Читаем Kingpin полностью

Движение за «полное раскрытие» породило список рассылки Bugtraq, где хакеры любых убеждений могли опубликовать подробный отчёт о найденных уязвимостях. А ещё лучше — предоставить эксплойт: код, демонстрирующий наличие уязвимости. В рамках сообщества более этично было сперва оповестить разработчика и дать ему время на исправление уязвимости, а уже затем публиковать на Bugtraq эксплойт или отчёт. Но сам Bugtraq цензурой не занимался, поэтому случалось, что в список попадал ранее неизвестный баг и за несколько минут о нём узнавали тысячи хакеров и специалистов по безопасности. Такой манёвр гарантировал привлечение внимания разработчика и оперативное исправление ошибки. Таким образом, Bugtraq позволял хакерам демонстрировать свои умения без нарушения закона. Взломщики же теперь противостояли активно развиваемому сообществу «белых» хакеров и их растущему арсеналу оборонительных инструментов.

Один из лучших таких инструментов разработал в конце 1998го бывший подрядчик отдела кибербезопасности АНБ – Марти Рош. Он решил, что будет интересно узнать о случайных атаках, которые могли бы проскочить через его домашний модем, пока Рош был на работе. В качестве проекта выходного дня он разработал пакетный сниффер под названием Snort и выложил его в сообщество open-source.

Поначалу Snort ничего особенного из себя не представлял – снифферы, которые перехватывали сетевые пакеты и складывали их в дамп-файл для дальнейшего анализа, широко использовались и ранее. Но уже через месяц Рош превратил свою программу в полномасштабную систему обнаружения вторжений (IDS), которая оповещала оператора, едва завидев в сети признаки атаки, уже известной системе. На рынке было представлено несколько таких проприетарных систем, но универсальность и распространение исходных кодов Snort сразу привлекли внимание «белых» хакеров, которые обожают играться с новыми утилитами. Многие энтузиасты тут же примкнули к проекту и стали наращивать функционал программы.

Макс был в восторге от Snort. Эта программа была похожа на БРО – проект лаборатории им. Лоуренса в Беркли, который помог отследить Макса во время его BIND-атаки. Макс понимал, что эта программа способна изменить правила игры в мире интернет-безопасности. Теперь «белые» хакеры могли в реальном времени наблюдать за каждым, кто пытается использовать уязвимость, обсуждённую на Bugtraq и других ресурсах

Snort был системой раннего предупреждения — такой же, как сеть радаров НОРАД для контроля воздушного пространства Америки, но только для компьютерных сетей. Недоставало лишь обстоятельной и актуальной базы сигнатур различных атак, чтобы программа знала что искать.

В течение следующих нескольких месяцев база наполнялась неорганизованно. Каждый пользователь добавлял что-то своё и по крупицам удалось собрать таблицу из примерно двухсот записей. За одну бессонную ночь Макс довёл количество записей до 490, увеличив её объём более чем в два раза. Некоторые записи были уникальными, другие позаимствованы из правил Dragon IDS — популярной, но закрытой системы. Такие правила пишутся на основе сетевой активности каждой атаки, которая позволяет однозначно её идентифицировать.

Например, строка alert udp any any -> $INTERNAL 31337 (msg:“BackOrifice1-scan”; content:“|ce63 d1d2 16e7 13cf 38a5 a586|”;) позволяет обнаружить «чёрного» хакера, который пытается использовать Back Orifice — культовую программу от КМК, которая поразила всех присутствовавших на слёте Def Con 6.0. Из этой строчки Снорт понимает, что входящее соединение через порт 31337 и попытка передать определённую последовательность из двенадцати байт — признак использования бэкдора.

Макс выложил сигнатуры единым файлом на своём сайте whitehats.com, упомянув в благодарностях множество специалистов по безопасности за их вклад, в том числе Ghost32 — своё собственное альтер-эго. Позднее он расширил этот файл в серьёзную базу данных и призвал других спецов добавлять их собственные правила. Он дал базе этих правил яркое название arachNIDS (паукообразСОВые) — от Продвинутый Архив Указаний, Обнаружений и Образцов для Систем Обнаружения Вторжений.

ArachNIDS мгновенно стал популярным и помог снифферу Роша выйти на новый уровень. Чем активнее «белые» хакеры наполняли базу, тем больше она становилась похожа на базу ФБР с отпечатками пальцев – распознать любую известную виртуальную атаку или её разновидность становилось всё проще.