К старту курса об этичном хакерстве мы перевели размещённую на сайте Black Hat биографию основателя этой серии мероприятий по кибербезопасности. Джефф Мосс родился в Калифорнии, США, в январе 1975 года, он — эксперт по компьютерной и интернет-безопасности, хакер. Первый опыт работы с компьютером он получил в возрасте 10 лет и был восхищён возможностью общаться и вести взрослые разговоры с людьми по всему миру. У него ещё не было водительских прав, Джефф не мог голосовать, но мог общаться с людьми намного старше его, которых нисколько не волновали ни его возраст, ни внешность.
Начало хакерского пути
Его первый хакерский опыт был вызван исключительно желанием задействовать все возможности оборудования, за которое он заплатил; те же мотивы побудили хакера Джорджа Хотца (geohot) взломать Sony PlayStation, а затем сделать джейлбрейк iPhone. В начале 1990-х Джефф пытался понять, как фирмы защищают от копирования компьютерные игры. Ему это удалось, и он стал играть в скопированные игры со своими друзьями.
В те времена учебников по программированию почти не было, и он приступил к самостоятельному изучению ассемблера. Он узнал (пришлось узнать!), как с небольшими затратами разогнать процессор, чтобы тот работал намного быстрее, чем при стандартной конфигурации.
Свою хакерскую деятельность он начал с того, что научился снимать защиту авторских прав с игр. Это было настоящей находкой для большинства геймеров, искавших способы обхода защиты от копирования, так как при замене жёстких дисков на компьютере или попытке запустить ту же игру на другом ПК игры часто отказывались работать. Он приобрёл относительную известность и познакомился с людьми, занимавшимися телефонными системами.
Когда у него появился первый модем и он понял, какие бесконечные возможности общения предоставляют доски объявлений (bulletin boards) — никому не надо раскрывать свою личность, возраст или пол, — его восхищению не было предела. Желание общаться с людьми в сети Интернет заставило его прибегнуть к телефонному жульничеству. Джефф взломал телефонную систему и мог практически бесплатно общаться с людьми на больших расстояниях.
Знание телефонных систем и методов программировании пригодились, когда его пути пересеклись с одним программистом, научившим его азам хакерства. Сети в доме Джеффа не было (в то время все соединения осуществлялись по принципу "точка — точка", или коммутируемой передачи данных), поэтому о сетевых технологиях у Джеффа было весьма смутное представление. Затратив тысячи часов на самообразование, методом проб и ошибок он со временем проник в глубины сетевых технологий и обучился хакерскому искусству.
По словам самого Джеффа, в жизни ему везло много раз, но этот случай был особенным: "Мне повезло, что я научился работать с модемом, и повезло, что судьба свела меня с тем парнем, рассказавшим мне о хакерстве. Никаких глобальных планов я в то время не строил, это было просто счастливое стечение обстоятельств".
В 1990 году Джефф окончил Университет Гонзага со степенью бакалавра в области уголовного права. (Признайтесь, вы не ожидали, что парень, стоявший у истоков конференций DEF CON и Black Hat, имеет степень бакалавра в области уголовного права!) После университета его взяли на работу в одну из крупнейших мировых компаний по предоставлению профессиональных услуг, Ernst & Young, на должность директора подразделения Secure Computing Corporation.
DEF CON: от прощальной вечеринки до одной из крупнейших в мире хакерских конференций
В 1990-е годы весь мир пользовался досками объявлений. Такие доски часто использовались хакерами для обмена информацией. Джефф держал собственную доску объявлений и мог позволить себе оплачивать телефонную связь из своей зарплаты, но его приятели, как правило, находили способы не платить за телефонную связь. В тот же период он стал своего рода главным администратором множества международных сетей, таких как HackNet, PhreakNet, PlatinumNet и HitNet.
В 1993 году его друг, оператор канадской хакерской сети PlatinumNet, работавшей по протоколу FidoNet, задумал провести прощальную вечеринку для всех членов сети PlatinumNet, так как он с семьёй собирался переезжать в другую страну (отцу предложили лучшую работу).
Большинство пользователей этих сетей были американцами, поэтому он попросил Джеффа помочь с организацией вечеринки и провести её в США. Джефф начал готовить вечеринку и уже нашёл место в Лас-Вегасе для её проведения, но получилось так, что отец друга уехал раньше задуманного и забрал сына с собой, и Джефф остался один.
Мосс решил не отменять вечеринку, всё организовал сам, пригласил членов администрируемых им сетей, разослал приглашения в хакерские чаты IRC, разместил объявления на некоторых других досках, разослал всем факсы и даже отправил факсы в секретные службы США, сообщив, что "они идут". Встреча хакеров состоялась в Лас-Вегасе.
