Уволился из-за вируса Petya и стал хакером: история основателя Hacken Дмитрия Будорина

В 2017 году вирус Petya уничтожил данные миллионов пользователей по всему миру. Он рассылался через электронную почту и очень быстро добрался и до государственных данных. Одним из пострадавших украинских предприятий было ГП «Антонов». Вирус атаковал большую часть компьютеров, но их успели выключить до того, как Petya уничтожил ценные данные.

Руководство «Антонова» обратилось к Дмитрию Будорину, который тогда руководил киберцентром в «Укроборонпроме». Его сотрудники бесплатно нашли способ, который помог бы сохранить данные стратегически важного государственного предприятия. Но им никто не воспользовался – в СБУ «Антонову» «порекомендовали» не использовать разработанный киберцентром алгоритм, а закупить дорогое и бесполезное в данном случае оборудование. Данные были потеряны, оборудование осталось пылиться на складе, а Дмитрий Будорин окончательно разочаровался в работе чиновника и решил уволиться с госслужбы.

Сейчас он СЕО IT-компании Hacken, которая занимается кибербезопасностью. В ее «составе» – одно из крупнейших сообществ этичных хакеров, специалисты по проверке безопасности и даже рейтинг криповалютных бирж. Редакция MC.today пообщалась с Дмитрием и расспросила о его бизнесе, хакерах и планах на будущее.

Содержание:

• Как 21-летний студент получил работу в компании из «большой четверки» и сразу влез в кредит
• Зачем я ушел из международного бренда в госкомпанию


• Как вирус Petya заставил меня уйти из госкомпании
• Сколько стоит ICO и как мы собрали на нем $4 млн
• Как конфликт с акционерами перерос в уголовное дело и почему в компании осталось четыре основателя
• Чем занимается Hacken
• Зачем Hacken рейтинг криптобирж, если они на нем не зарабатывают
• Как выглядит типичный хакер и почему ему выгоднее работать «легально»
• Бывают ли клиенты без дырок в уязвимости и с кем работает Hacken
• Про простые правила безопасности и почему Hacken станет Google в своей сфере

Как 21-летний студент получил работу в компании из «большой четверки» и сразу влез в кредит

Я родился в Киеве в 1986 году, в простой для тех времен семье: мама и бабушка были бухгалтерами, папа – строитель. Помню, что с детства любил задачи со звездочкой в учебниках, постоянно выигрывал олимпиады по математике.

Дмитрий Будорин – основатель компании Hacken

С украинским языком и литературой ситуация была куда хуже, поэтому поступить на бюджет без взятки получилось только в Академию внешней торговли на факультет международной экономики. Сейчас это учебное заведения переименовали в УГУФМТ (Украинский государственный университет финансов и международной торговли), на тот момент это был не такой уж плохой вуз – в нем учились Кучма, Симоненко.

Учеба не слишком меня интересовала, хотелось работать – поэтому я стал искать работу и разослал резюме во всю «большую четверку» (четыре крупнейших в мире сети компаний, предоставляющих аудиторские и консалтинговые услуги: Deloitte, PricewaterhouseCoopers, Ernst & Young и KPMG. – Прим. ред.). Меня пригласили на тесты – по математике, логике, английскому. С первыми двумя я справился идеально, с последним – хуже. Но им все равно подошло.

Так я в 21 год получил оффер от Deloitte на должность аудитора с зарплатой в $1 тыс. В 2007 году это была фантастика – до этого у меня никогда не было столько денег и я не умел с ними обращаться. Поэтому я сразу же залез в кредит – взял машину Honda Civiс с платежом $550 в месяц, а остатка мне с головой хватало на жизнь.

Этот кредит быстро вылез мне боком – доллар обвалился, у нас ввели четырехдневную рабочую неделю, зарплата уменьшилась до $700. Я все отдавал банку, и это было не очень, приходилось постоянно экономить.

Работать в Deloitte мне нравилось – я получил повышение, переехал сначала на Кипр, потом в Россию, в Уфу. А потом со мной связались одноклассники, которые уже несколько лет занимали руководящие должности в «Укроборонпроме» и предложили работу. Так закончились мои восемь лет в Deloitte, в 2015 году я ушел – хотелось попробовать себя в другой сфере.

Зачем я ушел из международного в госкомпанию

Осенью я прилетел из Уфы и сразу пошел на собеседование к первому заму РНБО Олегу Гладковскому – тогда он там работал. Из-за того что я долго жил в России, у меня был акцент – один в один как в сериале «Реальные пацаны», он тогда в РФ крутился в каждом телевизоре. После собеседования мне донесли, что он был против назначения.

