Глава 7. «Max Vision»
Когда сотрудничество с правительством прекратилось, Макс, несмотря на гнёт федерального расследования, принялся нарабатывать себе репутацию «белого» хакера.
Раскрытие уязвимости в BIND и последовавший за этим успех сайта whitehats.com стали хорошим подспорьем для Макса. Теперь он позиционировал себя в качестве консультанта по компьютерной безопасности и создал сайт, где рекламировал свои услуги. Нанять Макса можно было за сто долларов в час, а некоммерческим организациям он помогал бесплатно. Самым весомым его аргументом было стопроцентное проникновение в исследуемую сеть – осечек не было ни разу.
Это было замечательное время для «белых» хакеров: бунтарский дух, который двигал open-source сообщество, проник в сферу информационной безопасности. Выпускники колледжа и отчисленные студенты, бывшие и нынешние «чёрные» хакеры разрушали устои компьютерной безопасности, которые за десятки лет стали привычным делом.
Например, принцип сокрытия уязвимостей в системе безопасности и методов взлома, которые были известны только в узком кругу доверенных лиц, «белые» хакеры называли «безопасность через неясность». Новое поколение предпочитало «полное раскрытие» – так как совместное обсуждение проблем безопасности позволяло не только оперативно их исправлять, но и учиться на ошибках, что было выгодно и хакерам, и безопасникам. Замалчивание уязвимостей было на руку только тем ребятам, которые их использовали в корыстных целях и корпорациям типа Майкрософт, которые предпочитали исправлять свой позорный код по-тихому.
Движение за «полное раскрытие» породило список рассылки Bugtraq, где хакеры любых убеждений могли опубликовать подробный отчёт о найденных уязвимостях. А ещё лучше — предоставить эксплойт: код, демонстрирующий наличие уязвимости. В рамках сообщества более этично было сперва оповестить разработчика и дать ему время на исправление уязвимости, а уже затем публиковать на Bugtraq эксплойт или отчёт. Но сам Bugtraq цензурой не занимался, поэтому случалось, что в список попадал ранее неизвестный баг и за несколько минут о нём узнавали тысячи хакеров и специалистов по безопасности. Такой манёвр гарантировал привлечение внимания разработчика и оперативное исправление ошибки. Таким образом, Bugtraq позволял хакерам демонстрировать свои умения без нарушения закона. Взломщики же теперь противостояли активно развиваемому сообществу «белых» хакеров и их растущему арсеналу оборонительных инструментов.
Один из лучших таких инструментов разработал в конце 1998го бывший подрядчик отдела кибербезопасности АНБ – Марти Рош. Он решил, что будет интересно узнать о случайных атаках, которые могли бы проскочить через его домашний модем, пока Рош был на работе. В качестве проекта выходного дня он разработал пакетный сниффер под названием Snort и выложил его в сообщество open-source.
Поначалу Snort ничего особенного из себя не представлял – снифферы, которые перехватывали сетевые пакеты и складывали их в дамп-файл для дальнейшего анализа, широко использовались и ранее. Но уже через месяц Рош превратил свою программу в полномасштабную систему обнаружения вторжений (IDS), которая оповещала оператора, едва завидев в сети признаки атаки, уже известной системе. На рынке было представлено несколько таких проприетарных систем, но универсальность и распространение исходных кодов Snort сразу привлекли внимание «белых» хакеров, которые обожают играться с новыми утилитами. Многие энтузиасты тут же примкнули к проекту и стали наращивать функционал программы.
Макс был в восторге от Snort. Эта программа была похожа на БРО – проект лаборатории им. Лоуренса в Беркли, который помог отследить Макса во время его BIND-атаки. Макс понимал, что эта программа способна изменить правила игры в мире интернет-безопасности. Теперь «белые» хакеры могли в реальном времени наблюдать за каждым, кто пытается использовать уязвимость, обсуждённую на Bugtraq и других ресурсах
Snort был системой раннего предупреждения — такой же, как сеть радаров НОРАД для контроля воздушного пространства Америки, но только для компьютерных сетей. Недоставало лишь обстоятельной и актуальной базы сигнатур различных атак, чтобы программа знала что искать.
