Forbes
$65.65
72.47
DJIA17400.75
NASD4708.00
RTS912.49
ММВБ1884.41
Павел Седаков Павел Седаков
обозреватель Forbes 
Дмитрий Филонов Дмитрий Филонов
редактор Forbes 
Поделиться
0
0

Разведка сетью: как система Avalanche помогает спецслужбам и бизнесу

Разведка сетью: как система Avalanche помогает спецслужбам и бизнесу
фото Сергея Мелихова для Forbes
Подполковник спецслужб в отставке Андрей Масалович создал программу Avalanche для борьбы с сетевыми угрозами. За что власти и корпорации ценят разработку?

«Русские, вперед!» — десяток парней в масках высаживают двери торгового центра «Бирюза» в Бирюлево. Из разбитых окон валит дым, в полицейских летят бутылки и камни. Предотвратить погром, которым закончился 13 октября 2013 года народный сход, силовики не смогли, хотя информация о нем была. «За три часа до начала беспорядков у меня в ноутбуке зажглась красная лампочка — сигнал тревоги, — вспоминает 53-летний Андрей Масалович, президент консорциума «Инфорус» и разработчик поисково-аналитической системы Avalanche. — Мы заметили, что в группе «Суровое Бирюлево» в соцсети и на ресурсе «Я-Русский» началась прямая координация протестов».

После событий в Бирюлево cистему раннего предупреждения на базе Avalanche — «Лавина Пульс» — использовали в МВД, в управлении оперативно-разыскной информации (УВОИ). От государства не отстает и бизнес — банки и корпорации все более активно берут на вооружение технологии выявления угроз и слежения за конкурентами. Как это работает?

 

Роботы и сканеры

В июне 2011 года хакеры из итальянского крыла группы Anonymous взломали сервер CNAIPIC, местной киберполиции, и выкачали почти 8 Гб служебной информации. Утечку засек Avalanche. «Хвастаться хакеры начали раньше, чем докачали, — вспоминает Масалович. — Я успел найти их архив и cкачать оттуда 200 Мб данных». В улове обнаружилось много внутренней информации российских компаний, в том числе по строительству АЭС в Бушере в Иране — например, табель учета рабочего времени сотрудников, выполнявших монтажные работы, и протокол технического совещания компании, входившей в ГК «Росатом»: киберполиция собирала документы, связанные с повреждением насосного агрегата расхолаживания первого контура АЭС. Узнав об утечке, Масалович сразу поставил в известность службу безопасности «Росатома». Когда узнавший об утечке репортер дозвонился до компании, ему четко рассказали про плановый ремонт, отсутствие грифа секретности на документах и о том, что ситуация под контролем. Представитель «Росатома» комментировать эту историю для статьи не стал.

Система Avalanche похожа на конструктор: по желанию заказчика она собирается из различных кубиков и устанавливается на сервере или в облаке.

Первый кубик — управляемые роботы, которые прочесывают открытые источники, или «белый» интернет: СМИ, соцсети, форумы, блоги. Второй компонент Avalanche — сканер безопасности Webbez, разработанный компанией «Веб Безопасность». Сканер оперативно проверяет сайты клиента на распространенные уязвимости, засекает вирусы на страницах, выявляет типовые ошибки администрирования. С сентября 2011 года Масалович консультировал разработчиков «Веб Безопасности», а осенью 2012 года предложил интегрировать сканер Webbez в Avalanche. Кроме аудита и защиты сайтов сканер может собирать и накапливать материалы из так называемого серого интернета. «Эта особенность востребована по линии конкурентной разведки», — замечает совладелец «Веб Безопасности» Александр Толстой. По его словам, за время работы было составлено более 10 000 отчетов о текущем уровне безопасности сайтов как госсектора, так и частных компаний. 

Третий компонент — семейство следящих роботов, которые наблюдают за «пристрелянными» ресурсами. Например, владельцам одного металлургического комбината на Среднем Урале портила кровь местная оппозиция, периодически устраивавшая забастовки, голодовки или перекрытие дороги. Руководство комбината хотело знать об этих акциях заранее. Первым делом Масалович «пристрелял» источники, за которыми следит Avalanche, — сайты, где публикуется компромат, соцсети и форумы, где высказываются нелояльные сотрудники, журналисты. В истории с комбинатом было два источника:  на одном из сайтов выкладывали компромат на руководство комбината, а на ветке форума оппозиционеры обсуждали планы. Настроив Avalanche, команда Масаловича заранее готовила справку-прогноз для руководства комбината.

Четвертый компонент — эксплоиты, то есть программы, которые проникают через уязвимости и выкачивают информацию. «Это боевая часть Avalanche, она предназначена не для всех клиентов», — говорит Масалович.

Клиенту все эти технические детали не нужны — интерфейс системы прост, вся собранная информация представлена наглядно на восьми экранах. Открывая ноутбук, Масалович показывает панель Avalanche.

Слева в списке проектов несколько тем, за которыми он следил недавно: «приморские партизаны» (анализировались сепаратистские настроения на Дальнем Востоке), Украина, фанатские группировки.

В зависимости от важности новости отмечаются зеленым, желтым или красным цветом.

