый язык и сразу асм?

- Первый basic - встроенный в спектрум, а потом сразу асм да, т.к. других языков встроенных там не было.

- А на асме что писал?

- Шифровщики, именно там узнал что такое xor, графику...

Там на кассетах часто поставляли защиту к играм и прочее, причем довольно навороченную, учитывая примитивность оборудования.

И вот когда требовалось что-то расковырять, без знания асма было никак. А потом мне попалась книжка, как то называлась,  что ли микропроцессор i386 или типа того, и там по асму intel уже было.

- В чем была защита игр, что непосредственно необходимо было править и для чего? 

- Запатчить участок памяти, я не так чтобы уж много этим занимался. Асм позволял на спектруме работать быстро с графикой, в том числе и быстрые вычисления. Ну ты же должен понимать что такое бэйсик  с тактовой частой спектрума и насколько быстро это всё работает. Опять же скопировать игру без взлома иной раз было невозможно, то есть там применялись хитрожопые приемы, вплоть до записи на ленту с разной скоростью. Если честно я почти всё забыл, это было очень давно. Помню только звук кнопки reset, звук загрузки с кассеты и опкоды ld и ldir чтоли.

- Ты сказал, что купил комп - сам? в каком возрасте?

- Это был 94й что ли, про возраст вопрос неуместен.

- Я к тому, что в это время у тебя уже были собственные деньги?

- Были, да в 90е тоже можно было подрезать денег. Если спиздил и ушел - называется нашел.

- Хулиган)))

- Ну было еще целое движение несунов - наследие СССР. "Все, что не прибито - моё, всё что можно оторвать - не прибито!"

Сейчас это звучит диковато, но тогда был дефицит почти всего и реально достать что-то кроме как украсть способа не было.

- Как после этого ты пришел непосредственно к хакерству.

- Мне попались какие-то книжки по написанию на асме, в том числе вирусов. К тому же я там устроился в одну госконтору, где были 286е

и даже 386е, и там был один кадр - что-то вроде сисадмина. Он там вирус писал, тогда статей не было на это дело, на асме. Тогда термин "хакер" носил несколько несетевой смысл, и часто подразумевался скорее взлом софта. Ну а дальше как-то понеслось само собой. К моменту выхода 486 уже прилично была набита рука в кодинге и пару резидентных вирусов накатал. Под выходом я подразумеваю появлению их в живом виде в России, а не релиз где-то там. Тут нельзя не вспомнить Касперского, уже погодя мне попалась его книженция "Компьютерные вирусы в мс-дос", хз какой это был год, но книжка была толковая и в общем надо сказать Касперский несет ответственность за появление кучи вирмэйкеров. Одной вот этой книжкой там довольно подробно описывались многие вещи, так сказать опыт и решения вирмэйкеров сведенный в одно место. Я не знаю может Евгений Касперский такой хитрожопый, что заранее формировал рынок чтобы антивирь продавать, вряд ли конечно, но кто знает.

- А как ты их распространял?

- Ну запускал в некоторых местах, там не было цели что-то такое сделать, типа эпидемии. Просто для теста посмотреть как это в "диких условиях" на машинах где я мог наблюдать последствия.

- Какая у них была нагрузка?

- Размножался и стелс был, перехватывал 21е прерывание и еще что-то там. Изюминкой был режим бутербродного поражения, это когда отключалась спецом проверка, что файл уже заражен и файл многократно поражался, росла его длина, а вирус еще шифровал куски файла

 и расшифровка занимала время. В итоге после запуска какой-то проги приходилось ждать по несколько минут, в общем за несколько недель система умирала в конвульсиях. Хорошая тулза вышла для диверсий, запустил и некоторое время последствий никаких, а потом комп постепенно начинает тормозить, незаметно. Ну и как понимаешь ждать полчаса запуска нортон коммандера это уже не вариант. Иногда такое поражение приводило к тому, что на диске кончалось место. Винты были небольшие, о дискетах и речи нет.

- Как ты попал в сеть и что это было? Фидо или сразу инет?

- Первая сеть которую я увидел была вроде uucp что ли, ну почта там ходила. В фидо я так и не поучаствовал, как то это меня миновало.

В то время в России уже стали появляться компьютерные клубы разные. Да и у народа модемы стали появляться. Ты знаешь, хоть убей не помню когда я первый раз модем увидел, но уже через несколько дней спиздил пароли доступа.

- В инет?

