Гуру амэрыканскіх хакераў пра беларускі ПВТ і пажары ад крыптавалюты

Джэф Мос, таксама вядомы як Dark Tangent

Джэф Мос, які цяпер уваходзіць у Дарадчую раду па ўнутранай бясьпецы ЗША, 25 гадоў таму заснаваў адну з найбуйнейшых хакерскіх канфэрэнцый у сьвеце. «DEF CON стала свайго роду нэўтральнай тэрыторыяй, дзе людзі могуць абмяняцца ідэямі. Але былі і выпадкі, калі людзей пасьля канфэрэнцыі арыштоўвалі», — кажа ён.

Падчас міжнароднай канфэрэнцыі па бясьпецы Globsec2018 у Браціславе Джэф Мос адказаў на пытаньні Радыё Свабода.

Пра хакерства ў 1990-я і цяпер

Спачатку людзі рабіліся хакерамі, бо іх захапляла новае — дасьледаваць тэхналёгіі, кампутарныя сеткі, проста вучыцца. А потым у інтэрнэт прыйшлі камэрцыйныя кампаніі, людзі сталі нешта прадаваць онлайн. Зьявіліся грошы. Тое, што раней было хобі, зрабілася працай. DEF CON была пятай хакерскай канфэрэнцыяй у ЗША, а цяпер такіх канфэрэнцый некалькі тысяч.

Гэта як культурная рэвалюцыя вакол рок-н-ролу ў ЗША ў 1960-я. Вось вы граеце ў гурце недзе ў Сан-Францыска, вас гэта захапляе, у вас ёсьць мясцовыя фаны. А потым нечакана прылятае мэнэджэр з кампаніі гуказапісу і кажа: «Мы хочам, каб вы паехалі ў тур па ЗША і па Эўропе». І вось ужо гэта вашая праца.

У тыя часы ў Інтэрнэце амаль усё было законным. Цяпер усё па іншаму. Я хвалююся за сёньняшніх маладых, якія могуць спампаваць нейкую праграму, праверыць, як яна працуе, і аўтаматычна атрымаць статус крымінальнікаў. Проста таму, што ім цікава, і яны спрабуюць чамусьці навучыцца. Я спадзяюся, што ўлады разумеюць розьніцу паміж цікаўным 15-гадовым падлеткам і закаранелым злачынцам.

Пра першыя кантакты са спэцслужбамі

Калі я пачынаў, кампутарнымі злачынствамі займалася ў асноўным Сакрэтная служба — яны расьсьледавалі махлярствы з крэдыткамі. ФБР тады такім не займалася. Яшчэ шмат хакерства было завязана на тэлефонныя сеткі, бо тэлефанаваньне было дарагое, і такія рэчы адсочвалі спэцыяльныя аддзелы ў тэлекамунікацыйных кампаніях.

Калі мы наладзілі першую канфэрэнцыю DEF CON, мы іх усіх запрасілі. А ў той час самай крутой кампаніяй былі Sun Microsystems. Яны рабілі кампутары, якія былі ў падмурку раньняга Інтэрнэту. Чалавека, які ў іх адказваў за кампутарную бясьпеку, звалі Дэн Фармэр. Усе хацелі быць да яго падобныя. Дэн нам тады расказаў, што працуе над аўтаматычнай сыстэмай бясьпекі. Назваў яе кшталту «інструмэнт аналізу бясьпекі». І з гэтага атрымаўся SATAN — першы аўтаматычны сканэр для аналізу кампутарных сетак. З гэтай штукай ён трапіў на вокладку часопісу Time.

Таксама на першай канфэрэнцыі была пракурорка Гейл Тэкерэй, якая расказвала нам, што законна, а што незаконна ў інтэрнэце. І ў тым самым пакоі быў чалавек, супраць якога яна вяла справу ў той час. Але яна ня мела над ім юрысдыкцыі, бо яна была з Арызоны, а канфэрэнцыя была ў Лас-Вэгасе, у Нэвадзе.

Нам было цікава — мы ўпершыню маглі пабачыць гэтых людзей, задаць ім пытаньні. Мы таксама запрасілі і Сакрэтную службу, але яны афіцыйна не прынялі запрашэньне, а паслалі чалавека пад прыкрыцьцем. І пасьля канфэрэнцыі гэты агент падышоў да мяне і сказаў: «Выбачаюся, я ня мог назвацца, але вось мае дакумэнты, я з Сакрэтнай службы».

