Как украинские «белые хакеры» стали лучшими в мире — интервью с капитаном команды DCUA Николаем Ильиным

Хакеры — они как мафия: персонажи вроде бы отрицательные, но благодаря магическому ореолу, созданному вокруг них Голливудом, выглядят скорее непонятыми героями Готема. Но есть в отрасли информационной безопасности действительно позитивные персонажи — «белые хакеры». В отличие от коллег, они не взламывают — а защищают. При этом романтикой не овеяны, а посему широкой публике неинтересны.

Среди первых украинцев много и «подвиги» их хорошо известны — как не ограбление века, так крупнейшая бот-сеть. Однако на ниве защиты от хакерских атак наши соотечественники также не пасут задних. Более того, по итогам 2016 года украинскую команду «белых хакеров» признали лучшей в мире — ребята из dcua обошли соперников из более чем 12 000 команд из России, США, Китая и других стран мира. Но в отличие от «черных» коллег, их имен в Украине не знают.

AIN.UA решил изменить ситуацию и познакомить читателей с украинскими хакерами, которыми можно гордиться. О том, как dcua борется за репутацию Украины на ниве информационной безопасности, нам рассказал основатель и капитан команды Николай Ильин.

Как вы попали в сферу информационной безопасности? И как появилась dcua?

Я закончил Физико-технический институт КПИ. Кафедра информационной безопасности была одной из сильнейших. После выпуска остался работать в качестве преподавателя. Сама по себе область достаточно новая и перспективная. И в Украине много хороших специалистов.

Команду dcua основал в 2012 году. Зачем? В первую очередь, для популяризации и повышения престижа специальности. Также это полезно студентам: когда они приходят на первую работу, без опыта, участие в соревнованиях — хорошая характеристика. Рекомендации от преподавателя могут считаться субъективными, но оценка на соревнованиях независимая. В год по миру проходит около 150 разных соревнований по информационной безопасности. И если студент во всех победил, а преподаватель ставит ему двойку, то скорее преподаватель дурак, а не студент.

Участие также дает большой стимул для самообразования — соревнуясь со своими сверстниками из других вузов, он видит свой реальный уровень и пробелы в знаниях. Кроме того, это весело. Большинство атак настоящие, зачастую такие, которые используются в реальной жизни. Но участие в CTF полностью легально.

А как сформировалась команда dcua?

Изначально в dcua входили только студенты физтеха. В самый первый состав пригласили всех, кто, как нам было известно, разбирается в компьютерах. Со временем начали вливаться участники извне, в том числе из других стран: Южной Кореи, Вьетнама, Таиланда, Саудовской Аравии, Марокко, ОАЭ, Швейцарии, Дании, США. Преимущественно это знакомые знакомых: выпускники ФТИ эмигрируют в разные страны, но отношения поддерживают, в соревнованиях участвуют, приглашают своих коллег по работе, знакомых на новом месте жительства.

Так сложился первый костяк dcua, которым мы стали ездить на международные соревнования. Там быстро поняли, что хотя иногда отстаем от соперников, порядок знаний у нас примерно одинаковый. Нет такого, что в США или Европе боги, а тут — обезьяны, которые в компьютерах не разбираются.

В Украине образование не намного уступает мировым вузам. Информационную безопасность изучают и в КПИ, и в MIT, а если чего-то не хватает, можно самому доучивать — все материалы есть в открытом доступе.

В общем, все необходимые навыки для того, чтобы бороться за звание чемпиона, у нас есть.

Расскажите про самое первое соревнование, в котором участвовала команда. Как вы туда попали и как все прошло?

Это был февраль 2012 года. Мы решили, что готовы пойти на свое первое соревнование, причем сразу на мировой уровень. Это была «Ночь хака» в Париже (Nuit du Hack), причем без шуток: CTF проходит непрерывно с 9 вечера до 8 утра. Всего на участие претендовало порядка 700 участников со всего мира, но приглашение получали только лучшие 15. На квалификации мы заняли 16 место, но несколько топовых команд не смогли поехать (расходы на участие не оплачивали, а они довольно большие). Так мы внезапно прошли квалификацию и получили приглашение на соревнование.

Начали собираться, искать спонсоров. Приходили и говорили: вот мы прошли в топ, приглашают в Париж на соревнования — дайте по 500 евро. Нам отвечали: круто, молодцы. Но денег никто не дал.

Тогда на носу был «Евро-2012» и все инвестировали туда, чтобы попиариться. А на информационной безопасности особо не попиаришься.

