Хакерская кухня
У любого дела всегда есть своя внутренняя кухня. В том числе и у исследовательской компании, которая специализируется на анализе защищенности различных систем — от банк-клиентов до АСУ ТП, от телекоммуникационного оборудования до систем виртуализации.
"Счастья для всех, даром, и пусть никто не уйдет обиженный"
Пикник на обочине. Братья Стругацкие
У любого дела всегда есть своя внутренняя кухня. В том числе и у исследовательской компании, которая специализируется на анализе защищенности различных систем — от банк-клиентов до АСУ ТП, от телекоммуникационного оборудования до систем виртуализации. Я, как шеф-повар со стажем, сейчас не ставлю целью подробно рассказать обо всех секретах кухни, но попробую обрисовать, как устроен «хакерский» бизнес подобной компании.
Сразу уточню: в термин «хакер» я всегда вкладываю его изначальный смысл — это энтузиаст-исследователь, а не взломщик-криминал. Не секрет, что информационная безопасность глубоко вошла в нашу действительность; мы все привыкли слышать «исследователи нашли уязвимость там-то» или «хакеры проникли туда-то» — сегодня таковы реалии и то ли еще будет завтра. А как все работает изнутри, с точки зрения тех самых исследователей, которые постоянно занимаются изучением сложных технологий и поиском в них уязвимостей? Я сразу вспоминаю Сталкера из романа братьев Стругацких и его наивное желание счастья для всех, вынесенное в эпиграф этой статьи. Исследователи в большинстве своем тоже идеалисты и альтруисты – они привыкли отдавать вендорам уязвимости даром за обычное спасибо, и они искренне не понимают, почему вендоры пишут такой дырявый софт — ведь, как им кажется, мир должен быть идеален и они должны нести людям свет, то есть безопасность. Но мир не идеален, и никогда им не будет. В этом плане мир ИТ ничем не отличается от любого другого. Небезопасные технологии и уязвимости будут всегда, и главная задача исследователей, — с одной стороны, повышать общий уровень защищенности и надежности современных технологий, а с другой — искать недостатки, «доставая» вендоров-багоделов. Это тот «суп» из уязвимостей, который «варится» изо дня в день.
В чем же главная особенность хакерской кухни? В каких трех главных блюдах находится ключ к успеху построения такой компании?
0-day cуп из исследований
Почему же лучшие повара не вылезают с ведущих международных конгрессов «поваров страха», регулярно рассказывая о своих новых рецептах другим лучшим поварам всего мира? Потому что в основе любого серьезного бизнеса такого типа обязательно должны быть фундаментальные практические исследования по анализу защищенности современных технологий. Не теория, а сугубо практика. Ведь хороший повар совсем не теоретик — он жесткий практик. Здесь не спрячешься за высокие псевдонаучные тезисы. Невкусно — получи кастрюлей по голове, а суп за шиворот. Другие коллеги повара не станут миндальничать, да и посетители хорошего ресторана уже привыкли к высокой кухне. Все высококлассные повара прекрасно знакомы между собой — это относительно замкнутая среда из нескольких сотен хакеров мирового уровня, которые регулярно изучают кухню и новые блюда друг друга, постоянно встречаясь на различных кулинарно-технических конференциях, проходящих в разных уголках земного шара. Почему открытые исследования столь важны для подобного ресторана? Почему это становится тем самым водоразделом, который отличает кухню мирового уровня трехзвездного мишленовского ресторана от закусочной на местной трассе? Почему даже на Западе не так много компаний, обладающих известным исследовательским центром, но все серьезные его имеют обязательно? И здесь я хочу привести следующую аналогию. Последние годы в Англии быстро набирает популярность кафе «Бургер & Лобстер», основанное, кстати россиянином. Идея в том, чтобы по разумной цене предложить широким массам изначально очень дорогие эксклюзивные блюда из лобстеров. Всего за 20 фунтов ты можешь попробовать такое блюдо. Для этого не надо идти в шикарный ресторан, ждать два часа и платить больше 80-ти фунтов. Приходи в обеденный перерыв в кафешку и относительно недорого и быстро попробуй одно из трех типовых блюд. И бизнес процветает. Здесь можно провести практически прямую аналогию с хакерской кухней. Исследования — это долго, сложно и дорого. Это, в том числе и то, на чем повара учатся, каждый день повышая свою квалификацию. Иногда исследования длятся годами. Изначально никто не знает, а получится ли по-настоящему вкусное блюдо, не говоря уже о точных сроках выполнения заказа — это сложный эксклюзивный черный ящик. Тот самый лобстер, за который не готовы платить 99,9% бизнес-заказчиков. Им важен быстрый результат — пришел, заплатил 20 фунтов и получил в процессе аудита через «5 минут» одно из нескольких блюд из уязвимостей. Они не намерены платить 100 фунтов и ждать «два часа», однако хотят получать вкусные и качественные блюда, а главное, быстро. И это именно то, что исследовательские компании предоставляют коммерческому сектору. Ведь исследования позволяют предлагать клиентам вкусный суп из уязвимостей и нежнейшие 0-day-стейки. Не было бы их — ну кто бы смог менее чем за два месяца выпотрошить и вкусно приготовить любой банк-клиент так, что вендор становится красным как рак, а заказчик каждый раз удивленно цокает языком, приговаривая: «Не может этого быть... я своим глазам не верю». Да, конечно, во всей этой красивой и «простой», на первый взгляд, схеме есть масса тонкостей и проблем, и далеко не так просто приготовить по настоящему вкусное блюдо. Здесь масса разных проблем, начиная от организации самой кухни и мотивации поваров на бесплатную волонтерскую деятельность и заканчивая непростыми взаимоотношениями исследователей с вендорами.
