UA RU
logo
29 Гру 2022

Знищувати супротивника потрібно виключно з любов’ю – засновник HackYourMom Микита Книш

Юлія Товстоліс

Редакторка новин MC.today

Засновник проєкту HackYourMom Микита Книш – один з українських хакерів, які оголосили росіянам «кіберджихад».

Крім іншого, він часто розповідає нашим читачам про кібербезпеку та навчає нас цифрової грамотності. Ми вирішили разом підбити підсумки року і запросили Микиту на інтерв’ю.

Микита Книш

Як ваш проєкт HackYourMom? Які новини? Що ви робите? Які сюрпризи ворогові готуєте в новому році?

Нещодавно не ми, а інші українські хакери привітали російських військових, розмістивши певну інформацію на сайтах, зробили дефейсТип хакерської атаки, при якій головна (або важлива) сторінка сайту замінюється на іншу. З прикольного, поржати можна – це злом російського форуму «Армія 2023». Там презентували новинки рособоронпрому – сміттєвий пакет, шльопанець. «Аналоговнєт»-рішення, так скажемо. Мені найбільше сподобалося «Що з е**лом косметикс». Кіберджихад продовжується…

Якщо серйозно і не розбирати дитячі приколи на кшталт дефейс, DDoS і т. п., давайте я вам покажу, а ви нікому не розкажете, «по секрету всьому світу». Ми зламали багато камер відеоспостереження та інших автоматизованих систем різних об’єктів на території росії, у тому числі військових. І в цьому ми молодці.

*Микита показав приклади деяких сюрпризів для росіян, але ми не станемо розголошувати дані, які можуть зіграти на руку ворогові*

Спробуй свої сили в ІТ
Хочеш в ІТ, але не знаєш чи потягнеш? Запишись на безоплатну кар'єрну консультацію та тестування – зроби перший крок назустріч новій та цікавій роботі
РЕЄСТРУЙТЕСЯ!

Крім цього, зламали супутниковий зв’язок у росії вже, у важкодоступних місцях.

Також ми просто знищуємо компанію «Яндекс»: і в плані репутації, і в плані витоків даних. Ми відкрито беремо дані «Яндекс.Еды» і використовуємо їх, наприклад, для інформування ФСБ про фейкові ДРГ. Для того, щоб паралельно з цим завдати максимальних збитків великому IT-бізнесу і змусити його припинити підтримувати владу в росії. Витоку даних із величезних компаній типу «Яндекса» істотно сприяють розвитку ринку шахрайства в лаптестані.

Якої максимальної шкоди можна завдати ворогові?

Максимально можна, умовно, відключити «Газпром», відключити видобуток нафти, так би мовити. Теоретично можна, знову ж таки, умовно, відключити сітку банкоматів. Теоретично можна все, що завгодно. Але практично вони, як і ми, є досить аналоговою країною. Тому в них завжди є якийсь Іван із рубильником, який може щось увімкнути назад, але це «щось» з віддаленим керуванням вже не працюватиме.

Найбільших збитків зараз завдають активісти та люди, які закликають міжнародний бізнес йти з росії. Не всі прямо закликають, деякі «ультимативно просять».

Розмір збитків може бути від нуля до $100 млрд. Можна розвалити цілу галузь за допомогою хакерів, якщо, звичайно, почнуть одночасно ламати. Це теоретичний сценарій, але на практиці тактика 1000 дрібних порізів працює.

Ви говорили про плани видалити власні фотографії. Наскільки безпечно вам зустрічатися з незнайомими людьми, бути публічним, в ефіри вмикатися? 

Я говорив про плани видалити власні фото з каналу та порталу для деперсоналізації. Але на початку активної фази війни треба було пояснити українським айтівцям, що тепер ламати свинособак – це прийнятно. Грабувати росіян – це взагалі почесно. А ті, хто кидає росіян на гроші та донатить на ЗСУ, – це взагалі герої сьогодні. Тому довелося показувати обличчя і біографію, оскільки люди не пішли б за зовсім ноунеймом.

У нас триває війна. Ми не говоримо «вбивати». Ми кажемо знищувати супротивника, це важливо. Знищувати супротивника потрібно виключно з любов’ю, по-перше. По-друге, з гарячим серцем та холодним розумом. Знищувати фізично – найпочесніша робота, проте ми знищуємо їх економічно та «кібернетично», іноді навіть не встаючи з дивана.

Чи безпечно мені? У моєму випадку по всіх людях, з якими я зустрічаюся, співробітники надсилають мені короткий звіт. Збирають, хто, що, де, коли, контакти, соцмережі, ваші паролі, що втекли, нам прислали про всяк випадок. Ми маємо стандартну процедуру, за нею я перевіряю людей, з якими зустрічаюся, іноді навіть не я перевіряю.