Несмотря на это, на работу меня все-таки взяли – по личному решению Романа Романова, тогда главы «Укроборонпрома». Из-за работы в РФ и этого конфликта мне не дали «секретку» (статус, который дает сотруднику доступ к определенной информации. – Прим. ред.), но я даже радовался – это во-многом уберегло меня от коррупции, я работал с новыми проектами с нуля.

Я занимался внутренней трансформацией – контрактно-договорными учетами, новыми рынками, развивал отношения с турками и египтянами. Кроме этого, мы занимались созданием киберцентра, много работали над безопасностью в этой сфере. Работа мне нравилась – в большой корпорации ты винтик, а в той госструктуре у меня была возможность что-то создать, изменить к лучшему и видеть результат. Например, мы вместе с Антоном Авринским (Liki24.com. – Прим. ред.) внедряли первый электронный документооборот и контрактно-договорной учет в «Укрмаш» (производитель оборудования. – Прим. ред).

Дмитрий Будорин – основатель компании Hacken

Это был прорыв, мы в 2016 году избавились от бумажных документов еще до того, как это стало модным. Эту же систему мы перенесли на десятки других оборонных компаний Украины.

Главной проблемой было поменять мышление 50-летних людей, которые не хотели менять привычный мир. Мы действовали «пряником»: ты начал использовать электронные документы – и получил премию. А в госструктурах люди это дело очень ценят.

Лично мне изначально там практически ничего не платили – я просто проедал свои запасы, от этого было больно и неприятно. Потом нам удалось поднять штатные выплаты, появились бонусы и зарплата стала сопоставимой с Deloitte – $2–3 тыс.

Как вирус Petya заставил меня уйти из госкомпании

Конечно, всеобщая коррупция в конце-концов стала задевать и меня. Один из самых ярких случаев случился в 2017 году, когда активно распространялся вирус Petya. У «Антонова» (государственное предприятие, которое занимается грузовыми авиаперевозками. – Прим. ред.) из-за него возникла большая проблема – вирус зашифровал большую часть их компьютеров. Они обратились за помощью к нам.

У нас были специалисты по кибербезопасности, мы создали целый отдел для этого – они прописали методологию, как остановить шифрование, если компьютер был вовремя выключен, и сохранить данные. Все это мы предлагали сделать бесплатно.

Но нас не пустили к работе, и мы ничего не сделали. Причем не пустила СБУ. Уже потом мы узнали, что под эту историю закупили дорогостоящее оборудование, которое по классике жанра просто положили на склад, а нужные люди получили откаты.

В результате все данные были утеряны, а «Антонов» потерял кучу денег. Если бы мы работали, то мы бы и данные сохранили, и покупку дорогого и ненужного оборудования по завышенной цене не допустили.

Это был один, но самый яркий пример коррупции. Тогда я понял, что я не могу быть тут эффективен настолько, насколько могу в целом.

К тому моменту я уже неплохо разбирался в кибербезопасности – еще в Deloitte я делал IT-аудиты, потом глубже погрузился в эту тему в «Укроборонпроме». Эта сфера была мне интересна, параллельно зарождалась индустрия криптовалюты. Я видел себя в этих сферах, решил, что могу реализовать свои амбиции именно там. После этой мысли я стал погружаться в тему крипты и кибербезопасности – не спал ночами, лежал на кровати с ноутбуком и читал.

На четвертый день я без сомнений уволился с должности после двух лет работы. Вместе со мной ушла вся моя команда – пять или шесть человек.

Сколько стоит ICO и как собрать на нем $4 млн

Незадолго до увольнения моя подруга Маша Орлова сказала: «Дима, чего ты ерундой занимаешься? Смотри, мир ICO, крипта, у тебя такой склад ума, что у тебя получится. Пойди пообщайся с моим мужем, он как раз в теме». Я пошел, мы проговорили два или три часа. У меня тогда взорвался мозг во время этого разговора.

После увольнения мы вместе с командой решили делать свой бизнес на кибербезопасности: платформу, которая собирала бы хакеров по всему миру по принципу маркетплейса. Мы за месяц написали white paper (мини-книгу о проблемах, которые в будущем будет решать компания. – Прим. ред.). У нас толком не было продукта, но мы решили делать ICO (аналог IPO в сфере криптовалют. – Прим. ред.).

Я нашел подрядчиков, которые занимались организацией, у них была площадка для сбора средств и несколько успешных историй. Стоило это недешево, я все оплатил из своих сбережений.

Тогда для ICO нужно было две составляющих: красивая история, которая могла бы поднять немного хайпа, и деньги, чтобы реализовать историю. Надо было примерно $300–400 тыс, но своих средств у меня осталось всего $11 тыс.