В итоге вместо пяти участников от dcua в Париж поехало два человека — за свои деньги. Всего на «Ночь хака» приехало 14 команд, и мы заняли то ли 9, то ли 10 место. Провалились, но не с позором, учитывая, что нас было двое, а в остальных командах — по 5 человек. Сражались достойно, и нас зауважали.

Потом много участвовали в онлайн-соревнованиях. И понемногу дело пошло.

Как проходят эти соревнования?

Есть несколько видов. Первый — jeopardy — как правило, онлайн. В них участники независимо решают задачи из разных категорий (веб, бинарные, компьютерная криминалистика и т.д.). В зависимости от уровня сложности, команда может заработать определенное количество баллов.

Соревнования attack-defence — это CTF немного другого формата — не решение задач, а защита и нападение.

Фото с одного из таких соревнований Источник: DragonSector

Каждая команда получает образ или доступ к серверу, на котором нужно найти уязвимости и исправить их так, чтобы не нарушить работоспособность сервиса. Идеальное решение, когда компьютер взломали — выключить его из розетки. Но за такое снимают баллы. Нужно чтобы все работало, причем правильно. При этом параллельно разрабатывать эксплоиты для найденных уязвимостей своих конкурентов и красть у них флаги.

Если коротко — нужно взломать соперника раньше, чем он взломает тебя. Нападать и защищаться. В нашей команде есть специалисты по защите, а есть по нападению. Например, я отвечаю за атаки, а мой коллега Николай Овчарук — защита наших ресурсов.

У нашей команды есть одно специфическое преимущество на таких соревнованиях. Часто образы, которые дают на CTF, сложно развернуть — запустить у себя. Для этого нужны сильные навыки по системному администрированию, а Николай — профессиональный системный администратор, который по скорости может обогнать соперников примерно на час. Это дает нашей команде фору — пока они теряют баллы за неработающий сервис, у нас уже все работает.

dcua существует всего пять лет, и в этом году украинские белые хакеры оказались лучшими в мире в рейтинге CTF. Как вам это удалось?

Мы изначально были довольно сильной командой. В 2012 году сразу вошли в топ-30 по миру, в 2013 заняли пятое место, 2014-2015 были на шестом, а теперь вышли на первое.

Удалось, наверное, благодаря вовлеченности. Большинство студентов, которые приходили к нам, обучались на практике: пара-тройка тренировок, и они уже участвуют в соревнованиях вместе с основной командой. Чтобы научиться играть в CTF, нужно постоянно заниматься. Ребята каждые выходные сидят, что-то решают.

Сам CTF — довольно молод. Первое соревнование было организовано в 1995 году, а до постсоветских стран оно дошло только в 2004-2005. У российских команд есть преимущество по срокам участия — есть команда, которая участвует с 2006 года. Они опытнее, но мы, как видите, не отстаем.

Во скольких CTF вы участвовали и сколько было побед?

За пять лет существования dcua приняла участие примерно в 250-300 соревнованиях — и on-site, и онлайн. Примерно в 10% случаев мы брали первые места, также часто занимали призовые места. Как правило, команда входила в десятку лучших.

Есть развитие по количеству чистых побед, но в то же время мы видим, в каких направлениях есть место для роста. В частности, разработка бинарных эксплойтов — очень сложная тема, для которой специалистов всегда не хватает.

В рейтинге CTFtime мы обошли ближайших конкурентов примерно на 200 баллов. Это 2-3 соревнования. Если бы они заняли в них первые места, а мы не участвовали совсем, они бы обошли нас в рейтинге. Но нужно понимать, что на все соревнования мы поехать не можем — это очень затратно. Много таких соревнований dcua пропустила, соответственно не набрав на них баллов.

Спонсоров так и не нашли?

Нам помогают в КПИ — там есть фонд для студентов, который возмещает до 50% затрат на участие в таких мероприятиях. Но спонсоров так и не нашли — финансируем dcua из собственных средств. У некоторых из нас есть свой бизнес, и часть заработанных денег тратим на соревнования.

Во сколько обходятся поездки на международные соревнования?

По-разному. Иногда организаторы оплачивают поездку и проживание — так было, когда мы ездили на соревнования в Румынию и Китай. Но это бывает редко. На поездку в Париж мы потратили 36 000 грн. В ближайшее время собираемся в Амстердам, и по самым скромным подсчетам, с дорогой и проживанием в каком-то хостеле, это обойдется примерно $800 с человека. А самая дорогая поездка была в Лас-Вегас — по $2000 с человека.

А бывают денежные призы?

