Когда пройдет мода на хакеров? По следам очередного DEFCON-а

Кто такой хакер?

Первое, что приходит в голову – неизвестный тип в маске, действующий из подполья. Секретные сообщества программистов, сидящие где-то в подвалах. Неизвестные злодеи и герои, доставляющие проблемы как простым людям, так и целым государствам.

Вы замечаете, что объединяет эти понятия? Скрытность.
Хакеры всегда маскировались. Прятались под никнеймами, псевдонимами. А самые опытные из них – и вовсе меняли свою личность. Их сетевые alter ego имели другие привычки, другие вкусы. Все это было направлено на то, что бы оригинальную личность нельзя было отследить.

Но что, если я вам скажу, что новое поколение хакеров уже не так сильно волнуется о своей анонимности? Времена меняются, и молодые специалисты по проникновению и взлому уже не боятся называть реальные имена на конференциях, открыто сотрудничать с правительством и крупными компаниями. При всём этом, хакеры являются крайне востребованными и высокооплачиваемыми кадрами на рынке IT.

Сначала мы поговорим о конференции DEFCON, что бы лучше понять, кто такие современные хакеры. Затем разберемся, почему сегодня хакеры уходят из подполья, избавляются от альтернативных личностей и маскировки (спойлер: не всегда), и как общество культивирует стереотипы об анонимности.

Конференция DEFCON

Самой масштабной  и известной  конференцией хакеров в мире остается DEFCON. Ежегодно в августе в Лаг Вегасе на DEFCON собирается несколько десятков тысяч человек, чтобы рассказать, показать и продемонстрировать вживую, насколько уязвим современный цифровой мир.

Со времен основания в 1993 году, конференция ощутимо выросла в масштабах. В 93 году Джефф Мосс, или The Dark Tangent, как его знают в тусовке – собрал сотню друзей-хакеров на обычную вечеринку. Люди веселились, и обменивались опытом. Идея прижилась, и сегодня, на 26 ежегодной конференции, участие принимают свыше 27 000 человек, включая студентов, сотрудников служб безопасности, чиновников и даже детей в возрасте 8 лет.

Кратко описать DEFCON невозможно. Конференция состоит из 28 тематических зон, или как их тут называют – 28 деревень. Есть деревня для взлома государственных систем голосования, где посетители анализировали такие системы в разных странах и разбирали их на части. Есть Деревня Отмычек, где посетители могли своими руками взломать замки, а так же узнать, как устроены сейфы и физические системы безопасности. Можно было бы скопировать сюда список всех презентаций выставки, включая знаменитое выступление Роба Джойса, старшего сотрудника по кибербезопасности в Агентстве национальной безопасности США (АНБ). Рассказать о многочисленных конкурсах, вроде хакерского караоке и соревнования мифов и легенд о хакерах под названием «Шапочка из Фольги» (Tin Foil Hat Contest). И все равно это не дало бы полной картины.

Творческое безумие гениев кибермира – так я бы описал эту выставку вкратце. На последней конференции 2018 года по коридорам выставки бродил человек, с огромным вычислительным блоком на спине. Из блока торчали провода, он горел огоньками и пищал, а  человек весело рассказывал свою историю. Оказывается, один агропромышленный гигант закупил новую версию блоков защитных систем, и установил на свое производство. Компания гордо объявила, что блок неприступен для всех хакеров мира. И вот этот человек, скрывающийся за маской, где-то раздобыл этот блок, притащил его на конференцию, и, на глазах десятка тысяч специалистов, взломал, и продемонстрировал метод взлома. А теперь ходит по выставке, нацепив блок на спину, как трофей.

Без права на ошибку

Сегодня анонимность вызывает подозрение. «Зачем тебе быть анонимным, если ты не нарушаешь закон?» – популярная фраза. Люди привыкли что «анонимность в сети = преступление».  Это произошло, в основном, за счет пропаганды образа анонимного киберпреступника в медиа. Львиная доля внимания СМИ посвящена законспирированным и демонизируемым хакерам, вроде Guccifer 2.0, который, по слухам, контролируется военной разведкой России. Guccifer 2.0 известен тем, что выложил в открытый доступ документы Национального комитета Демократической партии США (DNC hack) после президентских выборов в 2016 году.

Соцсети и сервисы, которыми мы пользуемся каждый день, ограничивают наши возможности быть анонимными, потому что хотят гарантировать общение реальных людей с реальными людьми. Но такое положение вещей не устраивает бывалых хакеров.

