Приложение «Социальный мониторинг» для слежки за больными коронавирусом москвичами создавалось при помощи технологий компании «Гаскар Интеграция». Это фирма, работающая на стыке IT и строительных технологий, зарабатывает сотни миллионов рублей, благодаря госконтрактам. Ее разработки используются для контроля главных строек столицы. Стоят за «Гаскар Интеграцией» бизнесмены из Татарстана, а успехи компании на государственных тендерах совпали по времени с работой Марата Хуснуллина на посту вице-мэра по строительству.
Что я узнаю из текста про Gaskar Group и «Социальный мониторинг»:
приложение «Социальный мониторинг» имело ряд критических уязвимостей;
оно могло быть создано на основе программы для наблюдения за московскими строителями;
над ней работала компания «Гаскар Интеграция», которая занимается IT-обеспечением программы реновации;
«Гаскар Интеграцию» создали выходцы из Татарстана, которые начали получать контракты в Москве, после того как в столице начал работать Марат Хуснуллин;
техзадание для тендера на 53 миллиона рублей, который выиграла «Гаскар Интеграция», писал коммерческий директор компании (или его однофамилец);
в продолжение этого тендера «Гаскар Интеграция» получила контракт на 178 миллионов рублей;
один полет квадрокоптера «Гаскар Интеграции» над столичной стройкой обходится бюджету примерно в 26 тысяч рублей;
держатель 50% капитала «Гаскар Интеграции» (фанат Iron Man и «Салават Юлаев») помог турецким строителям обойти санкции за сбитый бомбардировщик и получить контракт на пять миллиардов рублей в Лужниках;
эти турецкие строители («Монотек») тоже перебрались в Москву из Татарстана вслед за Маратом Хуснуллиным.
Хрупкий мониторинг
Скандал вокруг приложения «Социальный мониторинг» (в Google Play оно было доступно 25 марта) начался в ночь на 1 апреля. Администратор Telegram-канала «IT и СОРМ» Владислав Здольников опубликовал исходный код. Изучив его, можно было разобраться, как именно приложение взаимодействует с пользователями.
Непосредственно после установки «Социальный мониторинг» требует разрешение на доступ к камере смартфона, местоположению (GPS), нательным датчикам (напр. пульсометрам), файловой системе и настройкам Bluetooth. Также оно должно получить право совершать звонки и просматривать сетевые подключения. Чтобы завершить регистрацию, требовалось отправить свою фотографию на сервер приложения.
Главная задача приложения — генерировать QR-коды для каждого пользователя, они должны были стать основой пропускной системы, о введении которой задумывались столичные власти. Судя по коду, QR-код привязан не только к sim-карте, но и «вытаскивает» уникальные идентификаторы смартфона: MAC-адрес и IMEI, чтобы даже при замене sim-карты можно было продолжать контролировать владельца телефона. Правда, когда «Социальный мониторинг» еще был доступен для скачивания в Google Play, генератор QR-кодов не был показан в самом приложении, хотя в исходном коде была описана его реализация.
На серверах, судя по исходникам, хранится вся получаемая приложением информация, например — локация нашего устройства, получаемая через Google API. Также приложение может отправлять пользователю push-уведомления, например, с просьбой включить камеру смартфона.
Помимо доступа ко всему, «до чего только можно дотянуться», приложение имеет ряд критических уязвимостей. Исходя из отдельных опубликованных исходников можно заключить, что приложение передает информацию на серверы в открытом виде. То есть сплошным текстом, без шифрования (использовался протокол http, а не https). Это чревато тем, что данные будет относительно легко прочитать злоумышленникам в случае успешного перехвата — их не придется расшифровывать.
Один из специалистов по вопросам кибербезопасности, согласившийся поговорить с Daily Storm, допустил, что проблемы приложения связаны не с непрофессионализмом разработчиков, а со спешкой:
«На каждый продукт, где используется криптография и какое-либо шифрование, необходимо иметь соответствующий сертификат от ФСБ. Получать его достаточно долго. Вероятно, они [разработчики приложения] именно поэтому запустили версию без какого-либо шифрования».