- Вот не уверен, может локалка конторы была или bbs какая-то. Ну а потом уже и до инета добрался, помню тогда меня IRC поразил. Для советского человека - вот так вот запросто поговорить в реалтайме с челом из англии или аргентины. Я до того поразился, что в течение недели первого боевого бота для IRC накидал, который флудил, вышибая клиенты.

- ping of death ?)

- Не, там просто менялся ник и отсылалось сообщение приватное, в итоге эффект такой как будто тебе 500 человек написало.

- Ну да, с модема раньше можно было спокойной досить.

- Был такой клиент pirch, он не был рассчитан на большое кол-во mdi окон и просто вылетал от этой атаки. То есть если попадался пирч - человека просто вышибало в считанные десятки секунд. Ну и вообще представь как бы обилие оконо открывающихся чатовских дезориентирует. Mirc с такой атаки не вылетал, но после 1000-какого то окна начинал тормозить. Там были модификации этой атаки еще, установка режима away чтобы дополнительно насирать трафик или что-то вроде того. Сами ники были подлиннее и какое-то описание там ставить можно было. Если у цели еще стоял autowhois на получение сообщений, то он получался сам себе злобный буратино. В общем атака несмотря на простоту была результативной, иногда получалось, что из-за каких то особенностей настроек у чела его модем отсоединялся не выдержав что ли прогоняемого траффика, особенно когда там были добавлены боты на сокетах написанные. На серваке например 10-20 ботов и они начинают суммарно долбить, может я тебе что-то из этого даже показывал.

- Я помню на эфнете был досер pr0ix, он меня несколько раз так выносил, что телефонная линия переставала работать минут на 15.

Реконнект не помогал, даже после физического отключения кабеля от модема - на линии оставалась висеть логическая ppp сессия с провайдером, на которую лился избыток трафика.

- Ну вот сколько раз замечал, что модемы некоторые в момент большой нагрузки слетают с линии. Слёт был часто такой, что линия "на той стороне" оставалась занята, т.е. звонишь в тот же номер - а там ты еще не отсоединился.

Но аналоговые атс имели свое достоинство - отсутствие цифровых логов ;)

- Да, так и было. Смотри, у вас же был свой крипто скрипт для шифрования сообщений в ирц?

- Да, гаммирование длинным ключом было, даже ключами. Довольно стойкий, только ключ надо было другим каналом передавать.

- Его ты писал?

- Не только, первый вариант я написал, потом там уже модификации были. Идея пошла в массы и потом что-то такое можно было много где увидеть.

- Первым делом ты написал боевой скрипт для ирц - откуда такой деструктивный настрой в тебе ?)

- Сам удивляюсь, конструктивное что-то у меня не очень выходит, а вот оружие и разные средства поражения, не только цифровые. Природная склонность, наверное.

- Кстати мой первый проект на сях был тоже боевой ирц бот с функцией флуда.

- Ну я то его не на сях делал, а прямо на скриптах mIRC, включая сокетную часть и поддержку прокси. Там еще хоткеи были навешаны, нажимаешь например f3 и видишь, что 10 ботов на сервер сконнектилось. Скрипт по ходу дела развивался, например там был сплит детектор,

постоянно опрашивал сервера и смотрел не отвалился ли какой, если отвалилось - сообщал. Во время сплита можно было оп получить. А видов атак там было штук 7-10, причем это были концептуально разные атаки, а не просто разные виды флуда.

Например одна атака - смешанная - заключалась в том, что посылался файл 666.bmp через протокол DCC. Файл этот был модифицирован в хекс редакторе и при попытке просмотра 95я и 98я винда висла. Паинтбраш заливал черным весь экран и все летело в пизду, там какой-то буфероверфлоу случался. Просто там вроде разрешение картинки было дикое, ff-ами все забито или типа того, а реально файлик был маленький.

Вот при попытке отрисовать это дело все и тухло, что еще раз говорит о качестве кода что писали тогда в MS.

- Ага, ну вот ты добрался до сети, до ирц, еще будучи одиночкой. Что дальше, куда подался, где завязывал знакомства?

- На IRC. Как оказалось в ирке тусило куча интересного народа, некоторые из них составили часть группы будущей, другие подогнали мне интересные куски кода и идеи. Ведь тогда никто не понимал насколько серьезно все развернется, что за всем этим будут большие деньги в будущем. И я и все остальные просто развлекались сначала, это было что-то новое, доселе невиданное.

- Как скоро после этого зародилась группа hangup ?