Больше денег не было, и я сделал клич по знакомым: кто дает $10 тыс. – получает 1% в новой компании и новых токенов на $10 тыс. Так в компанию пришло 22 человека, которые стали акционерами.

Историю мы строили на том, что решили провести конференцию хакеров, чисто для маркетинга. Эту конференцию – тоже за долю в компании – помогали проводить харьковские бизнесмены.

Собрать туда участников было нелегкой задачей. Мы писали хакерам со всего мира, даже из Пакистана, но они боялись ехать к каким-то людям без имени. Был страх, что их тут упакуют прямо на въезде, это даже обсуждалось на тематических форумах. Но нам все же удалось организовать мероприятие, кто приехал – тот не пожалел.

После конференции мы собрали 4 млн на ICO. Из них кроме собранных денег было 33 биткоина, которые мы выиграли в конкурсе.

Дмитрий Будорин, основатель компании Hacken

Я уволился 25 июня, а все это произошло в сентябре. Помню, что у меня тогда не было никаких страхов – я много работал по принципу «слабоумие и отвага» и очень верил в эту историю.

Как конфликт с акционерами перерос в уголовное дело и почему в компании осталось четыре основателя

В 2017-м мы получили деньги, а 2018 год стал годом борьбы и ненависти. Акции компании тогда распределялись так: 24% – у меня, 24% – у харьковчан-организаторов конференции, 8% – у топ-менеджмента, остальное у людей, которые дали деньги. И было несколько нечестных участников, которые обещали сделать свой вклад, но не сделали, а акции получили.

Почти сразу после того, как мы получили деньги, начались проблемы. Изначально в успех продукта верила только та часть акционеров, которая вкладывалась финансово. Другая часть, которая участвовала в организации конференции, ничего не давала, это мы им заплатили. Но среди них был один олигарх, который в принципе считал криптовалюту бредом. А тут нам дали деньги, и немалые.

Этот олигарх сразу начал давить, что, мол, у меня мало опыта, я должен отдать все ключи от собранных денег и отдать все в управление нового СЕО.

Я понял, что собранное надо тратить как можно быстрее и делать это максимально грамотно – чтобы никто не мог обвинить меня. Я все пустил на новые проекты, чтобы найти инвестора, который помог бы мне выкупить их долю.

Такой нашелся довольно быстро. Этот партнер был из Азии, он помог мне выкупить долю у харьковчан при оценке в $800 тыс. Не могу разглашать детали сотрудничества с этим партнером, но он вышел из компании в 2019 году и очень доволен.

На этом проблемы не закончились. Уже буквально в середине 2018 года приятели, которые давали деньги, ополчились против меня. Некоторые из них резко потеряли доход, и им было обидно, что они не смогли выйти из бизнеса как харьковчане.

Вначале я пытался договориться миром, но они пошли нечестным путем. Сначала пытались подкупить моего менеджера, который управлял бюджетом: пришли к нему с разговором, который он записал и передал мне.

Я всех их послал, и конфликт перешел в открытую фазу – они смогли договориться о создании фальшивого уголовного дела. Я в нем был свидетелем, а не обвиняемым, но это сильно осложняло жизнь – полиция таскала на допросы мою беременную жену и пожилую маму. С точки зрения бизнеса они не могли серьезно мне помешать – у них было всего около 30%. Но атмосфера ненависти давила, я переживал за семью.

Команда Hacken на конференции

В результате я подписал с ними договор о выкупе за определенную сумму. Мне нужно было $250 тыс., я сфокусировал все усилия на поиске этих денег. Продал квартиру, отдал все сбережения и расплатился. Они получили в 2,5 раза больше, чем вкладывали изначально, поэтому отстали от меня.

С того времени и по сегодня в компании четыре основателя: я, Евгения Брошеван, Андрей Матюхин и близкий партнер, с которым мы работаем четыре года, но у него свои другие бизнесы. Я занимаюсь криптовалютой и маркетингом. Женя – продуктом и продажами, Андрей – технической командой и контролем качества.Все вопросы между собой мы решаем в общем чате на четверых, у нас нет никаких собраний акционеров.

Чем занимается Hacken

Изначально Hacken пошел сразу по двум направлениям: во-первых, мы сделали платформу, где хакеры и заказчики могли друг друга найти. Во-вторых, сразу сформировали свою команду, которая занимается, по сути, тем же – ищет уязвимости в системах и сайтах.

