Rusbase
«Мы не берем на работу хакеров — у них нет принципов»
Основатель проекта DeepHound Магомед Алиханов — о том, как создать поиск в даркнете, самой глубокой и криминализированной части Всемирной паутины.

29 мая 2017




DeepHound относится к тому редкому типу стартапов, которые не хотят, чтобы о них много знали. Платформа по поиску в «темной» части интернета (той, что не индексируется другими поисковиками) была создана в 2015 году Магомедом Алихановым и Алексеем Авраменко, а также командой программистов, работавших в сфере кибербезопасности.

Сам Алиханов — бывший топ-менеджер крупных российских компаний («Ренова», «ВымпелКом», «Ренессанс Групп») — не раз сталкивался с мошенничеством в финансовой сфере и решил вместе с партнерами создать технологию, способную мониторить и предупреждать киберугрозы в этой отрасли. На данный момент услугами DeepHound пользуются три банка, один из которых входит в «большую четверку» банков Британии.

Корреспондент Rusbase Мария Соснина узнала у Магомеда Алиханова, как выглядит загадочный поисковик.
— Сразу хотел бы предупредить, что я не хочу разглашать названия компаний, с которыми мы работаем, и рассказывать о тонкостях нашей технологии, — объяснил в начале интервью Алиханов.
Почему?
— Представьте, что люди зарабатывают в даркнете гигантские деньги, и тут появляется какой-то стартап, который хочет с ними бороться. Как считаете, нам нужна большая публичность? Вы не найдете о DeepHound информацию в интернете. Чем меньше о нас знают, тем лучше.
«Оружие там продается в любых количествах»
Давайте сначала разберемся, что такое даркнет.
— Интернет, которым мы все привыкли пользоваться, составляет лишь 4% от всего веб-пространства. Это открытый интернет, то есть то, что мы видим: разнообразные сайты, соцсети, «Википедия» и многое другое. Остальные 96% интернета — это его невидимая часть.

Половину ее занимает дипвеб (Deep Web — прим. Rusbase) доступные, но не индексируемые поисковиками сайты, а также страницы, куда можно попасть только с помощью пароля. Нижняя часть интернет-айсберга — это даркнет (Dark Web или Darknet — прим. Rusbase). Туда заходят уже с помощью специальных программ, например, Tor. Общение в даркнете предполагает полную анонимность.
Схема теневого интернета. Слайд из презентации DeepHound
Кто может пользоваться даркнетом?
— Да кто угодно, ведь это не противозаконно. В основном, это технически подкованные люди, которые умеют использовать нужный софт. По американским данным, в мире 40 миллионов пользователей даркнета. Думаю, что в России счет идет на десятки тысяч (по данным Tor Metrics, в России на данный момент используют Tor около 215 тысяч человек, при этом лишь часть из них посещает с помощью него даркнет — прим. Rusbase). Из-за того, что в даркнете все происходит анонимно, он превратился в площадку для общения и совершения различных сделок между киберпреступниками и мошенниками.
Какого рода сделок?
— Если говорить о финансовой сфере, то это продажа краденых или потерянных кредитных карт вместе с пин-кодами, слив информации от сотрудников банков, торговля данными о богатых клиентах и многое другое.
Что самое ужасное вы видели в даркнете?
— С помощью нашего поиска мы находили сайты, где продают оружие — в любых количествах. Автоматы Калашникова, пистолеты «Глок», боеприпасы... Это не единичные случаи, а вполне сформированные черные рынки. Видели множество форумов, где продают наркотики. То еще зрелище.
Правоохранительным органам удается находить продавцов?
— Эпизодически у них получается. Можно вспомнить историю площадки Silk Road, которую в 2013 году прикрыли агенты ФБР. Проблемой преступности в даркнете занимаются все ведущие страны. Лидеры в этой области — США и Израиль. В этих странах существует несколько проектов поиска в даркнете. В Штатах это Flashpoint и Palantir. Последний, насколько мне известно, сыграл ключевую роль при поимке террористов. У израильтян есть Sixgill.
Что есть в России?
— По моей информации, ничего. Все проекты, о которых мы слышали — например, что-то пытались сделать в Сколково — оказывались пустышками. Возможно, существует какой-то поиск у спецслужб. Мы о нем ничего не слышали.
То есть я правильно понимаю, что вы первыми в России создали что-то вроде «гугла» в даркнете?
— Мы сделали платформу DeepHound, с помощью которой можно мониторить весь интернет — открытый, глубокий и даркнет. Так как мы специализируемся на финансовой кибербезопасности, то поиск в основном касается банковской сферы — мы можем предупредить банк о наиболее актуальных внешних угрозах, например, утечке информации.
Интерфейс DeepHound
Объясните, как это работает.
— Представим, что банк — это дом, в котором кто-то открыл форточку. И наружу потекли конфиденциальные данные о клиентах, платежах, счетах, номерах кредитных карт. Всю эту информацию можно продать в даркнете. Ее покупатели — хакеры, которым нужно точно знать, кого атаковать, чтобы не тыкать пальцем в небо. Задача DeepHound — собрать статистику, сделать скоринг угроз, проанализировать их и оповестить клиента.
А как эти угрозы выглядят? Что-то не верится, что кто-то в даркнете пишет: «Продам данные Сбербанка. Звоните по такому-то номеру. Коля»
— Конечно, мошенники не общаются на обычном языке. Дураков там нет, IQ у этих ребят очень высокий. У них существуют и специальная терминология, и шифрование, чтобы если дело вдруг дойдет до суда, было невозможно ничего доказать. В этом и суть нашего поиска — понять, что угроза касается именно этого конкретного банка, даже если его название не упоминается, а авторы всех объявлений анонимны.

