Наверное, все мы в детстве ждали Нового Года! Некоторые из нас помнят то самое новогоднее настроение и предчувствие праздника, но с возрастом оно куда-то уходит, и праздники превращаются в выходные. Новогоднего чуда не ждешь - просто планируешь, как провести свободное время с пользой для себя и семьи.
В преддверии 2022 года я сидел и не думал о Новом Годе, тем не менее, новогоднее чудо со мной все же случилось - ко мне на работу пришел настоящий Дед Мороз (с бородой)! Только в мешке у него были не подарки, а проблемы, которые он надеялся мне доставить. Сначала, дойдя до моего руководства, он пытался очернить мою репутацию, а затем встретился и со мной - этот Дед Мороз не хотел слушать от меня стихи, он хотел, чтобы я наконец удалил статью, написанную почти полгода назад. С тех пор её настойчиво просят удалить неизвестные мне личности.
В этой ситуации может оказаться любой из нас, особенно это касается авторов статей на хабре. Давайте разберемся, что же произошло, а самое главное, что же делать в таких ситуациях.
Краткая хронология преследования
04.09.2021 09:00 - публикация статьи
Все началось с того, что 4-го августа 2021 года, я выпустил статью “Почему важно понимать, как зарабатывает твоя компания”. Целью этой статьи было выразить определенную мысль - нельзя просто “программировать сервисы”, не думая о том, для чего именно ты их делаешь, потому что компания к тебе будет относиться точно так же, как и к клиентам, для которых ты пишешь эти сервисы. И клиенты, и сотрудники компании являются источниками прибыли для ее собственников, и поэтому, если компания хочет извлечь сверхприбыль из своих клиентов, она будет хотеть ее извлечь и из своих сотрудников.
На основании своего пережитого опыта я придумал полностью вымышленную историю - нигде никаких имен не прозвучало, а любые совпадения с реальными событиями являются случайностью (это есть в дисклеймере в начале статьи). Тем не менее, какому-то моему бывшему работодателю эта статья очень не понравилась, и ко мне домой начали приходить гости.
08.09.2021 ~12:00 - первый визит ко мне домой
Когда я был на работе, в районе 12 часов мне позвонила испуганная жена:
Миша, тебя искали какие-то два мужика, бандитского вида. Спрашивали тебя. Сказали, что у них к тебе есть какой-то “технический вопрос”.
Честно говоря, я даже не понял, что это был за визит и зачем. После первого визита, в этот момент, я подумал, что это как-то связано с утечкой данных с сайта Навального. В то время была актуальна тема, когда из-за слитой БД сторонников Навального, по адресам ходили сотрудники органов и просили дать показания против него. Я не его сторонник, но, конечно, интересовался его деятельностью и вполне мог зарегистрироваться на каком то из-его сайтов с помощью упрощенной авторизации, например, через google-аккаунт, и поэтому мог просто не запомнить факт самой регистрации.
Было не ясно, зачем приходили гости, но было понятно, что они знали мой адрес, знали, что я там живу и знали имя моей жены.
После первого визита я не предпринял никаких мер, потому что просто не понял, что произошло, и стал ждать следующих действий.
15.09.2021 ~09:00 - второй визит ко мне домой
В этот раз приходил уже один мужчина - один из тех двух, что приходили в первый раз (это стало ясно по видео с камер ЖК). Дома меня снова не было, но в этот раз жена передала более четкое послание от них:
Не хорошо писать плохо про бывшего работодателя, статью нужно удалить, он знает, с кем нужно связаться.
Теперь у меня появилось четкое понимание, что нужно моим гостям, но оставался вопрос:“О какой статье идет речь и с кем именно мне нужно связаться” (кстати, этого я не знаю до сих пор). Впрочем, меня уже это мало волновало. Проанализировав ситуацию, пришел к выводу, что удалять статью при таком “диалоге” нельзя. Почему? Об этом поговорим чуть позже.
19.09.2021 17:00 - публикация статьи, в которой я публично обращаюсь к своим гостям
Обладая теперь пониманием, чего хотят от меня мои гости (хоть и не полным), я публично обращаюсь к ним в этой статье (см. раздел “Айти бригады “удоленщиков” пытаются удалять посты в интернете”).