Работают они по разным принципам. Платформа – это некая биржа для фрилансеров. Туда приходит заказчик и говорит: я готов заплатить столько-то за поиск «дырок» в безопасности такой-то части системы. Специалисты, которым интересно, «берут заказ в работу», это называется баг-баунти. Платят им по факту за каждую найденную уязвимость. Интерес и хакеров, и заказчиков тут такой же, как и на всех биржах – у специалистов всегда есть заказы, заказчикам не надо искать специалиста.

Кроме того, Hacken выступает модератором в сложных и спорных ситуациях. За пользование биржей клиенты платят небольшую фиксированную сумму – до $2 тыс. в месяц.

Онлайн-курс "Проджект-менеджер в ІТ" від Laba.

Навчіться запускати, контролювати й успішно реалізовувати ІТ-проєкти. Пройти весь шлях проєктного управління на реальному кейсі вам допоможе PMD із 19-річним досвідом в ІТ.

Детальніше про курс

Внутренняя компания работает по другой системе – мы делаем пентесты. Это когда наши специалисты ищут дырки в безопасности, или в конкретной части ПО клиента, или определенный период времени. По сути, наши специалисты точно так же ищут уязвимости, но это работает по системе «пакета». Нам платят фиксированную ставку за определенный кусок или временной период. Количество найденных ошибок никак не влияет на цену. Минимальный чек такого пентеста – $10 тыс., максимум может быть намного больше. В команде работает около 20 человек.

Что дешевле и выгоднее для заказчика – надо смотреть в каждом отдельном случае. У нас были клиенты, которые приходили с «сырым» продуктом и решали тестировать его на платформе, через баг-баунти. В результате они заплатили намного больше, чем заплатили бы нам за пакет, – потому что «дыр» было много и найти их было проще простого.

Сейчас эти продукты – 90% заработка Hacken. Раньше было меньше, но со временем у нас растут чеки, поэтому и процент растет. За четыре года платформа сотрудничала с более чем 5 тыс. хакеров. Все остальное мы делаем скорее для привлечения клиентов.

Офис Hacken

Зачем Hacken рейтинг криптобирж, если они на нем не зарабатывают

Еще на самом старте, в 2018 году, я обратил внимание, что информации о надежности и безопасности криптобирж мало и она очень ограниченна. Мы подумали, что было бы классно сделать такой себе агрегатор информации, а ее не было. Никто не понимал, как отличать хорошую биржу от плохой. Тогда был один критерий – объем торгов, который никто никак не перепроверял. Сколько биржа себе рисовала, столько и считали.

Мы первые, кто начал говорить, что это все фуфло, и нашли методологию, которая позволяла сравнить биржи. Оказалось, что меньше 10% бирж делали пентесты – мы тестировали крупных игроков – FTX, Bithumb Global, WhiteBit, Gate.io, – и находили у многих критические уязвимости. В приоритете у всех было зарабатывать, биржи часто взламывали.

Сейчас наш рейтинг основан на двух четких критериях. Первый – это делает ли биржа пентест, то есть заказывает ли у компаний, аналогичных нашей, тестирование безопасности. И второй – проводит ли баг-баунти, то есть работает ли со свободными хакерами, как реагирует на уязвимости, если их нашли. Думаю, что сейчас эти критерии выполнили 40–50% бирж.

Кроме того, есть много более мелких технических параметров – есть ли сертификация ISO, страховка от взлома. Еще мы вручную проверяем некоторые базово-технические характеристики и историю взломов, если она была.

Мы не зарабатываем на этом почти ничего. Рейтинг служит больше лидогенератором, потому что криптопроекты приходят к нам за пентестами. Кроме того, данные постоянно перепечатывают крупные СМИ.

Как выглядит типичный хакер и почему ему выгоднее работать «легально»

Типичные хакеры – это ребята 20–25 лет. Обычно они или бросили университет, или мало в нем учились, много сидят дома, интроверты. Они разбросаны по всему миру – у нас на платформе есть люди из 130 стран, даже из Тибета и Непала.

Основи Web дизайну від Ithillel.

Цей онлайн-курс з основ веб-дизайну дозволить вам опанувати мистецтво створення ефективних та привабливих інтерфейсів для вебсайтів і застосунків. Ви оволодієте ключовими принципами UX/UI дизайну, створюватимете дизайн-макети та прототипи, розроблятимете адаптивні інтерфейси для різних пристроїв, готуючись до професійної кар'єри в галузі веб-дизайну.

Дізнатися більше

Как-то мы делали мероприятие с ProZorro, и в нем участвовал девятиклассник из Одессы. Еще к нам приезжал парень из Америки – Джек, ему было лет 17. В перерывах между разными блоками программы он делал уроки, а сейчас ему лет 20 и он второй в рейтинге на платформе.

