К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.
Наш канал в Telegram
Самое важное о финансах, инвестициях, бизнесе и технологиях
Подписаться

Новости

Разведка сетью: как система Avalanche помогает спецслужбам и бизнесу

фото Сергея Мелихова для Forbes
фото Сергея Мелихова для Forbes
Подполковник спецслужб в отставке Андрей Масалович создал программу Avalanche для борьбы с сетевыми угрозами. За что власти и корпорации ценят разработку?

«Русские, вперед!» — десяток парней в масках высаживают двери торгового центра «Бирюза» в Бирюлево. Из разбитых окон валит дым, в полицейских летят бутылки и камни. Предотвратить погром, которым закончился 13 октября 2013 года народный сход, силовики не смогли, хотя информация о нем была. «За три часа до начала беспорядков у меня в ноутбуке зажглась красная лампочка — сигнал тревоги, — вспоминает 53-летний Андрей Масалович, президент консорциума «Инфорус» и разработчик поисково-аналитической системы Avalanche. — Мы заметили, что в группе «Суровое Бирюлево» в соцсети и на ресурсе «Я-Русский» началась прямая координация протестов».

После событий в Бирюлево cистему раннего предупреждения на базе Avalanche — «Лавина Пульс» — использовали в МВД, в управлении оперативно-разыскной информации (УВОИ). От государства не отстает и бизнес — банки и корпорации все более активно берут на вооружение технологии выявления угроз и слежения за конкурентами. Как это работает?

Роботы и сканеры

В июне 2011 года хакеры из итальянского крыла группы Anonymous взломали сервер CNAIPIC, местной киберполиции, и выкачали почти 8 Гб служебной информации. Утечку засек Avalanche. «Хвастаться хакеры начали раньше, чем докачали, — вспоминает Масалович. — Я успел найти их архив и cкачать оттуда 200 Мб данных». В улове обнаружилось много внутренней информации российских компаний, в том числе по строительству АЭС в Бушере в Иране — например, табель учета рабочего времени сотрудников, выполнявших монтажные работы, и протокол технического совещания компании, входившей в ГК «Росатом»: киберполиция собирала документы, связанные с повреждением насосного агрегата расхолаживания первого контура АЭС. Узнав об утечке, Масалович сразу поставил в известность службу безопасности «Росатома». Когда узнавший об утечке репортер дозвонился до компании, ему четко рассказали про плановый ремонт, отсутствие грифа секретности на документах и о том, что ситуация под контролем. Представитель «Росатома» комментировать эту историю для статьи не стал.

 

Система Avalanche похожа на конструктор: по желанию заказчика она собирается из различных кубиков и устанавливается на сервере или в облаке.

Первый кубик — управляемые роботы, которые прочесывают открытые источники, или «белый» интернет: СМИ, соцсети, форумы, блоги. Второй компонент Avalanche — сканер безопасности Webbez, разработанный компанией «Веб Безопасность». Сканер оперативно проверяет сайты клиента на распространенные уязвимости, засекает вирусы на страницах, выявляет типовые ошибки администрирования. С сентября 2011 года Масалович консультировал разработчиков «Веб Безопасности», а осенью 2012 года предложил интегрировать сканер Webbez в Avalanche. Кроме аудита и защиты сайтов сканер может собирать и накапливать материалы из так называемого серого интернета. «Эта особенность востребована по линии конкурентной разведки», — замечает совладелец «Веб Безопасности» Александр Толстой. По его словам, за время работы было составлено более 10 000 отчетов о текущем уровне безопасности сайтов как госсектора, так и частных компаний.

 

Третий компонент — семейство следящих роботов, которые наблюдают за «пристрелянными» ресурсами. Например, владельцам одного металлургического комбината на Среднем Урале портила кровь местная оппозиция, периодически устраивавшая забастовки, голодовки или перекрытие дороги. Руководство комбината хотело знать об этих акциях заранее. Первым делом Масалович «пристрелял» источники, за которыми следит Avalanche, — сайты, где публикуется компромат, соцсети и форумы, где высказываются нелояльные сотрудники, журналисты. В истории с комбинатом было два источника:  на одном из сайтов выкладывали компромат на руководство комбината, а на ветке форума оппозиционеры обсуждали планы. Настроив Avalanche, команда Масаловича заранее готовила справку-прогноз для руководства комбината.

