Прямое включение из «Черного ящика»: каково расследовать киберпреступления в ИНТЕРПОЛе

Виталий Камлюк родился 31 год назад в Беларуси. Около трети своей жизни – более чем 10 лет – Виталий работает специалистом по киберугрозам в «Лаборатории Касперского». С конца 2014 года Виталий совмещает свою основную работу с работой в ИНТЕРПОЛе. В апреле этого года в Сингапуре открылся Глобальный комплекс инноваций ИНТЕРПОЛа (IGCI). Огромное футуристическое здание на Napier road – место, куда Виталий ежедневно с понедельника по пятницу приходит, чтобы помогать полицейским бороться с преступлениями, совершенными с помощью интернета, вредоносного ПО и прочих цифровых технологий.

Хотя географически Виталий теперь обитает в тысячах километрах от московской штаб-квартиры «Лаборатории Касперского» реально он остается действующим сотрудником компании. В ИНТЕРПОЛе Виталий работает в должности командированного сотрудника. Это специальный статус для таких сотрудников, как Виталий – им наделяют экспертов из частных компаний или университетов, согласившихся помогать ИНТЕРПОЛу.

«Две другие группы сотрудников, — это местный персонал, работающий на контрактной основе, а кроме того – офицеры полиции со всего мира, приезжающие на временную работу. Такое разделение сотрудников – ключевая особенность IGCI: представители частных и государственных организаций здесь могут работать бок о бок, совместно расследовать сложные дела», — поясняет Виталий Камлюк Kaspersky Business.

Работа в таком формате позволяет представителям правоохранительных органов и экспертам из IT-мира избегать множества формальных преград, которые при стандартных методах работы неизбежны. И вот как это происходит с точки зрения Камлюка.

Один день в «черном ящике»

Сингапур – город не для водителей. Нужно иметь очень веские основания для того, чтобы завести личный автомобиль или хотя бы арендовать его здесь. Очень дорого. Таким образом городские власти решают проблему пробок. Взамен, впрочем, жители и гости Сингапура получили комфортную, удобную и дешевую систему общественного транспорта. Хотя борьба с киберпреступностью – это очень важная и часто срочная задача, живущий и работающий в Сингапуре Виталий предпочитает жизнь пешехода.

«Мне не нужен автомобиль здесь. Я трачу всего полчаса, чтобы добраться до работы на автобусе. Автобусы тут комфортабельные и с кондиционерами. Что мне особенно нравится в здешних автобусах – так это что ты можешь поблагодарить водителя за его работу, послав SMS на специальный номер. Такая система должна мотивировать водителей быть вежливыми с пассажирами. И это работает!», — комментирует Виталий.

Каждый день в 9.30 утра он проходит проверку службы безопасности на входе в IGCI: складывает в лоток металлические вещи и проходит через металлоискатель. Для командированных сотрудников из частных организаций это обязательная процедура. После этого он сгребает мелочь обратно в карманы и следует к своему рабочему месту. Одному из. В отличие от большинства других профессий, его должность требует наличия не одного, а сразу трех рабочих мест.

«Одно место – для обычных «офисных» задач, с компьютером, подключенным к интернету, почтой и так далее. Второе находится в Лаборатории цифровой криминалистики. Там я занимаюсь задачами, связанными с анализом улик для дел находящихся на расследовании. Есть еще третье место – Департамент исследований и разработки. Там, вместе с сотрудниками ИНТЕРПОЛа мы работаем над различными, скажем так, экспериментальными проектами, которые должны помочь предотвращать или лучше расследовать киберпреступления в будущем. Сейчас эти проекты связаны в основном с теневым интернетом, криптовалютами и P2P-сетями и прочим. В общем, не сказать, что я тут умираю со скуки», — заключает Камлюк.

Обычный рабочий день обычного сотрудника офиса обычно начинается с проверки почты. Виталий начинает день с образовательных тренингов для сотрудников ИНТЕРПОЛа, которые занимаются расследованиями киберпреступлений в IGCI, либо вовлечены в подобные расследования в своих «домашних» полицейских управлениях.

«Как правило, это технические тренинги, посвященные анализу вредоносного ПО, архитектуры операционных систем и так далее. Что такое дизассемблер, как работает отладчик, как анализировать сетевые данные, как работают протоколы, шифрование — все это темы, которые я стараюсь осветить в ходе этих тренингов. Посещение занятий добровольное дело, но каждый день у меня стабильно есть несколько слушателей, что означает, что у полиции есть явная необходимость в подобных знаниях», — рассказывает Камлюк.

