Джо Гранд – от „дивото“ дете Кингпин през рехабилитацията от хакерския колектив L0pht до ръководенето на Grand Idea Studio.
Джо Гранд е олицетворение на хакера. Детско любопитство, последвано от пакости, които преминават в незаконно поведение, преди да се превърне в отговорен и добросъвестен хакер – всичко това оцветено с невроразнообразие и „свръхспособности“.
Гранд е на седем години, когато започва интересът му към технологиите. По-големият му брат имал Atari 400 и той го наблюдавал и се учил. Когато брат му се преориентира към музикална професия, той „наследява“ Atari. „Просто се влюбих в това да мога да играя видеоигри. Това беше първото нещо. След това започнах да пиша собствени игри, а след това се свързах със системи за табла за съобщения и разговарях с други хора, които бяха компютърни фанатици. Това ми се струваше нормално – всеки, който харесваше компютър, беше нормален; но за външния свят всеки, който харесваше компютър, беше нещо като изрод или ботаник.“На десетгодишна възраст той осъзнава, че не е сам. Имаше общности от други фанатици, разделени от разстоянието, но свързани чрез телефонната система и таблата за обяви. Проблемът беше в цената на телефона. Той се намирал в Бостън, щата Масачузетс, и се свързал с табло в Ню Йорк – и представил на родителите си сметка за стотици долари. Те не били доволни.
Брат му записва няколко кода за него. Той не знаеше и не питаше откъде идват: номер 800, последван от няколко шестцифрени кода. Тези кодове му позволяваха да се обажда безплатно навсякъде в САЩ. „Струваше ми се напълно нормално. Да, имах представа за цена и стойност, за правилно и неправилно, но все пак беше нормално.“ Може и да е било неправилно, но не е било лошо.
„Сега можех да задоволя любопитството си. Родителите ми не трябваше да плащат, а аз не трябваше да плащам, така че това беше изгодно за всички – с изключение на човека, който получи сметката, очевидно.“ Този път към хакерството е типичен за децата, израснали през 80-те години на миналия век. Това е било бунтарско време за младежите със скейтборд и пънк рок музика и по-скоро пакостливи, отколкото злонамерени хакерски субкултури.
Като тийнейджър участвах в много неща – измами с кредитни карти, телефонни измами и телеконференции на алианси [големи групови разговори чрез измами]. Никога нищо не ми е изглеждало така, сякаш нападам някого лично; никога не съм мислил, че вредя на някого. Просто телефонната компания, компанията за кредитни карти, банките. Аз просто използвах тези големи машини, тези големи системи, за да получа това, което исках, за да задоволя собственото си любопитство. Много рядко се замислях дали това е правилно или не. Просто ми беше все едно. В крайна сметка ме арестуваха.“
Гранд е израснал в Бостън. Има бакалавърска степен по компютърно инженерство от Бостънския университет (в съседство с Масачузетския технологичен институт, но без да е свързан с него). L0pht също се появява в Бостън. Това беше добро място за първите хакерски групи – много колежи, много млади хора и много любопитство. L0pht еволюира от тези групи.“L0pht се формира органично от някои от момчетата, които живееха със своите половинки в малки апартаменти в Бостън, но основно се нуждаеха от място, където да съхраняват допълнителните си компютърни неща.“ Тези излишни неща се купуват на битака на MIT, който съществува и до днес. Срещите след битака на практика бяха хакерски срещи в L0pht. Основните членове, които се превърнаха в L0pht Heavy Industries, бяха тези, които плащаха наема на жилището – по около 50 долара на месец. По онова време Гранд беше с пет-шест години по-млад от това ядро – той ги смяташе за възрастни спрямо себе си. Но L0pht, в известен смисъл, го спасява.
Гранд познаваше тези хора и разговаряше с тях от 12-13-годишен. Участвал е в хакерска група, известна като „Ренегатски легион“, и е „продължавал да върши пакости“. L0pht го познаваха, но спазваха дистанция, „защото не искаха да се замесват, докато аз преминавах през всички тези видове проблеми.“
Но когато беше арестуван и се забърка в неприятности, те го взеха под крилото си и го попитаха дали иска да стане част от ядрото на L0pht. „Вече се подвизавах в L0pht, но не като официален член. Те ме поканиха и ме попитаха дали искам да имам място в L0pht, за да работя по проекти. Но ще трябва да плащам наем.“Той все още учеше в гимназията и не можеше да си го позволи. Но след като го арестуваха, родителите му казаха, че ще трябва да се заеме със спорт или да си намери работа. Той започва да бяга на писта – и родителите му се съгласяват да плащат наема за L0pht.
