Уничтожать противника нужно исключительно с любовью – основатель HackYourMom Никита Кныш

Основатель проекта HackYourMom Никита Кныш – один из украинских хакеров, которые объявили россиянам «киберджихад».

Помимо прочего, он часто рассказывает нашим читателям о кибербезопасности и учит нас цифровой грамотности. Мы решили вместе подвести итоги года и пригласили Никиту на интервью.

Как ваш проект HackYourMom? Какие новости? Что вы делаете? Какие сюрпризы врагу готовите в Новый год?

Недавно не мы, а другие украинские хакеры поздравили российских военных, разместив определенную информацию на сайтах, сделали дефейс (тип хакерской атаки, при которой главная (или важная) страница сайта заменяется на другую). Из прикольного поржать можно – это взлом форума россиянского «Армия 2023». Там презентовали новинки рособоронпрома – мусорный пакет, шлепок. Аналоговнет-решения, так скажем. Мне больше всего понравилось «Что с е**лом косметикс». Киберджихад продолжается…

Если серьезно и не разбирать детские приколы типа дефейс, DDoS и т. п. давайте я вам покажу, а вы никому не расскажете, «по секрету всему свету». Мы взломали очень много камер видеонаблюдения и других автоматизированных систем разных объектов на территории россии, в том числе военных. И в этом мы молодцы.

*Никита показал примеры некоторых сюрпризов для россиян, но мы не станем разглашать данные, которые могут сыграть на руку врагу*

Помимо этого, взломали спутниковую связь в россии уже, в труднодоступных местах.

Также мы просто уничтожаем компанию «Яндекс», и в плане репутации и в плане утечек данных. Мы открыто берем людей из утечек «Яндекс.Еды» и используем их данные, например, для информирования ФСБ о фейковых ДРГ. Для того, чтобы параллельно с этим нанести максимальный ущерб крупному IT-бизнесу и заставить его прекратить поддерживать власть в рф. Утечки данных из огромных компаний типа «Яндекса» существенно способствуют развитию рынка мошенничества в лаптестане.

Какой максимальный ущерб можно нанести врагу?

Максимально можно, условно, отключить «Газпром», отключить добычу нефти, так сказать. Теоретически можно, опять-таки, условно, отключить сетку банкоматов. Теоретически можно все что угодно. Но практически они, как и мы, довольно аналоговая страна. Поэтому у них всегда есть какой-то Иван с рубильником, который может что-то включить обратно, но это «что-то» с удаленным управлением уже работать не будет.

Наибольший ущерб сейчас наносят активисты и люди, которые призывают международный бизнес уходить из россии. Не все прямо «призывают», некоторые «ультимативно просят».

Размер ущерба может быть от нуля до $100 млрд. Можно развалить целую отрасль при помощи хакеров, если, конечно, все начнут одновременно ломать. Это теоретический сценарий, но и на практике тактика 1000 мелких порезов работает.

Вы говорили насчет планов удалить собственные фотографии. Насколько безопасно вам встречаться с незнакомыми людьми, быть публичным, в эфиры включаться? 

Я говорил о планах удалить собственные фото с канала и портала, для деперсонализации. Но в начале активной фазы войны нужно было объяснить украинским айтишникам, что теперь ломать свинособак – это приемлемо. Грабить россиян – это вообще почетно. А тех, кто кидает русских на деньги и донатит на ВСУ – это вообще герои на сегодняшний день. Поэтому пришлось показывать лицо и биографию, так как люди бы не пошли за совсем ноунеймом.

У нас идет война. Мы не говорим «убивать». Мы говорим уничтожать противника, это важно. Уничтожать противника нужно исключительно с любовью, во-первых. Во-вторых, с горячим сердцем и холодным разумом. Уничтожать физически – самая почетная работа, однако мы уничтожаем их экономически и «кибернетически», иногда даже не вставая с дивана.

Безопасно ли мне? В моем случае по всем людям, с которыми я встречаюсь, сотрудники высылают мне короткий отчет. Собирают, кто, что, где, когда, контакты, соцсети, утекшие ваши пароли нам прислали на всякий случай. У нас есть стандартная процедура, по ней я проверяю людей, с которыми встречаюсь, иногда даже не я проверяю.

Всегда интересно, что о тебе знают люди, которые что-то знают…

Когда-то была ситуация тоже интересная с журналистом, который очень обиделся на такое, он был с ICTV. Я рассказал что у него бабушка есть, всех родственников показал. Он охр**ел. Я рассказал, как он квартиру купил и все остальное.