Серьезным упущением разработчиков приложения стало то, что в коде можно увидеть токен API. Он используется для идентификации владельца программы. В теории, если злоумышленник «вытащит» токен, он сможет обвалить часть функционала приложения или выкрасть базу данных, при условии, если конкретный токен дает право на просмотр истории запросов базы.
Для обработки изображений пользователя приложение, судя по исходникам, использует эстонскую облачную платформу Identix. На веб-сайте компании написано, что все данные хранятся на серверах в ЕС (Германия и Финляндия). Однако в интервью радиостанции «Эхо Москвы» руководитель ДИТ Эдуард Лысенко отрицательно ответил на вопрос о том, попадают ли фотографии пользователей на иностранные сервера: «Не передаются никакие фотографии в принципе».
В исходниках кода можно найти предобученные модели TensorFlow — инструмента обучения нейронной сети, заточенной на автоматическое нахождение и классификацию образов. Возможно, именно фотографии действительно не передаются на сервер. В таком случае, передается некий массив точек (вектор признаков), созданный на основе лица пользователя. С помощью этого массива нельзя однозначно восстановить, например, лицо пользователя «обратно» — в виде фотографии. По аналогии с дактилоскопией: с ее помощью нельзя восстановить образ пальца, но можно идентифицировать владельца.
Необходимо отметить и тот факт, что предоставленные Владиславом Здольниковым исходники были получены в результате декомпиляции приложения, то есть с помощью специальной сторонней программы. Поэтому, строго говоря, мы не можем говорить, что это исходники всего проекта: небольшие участки кода могли быть представлены в неполном виде. Однако это не отменяет критические ошибки, описанные выше.
Владислав Здольников еще 31 марта написал, что разработчиком приложения является компания Wokka Lokka — «некие ребята, которые делали приложение для детских смарт-часов с трекингом». Ссылку на них администратор телеграм-канала «IT и СОРМ» обнаружил в privacy policy приложения. Журналист «Русской службы Би-би-си» Андрей Захаров в ответ на это сообщение уточнил, что дозвонился до основателя Wokka Lokka Игоря Афанасьева: «Он сначала отрицал все, потом в ДИТ отправил. Это компания «Гаскар» («Гаскар Интеграция». — Примеч. Daily Storm), подрядчик «Инфогорода».
От Казани до Нью-Йорка
Компания «Гаскар Интеграция», как и многие столичные подрядчики, занятые в сфере строительства, имеет отношение к выходцам из Татарстана. В расследовании дата-отдела «Новой Газеты» под названием «ВИП-кочевники» (вышло в сентябре 2018 года), этой связи двух регионов посвящена целая глава. По подсчетам журналистов, после того как Марат Хуснуллин получил в столице пост вице-мэра по строительству, 46 его бывших земляков и коллег заняли руководящие должности в структурах стройкомплекса Москвы.
Одним из них был Марат Хафизов — президент «Москапстроя», в середине прошлого десятилетия занимавший пост генерального директора БСА «Лужники».
Для того чтобы провести цепочку от этих людей до «Гаскар Интеграции», нужно сделать несколько простых действий. Первое — посмотреть, на кого записана фирма.
Собственников у «Гаскар Интеграции» четверо:
— 50% доля капитала у Эрика Гиматова;
— 15% у Игоря Афанасьева;
— 10% у Рената Саитова;
— 25% у компании «Металлоцентр Лидер-М».
Обладатель самой крупной из долей выглядит номинальной фигурой. В социальных сетях у Эрика Гиматова большая часть фотографий посвящена соревнованиям по триатлону и подготовке к ним (видно, что к этому своему увлечению молодой человек относится крайне ответственно). Следом идут путешествия и спортивные соревнования (Гиматов болеет за «Спартак» и «Салават Юлаев», но не чурается посещать матчи хоккейного «Динамо»). Одно из немногих фото, связанных с работой: снимок, сделанный в октябре 2016 года, на котором Гиматов запечатлен в составе футбольной команды «Металлоцентр Лидер-М».
У себя на странице LinkedIn Эрик указал, что с 2013 года он работает начальником отдела продаж в компании «Азерпайп» крупного татарстанского предпринимателя Рустама Салимшина.
Ему принадлежит та самая компания «Металлоцентр Лидер-М», в цветах которой был запечатлен Гиматов и у которой 25% в «Гаскар Интеграции».