Смята, че двете – физическите упражнения и хакерството – „са чудесен баланс и всъщност са много полезни за психическото здраве, за позитивното отношение към тялото, за увереността и за всички тези неща, които аз всъщност нямах“. Би било справедливо да се каже, че отделната подкрепа от семейството му и L0pht преобръща живота му – а той все още е едва в средата на тийнейджърската си възраст. Тогава L0pht се превръща в по-официална група: в центъра ѝ са Брайън Обливиън, Граф Нула, Мъдж, Уелд Понд, Спейс Роуг, Дилдог и Kingpin (Джо Гранд). (Кингпин беше ник от по-ранните му дни. Подобно на повечето хакери, той е сменял многобройни никове и е смятал, че е надраснал Kingpin. Членовете на L0pht го нарекоха Джоуи – но Kingpin се придържаше към него и той все още е известен с този ник днес.)
Групата се премести на друго място. L0pht никога не е била физическо място; това е било по-скоро име на банда. „Опитахме се да бъдем самодостатъчни чрез неща като продажба на тениски. Имахме система за информационни табла, а след това и ранен уебсайт. Продавахме компактдискове с инструменти за хакерство и колекции от неща от таблото за обяви на Брайън. И започнахме да разпространяваме добрата страна на това, което хакерите могат да направят. За мен това беше такъв ключов момент, защото всички тези момчета бяха поне с шест години по-големи. Изглеждаха като възрастни хора, защото въпреки че бях на 15 години, те бяха на около 21 години, с работа и стабилни връзки.“
Тогава той научава стойността на споделянето, а не на трупането на информация. „Много бързо разбрах колко е важно да споделяш информация, да споделяш това, което знаеш, и да се учиш от други хора. И да надграждаш върху това, което някой друг те е научил, за да научиш нещо ново. А след това се връщате и споделяте това отново. Тогава разбрах, че хакерството не е толкова свързано с трупане на информация, както правех като дете, за да имам власт и влияние, а с разпространяване на тази информация, размяна с хора и научаване на нови неща – и тогава всички растат заедно.“ Останалото, както се казва, е история: L0pht Heavy Industries, L0phtCrack, свидетелстване пред Сената и много други неща, които са станали част от хакерския фолклор.
Съществува хакерско меме за самотния човек в мазето или спалнята, който седи пред компютъра. Това меме би могло да се приложи и към хората с аутизъм (СДВХ и особено към онази част от спектъра, която по-рано беше известна като синдром на Аспергерс). Тези неврологични състояния често са свързани с висока интелигентност, способност или предпочитание да се работи самостоятелно и вглъбена концентрация, която може да приложи различен начин на мислене за даден проблем за дълги периоди от време. Връзката между хакер и невродивергент не е въображаема – много хакери също са невродивергенти. Невродивергентността не е причина за хакерството, но със сигурност подпомага процеса на хакерство. Гранд почти със сигурност е.
„Обичах да съм сам в компютърната си стая, да се прибирам от училище, да отивам направо на компютъра и да го използвам до вечеря; да вечерям и след като си напиша домашните, да се връщам на компютъра – а след това понякога дори сутрин преди училище. Обичах тази самота. Но в същото време имах и общност. Общността беше онлайн, а аз физически бях в тиха стая. Дори днес обичам да седя в самолета със слушалки на ушите. Не пускат никаква музика – просто получавам малко от белия шум на самолета и обичам да бъда в този свят.“
Вероятно именно способността на киберпространството да осигурява жадуваната от невродивергентите самота със социалните нужди на всички хора насърчава привлекателния свят за хакерите.
Гранд приема, че невроразнообразието може да бъде проклятие или благословия. „Понякога то е напълно изтощително и е много трудно да се избяга от него – но понякога, ако сте наясно със своите трудности, може би можете да ги използвате по начин, който да ги превърне в нещо положително. Това „нещо положително“ е много подходящо за електронния свят – това е способността да се прилага ново мислене на дълбоко ниво за продължителен период от време. Невродивергентите познават този период като „поток“, подобно на спортните хора, които се намират в зоната.
Гранд е хакер. Хакерите са любопитни. Гранд също е любопитен за това как работи мозъкът му. „Наистина разглеждам това като вид мисловен експеримент. Добре, ето защо правя нещата, които правя, и може би защо съм успял да го направя. Но в същото време може би е имало някакъв недостатък, който ме е довел до тези ранни начини за създаване на проблеми. Не знам и не мога да говоря за всички. Но със сигурност знам, че има част от хакерите, които са невроразнообразни в различна степен, и това вероятно ги е довело до този компютърен/хакерски свят – може би за да имат контрол над нещо, защото във външния свят имаш чувството, че нямаш контрол. Това не важи за всеки невродивергент и не всички хакери са невродивергенти, но бих казал, че в хакерската общност вероятно има по-голяма степен на невродивергентност, отколкото в други общности. За мен знам, че това е част от причините, поради които се насочих към този свят.“
С правилната подкрепа, среда и нагласа склонността на невродивергентността да възпитава пакостници може да бъде пренасочена към създаване и използване на свръхспособности, докато сме в течение. Случайно ли е, че партньорката на Гранд, Кили, е автор на собствена книга: Пакости и суперсили?