Когда планируются финансовые махинации на миллионы долларов, преступники не сидят все вместе в кафе, ломая голову, как провернуть дело, а работают из разных стран. Их роли распределены: есть исполнители, заказчики, посредники и даже финансовые гаранты. Планируя атаку, они ищут человека, который расскажет, где точка уязвимости банка. То есть сотрудника безопасности банка или просто человека «изнутри». Во многих банках самая большая угроза связана именно с угрозой инсайда.
У вас есть данные, какие российские банки чаще всего страдают от слива информации в даркнет?
— У нас имеется такая статистика, но я не могу ее озвучить. Есть и перечень уязвимости различных банков с точки зрения кибербезопасности. В нашем архиве сейчас 12 миллионов записей, связанных с самыми разнообразными угрозами в банковской сфере на территории России. Это данные по отмыванию денег, инсайдам, продаже дубликатов карт ведущих банков и многое другое. Другими словами, мы знаем о многих угрозах — и вчерашних, и завтрашних.
«Мы ничего не взламываем, лишь собираем информацию»
Расскажите, как вы пришли к идее создания поисковика в даркнете?
— Я один из партнеров компании Locus Private Equity, которая занимается консалтингом и фандрайзингом для инновационных компаний. В нашем портфеле — несколько российских и зарубежных проектов, в том числе компания, которая занимается производством возобновляемой энергии. В какой-то момент мы решили, что тоже хотим приложить руку к созданию стартапа. Мне повезло с моим партнером с Алексеем Авраменко — бывшим топ-менеджером крупнейшей госкомпании, который долгие годы своей карьеры занимался серьезными разработками в области кибербезопасности.

Думаю, что сегодня Алексей — один из самых продвинутых и информированных людей в этой сфере в стране. Когда мы познакомились и начали общаться, стали думать, что можем вместе сделать. Для нас было важно, чтобы проект был инновационным, технологичным и решал фундаментальные проблемы, актуальные в любой точке мира.
Почему вы выбрали именно финансовый сектор?
— Потому что я много лет проработал в большом финансовом бизнесе — в группе компаний «Ренессанс Страхование» и швейцарской группе Zurich. Мы понимали, что есть много проблем, связанных с фродом (от англ. Fraud — мошенничество — прим. Rusbase), что финансовые махинации могут быть внутренними и внешними и что ущерб от них только растет. Вот вам цифра: по официальным американским данным, потери банковского бизнеса в США из-за кибермошенничества составили в 2016 году более 500 миллиардов долларов.
Есть данные по России?
— Нет, Центробанк их не публикует. В Штатах закон заставляет банки отчитываться. У нас это серая зона.
Банки тратят на кибербезопасность миллионы. На что они уходят?
— Существующие решения что-то умеют и что-то отсекают. Но это процентов 25–30. Главная проблема заключается в том, что существующие подходы не дают должного эффекта. Лидером на рынке с точки зрения борьбы с фродом является американская компания SAS, но она отвечает только за внутренний периметр. «Касперский» решает проблему кибератак на банковскую систему, но не занимается мониторингом внутренних угроз.

