О ВЗЛОМЕ САЙТА МИДА И ХАКИНГЕ УКЛОНА

— Расскажите алгоритм. К вам обращается компания и говорит: протестируйте, пожалуйста, наши системы. А вы говорите: окей. Дальше в их систему залезают хакеры и ищут там уязвимости. Потом находят — получают вознаграждение. Примерно так?

— Сначала к нам обращаются и мы оцениваем базовый уровень кибербезопасности компании своими силами. Если там много каких-то уязвимостей и ошибок в коде, то мы говорим: вам на bug bounty еще рановато. Если вы сейчас выставите свой продукт, вас просто разорвут и это получится для вас слишком дорого.

Поэтому давайте мы вам сначала сделаем пентест, все проверим и исправим базовые ошибки. А дальше уже можно составлять программу bug bounty. Потом хакеры начинают тестировать все своими уникальными техниками.

— К вам обращается много украинских компаний?

— На украинском рынке продавцу пока что приходится навязывать свою услугу. Компании не понимают, для чего это им нужно. Американский рынок формировался, когда начали лепить серьезные штрафы за утечку данных. В Европе с введением GDPR это только начинается. В Украину это тоже придет. Но пока что фаундеры компаний не видят причин, зачем им нужно тратить деньги на кибербезопасность.

— Даже после того как вирус Petya.A прошел?

— Была волна полгода, что-то кто-то потратил — и все опять заглохло. Поэтому нужно обучать, иногда устрашать, пугать. Имею в виду, статьями какими-то, семинарами, медиаконтентом. Ну и активно продавать надо.

У нас есть клиенты из мобайл-банкинга, e-commerce, служб такси. Очень хорошо работает сарафанное радио.

— Кого вы можете озвучить из клиентов?

— Точно Uklon могу озвучить. Они были очень довольны.

— Криптобиржа KUNA — тоже ваш клиент?

— Да. Есть еще банки, но они не хотят, чтобы о них говорили. Есть еще e-commerce площадки.

— Вы работаете с Монобанком?

— Мы бы хотели, но пока нет. В процессе переговоров.

— То есть украинский рынок пока не очень интересен?

— Украинский рынок нам, с одной стороны, интересен, а с другой стороны, количество затраченных сил на одного клиента и количество полученных денег несоизмеримо с чеками, которые у нас есть на азиатских рынках.

— А какие чеки на этих рынках?

— В Украине, например, стандартный пентест стоит $2-3 тысячи, в Европе он продается за $6-7 тысяч. В США — $15 тысяч.

— За ту же самую работу?

— Та же самая работа. А в Азии на определенных рынках он может работать и за $20 000.

— Сколько сейчас украинские компании платят хакерам за найденные уязвимости?

— В основном хакерам платят от $50 за мелкую уязвимость, до $1500-2000 за критическую уязвимость. По меркам Европы это небольшие суммы.

Больше всех на украинском рынке хакерам платит bitcoin-агентство KUNA — $5000 за найденную критическую уязвимость это намного больше, чем в среднем по рынку.

— Как вы зарабатываете на белом хакинге?

— Наш доход с bug bounty — это setup fee: чтобы эту программу начать, компания платит нам от 5 до 10 тысяч долларов и 20% — это стандарт — от бюджета на найденные уязвимости.

— А как площадки конкурируют между собой? Вы понижаете ставку, меньше денег просите?

— У кого больше клиентов — туда хакеры обычно и идут. По удобству тоже есть нюансы. Есть те, кто платит хакеру моментально, другие платят больше, третьи высылают сувенирку (все хакеры очень ее любят), приглашают их куда-то.

— Расскажите какой-то интересный случай с украинскими компаниями. Был кейс с Киевстаром, когда он хотел заплатить $50 за найденную критическую уязвимость. Были ли другие подобные случаи скупердяйства или наоборот щедрости?

— Говорить можно об Uklon. Мы тестировали эту компанию во время хакинг-капа. Тогда собрались около 30 хакеров со всего мира. За 8 часов они нашли в сервисе около 90 багов. 

Но самая веселая история — когда приехал 18-летний парень из Непала. Он должен был получить визу. Получал ее через сайт Министерства иностранных дел, и тот что-то плохо обновлялся. Так парень его взломал и получил доступ ко всем паспортам.