Эксплойт-стейк из пиара
Без пиара в хакеро-поварском деле никуда. Почему? Потому что любой хороший ресторан нуждается в рекламе — это аксиома. Потому что любым хорошим поваром движет не только стремление к всеобщему признанию, но и желание поесть, причем каждый день. Потому что ему просто обидно, когда о его сложнейших исследованиях мирового уровня узнают лишь несколько профессионалов в разных странах. Шеф-повар хочет, чтобы его блюда нравились не только узкому кругу коллег, но и многочисленным посетителям, которые, попробовав его изысканные кушанья, уходили бы довольными и рассказывали о его кухне своим друзьям. Вот почему ресторан должен быть модным и всемирно знаменитым. В противном случае про его кухню никто и никогда не узнает. И здесь шефа подстерегает немало опасностей. Крайне важно выдержать строгий стиль и никогда не прибегать к дешевому популизму в духе FUD – и это очень серьезная проблема, потому что все хотят скандала и страшных цифр. Именно компании, серьезно занимающиеся исследованиями, никогда не пользуются FUD – это безвозвратно испортит их исследовательскую репутацию, которая является главным блюдом высокой хакерской кухни. Также, не менее важно держать марку — не пытаться заигрывать с критиками и гостями и не опускаться до принципа «пипл схавает». Всем известным ведущим ресторанам мирового уровня, которые специализируются на хакерской кухне, чужд подобный третьесортный пиар. Рассказать бессмысленную страшилку для домохозяек, представить жуткие цифры ущерба, основанные на безумных псевдонаучных рецептах в стиле методики Швейка по запоминанию номера паровоза (от которой, кстати, его фельдфебель сошел с ума), — не стиль серьезного ресторана с репутацией. Репутация — вот основа этой кухни. Да, не стоит путать белый колпак хакерского шеф-повара с колпаком римского папы — святых тут нет. Но границы дозволенного настоящие мастера чувствуют очень тонко, не позволяя им опуститься ниже определенного предела. Потому что имя и стиль кухни — главное, что есть у хорошего ресторана. И люди. Мастера своего дела, лучшие из лучших поваров. Они не станут работать в заведении, которое потеряло репутацию, — им просто будет стыдно перед коллегами, ведь мир высокой кухни то очень узок и чужие здесь практически не ходят. Чересчур сложная кухня получается.
Уязвимый десерт из менеджмента
О поварах и их пиарщиках мы уже поговорили, теперь перейдем к менеджменту. Без правильного менеджмента хорошему и большому ресторану дорога заказана. И здесь есть важный нюанс. Руководить такой компанией весьма сложно. Обычно лидеры хакерских компаний — те же самые технари-исследователи. В этом нет ничего нового. Если вдуматься, подавляющее большинство современных технологических компаний, мировых лидеров, создано именно технарями. Apple, Google, Microsoft, Tesla, Skype, Facebook — список можно продолжать до бесконечности. И это далеко не случайность. Поскольку лишь технарь, досконально знающий весь бизнес от А до Я, способен построить настоящего технологического лидера. Статистика лучших технологических ресторанов в этом плане неумолима. Только технарь способен вести свою компанию в светлое будущее, освещая ее путь и видя его на годы вперед. Это не означает, будто в команде менеджмента ресторана не нужны другие топ-менеджеры — сейлы, маркетологи, пиарщики, финансисты, операционщики и т. д. Без них никуда, и без них бизнес невозможен, особенно с определенной стадии. На некотором уровне зрелости любого технологического ресторана обычно возникает потребность в менеджерах-профессионалах. Не может «каждая кухарка править государством», и то, что работало в ресторане из 20 поваров, не получится в ресторане из 100, тем более из 200 или в сети ресторанов. Поэтому в определенный момент развития бизнеса требуется появление новых профессиональных менеджеров, и далеко не всегда менеджерам, изначально выросшим внутри компании, гарантировано место и успех в дальнейшем. Скорее наоборот. В отличие от менеджмента, в этом плане гениальные повара практически незаменимы — весь ресторан держится именно на них. Ведь посетители ценят именно их кухню, им нравится атмосфера ресторана, им совершенно все равно, кто метрдотель или ресторатор, ну если только это не культовая или очень известная в отрасли фигура.
Вместо вывода, или Шато-WhiteHat урожая 1993 года
Что же отличает все рестораны друг от друга? Продукты у всех одинаковы, а блюда получаются очень разные. У кого-то вкусные и изысканные, а у кого-то так себе. У кого-то интерьер приятный, а куда-то зайти страшно. Кто-то модный и известный, а кто-то никакой. Все это определяется совокупностью описанных факторов, которые и отличают мишленовский ресторан высокой кухни от придорожной забегаловки. Это чрезвычайно сложный и очень специфичный бизнес — таких ресторанов в мире не много. Какова же цель хакерской кухни — для чего она? Вернемся к тому, с чего мы начали. Все гениальные технари, обычно, идеалисты, а у хакеров данное чувство гипертрофировано. Хакеры-исследователи, как и Сталкер у Стругацких, если несколько перефразировать его слова, хотят одного: «Безопасности для всех, даром, и пусть никто не уйдет обиженный». И это здорово, что в нашем мире циничных прагматиков еще остались такие люди.
Опубликовано 11.02.2015