Kingpin. Глава 7. Макс Вижн.

По окончанию сотрудничества с ФБР, Макс начал работать над тем, чтобы укрепить свою репутацию white-hat хакера. Даже несмотря на то, что жил он будто под дамокловым мечем — ожидал федерального обвинительного заключения.

Уязвимость в BIND и последующий за ней успех WhiteHat.com дали ему хороший старт. Теперь Макс вывесил своего рода онлайн вывеску, которая рекламировала его как специалиста в информационной безопасности. Этой вывеской служил его новый сайт, на котором заинтересованные клиенты могли ознакомиться с услугами Макса поближе. Один час его времени обошелся бы клиенту в 100 баксов, или бесплатно если это некоммерческая группа. Главным его аргументом был стопроцентный факт успешного проникновения в систему. По его словам, «не было еще такой сети, которую я не ломал».

То время было замечательным для white-hat хакеров. Бунтарский дух в онлайн-сообществе привел к началу популяризации опен-соурс ПО, которое постепенно появлялось и в мире компьютерной безопасности. А новая волна выпускников колледжей и отчисленных, бывших и нынешних black-hat разрушила консервативные устои, которые доминировали в мире кибербезопасности на протяжении десятилетий.

Первым был зачеркнут принцип, согласно которому уязвимости в безопасности и методы атак не придавались публичной огласке. White-hat называли это «безопасность через неясность». Новое же поколение предпочитало «полное раскрытие». Обсуждение проблем безопасности не только помогало фиксить их, но также продвигало информационную безопасность как науку, и хакинг в целом. Сокрытие багов было на руку лишь двум группам: плохим парням, которые писали на их основании эксплоиты, и гигантам, на подобии Microsoft которые предпочитали фиксить дыры без огласки своих косяков.

Движение полного раскрытия породило список рассылки BugTraq, где хакеры, в независимости от цвета шляпы, могли делиться подробными отчетами о дырах в безопасности, которые они находили в софте. Еще лучшим вариантом был прилагаемый к отчету эксплоит – код, который демонстрировал дыру. Приоритетным путем в движении полного раскрытия было сначала уведомить разработчика софта и дать ему время на выпуск патча, перед тем, как публиковать утечку или эксплоит на BugTraq. Но цензурой BugTraq не занимался, поэтому бывало такое, что ранее неизвестный баг попадал в список BugTraq без уведомления разработчика, и ставал доступным для тысяч специалистов и хакеров в течении пары минут. Такой исход событий обычно гарантировал почти мгновенную реакцию компании-разработчика.

BugTraq предоставил хакерам способ продемонстрировать свой опыт, не нарушая закон. А те, кто все еще занимался взломом, имели дело с комьюнити white-hat, вооруженных растущим арсеналом средств защиты. Появилась некая регуляция и противостояние между black и white hat.

В конце 1998 года, бывший сотрудник АНБ, Марти Рош, разработал одно из лучших в то время ПО для защиты. Однажды, он решил по приколу посмотреть сколько атак проходит через его интернет-кабель, если таковые вообще имеются, пока он бывает на работе. Буквально на коленке, за пару дней, он написал анализатор трафика, или же сниффер, и релизнул его под названием Snort как опен-соурс проект. Сначала Snort не представлял из себя чего-то особенного. Обычный сниффер, стандартный инструмент безопасности, который перехватывает проходящий трафик и записывает его в файл для последующего анализа. Но месяцем спустя, Рош превратил свою программу в полноценную систему обнаружения вторжений(IDS), которая оповещала его, если сигнатура входящего трафика совпадала с сигнатурами уже известных атак. В то время на рынке было несколько проприетарных IDS, но универсальность и открытый исходный код Snort привлекали к себе все больше и больше white-hat, которых хлебом не корми, дай свежий софт опробовать. А некоторые инициативные пользователи допиливали программу, добавляя новый функционал.

Snort понравился и Максу, он был в восторге. Программка была чем-то схожа с BRO, проектом лаборатории им. Лоуренса, который помог отследить атаку Макса на BIND. Макс понимал, Snort, это именно та штука, которая может изменить правила в онлайн-игре между черными и белыми хакерами. Теперь они в режиме реального времени могли детекдить попытки использования эксплоитов, которые светились на BugTraq или где-либо еще в сети. Snort был своего рода системой раннего предупреждения в интернете, что-то типа радаров NORAD, которые контролируют воздушное пространство Америки. Все что ему не хватало, так это исчерпывающий и актуальный список сигнатур атак.