Четвертый компонент — эксплоиты, то есть программы, которые проникают через уязвимости и выкачивают информацию. «Это боевая часть Avalanche, она предназначена не для всех клиентов», — говорит Масалович.

Клиенту все эти технические детали не нужны — интерфейс системы прост, вся собранная информация представлена наглядно на восьми экранах. Открывая ноутбук, Масалович показывает панель Avalanche.

 

Слева в списке проектов несколько тем, за которыми он следил недавно: «приморские партизаны» (анализировались сепаратистские настроения на Дальнем Востоке), Украина, фанатские группировки.

В зависимости от важности новости отмечаются зеленым, желтым или красным цветом.

Интерфейс настраивают под каждого заказчика. Например, ситуационный экран Москвы выглядит так: «Радикальные и оппозиционные политические лидеры» (посты Навального), «Митинги и политические акции», «Радикальный ислам», «Выходцы с Северного Кавказа», «Международные террористические группировки», «Политические партии», «Националистические акции и объединения», «Тема дня» (грубые шутки о Путине оппозиционера Гальперина). Для наглядности информацию для руководителей снабжают фотографиями, а одному из заказчиков визуализировали информационные атаки в виде летящих к цели ракет.

Скриншот ситуационного экрана Avalanche по Москве

Система использует технологию «умных папок» — информация, которую разыскивают в интернете роботы, автоматически распределяется по темам, что облегчает работу по составлению отчетов, прогнозов или досье. Правда, без вмешательства человека не обходится: за работой системы в удаленном режиме наблюдает дежурная смена — оператор, аналитик и админ. В штате группы «Инфорус», которая занимается системой Avalanche, 35 человек. При необходимости привлекаются «наемники» — специалисты по нейтрализации ботов и троллей.

 

Леший из ФАПСИ

В августе 1998 года Андрей Масалович вышел из казино Монте-Карло в приподнятом настроении — выиграл 300 франков. Тут его и настигли новости о дефолте. В России у него был вполне успешный бизнес, связанный с продажей компьютерных программ для краткосрочного прогнозирования на фондовом рынке, офис в Столешниковом переулке и собственный ресторан «Тренд-клуб». После дефолта — $40 000 долгов и замолчавший телефон.

В прошлой жизни он был инженером закрытого НИИ «Квант», создавшим советский суперкомпьютер МВС-100, и экс-подполковником ФАПСИ (до 1991 года — 16-го управления КГБ), воспринимавшим мир как «арену жесткого информационного противоборства». В кризис Масалович решил вернуться к интернет-разведке и своим разработкам в области технологий анализа и прогнозирования.

Идея создания Avalanche родилась после знакомства с профессором Гарвардского университета Грэмом Эллисоном, экс-заместителем министра обороны США, на конференции в Бостоне. Эллисон посетовал, что, когда его аналитикам нужна информация, на них с экрана выплескивается «лавина данных». Масалович пообещал помочь и через полгода передал профессору жесткий диск с поисково-аналитической системой Avalanche («Лавина»). За разработку, по его словам, заплатили приличную сумму — хватило на пятикомнатную квартиру в Москве с видом на парк.

Разработкой заинтересовались и его бывшие коллеги: Масалович отодвинул на три года все коммерческие заказы и стал работать на государство. Как эта система использовалась? Вот лишь один пример. По словам Масаловича, два года назад к его группе обратились заказчики одной из структур «Ростехнологий». Они узнали, что Rock Island, американская военная база в Иллинойсе, планирует провести тендер на поставку различных типов нестандартных боеприпасов для Афганистана, к участию в конкурсе могут быть допущены иностранные компании. Масаловича попросили выяснить подробности. «За неделю до объявления тендера следящие роботы приносят мне полный комплекс тендерной документации в черновиках — план закупок, условия поставок, цены», — гордится Масалович. По словам источника в «Росвооружении», американцы не допускали россиян к участию в тендерах. «Информацию о конкурсе, может быть, собирали для того, чтобы выбить командировку в США, выиграть что-то было нереально», — предположил собеседник Forbes.

 

Внимание Масаловича к тайнам Пентагона и ЦРУ не осталось незамеченным. После того как он «ковырнул» их ресурсы, Масаловича, по его словам, включили в базу ЦРУ как руководителя группы хакеров под кличкой Леший.

