«Из любви к запретному»: история создания XSpider и Positive Technologies

Расскажите об истоках XSpider. Почему вы решили сделать сканер уязвимостей?

Все началось в 1995 году, когда я посмотрел фильм «Сеть». В России сетевые технологии были развиты куда слабее, чем на Западе, но тема запала мне в голову, и я начал изучать разные системы, протоколы, способы получения доступа к данным. Я быстро освоил базовые хакерские механики и научился добираться до интересующей меня информации, потому что о кибербезопасности в те годы не думал почти никто. Золотая эра взломов…

Мое новое увлечение наложилось на любовь к разработке (на тот момент я был программистом в банке), и в 1997 году я начал собирать утилиту, позволяющую сканировать удаленные устройства. Идея была проста: берем черный ящик — любой подключенный к интернету компьютер, — анализируем и находим дыры в защите. Несмотря на то, что рекомендации по устранению уязвимостей появились уже в первых версиях сканера, изначально инструмент предназначался для взлома. По сути, XSpider появился из любви к запретному — потому что запретный плод сладок :)

Как ваша работа в банке влияла на процесс создания сканера?

На тот момент это был крупнейший в России банк с широкой региональной сетью и богатой IT-инфраструктурой. Сотни разных компьютеров, ОС. Банк был идеальным полигоном для испытаний XSpider, на которые я тратил добрую половину рабочего времени.

Когда и в каком формате вышла первая версия XSpider? В чем были преимущества вашего продукта?

Первую версию я выпустил в 1998 году — для личного пользования и узкого круга друзей. А в 1999-м выложил сканер в открытый доступ. Это был не open source, а freeware — код оставался закрытым.

Аналитика всегда была моей сильной стороной. Когда я разобрался в сетях и способах извлечения данных из ПК, я придумал, как реализовать эти механизмы в архитектуре сканера. Я заложил в XSpider уникальную эвристику, которой не было в вендорских решениях. Кроме того, мой продукт был русскоязычным и бесплатным. Эти факторы быстро обеспечили ему популярность в сообществе. Сначала все было тихо, но постепенно интернет заполонили пользовательские комментарии и положительные отзывы. Буквально за год-полтора сканер скачали около 300 000 раз.

Недавно был забавный случай: мой личный финансовый консультант поздравил меня с 25-летием XSpider. Я удивился и спросил его о сканере, а в ответ услышал: «Конечно, знаю, я скачивал, пользовался». Вообще не связанный с ИБ человек пользовался XSpider в начале 2000-х! Мне кажется, это многое говорит о популярности продукта.

Почему именно XSpider? Расскажите историю названия продукта.

Мне нравились название Spider и концепция паука, который передвигается по сети и знает все ее закоулки. Дизайнер уже нарисовала логотип, но Dr.Web выпустил продукт с таким же названием. Получать обвинения в плагиате не хотелось, но и менять концепцию тоже — я решил ее докрутить. Вспомнил, что по ТВ идут X-Files, и добавил в название «загадочную» букву X. Самое интересное, что «Секретные материалы» я даже не смотрел — просто знал, что сериал довольно популярен.

Когда вы приняли решение о коммерческом запуске?

Здесь нужно сделать лирическое отступление и рассказать о моем знакомстве с Женей Киреевым (сооснователь Positive Technologies — прим. ред.). Я уже упоминал, что поначалу меня увлекали именно взломы. Это было чистой воды хулиганство: заходишь на сайт, меняешь заголовки страниц и т. д. — ничего серьезного. Собаки метят территорию, а ты веб-ресурсы — суть примерно одна :). Я не удалял данные и не пытался положить сайты, но мне нравилось делать то, что не могут другие. Возможно, свою роль сыграло и чувство вседозволенности, ведь никакого наказания за подобные действия тогда не было.