Название DEF CON имеет интересную историю. Defcon звали главного героя в фильме WarGames, который решил взорвать Лас-Вегас. Кроме того, термин DEF был в ходу у телефонных мошенников, в том числе у самого Джеффа, так как DEF — это символы на кнопке "3" телефонной клавиатуры. И вот тот день настал, на конференции DEF CON должны были выступить 12 докладчиков. Приехали более 100 человек, и первая в истории конференция началась с выступления Дэна Фармера, эксперта по безопасности UNIX, который рассказал о разработанных им новых инструментах, в том числе SATAN — одном из первых сканеров сетевой безопасности с веб-интерфейсом.
Первоначально конференция задумывалась как единовременное событие, праздник для друга, однако подавляющее число отзывов были положительными, и это событие повторили через год.
Мосс продолжал проводить это мероприятие, и в следующие 2–3 года конференция DEF CON стала привлекать всё больше внимания, на неё съезжались сотни людей. В следующие пару лет с началом роста количества рабочих мест в секторе информационной безопасности посещаемость конференции выросла в более чем в два раза. Пригласительные билеты на конференцию стали платными, и дела DEF CON пошли в гору.
Пик посещаемости пришёлся за год до возникновения феномена "пузырь доткомов" в 2000-х годах — около семи тысяч человек, но, как сказал Мосс в интервью 2007 года, “возможно, половине участников там вообще нечего было делать, но они всё равно приехали”. После того как пузырь доткомов лопнул, количество участников конференции сократилось: в 2007 году её посетили около пяти тысяч человек, интересующихся проблемами хакерства.
DEF CON, следуя поговорке "под лежачий камень вода не течёт", продолжала развиваться. В её программу были включены соревнования CTF (захват флага), в которых команды участников соревнуются друг с другом, пытаясь быстрее других найти секретные "флаги" в намеренно уязвимых программах или веб-сайтах и получить за это награды. Black Badge — высшая награда, вручаемая участникам DEF CON, победители получают ценные подарки и пожизненный бесплатный пригласительный билет на DEF CON.
Добавление семинаров (специальных собраний, на которых с упором на практику затрагивались различные темы, связанные с информационной безопасностью), таких как цифровая криминалистика, взлом IoT-устройств, и Деревни (Villages) (особые места в рамках конференции, имеющие статус мини-конференций), способствовало росту популярности мероприятия. DEF CON на протяжении многих лет занималась сбором денежных средств на различные программы.
За годы проведения мероприятия хакеры смогли показать миру, с какой лёгкостью можно взломать обычный компьютер, а также продемонстрировали множество инновационных инструментов/программ, совершивших революцию в сфере информационной безопасности. В 2018 году Джефф провёл первую в истории конференцию DEF CON за пределами США — в Пекине, и этот формат был продолжен в 2019 году как DEF CON China 1.0.
В 2019 году конференцию DEF CON 27 посетило 30 тысяч человек, причём некоторые откровения докладчиков были ошеломляющими. Хакерам удалось взломать комплексы обработки избирательных бюллетеней в США, за считанные минуты после сканирования обнаружив в них критические уязвимости. Один из хакеров смог продемонстрировать вредоносные возможности кабеля Apple USB Lighting и многие другие критические уязвимости, обнаруженные в VPN и принтерах.
Как начиналась конференция Black Hat
До DEF CON 5, которая была проведена в июле 1997 года также в Лас-Вегасе, Джефф организовал первую в истории конференцию Black Hat, ориентированную на индустрию компьютерной безопасности. Темами других конференций были информационная и сетевая безопасность, на конференции же Black Hat разработчики программного обеспечения встретились лицом к лицу с экспертами в области компьютерной безопасности и хакерами. Вначале конференция Black Hat проводилась как ежегодное мероприятие в Лас-Вегасе, но сегодня она проводится сразу в нескольких местах во всём мире.
В 2005 году Джефф продал права на проведение конференций Black Hat британской компании CMP Media, принадлежащей United Business Media, за 13,9 миллиона долларов США.
Конференция состоит из трех секций: Black Hat Briefings, Black Hat Trainings и Black Hat Arsenal. На секции Briefings обсуждаются различные темы, в том числе вскрытие технологий, компьютерный взлом, конфиденциальность и т. д., а также выступают ведущие специалисты в области информационной безопасности из различных ведомств США — Министерства обороны, Министерства внутренней безопасности и АНБ.
На секции Trainings выступают поставщики решений в сфере безопасности и специалисты в области безопасности: семинары продолжительностью около недели организуют такие поставщики ПО, как Cisco, Offensive Security и многие другие. Секция Arsenal был создана в 2010 году. Её цель — "живая" демонстрация новейших инструментов информационной безопасности с открытым исходным кодом, созданных исследователями и сообществами, в ходе которой участники могут задавать вопросы и пробовать инструменты в действии.
Конференция Black Hat обычно проводится до DEF CON, и многие участники посещают оба мероприятия. В индустрии безопасности Black Hat считается более официальной конференцией по безопасности, а DEF CON носит скорее неформальный характер.