- Это сложный вопрос, это не был какой-то день когда вот несколько человек собрались и сказали - теперь мы группа. Как-то целый год это все формировалось, причем сначала были одни люди, а в итоге состав оказался совсем другой и люди собрались совершенно разные. К примеру, один из бывших мемберов сейчас действующий сотрудник фсб, другие кто в администрации, кто в бизнесе, кто умер.

-Если мне не изменяет память, на вашем канале сидели и чисто крякеры, которые не были замешаны в вирусные истории. Ты сам занимался взломом софта, уже, очевидно, под винду?

- Занимался, но очень редко. То есть крякером я не был - нудновато это было на мой взгляд, мне нравилось устраивать боевые действия в сети.

- Но softice'ом пользовался ?)

- Конечно, в основном при отладке своего же кода. Если ты пишешь руткит, без софтайса было тяжело понять почему летит функция которую ты врезал сплайсингом в кернел32, а софтайс прям активировался в месте вылета - очень удобно. Ну просто есть крякеры которые софт ломали прямо ну десятками, я их никогда не понимал - но люди очень нужные и полезные, чем они себя мотивировали для меня до сих пор загадка.

Мне больше нравилось развлекаться - пару раз взламывали разные сайты, то свастику нарисуем, то где-то названия статей/книг поменяем на

"история россии в период нашествия марсиан" и подобные. Ну шалости по большому счету, но было весело, это конечно еще до коммерциализации...

- Ага... так, мы пропустили этап когда ты стал заниматься сями. Это было до\после ирц и чем переход на си был мотивирован?

- Так сразу не соображу, еще когда вирусы писал - изучил паскаль, потом попался виндовый аналог - дельфи, а потом уже натолкнулся на си.

После паскаля было непривычно, но стало ясно, что это наиболее системный язык и весьма изящный. В какой момент это произошло так сразу и не скажешь, но первый сетевой трой кажется был на дельфи, а второй уже на си.

- Пока мы не убежали дальше, давай затронем еще один вопрос.

У вас с группой SBVC была совместная работа по езину In name of zero, а вскоре после его выхода вы выпустили ring0, но его содержание практически полностью повторяло содержание in name of zero - что это за история?

- Там возникли какие-то разногласия или бурления в самом сбвц, то ли кому-то название не понравилось, то ли еще чего. В общем там решили сделать отдельный именно вирусный журнал.

- Без сетевых тем и взлома ?

- Да, без них. В общем я подумал ну хотят - и хрен с ним, статьи они свои не отзывали же. Как бы ради бога, вреда ж никакого.

- Хорошо, вы уже потихоньку стали заниматься коммерцией. На этом этапе выпуск езина - это что? Старое желание поделиться знаниями? Как-то вписать себя в историю журналов? Или это лебединая песня, в том плане, что раньше вы писали статьи, как это делали многие другие представители андеграунда, а потом стали отходить от конструктивного быта исследователей к теневой деятельности, и выпуск езина стал последним отголоском сценической движухи.

- Это было всё понемногу. Было и интересно выпустить журнал, так сказать попробовать себя в этом, журнал кстати неплохой получился,

его потом много лет еще читали, хотя казалось бы устареть должно всё. Ну и при создании журнала образовалось много контактов, которые помогли в дальнейшей уже коммерческой деятельности, а конструктивного там у нас мало было, это же вирусно-хакерский журнал был,

т.е. так или иначе посвященный цифровому оружию, деструктивный, если угодно.

- Это тоже конструктивизм по-своему, создание новых технологий и техник, которые двигают инфобез вперёд.

- Сцена после ринг0 еще существовала, но уже без нас. Как бы в моих глазах ей приговор подписало поведение sbvc в 2004, когда в прессе вот это все говно забурлило и они очканули и схлопнули целый форум, где куча вирмэйкеров тусовалась, и Lovingod там же был, он их малодушие тоже заценил, о чем и отписал потом в статье "10 лет vx сцены" или как то так. Причем зачем это было сделано до сих пор непонятно, т.к. их никто ни в чем даже не обвинял и нигде они не фигурировали. Статья аж в бумаге вышла в журнале "хакер", я тот номер даже купил.

- Расскажи про деятельность группы hangup. Если в 2001 и 2м году на сайте были в основном статьи, то в 2003 появляется раздел коммерции и помимо софта вы стали продавать шеллы и соксы, а в 2004 на продажу выставлялись уже и картон и банковские аккаунты.

