ყველა ვებსაიტის ყველა ნაკლის ერთბაშად გამოაშკარავება რომ შეიძლებოდეს, კარგი იქნებოდა? ზოგი ასე არ ფიქრობს.
ჰაკერული კულტურა კვდება. სცენას, რომელიც სავსე იყო ანტიკორპორაციული განწყობებითა და თავისუფლების იდეალებით, კიბერუსაფრთხოების კაპიტალისტები ითვისებენ. მათ ვებსაიტების ირიბად გამოყენების საშუალებების გაყიდვით სწრაფი ფულის შოვნა უფრო აინტერესებთ, ვიდრე ვების მცხოვრებთა რეალური დაცვა. ყოველ შემთხვევაში, ასე ხედავს რეალობას ალეხანდრო კაცერესი. ის პროგრამული უზრუნველყოფის კომპანიის, Hyperion Gray-ის 30 წლის თანადამაარსებელია. მისი მთავარი თანამებრძოლი, რომელთან ერთადაც ეს ბიზნესი ვირჯინიაში, არლინგტონში მდებარე პატარა ბინაში წამოიწყო, მეგობარი გოგონა ამანდა თაულერია.
კაცერესის აზრი არ იქნებოდა ასეთი გავლენიანი, რომ არა ის საქმე, რომელიც მან და თაულერმა იტვირთეს: დუეტმა ბრძოლაში გამოიწვია სწრაფი ფულის შოვნის მსურველი ჰაკერები და მათ საფუძვლიან შურისძიებას ჰპირდება. მათი საბრძოლო იარაღი PunkSPIDER-ია: შთამბეჭდავად მარტივი საძიებო სისტემა, რომელიც მთელ ვებს ათვალიერებს სუსტი წერტილების გამოსავლენად – იმ ბზარების, რომელთა გამოყენებაც ინტერნეტჯაშუშებსა და აფერისტებს მონაცემების მოსაპარად შეუძლიათ – და შედეგებს უფასოდ გვთავაზობს. შედეგად, მარტივდება ბზარების გამოვლენაც და გამოყენებაც. ვუწოდოთ ამას Google-ი გაბზარული ვებისთვის.
მუდმივი სკანირებისთვის საჭირო დროისა და ფულის გამო, PunkSPIDER-ი წელიწადში ერთი სკანირებით იყო შეზღუდული (თუმცა ეს წელს უნდა შეიცვალოს). ბოლო სკანირებისას, 2014 წლის მაისში, PunkSPIDER-ის კოდმა 4 დღის განმავლობაში იმუშავა ღრუბლის სერვერებზე და 98 მილიონი ვებსაიტი გამოსცადა. გამოცდა ვებსაიტებისთვის საცდელი მონაცემების გაგზავნას გულისხმობდა იმის სანახავად, წარმოიქმნებოდა თუ არა პროგრამული შეცდომები, რაც პოტენციური სისუსტის პირველი ნიშანია. კაცერესის თქმით, ამ პირველმა ცდამ შედეგების დიდი, მაგრამ “დამთრგუნველად წინასწარმეტყველებადი” სიმრავლე დააბრუნა – სულ 3.4 მილიონი ბზარი.
შემდეგი სკანირება, რომელიც მაისის ბოლოში განხორციელდება, უფრო დიდი და მომთხოვნი იქნება – მეტ ვებსაიტს მოიცავს და უფრო მრავალნაირ ინტერნეტსისუსტეებს გამოავლენს. ის ეგრეთ წოდებულ “ბნელ ვებში” განთავსებულ საიტებსაც კი მოიცავს. ეს ის ზონაა, სადაც უფლებადამცველები და ნარკომოვაჭრეები ერთნაირი წარმატებით იყენებენ ქსელ Tor-ს, საკუთარი იდენტობის სერვერების მრავალ შრეში გატარებით ანონიმურობის მისაღწევად. იგეგმება სკანერის ყოველდღიურ რეჟიმში ამუშავებაც, რაც მონაცემების დაძველებას შეამცირებს.