Group-IB
помогает расследовать кибермошенничества, у нее есть компетенции, специалисты и лаборатории. Ни у кого нет платформы, которая в автоматическом режиме позволяет мониторить угрозы, касаемые отдельно взятых банков.
Объясните на пальцах — в чем суть вашей технологии?
— Технология состоит из нескольких частей. Это и машинное обучение, и система скрытого мониторинга и обработки данных. По отдельным кускам информации, которую DeepHound находит в открытом интернете, дипвебе и даркнете, мы собираем определенный пазл. Это непросто и требует много серьезного программирования. Поисковик собирает информацию автоматически, по ключевым словам. При этом он не должен себя выдавать — мы ведь тоже должны защищать себя от хакеров.
Магомед Алиханов, фото: Маша Парфитт
В книге «Девушка с татуировкой дракона» есть эпизод, когда хакерша составляет подробное досье на журналиста Блумквиста — «копает» до его личной переписки и файлов в скрытых папках в ноутбуке. Вы умеете составлять такие «досье»?
— Мы ничего не взламываем. Если мы сами боремся с мошенниками, то не можем опускаться до их уровня. Во-первых, о любом взломе все равно станет известно, и наша репутация будет испорчена навсегда. Во-вторых, поверьте, в публичном интернете тоже можно найти много всего интересного. Нажатием одной кнопки специальные алгоритмы ищут профили пользователя в соцсетях, выстраивают социальный граф человека, анализируют его поведение и так далее.
С открытым интернетом понятно. Но как вы ищете в даркнете, где все сидят под выдуманными никами?
— Людям очень сложно изменить свой социальный граф, они всегда ведут себя одинаково — и в публичной сети, и в Tor. DeepHound умеет сравнивать поведение пользователей и сопоставлять мельчайшие сходства. Всю технологию, как мы вычисляем мошенников, я рассказать не могу. Есть много тонкостей. Иногда нам может помочь сам банк — если человек уже под подозрением, нам могут сообщить, например, в какое время сотрудник находился в отпуске. Это сильно облегчает поиск, и мы с вероятностью до 95 процентов можем вычислить человека по датам и перемещениям.
Сколько у вас сейчас клиентов?
— Три банка — два российских и один западный. Не могу их назвать из-за соглашения о конфиденциальности (по информации Rusbase, иностранный клиент входит в «большую четверку» банков Британии).
Расскажите тогда реальный кейс.
— В российском банке мы совсем недавно вычислили двух сотрудников, которые сливали информацию на сторону.
Что с ними стало?
— Это уже внутреннее дело банка. Мы также не можем оценить ущерб, который нанесли два этих сотрудника, так как просто не видим цифры. Вообще же мы имеем кейс на каждый крупный российский банк — в виде выкладки угроз, существующих для каждого из них. Мы показываем эти данные топ-менеджерам банков во время встреч, когда договариваемся о сотрудничестве. Некоторые руководители банков хватаются за голову.
С помощью вашей технологии вы гарантируете банкам безопасность?
— Нет. Наша задача — предупредить банк о наиболее критичных угрозах для их бизнеса. Говоря простыми словами, мы сообщаем клиентам, что в такое-то время и на такой-то площади соберется народ, который хочет их ограбить. Наша платформа видит всю логику и механизмы и с большой вероятностью может предотвратить процессы, имеющие отношение к отмыванию денег и кардингу. Слышали об историях, когда сливаются данные кредитных карт, после чего мошенники снимают деньги? DeepHound способен это предотвратить.
Как вам удалось заполучить в клиенты западный банк?
— У нас был этап переговоров, они попросили показать кейс. Мы настроили систему, поискали актуальные для них угрозы, показали статистику. После некоторых раздумий и консультаций клиент сказал «да», скоро мы запускаем пилот.

