Глен Мэнхем, Facebook и конец белого хакерства

С месяц назад, в конце апреля из тюрьмы вышел 26-летний британец Глен Стивен Мэнхем. Вышел досрочно, после успешного обжалования своего приговора как неадекватно жестокого по сравнению с тяжестью совершённого им преступления. Ирония момента в том, что если закон (не только в Великобритании, но и во всех развитых странах) рассматривает совершённое Гленном однозначно как переход через черту, то многими рядовыми пользователями тот же проступок всерьёз считается благородным, и больше того — как занятие, которому не стыдно посвятить жизнь. Так кто же такой Глен Мэнхем? Белый хакер. Ну или один из последних представителей этого вымирающего племени, если быть точным.

В апреле прошлого года наш герой (действуя из своей спальни) сумел проникнуть в святая святых компании Facebook. Несколько недель он хозяйничал в цифровых корпоративных недрах, добравшись до почтовой службы, инструментария разработчиков (доступного, понятно, только сотрудникам) и исходных текстов программ, из которых собственно и построена крупнейшая социальная сеть. Впрочем программы как таковые Мэнхема не интересовали. Он изучал изнанку Facebook с целью выявления слабых мест в её защите. И надеялся — по крайней мере если верить ему на слово — оформить результаты должным образом и предоставить их службе безопасности социальной сети. Ведь он в конце концов белый хакер!

Но кто такие, чёрт возьми, эти белые хакеры? Существует традиция, согласно которой специалистов по компьютерной безопасности делят на две группы. Чёрные хакеры или кракеры (англ. cracker — взломщик) преследуют личную выгоду. Белые или этичные хакеры (англ. white-hat hacker — буквально: хакер в белой шляпе) работают из любви к искусству и если уж взламывают чей-то сервер, то только для того, чтобы помочь его владельцу закрыть выявленную брешь в защите. Сами понимаете, лучше прямо сейчас закрыть «дыру» по подсказке «белого» доброжелателя, чем латать её после того, как какой-нибудь злоумышленник вломится и похитит, либо удалит ваши файлы.

Глен Мэнхем страдает лёгкой формой аутизма. Однако, это не спасло его от тюрьмы.

Глен занимался белым хаком на регулярной основе. Для него это было отчасти увлечением, отчасти — способом заработать себе репутацию (в свободное от учёбы время он трудится консультантом по ИТ-безопасности). Впрочем если правильно выбрать цель, заработать можно не только авторитет. До Фейсбука самым крупным его успехом был взлом серверов Yahoo!, которая заплатила за предоставленную Гленом информацию свыше 10 тысяч долларов. Так что и в случае с Facebook он знал, что нарушает закон, но надеялся получить поощрение. А получил оплеуху, да какую!

Когда администраторы Facebook впервые заподозрили неладное, первая их мысль была о промышленном шпионаже. Кому ещё понадобится вламываться в недра Facebook и ковыряться там неделями, если не конкурентам? Не надеясь справиться с поимкой взломщиков самостоятельно, служба безопасности привлекла к расследованию ФБР и английскую полицию. Позже, уже на суде, обвинение утверждало: Мэнхем получил доступ к таким рычагам, что мог легко «положить» всю социальную сеть — умышленно или по неосторожности. И как точно подметил руководитель security-отдела Facebook Джо Салливан, у Глена нет никаких доказательств, что его намерения были добрыми — кроме его собственных слов, произнесённых уже после поимки.

Глен был признан виновным по нескольким статьям (включая несанкционированный доступ, кражу личности и др.) и получил восемь месяцев тюрьмы и пять лет контролируемого полицией доступа в Интернет, словно какой-нибудь педофил. Не помогли ни уверения, что злого умысла не было, ни лёгкая форма аутизма, которой страдает наш герой (подробности ниже). Да, в этом есть какая-то ирония: Facebook — прославившаяся своей хакерской культурой и основателем, который ставит личной целью на год ежедневно писать хотя бы несколько строк кода — отправляет за решётку человека, за которым закрепилась репутация белого хакера. Но иначе и быть не могло, ведь компания потратила на расследование 200 тысяч долларов.