После тренингов Виталий приступает к анализу вредоносного ПО. Статус командированного сотрудника означает, что среди новых задач, он должен продолжать выполнять свою обычную работу, а обычная работа Камлюка в «Лаборатории Касперского» — это анализ вредоносных программ, который он выполняет как для коллег в Москве, так и для ИНТЕПОЛа.

«IGCI еще только начинает работать, и многое здесь еще должно быть сделано, чтобы комплекс заработал на полную мощь. Возможно, поэтому сейчас у меня не слишком много задач, связанных с анализом вредоносного ПО, поступающих от ИНТЕРПОЛа. В основном, я анализирую для «Лаборатории Касперского», однако, результаты этого анализа часто оказываются полезными и для ИНТЕРПОЛа. Так, например, было в операции с закрытием ботнета Simda», — объясняет эксперт.

Если начало рабочего дня Виталия целиком и полностью посвящено общению с другими людьми, то «аналитическая» его часть – время, когда он превращается в социофоба. В кино экспертов по компьютерной безопасности изображают мрачными затворниками, сидящими в темной комнате в полной изоляции. Оказывается, у этого образа есть корни в реальности, и они объясняются очень просто.

«Когда я смотрю на код, я стараюсь не проверять почту, и вообще – если возможно – создать условия, в которых кому-либо пришлось бы столкнуться с трудностями для того, чтобы отвлечь меня. Все это просто потому, что обратная разработка ПО, чем собственно и является исследование вредоносов, требует предельной концентрации внимания. Представьте, что вы строите гигантский карточный домик. И этот домик – с точным количеством карт, их положением в пространстве и прочими характеристиками – существует только у вас в голове. Любой внешний раздражитель с легкостью разрушит этот домик, и все придется строить заново. Вот почему многие из нас становятся такими злыми, если их кто-то отвлекает», — объясняет Виталий.

Когда с анализом вредоносного ПО покончено, начинается офисное время. Происходит это около 4 часов вечера, как раз когда московский офис просыпается, чтобы нагрузить Виталия делами, связанными с бизнес-активностью компании.

«Время после четырех – это еще и время активных переговоров. Европа просыпается, потом – США. В этот период моего рабочего дня происходит множество конференц-звонков. На самом деле, огромная доля моей работы здесь связана с переговорами. Когда мы готовились закрывать ботнет Simda, мы провели десятки звонков с собеседниками по всему миру», — вспоминает Камлюк.

Параллельно всему вышеописанному, Камлюк работает в IGCI как…. Системный администратор. Статус единственного командированного в ИНТЕРПОЛ сотрудника означает, что ты должен участвовать во все, о чем договорились «Лаборатория Касперского» и ИНТЕРПОЛ в рамках партнерства. И в рамках этого партнерства, «Лаборатория Касперского» среди прочего, согласилась установить в IGCI несколько рабочих станций для профессионального анализа вредоносного ПО, а кроме того, обеспечить удаленный доступ IGCI к данным об угрозах, собранным «Лабораторией Касперского» в реальном времени.

«Очень важно, чтобы все было настроено хорошо и работало как часы. Хотя выполнение таких задач не входит в мои прямые обязанности ни здесь, ни в «Лаборатории Касперского» — я не жалуюсь и стараюсь сделать все, что в моих силах в плане технического обеспечения IGCI, как только у меня появляется такая возможность. Мне самому очень любопытно посмотреть, как тут все изменится, когда все технические недоделки будут устранены и IGCI заработает на полную силу», — комментирует Виталий.

Хотя за более чем 7 месяцев работы в IGCI, Виталию довелось заниматься множеством новых для него вещей, главным полезным опытом для себя он считает возможность поработать «на другой стороне».

«Раньше, в ходе расследований, в которых я принимал участие в составе нашей команды GReAT, я лично несколько раз сталкивался с необходимостью контактировать с правоохранительными органами. Нам удавалось собрать некоторое количество информации о киберпреступлении и мы передавали эти данные в полицию. После – тишина. Недели тишины, месяцы, иногда мы так ничего никогда и не получали в ответ. Это было похоже на черный ящик: ты кладешь информацию в него и дальше все, что ты можешь сделать – это ждать, и ты понятия не имеешь, что там в этом ящике с этой информацией происходит», — объясняет Камлюк. – «Сейчас я здесь, внутри этого самого черного ящика. Теперь я понимаю, как он работает, почему случаются проволочки и – что важно – я могу помочь заставить все эти шестеренки закрутиться вновь, случись какая заминка. Это уникальный опыт и великолепная возможность изменить к лучшему то, как сегодня расследуются киберпреступления».