Завжди цікаво, що про тебе знають люди, які щось знають…

Колись була ситуація також цікава з журналістом, який дуже образився на таке, він був з ICTV. Я розповів, що у нього бабуся є, всіх родичів показав. Він охр**ів. Я розповів, як він квартиру купив і таке інше.

Виходячи з необхідності додатково піклуватися про свою безпеку, є у вас якісь щоденні дії, ритуали – перевірити, чи немає на машині маячків чи щось таке? 

Так можна дійти до того, щоб ходити в шапочці з фольги. Все простіше. Я зараз машини часто став міняти, їжджу на дешевих авто. Це перше. А друге – номери перевішувати, це ж нескладно.

На мій погляд, потрібно дотримуватися адекватних мір, але не маргіналізувати цей процес. Я жартував, що я та людина, в якої на певному життєвому етапі з’явилася манія переслідування, яку я перетворив на бізнес. Зміг, так би мовити, настільки якісно переробити це із психологом, що створив із цього бізнес. Це жарт, звичайно, але фактично я продаю людям кібербезпеку, оцінюючи та використовуючи їхні страхи та манії переслідування.

Публічність потрібно використовувати не для того, щоб потішити власне его, на мою суб’єктивну думку. А для того, щоби нести якісь зміни.

Які зміни зазнаємо саме ми? Ми, наприклад, опублікували ініціативу повністю відмовитися від деяких продуктів компанії Microsoft на території України. Ось навіщо Microsoft на території України, якщо є безплатні аналоги? Чим Linux гірший? Скільки грошей ми заощадимо!

Друга – Bug Bounty. ФедоровМіністр цифрової трансформації Михайло Федоров там якихось хакерів наймає і так далі. Я говорю – досить займатися профанацією. Ось сек’юріті ТХТ, в корінь сайту додається як роботс ТХТ.

Роботс ТХТ – це файл, який відповідає, грубо кажучи, дає пошуковим роботам розуміння, що можна сканувати, а що – не можна. Так от, сек’юріті ТХТ, дає просто мейл, куди надсилати вразливості й ключ шифрування, яким потрібно зашифрувати текст, щоб ніхто не перехопив ці вразливості. Відповідно, якщо до кореня всіх державних сайтів додати один файл – це запуск національної баг-баунті на всіх державних ресурсах. За нуль гривень, нуль копійок.

І ми це успішно запровадили у Харкові, у Департаменті цифрової трансформації Харківської міської ради. За нуль гривень, нуль копійок.

Ось нам пан президент обіцяв соціальний ліфт. Пам’ятаєте? lift.net.ua. І зараз можна відкрити цей сайт. Так от туди пропонували надсилати державні ініціативи. Я туди надіслав дві державні ініціативи і вбудував у них трекер, щоб зрозуміти, чи відкривали їх взагалі. Так от, я наголошую, вони навіть не відкрили моїх пропозицій від слова «взагалі». Нуль переходів за посиланням, я думаю, інші пропозиції вони теж не відкривали, оскільки це найчистіша профанація.

З іншого боку, можна багато розповідати про успішні державні ініціативи. Я скрізь говорю, що «Дія» – це приклад успішної державної ініціативи. «Дія» – це найкраще, що трапилося з Україною за останні 30 років. Але вони будують цифровий Радянський Союз. А ще вони будують шоу, а так із держінструментами не можна. У нас у «Дії» вирішуються проблеми рівня кого вибрати на нацвідбір на Євробачення. Завтра там буде голосування за «Холостяка», а післязавтра ми обиратимемо там переможця «Танців із зірками». Розумієте? Це треш.

Щодо війни. Ви ж напевно знали та підозрювали, що це все буде і раніше 24 лютого. 

Ну звичайно. Я возив співробітників на полігон для стрільб, маю навіть фотки у Facebook, а потім ми реально орендували бункер.

Так, мої найближчі родичі вважали що я ї**нувся головою. Казали: «Ти купуєш помпу, якою можна фільтрувати не те що воду, а навіть сечу і перетворювати її на воду, і використовувати її як питну, живучи у центрі міста. У тебе з головою все нормально?».

І коли я вже почав платити за оренду бункера щомісяця, а там рахунки збиралися, то сімейний бюджет… ну, м’яко кажучи, було помітно.

Слава богу, що я був параноїком. Як то кажуть якщо ви не параноїк, то це ще не означає, що за вами не стежать. *Сміється*

Що із війною. Якщо не займатися аналітикою рівня Арестовича, а відкрити поняття міжнародні цикли – економічні, військові тощо, ви побачите, що все в історії є циклічним. І ця війна була не те що передбачуваною, вона була закономірним і єдиним способом російської федерації вийти з кризи. Їм потрібна була ця маленька «переможна» війна. Так само як у 2030-му чи 2034-му році вже очевидний конфлікт між Китаєм та США, або просто розвал Китаю. Для мене він уже сьогодні очевидний.