В первые пару месяцев после релиза база Snort хаотично пополнялась, с миру по нитке. Так удалось составить список в приблизительно 200 сигнатур. За одну бессонную ночь Макс более чем удвоил это число, добив его до 490 сигнатур. Некоторые были полностью самописными, некоторые улучшенными версиями уже существующих, которые он любезно одолжил у Dragon IDS, популярной в то время платной программы. Под написанием правила(сигнатуры) имелось ввиду идентификация уникальных характеристик в сетевом трафике, создаваемом конкретной атакой, например, номер порта или строка байтов. К примеру, заклинание lert udp any any -> $INTERNAL 31337 (msg:“BackOrifice1-scan”; content:“|ce63 d1d2 16e7 13cf 38a5 a586|”;) в оповещении Snort, означало что какой-то хакер пытается использовать Back Orifice, ту самую программу от Культа Мертвой Коровы, которую они представили на Def Con 6.0. Оно говорило Snort о входящем соединении к порту 31337, с определенной строкой из 12 байтов в сетевом трафике, кто-то пытался использовать бэкдор.

Макс выложил все сигнатуры одним файлом на WhiteHat.com, таким образом отдав должное другим гикам кибербезопасности, включая Ghost23 – дань своему альтер-эго. Позже он переписал этот файл в полноценную базу данных и пригласил других экспертов внести свой вклад в будущее кибербезопасности. Он дал проекту броское название arachNIDS(Advanced Reference Archive of Current Heuristics for Network Intrusion Detection System, что дословно можно перевести как Продвинутый Архив Указаний, Обнаружений и Образцов для Систем Обнаружения Вторжений).

АrachNIDS стал хитом и помог Snort подняться на новый уровень популярности в сообществе киберзащитников. Вместе сo Snort поднимался и Макс Вижн, ставая все более уважаемым человеком в своих кругах. Чем больше white-hat подключались к проекту, тем больше Snort начинал походить на базу данных отпечатков ФБР. С его помощью можно было идентифицировать практически любые известные методы и варианты атак. Макс также добавил себе в успехе, написав еще пару документаций об интернет червях на подобии червя ADM. Техническая пресса начала даже искать Макса, дабы тот высказал свои комментарии по поводу последних атак.

В 1999 году, Макс вписал себя в еще одну многообещающую авантюру, нацеленную на black-hat хакеров. Honeynet Project, как его потом назовут, был трудом бывшего армейского офицера, который применил свой интерес в военных тактиках в онлайн-мире. Он решил установить на компы сетевые «приманки», таким образом сделав их мышеловками. Да, это были компы, единственной целью которых являлось быть взломанными. Honeynet Project скрыто подключал к системе сниффер и открыто размещал его в интернете. Выглядело это так, как будто агент под прикрытием стоял на углу улицы в чулках и короткой юбочке. Б – безпаливность.

Когда хакер будет взламывать приманку, каждое его движение будет записано, а затем проанализировано экспертом по безопасности. А результаты будут представлены миру, все в духе полного раскрытия. Макс перевоплотился в сыщика-криминалиста и теперь по частям восстанавливал шаги, проделанные злоумышленниками, по перехваченным пакетным данным. Он проводил глубокий анализ и даже раскрыл парочку подпольных мошеннических схем.

Делая это Макс все равно понимал, его авторитет как white-hat не спасет его от главного федерального прокурора. В тихие времена он с Кими фантазировали о том, чтобы как-то избежать злой участи Макса. Они могли бы вместе сбежать в Италию, или какой-либо другой отдаленный от Америки остров. Могли бы начать все сначала. Макс найдет спонсора, человека с деньгами, который будет платить Максу за его талант — умение взлома. Все могло быть хорошо.

Но в реальности пара переживала не лучшие времена. Правительство молчаливо надвигалось над ними, будто огромная грозная туча. Словно издеваясь! Если до этого они не часто задумывались о будущем, то теперь и подумать о нем было страшно. Жизнь теперь была неподвластна им, а неизвестность убивала. Будучи наедине они часто ссорились, а на публике искоса поглядывали друга на друга с недовольным выражениям лица.

«Причина, по которой я подписал признание это ты, Кими. Мы только поженились, и я не хотел причинять тебе боль» – пояснял Макс Кими. Он чувствовал себя виноватым. Поженившись, он дал врагам существенное преимущество, Кими была его слабой стороной. Его эксплоитом.

Вскоре она перешла из колледжа Де Анза в университет Беркли и пара решила переехать на противоположную сторону залива, чтобы поселиться прям рядом с кампусом ее университета. Этот шаг, как и ожидал Макс, был удачным для него. Весной 2000 года, одна компания из Беркли, Hiverworld, предложила Максу долгожданную работу. В компании уже работали некоторые из Голодных программистов, правда который сейчас уже были довольны и сыты. Hiverworld планировали выпустить новую антихакерскую программу, которая бы обнаруживала попытки взлома, что-то на подобии Snort, но она еще должна была сканировать сеть пользователей на уязвимости и уметь игнорировать их в случае если уязвимость была безобидной. Автор Snort Марти Рош был сотрудником номер 11. Макс должен был стать номером 21.

Первый рабочий день Макса был назначен на 21 марта 2000 года. Тогда о работе в многообещающем ИТ стартапе мечтали тысячи программистов. Американская мечта двухтысячных.

