Шрифт:
Интервал:
Закладка:
В течение следующих нескольких месяцев база наполнялась неорганизованно. Каждый пользователь добавлял что-то своё и по крупицам удалось собрать таблицу из примерно двухсот записей. За одну бессонную ночь Макс довёл количество записей до 490, увеличив её объём более чем в два раза. Некоторые записи были уникальными, другие позаимствованы из правил Dragon IDS — популярной, но закрытой системы. Такие правила пишутся на основе сетевой активности каждой атаки, которая позволяет однозначно её идентифицировать.
Например, строка alert udp any any -> $INTERNAL 31337 (msg:“BackOrifice1-scan”; content:“|ce63 d1d2 16e7 13cf 38a5 a586|”;) позволяет обнаружить «чёрного» хакера, который пытается использовать Back Orifice — культовую программу от КМК, которая поразила всех присутствовавших на слёте Def Con 6.0. Из этой строчки Снорт понимает, что входящее соединение через порт 31337 и попытка передать определённую последовательность из двенадцати байт — признак использования бэкдора.
Макс выложил сигнатуры единым файлом на своём сайте whitehats.com, упомянув в благодарностях множество специалистов по безопасности за их вклад, в том числе Ghost32 — своё собственное альтер-эго. Позднее он расширил этот файл в серьёзную базу данных и призвал других спецов добавлять их собственные правила. Он дал базе этих правил яркое название arachNIDS (паукообразСОВые) — от Продвинутый Архив Указаний, Обнаружений и Образцов для Систем Обнаружения Вторжений.
ArachNIDS мгновенно стал популярным и помог снифферу Роша выйти на новый уровень. Чем активнее «белые» хакеры наполняли базу, тем больше она становилась похожа на базу ФБР с отпечатками пальцев – распознать любую известную виртуальную атаку или её разновидность становилось всё проще.
Макс добился признания, разбирая и описывая принцип действия Интернет-червей так же детально, как он разложил червя ADM. Техно-пресса даже начала разыскивать его, чтобы получить комментарии о недавних атаках. В 1999 Макс влился в перспективный проект, который был нацелен на «чёрных» хакеров. Создал его бывший армейский офицер, который использовал знания военной тактики, чтобы возвести сеть из «подставных» компьютеров (HoneyPot’ов или медовых горшочков), которые предназначались для того, чтобы их взламывали. Проект HoneyNet (лакомая сеть) предполагал скрытую установку сниффера в системе, которая выпускалась в большой Интернет без какой-либо защиты: прямо как сотрудница полиции на каблуках и в миниюбке на углу улицы.
Когда хакер пытался взломать HoneyPot, каждый его шаг тщательно записывался и анализировался экспертами по безопасности. А результаты открыто публиковались в соответствии с идеей «полного раскрытия». Макс работал в роли сыщика-криминалиста, восстанавливая ход преступлений по перехваченным пакетам и действиям хакера. Его «расследования» позволили обнаружить некоторые секретные, ранее неизвестные техники взлома. Но Макс понимал, что его пушистая «белость» не спасёт от федерального обвинения. На досуге они с Кими размышляли об этом. Они могли бы вместе сбежать в Италию или на тихий остров, начать всё заново. Макс нашёл бы покровителя — кого-нибудь с деньгами, кто оценил бы его способности и щедро оплачивал хакерскую деятельность. Бездеятельное присутствие правительства стало серьёзной проверкой их отношений. Если раньше они не особо планировали собственное будущее, то теперь и загадывать не могли. Их будущее теперь было им неподвластно и эта неизвестность пугала. Наедине они цапались, а на публике косо смотрели друг на друга.
— Я подписал признание, потому что мы только поженились и я не хотел, чтобы у тебя были неприятности, — сказал Макс. Он винил себя за то, что сам стал HoneyPot’ом: женитьба на Кими давала его врагам очень серьёзное преимущество.
Кими перевелась из местного колледжа De Anza в Калифорнийский университет в Беркли, поэтому они перебрались на другую сторону залива, чтобы жить неподалёку от кампуса. Переезд был определённо удачным для Макса: весной 2000 года компания Hiverworld в Беркли предложила ему работать в популярном доткоме, где уже работали другие «Голодные Программисты» — теперь, правда, довольные и сытые.
Компания планировала создать новую антихакерскую систему, которая бы не только обнаруживала попытки взлома, как Snort, но и активно сканировала сеть пользователя на наличие уязвимостей, чтобы не размениваться на отлов атак, которые всё равно не смогут навредить. Сам автор Снорта — Марти Рош — был сотрудником под номером 11. Макс Вижн должен был стать двадцать первым. Должность хоть и слабая, но перспективная. Первый рабочий день Макса был назначен на 21 марта. Американская мечта, около 2000 года.
Утром 21 марта 2000 года в дверь Макса постучались агенты ФБР. Сначала он подумал, что это «деды» из Hiverworld решили разыграть его. Как бы не так!
— Ни за что не отвечай им! — бросил он Кими, схватив телефон. Он нашёл укромное место на случай если агенты будут высматривать его через окна и набрал Граник, чтобы обрисовать ситуацию: обвинительное заключение, похоже, наконец выдали, агенты ФБР хотят упечь его в тюрьму. Что ему теперь делать?
Агенты, впрочем, ушли. В ордере на арест не предусматривалось вторжение в дом Макса, так что он сорвал их план, попросту не отвечая на стук в дверь. Граник со своей стороны уже звонила прокурору, чтобы попытаться организовать явку в офис ФБР в Окленде. Макс связался со своим новым боссом — техническим директором Hiverworld — и сообщил ему, что не сможет выйти на работу в свой первый день. Он так же пообещал в ближайшее время выйти на связь и объясниться.
Вечерние новости Макса шокировали: подозреваемого в компьютерных взломах хакера Макса Батлера обвинили по пятнадцати пунктам, включая перехват конфиденциальной информации, проникновение в компьютерную сеть и владение украденными паролями.
Макс провёл в тюрьме две ночи, после чего был доставлен к федеральному судье Сан Хосе, для предъявления обвинений. Кими, Тим Спенсер и добрая дюжина Голодных Программистов заполнили зал заседания. Макс был выпущен под залог в сто тысяч долларов: Тим выписал чек на половину суммы, а оставшееся внёс наличными один из «голодных», который сколотил состояние на доткоме.
Информация об аресте всколыхнула сообщество компьютерной безопасности. Hiverworld в одночасье отозвал предложение о работе — ни одной компании по информационной безопасности не стоит нанимать человека, которого прямо сейчас обвиняют в осуществлении взлома. Всех волновала и судьба базы паукообразСОВых, которая оставалась без куратора.
«Это его проект» — написал Рош в списке рассылки. «Таким образом, принудительно менять куратора и отдавать проект в другие руки — недопустимо». Макс ответил в той же рассылке. Он развёрнуто написал и о своей давней любви к компьютерам, и о будущем развитии систем обнаружения вторжений. Макс предположил, что существование whitehats.com и базы паукообразСОВых будет продолжаться любыми средствами: «Мои друзья и семья оказали мне невероятную поддержку. И мне поступают разные предложения о