Работая в городе будущего

Сингапур часто называют городом будущего, и это не слишком большое преувеличение. Построенный буквально из ничего, всего за несколько десятков лет, сейчас это одно  из богатейших, комфортабельных и высокотехнологичных мест на земле. Футуристические городские пейзажи, сконструированные из бетона, стали, стекла, пластика, километров проводов и миллионов диодов, которые мы так часто видели во множестве научно-фантастических «киберпанковых» фильмах, комиксах и видеоиграх, становятся объективной реальностью в Сингапуре, стоит только солнцу скрыться за горизонтом.

Сингапур, однако, едва ли вписывается в идеологию киберпанка. Соседство высоких технологий с низким уровнем жизни – традиционный индикатор, определяющий объект поп-культуры как «киберпанк», в Сингапуре не работает, поскольку здесь высокие технологии являются одним из ключевых столпов, на котором держится местный весьма высокий уровень жизни. Сингапур – чудо, ставшее реальностью благодаря комбинации из мудрых политических и экономических решений и эффективного использования наиболее продвинутых технологических разработок – это киберпанк со знаком плюс.

Виталий оказался в этих футуристических декорациях, уже имея за спиной опыт проживания в продвинутой азиатской стране. Несколько лет назад ему довелось длительное время работать в должности эксперта по информационной безопасности в японском офисе «Лаборатории Касперского», и теперь ему есть с чем сравнить.

«Хотя я очень люблю Японию, в том своем путешествии я чувствовал себя как герой фильма «Трудности перевода». Один в чужой стране с очень сложным языком и очень необычной культурой. Едва ли что-то похожее я испытываю в Сингапуре. Даже учитывая тот факт, что технически – это азиатская страна, на самом деле Сингапур во многом даже более «Западный», чем многие другие страны. Официальный язык тут английский, здесь живет и работает большое количество иностранцев», — объясняет Камлюк.

Как и многие другие жители Сингапура, Виталий и его жена – художник по профессии – снимают квартиру в одном из кварталов неподалеку от центра города. Вдвоем они проводят выходные гуляя по городу, посещая концерты гастролирующих артистов или иногда просто играя в волейбол на городском пляже.

«Сингапур – очень комфортное место для работы и жизни: теплый климат, много интересных людей и занятий. В конце концов, это довольно безопасное место. Вообще, когда я узнал, что поеду сюда, я не то что бы был очень вдохновлен. Я подумал: ну, вот опять. Один, в чужой стране в южной Азии. Сейчас я вижу, что у тех моих опасений не было оснований. Ну или почти не было», — сказал Камлюк.

Однажды в начале апреля Виталий обнаружил себя беседующим с представителем администрации Garden by the Bay – известнейшего туристического парка Сингапура. Представитель администрации убеждал Виталия: «Нет-нет, что Вы! Это абсолютно невозможно! Мы никогда их здесь не видели! Это не то место, где вы можете столкнуться с ними!»

За несколько минут до этого, стоя с его женой на одной из прогулочных дорожек парка, Виталий обследовал собственные ноги и прислушивался к своим ощущениям в поисках тревожных аномалий. Его сердце колотилось вследствие внезапного выброса адреналина.

За несколько секунд до этого Виталий наступил на что-то, что – как он думал — было сухой веткой. «Ветка» зашевелилась под ногой Виталия и превратилась в древесную змею, поспешившую скрыться в ближайших кустах.

«Я эксперт по информационной безопасности, а не эксперт по змеям, и в тот момент мне было не до смеха. Я не успел ее сфотографировать и мы чувствовали себя довольно безнадежно – в случае, если она укусила меня, нам бы даже нечего было ответить на вопрос врачей о том, какая это была змея. Самое интересное, впрочем, началось, когда я убедился в том, что никаких следов укуса на моих ногах нет. В подобных ситуациях разум начинает творить удивительные штуки: в то время как здравый смысл твердил, что не о чем беспокоиться, ведь укуса не было, мой рассудок, тем не менее, уже успел создать симптомы, которые можно было бы назвать симптомами укуса ядовитой змеи. У меня было странное ощущение в ноге, и только я припомнил о том, что у укушенных может начать кружиться голова, я тут же почувствовал головокружение», — вспоминает Камлюк.

«После той истории я выучил важный урок: чувство безопасности расслабляет. Но если хочешь выжить в этом мире, нужно быть на чеку», — говорит Камлюк. – «Или вот еще. Ты говоришь им: ребята, у вас на заднем дворе змеи ползают. Но они отрицают это и говорят тебе, что все это сухие ветки, пока одна из них внезапно не превращается таки в ядовитого смертельно опасного монстра. Для эксперта по информационной безопасности провести параллели с IT-индустрией тут труда не составит».