«Как вы научитесь понимать этот мир, если у вас нет права на ошибку? В современном мире ваши ошибки будут преследовать вас вечно», – говорит организатор DEFCON, Джефф Мосс. В свое время он прятался за никнеймом The Dark Tangent, потому что влезал в дела телефонных компаний и провайдеров интернета. «Штуки, которые не особо-то и законны», – как он говорит.

Ряд участников DEFCON всё еще скрывают реальную личность, ссылаясь на опасения по поводу конфиденциальности. Многие скрывают настоящие имена, используя хакерские никнеймы и псевдонимы. Некоторые даже носят поддельные бороды, надевают маски и используют красочный макияж, что бы их было невозможно узнать. У многих в прошлом были реальные причины для того, что бы скрываться за альтернативными личностями в сети.

Тот же Джефф Мосс, как мы говорили, в прошлом имел отношение к махинациям с телефонными аппаратами и ранними интернет-сетями в начале 90-х. По его словам, он и его друзья исследовали мир, и им было необходимо право на ошибку, как и многим молодым людям. И его беспокоит то, что многие компании вроде Facebook, сегодня не понимают и не принимают анонимность, заставляя людей подтверждать свою личность и указывать реальные имена. Компании вкладываются в развитие технологий распознавания лиц, манеры поведения, идентификации людей, и не оказывают услуги анонимам.

Тающая анонимность

У каждого хакера из 90-х есть в запасе история, как его настоящую личность рассекретили. Некоторые истории весьма забавные. Например, известный хакер Grifter однажды взял свою жену на Defcon в качестве гостя. Увлекшись беседой, жена позвала его к себе через холл, заполненный хакерами: «Эй, Нейл!» – без задней мысли, его позвала жена, прямо посреди международной хакерской конференции. «Моя прекрасная супруга, она выдала меня на глазах у всего хакерского сообщества», – говорил он, смеясь.

Почему разоблачение, или деанонимизация, как этот процесс называют специалисты по безопасности, так болезненно воспринимается хакерами? Дело в том, что alter ego дает хакерам свободу действий. Некий гарант, что за ту излишнюю настырность в изучении мира их не привлекут к уголовной ответственности. В тусовке хакеров не считается зазорным простое изучение системы. Поиск ошибок и недоработок – это, своего рода, спорт. Но в какой-то момент хакер должен принять решение, что делать с полученной информацией. И вот в этот момент он «надевает», условно говоря, белую или черную шляпу.

White-hat hackers – так называют людей, которые передают компании данные об уязвимостях, и публикуют информацию в сети на основании политики честного распространения. То есть, после того, как найденная уязвимость будет закрыта, и никто не сможет ею воспользоваться. Такие хакеры участвуют в программах по отлову ошибок, и получают официальные вознаграждения за труды.

Хакеры в черных шляпах, Black-Hat – это люди, которые решили использовать найденные уязвимости в личных целях. Они могут продать уязвимость, существуют подпольные сетевые рынки, где, иногда, уязвимости покупают даже сотрудники федеральных служб США. Они могут попытаться использовать уязвимость самостоятельно, что бы получить какую либо выгоду. Они могут объединяться против компаний, и использовать ошибки в коде с целью нанесения ущерба их собственности.

Карьера как причина

Даже в современном, открытом информационном мире, прощание с анонимностью – это серьезный шаг для любого члена хакерской тусовки. Давайте разберем основные причины деанонимизации хакеров в 2019 году. Начнем с карьеры.

Иногда хакерам приходится порвать с анонимностью, потому что они становятся публичными фигурами своих компаний. Так произошло с Нико Селл, главой проекта Wickr. Этот защищенный мессенджер в США набрал популярность в 2012 году, задолго до появления Telegram. Что бы стать публичной компанией (IPO), Нико Селл, легендарный хакер, стала CEO Wickr. Вся верхушка компании состояла из закадычных друзей-хакеров, и по словам Нико, они тянули жребий, что бы определить, кто выйдет в свет. И  жребий выпал ей.

Нико Селл, завсегдатай Defcon, знаменита еще и тем, что никогда не снимает солнцезащитные очки. По ее словам, в сети нет ни одной фотографии ее глаз, и «это одна из немногих вещей, которые я сохранила в тайне от Гугла», – говорит она.

11-летний Эммет Брюэр считает, что никнейм помогает получить больше признания от людей. Он – самый молодой и знаменитый хакер DEFCON. В секции практического взлома ему удалось взломать систему голосования штата Пенсильвания, удалить всех кандидатов и присвоить все голоса самому себе. Это привлекло внимание СМИ, чего бы не случилось, если бы он пользовался только псевдонимом, не разглашая информацию о своей настоящей личности. «Я придумал себе ник p0wnyb0y пару лет назад, когда впервые попал в новости», – сказал он. – Думаю, что никнейм помогает получить больше признания от людей, например, такой как у The Dark Tangent».