В числе моих первых взломов была поисковая система «Апорт». По уровню популярности — «Яндекс» тех лет. Я вскрыл сайт, нарисовал безобидную рожицу и успокоился. Потом ребят неоднократно ломали в более жесткой форме (как-то хакеры заменили лейбл на «Аборт»), и однажды я увидел в поисковике баннер «"Апорт" хакерам, хакеры "Апорту"». Ссылка вела на сообщение: «Ребята! Вместо того чтобы нас ломать, лучше помогите защититься». Я решил, что это неплохой шанс заработать, откликнулся и поехал к ним в офис. Во время встречи на меня смотрели подозрительно — все думали, что именно я совершил последние взломы. Тем не менее мы договорились: я закрываю уязвимости и получаю взамен круглую сумму. Тогда я буквально за день заработал 500 долларов (чуть больше месячной зарплаты в банке), но куда важнее было знакомство с генеральным директором компании — Женей Киреевым.

Женя позвал меня в «Апорт» заниматься кибербезопасностью. Вкупе с возможностью делать то, что мне действительно интересно, он предложил в два раза больше денег, чем платили в банке. Само собой, я согласился. Мы подружились и проработали вместе два года. В 2001-м компанию купили американцы, которые сократили массу людей, в том числе нас. Я ушел в очередной банк и параллельно продолжал развивать XSpider, а Женя отправился в свободное плавание.

Затем в нашей истории появилась широко известная в узких кругах беседка. У нас с братом (Юрий Максимов, сооснователь Positive Technologies — прим. ред.) был старенький дом во Фрязино. Мы с Юрой и Женей проводили там много времени, и однажды Женя сказал, что хочет построить на участке беседку. 

Процесс занял два месяца: в результате получилась конструкция размером чуть ли не с дом. Мы часто жарили в ней шашлыки и вели фундаментальные разговоры. 

Я рассказывал о перспективах XSpider, но в те годы взломы не считались чем-то страшным, а репутационных рисков практически не существовало, поэтому тема развивалась медленно. Тем не менее к 2002 году мой сканер стал дико популярным, и мы все-таки решили попробовать — основать собственную компанию и выпустить коммерческую версию продукта. Примерно через полгода после этого появилась Positive Technologies.

Сейчас или никогда

В чем состоял ваш бизнес-план?

Мы начали с инвестиций. С моей стороны — XSpider. На тот момент мы оценивали его в 60 000 долларов, потому что одна компания предложила мне продать код за эту сумму. Женя вложил 60 000 долларов наличными, а Юра — прибыль от своего провайдерского бизнеса. В те годы многие покупали оборудование, проводили оптику в офисные здания и раздавали интернет арендаторам. У Юры было несколько таких каналов.

Первый год Positive Technologies жила за счет инвестиций. Мы зарабатывали на оказании услуг ИБ, но вкладывали эти деньги в разработку XSpider. В те годы практически ни у одной компании не было собственной службы ИБ, поэтому спрос на наши услуги не спадал. Заказы летели через сарафанное радио, за один выезд можно было заработать порядка 500—600 долларов. Я давно подрабатывал таким образом, плюс мы наняли еще несколько специалистов, чтобы нарастить обороты. Использовали XSpider для анализа компьютеров клиентов, находили и закрывали уязвимости.

Было непросто, потому что у Юры еще оставались обязательства перед другой компанией: он не мог от них отказаться и полностью погрузиться в дела Positive Technologies. Я же сидел с синяками под глазами и четким осознанием: если сейчас не справлюсь, буду жалеть всю жизнь. Это был вызов, но сомнений не было — я понимал, что буду идти до конца. К тому же я был молод, и терять мне было нечего.

Почему вы не продали XSpider за 60 000 долларов?

Честно говоря, я думал об этом. Это были большие деньги, но два года в «Апорте» наглядно показали, что мне нравится работать на себя. Там у меня не было начальника — только Женя, который говорил: «Меня вообще не волнует, что ты делаешь, главное, чтобы компания была в безопасности». Так работать гораздо интереснее, чем выполнять четкие указания руководителя. Наверное, именно поэтому я так упорно уговаривал ребят создать собственную компанию. 

Как продвигалась разработка коммерческой версии сканера? Чем она отличалась от бесплатной?