Присъединяването към L0pht е от решаващо значение за промяната на посоката на живота на Гранд. Той възприема идеята на групата, че хакерството може и трябва да бъде от полза за обществото и бизнеса, като открива дефекти в продуктите и помага за отстраняването им, преди да са причинили вреда. Именно L0pht защитава концепцията за „отговорно разкриване“: първо да се разкрие повредата на производителя и да се даде разумен срок за нейното отстраняване или закърпване.
Гранд не е напълно доволен от този термин. „Какво означава това?“, пита той. „Дали това е начинът, по който хакерът реагира на откритието, или начинът, по който доставчикът реагира на разкриването?“ Това беше по времето, когато доставчиците просто не реагираха, малцина имаха официални политики за разкриване на информация, а законът можеше да бъде агресивен.
Сега законът има неофициално „безопасно пристанище“ за добросъвестно хакерство (проучване), но законът не се е променил и хакерът все още може да бъде изправен пред съда. Това все още ли е проблем? „Абсолютно“, казва той. „И точно с такъв проблем се занимавам в момента.“
Той има какво да разкрие, но… „Винаги има страх какво ще се случи, когато тази информация излезе наяве. Това не е страх, защото съм направил нещо нередно – това е страх, защото не всяка компания е подготвена да се справи с това някой да разкрие проблем със сигурността на нейния продукт.“ Това не е универсално, тъй като много компании вече имат официална политика за разкриване на информация. Гранд винаги ще се придържа към нея, ако има такава.
Това помага за защита на хакера, но все пак не гарантира адекватен отговор от страна на доставчика. В този случай доставчикът няма официална политика. Гранд е изправен пред необходимостта да каже на производител, който няма политика за разкриване на информация и система за награди: „Хей, твоето дете е грозно!“ Много компании имат такива политики, които могат да бъдат следвани, и това осигурява елемент на защита. Съществуват и официални програми за възнаграждение за грешки като BugCrowd и HackerOne, които също осигуряват „добросъвестност“ (между другото, Гранд не е голям фен на възнагражденията за грешки: „Той не казва това, за да внуши, че няма да разкрие намереното, а за да обясни натиска, с който се сблъскват всички хакери: липсата на съдебно преследване не се дължи на закона, а зависи от благоволението на прокурорите. Той изразил тези опасения пред своя партньор. Тя му отговорила: „Разбира се, че ще разкриеш. Ти си хакер.“
Може би най-известното от всички хардуерни хакерски приключения на Гранд е успешното хакване на крипто портфейл Trezor. Съществуват многобройни видео разкази за този процес – Гранд има един в канала си в YouTube (How I hacked a hardware crypto wallet), който е гледан почти 8,5 милиона пъти.
Всичко започва, когато с него се свързва човек, който е загубил достъп до крипто портфейла си и следователно е загубил съдържащите се в него цифрови пари: около 2 милиона долара във валутата Theta. „Стана ми любопитно“, казва Гранд. „Може би мога да го направя. Има и други мотиви, но обикновено всичко започва от нещо, което предизвиква любопитство.“ Той не е натрапчив или обсебващ хакер. „Но веднъж започна ли, не мога да го оставя.“ И това е с изключение на почти всичко останало. „Той навлиза наистина дълбоко и бързо. И понякога другият край е решение на проблем или някакъв вид хак.“
Успешният хак може да се превърне в презентация на конференция или видеоклип (този хак направи и двете), но това не е водещият му мотив. „Все още има онзи елемент на любопитство и учене за себе си и единствено за себе си, а не за нещо друго.“ След като е научил, той вярва, че трябва да сподели наученото в полза на цялата сигурност. Това е научил по време на работата си в L0pht.
Това повдига един последен въпрос. Как един роден хакер може да си изкарва прехраната? На ловците на глави се плаща от продавачите. Неколцина могат да се занимават с това на пълен работен ден, но в повечето случаи това са предимно джобни пари, които допълват истинската им работа – а Гранд смята, че наградите са по-изгодни за продавача, отколкото за хакера. Други стават изследователи на пълен работен ден или червени екипи във фирми за сигурност. Малцина, разбира се, не намират друг път или изход освен престъплението.
Нищо от това не отговаря на темперамента на Гранд. Днес той е собственик на Grand Idea Studio (основано през 2002 г.), „фирма за разработване на технологии, лицензиране и консултации със седалище в Портланд, Орегон“.
„Провеждам много обучения, ходя в организации и ги уча на хардуерно хакерство и как да мислят като хакери, за да решат даден проблем. Всичко това ми се струва нормално. Да мислиш като хакер е нормално, но това не е начинът, по който мислят повечето хора. Може би те нямат тази пакостлива или злонамерена страна в преживяванията си. Но е забавно [и доходоносно, но забележете, че правенето на пари никога не е било важна част от личността му] да мога да споделям мисловните си процеси с хора, които по принцип не мислят по същия начин.“
Историята на Джо Гранд е пътешествие от детски пакостник през тийнейджърски смутител до възрастен учител – чрез емблематичната хакерска група L0pht Heavy Industries.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.