Эммет не видит смысла отделять свое настоящее имя от псевдонима и придумывать себе новую личность. «Это не конец света, если люди знают, кто скрывается под никнеймом, – говорит Эммет. – Но некоторые люди воспринимают такие вещи серьезно».

30-летний Филипп Хэрвуд – представитель нового класса хакеров. Facebook называет его вторым лучшим специалистом по уязвимостям в мире. Хоть он известен в Твиттере под своим псевдонимом (phwd), большинство хакерской работы, как в случае в Facebook, выполняет, подписываясь своим настоящим именем. И блог ведет тоже под настоящим именем, где анализирует и обсуждает с подписчиками найденные уязвимости. Для него использование псевдонима с реальным ФИО – это способ формирования персонального бренда: Филиппов много, а хакер Филипп под ником phwd – такой один. Уход от анонимности дал Филиппу большую узнаваемость в профессиональных кругах.

Рынок хакеров

И, вместе с Филиппом, мы переходим к следующей причине отказа от анонимности: формирование открытого рынка для хакеров. Раньше зарабатывать официально хакер мог, только устроившись в службу безопасности. Сейчас хакер может исследовать и взламывать ПО, и при этом получать официальный доход от авторов приложений. Все благодаря программам вознаграждений за ошибки, Bug Bounty, которые открыты у авторов каждого популярного приложения в мире.

В рамках таких программ вознаграждения, Филипп Хэрвуд и другие хакеры получают существенные деньги за найденные уязвимости. Этот доход перекрывают необходимость продавать уязвимости на черном рынке. Работа по таким программам требует реального имени и фамилии – нельзя открыть банковский счет и трудовой договор на свой никнейм. И такие программы с каждым годом становятся все более масштабными и щедрыми.

После скандала с Cambridge Analytica, компания Facebook расширила программу вознаграждения хакеров, добавив отдельный раздел, связанный с утечкой данных пользователей. А в августе 2018 года, Facebook объявила, что готова платить по еще одному направлению – поиску ошибок в механизме взаимодействия с приложениями, которые запрашивают доступ к профилям пользователей соцсети. Такие приложения в прошлом позволили сторонним компаниям собирать данные о пользователях Facebook, и использовать их в предвыборных и рекламных кампаниях.

Открылись полноценные биржи труда для хакеров, вроде Bugcrowd и HackerOne, где сторонние компании могут заказать взлом собственной инфраструктуры с целью поиска уязвимостей. Такая услуга называется тест на проникновение (Penetration test). Суммы вознаграждений варьируются от 100-200$ до 200 000$, которые в 2012 году заплатила компания Microsoft за найденную критическую уязвимость в своей инфраструктуре. Для хакерского сообщества стал доступен рынок заказов, который постепенно отбивает желание переступать черту закона.

Сладкие сети комфорта

С ростом уровня доходов, появляется следующая причина отказа от анонимности. Хакеры становятся старше, обзаводятся семьями, детьми, квартирами, кредитами и ипотеками. Если до этого момента им удавалось прятаться в сети за alter ego, то теперь появилась потребность приобщиться к благам цивилизации. Жизненный комфорт немыслим без реальных имен.

«Справедливости ради, стоит сказать, что всё меньше опытных, взрослых хакеров продолжают скрываться за своими альтер-эго», –говорит Мелани Энсин, завсегдатай DEFCON и сотрудник службы безопасности в Uber. «У многих появляются семьи, кредиты и ипотеки. В какой-то момент тебе приходится выйти в реальный мир, а он построен вовсе не на анонимности».

«Для многих это полноценная профессия, – добавляет Мелани. – Но вы не сможете заполнить налоговую декларацию при помощи вашего хакерского псевдонима».

Анонимность – это нормально?

Однако, у анонимности так же много сторонников. Их аргументы звучат особенно актуально, учитывая, как много информации люди о себе люди доверяют интернету. Дочь Нико Селл появляется на конференциях и в публичных пространствах исключительно под псевдонимом CyFi. Так же, как и ее мама, она всегда носит очки, и считается одним из самых талантливых хакеров современности. В 9 лет она обнаружила уязвимости класса нулевого дня (zero day) в популярном ПО. Это такие ошибки, которые критически подрывают информационную безопасность клиентов компании. Она анонимно связалась с разработчиками и рассказала об этих уязвимостях. Позже она рассказывала: «Я не хотела ждать, пока мне предъявят иск за взлом. По-этому, сокрытие настоящего имени было для меня единственным выходом».