- Ну тут всё просто, в какой-то момент возникло понимание, что у вирмэйкинга "как хобби" будущего нет, т.к. он жрет кучу времени, а кушать что-то надо. Стало очевидно, что надо пытаться совместить зарабатывание денег и любимое дело. Первое время просто продавали всякое, что утянули троями, потом этот процесс вышел уже реально на промышленные рельсы, я продавал несколько гигабайт данных в сутки по цене $400/гиг. Ну на сайте была оставлена форма связи и туда стали писать весьма интересные люди, кто с матюгами, а кто на предмет сотрудничества. В результате этого процесса в 2004м на IRC меня уже не было, может даже раньше, и вообще почти никого не было - все были в аське. Представляешь, что такое гиг логов перехватов форм? Во времена когда не было 2х факторной авторизации, то есть когда часто для перевода хватало именно что логина и пароля, даже без секретного слова. Подозреваю ущерб нанесенный западным банкам и клиентам просто огромен. Заработал я правда на этом не так чтобы много.

- Перевода чего? Денег в онлайн банке или пейпале?

- Да в любой платежной системе, хоть в еголде, но зато и не делал почти нифига - чисто логи продавал наразвес. Хз сколько лет я с этого кормился, могу по праву себе вешать медаль "почетный партизан".

- Т.е. ты писал под заказ софт и помимо этого делал установки своих же разработок и сам продавал логи с инсталов? Что-то кроме этого еще было в твоей деятельности ?

- Очень много чего было, взлом wifi, промышленный шпионаж, взлом банков и процессингов, движки шопов продающих за биткоин картон и дампы,

даже движки форумов, просто снятие крупных баз дампов и торговля дампами.

- Ты занимался веб-разработкой ?)

- Ну для себя, опять же когда панель управления к трою пишешь это в некотором роде веб разработка. Сайты на заказ я не делал и вообще в легале никогда не работал. Вот реально, это смешно, но это так. Боюсь, что пенсия мне не светит. как жить?

- Судя по всему тебе и без пенсии хватит средств.

- Ну я почти все потратил, не имею привычки копить деньги.

- Расскажи сначала про расценки на малварь в начале нулевых, сколько это стоило и сколько вы зарабатывали.

- В начале нулевых цена плавала от 2 до 5к, баксов конечно. Чуть позже до 30-50к, смотря от специфики, были заказы и подороже.

- Ты когда-нибудь продавал исходники продукта или это всегда были бинарные сборки?

- Продавал, куски, целиком никогда. Ну куски моего кода проданные таким образом встречаются в весьма известных софтинах.

- А софт за 30-50к - от чего такая стоимость зависела?

- От желаний заказчика. Что тебя удивляет? Посмотри расценки на разработку софта в какой-нибудь конторе, там и куда подороже найдешь, а тут еще и нелегальщина полнейшая. Да и во всей стране подобный опыт не так много людей имело, да и сейчас тоже.

- Не удивляет, просто может были какие-то подходы, что если заказчик - кардер, значит у него и денег больше, можно цену поднять выше обычной.

- Цена вполне рыночная там, и определялась скорее прибылью которую софт может приносить, мой был весьма эффективен.

- Сейчас модно сдавать малварь в аренду, т.е. фактически покупатель малвари ею не владеет ни в коей мере, он платит какой-то взнос, получает актуальный чистый бинарь и его задача только залить билд на целевые машины, а дальше выхлоп от работы малвари в разной степени делится между держателем сервиса и покупателем. насколько я помню, в нулевых таких схем не было, и покупатель малвари получал фактически stand-alone экземпляр и разворачивал всю инфраструктуру самостоятельно. Так ли это и считаешь ли ты современный подход более правильным?

- Мне лично этот подход не нравится, в силу того, что он сильно затратный по времени. К тому же такая схема а-ла saas может предполагать кучу клиентов на 1м серваке, что не круто для безопасности когда 50 дятлов на одном серваке банки долбят. Чтобы юзать свой бот на своей инфраструктуре уже нужна команда: трафер, чел со сплоями, операторы, что просеивают акки. Ну 3 человека минимум выходит, даже при совмещении. Аренда позволяет работать 1му т.к. вендор дает тебе все включая сервак и ты просто логинишься куда-то там.

В общем мне эта схема не нравится, но она имеет место быть, хотя сам я ее не использую.

- Лет 20 назад ты мне рассказывал, что из-за паранои у тебя комп был в разобранном виде и ты носил его просто в рюкзаке, без корпуса.

- А да, он у всех был разобран, тогда это было отчасти модно, ну и кроме того весьма практично. Платы клали прямо на стол на мягкой прокладке.