Исходя из необходимости дополнительно заботиться о своей безопасности, есть у вас какие-то ежедневные действия, ритуалы – проверить, нет ли на машине маячков или что-то в этом роде? 

Так можно дойти до того, чтоб ходить с шапочкой из фольги. Все проще. Я сейчас машины часто стал менять, я езжу на дешевых авто. Это первое. А второе – номера перевешивать, это ж несложно.

На мой взгляд нужно соблюдать адекватные предосторожности, но не маргинализировать этот процесс. Потому что я шутил, что я тот человек, у которого на определенном жизненном этапе появилась мания преследования, которую я превратил в бизнес. Смог, так сказать, настолько качественно переработать это с психологом, что создал из этого бизнес. Это шутка, конечно, но фактически я продаю людям кибербезопасность, оценивая и используя их страхи и мании преследования.

Публичность нужно использовать не для того, чтобы потешить собственное эго, по моему субъективному мнению. А для того, чтобы нести какие-то изменения.

Какие изменения несем конкретно мы? Мы, например, опубликовали инициативу о том чтобы полностью отказаться от некоторых продуктов компании Microsoft на территории Украины. Вот зачем Microsoft на территории Украины если есть бесплатные аналоги? Чем Linux хуже? Сколько денег мы сэкономим!

Вторая – Bug Bounty. Федоров (Министр цифровой трансформации Михаил Федоров) там выделяет, каких-то хакеров там нанимает и так далее. Я говорю – хватит заниматься профанацией. Вот секьюрити ТХТ, в корень сайта добавляется как роботс ТХТ.

Роботс ТХТ – это файл, который отвечает, грубо говоря, дает поисковым ботам понимание, что можно сканировать, а что – нельзя. Так вот, секьюрити ТХТ, дает просто мэйл, куда слать уязвимости и ключ шифрования, которым нужно зашифровать текст, чтоб никто не перехватил эти уязвимости. Соответственно, если в корень всех государственных сайтов добавить один файл – это запуск национальной баг баунти на всех государственных ресурсах. За ноль гривен, ноль копеек.

И мы это успешно внедрили в Харькове, в Департаменте цифровой трансформации Харьковского городского совета. За ноль гривен, ноль копеек.

Вот нам господин президент обещал социальный лифт. Помните такое? lift.net.ua. Сейчас можно открыть этот сайт. Так вот туда предлагали слать государственные инициативы. Я туда послал две государственные инициативы и встроил в них трекер, чтоб понять, открывали ли их вообще. Так вот, я подчеркиваю, они даже не открыли моих государственных предложений от слова «совсем», ноль переходов по ссылке, я думаю другие предложения они тоже не открывали, так как это чистейшая профанация.

С другой стороны, можно очень много рассказывать про успешные государственные инициативы. Я везде говорю, что «Дия» – это пример успешной государственной инициативы. «Дия» – это лучшее, что случилось с Украиной за последние 30 лет. Но они строят цифровой Советский Союз. А еще они строят шоу, а так с госинструментами нельзя. У нас в «Дие» решаются проблемы уровня «кого выбрать на нацотбор на «Евровидение»». Завтра там будет голосование за «Холостяка», а послезавтра мы будем выбирать там победителя «Танцев со звездами». Понимаете? Это трэш.

По поводу войны. Вы же наверняка знали и подозревали, что это все будет, раньше 24 февраля. 

Ну конечно. Я возил сотрудников на полигон для стрельб, есть даже фотки в Facebook, а потом мы реально арендовали бункер.

Да, мои ближайшие родственники считали что я е**улся головой. Говорили: «Ты покупаешь насос, которым можно фильтровать не то что воду, а даже мочу и превращать ее в воду, и использовать ее как питьевую, живя в центре города. У тебя с головой все нормально?».

И когда я уже начал платить за аренду бункера ежемесячно, а там счета копились, то семейный бюджет… ну, мягко говоря, было заметно.

Слава богу, что я был параноиком. Как говорится если вы не параноик, то это еще не значит, что за Вами не следят. *Смеется*

Что с войной. Если не заниматься аналитикой уровня Арестовича, а открыть понятия международные циклы – экономические, военные и т. д., вы увидите, что все в истории циклично. И эта война была не то что предсказуемым, она была закономерным и единственным способом российской федерации выйти из кризиса. Им нужна была эта маленькая «победоносная» война. Точно так же, как в 2030-м или 2034-м году уже очевиден конфликт между Китаем и США, или просто развал Китая. Для меня он уже сегодня очевиден.