20.09.2021 ~09:00 - HR пресс хата
Сразу же, на следующее утро после публикации статьи с публичным обращением, меня добавляют в чат бывших сотрудников одной компании, в которой я когда-то работал. Там мне сходу устроили настоящий прессинг, мол, что это я себе позволяю вообще, лучше бы дальше писал код, а не “обижался”. Добавление в чат было преподнесено как случайное событие (кто-то прочитал мою статью и остался недоволен ей), но в том же чате выдали достаточно подробную информацию о моей работе в компании те люди (как я понимаю, бывшие HR), с которыми я не работал и даже не знал их. Это наводило меня на мысли, что это неспроста, и сам факт добавления является следствием моего публичного обращения. Я предположил что, поскольку сами заказчики всего этого представления напрямую не хотят выходить со мной на связь, то таким образом они пытаются установить неофициальный канал коммуникации, чтобы получить от меня мой план дальнейших действий, ну или, в лучшем случае, спровоцировать на неадекватные действия по отношению к компании (которые могут использоваться, например, в суде).
Однако, я достаточно миролюбиво объяснил всем, что претензий к компании у меня нет, статья вовсе не о компании, к самой компании претензий нет и публикации относительно неё не планирую.
И это подействовало на несколько месяцев. Я даже начал думать, что конфликт исчерпан - мы высказали позиции друг друга, заказчики походов ко мне домой решили, что им дешевле оставить меня в покое, ведь агрессии по отношении к ним я не демонстрирую. Но, под Новый Год случилось чудо, и конфликт заиграл новыми красками.
28.12.2021 ~11:00 - Дед Мороз Леха
Только я начал вникать в суть работы в первый рабочий день после длительного отпуска, как раздался звонок мне на телефон. Некто на том конце провода представился Алексеем, и сообщил, что очень хочет по-быстрому решить со мной вопрос по поводу удаления моей статьи. Он сказал, что уже был у моего руководства и теперь планирует встретиться со мной:
Ну раз ты был у моего руководства, то возвращайся в офис, знаешь где он находится
Но мне сказали, что ты в отпуске…
Нет, я на работе
Мы встретились внизу и пошли в кафе. При встрече со мной Алексей сразу попытался завести дружеский разговор - сказал, что к нему можно обращаться просто Леха. Ну, Леха, так Леха. В общем, Леха угостил меня кофе и “по-дружески” начал предлагать мне “удолить” статью. При этом он представился безобидным сотрудником, который всячески отговаривает свое руководство от запугивания меня, и поэтому хочет просто со мной договориться (“типа”, такой добрый полицейский или, возможно, просто бывший опер).
Честно говоря, я был удивлен, ведь это была первая попытка устроить более-менее внятный, человеческий диалог со мной. Просто я еще не знал, чего он наговорил моему руководству. Не обладая этой информацией, я даже сказал - хорошо, я удалю, если его руководители скажут, что конкретно не нравится в статье (на самом деле, это была моя ошибка, и дальше мы увидим почему). Грустный Леха, мечтавший решить проблему по-быстрому, уехал ни с чем, а я пошел узнавать у своих руководителей, что же он там им сказал.
А наговорил он им немало. Во-первых, у меня впервые появились показания 3-х свидетелей, которые могут подтвердить, что некий Леха из службы безопасности хочет, чтобы я удалил конкретную статью. Во-вторых, он оклеветал меня, сообщив заведомо ложную информацию о том, что я работал по совместительству в компании, интересы которой он представляет, совсем недавно. Ну и вишенкой на торте были намеки на то, что я могу написать плохо и о своем текущем работодателе!
Целью всех этих действий было одно - очернить мою репутацию перед моими руководителями, чтобы выбить у меня почву из под ног, ведь в таком случае договориться со мной будет значительно проще!
Но мое руководство на это отреагировало примерно так:
Миша, а что за бандиты к тебе ходят?
В общем, этот Дед Мороз не смог принести мне мешок неприятностей, но похоже, что принес их себе. Теперь у меня появились свидетели, и я мог заявить в полицию о шантаже и угрозах. Именно так мне посоветовало сделать мое руководство.