Раньше создатель Avalanche часто бывал в США — на учебе, в командировках, на форумах. Сейчас в США уже не ездит и даже техникой Apple не пользуется — не хочет рисковать.

Одним из первых его гражданских заказчиков был аппарат правительства. «О необходимости мониторинга заговорили после «Норд-Оста», — вспоминает Масалович. По его словам, Avalanche должна была стать одним из блоков комплексной информационно-аналитической системы, но премьера Михаила Касьянова сменил Михаил Фрадков, началась ротация чиновников, подготовка проекта была сначала отложена, а потом и вовсе свернута.

«Интернет тогда не воспринимался как источник дестабилизации, а без этого задачи Avalanche сводятся к рутинному сбору новостей», — замечает Масалович.

 

Система тестировалась в режиме «пилота», поэтому возглавлявший в 2003–2004 годах аппарат правительства Константин Мерзликин Avalanche не припомнил. «Использовалась только своя закрытая система документооборота и информационная лента «Интерфакса», других систем не было», — уверяет Мерзликин.

.wysiwyg-forbesbreak {display:block;border:0;border-top:1px dotted #ccc;margin-top:1em;width:100%;height:12px;background: transparent url(/sites/all/modules/custom/forbes_wysiwyg_plugins/plugins/forbesbreak/images/breaktext.gif) no-repeat center top;}

pagebreak

Интернет выключился

Mercedes резко затормозил — прямо из-под колес иномарки выскочил двухлетний мальчик и с плачем бросился к матери. «Оставь их, поехали!» — окрикнули из салона перепуганного водителя, который хотел было предложить свою помощь. В служебной машине, которая скрылась с места ДТП в подмосковном Новогорске, находился вице-президент Газпромбанка Александр Шмидт.

После того как эта история в апреле 2012 года взорвала интернет, Шмидт подал в суд на блогера, родителей мальчика и газету «Коммерсантъ». «Юристы и пиарщики компании настроили против себя весь интернет — вместо Шмидта все стали чихвостить сам банк», — вспоминает Масалович, которого привлекли для решения деликатной проблемы. В результате на время суда в связи с ДТП большое количество негативных напоминаний о Газпромбанке ушло в фон. «Интернет просто выключился. Avalanche показывает угрозы, откуда приходит негатив. Следующий шаг — информационное противоборство», — говорит Масалович. В августе 2013 года Шмидт ушел из банка. Газпромбанк на вопросы не ответил.

 

Система Avalanche не единственное решение для мониторинга интернета (см. таблицу). По словам Дмитрия Сидорина, гендиректора компании Kribrum, эти системы открыто предлагают свои услуги для бизнеса: защита онлайн-репутации компании, поиск позитивных и негативных упоминаний о продукте, компании или ее руководителе, обнаружение авторов, наблюдение за сообщениями сотрудников компании в социальных сетях. Он оценивает рынок мониторинга в 1000–2000 заказчиков, темпы роста — 40–50% в год.

Одно из главных отличий Avalanche от конкурентов — система не просто мониторит соцсети, RSS-потоки, но и перехватывает интересующую заказчика информацию, прежде чем та из блогов, закрытых форумов, FTP-серверов попадает в Twitter, Facebook или электронные СМИ, и заранее предупреждает об угрозах.

«Задача номер один разведчика — принести информацию раньше всех», — замечает Масалович.

 

«Они умеют очень хорошо искать информацию, включая скрытые возможности, и, вероятно, анализировать ее достоверность — не всему тому, что можно найти в скрытом интернете, можно верить», — говорит об Avalanche Михаил Савельев, директор учебного центра «Информзащита». С его точки зрения, очень важно, что целенаправленный сбор информации по многим темам велся долгие годы. «И никакие попытки зачистить ее, скрыть не пройдут — у Avalanche эта информация останется в анналах», — замечает Савельев.

Продвижением Avalanche в коммерческом секторе занимается системный интегратор «ДиалогНаука» с годовой выручкой 580 млн рублей. По словам ее гендиректора Виктора Сердюка, заказчики системы есть «в сфере электроэнергетики, страхового бизнеса, банковского и телекоммуникационного сектора». По словам Масаловича, клиентов около восьмидесяти. Названий компаний и условий сотрудничества оба предпочитают не афишировать. Выручка от реализации системы, по словам Масаловича, составляет 50–80 млн рублей в год.