- Вы же в 2001 еще не продавали малварь прям так активно?

- Продавали, просто масштабы были другие, только-только начиналось. За 2001 не помню, но в 2002 я уже точно был на кардерплэнет и держал с одним челом прокси сервис, а основа прокси сервиса как ты понимаешь именно малварь, по крайней мере мне так помнится.

- А блог антидеза вёл ты?

- Там было несколько авторов, собсно имя автора вроде публиковалось,  я тут точно не помню. Потом я вообще выдал доступы нескольким людям из кардерского сообщества, но в том числе и я. Блог был попыткой противостоять откровенной бредятине, что гнали вендоры антивирусов у себя в новостях и даже, пожалуй, удачной. В том числе он демпфировал эффект инцидента 2004 года.

- Какой именно эффект?

-Эффект снежного кома слухов из всякого бреда. Там если почитать за 2004 год, что в гугле пишут, то можно найти, что у нас было 4000 мемберов, какая-то ахинея про ржавеющие подлодки и лосей, в общем лютый пиздец.

- Давай сделаем экскурс в историю. В середине 2004 года была шумиха по поводу вируса Padodor и массового взлома IIS серверов. На страницах взломанных серверов публиковался javascript код, который эксплуатировал 0дей уязвимость уже в Internet Explorer, в результате чего на комп пользователей заливался троян, грабящий пароли и всякое такое. Касперский тогда заявил, что в теле вируса была обнаружена строчка Coded by hangup team и тем самым авторство было приписано вашей группе. Потом были какие-то ответки с вашей стороны и прочие бурления. Расскажи своё видение этой истории, что правда, а что вымысел.

- Ну там всё просто было. У нас один чел заказал трой и атаку собсно делали его люди, так что мы даже не в курсе были подробностей. Ну Касперский же самый умный - он взял и написал, и назавтра оп - по телевизору это сказали, хотя копирайта там и правда не было. Хз зачем они написали, что он там был. Скорее всего просто сделали "на отъебись" мол и так сойдет. Если интересно, заказчик входил в администрацию Carderplanet,  был там не последним человеком. Ну а дальше там газетчики пошли наматывать - тема всем очень зашла. С этим заказчиком потом еще был прикол, он как то по ошибке дебаговую версию троя залил на 100к компов, а дебаговая версия - там окно выводится и всякие надписи типа "граббинг пассвордс... высылаем..." в виде лога в окошке идут. И что ты думаешь? Пароли таки пришли, достаточно много юзеров просто сидели смотрели и втыкали в это окошко, не закрывая его.

- Ну трой понятно, ваш, а атака на IIS и взлом IE?

- Взлом делали не мы, там он по моему вообще купил у кого-то уже наломанное, правда что-то весьма серьезное, не факт что атака вообще была. Он просто влепил что-то вроде сплоя на поломанные серваки, которые купил у кого-то.

- Ну т.е. на вас повесили в большей степени именно взлом, а троян как бы уже вдовесок?

- Ну там чего только не повесили.

- Дак взлом IE через сплойты на поломаных IIS'ах был?

- На самом деле никто толком не знает, чего там было. Даже мой непосредственный заказчик, он просто купил ломанные серваки где хостились крупные сайты, очень крупные и доверенные. Как их ломали - он не особо в курсах, ну по крайней мере он так говорил. И все, что можно почитать по этому поводу - походу высосано из пальца. Впрочем судить журналистов за это строго нельзя, если помнишь был такой чел Брюс Шнайер, он на полном серьезе как-то написал что мол hangup team снимает по 5 баксов с каждой американской карточки и дескать distributed pain и всё такое, но якобы имеет миллионы долларов. Можно подумать мы ему раз в квартал сканы бухгалтерии шлём, а ведь это не дурак - опытный специалист и такую ахинею несет. То есть чем тот же Брюс руководствовался когда делал такие заявления я хз.

Как бы ты вообще не в теме, зачем рот открываешь - выставляя себя идиотом? Что мол если у каждого амера по баксу стырить то типа незаметно, а в сумме хорошие деньги. Шнайер этого знать не мог, но в каком-то году у нас и в самом деле был доступ до VisaNet - они процессили пластиковые карты и были просто кучи MID'ов - merchant id. Причем мид мы могли блочить, вызывая срабатывания антифрод системы и в принципе таким образом можно было отключить прием пластика наверное даже не в одном штате. Ты же понимаешь, что такое остановить приём пластика даже в 1м городе?

- Visanet это прям основной процессинг визы?

- Я не помню, но на тот момент вроде как да, точнее это техническая сторона. То есть разные конторы у кого POS у них был mid - и они подключались через визанет. Ты кстати не думай, что там только виза процессилась, там всё шло, то есть блочишь мид и по сути пос вырубается. Смех был в том, что кучи мидов мы тупо отсканили, используя дыру в протоколе. Т.е. это был даже не взлом, обращаешься через гейт во внутреннюю сеть по протоколу - если приходит определенный ответ - значит такой мид существует.

- Гейт это ваш тоннель проброшенный внутрь или самим процессингом задуманный?

- Нет, это официальный гейт, в том плане, что там какая-то контора что-то процессила я уж не помню точно.

- Ну т.е. получается вы чекер сделали и брутили миды.

- По сути да, чекеры юзают тоже самое, да и миды можно было гасить, там на определенные действия шла реакция и мид дох - явно какой-то автомат работал.

- Дак а гасили то как? Тоже через гейт? Или уже после того как вы доступ туда получили?

- Несколько быстрых операций с одним дампом и разными цвв на треке, что-то вроде того. Т.е. визанет воспринимал, что идет брут цвв и гасил мид вообще. Сейчас такая канитель не проканает кстати. Доступа серьезного не было, но частичный доступ был - откуда снимались скрипты, документация. В том числе как-то раз залезли в банк - и там ковырялись уже в процессинге.

- Короче вы проломились куда-то, нашли документацию и стали экспериментировать ?

- Да, что-то сняли, что-то набросали люди.

- Блокировка мидов это побочный результат, а основная цель была какой?

- Восстанавливался второй трек из данных формата cc-exp-pin, ну и он пускался в работу - сами же граждане сша бежали в ближайший атм.

Так сказать наносили экономический ущерб "противному вероятнику" на его же территории, ну и подзаработали заодно.

В визанете тоже не дятлы работали, и им не нравилось, что кто-то брутит треки, а потом сразу снятие с атм идёт, поэтому миды дохли. Проведя пару экспериментов стало ясно из-за чего.

- А, получается вы хотели брутить треки через этот гейт?

- Мы не просто хотели, мы этим несколько лет занимались.

- А как в итоге антифрод обошли? Там же много попыток надо.

- Задержка, в итоге брут был довольно медленный, и мог занимать до полугода. 

- Для одного трека?

- Да, это уже под завершение этой деятельности.

- Потом появилось pvv и прочие прелести, в общем брутить так сейчас - вряд ли получится, да и антифрод сработает думаю уже на 5й попытке подбора цвв. В общем лично для меня этот биз свернулся где то уже в 2008-2009 году. Сейчас миды считаются большой ценностью.

- А возбуждались какие-то дела по снятию наличных с иностранных карт?

- Наверное в сша что-нибудь возбуждали, вопрос только в том что "принятые меры увенчались безуспешно".

- Т.е. нальщиков никто не ловил местных?

- Наверняка ловили кого-нибудь, но все ж было через посредника. Да, терялись деньги, но зато - на свободе. Просто оставались треки на обнал, а там уже какие нигеры по атм бегают совсем не наше дело.

- Дак налили только в сша, не в ру?

- Да, карты то американские были в основном. В ру их налить было бы крайне неудобно. Лимит по снятию с иностранных карт да и вообще - зачем родной эквайринг ебать. Ну ру карты мы вообще не трогали кстати, я всё время пропагандировал идею "не работать по ру", в том числе с помощью той же антидезы, да собственно в те годы это было и довольно бессмысленно. Пластик еще в ру не был распространен и на картах были какие-то копейки.

- За ру могли и наказать.

- Ну чтоб выебать, надо еще поймать, но зачем как бы идти на конфликт с властями на ровном месте, а так всем похуй, даже менты многие молчаливо выражали поддержку. Один в инете так и написал мол "да пусть они хоть всю эту америку там выебут" ну или что-то такое, это же были советские люди по менталитету.

- Ага, клятый запад

- Ну как видишь их взгляд вполне оправдан, мы сейчас в острой фазе конфликта с западом, а те кто думал, что будет "глобализация и интеграция" оказались мягко говоря не правы, а по факту обосрались в прогнозах.


PS...

- Ну ассанж имхо дятел какой-то, человек весьма странный. Тот же Сноуден хоть съебаться догадался, хоть и он не без привета.