Бывают, но они несравнимы с призами в киберспорте. На чемпионатах по Starcraft или Mortal Kombat призовые фонды иногда достигают миллионов долларов. Игровая индустрия зрелищная, там много рекламы и спонсорства.

У CTF, в свою очередь, есть практическое применение — задачи-то из реальной жизни. Но шумихи вокруг соревнований нет. В основном призы здесь на уровне $500-1000, исторический максимум — $10 000-15 000. Мы в dcua максимально выигрывали $4000-6000.

Как вы готовитесь к соревнованиям? Есть какие-то тренировки?

Да, они проходят в КПИ, в аудитории 314, по средам с двух часов и имеют статус факультативного курса по информационной безопасности. У нас есть оборудование, методички — все, что нужно. Курс бесплатный и полностью открытый для студентов, аспирантов, энтузиастов — прийти может любой желающий. На некоммерческой основе, конечно. Если к нам придет отделение информационной безопасности какого-нибудь банка, то обучение бесплатным не будет 🙂

Кроме того, после каждого соревнования по тем задачам, которые не были решены, мы ищем решение у других команд. Часто его публикуют либо организаторы соревнований, либо сами команды. Можно посмотреть решение или найти альтернативный подход к задаче, изучить техники других команд. Мы все это обязательно штудируем после каждого соревнования.

Вообще белые хакеры со всего мира обмениваются знаниями и опытом. Это наша социальная и информационная миссия. Иногда, правда, знания эти не сугубо профессиональные. Например, наши южнокорейские игроки развлекаются тем, что ездят на CTF и изучают ругательства других стран.

Ха-ха, надеюсь, вы их обучили сильному украинскому словцу?

Лучше. Они обучены «Слава Україні!» — «Смерть ворогам!», «Бандера наш герой!», знают перевод, значение, получили разъяснение контекста, и предупреждены о том, что в РФ за такие приветствия можно официально быть обвиненным в экстремизме, а в Польше быть неофициально избитым. Но предупреждения оказали ровно противоположный эффект — наш ходячий международный скандал побежал испытывать новые знания на российской команде. Выражение недоумения на лице интеллигентных питерских хакеров бесценно — словарного запаса поэзии Анны Ахметовой (цит. классика) хватило только на «ЧТО?»…

Південнокорейський осередок dcua, на передньому плані — ройові Dongseon ‘rex’ Kim, Harold ‘stypr’ Kim

На самом деле забавных случаев много. Специалисты, которые ездят на соревнования, как правило, обладают недюжим интеллектом, а соответственно, хорошим чувством юмора. Зачастую юмор довольно утонченный, не все шутки понимают. Но скучно не бывает.

А кстати, почему иностранные игроки решили присоединиться к вам, а не к командам своей страны?

У нас условия для них лучше. Например, если соревнования проходят в Японии, мы не потянем затраты на то, чтобы отправить туда 5 участников из Украины — это стоит около $2000 на человека. А билет на самолет из Южной Кореи в Токио стоит всего $100, поэтому нам проще отправить их. В dcua два корейца и на соревнования в Азии едут оба. Если бы они были в корейской команде — могли бы и не поехать, вдруг отправят других.

Плюс у нас образовательная составляющая очень хорошая — они всегда могут рассчитывать на помощь и ответы на все свои вопросы.

Помимо экономической составляющей, как выбираете, кто будет участвовать в соревнованиях от dcua, если есть ограничения по количеству игроков?

Как правило, соревнования проводит другая команда, и мы знаем, в чем они специалисты. Скорей всего, именно в этой области они будут и задания составлять. Поэтому мы отбираем людей, которые имеют соответствующие навыки.

А как отбираете в команду новых участников?

Если человек изъявляет желание участвовать в CTF, мы даем ему несколько заданий из прошлых соревнований или из непрерывных (есть т.н. Wargames — задачи те же, что и на CTF, но решать их можно бесконечно долго без ограничений по времени) и смотрим, как он справляется. Причем важно не сколько задач он решил, а насколько системно он к ним подходит. Мы хотим видеть прогресс, осмысленный поиск.

У нас в команде много начинающих — студенты первого курса, даже школьники есть. Ограничений по возрасту или каким-то другим параметрам нет.

Важный критерий прохождения в dcua — отсутствие самообмана. Плохо приживаются те, кто считает себя самым умным и красивым, а остальных — унылыми дилетантами. Конечно, мы их не выгоняем, они быстро понимают, что кроме них в комнате есть и более умные люди. Причем, таких 80%. Некоторые не могут с этим смириться и уходят сами.

Бывало такое, что ваших участников переманивали в другие команды?