კონკრეტული სუსტი წერტილის შესახებ ინფორმაციის გავრცელება არაა იგივე, რაც ადამიანებისთვის ზოგადი მეთოდების სწავლება, თუ როგორ “გატეხონ” ვებაპლიკაციადა მასში შეაღწიონ (ნამდვილი კიბერკრიმინალები, ვებში ბზარების გამოსავლენად, უკვე დიდი ხანია, ბევრად დახვეწილ ტექნოლოგიების იყენებენ, თუმცა ბევრად მცირე მასშტაბით). ამის მიუხედავად, PunkSPIDER-მა თავიდანვე უსაფრთხოების პოლიციის ყურადღება მიიპყრო. 2013 წლის თებერვალში კაცერესმა და თაულერმა პროექტის განვითარებისთვის Kickstarter-ის კამპანიით $10,000 იშოვეს. ცოტა ხნით ადრე კი, როდესაც თავიანთი ქმნილება უსაფრთხოების კონფერენცია SchmooCon–ზე წარადგინეს, დარბაზის შეკითხვების შუაგზაზე ერთ–ერთმა დამსწრემ კაცერესს ადვოკატის დაქირავება ურჩია. უსაფრთხოების მკვლევარებმაც არაერთხელ აღნიშნეს, რომ ვებსაიტების ადმინისტრატორებისგან შესაბამისი ავტორიზაციის გარეშე, მსგავსი სკანირებებით შესაძლოა აშშ- ის კომპიუტერული თაღლითობისა და შეუსაბამო მოპყრობის აქტი (Computer Fraud and Abuse Act) ირღვეოდეს. SchmooCon-ის პრეზენტაციიდან რამდენიმე კვირაში კაცერესს ელ–ფოსტით დაუკავშირდა დიდი ბრიტანეთის მთავრობის სამსახური, რომელიც ბრიტანული ვებ–დომეინების უსაფრთხოებაზეა პასუხისმგებელი. მათი წერილი ასეთ შეგონებას შეიცავდა: “თქვენ უზარმაზარი რისკის წინაშე აყენებთ საკუთარ თავს, შედარებით მცირე სარგებლის სანაცვლოდ… გთხოვთ, ფრთხილად იყოთ, რადგანაც თქვენ მიერ გამოსაკვლევ საიტებს შორის ზოგიერთი სამართლებრივად ძალზე აგრესიულია”.
ერთ–ერთი კომპანიის მტკიცებით, რომლის კუთვნილ პროქსი– სერვერებსაც PunkSPIDER–ი სკანირებისას იყენებდა, მათ, საეჭვო აქტივობის მიზეზით, ფედერალური ხელისუფლებიდან დაუკავშირდნენ. თაულერი აღიარებს, რომ მათ შეეშინდათ. “ბოლოს გადავწყვიტეთ, Electronic Frontier Foundation-ისთვის გვეკითხა რჩევა, თუ როგორ გვემართა ეს სიტუაცია, როგორ არ აღმოვჩენილიყავით ციხეში”, – ამატებს კაცერესი. EFF-მა, ღია ვების ადვოკატირების ცნობილმა ჯგუფმა, წყვილს გარკვეული რეკომენდაციები მისცა, თუ როგორ დარჩენილიყვნენ კანონის ფარგლებში. როგორც ჩანს, ამან იმუშავა, რადგანაც პროექტის გაშვების შემდეგ კაცერესს სერიოზული სამართლებრივი მუქარები აღარ მიუღია.
PunkSPIDER-ი მარტო არაა: ის საკმაოდ ფართო, “მასობრივი სკანირების” მოძრაობის ერთ–ერთი წარმომადგენელია, ისეთ ინსტრუმენტებთან ერთად, როგორიცაა Masscan-ი, Shodan–ი და Critical.io. ყველა მათგანი “უხეში ძალით” ცდილობს ჩამოფხიკოს ყალბი უსაფრთხოების ფასადი, მთელი ვების მასშტაბით. ამასობაში, Google-მა, Facebook-მა და ზოგიერთმა სხვა გიგანტმა გაუშვეს შეცდომების (ბაგების) გამოვლენის წახალისების მოზრდილი პროგრამები – ჯილდოები Facebook-ის შემთხვევაში $33,000–ს, Google-ის შემთხვევაში კი $20,000–ს აღწევს. კაცერესი იმედოვნებს, რომ PunkSPIDER-ი მსგავსი ბზარების უფასოდ გამოვლენითა და გასაჯაროებით უსაფრთხოების შავი ბაზრისთვის კიდევ უფრო დიდი დაბრკოლება გახდება. ამ ბაზარზე ვების სუსტი წერტილების შესახებ ახალი ინფორმაცია ხშირად აუქციონის პრინციპით იყიდება. ფასები $100,000–ს აღწევს, მყიდველები კი ხან სამართალდამცავები, ხანაც თაღლითები არიან.
ბოლო ორი წლის მანძილზე კაცერესმა და თაულერმა იმაზეც იზრუნეს, რომ PunkSPIDER-ი გარეგნულად უხეში და მოუმწიფებელი არ გამოჩენილიყო. დღეისთვის პროექტის ვებსაიტი, punkspider.org, მოწესრიგებული და გასაგებია. Google-ის საძიებო გვერდის მსგავსად, ის მომხმარებლებს ერთ მთავარ ველს სთავაზობს, სადაც შესამოწმებელი საიტების მთლიანი მისამართების ან URL-ის ნაწილის შეყვანა შეიძლება. თუ უფრო რაფინირებული შედეგები გსურს, ღილაკების საშუალებით შესაძლეძლებელია კონკრეტული გავრცელებული ვებსისუსტეების არჩევა, რომელთა გამოვლენასაც საიტი ეცდება. საიტები ფასდება 0–დან 5 ქულამდე სისტემით. კაცერესის თქმით, საიტებს, რომლებიც 2 ან მეტი ქულითაა შეფასებული, არ უნდა ეწვიოთ. მაგალითისთვის, ebay.com-ზე ძიება, როდესაც ყველა ღილაკია არჩეული, აშკარა ნაკლოვანებების ორგვერდიან სიას აბრუნებს. PunkSPIDER-ამდე, ბიზნესს უსაფრთხოების მსგავსი შეფასების მიღება მხოლოდ პროფესიონალური კომპანიისთვის ათეულობით ათასი დოლარის გადახდით შეეძლო, შეღწევადობის უფრო ფართო ტესტის ფარგლებში. “უსაფრთხოება არ უნდა ვრცელდებოდეს მხოლოდ ზედა ეშელონებზე. ჩვენ მართლა გვჯერა, რომ ეს ინფორმაცია უფასოდ უნდა იყოს ხელმისაწვდომი”, – ამბობს თაულერი.
სანამ სახელმწიფო და სამართალდამცავი სამსახურების ნაწილი PunkSPIDER-ის უკან მდგომ დუეტს ეჭვით უყურებს, სხვები არ კარგავენ შანსს, მათი უნარებით ისარგებლონ. კაცერესის გუნდი უკვე ჩართეს პენტაგონის თავდაცვის მოწინავე კვლევების პროექტების სააგენტოს (DARPA) დაფინანსებულ პროგრამა Memex-ში. Memex-ის მიზანი უკიდურესად კონფიგურირებადი საძიებო მექანიზმების შექმნაა, როგორც “ბნელი”, ისე ჩვეულებრივი ვებისთვის მეტი სინათლის მოფენისთვის. სწორედ ამ პროექტის წყალობით მოხერხდა წინა შემოდგომაზე ადამიანების ტრეფიკინგში ჩართულთა ონლაინაქტივობების გამოვლენა და მათი დაკავება. Hyperion Gray-მ Memex-ი ხელოვნური ინტელექტის სხვადასხვა შესაძლებლობით გაამდიდრა, როგორიცაა ადამიანების ვებსაიტებთან ურთიერთქმედების (ჩამოსაშლელი მენიუების გახსნა თუ ინტერაქტიურ ელემენტებზე თაგვის გადატარება) მოდელირება. კაცერესის თქმით, Memex-ს პოლიციის სამსახურებიც უკავშირდებიან (მათი დაკონკრეტება არ შეუძლია), რომლებსაც “ყველაზე საზარელი” კრიმინალების გამოსავლენად უკეთესი საძიებო ინსტრუმენტები სჭირდებათ.
თაულერმა და მისმა პარტნიორმა, რომლებიც ამჟამად ჩრდილოეთ კაროლინაში, კონკორდში მუშაობენ, მშვენივრად იციან, რომ საძიებო ბიზნესში დიდი ფულის შოვნა შეუძლიათ. “ჩვენ ეს უბრალოდ არ გვაღელვებს. გვირჩევნია ეს პროექტი შევინარჩუნოთ ისეთი ფორმით, რომ მისგან სიამოვნების მიღება შეგვეძლოს – საზოგადოებას მნიშვნელოვან სამსახურს უწევდეს და რაღაც ბინძურ ბიზნესად არ იქცეს”, – ასკვნის კაცერესი.
დატოვე კომენტარი