— Украинским паспортам?

— Да. Мы отправили этот баг в министерство, они быстро его пофиксили и сказали “спасибо большое”. Визу оформили, предложили с ним встретиться и вручить ему сертификат, но он не захотел идти к госорганам. Этот же непалец нашел самую крутую багу Uklon. Причем сделал это за первых полчаса.

Она была настолько крутая, что он пошел курить кальян и все равно выиграл приз за самую крутую найденную уязвимость

— А какое вознаграждение он получил?

— Около $1500.

— Были еще какие-то приколы с госструктурами, кроме МИД?

— Если нет публичной bug bounty и ты что-то нашел, это можно классифицировать как несанкционированный взлом. Могут быть проблемы. Играться на украинских веб-ресурсах — такое себе удовольствие. Ввиду ограниченности ресурсов мы больше концентрируемся на международных клиентах.

— То есть там, где есть деньги, вы и работаете?

— Да. Мы один раз продвигали идею использования bug bounty платформ для государства с компанией BRDO. Нам говорят: “Окей, давайте начинать тестировать сайты госструктур”. Но потом встал вопрос: кто будет платить хакерам за найденные уязвимости? Они говорят: вы и будете платить. А нам это зачем? “Мы же не можем, здесь нужно тендер проводить”, — ответили нам. Я говорю: окей, понятно, тогда нам это не интересно.

О ТОМ, ЧТО БУДЕТ С КРИПТОЙ, УМЕРЛО ЛИ ICO И ЛАЙФХАК ОТ КИТАЙЦЕВ

— Хотел еще об ICO вас спросить. В свое время вы привлекли около $4 млн.

— Я считаю в биткоинах и эфириуме: 250 «битков» и 5200 «эфира».

— Вы сразу продали эти криптовалюты?

— Нет.

— Почему? Как раз же был пик, все росло.

— Мы тратили согласно нашим потребностям.

— То есть вы и сейчас не все потратили и у вас есть запас биткоинов?

— Конечно. Все, что обещали, мы сделали. Мы построили бизнес-модель, которая генерирует доходы. Ту часть, которая у нас осталась, мы начали вкладывать в развитие других продуктов.

— Я, возможно, не до конца понимаю всю систему, но вы выпустили свою криптовалюту, токены — и люди ее купили. Сколько она сейчас стоит ?

— Если считать к битку и “эфиру”, то она стоит где-то столько же, за сколько они и покупали ее в ноябре. Если считать к доллару, то те, кто успел продать, когда криптовалюта росла, могли заработать до 700%. Но сейчас она упала где-то в 3 раза от цены ICO к доллару.

— Но сейчас она растет с развитием компании или нет?

— Этот рынок еще очень незрелый. Сейчас в крипте около 2500 разных монет. Но именно сейчас их бизнес-модели будут проверяться на прочность.

— Должно все устаканиться и остаться, например, 20 криптовалют?

— Да, все будут умирать. Я даже сделал опрос в своем твиттере.

В скольких криптопроектах есть устойчивая бизнес-модель? Больше половины ответило, что меньше 3%. 97% будут умирать.

В 2019 году начнется глобальный аудит проектов: что у них есть, какие активы, какие бизнес-модели, какие доходы, тогда и начнется корреляция оценки проектов со стоимостью проектов.

И тогда криптопроекты, у которых нет идеи или которые растратили привлеченные деньги, будут умирать. А те,  у кого есть готовые продукты и доходы, будут выбираться наверх.

— Сейчас все, с кем ни пообщаюсь, говорят, что ICO умерло, никто уже не будет ничего делать. А вы как на это смотрите?

— ICO как метод краудфандинга, скорее всего, если не умерло, то надолго затихло. Потому что будет еще ISTO — когда уже готовые бизнесы будут предлагать миру свою монету, которая будет выполнять какую-то функцию. И у них уже есть готовая бизнес-модель. Туда будут заходить деньги, в основном американские — венчуров и институционалов. Туда, возможно, даже не будут пускать простых смертных. 