Джо Салливан, CSO Facebook, называет Глена Мэнхема обычным взломщиком. Но на корпоративной «доске почёта» магшот Глена явно выделяется среди других пойманных кракеров (фото: Timothy Archibald).

Парадокс налицо. С одной стороны, как объясняет сам Глен в своём блоге, он спас Facebook «от аннигиляции». Обнаруженные им уязвимости настолько опасны, что действительно могли быть использованы для временного вывода из строя всей социальной сети. И то, что крупнейшая соцсеть до сих пор работает, уже является достаточным подтверждением добрых намерений Глена. С другой стороны, разбор завалов и расследование действий Мэнхема влетело команде Марка Цукерберга в копеечку. Так имеет ли белое хакерство право на жизнь?

Расцвет этого движения пришёлся на начало «нулевых». Коммуникации уже были достаточно быстрыми, а Сеть достаточно населённой, чтобы разжечь интерес энтузиастов. Изучали белые хакеры главным образом крупнейшие интернет-порталы, сдавая найденные уязвимости владельцам. Классический образчик такого героя — Адриан Ламо, бездомный американец, «терроризировавший» дот-комы со своего ноутбука (см. «По секрету всему свету»). Однако повсеместное ужесточение законов и рост размеров интернет-бизнеса к исходу десятилетия обозначили конец вольницы. Мэнхема, правда, и вовсе судили по закону от 1990 года, но в общем и целом лишь несколько лет назад разрозненное законодательство заработало по-настоящему эффективно. Ну а невозможность сделать исключение для взломщиков, преследующих благие цели, вряд ли может считаться проблемой законотворцев.

Текущее положение дел лучше всего характеризует отношение к белому хакерству всё той же Facebook. Компания поощряет энтузиастов, отыскивающих слабые места в её ИТ-системах, но требует обязательного немедленного раскрытия информации: сведения должны быть переданы службе безопасности компании сразу же после получения и в любом случае до того, как будут обнародованы. Получается, что Глен Мэнхем отступил от правил самую малость. Он всего лишь решил не торопиться и собрать побольше информации, чтобы потом эффектно выложить все свои находки разом. Результат вы знаете. Вот такое оно теперь, белое хакерство: оступись на миллиметр — и вместо медали получишь тюремный срок.

Если честно, в истории Мэнхема есть ещё одно обстоятельство, которое должно быть учтено. Впрочем оно лишь подтверждает уже поставленный диагноз: белое хакерство удушено законами и заматеревшим онлайновым бизнесом. Глен Мэнхем страдает синдромом Аспергера, лёгкой формой аутизма, с чьей-то подачи (возможно, Джулиана Ассанжа) называемого хакерским синдромом.

Аспергеры почти не отличаются от здоровых людей, больше того, их интеллект как правило сравнительно высок, а концентрация, способность сосредоточиться на интересной теме — беспрецедентно велика. Но из-за трудностей живого общения у них отсутствует социальная жизнь, а одержимость деталями, увлечённость, неуёмное любопытство способны толкнуть на сомнительные с точки зрения нравственности и закона поступки. Гари Маккиннон (вломившийся в NASA ради поиска свидетельств встречи с НЛО), Райан Клири (знаменитый LulzSec), Ганс Рейзер (отбывающий срок за убийство жены), Джулиан Ассанж — эти и многие другие талантливые компьютерщики страдают синдромом Аспергера. Но спуску не дают даже им, хотя кто-то и пытался мотивировать свои поступки болезнью.

Мэнхему повезло больше других. Его не выдали Соединённым Штатам, а успешная апелляция скостила срок наполовину (благо, доказательств, что он пытался продать награбленное у Facebook или использовать против компании, не нашлось). Однако продолжит ли он свои «благотворительные» набеги на цифровые бастионы корпораций? Сомнительно. Слишком уж рискованно сегодня быть белым хакером…

Глен_Мэнхем,хакер,белый_хак,whitehat,Facebook,взлом,преступление_и_наказание,аспергер,аутизм,безопасность