В плане core-функционала — ничем. Отличие было в скоростях: в коммерческий продукт была заложена многопоточность, то есть возможность одновременно сканировать множество устройств. Можно, конечно, поочередно прогонять все компьютеры через бесплатную версию, но, если в компании их сотни или тысячи, на это уйдет вечность.

Второе преимущество — развернутые отчеты. Бесплатная версия выдавала буквально пару предложений: мне этого хватало, остальное хранилось в голове. Коммерческая же формировала подробные документы с данными об уязвимостях и возможностях их эксплуатации, рекомендациями по устранению и полезными ссылками.

До 2002 года я писал XSpider сам, но для разработки коммерческой версии мы наняли еще одного человека. Он участвовал в улучшении GUI, внедрении уже упомянутой многопоточности и отчетов. Моей основной задачей оставалась доработка ядра.

Когда платный XSpider вышел на рынок и кто стал вашим первым клиентом? 

Мы выпустили коммерческую версию в 2003 году, а первым крупным клиентом стал Сбербанк. Они купили XSpider за 21 000 долларов — для нас это были феноменальные деньги. Да и сам факт того, что мы продали копию моей программы в настолько крупную компанию, с трудом укладывался в голове.

Следом за Сбербанком подтянулся второй крупный клиент — «Билайн». К счастью, именно в этот момент Юра смог полноценно включиться в работу Positive Technologies. Я всегда был технарем, а он прекрасно решает бизнес-вопросы, поэтому наша жизнь сразу стала легче.

Расскажите о развитии продукта.

Я продолжал дорабатывать ядро сканера, придумывать новые эвристические механизмы. Мы взяли в команду еще нескольких хакеров — обычные кодеры нам бы не подошли. Под словом «хакер» я подразумеваю действительно хорошего программиста, который глубоко погружается в код и нюансы продукта, а не просто отвлеченно выполняет задачи. Мы вместе развивали функционал поиска уязвимостей, потому что главным конкурентным преимуществом XSpider по-прежнему оставались его «мозги». К слову, Саша Анисимов до сих пор работает в Positive Technologies. Именно на таких разработчиках, как он, строилась уникальность XSpider. На мой взгляд, таких уже не делают :)

Мы понимали, что индустрия не стоит на месте: нужно расширять функционал продукта и закрывать новые ниши. Так появилась концепция MaxPatrol — монструозной версии XSpider с массой дополнительных возможностей. Забавный факт: изначально мы планировали использовать название MaxPatrol для продвижения XSpider на Западе. Мы сделали отдельную версию сканера еще на этапе коммерческого запуска. Это был тот же продукт, но с английским интерфейсом и базой знаний: мы просто меняли язык при компиляции кода. На западный рынок в итоге не пошли, поэтому решили использовать название для нового решения.

В 2005-м вышел флагманский MaxPatrol, который вобрал в себя часть функционала XSpider. В режиме черного ящика система предоставляла пользователям уже привычный функционал сканера уязвимостей. В 2008 году мы начали переводить XSpider на новую платформу MaxPatrol. Я передал код ребятам на доработку и начал постепенно выходить из процесса.

Больше чем продукт

Какую роль сыграл XSpider на российском рынке кибербезопасности?

С точки зрения рынка в целом он дал старт Positive Technologies — одному из крупнейших игроков отрасли. Без него других наших продуктов просто не было бы. 
В начале 2000-х большой бизнес не до конца понимал ценность XSpider, потому что сетевые технологии в стране еще не расцвели — все было на бумаге. Тем не менее, благодаря популярности бесплатной версии, мой продукт сыграл свою роль в развитии российского ИБ-сообщества. 

И последний вопрос: что XSpider значит лично для вас?

Для меня это реализованная мечта. Благодаря XSpider я стал совладельцем одной из лучших ИБ-компаний страны. Я почти 8 лет не участвую в работе Positive Technologies, но всегда ощущаю всплеск эндорфинов и гордость, когда слышу новости о компании, — я тоже приложил к этому руку.

XSpider был со мной почти 10 лет, на протяжении всей молодости. Для меня это не просто продукт — он помог мне вырасти. И да, я до сих пор использую его в личных целях — если нужно что-то проверить или просто навести шороху :)