В течение следующих нескольких месяцев база наполнялась неорганизованно. Каждый пользователь добавлял что-то своё и по крупицам удалось собрать таблицу из примерно двухсот записей. За одну бессонную ночь Макс довёл количество записей до 490, увеличив её объём более чем в два раза. Некоторые записи были уникальными, другие позаимствованы из правил Dragon IDS — популярной, но закрытой системы. Такие правила пишутся на основе сетевой активности каждой атаки, которая позволяет однозначно её идентифицировать.
Например, строка alert udp any any -> $INTERNAL 31337 (msg:“BackOrifice1-scan”; content:“|ce63 d1d2 16e7 13cf 38a5 a586|”;) позволяет обнаружить «чёрного» хакера, который пытается использовать Back Orifice — культовую программу от КМК, которая поразила всех присутствовавших на слёте Def Con 6.0. Из этой строчки Снорт понимает, что входящее соединение через порт 31337 и попытка передать определённую последовательность из двенадцати байт — признак использования бэкдора.
Макс выложил сигнатуры единым файлом на своём сайте whitehats.com, упомянув в благодарностях множество специалистов по безопасности за их вклад, в том числе Ghost32 — своё собственное альтер-эго. Позднее он расширил этот файл в серьёзную базу данных и призвал других спецов добавлять их собственные правила. Он дал базе этих правил яркое название arachNIDS (паукообразСОВые) — от Продвинутый Архив Указаний, Обнаружений и Образцов для Систем Обнаружения Вторжений.
ArachNIDS мгновенно стал популярным и помог снифферу Роша выйти на новый уровень. Чем активнее «белые» хакеры наполняли базу, тем больше она становилась похожа на базу ФБР с отпечатками пальцев – распознать любую известную виртуальную атаку или её разновидность становилось всё проще.
Макс добился признания, разбирая и описывая принцип действия Интернет-червей так же детально, как он разложил червя ADM. Техно-пресса даже начала разыскивать его, чтобы получить комментарии о недавних атаках. В 1999 Макс влился в перспективный проект, который был нацелен на «чёрных» хакеров. Создал его бывший армейский офицер, который использовал знания военной тактики, чтобы возвести сеть из «подставных» компьютеров (HoneyPot’ов или медовых горшочков), которые предназначались для того, чтобы их взламывали. Проект HoneyNet (лакомая сеть) предполагал скрытую установку сниффера в системе, которая выпускалась в большой Интернет без какой-либо защиты: прямо как сотрудница полиции на каблуках и в миниюбке на углу улицы.
Когда хакер пытался взломать HoneyPot, каждый его шаг тщательно записывался и анализировался экспертами по безопасности. А результаты открыто публиковались в соответствии с идеей «полного раскрытия». Макс работал в роли сыщика-криминалиста, восстанавливая ход преступлений по перехваченным пакетам и действиям хакера. Его «расследования» позволили обнаружить некоторые секретные, ранее неизвестные техники взлома. Но Макс понимал, что его пушистая «белость» не спасёт от федерального обвинения. На досуге они с Кими размышляли об этом. Они могли бы вместе сбежать в Италию или на тихий остров, начать всё заново. Макс нашёл бы покровителя — кого-нибудь с деньгами, кто оценил бы его способности и щедро оплачивал хакерскую деятельность. Бездеятельное присутствие правительства стало серьёзной проверкой их отношений. Если раньше они не особо планировали собственное будущее, то теперь и загадывать не могли. Их будущее теперь было им неподвластно и эта неизвестность пугала. Наедине они цапались, а на публике косо смотрели друг на друга.
— Я подписал признание, потому что мы только поженились и я не хотел, чтобы у тебя были неприятности, — сказал Макс. Он винил себя за то, что сам стал HoneyPot’ом: женитьба на Кими давала его врагам очень серьёзное преимущество.
Кими перевелась из местного колледжа De Anza в Калифорнийский университет в Беркли, поэтому они перебрались на другую сторону залива, чтобы жить неподалёку от кампуса. Переезд был определённо удачным для Макса: весной 2000 года компания Hiverworld в Беркли предложила ему работать в популярном доткоме, где уже работали другие «Голодные Программисты» — теперь, правда, довольные и сытые.
Компания планировала создать новую антихакерскую систему, которая бы не только обнаруживала попытки взлома, как Snort, но и активно сканировала сеть пользователя на наличие уязвимостей, чтобы не размениваться на отлов атак, которые всё равно не смогут навредить. Сам автор Снорта — Марти Рош — был сотрудником под номером 11. Макс Вижн должен был стать двадцать первым. Должность хоть и слабая, но перспективная. Первый рабочий день Макса был назначен на 21 марта. Американская мечта, около 2000 года.