CyFi не одобряет склонность своего поколения к чрезмерной открытости в Интернете. «Мои друзья, определенно, расстроены, что не могут общаться со мной в социальных сетях, – сказала она. – Чем меньше данных о вас в сети, тем меньше людей могут навредить тебе».

С ней согласен и 11-летний Эммет Брюэр. Участие в конференции DEFCON, которую он посещает несколько лет вместе со своим отцом, заставило Эммета задуматься о том, как много информации о себе выкладывают в интернет его ровесники. «Мои друзья буквально всё выкладывают в интернет, – говорит Эммет, – но я стараюсь быть более внимательным к таким вещам».

В пользу анонимности так же высказывается Джо Гранд, известнейший хакер под псевдонимом Kingpin. «Сокрытие человека за вымышленным именем не означает, что он делает что-то ужасное, и не значит, что он плохой человек», – говорит он. – Это значит, что он пытается защитить свою конфиденциальность».

Как и многие хакеры старой школы, Гранд со временем стал известен под своим настоящим именем. Во многом, благодаря работе над собственной передачей на канале Discovery Channel под названием «Prototype This!». Но он всё еще ценит анонимность, выступает активным ее сторонником.

Государство и хакеры - холодная война?

Отношения между хакерами и американским правительством – это отдельная, щекотливая тема. Напряженность в отношениях между сторонами то нарастает, то спадает год от года. В начале 2000-х, взаимная неприязнь хакеров и официальных лиц приводила на DEFCON к игре в кошки-мышки под названием «Вычисли федерала».

Линтон Уэллс Второй, бывший главный заместитель помощника министра обороны США по сетям и информационной интеграции, начал посещать DEFCON примерно в 2003 году. Теперь он один из 450 добровольцев, которые помогают организовывать конференцию.

Уэллс сказал, что чиновники, которые посещают DEFCON, попадают в одну из трех категорий. Первые открыто объявляют себя госслужащими или военными. На выставке для таких людей есть отдельные панельные дискуссии под названием «Задай вопрос федералу».
Вторые не афишируют, что имеют отношение к правительству, но не станут это скрывать, если их спросят. А третьи придумывают себе альтернативные личности на выставке, прямо как хакеры. Такие служащие действуют под официальным прикрытием, или в частном порядке, и у них на выставке свои особые интересы.

«Отношения между хакерами и официалами не всегда были спорными», – добавил Уэллс. – Например, в 2012 году Кит Александр, директор АНБ на тот момент, вышел с лекцией на сцену DEFCON в футболке и джинсах». Но после утечки данных от Эдварда Сноудена, отношения сильно испортились. «После Эдварда Сноудена, официальные лица на хакерсих конференциях стали не то чтобы нежелательными... но им тут точно никто не рад», – говорит Линтон.

Чем ценен хакер в 2019 году?

Многие смотрели фильмы с хакерами, читали про них книги, статьи. Некоторые читали комиксы. Хакеры стали ближе к простым людям. Стало понятно, что это такие же люди, как мы. Мечтатели, исследователи и искатели, которые хотят разобраться в том, как устроен окружающий нас компьютерный мир. Хакеры вышли из подполья, дают интервью, организовывают встречи и конференции, на которых открыто обсуждают проблемы информационного общества.

Хакеры востребованы и большие компании действительно готовы платить им большие деньги. Но не потому, что они способны взламывать системы, находить ошибки, похищать данные. Не потому, что они сильны в программировании, математике, психологии поведения людей и логике. Эти навыки может получить любой технический специалист, но он не станет от этого хакером.

Настоящим хакерам платят за их особый способ мышления, за взгляд, которым они смотрят на мир. Взгляд хакера направлен в глубину, внутрь системы, сайта и даже внутрь общества. Мы смотрим на сайт, и видим текст, картинки, ссылки, кнопки. Хакер же видит множество связанных друг с другом частиц. Он понимает, что делает человек, когда взаимодействует с сайтом, он знает, о чем думал разработчик сайта в процессе создания. Он смотрит в исходный код не с целью взлома, а потому что ему интересно, как он работает внутри. Деньги –не главное для настоящего хакера, для него важна интересная задача, механика ее достижения и значимый результат. Хакер – не профессия. Это образ жизни.

Критический взгляд, скорость мысли, пытливый ум – вот настоящее золото хакеров, подлинная ценность этих загадочных людей.