Это молодые ребята, поэтому часто случаются забавные истории. Поехали они как-то на DefCon в Лас- Вегас, а им там ничего нельзя: ни жить одним в отеле, ни алкоголь покупать, ни в казино играть – там это все в законе с 21 года. Едешь в Лас-Вегас и не можешь пользоваться всеми его возможностями. Обидно.

В Украине не так много хакеров, которые бы прямо на этичном хакинге специализировались и зарабатывали на жизнь. Таких человек десять. Честно говоря, страны СНГ обычно известны из-за «черных» хакеров – часто бывают новости, что их где-то поймали и посадили. Это не просто так – раньше же у хакеров, по сути, не было возможности легально работать.

Только лет 10 назад появились первые платформы. Сейчас им нет смысла заниматься нелегальным, рисковать свободой, если можно зарабатывать легально. Кроме того, можно нарабатывать репутацию, открыто говорить, чем занимаешься, выступать на конференциях, вести открытую и спокойную жизнь.

Многие выбирают этот путь, а не другой, когда постоянно оглядываешься и ждешь, что за тобой придут.

Этичные хакеры зарабатывают по-разному. Чем круче специалист – тем больше, потолка нет. Мы знаем около десяти специалистов, которые стали долларовыми миллионерами.

Бывают ли клиенты без «дырок» в уязвимости и с кем работает Hacken

За всю историю у нас не было ни одного клиента, у которого бы ничего не нашли. Вряд ли это возможно в принципе.

Большая часть кода для работы с деньгами написана языком, в котором всего девять переменных. А сам код может быть как 7, так и 12 тыс. строк. Вероятность ошибки очень большая и логически, и технически: человек забыл поставить запятую или поставил не в том месте – и могут пропасть миллионы.

Дмитрий Будорин и Стив Возняк

Самые большие лажи для Hacken – это когда мы проверили и ничего не нашли, а клиента взломали. Был интересный кейс, когда деньги пропали и без взлома – у клиента была ошибка в безопасности, при которой деньги просто блокировались кодом при определенных обстоятельствах. Так и случилось – у клиента просто заблокировались, без всякого взлома, $800 тыс. Слишком хорошая технология безопасности оказалась.

Мы не отвечаем за такие истории материально – слишком много условий и переменных, гарантировать поиск всех «дыр» в безопасности не может никто.

Онлайн-курс "Тестування API" від robot_dreams.

Навчіться працювати з API на просунутому рівні та проводити навантажувальні тестування, щоб виявляти потенційні проблеми на ранніх етапах розробки.

Програма курсу і реєстрація

Наш офис работает в Киеве, но большая часть клиентов не из Украины. Клиенты из стран СНГ, к сожалению, отличаются от американцев или европейцев. Они не хотят платить. Когда мы вели переговоры с одной компанией из СНГ, клиенты активно подгоняли нас с оффером. Мы сделали его, проанализировали инфраструктуру, все посчитали и были готовы начать работать, а они взяли наш оффер и наняли на него двух инженеров.

Поэтому клиентов из Украины у нас немного, до десяти. Среди них, например, Uklon – работали с ними по контракту или Tickets.ua – у них тоже нашли несколько уязвимостей.

Про простые правила безопасности и почему Hacken станет Google в своей сфере

Сам я не особо и парюсь из-за своей кибербезопасности и велосипед не изобретаю. На самом деле, обычно достаточно один раз все правильно настроить – поставить везде двухфакторную идентификацию и разные пароли. Я придерживаюсь простых правил – не открываю непонятные файлы, не хожу по незнакомым ссылкам.

Мой обычный день чаще всего проходит в Telegram – там решаются все вопросы компании. Я люблю ходить в офис, общаться с ребятами. Часто участвую в обсуждении, могу дать какие-то советы.

Выходные провожу с семьей, в субботу вообще предпочитаю даже не брать в руки телефон. В воскресенье мы с женой и детьми ездим к родителям.

Потом вечером воскресенья я спускаюсь в кальянную под домом и разгребаю все, что накопилось за два дня.

Я уверен, что у Hacken большое будущее. Когда вы хотите что-то найти – обычно идете в Google. Точно так же мы хотим создать такой себе маркетплейс по кибербезопасности – чтобы человек с любым вопросом в этой теме мог прийти в Hacken и найти ответ. И неважно, касается это безопасности его телефона или компании на тысячи сотрудников.

Мне кажется, что в мире мы более конкурентны, чем американцы – они стали ленивыми, много в их компаниях держится на приезжих. А у нас голодные люди с большими амбициями, и мы можем создать топовый продукт. И Hacken это доказали.