Соответственно, я это не предсказывал, конечно, – я читал какую-то развединформацию США и Великобритании которую опубликовали для всех. Почитывал и другие источники, конечно, знал дату 16 февраля, как и все знали.

С началом полномасштабной войны все большее число людей избегает российского. Как простому человеку понять, что компания с российскими корнями, с российскими основателями, где искать эту информацию, чтобы их не поддерживать? 

Нам, наверное, нужно создавать реестр какой-то, типа «Миротворца», только не такой зашкваренный. Есть такой ресурс/сервис Web of Trust. Смысл в том, что ты ставишь приложение в браузер и можешь там голосовать, безопасный сайт или опасный. Если опасный, ты там голосуешь. Условно 5 голосов набралось – Google отмечает этот сайт как опасный. Украинцам нужно на данный момент сформировать какую-то базу по проверке контрагентов. Потому что действительно есть проблема с тем, что русня оформляет компанию в Болгарии или Венгрии, на Кипре, и прячет своих конечных бенефициаров.

Если говорить о нашем бизнесе, кто из сотрудников компании наиболее уязвимый, кого будут ломать в первую очередь? 

Бухгалтера и любовницу директора.

Как им защититься? 

На любовницу директора нужно не записывать ничего, потому что у нас такие практики постоянно используются. А вот бухгалтера отправлять только на курсы. Есть курсы для С-левел, то есть CEO, CFO, CTO нужно постоянно отправлять ваших сотрудников на какие-то тренинги по кибербезопасности и цифровой гигиене, это будет полезно.

Какие самые глупые и самые странные запросы от клиентов вы получали? Я слышала, что взлом Instagram у вас уже в печенках сидит, расскажите об этом детальнее. 

В основном это связано с личными вещами, а мы не лезем в личную жизнь. Мы не расследуем измены, не выявляем данные и подобные факты, но как правило крупный бизнес, когда мы заканчиваем какой-то аудит, они вызывают отдельно, говорят спасибо бла-бла, какое-нибудь застолье принято в конце завершения крупного проекта. Мы не дешевые, мягко говоря, ребята, контракты у нас на год или полгода. Или минимум на месяц. И, значит, мы заканчиваем проекты, нас приглашают для сдачи отчета и там в рамках «отмечания» нам начинают задавать какие-то дурацкие вопросы. Типа: «А можешь еще вычислить мою любовницу?». Или сломать переписку жены, бонусом. В основном, связано с личной жизнью, это некрасиво будет наверное детализировать, но дебильных запросов очень много. От взлома игр, до «взломайте тендерную систему» или «измените оценки сына по ВНО», чего только не просят. Я прямо отдельную рубрику вел. Как правило, это вещи связанные с Instagram, TikTok, взломай почту, пошпионь за той-то или тем-то. В основном связанные с личной ерундой вещи или попытки обмануть госсистему. По машинам еще много обращаются, продают битую хрень и просят удалить информацию, что машина была в ДТП.

Хакеры профессиональные, уважающие себя, такой ерундой не занимаются, я это подчеркиваю. Но, к сожалению, я объективно могу сказать, что таки делал исключения для некоторых людей, потому что есть люди, которым нельзя отказать. Я не могу им отказать по разным причинам, поэтому и такое бывало.

Что бы вы посоветовали родителям, если ребенок приходит к ним и говорит, мол, мама, папа, я хочу хакером стать? 

Это самое лучшее, что могут услышать родители в Украине, потому что это классный путь. Смотрите, я из очень бедной семьи, это очень важно. У меня не было знакомств, связей, решалова и т. д.

Если ваш ребенок сказал, что хочет стать хакером, это значит, что он хочет стать, как минимум, хитрым, а как максимум, – умным человеком, который умеет использовать айти-системы и извлекать из любых уязвимостей выгоду для себя или третьих лиц. На этом можно построить бизнес. То есть хакер – это тот, кто умеет извлекать выгоду из уязвимостей других систем, людей, замков, чего угодно.

Ему нужно создать бэкграунд, его нужно учить критическому мышлению, ему нужно зайти на наш сайт hackyourmom в раздел «Навчання». И там уже собраны все методические материалы.

После войны я именно займусь тем, что мы будем обучать детей, как стать хакерами. Это моя большая мечта – заниматься именно с бедными детьми, из детских домов, у них будут бесплатные программы обучения. За создание которых заплатят чьи-нибудь богатенькие детки. Ребенка нужно обучать, развивать и как можно больше поддерживать, как можно меньше критиковать.

Это далеко не все, о чем мы говорили с Никитой. Многие важные вещи мы опубликовали и еще опубликуем отдельно.