Другие события в карьере Джеффа
На протяжении всей своей карьеры Джефф использовал свои навыки и понимание принципов и методов хакерского сообщества и передавал эти знания организациям, чтобы те могли защитить свои глобальные сети. С 2005 по 2014 год он также выступал на множестве мероприятий, проводимых во всём мире, в качестве основного докладчика, был участником десятков форумов. Некоторые такие мероприятия организовывались CodeGate, Министерством внутренней безопасности США, АНБ, НАТО и многими другими международными организациями и учреждениями.
В 2009 году Джефф вошёл в группу из 16 человек, выбранных в состав Консультативного совета по национальной безопасности. Члены Консультативного совета могли давать рекомендации и советы непосредственно министру внутренней безопасности.
Через два года, в 2011 году, Джефф был назначен вице-президентом и директором по безопасности Корпорации по управлению доменными именами и IP-адресами (ICANN), многонациональной некоммерческой организации, работающей над созданием безопасной, стабильной и единой глобальной сети Интернет. Многие официальные лица, в том числе президент ICAAN, отмечают профессионализм и мастерство Джеффа и ценят его за прекрасное понимание угроз безопасности и способов защиты от них.
В конце 2013 года он ушёл со своего поста в ICAAN. Следующий его важный карьерный шаг состоялся в 2017 году, когда он был назначен Комиссаром Глобальной комиссии по стабильности киберпространства (GCSC), состоящей из 24 авторитетных независимых комиссаров со всего мира. Цель работы Комиссии — способствовать повышению уровня осведомлённости и взаимопонимания между различными сообществами киберпространства и изучать вопросы, связанные с глобальной кибербезопасностью.
В 2017 году на конференции DEF CON 25 он представил участникам Деревню машин для голосования DEF CON (Voting Machine Village). На этом семинаре хакеры могли протестировать безопасность электронных машин для голосования, в том числе нескольких моделей, по-прежнему активно используемых в США. Участникам DEF CON удалось взломать все машины (в общей сложности 25 моделей), некоторые — всего через несколько часов после открытия Деревни. Это событие получило освещение в СМИ и вызвало общенациональную дискуссию о безопасности голосования.
В 2018 году проект Voting Machine Village был отмечен премией Cybersecurity Excellence как проект года в области кибербезопасности.
Чем Джефф занимается сейчас
Сейчас Джефф живёт в Сиэтле, штат Вашингтон, и занимает должность консультанта по безопасности в одной из компаний. Он тестирует системы безопасности и консультирует другие компании, одновременно проводя конференции DEF CON в качестве президента DEF CON Communications, Inc. Он также был техническим консультантом телесериала "Мистер Робот" и до сих пор вкладывает средства в многие стартапы в сфере информационной безопасности.
Заключительные мысли
В мире информационной безопасности такие трудолюбивые и хорошо образованные люди, как Джефф Мосс, — большая редкость. Он оказал большое влияние на хакерское сообщество, что привело к большей открытости этого сообщества и возможности его диалога с поставщиками и производителями программного обеспечения. Благодаря конференциям DEF CON и Black Hat развиваются контакты между хакерами и поставщиками ПО. На этих мероприятиях организации получают знания о том, как обезопасить свои инфраструктуры, совместно с независимыми специалистами в области обеспечения безопасности работают над выявлением и устранением угроз безопасности.
Начиная с 2009 года, когда он отправил открытое письмо в Google с предложением перейти на формат HTTPS по умолчанию, и до настоящего времени Джефф является неотъемлемой частью сообщества информационной безопасности.
Программное обеспечение и оборудование будут развиваться, а значит, усложняться, что приведёт к возникновению новых проблем уязвимости, поэтому компании и государственные органы должны держать руку на пульсе и быть ко всему готовыми.
Такие люди, как Джефф Мосс, побуждают индустрию информационной безопасности не стоять на месте, показывая, как работают хакеры — решительно, творчески, нестандартно и очень часто не думая о деньгах. Понимая их методы, индустрия ИБ может постоянно развиваться и быть готовой к любым атакам, потому что лучшая защита — это всегда нападение.
Как сказано выше, зародившаяся в США DEF CON проводится уже в Китае, иными словами проблемы информационной безопасности сегодня актуальны для всех людей без исключения, каким бы ни был подход к ИБ в отдельно взятой стране. Это означает, что в ближайшие годы востребованность этичного хакерства будет только расти, причём с ощутимой вероятностью не просто большими, но взрывными темпами. Если вам интересна сфера этичного взлома, то вы можете обратить внимание на наш курс "Этичный хакеp", где студенты на практике получают полное представление о законном взломе, чтобы начать карьеру хакера в белой шляпе.
Узнайте, как прокачаться и в других специальностях или освоить их с нуля:
Другие профессии и курсы
ПРОФЕССИИ
КУРСЫ