«Металлоцентр Лидер-М» занимается продажей труб для сырьевых гигантов, вроде «Роснефти
» или «Газпром
а». В 2017 году эта фирма вошла в рейтинг РБК «50 самых быстрорастущих компаний России».
Игорь Афанасьев ближе всех к IT-сфере из собственников «Гаскара». Это владелец компании из Кемерово Wokka Lokka, которая выпускает часы с GPS-трекером для отслеживания детей. Именно через Wokka Lokka айтишники, изучавшие код «Социального мониторинга», и Андрей Захаров выстроили цепочку до «Гаскара».
Обладатель скромных 10% капитала Ренат Саитов — единственный из собственников компании, кто регулярно представляет Gaskar Group (бренд «Гаскар Интеграции») на публике.
В 2017 году, выступая перед студентами из столичного кадрового резерва, он рассказывал о работе компании над развитием территории «Лужников»:
«Запустить проект — то же самое, что на Севере запустить дизельный трактор, — подчеркнул Ренат Саитов. — От того, как вы его заведете, пойдет работа. Это самый сложный этап. Глушить и перезапускать трактор нельзя, поэтому должен быть детальный просчет всех этапов и бюджета до выхода на площадку».
В феврале 2018 года, когда мэр Москвы объявлял благодарности причастным к реконструкции «Лужников», в документе у Саитова значилась уже государственная должность: начальник службы организационного обеспечения ГКУ города Москвы «Управление капитального строительства» (возможно, в документе была техническая ошибка. — Примеч. Daily Storm).
На сайте Executive есть информация о еще одном этапе в трудовой карьере Рената Саитова: начальник отдела в КП «БСА «Лужники» (2013-2016 годы).
Последнее известное место работы — американская компания Cloud Bionics. Судя по официальной странице этой фирмы, она предлагает клиентам то же самое программное обеспечение, которое Gaskar готовит для столичных строек. У себя на страничке в LinkedIn Саитов утверждает, что он основал Cloud Bionics в августе 2018 года. Правда, в реестре компаний штата Нью-Йорк (так обозначил свое место жительства Саитов) Cloud Bionics нам обнаружить не удалось.
Лужники
Чтобы узнать о «Гаскар Интеграции» чуть больше, чем имена собственников, нужно посмотреть на бэкграунд этих людей и на то, с кем они работали. В центре всех их связей находится большая спортивная арена «Лужники» (именно там зарегистрирована «Гаскар Интеграция», адрес компании: ул. Лужники, д. 24 стр. 9).
На протяжении четырех лет, когда в Москве шла подготовка к чемпионату мира по футболу, стадион вместе с прилегающей к нему территорией обретал новый облик и новую жизнь. Реконструкция арены обошлась бюджету в 26,6 миллиарда рублей. БСА «Лужники» в этот период руководил выходец из Татарстана Марат Хафизов.
В 2017 году он вместе с Рустамом Салимшиным (работодатель Эрика Гиматова и владелец «Металлоцентр Лидер-М») и Равилем Валеевым (создатель «Гаскар Интеграции», который в 2018 году покинул компанию) основал благотворительный фонд содействия патриотическому развитию общества «Лидер».
Ренат Саитов, как следует из его трудовой биографии, на протяжении трех лет работы в БСА «Лужники» находился в подчинении Марата Хафизова.
Свой первый подряд на госзакупках «Гаскар Интеграция» (до 2017 года компания называлась «Заказчик») получила в 2015 году именно от БСА «Лужники». Это был контракт на оказание услуг технического заказчика по строительству объектов FIFA-2018 на относительно скромные 28 миллионов рублей. Подряд достался «Гаскар Интеграции» без торгов. Закупка проводилась как у единственного поставщика.
Куда больше в этот период смогла заработать близкая «Гаскар Интеграции» компания «Монотек Строй».
В 2016 году она получила от БСА «Лужники» контракт на реконструкцию плавательного бассейна на 5,5 миллиарда рублей. За месяц до того, как комиссия под руководством Марата Хафизова выбрала эту фирму победителем тендера, единственным собственником «Монотек Строй» оказался поклонник триатлона Эрик Гиматов. Сейчас эта компания 50 на 50 принадлежит кипрской Baldivio LTD и турецкой Teknikon Yapı Anonim Şirketi.