Відповідно, я це не передбачав, звичайно, – я читав якусь розвідінформацію США та Великої Британії, яку опублікували для всіх. Почитував та інші джерела, звичайно, знав дату 16 лютого, як і всі знали.

З початком повномасштабної війни дедалі більше людей уникає російського. Як простій людині зрозуміти, що компанія з російським корінням, з російськими засновниками, де шукати цю інформацію, щоб їх не підтримувати? 

Нам, напевно, потрібно створювати реєстр якийсь, на кшталт «Миротворця», тільки не такий зашкварений. Є такий ресурс/сервіс Web of Trust. Сенс у тому, що ти ставиш розширення у браузер і можеш там голосувати, безпечний сайт чи небезпечний. Якщо небезпечний, ти голосуєш там. Умовно 5 голосів набралося – Google позначає цей сайт як небезпечний. Українцям потрібно зараз сформувати якусь базу з перевірки контрагентів. Тому що справді є проблема з тим, що русня оформляє компанію в Болгарії чи Угорщині, на Кіпрі, і ховає своїх кінцевих бенефіціарів.

Якщо говорити про наш бізнес, хто зі співробітників компанії найбільш уразливий, кого ламатимуть насамперед? 

Бухгалтера та коханку директора.

Як їм захиститись? 

На коханку директора потрібно не записувати нічого, бо у нас такі практики постійно використовуються. А ось бухгалтера – тільки відправляти на курси. Є курси для С-левелів, тобто CEO, CFO, CTO потрібно постійно відправляти на якісь тренінги з кібербезпеки та цифрової гігієни, це буде корисно.

Які найдурніші та найдивніші запити від клієнтів ви отримували? Я чула, що злом Instagram у вас уже у печінках сидить, розкажіть про це детальніше. 

В основному це пов’язано з особистими речами, а ми не ліземо в особисте життя. Ми не розслідуємо зради, не виявляємо дані і подібні факти, але, як правило, великий бізнес, коли ми закінчуємо якийсь аудит, вони викликають окремо, кажуть спасибі бла-бла, якесь застілля прийняте наприкінці завершення великого проєкту. Ми не дешеві, м’яко кажучи, хлопці, контракти у нас на рік чи півроку. Або мінімум на місяць. І, значить, ми закінчуємо проєкти, нас запрошують для звітування і там у рамках «відзначення» нам починають ставити якісь безглузді питання. Типу: «А можеш ще вичислити мою коханку?». Або зламати листування дружини, бонусом. В основному, пов’язане з особистим життям, це некрасиво напевно буде деталізувати, але дебільних запитів дуже багато. Від злому ігор до «зламайте тендерну систему» ​​або «змініть оцінки сина з ЗНО», чого тільки не просять. Я просто окрему рубрику вів. Як правило, це речі пов’язані з Instagram, TikTok, зламай пошту, пошпигунь за тим чи тим. Здебільшого пов’язані з особистою нісенітницею речі чи спроби обдурити держсистему. З машинами ще багато звертаються, продають биту хрінь і просять видалити інформацію, що машина була в ДТП.

Хакери професійні, які поважають себе, такою нісенітницею не займаються, я на цьому наголошую. Але, на жаль, я об’єктивно можу сказати, що таки робив винятки для деяких людей, бо є люди, яким не можна відмовити. Я не можу їм відмовити різних причин, тому й таке бувало.

Що б ви порадили батькам, якщо дитина приходить до них і каже, мовляв, мамо, тато, я хочу стати хакером? 

Це найкраще, що можуть почути батьки в Україні, бо це класний шлях. Дивіться, я з дуже бідної сім’ї, це дуже важливо. У мене не було знайомств, зв’язків, рішалова і т. д.

Якщо ваша дитина сказала, що хоче стати хакером, це означає, що вона хоче стати, як мінімум, хитрою, а як максимум, – розумною людиною, яка вміє використовувати айті-системи та витягувати з будь-яких уразливостей вигоду для себе чи третіх осіб. На цьому можна збудувати бізнес. Тобто хакер – це той, хто вміє отримувати вигоду з уразливостей інших систем, людей, замків, чого завгодно.

Йому потрібно створити бекграунд, його потрібно вчити критичному мисленню, йому потрібно зайти на наш сайт hackyourmom у розділ «Навчання». І там уже зібрано всі методичні матеріали.

Після війни я саме займуся тим, що ми навчатимемо дітей, як стати хакерами. Це моя велика мрія – займатися саме з бідними дітьми, із дитячих будинків, для них будуть безплатні програми навчання. За створення яких заплатять чиїсь багатенькі дітки. Дитину потрібно навчати, розвивати і якнайбільше підтримувати, якнайменше критикувати.

Це далеко не все, про що ми говорили з Микитою. Багато важливих речей ми опублікували і ще опублікуємо окремо.

По темі:

Новини

Спецпроєкти

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: