Сесилия Кэнг - Внутри Facebook. Голая правда

В большинстве случаев хакеры находились там годами, и Стэймос был потрясен тем, насколько уязвимыми были компании для относительно простых атак. «Я хотел обратить внимание на тот факт, что индустрия безопасности отклонилась от того, что мы все называем нашей миссией: обеспечение безопасности людей, – сказал он. – Компании не считают безопасность приоритетом и полагаются на слишком сложные системы, которые делают и их, и пользователей уязвимыми для атак». Он использовал аналогию с домом: вместо того чтобы создать прочную защищенную структуру и надежно запереть все двери, компании создавали эквивалент многоэтажных домов с хрупкими окнами. Хакеру нужно было просто выждать, и рано или поздно компания забудет запереть какую-нибудь дверь.

Сотни людей собрались на основной доклад Стэймоса в неприметном конференц-зале. Он нервно пробирался сквозь толпу, перебрасываясь с людьми типичными для него короткими фразами. Выйдя на трибуну, он заправил в брюки красную клетчатую рубашку, одернул края серого пиджака и засунул руки в карманы. Люди еще стояли и болтали, когда Стэймос, не желая больше ждать, начал свою речь.

«Я недоволен тем, – начал он, – в каком состоянии мы находимся как отрасль».

По его словам, технологические компании не думают о потребностях обычных людей в плане конфиденциальности и безопасности. Корпорации, занимающиеся кибербезопасностью, больше заинтересованы в продаже броских и дорогих технологий, чем в предоставлении базовых средств защиты, которые могут позволить себе небольшие фирмы. С каждым годом истории о взломах, затрагивающих миллионы людей, становятся все более распространенными. Личная информация людей, включая номера социального страхования и данные кредитных карт, все чаще продается и используется хакерами для обмена на интернет-форумах.

Многие в зале кивали, слушая его. Стэймос не стал упоминать этого в своей речи, но он все больше беспокоился о практике собственной компании в области безопасности. И на то были причины. Всего через несколько недель после «Неконференции» его команда обнаружила уязвимость, которая позволяла проникнуть в системы Yahoo и просмотреть электронную почту пользователя. Стэймос поспешил проверить, не ответственны ли за взлом русские или китайские хакеры. Вместо этого он обнаружил, что уязвимость была встроена в систему намеренно, с одобрения генерального директора Мариссы Майер, чтобы позволить правительству США тайно следить за пользователями электронной почты Yahoo 95. «Это было огромным кризисом доверия, – сказал он. – Я не мог бездействовать и смотреть на это». Менее чем через месяц он ушел из Yahoo. Когда роль Майер в предоставлении правительству секретного доступа стала достоянием общественности, разразился скандал на всю страну.

В кругах кибербезопасности Стэймос стал известен как «канарейка». На рубеже двадцатого века канареек запускали в угольные шахты, расположенные глубоко под землей. Если птицы умирали, это был безмолвный сигнал о том, что в воздух попал токсичный газ и шахта небезопасна для работников. В середине 2000-х годов интернет-компании стали использовать выражение «свидетельство канарейки». Они стали получать тайные повестки от правительства на доступ к данным – запросы были настолько секретными, что даже упоминать об их существовании было незаконно. Чтобы обходным путем предупредить пользователей о том, что к их данным есть доступ, интернет-компании стали размещать на своих сайтах крошечные изображения желтых канареек или сообщения о том, что все в порядке. Если в один прекрасный день канарейка исчезала, это означало, что компании была вручена такая секретная повестка. Эксперты и защитники права на конфиденциальность знали, что нужно искать канареек и бить тревогу, если одна из них вдруг исчезнет.

Когда Стэймос ушел из Yahoo, это был знак: там что-то не в порядке. Однако его приход в Facebook показал, что он увидел в компании нечто, ради чего там стоило работать.

Весной 2015 года руководители Facebook, стараясь не привлекать внимания, искали нового начальника службы безопасности на смену Джо Салливану, который уходил на аналогичную должность в компанию Uber, предоставляющую услуги по перевозке пассажиров. Цукерберг и Сэндберг попросили Салливана помочь найти себе преемника. Сэндберг сказала, что ей нужен кто-то известный, найм которого станет сигналом для совета директоров и регулирующих органов в Вашингтоне, что компания серьезно относится к вопросам безопасности.

Салливан предложил кандидатуру Стэймоса. Он утверждал, что у Стэймоса есть опыт привлечения к ответственности сильных мира сего: будучи независимым работником по контракту, он был печально известен тем, что работодатели увольняли его или заставляли уйти в отставку из-за его жесткой приверженности принципам конфиденциальности и безопасности. Сэндберг выразила некоторое беспокойство, спросив, может ли она быть уверена, что Стэймос будет действовать в интересах Facebook. Салливан заколебался. Он не мог обещать, что Стэймос всегда будет проявлять лояльность, но в сообществе кибербезопасности не было никого другого, кто бы пользовался столь же широким авторитетом.

Когда Стэймос был принят на работу, ему была обещана свобода действий в формировании команды и разработке подхода Facebook к вопросу безопасности. Формально он становился подчиненным Сэндберг, но та заверила, что у него будет свобода расширять и формировать команду по своему усмотрению. При Стэймосе команда аналитики угроз Facebook выросла от нескольких человек до более десяти. Он также удвоил команду безопасности Facebook: если раньше в ней было 50 человек, то с его приходом стало 120. Многие из его сотрудников имели опыт работы в правительстве. Он стремился нанимать людей, обученных борьбе с кибератаками, которые, как он подозревал, велись на платформе Facebook.

Команда, которую создал Стэймос, была уникальной для Facebook как по структуре, так и по расположению. Его офис и большая часть команды располагались в дальнем углу кампуса, в здании, о котором мало кто слышал, а тем более посещал. Здание 23 было ничем не украшено, кроме больших белых цифр на фасаде. Внутри оно выглядело как большинство офисов Facebook: минималистичная мебель из выбеленного дерева и конференц-залы со стеклянными стенами придавали ему чистую, безличную эстетику. Члены службы безопасности Стэймоса заполнили свои рабочие места спортивными сумками, семейными фотографиями и декоративными подушками. В отличие от остальных сотрудников Facebook, которые так часто переезжали с место на место, что никто и не думал украшать столы фотографиями, команда Стэймоса получила постоянные рабочие места, которые они тут же заняли толстыми папками с засекреченными аналитическими отчетами и брифингами Конгресса. Они демонстрировали свою принадлежность к «ботаникам», вешая на мониторы компьютеров бейджи с хакерских конференций. Стены украшали плакаты игры Hack the Planet. Когда в кампусе наступали счастливые часы, вся остальная часть Facebook пила индийский светлый эль и крафтовые сорта пива, а служба безопасности устраивала свои собственные часы с мартини и коктейлями с виски, приготовленными на старомодной барной тележке с Johnnie Walker, Jose Cuervo и различными миксерами. Моран и другие члены группы аналитики угроз, работавшие в вашингтонском офисе, часто присоединялись к коллегам в Менло-Парке по видеосвязи.