Но я все еще рассчитывал на какой-то адекватный диалог.
17.01.2022 ~09:00 - телефонный звонок с угрозами
После Нового Года, мне позвонил Леха и поздравил меня с прошедшими праздниками (ой, как неожиданно и приятноооо), и после зачитал мне требования его руководителей. Эти требования мне удалось записать на аудио, и сводились они примерно к следующему: “Михаил, Вы являетесь объектом внимания соответствующих органов, и мы можем действовать по разным направлениям. У нас есть рациональное предложение, которое мы озвучим только один раз - удалите статью, и мы забудем о вашем существовании”. Как видно, моя последняя попытка диалога закончилось угрозами в мою сторону.
18.01.2022 ~14:00 - заявление в полицию
Я написал заявление в полицию, в котором попросил провести проверку на предмет отношения Лехи к правоохранительным органам, из-за постоянных намеков завести на меня уголовное дело, а также применить меры уголовного или административного в отношении неустановленного лица, представившегося Алексеем, чтобы прекратились преследование и шантаж.
Почему нельзя удалять статью?
Все, кто слышат мою историю (о да, теперь о ней знают очень много людей), задают самый частый вопрос, который я слышу: ”А почему просто не удалить статью? Гордость не позволяет?”
И правда, у меня не было целью создать кому-либо проблемы этой статьей, и я думаю, что если бы мне просто в самом начале позвонили и поговорили бы со мной - мол так и так, нам не нравится твоя статья, то я ее, скорее всего, удалил и написал бы новую, выражающую ту же мысль по-другому. Но, как мы знаем, диалога не состоялось, и какой-то мой бывший работодатель решил зайти сразу с “козырей”, чем продемонстрировал свою неадекватность.
Удалять что-либо в интернете - дело неблагодарное. Если кто-то тебя просит это сделать, то необходимо, чтобы просящий понимал: все, что попадает в интернет, остается там навсегда. Это значит, что даже если я удалю статью на хабре, она останется в интернете, а это значит, что кто-то другой может ее снова опубликовать и на хабре, или она снова выстрелит на другом ресурсе. Получается, если на той стороне нет адекватного понимания, я могу попасть в безвыходную ситуацию, когда удаленная статья снова попадает в тренды. И что мне делать в таком случае?
Если бы я был уверен в адекватности бывшего работодателя, то имел бы уверенность, что в этом случае он не станет подсылать ко мне новых Лёх или тех же самых, но, как видно, адекватности нет совсем, и, скорее всего, именно так мой бывший работодатель и поступит в этом случае.
И вот если бы мой бывший работодатель проявил каплю уважения ко мне, связался бы со мной и по-хорошему, по-человечески попросил бы удалить статью, которая ему не нравится, я бы увидел адекватную позицию с той стороны, получил бы уверенность, что он понимает тонкости медиапространства, и в будущем у нас не возникнет новых противоречий.
Но нет, мы имеем то, что имеем. Какие-то методы из 90-х, неадекватные угрозы при попытках установления диалога, а значит и неадекватное понимание ситуации. У меня просто нет выбора - пойти на условия я не могу, а значит остается только одно: понять, кто тебе противостоит и какие у него возможности.
Проектируем модель угроз
Я уже несколько лет работаю в сфере информационной безопасности и, честно говоря, никогда не думал, что навыки составления модели угроз мне понадобятся и в реальной жизни.
Когда ты пишешь ПО, рано или поздно возникает вопрос, а насколько оно безопасно? Лучше таким вопросом задаваться с самого начала, особенно если ты разрабатываешь ПО, которое проходит сертификацию ФСБ, но в этом случае тебе даже в чем-то везет, ведь модель угроз разработали за тебя.
Например, если ты пишешь ПО, которое должно сертифицироваться с уровнем криптографической защиты КС1, это значит, что твое ПО будет взламывать в худшем случае бывший сотрудник предприятия, который может только попытаться взломать его общедоступными “крякерами” (уровень нарушителя Н1).