История со сменой собственника в «Монотек Строй» накануне решения по тендеру, вероятнее всего, связана с событиями за пределами Москвы и России, а именно с гражданской войной в Сирии. Вернее, с отдельным ее эпизодом — российским бомбардировщиком, сбитым турецкими военными. После этого инцидента Владимир Путин
произнес сакральное «нож в спину», а турецкие компании, работающие в России, попали под санкционную волну.
Одной из жертв высокой политики, как писало казанское издание «Бизнес Online», стала турецкая строительная компания «Монотек»:
«Участники татарстанского строительного рынка отмечают, что турки начали работу в республике с весьма знакового заказа — ремонта президентского дворца в Кремле — еще при Шаймиеве. Затем они участвовали в строительстве и реконструкции ряда объектов к 1000-летию Казани.
В марте 2014 года [Рашид] Нуруллин, который считается человеком из команды Марата Хуснуллина, ныне вице-мэра Москвы по строительству, получил назначение в Первопрестольной. Он стал куратором строительства главной Соборной мечети стоимостью не менее 170 миллионов долларов, большую часть из которых пожертвовал миллиардер Сулейман Керимов. Бывший татарстанский чиновник немедленно настоял на смене генподрядчика, которым, как нетрудно догадаться, стал «Монотек» (к тому времени компания уже сменила название на «Монарт Иншаат»).
Завершив строительство мечети, «Монарт» смог сосредоточиться на еще более масштабном объекте — стадионе «Лужники». Непосредственно стройку с 2014 года в ранге зама, а с 1 июня в должности гендиректора курирует другой близкий к Хуснуллину выходец из Татарстана — Марс Газизуллин. Идиллию разрушили антитурецкие санкции за сбитый бомбардировщик Су-24. С 1 января 2016 года строительным компаниям в России запрещено нанимать на работу граждан Турции и привлекать турецкие компании к работе в России. Еще до наступления этого срока, в декабре 2015 года, правительство Москвы поспешило объявить о том, что прощается с «Монарт Иншаат»».
Первым владельцем «Монотек строй» был один из основателей турецкого «Монотека» Кесе Зеки (Zeki Köse). На время санкций он ушел из компании, и ее собственником стал Эрик Гиматов, а осенью 2017 года, когда Турция и Россия примирились, турок вернул себе 50% акций компании.
На турецком сайте Turkrus в сентябре 2019 года вышел материал «Турецкий строитель снова в Москве», в котором Кесе Зеки рассказывал о работе в «Лужниках»:
«Мы завершили этот знаковый для Москвы объект точно в срок. Материалы, в том числе для фасадов, многие важные элементы мы доставляли из Турции. Как турецкая строительная компания, мы гордимся тем, что завершили работу, которая надолго запомнится людям».
Конкурентом «Монотек строй» на торгах 2017 года за право заняться реконструкцией бассейна «Лужников» была дочерняя компания государственного «Мосинжпроекта», который тогда уже возглавлял Марс Газизуллин.
Цифры и продажи
Время получать большие госконтракты для «Гаскар Интеграции» наступило в 2018 году. За 82 миллиона компании поручили выполнить работы по развитию единой информационной системы «Мосгорзаказ».
И хотя заказчиком работ выступала уже не БСА «Лужники», руководство конкурсной комиссии, отдавшей контракт по «Мосгорзаказу» «Гаскар Интеграции», было прежним. Председатель — Марат Хафизов, заместитель — Андрей Киселев. Эти же люди принимали решение о передаче «Монотек строй» подряда на реконструкцию бассейна.
Совпадение имен объясняется просто: в 2017 году Марат Хафизов стал президентом «Москапстроя».
Конкурентом «Гаскар Интеграции» на тех торгах была компания «Аник Лаб» (они снизили начальную цену на 1%, а «Гаскар» на 1,3%), принадлежащая Регине Садвокасовой, родственнице Рустама Салимшина, и собственнице 90% капитала еще одного московского «Гаскара» — компании «Гаскар Консалтинг». Основал его в свое время все тот же Ренат Саитов. Электронная почта «Аник Лаб» ([email protected]) располагается на домене Gaskar Group.