Что это вообще такое было — ICO? Это когда люди резко подняли деньги на росте “эфира” (когда он вырос с 40 до 200, потом с 200 до 500, потом с 500 до 1200 — три пика). В основном инвестиции заходили именно в “эфире”. Когда человек видел: “О, я сделал 200% на эфире! А что тут за ICO-шки есть? Я сейчас разбросаю еще и столько же сделаю”. На этом люди и прогорали.

— Как вы считаете, что будет дальше? Есть такое мнение, что в связи с тем, что некоторые страны забанили биткоин…

— Не забанили, ничего подобного.

Большинство торговли с Китаем происходит через биткоин. Вот заказываете вы, к примеру, оптом стекла для телефонов — и уже все идет через биток.

— Серьезно?

— Весь торговый оборот с Китаем огромными темпами переходит в криптовалюту. Об этом никто не говорит, потому что это непопулярно. Но это теневая экономика, которая появилась.

— То есть это теневые расчеты?

— Да. Китайцам удобно, торговцам удобно. Ничего не светишь, налоги не платишь. Товар отгрузил, прописал что-то — всё. Самые большие обороты крипты происходят с Китаем за покупку товаров. За секунду отправляешь с телефона на телефон. В Китае можно без проблем все обналичить.

— Как дальше будет развиваться эта ситуация? Какой объем этих операций?

— Очень сложно оценить, сколько крипты переходит каждый день. Может, спецслужбы и отслеживают.

Как будет развиваться? Я считаю, что нет ничего сверхъестественного, если мир перестанет использовать доллар, как резервную валюту. Человечество уже тысячу раз такое делало. Бреттон-Вудское соглашение случилось совсем недавно —  в 1944 году. Тогда взяли и заменили золото на бакс. Это мы сейчас в учебниках читаем. А это была полная революция финансового мира. И это была революция не в более удобную систему, а в более закрытую, непрозрачную, с выгодой для одних.

Я лично верю, что рано или поздно человечество точно откажется от доллара. В пользу чего? Лично я считаю, что если взять и заменить бакс на биток, все от этого только выиграют.

— Кроме банков, наверное.

— Да и то. Банки будущего — не биржи ли? Им сейчас не хватает прозрачности, но они могут выполнять эту функцию вообще без проблем. И роль у банков какая? Обеспечение транзакций и прозрачности, выдача кредитов и накопление депозитов. Так это уже давным-давно умеет крипта.

А что еще? Это глобальный кастодиан (тот, кто безопасно хранит чьи-то деньги по поручению).  Если посмотреть верхнеуровнево, чем сейчас занимаются основные капиталы в криптомире — они все создают суперзащищенные кастодианы.

— Это все хорошо, но банки же будут против…

— Банки просто возглавят это.

— Пока этого не видно.

— Нужно понимать, что это и вопрос поколений. Горизонт планирования глобальных изменений — точно не 1 и не 2 года. Это 10 лет.

О ВНЕДРЕНИИ КРИПТОГРИВНИ И АНАЛИЗЕ КРИПТОБИРЖ

— Что скажете по криптогривне?

— Хороший проект.

— Государство пока не очень смотрит на него. Михаил Чобанян что-то пробует в одиночку.

— Этот проект уже давным-давно сделан, и Чобанян пушил его с небезразличными и очень умными людьми в НБУ. А там работают прямо самородки. Все готово, разработано, уже даже посчитано, сколько это сэкономит средств, сколько это даст новых налогов. Проект прекрасный.

— То есть не хватает политической воли? Если новый президент скажет “вводим”, его введут?

— Да. Именно так.

— Я видел огромную цифру — что-то вроде 70 млрд грн сэкономит внедрение криптогривни. Но так и не понял, каким образом.

— Тоже скептически отношусь к такой цифре. Но то, что это позволит урезать определенные косты, которые несет государство, более эффективно собирать налоги и отслеживать операции — это точно. Я всегда мыслю категориями “что есть” и “что может быть”. И смотрю выгоды по сравнению с затраченными усилиями. НБУ посчитал выгоды, но еще не посчитал затраченных усилий.

— Юлия Тимошенко на своих съездах тоже говорит о крипте и блокчейне…

— Она говорит не то, что думает, а то, что понравится целевым группам. Для каждой аудитории у нее месседж. Она хорошо освоила таргетируемую рекламу. Я, слава богу, Facebook удалил. Instagram у меня никогда не было, так что реклама не мешает. Перешел в Twitter.