А вот если ты пишешь ПО с уровнем криптографической защиты КА1, то взламывать его могут уже спецслужбы другой страны с полным доступом к исходным кодам твоего ПО и возможностями по его детальному исследованию.
Как ты понимаешь, стоимость разработки ПО с уровнем криптографической защиты КС1 и КА1 различаются драматически! Поэтому в самом начале разработки ПО необходимо понимать, кто именно его будет взламывать, чтобы защита была соразмерна нападению.
В обычной жизни это значит, что когда тебе угрожают, нужно понимать, а какие у них реальные возможности. Например, очевидно, что если ты уедешь в лес, прекратишь все контакты и будешь там жить, не выбираясь в город - то ты, конечно, обезопасишь себя, но какой в этом смысл, если ты не лидер великой социалистической революции?
Очевидно, необходима некая “классификация нарушителей” относительно угроз, с которыми мне пришлось столкнуться, чтобы выработать защиту соразмерно нападению.
Классификация нарушителей “удоленщиков”
На текущий момент понятно, что моя угроза обладает внушительным капиталом. Является ли наличие капитала угрозой само по себе? Если исходить из того, что с точки зрения закона я все сделал правильно, то единственное, чего мне стоит опасаться, это беспредела по отношению ко мне со стороны моего бывшего работодателя. Под беспределом будем понимать любые противозаконные действия, представляющие угрозу жизни, здоровью и свободе для меня и моих близких.
Можно ли купить беспредел? Можно, но очевидно, что для Джеффа Безоса и для Вите Корлеоне он будет иметь кардинально разную цену, причем для Джеффа его применение ставит под угрозу существование его капиталов, а вот для Вите это что-то из разряда накладных расходов его бизнеса, при этом размер капитала Безоса на порядки больше Вите. Это значит, что размер капитала хоть и играет важную роль, но гораздо важнее структура организации, ее производственный процесс, и каким образом она зарабатывает деньги. Для Вите беспредел - часть его бизнеса, статья ежедневных расходов, а вот даже если Безос своим большим капиталом попробует купить беспредел у Вите, все равно это для Безоса большой риск, тем более если всем будет очевидно, кто “помешал” Безосу. Поэтому, целью нашей модели угроз является, прежде всего, определить, какие организации и в каких случаях могут позволить себе беспредел.
Уровень угрозы - красный
Организация, для которой беспредел является нормой. Пожалуй, это те самые ребята из фильмов Мартина Скорсезе или сериала “Клан Сопрано”. Беспредел для таких ребят не просто возможен, а является частью их производственного процесса и имеет минимальную стоимость относительно других уровней угроз. Это значит, что таким ребятам проще грохнуть меня, и у них для этого есть все возможности и связи, чем даже пытаться подсылать ко мне Лёхих парней. Скорее всего, “удоление” моей статьи в этом случае выглядело бы так:
- По дороге домой меня толкают в автомобиль, который едет в ближайший лес.
- По дороге в лес меня заставляют удалить все, что покажется им “обидным”.
- В лесу я копаю себе свою могилу и рассчитываю на то, что мое тело все же найдут в скором времени, чтобы страховка по моим ипотекам была выплачена.
В случае противостояния с такими ребятами действительно, нужно уезжать в лес вместе со всей своей семьей, но если бы я столкнулся с этим уровнем угрозы, то я бы ничего не успел сделать, а на этом месте вы бы видели пустой аккаунт, не содержащий статей.
Уровень угрозы - желтый
Организация, которая может применять беспредел, но только в крайнем случае. Эти ребята будут стараться по максимуму делать вид, что они абсолютно легальны. Это либо бывший криминал, который легализуется, либо различные коррумпированные структуры. Для таких ребят беспредел - это лишние проблемы, которые могут поставить под угрозу их легальность, поэтому и устраивать они его будут как можно законнее, например, с помощью фейковых уголовных дел. Беспредел для таких организаций в целом возможен из-за наличия определенных связей, но на порядок дороже, чем для красного уровня. Наверное, с этим уровнем угрозы в свое время столкнулся Голунов, и для таких ребят была построена тюрьма на даче одного гражданина, которая являлась копией тюрьмы “Кресты”.