Хотите верьте, хотите нет, но именно 21 марта 2000 года, утром, в дверь Макса постучали агенты ФБР.

Макс было подумал, что это был пранк от Hiverworld, просто далеко зашедшая шутка. Но нет, это было не так. Увы. «Ни в коем случае не отвечай им, Кими», – он говорил тихо. Схватил телефон и спрятался в углу комнаты, на случай если агенты вздумают заглянуть в окна. Макс тут же позвонил Граник и полушепотом рассказал, что происходит. Скорее всего обвинение уже вынесли. ФБР приходило чтобы увезти его в тюрьму. И что ему теперь делать?

Немного постояв у двери, агенты ушли. К счастью, на данный момент у них не было соответствующего ордера, чтобы просто ворваться с дом с двух ног. Поэтому получилось так, что Макс на время спас себе жопу, просто не открыв двери. Со своей стороны, Граник уже позвонила прокурору, чтобы попытаться организовать цивилизованную явку в офис ФБР. А Макс позвонил директору Hiverworld, его новому боссу, чтобы сообщить что его не будет на первом дне. Через 1-2 дня он появится и все объяснит. Волноваться не стоит.

Вечером Макса ждала еще одна новость. Его показывали в новостях: «подозреваемого в компьютерных взломах хакера под именем Макс Батлер, обвинили по 15 статьям, в том числе за незаконный перехват личных сообщений, взлом, и хранение украденных паролей».

После двух ночей в отстойнике, Макс предстал перед федеральным судьей города Сан-Хосе для предъявления обвинений. Кими, Тим Спенсер и десяток Голодных программистов заполнили зал суда. По завершению судебного разбирательства Макса таки отпустили. Под залог в 100 тысяч долларов. Так как у Макса в данный момент таких денег не было, Тим подписал чек на половину суммы, а остальную половину решил докинуть кореш Макса, один из Голодных программистов, который недавно поднялся, открыв свой дотком.

Этот арест вызвал волну шока и беспокойства в кругах киберзащитников. Hiverworld отменил свое предложение о работе – ни один стартап не согласиться нанимать специалиста по безопасности, которому грозит арест за взлом компьютерных систем. Комьюнити также было обеспокоено тем, что теперь будет с базой данных archaNIDS без кураторства Макса.

«Это его проект», – выразился в сети Рош, – «И если он добровольно не передаст кому-то управление, то отдавать его в другие руки принудительно будет недопустимым».

Макс лично ответил на это сообщение. В длинном посте он рассказал о своей любви к компьютерам и высказался насчет будущего кибербезопасности, и в частности об обнаружении вторжений. WhiteHats.com и arachNIDS продолжат работать в независимости от того, что произойдет с самим Максом. «Моя семья и друзья оказали невероятную поддержку. Также мне уже поступают предложения о поддержке сайта. Предлагают даже явно незаконные виды помощи. Я благодарен вам за все».

Макс бросил себя в качестве жертвы и резко выступал против «безумной охоты на хакеров», а руководство Hiverworld назвал нелояльным.

«После того, как дым рассеялся, и я засветился в прессе, Hiverworld решили не продолжать наше сотрудничество», – писал Макс, – «Компания выставила себя за последних трусов, где ваши яйца, ребята? Мне за вас стыдно. Очень обидно от того, что вы так поступаете, мне будет не хватать вашей поддержки. Я невиновен, пока вина не доказана», – продолжал Макс, – «И я был бы неимоверно рад, если бы это признало все наше общество».

Спустя долгих шесть месяцев Макс признал свою вину. Но в свете последних новостей на это мало кто обратил внимание. По всей стране прошла волна федеральных расследований по делам хакеров. Макс просто потерялся в этой шумихе. В этом месяце Патрик «MostHateD» Грегори, лидер группировки globalHell, был приговорен к 26 месяцам тюрьмы и должен был выплатить 154 529 долларов и 86 центов возмещения за ряд взломов веб-сайтов. Был обвинен двадцатилетний Джейсон «Shadow Knight» Дикмэн из Калифорнии из-за взлома НАСА и университетских систем ради забавы. А также шестнадцатилетний Джонатан Джеймс, более известен в сети как «C0mrade» получил шесть месяцев и стал первым в истории несовершеннолетним, который получил срок за статьи о хакерстве. Одним словом, в стране творился полный пиздец.

Сложилось такое впечатление, что федеральные правоохранительные органы теперь умело противостояли хакерству, которое так долго держало в страхе всю экономику и правительство США. По правде же, это была вчерашняя война против диванных хакеров, которые как вид уже почти исчезли. Даже сейчас, когда Макс находился в зале суда Сан-Хосе, ФБР расследовало, пожалуй, главную угрозу 21 века которая находилась в 5 тысячах миль от Сан-Хосе. В будущем Максу еще предстоит связаться с ней.