На 2015 год уже есть пять крупных заказов. На сайте госзакупок Forbes удалось найти лишь тендер на поставку роботизированной системы поиска Avalanche 2.7 для «Агентства по ипотечному и жилищному кредитованию» за 1,6 млн рублей.

В кулаке

Две трети выручки от установок Avalanche по-прежнему приходится на правительственные или силовые структуры. «Собственно, Avalanche — пример нишевого штучного решения именно для них», — замечает Сидорин из Kribrum. В разное время самыми крупными заказчиками Масаловича были Минобороны, ФСБ, МВД и «Росатом». Avalanche использовали и во время Олимпиады в Сочи, когда для руководства МВД готовили справки об угрозах из интернета — компромате, провокациях. Сейчас количество заказов от госструктур растет у всех разработчиков.

 

«Государство в последние годы не жалеет денег на кибербезопасность. Пальцы собираются в кулак», — замечает Масалович.

Например, по информации Forbes, одной из российских компаний недавно предложили через анализ активности в соцсетях подсчитать количество участников ноябрьских митингов против реформы медицины.

Пока Масалович только мечтает о том, чтобы работать с государством на полную мощность, как американская система интеллектуального анализа больших данных Palantir, которой пользуются в АНБ, ЦРУ, ФБР и глобальных корпорациях. Сидя в столичном офисе, он вытаскивает из архива сообщение о теракте в Волгограде в октябре 2013 года — террористка-смертница Наида Асиялова взорвала пассажирский автобус, шесть человек погибли. Кликнув на фамилию смертницы, Масалович получает дерево связей — судя по открытым источникам, Асиялова была связана с махачкалинской диверсионно-террористической группой. Весь процесс у него занял пару секунд. Если бы Avalanche  был подключен к базам спецслужб, еще несколько секунд потребовалось бы на получение полного досье или аналитической справки. «Но такого взаимодействия нет, никто не хочет делиться своими базами», — замечает Масалович.

Скриншот «дерева связей», которое Avalanche строит по открытым источникам

 

Американская Palantir объединяет сообщения в соцсетях и СМИ, базы Интерпола, досье спецслужб, штрафы дорожной полиции, данные о перелетах, транзакции по банковским картам и т. д., представляя все это в виде удобной и красивой картинки. Несколько лет назад венчурный фонд ЦРУ In-Q-Tel инвестировал в Palantir $2 млн, выручка в 2014 году — $450 млн, а стоимость компании Palantir Technologies оценивается в $5 млрд. Считается, что именно Palantir вывел спецслужбы на след Усамы бен Ладена.

В России, в отличие от США, пока нет единого ситуационного центра, куда бы стекалась информация из различных баз данных. «У каждого ведомства есть свои локальные базы — у Минобороны своя, у МВД несколько разных баз», — говорит Илья Сачков, руководитель компании Group IB, специализирующейся на предотвращении и раскрытии киберпреступлений. Причина в традиционном для госведомств желании иметь собственную базу и выборочно делиться информацией из-за особенностей закона и боязни утечек. «Росфинмониторинг» не так давно рискнул и приобрел информационно-аналитическую базу i2 IBM (в США ею пользуются ФБР и ЦРУ), но желающих использовать зарубежные технологии немного. Как и во времена СССР, ставка на отечественные разработки.

«Я думаю, что Palantir наполовину чистая бутафория, которую втюхивают Пентагону, — скептически замечает основатель «Ашманов и партнеры» Игорь Ашманов. — То же самое и у нас. Люди из ФСБ или администрации президента, которым поставлена задача не допустить Майдана, — такие же потребители, как и те, кто смотрит по телевизору рекламу шампуня. Им предлагают волшебную систему, которая обещает сделать их на 78% сильнее и способными побороть экстремизм».

Не смущает ли Масаловича, что его система помогает государству контролировать интернет?

 

Разработчик говорит, что слежка со стороны корпораций гораздо опаснее, чем со стороны спецслужб.

И что сам он не против мирного протеста — его дети ходили на митинги оппозиции. «Но я всегда их предупреждаю, что протест могут использовать провокаторы. И гражданская война в России может начаться с того, что человек в форме полицейского застрелит подростка», — предупреждает подполковник ФАПСИ в отставке.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+