І пасьля гэтага мы на DEF CON распачалі традыцыйны конкурс «Знайдзі фэдэрала» [агента нейкай з фэдэральных спэцслужбаў — РС]. Калі мы іх выкрывалі, дык давалі ім адмысловую футболку з надпісам «Я фэдэрал». Але калі нехта здолеў пратрымацца нявыкрытым і потым падыходзіў да мяне пасьля канфэрэнцыі, дык атрымоўваў іншую футболку як прыз.

Мы зрабілі з гэтага забаву, і ў выніку атрымалі больш разьняволеную атмасфэру. DEF CON стала свайго роду нэўтральнай тэрыторыяй, дзе людзі могуць абмяняцца ідэямі.

Але былі і выпадкі, калі людзей пасьля канфэрэнцыі арыштоўвалі. Не за тое, што яны зрабілі на DEF CON, а за нешта ранейшае.

Адзін з самых вядомых выпадкаў быў зь Дзьмітрыем [Скляравым] з расейскай кампаніі ElcomSoft. У кампаніі Adobe былі разборкі зь ягонымі наймальнікамі, але яны не маглі іх дастаць у Расеі. Замест гэтага арыштавалі супрацоўніка ElcomSoft, які прыляцеў выступіць да нас.

Пра розьніцу паміж хакерамі ў розных краінах

Мне здаецца, што ў Расеі некаторыя злачынныя групы працуюць пад кантролем ураду. У Паўночнай Карэі вельмі падобная сытуацыя. Нават у Кітаі ўрад заплюшчвае вочы на некаторыя рэчы. Бо калі ўрад вырашыць, што трэба нешта зрабіць, напрыклад, супраць Паўднёвай Карэі, хакеры арганізуюць патрэбныя кібэратакі.

У краінах Захаду я такога ня бачу. Нямецкі ўрад ня кажа: «Нам не падабаецца Расея — нямецкія хакеры, арганізуйце атаку на Расею». У Расеі ўрад можа нешта замовіць і пры гэтым сказаць «гэта ня мы». Але калі б нешта такое ўсплыло ў ЗША, гэта прывяло б да судовых пазоваў на агромністыя сумы.

ЗША мелі падобныя схемы ў 1970-я. ЦРУ стварала фальшывыя авіялініі для сваіх перавозак, каб мець магчымасьць сказаць «гэта ня мы». Але такія схемы рана ці позна заўсёды выкрываюцца.

Фінансавы раён Сынгапуру

Пра беларускі Парк высокіх тэхналёгій

Праекты ў стылі інкубатараў папулярныя ва ўсім сьвеце. Да прыкладу, Сынгапур стварае ўмовы для стартапаў — дае ім рэсурсы, памяшканьні, а кансультанты дапамагаюць людзям, якія хочуць пачаць бізнэс. Калі ў краіне няма «бізнэс-інкубатараў» і «анёлаў-інвэстараў», урад можа запачаткаваць такую традыцыю.

Праблемы пачынаюцца, калі ў людзей ёсьць пасьпяховая бізнэс-ідэя, яны атрымоўваюць грант, пачынаюць вырабляць прадукт, а потым ня робяць наступнага кроку. Пытаньне ў тым, што вы робіце, калі сыходзіце з гэтага інкубатару, а ў вас няма іншых інвэстараў, якія б узялі вашую ідэю на 10 тысяч ці на 100 тысяч даляраў і ператварылі яе ў ідэю на 10 мільёнаў ці на 100 мільёнаў. Шмат у якіх краінах няма гэтага пераходу, бо няма культуры інвэстыцый і культуры рызыкі.

У тым жа Сынгапуры шмат людзей зрабілі сабе багацьце на інвэстыцыях у нерухомасьць. Але культура вакол нерухомасьці не такая, як у бізнэсе высокіх тэхналёгій, і ўрад спрабуе стварыць новую культуру.

Калі ў ЗША вы працавалі на Microsoft, зарабілі грошы на акцыях Microsoft і сышлі з кампаніі, вы можаце ўкласьці грошы ў іншую высокатэхналягічную кампанію, бо разумееце, як працуе «хай-тэк». І Microsoft зрабіўся насеньнем, зь якога вырасьлі шмат якія іншыя кампаніі — да прыкладу, Amazon. Але калі такіх інвэстараў няма, дык урад можа дапамагчы толькі да нейкай мяжы.