В моем случае такой уровень угрозы уже более реален, но выдает непрофессионализм Лёхих парней - они очень сильно засветились на всех камерах моего ЖК и работы и создали уже много свидетелей, что говорит об отсутствии реального опыта “легальных” незаконных операций. Даже мой телефон Леха узнал методом социальной инженерии у одного из моих коллег на работе - это значит, что и доступа к какой-либо закрытой информации у него просто нет, хотя, такой уровень угрозы это подразумевает. Поэтому, мой уровень угрозы, скорее всего, ниже.
Уровень угрозы - зеленый
Организация, для которой беспредел практически невозможен, а его применение ставит под угрозу ее существование. В целом, легальные организации, которые занимаются не очень экологичными вещами (ставки, казино, бинарные опционы и т.д.). Эти организации больше других заинтересованы в своей “законности”, потому что любое лишнее движение в сторону даст возможность правоохранительным органам с ними разобраться.
Если в предыдущих уровнях (красный и желтый) криминал (с коррумпированными элементами в органах) являются частью этих организаций, то тут контакт с криминалом несет эпизодический, деловой характер (например, по-быстрому удалить упоминание компании из СМИ в случае попытки самосожжения её клиента, в первые часы после инцидента). Это значит, что стоимость беспредела для таких организаций сопоставима со стоимостью самой организации, а его применение ставит под угрозу ее существование.
Похоже, это как раз тот уровень, с которым столкнулся я. Чем он опасен? Ну, если у меня нет проблем с законом, я востребован на рынке труда, то максимум проблем, который может устроить мне зеленый бывший работодатель - это продолжать сыпать угрозами.
Но проблема в том, что мой бывший работодатель, похоже, воспринимает себя как желтый уровень угрозы - возможно, потому что наслушался Лехи и его сказок о своих больших связях.
Иначе, я не могу объяснить, почему моим бывшим работодателем было допущено так много ошибок в последнее время - ведь пока ко мне просто ходили домой, кроме видео с камер ЖК у меня по сути ничего и не было, и эта история так бы и осталась завершенной в сентябре 2021г., но Леха столько наследил, что теперь я даже не знаю, будет ли он и следователю рассказывать о “злых руководителях”, которые его, ни в чем невиноватого, отправляют ко мне на работу или придется все брать на себя?
Что дальше?
Для себя я определил уровень угрозы как зеленый. В соответствии с этим уровнем, я буду фиксировать любые попытки преследования, шантажа и угроз, как публично, так и заявлениями в полицию - на этом уровне этого вполне достаточно.
Но я надеюсь, мой бывший работодатель примет действительно рациональное решение и забудет о моем существовании.
А вообще вся эта история удивительно точно подчеркивает основную мысль той самой статьи - мой бывший работодатель демонстрируют отношение ко мне, которое вероятно он демонстрирует и по отношению к его клиентам, как просто к источнику прибыли. Но такое отношение формируется по нашей вине - мы, айтишники, позволяем купить себя за “лучшие условия”, а если нам что-то не нравится, мы просто “голосуем ногами”, продаваясь где-то в другом месте подороже. Поэтому нет ничего удивительного, что бывший работодатель видит во мне только свой кошелек, средство производства, с помощью которого он может извлекать прибыль - мы сами позволяем так с собой обращаться.
Теперь возьмем такое общество, в котором богатство прогрессирует. Это — единственное состояние, благоприятное для рабочего. Здесь среди капиталистов начинается конкуренция. Спрос на рабочих превышает их предложение.
Но, во-первых: повышение заработной платы приводит к тому, что рабочие надрываются за работой. Чем больше они хотят заработать, тем большим временем вынуждены они жертвовать и, совершенно отказываясь от какой бы то ни было свободы, рабски трудиться на службе у алчности. Тем самым они сокращают продолжительность своей жизни. Это сокращение продолжительности жизни рабочих является благоприятным обстоятельством для рабочего класса в целом, так как благодаря ему непрестанно возникает новый спрос на труд. Этот класс всегда вынужден жертвовать некоторой частью самого себя, чтобы не погибнуть целиком
Карл Маркс “Экономико-философские рукописи 1844 года”