фото Сергея Мелихова для Forbes

Подполковник спецслужб в отставке Андрей Масалович создал программу Avalanche для борьбы с сетевыми угрозами. За что власти и корпорации ценят разработку?

«Русские, вперед!» — десяток парней в масках высаживают двери торгового центра «Бирюза» в Бирюлево. Из разбитых окон валит дым, в полицейских летят бутылки и камни. Предотвратить погром, которым закончился 13 октября 2013 года народный сход, силовики не смогли, хотя информация о нем была. «За три часа до начала беспорядков у меня в ноутбуке зажглась красная лампочка — сигнал тревоги, — вспоминает 53-летний Андрей Масалович, президент консорциума «Инфорус» и разработчик поисково-аналитической системы Avalanche. — Мы заметили, что в группе «Суровое Бирюлево» в соцсети и на ресурсе «Я-Русский» началась прямая координация протестов».

После событий в Бирюлево cистему раннего предупреждения на базе Avalanche — «Лавина Пульс» — использовали в МВД, в управлении оперативно-разыскной информации (УВОИ). От государства не отстает и бизнес — банки и корпорации все более активно берут на вооружение технологии выявления угроз и слежения за конкурентами. Как это работает?

Роботы и сканеры

В июне 2011 года хакеры из итальянского крыла группы Anonymous взломали сервер CNAIPIC, местной киберполиции, и выкачали почти 8 Гб служебной информации. Утечку засек Avalanche. «Хвастаться хакеры начали раньше, чем докачали, — вспоминает Масалович. — Я успел найти их архив и cкачать оттуда 200 Мб данных». В улове обнаружилось много внутренней информации российских компаний, в том числе по строительству АЭС в Бушере в Иране — например, табель учета рабочего времени сотрудников, выполнявших монтажные работы, и протокол технического совещания компании, входившей в ГК «Росатом»: киберполиция собирала документы, связанные с повреждением насосного агрегата расхолаживания первого контура АЭС. Узнав об утечке, Масалович сразу поставил в известность службу безопасности «Росатома». Когда узнавший об утечке репортер дозвонился до компании, ему четко рассказали про плановый ремонт, отсутствие грифа секретности на документах и о том, что ситуация под контролем. Представитель «Росатома» комментировать эту историю для статьи не стал.

Система Avalanche похожа на конструктор: по желанию заказчика она собирается из различных кубиков и устанавливается на сервере или в облаке.

Первый кубик — управляемые роботы, которые прочесывают открытые источники, или «белый» интернет: СМИ, соцсети, форумы, блоги. Второй компонент Avalanche — сканер безопасности Webbez, разработанный компанией «Веб Безопасность». Сканер оперативно проверяет сайты клиента на распространенные уязвимости, засекает вирусы на страницах, выявляет типовые ошибки администрирования. С сентября 2011 года Масалович консультировал разработчиков «Веб Безопасности», а осенью 2012 года предложил интегрировать сканер Webbez в Avalanche. Кроме аудита и защиты сайтов сканер может собирать и накапливать материалы из так называемого серого интернета. «Эта особенность востребована по линии конкурентной разведки», — замечает совладелец «Веб Безопасности» Александр Толстой. По его словам, за время работы было составлено более 10 000 отчетов о текущем уровне безопасности сайтов как госсектора, так и частных компаний. 

Третий компонент — семейство следящих роботов, которые наблюдают за «пристрелянными» ресурсами. Например, владельцам одного металлургического комбината на Среднем Урале портила кровь местная оппозиция, периодически устраивавшая забастовки, голодовки или перекрытие дороги. Руководство комбината хотело знать об этих акциях заранее. Первым делом Масалович «пристрелял» источники, за которыми следит Avalanche, — сайты, где публикуется компромат, соцсети и форумы, где высказываются нелояльные сотрудники, журналисты. В истории с комбинатом было два источника:  на одном из сайтов выкладывали компромат на руководство комбината, а на ветке форума оппозиционеры обсуждали планы. Настроив Avalanche, команда Масаловича заранее готовила справку-прогноз для руководства комбината.

Четвертый компонент — эксплоиты, то есть программы, которые проникают через уязвимости и выкачивают информацию. «Это боевая часть Avalanche, она предназначена не для всех клиентов», — говорит Масалович.

Клиенту все эти технические детали не нужны — интерфейс системы прост, вся собранная информация представлена наглядно на восьми экранах. Открывая ноутбук, Масалович показывает панель Avalanche.

Слева в списке проектов несколько тем, за которыми он следил недавно: «приморские партизаны» (анализировались сепаратистские настроения на Дальнем Востоке), Украина, фанатские группировки.

В зависимости от важности новости отмечаются зеленым, желтым или красным цветом.

Интерфейс настраивают под каждого заказчика. Например, ситуационный экран Москвы выглядит так: «Радикальные и оппозиционные политические лидеры» (посты Навального), «Митинги и политические акции», «Радикальный ислам», «Выходцы с Северного Кавказа», «Международные террористические группировки», «Политические партии», «Националистические акции и объединения», «Тема дня» (грубые шутки о Путине оппозиционера Гальперина). Для наглядности информацию для руководителей снабжают фотографиями, а одному из заказчиков визуализировали информационные атаки в виде летящих к цели ракет.

Скриншот ситуационного экрана Avalanche по МосквеAvalanche

Система использует технологию «умных папок» — информация, которую разыскивают в интернете роботы, автоматически распределяется по темам, что облегчает работу по составлению отчетов, прогнозов или досье. Правда, без вмешательства человека не обходится: за работой системы в удаленном режиме наблюдает дежурная смена — оператор, аналитик и админ. В штате группы «Инфорус», которая занимается системой Avalanche, 35 человек. При необходимости привлекаются «наемники» — специалисты по нейтрализации ботов и троллей.

Леший из ФАПСИ

В августе 1998 года Андрей Масалович вышел из казино Монте-Карло в приподнятом настроении — выиграл 300 франков. Тут его и настигли новости о дефолте. В России у него был вполне успешный бизнес, связанный с продажей компьютерных программ для краткосрочного прогнозирования на фондовом рынке, офис в Столешниковом переулке и собственный ресторан «Тренд-клуб». После дефолта — $40 000 долгов и замолчавший телефон.

В прошлой жизни он был инженером закрытого НИИ «Квант», создавшим советский суперкомпьютер МВС-100, и экс-подполковником ФАПСИ (до 1991 года — 16-го управления КГБ), воспринимавшим мир как «арену жесткого информационного противоборства». В кризис Масалович решил вернуться к интернет-разведке и своим разработкам в области технологий анализа и прогнозирования.

Идея создания Avalanche родилась после знакомства с профессором Гарвардского университета Грэмом Эллисоном, экс-заместителем министра обороны США, на конференции в Бостоне. Эллисон посетовал, что, когда его аналитикам нужна информация, на них с экрана выплескивается «лавина данных». Масалович пообещал помочь и через полгода передал профессору жесткий диск с поисково-аналитической системой Avalanche («Лавина»). За разработку, по его словам, заплатили приличную сумму — хватило на пятикомнатную квартиру в Москве с видом на парк.

http://www.forbes.ru/tekhnologii/internet-i-svyaz/280391-razvedka-setyu-kak-sistema-avalanche-pomogaet-spetssluzhbam-i-bi

= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = 

О бизнес-разведках

Ч И Т А Й Т Е

в электронном журнале

"Финансовые правонарушения и преступления".