Калі ж у Парку высокіх тэхналёгіяў рэгіструюцца не стартапы, а ўжо існыя кампаніі, бо яны на некалькі гадоў атрымоўваюць падатковыя прывілеі і працуюць паводле іншых правілаў, дык я ня бачу ў гэтым вялікага сэнсу.

Чыста геаграфічна можа быць карысьць, калі людзі з блізкім мысьленьнем працуюць у адным месцы над агульнымі праблемамі. Але мне ня вельмі падабаецца ідэя, калі ўнутры нейкай зоны выпуск крыптавалютаў дазволены, а звонку забаронены. Можна сказаць, што ICO ў прынцыпе альбо добрая ідэя, альбо кепская. І незразумела, чаму ў нейкай зоне можна запускаць крыптавалюту, а за 10 мэтраў побач ужо нельга. Гэта ўжо нейкія прывілеі.

Пра няўдачнікаў і культуру рызыкі

Цікава назіраць, што робяць урады, калі яны прызнаюць важнасьць тэхналёгій і інавацый. Як па мне, добры паказьнік будучага посьпеху краіны — ці заахвочвае вашая культура інавацыі і ці дазваляе няўдачы.

Шмат у якіх азіяцкіх культурах, калі вы пацярпелі няўдачу, гэта значыць, што вы няўдачнік. Ня тое, што вашая бізнэс-ідэя была няўдалай, але вы асабіста. Калі вы праваліліся ў Крэмніевай даліне, дык першае пытаньне: «Чаму вы навучыліся, каб наступны раз не паўтараць гэтых памылак?»

Таксама адрозьніваецца і канцэпцыя банкруцтва. У ЗША вы губляеце бізнэс, губляеце ўсе грошы, падаяце на банкруцтва, але праз 5-7 гадоў вы можаце вярнуцца ў бізнэс. Шмат у якіх азіяцкіх краінах вы вінныя гэтыя грошы да самай сьмерці і больш ніколі не падымецеся. З чаго тады вы будзеце рызыкаваць і засноўваць стартап?

Калі вы пазытыўна ўспрымаеце інавацыі і спакойна ставіцеся да рызыкі пацярпець няўдачу, дык тады ёсьць патрэбныя складнікі для посьпеху.

Пра пагрозы з боку хакераў-крымінальнікаў і рэпрэсіўных урадаў

Ніякія грашовыя страты нельга параўнаць са стратай свабоды. Калі вы губляеце свабоду, дык вы ня можаце займацца інавацыямі, ня можаце пачаць свой бізнэс, вы баіцеся ўраду і абмяжоўваеце сябе. Я думаю, што гэта больш небясьпечна, чым хакеры-крымінальнікі.

Урэшце, прыватныя кампаніі маюць ўласны інтарэс у тым, каб абмежаваць злачыннасьць і пазьбегнуць стратаў. Але кампаніі ня маюць стымулу ствараць больш свабодную сыстэму. Калі Facebook ці Twitter баяцца судовых пазоваў за выказваньні людзей на іх плятформах, яны самі могуць абмяжоўваць свабоду слова.

Пра новыя небясьпекі ад хакерства

Я думаю, што цягам наступных дзесяці гадоў мы атрымаем «інтэрнэт рэчаў». Паўсюль будуць прылады, падключаныя да інтэрнэту. Іх будзе так шмат, што мы нават ведаць ня будзем, дзе яны знаходзяцца. Гэта стане часткай звычайных рэчаў — кандыцыянэраў ці распырсквальнікаў вады.

Адначасова будзе расьці попыт на майнінг крыптавалютаў. Крымінальнікі ўжо цяпер спрабуюць улезьці паўсюль, каб атрымаць новыя рэсурсы для майнінгу. І вось, яны ўзламаюць ваш тостэр, падключаны да інтэрнэту, і паставяць на яго код, які дапаможа ім здабываць крыптавалюту.

Цэнтральны працэсар тостэра будзе працаваць на 100 працэнтаў увесь час, хоць ён на гэта не разьлічаны. У выніку тостэр можа загарэцца, ад пажару згарыць дом, нехта загіне.