Но самая крупная серия контрактов «Гаскар Интеграции» связана с программой реновации, которую в Москве курировал Марат Хуснуллин.
В 2019 году компания получила от ГКУ «Инфогород» (принадлежит ДИТ Москвы) подряд на выполнение работ по автоматизации процессов программы реновации. Новая система должна была стать частью «Мосгорзаказа» (именно ее «Гаскар Интеграция» в 2017 году выстраивала для «Москапстроя» Рената Хафизова). Первый контракт принес «Гаскар Интеграции» 53 миллиона рублей, второй, подписанный в 2020 году, — 178 миллионов рублей.
Но прежде чем рассказывать непосредственно о торгах, необходимо сделать одну ремарку. Так совпало, что на момент объявления конкурса у «Гаскар Интеграции» уже была система, отвечающая требованиям заказчика.
Еще в 2016 году на YouTube-канале Gaskar Project появилось видео с презентацией одноименной системы, предназначенной для мониторинга строительных проектов. Операционный директор Gaskar Group Мария Зернова (еще одним ее местом работы была БСА «Лужники») рассказывает на видео о том, что система применяется еще с 2015 года и использовалась при реконструкции стадиона «Лужники».
То есть, на момент первых торгов в 2019 году у «Гаскар Интеграции» уже был готовый продукт, который не требовалось создавать с нуля, а максимум необходимо было доработать. В этом можно убедиться, изучив приложение к госконтракту. Оно посвящено предложениям, которые выдвигали участники торгов. На скиншотах внутри документа Word можно без труда опознать экраны системы Gaskar Project.
Но вопрос не в том, что «Гаскар Интеграция», вероятно, продала городу уже готовый продукт, а в том, как именно это было сделано.
Если посмотреть метаданные файла «Техническое задание» для этого конкурса, то можно увидеть, что в качестве создателя документа там записан некий Максим Коровкин. По информации с сайта LinkedIn, Максим Коровкин с апреля 2018 года по декабрь 2019 года был коммерческим директором Gaskar Group.
Высокий полет
Еще один контракт с департаментом информационных технологий «Гаскар Интеграция» заключила в августе 2019 года. За 59 миллионов рублей компания при помощи коптеров должна была снимать столичные стройки и заливать полученное видео на сайт. Планировалось совершить более двух тысяч вылетов, стоимость каждого — около 26,5 тысячи рублей.
В контракте с «Гаскар Интеграция» не указано, что собой с точки зрения размеров представляет «объект строительства», который надо облетать (по периметру и через центр). Но в аналогичном прошлогоднем контракте ДИТ указано, что это «квадрат предположительной площадью 1 кв. км» или «прямоугольник, ширина и длина которого предположительно 0,5 км и 2 км».
Если в 2019 году параметры не изменились, то 26,5 тысячи предполагалось выплатить за примерно 25-минутный пролет (расстояние, которое необходимо преодолеть, около шести-восьми км, а максимально разрешенная по контракту скорость полета 20 км/ч).
И хотя контракт с департаментом информационных технологий «Гаскар Интеграция» подписала только летом 2019 года, еще в марте директор по развитию Gaskar Group Александр Чигров представил в Челябинске презентацию, где говорилось, что контракт на мониторинг строительных объектов совместно с ДИТ заключен в 2018 году и уже исполняется.
В презентации Александра Чигрова можно заметить еще несколько решений, которые, по примеру Gaskar Project и системы контроля при помощи БПЛА, могли быть внедрены на столичных стройках.
На странице номер 14 описан проект «Единый реестр строителей Москвы». Ключевой элемент этой системы — «Смарт каска» — каска с датчиками снятия, движения, GPS, Bluetooth для обеспечения безопасности, определения местоположения и передачи сигнала SOS (в документе есть примечание, что в конце 2019 года каски должны быть привязаны к ЕИС «Мосгорзаказ»). Частью этой системы является мобильное приложение, а также биометрический датчик.
По духу (исходного кода в распоряжение Daily Storm нет) это решение напоминает приложение «Социальный контроль» от ГКУ «Инфогород». На сайте Cloud Bionics Рената Саитова представлен аналог этой системы, но с небольшим расширением — на одном из слайдов можно посмотреть, как именно оператор программы видит на экране перемещения подконтрольных ему строителей.