— Еще очень интересна штука с рейтингами криптобирж. Как вы оцениваете безопасность биржи? Как изучаете, если она американская?

— Из публичных данных можно сделать много выводов. Мы разработали тест публичных данных из 15 или 16 вещей, которые нужно сделать. И сравниваем по этим параметрам.

— И сколько у вас бирж в списке?

— Сейчас мы добавляем все биржи, потому что сфокусировали наш рейтинг на балансах бирж. Биржа — это черная дыра криптомира. Никто не знает, что там происходит, кому они принадлежат, сколько у них денег находится, насколько они безопасны, что они с этими деньгами делают, что происходит со спредами внутри. Там все очень грязно, просто непаханое поле.

Мы сконцентрировали все наши усилия, чтобы проаудировать балансы бирж — сказать, сколько какой бирже принадлежит денег. И от этого уже можно идти на следующий этап. Когда ты будешь знать, сколько денег, сможешь смотреть оборот (репорты, которые тоже далеко не всегда настоящие). Дальше уже можно делать более хорошую аналитику.

— Как вы будете зарабатывать с помощью этой штуки?

— . Главная задача — получить реферальный трафик от больших чуваков наподобие CoinMarketСap. Я знаю, что EtherScan — это мои друзья — прекрасно себя чувствуют просто на рекламе. EtherScan — это главный блок-эксплорер сети “эфира”.

Сначала мы аудируем балансы бирж бесплатно, потом платно. Хочешь подтвердить свой баланс? Окей, мы начинаем работать. Говоришь, какие кошельки твои, мы сбрасываем адреса, на которые ты должен скинуть сатоши. Скинул сатоши, подтвердили. Провели по chain analysys, посмотрели, нет ли грязных битков. Все, подтвердили.

Да, и сертификат не только по аудиту баланса, но и по кибербезопасности, ликвидности и по комьюнити — сколько у тебя на самом деле трейдеров.

— То есть у нас в Украине будет такая себе SMP или Moody’s, только относительно криптобирж?

— Чтобы стать SMP или Moody’s, нужны десятки лет. Вариантов развития несколько. Либо мы идем и становимся сервис-провайдером для CoinMarketCap — чтобы под их брендом получить доверие. Либо являемся менеджинг-партнером, которые организовывают Coin MarketCap, EtherScan и другие chain analysys компании. Либо мы идем, делаем этот репорт и партнеримся с государством или большой четверкой. С одной стороны, это чуть более сложно, с другой — кому-то подходит.

Например, у меня есть контакты, как презентовать это президенту Кипра. Либо же верхушкам Большой Четверки. По обоим направлениям мы работаем, но наша задача — сделать цифры, дать результат. Результат, который еще никто не делал и которого сложно добиться, — получить баланс всех бирж. Когда у нас будут балансы, будет на 80% аккуратный репорт, дальше — дело техники.

— Какой у компании годовой доход?

— В прошлый год мы сделали больше миллиона долларов. Где-то $1,5 млн.

— А рост большой?

— Компания, которая продает cyber security услуги из Украины на $100 000 в месяц — это довольно много. Рост? Мы начинали с $30-40 тысяч в месяц в феврале-марте, потом было 80, доходило до 150, один месяц было 180. Держимся выше 100 каждый месяц. А рост зависит от команды продажников.

— Большинство людей за моей спиной — продавцы?

— Нет, большинство как раз технари, маркетологи, продакт-маркетологи и аналитики. Продавцов у нас 5-6, и мы понимаем, что здесь нужно развиваться. По продажам тоже два направления.

Первое — это через сеть партнеров, у которых уже есть в своих регионах связи и которым мы добавляем услугу bug bounty. В Азии еще не знают, что это такое, и с удовольствием нас перепродают.

Второе — аутсорс сейлз-команды. Это 30-40 человек сидят на телефонах, имейлах и бомбардируют прямо всех.

— Выходит, вы как IT аутсорсинговая компания, которая заточена под кибербезопасность и блокчейн?

— Мне больше нравится слово не аутсорс, а professional service firm.

Антон Кобылянский

корреспондент ЛІГА.Tech

Евгений Шишацкий

корреспондент ЛІГА.Tech

Источник: Лига