 Если честно, я этого чела не очень уважаю, в том плане что у меня есть своя этика определенная. Если клиент мне платит, подписывает на дело - я его не кидаю, не роюсь в его акках и не использую данные в своих целях. Сноудену поручили работу - он всех кинул и съебал.

- Ему поручили быть патриотом, нарушая права сограждан ))

- Да я понимаю, идеалист - за свободу - вся херня...ну если бы мне поручили, например, взорвать елооустоун, чтобы залить лавой половину территории сша - я бы взорвал и не поморщился. Дело не в том, что я как-то особо не люблю США, а я их очень даже люблю, примерно как кот любит сметану.

- Просто если взялся за дело - так доводи до конца, возможно это один из ответов на вопрос, почему мне хорошо платят и даже обычно технический доступ с панелей ботов не снимают. Знают, что воровать их данные не буду.

вторник, 9 февраля 2021 г.

Интервью для Дмитрия Смилянца.

Это оригинальная версия интервью на русском языке. Первоначально его английский вариант был опубликован на Therecord.media для зарубежной аудитории. Дмитрий Смилянец ака Смелый ака smi известен как участник крупнейшего взлома в истории США.



1. Арес, расскажи о своём продукте Intercepter-NG. Когда ты его создал, зачем, и как ты видишь его развитие в будущем?

Intercepter-NG  - это сниффер, анализатор сетевых пакетов, инструмент для проведения сетевых MiTM атак. В его состав входит ещё много другого функционала, например сетевой перебор паролей и восстановление файлов из трафика. Представьте, что друг с другом скрестили Cain&Abel, Wireshark, Network Miner и THC-Hydra и еще ряд отдельных утилит, вот и получится Intercepter-NG. Кроме всего прочего, в нём есть и уникальные сетевые атаки, которых в принципе нет ни в одном другом инструменте. В этом году проекту исполняется 15 лет.

В середине 2000х годов было очень мало интересных сетевых инструментов под Windows, мне захотелось сделать такой, и самое главное сделать его бесплатным. Задумки на будущее есть. Возможно, переделаю его в кросс-платформенный проект с открытым исходным кодом, возможно, что-то ещё...

 

2. Как используется твой продукт? Какие есть примеры его использования Blue Teams? Как его могут использовать Red Teams?

Спектр применения Intercepter-NG весьма широк, как я уже сказал, он имеет очень разнообразный функционал, но, несмотря на кажущуюся простоту и обилие графических элементов управления, от пользователя требуется вполне конкретная техническая подготовка. Среди пользователей можно назвать системных администраторов, специалистов по информационной безопасности, пентестеров, но, к сожалению, им могут пользоваться и люди со злым умыслом. Участники Blue Teams могут использовать Intercepter-NG в некотором смысле в качестве honey-pot, отслеживая попытки коннекта к различным службам или попытки перебора паролей. Участники Red Teams могут непосредственно выполнять наступательные действия в сети: перехват трафика, получение удаленного доступа и так далее.

 

3. Расскажи подробно о твоём общении с Эдвардом Сноуденом.

В середине 2012 года мне написал один из англоязычных пользователей моей программы и сообщил, что при определенных условиях программа вылетает.

Я внёс необходимые изменения и исправил ошибку. Затем последовала череда вновь выявленных ошибок с его стороны. Как правило, вылеты происходили на больших объемах данных – гигабайты и десятки гигабайт. Я поинтересовался, откуда берётся этот трафик, на что мой собеседник ответил - из выходной ноды сети TOR. Для решения некоторых программных ошибок мне было необходимо получить часть данных, на которых происходил сбой программы. Таким образом, в моём распоряжении оказался некоторый объём pcap файлов, с помощью которых я смог улучшить работу своего приложения. Через некоторое время беседа прекратилась, а 30 мая 2013 года я написал ему сообщение с просьбой предоставить немного файлов с трафиком, т.к. я готовил к выпуску новую версию Intercepter-NG и хотел протестировать новые обработчики протоколов, но никакого ответа не последовало, а я благополучно забыл этот разговор. Лишь через полгода, когда я пролистывал старую переписку, я обратил внимание на имя моего собеседника - ed_snowden@lavabit.com. Вот это был сюрприз!

 

4. Пользуется ли он твоим продуктом сегодня?

Откуда мне знать? Наша переписка закончилась в 2012 году... Пользуясь случаем передаю ему привет!

 

5. Что ты думаешь о его поступке и о нём как о профессионале?