Интерфейс настраивают под каждого заказчика. Например, ситуационный экран Москвы выглядит так: «Радикальные и оппозиционные политические лидеры» (посты Навального), «Митинги и политические акции», «Радикальный ислам», «Выходцы с Северного Кавказа», «Международные террористические группировки», «Политические партии», «Националистические акции и объединения», «Тема дня» (грубые шутки о Путине оппозиционера Гальперина). Для наглядности информацию для руководителей снабжают фотографиями, а одному из заказчиков визуализировали информационные атаки в виде летящих к цели ракет.

Скриншот ситуационного экрана Avalanche по Москве

Система использует технологию «умных папок» — информация, которую разыскивают в интернете роботы, автоматически распределяется по темам, что облегчает работу по составлению отчетов, прогнозов или досье. Правда, без вмешательства человека не обходится: за работой системы в удаленном режиме наблюдает дежурная смена — оператор, аналитик и админ. В штате группы «Инфорус», которая занимается системой Avalanche, 35 человек. При необходимости привлекаются «наемники» — специалисты по нейтрализации ботов и троллей.

Леший из ФАПСИ

В августе 1998 года Андрей Масалович вышел из казино Монте-Карло в приподнятом настроении — выиграл 300 франков. Тут его и настигли новости о дефолте. В России у него был вполне успешный бизнес, связанный с продажей компьютерных программ для краткосрочного прогнозирования на фондовом рынке, офис в Столешниковом переулке и собственный ресторан «Тренд-клуб». После дефолта — $40 000 долгов и замолчавший телефон.

В прошлой жизни он был инженером закрытого НИИ «Квант», создавшим советский суперкомпьютер МВС-100, и экс-подполковником ФАПСИ (до 1991 года — 16-го управления КГБ), воспринимавшим мир как «арену жесткого информационного противоборства». В кризис Масалович решил вернуться к интернет-разведке и своим разработкам в области технологий анализа и прогнозирования.

Идея создания Avalanche родилась после знакомства с профессором Гарвардского университета Грэмом Эллисоном, экс-заместителем министра обороны США, на конференции в Бостоне. Эллисон посетовал, что, когда его аналитикам нужна информация, на них с экрана выплескивается «лавина данных». Масалович пообещал помочь и через полгода передал профессору жесткий диск с поисково-аналитической системой Avalanche («Лавина»). За разработку, по его словам, заплатили приличную сумму — хватило на пятикомнатную квартиру в Москве с видом на парк.

Разработкой заинтересовались и его бывшие коллеги: Масалович отодвинул на три года все коммерческие заказы и стал работать на государство. Как эта система использовалась? Вот лишь один пример. По словам Масаловича, два года назад к его группе обратились заказчики одной из структур «Ростехнологий». Они узнали, что Rock Island, американская военная база в Иллинойсе, планирует провести тендер на поставку различных типов нестандартных боеприпасов для Афганистана, к участию в конкурсе могут быть допущены иностранные компании. Масаловича попросили выяснить подробности. «За неделю до объявления тендера следящие роботы приносят мне полный комплекс тендерной документации в черновиках — план закупок, условия поставок, цены», — гордится Масалович. По словам источника в «Росвооружении», американцы не допускали россиян к участию в тендерах. «Информацию о конкурсе, может быть, собирали для того, чтобы выбить командировку в США, выиграть что-то было нереально», — предположил собеседник Forbes.

Внимание Масаловича к тайнам Пентагона и ЦРУ не осталось незамеченным. После того как он «ковырнул» их ресурсы, Масаловича, по его словам, включили в базу ЦРУ как руководителя группы хакеров под кличкой Леший.

Раньше создатель Avalanche часто бывал в США — на учебе, в командировках, на форумах. Сейчас в США уже не ездит и даже техникой Apple не пользуется — не хочет рисковать.

Одним из первых его гражданских заказчиков был аппарат правительства. «О необходимости мониторинга заговорили после «Норд-Оста», — вспоминает Масалович. По его словам, Avalanche должна была стать одним из блоков комплексной информационно-аналитической системы, но премьера Михаила Касьянова сменил Михаил Фрадков, началась ротация чиновников, подготовка проекта была сначала отложена, а потом и вовсе свернута.

«Интернет тогда не воспринимался как источник дестабилизации, а без этого задачи Avalanche сводятся к рутинному сбору новостей», — замечает Масалович.

Система тестировалась в режиме «пилота», поэтому возглавлявший в 2003–2004 годах аппарат правительства Константин Мерзликин Avalanche не припомнил. «Использовалась только своя закрытая система документооборота и информационная лента «Интерфакса», других систем не было», — уверяет Мерзликин.

Страницы12
Поделиться
0
0
Загрузка...

Рассылка Forbes.
Каждую неделю только самое важное и интересное.

Самое читаемое
Рамблер/Новости
Опрос
Что для вас лично является одной из главных актуальных тем современности?
Проголосовало 7258 человек
Forbes 07/2016

Оформите подписку на журнал Forbes.

Подписаться
Закрыть

Сообщение об ошибке

Вы считаете, что в тексте:
есть ошибка? Тогда нажмите кнопку "Отправить сообщение об ошибке".

Вы можете также оставить свой комментарий к ошибке, он будет отправлен вместе с сообщением.