Утром 21 марта 2000 года в дверь Макса постучались агенты ФБР. Сначала он подумал, что это «деды» из Hiverworld решили разыграть его. Как бы не так!
— Ни за что не отвечай им! — бросил он Кими, схватив телефон. Он нашёл укромное место на случай если агенты будут высматривать его через окна и набрал Граник, чтобы обрисовать ситуацию: обвинительное заключение, похоже, наконец выдали, агенты ФБР хотят упечь его в тюрьму. Что ему теперь делать?
Агенты, впрочем, ушли. В ордере на арест не предусматривалось вторжение в дом Макса, так что он сорвал их план, попросту не отвечая на стук в дверь. Граник со своей стороны уже звонила прокурору, чтобы попытаться организовать явку в офис ФБР в Окленде. Макс связался со своим новым боссом — техническим директором Hiverworld — и сообщил ему, что не сможет выйти на работу в свой первый день. Он так же пообещал в ближайшее время выйти на связь и объясниться.
Вечерние новости Макса шокировали: подозреваемого в компьютерных взломах хакера Макса Батлера обвинили по пятнадцати пунктам, включая перехват конфиденциальной информации, проникновение в компьютерную сеть и владение украденными паролями.
Макс провёл в тюрьме две ночи, после чего был доставлен к федеральному судье Сан Хосе, для предъявления обвинений. Кими, Тим Спенсер и добрая дюжина Голодных Программистов заполнили зал заседания. Макс был выпущен под залог в сто тысяч долларов: Тим выписал чек на половину суммы, а оставшееся внёс наличными один из «голодных», который сколотил состояние на доткоме.
Информация об аресте всколыхнула сообщество компьютерной безопасности. Hiverworld в одночасье отозвал предложение о работе — ни одной компании по информационной безопасности не стоит нанимать человека, которого прямо сейчас обвиняют в осуществлении взлома. Всех волновала и судьба базы паукообразСОВых, которая оставалась без куратора.
«Это его проект» — написал Рош в списке рассылки. «Таким образом, принудительно менять куратора и отдавать проект в другие руки — недопустимо». Макс ответил в той же рассылке. Он развёрнуто написал и о своей давней любви к компьютерам, и о будущем развитии систем обнаружения вторжений. Макс предположил, что существование whitehats.com и базы паукообразСОВых будет продолжаться любыми средствами: «Мои друзья и семья оказали мне невероятную поддержку. И мне поступают разные предложения о развитии проектов вплоть до таких векторов, которые наверняка не доведут до добра».
Он выставил себя в качестве жертвы и выступил резко против «варварской охоты на хакеров», а Hiverworld обвинил в нелояльности: «Когда завеса спала и пресса начала проявлять интерес, Hiverworld решил прекратить наши отношения. Корпорация струсила, что очень печально. Я не могу выразить всего того разочарования, которое овладело мной, когда я понял, что поддержки со стороны Hiverworld нет и не предвидится. Я — невиновен, пока моя вина не доказана. И я буду благодарен всем в сообществе, кто осознает это».
Шесть месяцев спустя Макс признал себя виновным. Эта новость практически затерялась в сводке из-за шквала федеральных расследований. В этом же месяце Патрик «MostHateD» Грегори, лидер хакерской банды с названием globalHell, был приговорён к двадцати шести месяцам тюрьмы и выплате штрафа за серию дефейсов сайтов на общую сумму чуть больше полутора сотен тысяч баксов. В то же время было предъявлено обвинение двадцатилетнему Джейсону «Shadow Knight» Дикману за взлом систем университета и НАСА, который тот осуществил ради забавы. А шестнадцатилетний Джонатан «C0mrade» Джеймс получил 16 месяцев тюрьмы за то, что в свободное время вламывался в сети Пентагона и НАСА — он стал первым несовершеннолетним, которого посадили за хакерство.
Со всех сторон казалось, что сейчас-то федералы уверенно противостоят компьютерным вторжениям, которые наводили страх на корпорации Америки и госорганы. На самом деле они вели борьбу против «вчерашних» кибервоинов — домашних, «прикроватных» хакеров, чей вид практически вымер. Даже когда Макс стоял в зале суда, ФБР расследовало угрозу двадцать первого века на дистанции в пять тысяч миль, тесно связанную с будущим Max Vision.