Вообще с западными банками намного комфортнее и приятнее общаться, чем с российскими. Для них очень важен вопрос репутации, они на встречах прямо так и говорят. Представьте, к примеру, что произойдет с репутацией J.P. Morgan, если широкой публике станет известно о том, что из банка происходит утечка данных о персональных картах или паролей состоятельных клиентов. Для западных банкиров это страшный сон.

Со временем мы планируем открывать офисы в Нью-Йорке и Лондоне. 57 процентов рынка фрода находится в Северной Америке и только 16 процентов — в Европе. А российский рынок для нас совсем маленький — меньше 1 процента от глобального.
«Если государство к нам обратится, мы поможем»
Расскажите про монетизацию. Сколько стоит ваше обслуживание?
— У нас решение по модели SaaS: мы даем клиентам доступ к системе и настраиваем все интерфейсы. Стоимость обслуживания зависит от количества пользователей и тех модулей, которые они хотят использовать. Средний чек — $120 тысяч в год, что — для сравнения — меньше, чем годовая зарплата сотрудника по информационной безопасности крупного западного банка.
То есть клиент получает доступ к вашему поиску и ищет, что хочет?
— Лишь то, что может иметь отношение к банку. Допустим, банк интересует все, что имеет отношение к инсайду. И поиск показывает всю информацию — ники, цифры и тому подобное. Система чаще всего настроена автоматически и выдает еженедельные отчеты, которые касаются тех или иных угроз.
Вас интересуют только банки?
— Нет, нам интересна вся финансовая сфера. Мы планируем начать сотрудничество со страховыми и консалтинговыми компаниями, платежными системами, заглядываемся на фондовый рынок, который страдает от инсайдов о котировках акций. Мы только начинаем свой разбег в общении с клиентами, думаю, скоро в нашем портфеле их будет гораздо больше.
Слайд из презентации DeepHound
Теоретически вы можете начать работать на госструктуры?
— Если государство к нам обратится, мы поможем, это не вопрос. DeepHound способен мониторить угрозы, связанные с наркотиками, оружием и терроризмом. Но вообще это уже такая социальная история. А мы все же про деньги.
Сколько вы вложили в платформу?
— Пока мы не привлекали инвестиции со стороны, развиваемся на собственные деньги. Сумма вложений измеряется сотнями тысяч долларов.

Базовый продукт у нас есть, но чтобы сделать скачок на следующий уровень, конечно, понадобятся инвестиции. Мы ищем не просто деньги, а правильного партнера, который будет понимать этот рынок. Если удастся договориться с фондами в ближайшее время, то через два года мы создадим уникальный продукт — российский Palantir, ничуть не хуже.
Как вы планируете развивать поиск?
— Его нужно научить еще многим вещам. Например, раскрывать анонимы в даркнете — понимать, что за люди сидят там физически. Наша первая задача — доработать продукт и автоматизировать все бизнес-процессы. Система уже умеет искать на четырех языках. Мы бы очень хотели, чтобы DeepHound определял конкретное время атак, с точностью до дня. Хотим усовершенствовать прогноз вероятности наступления событий.

Для этого нам надо перейти на другой уровень машинного обучения. Сейчас мы ищем в команду сильного математика, который поможет нам доработать определенные алгоритмы. Таких людей на рынке единицы и стоят они очень дорого.
Кто вообще ваши сотрудники?
— Хорошие программисты, которые имеют опыт в криптографии и информационной безопасности.
То есть хакеры?
— Мы очень внимательно смотрим, кого берем. Если запустим хакера к себе внутрь, то легко окажемся в ситуации, в которой уязвимы. Хакер — человек у которого нет принципов. Наши же ребята хотят не создавать, а решать проблемы. Фундамент команды — шесть ключевых сотрудников, которые знают друг друга очень давно. Это далеко не случайные люди.
Правда, что большинство хакеров в мире — русскоязычные?
— Не скажу про мир, но в России действительно много хороших хакеров. Но не меньше хороших специалистов по кибербезопасности.
Видео по теме:
Медведи за клавиатурой. Русские хакеры в мировой кибервойне
© Rusbase, 2017
Фотографии: Маша Парфитт
Текст: Мария Соснина — внештатный корреспондент Rusbase


Людмила Чумак
Нажмите "Нравится",
чтобы читать Rusbase в Facebook