Он, безусловно, крутой технический специалист, не какой-то там рядовой системный администратор. Думаю, его позиция всем известна, моя оценка его действий не имеет значения.

 

6. Ты завёл Youtube канал и выпускаешь интересные видео и интервью, но ты не раскрываешь себя. Почему?

Во-первых, это привычка. Мы же якобы хакеры, должны скрываться и оставаться анонимными, хоть и скрывать особо нечего. Во-вторых, когда-то давно меня пригласили поучаствовать в подкасте, и тогда я изменил свой голос. Получился такой таинственный образ, к которому сейчас добавилась маска. Это прикольно. Я думаю вполне очевидно, что после запуска Youtube канала выход из тени не за горами.

  

7. Очевидно, что ты специалист высшего класса, расскажи, чем ещё ты занимаешься, как ты монетизируешь свои знания?

Моя основная деятельность не связана с IT, мой проект и нынешняя медийная активность скорее хобби. Кроме этого я занимаюсь научной и около-научной деятельностью. Это всё, что могу сказать.

 

8. Как изменилась хакерская сцена за последние 20 лет?

На мой взгляд, она не просто изменилась, а умерла - навсегда. Для меня хакерская сцена существовала с конца 90-х годов и до конца двухтысячных. Это было время, когда лучшие хакеры, программисты, крякеры, вирусописатели объединялись в группы и обменивались информацией, взаимодействовали друг с другом, жили этим. В каждой стране были центральные тусовки, эти люди сидели преимущественно в IRC. Золотым временем было начало 2000-х годов, когда на слуху были такие группы как TESO, uNf, THC, w00w00, 29a, ADM, Phenoelit и другие. Это был бум развития многих техник эксплуатации уязвимостей, было найдено большое количество RCE уязвимостей в самых популярных программных продуктах. После чего стали активно разрабатываться новые механизмы защиты. Многие участники хакерского сообщества стали создавать свои собственные ИБ компании или устраиваться на работу к IT гигантам. Кто-то решил заниматься нелегальной деятельностью... Поэтому люди разбрелись, стало гораздо меньше выходить инструментов от хак-групп. Вот Intercepter-NG, кстати говоря, первое время позиционировался именно как релиз от хак-группы, в которой я состоял в качестве программиста.

 

9. Что ты думаешь о криптолокерах? Какой вариант по твоему самый технически совершенный и почему?

С технической точки зрения криптолокер это очень примитивный тип малвари, его напишет даже школьник, именно поэтому самые первые криптолокеры были настолько убоги, что вирусные аналитики постоянно находили в них ошибки, благодаря которым можно было восстановить зашифрованные данные. Понятно, что опытные вирусописатели стали применять асимметричное шифрование, при котором возможность самостоятельно дешифровать данные стремится практически к нулю. С этической точки зрения я категорически не приемлю криптолокеры и осуждаю людей, которые их применяют для шантажа.

 

10. Какой совет ты бы дал западным компаниям, которые еще не были атакованы вымогателями? Как можно обезопасить корпоративную сеть от атаки локеров?

К сожалению, самым слабым звеном практически всегда является человек. Необходимо работать с персоналом и исключать ситуации, когда рядовой сотрудник запускает файлы неизвестного содержимого. Для критически важных данных необходимо регулярно делать резервные копии. Это всё давно известно.

 

11. Ты ранее обучал молодых ИБ специалистов. Думаешь государство способно предоставить работу выпускникам в 2021? Или они, как и прежде, будут самостоятельно искать возможности трудоустройства?

Обучал молодых специалистов - это громко сказано, я единожды прочитал лекцию для студентов одного ВУЗ'а, не более того. По поводу работы... Я не считаю, что государство в обязательном порядке должно выделять рабочие места для только что выпустившихся специалистов. Имеются ли вакансии для молодых айтишников в государственных структурах? Уверен - имеются. Должны ли вчерашние студенты обустраивать свою жизнь самостоятельно? Должны. Если вас никуда не берут, значит, вы, вероятно, плохо учились и специалист из вас не очень. Это капитализм.

 

12. Что ты думаешь об аттрибуции атаки SolarWinds? Почему западные агентства так уверенно заявляют о связях спецслужб и русских хакеров?

Я не слежу за взломами подобного рода, мне это не интересно. По поводу обвинений русских хакеров во всех грехах - это уже сложившаяся традиция. У нас американские президенты ссут в подъездах, а у них повсюду хакеры в ушанках.

 

13. Расскажи секрет.

“I'm Batman. Your secret is safe.”