Тут ужо абавязкова будзе судовы пазоў — напрыклад, супраць вытворцаў тостэра, бо апэрацыйная сыстэма тостэра была небясьпечнай. І па-мойму, ад гэтага пачнецца судовая адказнасьць за выраб праграмнага забесьпячэньня. Гэта можа цалкам памяняць сытуацыю, бо прымусіць да перагляду небясьпечных сыстэмаў. Кампаніям давядзецца рабіць непрыемныя крокі.

Пра сацыяльныя сеткі

Калі можаце, карыстайцеся Tor. Я ня так часта заходжу на Фэйсбук, але калі заходжу, дык толькі праз Tor. Фэйсбук, бадай адзіная сацыяльная сетка, у якой ёсьць «цыбульны» адрас, унутры сыстэмы. Яны бачаць, што я там раблю, але ня бачаць адкуль я прыйшоў. Плюс менш рызыкі, што нехта звонку прыкінецца Фэйсбукам і накіруе трафік у іншае месца, каб сабраць інфармацыю. Некаторыя іншыя сайты таксама маюць «цыбульныя» адрасы. Да прыкладу, The New York Times, таму я магу да іх зайсьці, не пакідаючы Tor.

Аднак у Фэйсбуку цяпер столькі шуму, што мне больш падабаецца камунікаваць праз Твітэр ці прыватна праз мэсэнджэры.

Пра мянушку Dark Tangent

У раньнія гады хакерства людзі мянялі «нік», інтэрнэт-імя, калі рабілі сур’ёзныя памылкі. Дапусьцім, вы нажылі сабе ворагаў пад старым нікам — вы проста мянялі імя і пачыналі па новай. Гублялі старых інтэрнт-сяброў, але маглі навучыцца са сваіх памылак і пачаць жыць па новай. Вашыя памылкі не цягнуліся за вамі да канца жыцьця.

Цяперашнім нікам я карыстаюся яшчэ з канца 80-х. Ён у мяне трэці. Чым даўжэй ты карыстаесься нікам, тым больш ты ў яго інвэстуеш і цэніш яго. І тым менш імавернасьць, што ты наробіш памылак. Пра свае першыя два нікі і пра старыя памылкі я ўжо ніколі не кажу. Магу толькі сказаць, што я занадта засьвяціўся і зьвязаўся зь людзьмі, зь якімі не хацелася мець агульнага.

Я нарабіў памылак і мне давялося шукаць новае імя. А мне тады вельмі падабалася адна кніжка коміксаў, якую стварылі мае ўлюбёныя на той час мастак і пісьменьнік. Яны разам выпусьцілі толькі адну кніжку накладам 10 тысяч асобнікаў, а потым пасварыліся і перасталі супрацоўнічаць. Кніжка называлася «D’arc Tangent». Гэта гульня словаў — паміж матэматычнай функцыяй арктангенс і літаратурным героем, Д’Артаньянам. Там была гісторыя пра робата, які атрымаў чалавечую сьвядомасьць, зрабіўся з робата андроідам. Адзінае, што я не зусім правільна напісаў назву і атрымаўся Dark Tangent, цёмны тангенс.

Я некалі рабіў агляды інтэрнэт-гульняў для часопісу New Media, і мне напісаў той самы аўтар, Конар Фрэф Кокран. Ён спытаўся, ці я скарыстаўся назвай коміксу, каб прыдумаць сабе нік. Яго гэта парадавала. Прайшло пяць гадоў, і я выпадкова сустрэўся з мастаком, які намаляваў гэты комікс, — Філам Фольё. Філ жыве ў Сіетле, і ў яго захавалася яшчэ некалькі асобнікаў кніжкі. Я купіў у яго два асобнікі з аўтографамі.

У мяне самога на той час кніжкі ўжо даўно не было. І вось праз 20 гадоў атрымалася перачытаць твор, які мяне ў свой час вельмі натхніў. Гэта было шыкоўна.

***

Джэф Мос, таксама вядомы як Dark Tangent — амэрыканскі хакер і экспэрт у кампутарнай бясьпецы. У 1993 годзе ён заснаваў DEF CON, адну з найбуйнейшых у сьвеце хакерскіх канфэрэнцый. Займаў пасаду кіраўніка службы бясьпекі ў міжнароднай некамэрцыйнай арганізацыі «Карпарацыя па кіраваньні дамэннымі імёнамі і IP-адрасамі». У 2009 годзе ён быў прыведзены да прысягі ў Дарадчай радзе па ўнутранай бясьпецы ЗША.