Они могут уйти в любой момент по желанию. Но есть правило: если они выступают в составе нашей команды, то не имеют права параллельно участвовать в другой, пока у них есть доступ к нашим решениям. Если такое выявляется, они получают пожизненный бан без права восстановления. Такие случаи были.

Есть мировой рейтинг команд «белых хакеров», а существует ли рейтинг игроков?

Да, но это другая область. Там игры не ограничены по времени, и чтобы держаться в рейтинге, нужно постоянно только играть. Они хороши для подготовки студентов, потому что к ним можно присоединиться в любое время, а среди профессионалов по информационной безопасности это не очень популярно, потому что мешает основной работе. CTF же проходят по выходным, чтобы не конфликтовать с рабочей неделей.

Я уже года два не играю в индивидуальные соревнования типа wechall.net — это отнимает слишком много времени, мало добавляя к навыкам.

А есть в Украине еще сильные команды белых хакеров? В рейтинге CTFtime я их видела, но они даже не попали в топ-500…

В Харькове есть команды, которые участвуют в CTF. Отдельные конференции проводятся в Одессе, Львове. Но это движение в Украине пока очень слабое.

CTF — довольно жесткий тест на квалификацию. Можно открыть сколько угодно профильных кафедр и говорить о том, какие они крутые, но уровень демонстрируется именно в конкурентной среде.

Чтобы участвовать в CTF, нужно иметь смелость и не бояться выглядеть идиотом.

Бывали случаи, когда мы и 18-ое место занимали. Тут важно не опустить руки, а проанализировать ошибки и совершенствоваться.

Лучше один раз побыть дураком, но узнать свои слабые места и устранить их, чем не узнать и на всю жизнь дураком так и остаться. Не все это выдерживают, а понты на CTF не проходят — сразу видно, кто самурай, а кто нет.

На иностранных ресурсах, посвященных CTF, о dcua отзываются с уважением и часто упоминают. То есть у команды уже сложилось определенное реноме за границей?

Мы достаточно известная команда, просто в Украине область информационной безопасности не популярная. В других странах результаты соревнований CTF отслеживаются, иногда используются для поиска специалистов в спецслужбы, национальные киберинициативы. Там к этому относятся серьезно.

И да, на мировой арене у украинской dcua репутация одной из лучших команд белых хакеров.

Только в Украине об этом не знают…

Почему, знают. Отечественные спецслужбы очень хорошо знают. Они пытались нас пару раз привлечь… Но напрямую с ними контактировать ни в коем случае нельзя — можно попасть в рабство. По вопросам сотрудничества с ними взаимодействует университет. Это тоже государственная структура, они говорят на одном языке — заключают официальные договора, проводят тендеры.

Мы можем помогать спецслужбам, но только консультационно — когда это не требует специальных разрешений или нарушения законодательства. Потому что у нас нет допуска — гостайны нам показывать нельзя.

При этом украинские госсайты взламывают регулярно. А на каком уровне кибербезопасность в Украине, как по-вашему?

Тут смешались реактивные истребители и ковры-самолеты. Некоторые понимают, насколько это серьезно — строят системы безопасности, регулярно проходят аудиты. А есть такие, у которых сисадмин на все случаи жизни.

Тыжпрограммист, умеешь «виндоус» переустановить, вот и занимайся безопасностью. И это не где-нибудь, а в рамках министерств.

Основная проблема — в отсутствии системного подхода. Есть законодательная база — написали много подзаконных актов и нормативной документации, но на деле ее некому обеспечивать. Есть CERT-UA. Кстати, у нас в dcua бывший руководитель одного из технических отделов. Но в самой команде реагирования человек десять, а в общей киберструктуре — 150, из которых 60% вообще не умеет работать с компьютером. Они и пишут все эти акты, но ими от внешней агрессии не прикроешься. А людей, которые могут провести аудит госсайта и указать на уязвимости, нет.

Такие специалисты дорого стоят, государство им попросту столько не заплатит.

Можно было бы выгнать те 60% и набрать небольшую команду специалистов. Сейчас при зарплате 4500 грн и ограничениях, которые государство навязывает в контрактах госслужащим и тем же военным, специалисты демотивированы. Они не ощущают престиж своей специальности.

А еще нужно дать возможность CERT-UA привлекать внешних специалистов по узкопрофильным уязвимостям. Даже не на коммерческой основе, даже за одну гривну — но официально, специалисты пойдут, хотя бы ради пиара. Уже сам факт того, что официально обращается за помощью CERT-UA, говорит о том, что он высокой квалификации.