Кино про хакеров — Разработка XSpider — Успех в сообществе — Основание Positive Technologies — MaxPatrol — Реализованная мечта
Расскажите об истоках XSpider. Почему вы решили сделать сканер уязвимостей?
Все началось в 1995 году, когда я посмотрел фильм «Сеть». В России сетевые технологии были развиты куда слабее, чем на Западе, но тема запала мне в голову, и я начал изучать разные системы, протоколы, способы получения доступа к данным. Я быстро освоил базовые хакерские механики и научился добираться до интересующей меня информации, потому что о кибербезопасности в те годы не думал почти никто. Золотая эра взломов…
Мое новое увлечение наложилось на любовь к разработке (на тот момент я был программистом в банке), и в 1997 году я начал собирать утилиту, позволяющую сканировать удаленные устройства. Идея была проста: берем черный ящик — любой подключенный к интернету компьютер, — анализируем и находим дыры в защите. Несмотря на то, что рекомендации по устранению уязвимостей появились уже в первых версиях сканера, изначально инструмент предназначался для взлома. По сути, XSpider появился из любви к запретному — потому что запретный плод сладок :)
Как ваша работа в банке влияла на процесс создания сканера?
На тот момент это был крупнейший в России банк с широкой региональной сетью и богатой IT-инфраструктурой. Сотни разных компьютеров, ОС. Банк был идеальным полигоном для испытаний XSpider, на которые я тратил добрую половину рабочего времени.
Впервые я познакомился с компьютерами в девятом классе — это были древнющие БК-0010. В 1995-м стал счастливым обладателем собственного ПК, а еще через два года, в 25 лет, начал разработку XSpider.
Когда и в каком формате вышла первая версия XSpider? В чем были преимущества вашего продукта?
Первую версию я выпустил в 1998 году — для личного пользования и узкого круга друзей. А в 1999-м выложил сканер в открытый доступ. Это был не open source, а freeware — код оставался закрытым.
Аналитика всегда была моей сильной стороной. Когда я разобрался в сетях и способах извлечения данных из ПК, я придумал, как реализовать эти механизмы в архитектуре сканера. Я заложил в XSpider уникальную эвристику, которой не было в вендорских решениях. Кроме того, мой продукт был русскоязычным и бесплатным. Эти факторы быстро обеспечили ему популярность в сообществе. Сначала все было тихо, но постепенно интернет заполонили пользовательские комментарии и положительные отзывы. Буквально за год-полтора сканер скачали около 300 000 раз.
Недавно был забавный случай: мой личный финансовый консультант поздравил меня с 25-летием XSpider. Я удивился и спросил его о сканере, а в ответ услышал: «Конечно, знаю, я скачивал, пользовался». Вообще не связанный с ИБ человек пользовался XSpider в начале 2000-х! Мне кажется, это многое говорит о популярности продукта.
Почему именно XSpider? Расскажите историю названия продукта.
Мне нравились название Spider и концепция паука, который передвигается по сети и знает все ее закоулки. Дизайнер уже нарисовала логотип, но Dr.Web выпустил продукт с таким же названием. Получать обвинения в плагиате не хотелось, но и менять концепцию тоже — я решил ее докрутить. Вспомнил, что по ТВ идут X-Files, и добавил в название «загадочную» букву X. Самое интересное, что «Секретные материалы» я даже не смотрел — просто знал, что сериал довольно популярен.
Чтобы сделать действительно хороший продукт, нужна страсть.
Когда вы приняли решение о коммерческом запуске?
Здесь нужно сделать лирическое отступление и рассказать о моем знакомстве с Женей Киреевым (сооснователь Positive Technologies — прим. ред.). Я уже упоминал, что поначалу меня увлекали именно взломы. Это было чистой воды хулиганство: заходишь на сайт, меняешь заголовки страниц и т. д. — ничего серьезного. Собаки метят территорию, а ты веб-ресурсы — суть примерно одна :). Я не удалял данные и не пытался положить сайты, но мне нравилось делать то, что не могут другие. Возможно, свою роль сыграло и чувство вседозволенности, ведь никакого наказания за подобные действия тогда не было.
В числе моих первых взломов была поисковая система «Апорт». По уровню популярности — «Яндекс» тех лет. Я вскрыл сайт, нарисовал безобидную рожицу и успокоился. Потом ребят неоднократно ломали в более жесткой форме (как-то хакеры заменили лейбл на «Аборт»), и однажды я увидел в поисковике баннер «"Апорт" хакерам, хакеры "Апорту"». Ссылка вела на сообщение: «Ребята! Вместо того чтобы нас ломать, лучше помогите защититься». Я решил, что это неплохой шанс заработать, откликнулся и поехал к ним в офис. Во время встречи на меня смотрели подозрительно — все думали, что именно я совершил последние взломы. Тем не менее мы договорились: я закрываю уязвимости и получаю взамен круглую сумму. Тогда я буквально за день заработал 500 долларов (чуть больше месячной зарплаты в банке), но куда важнее было знакомство с генеральным директором компании — Женей Киреевым.
Женя позвал меня в «Апорт» заниматься кибербезопасностью. Вкупе с возможностью делать то, что мне действительно интересно, он предложил в два раза больше денег, чем платили в банке. Само собой, я согласился. Мы подружились и проработали вместе два года. В 2001-м компанию купили американцы, которые сократили массу людей, в том числе нас. Я ушел в очередной банк и параллельно продолжал развивать XSpider, а Женя отправился в свободное плавание.
Затем в нашей истории появилась широко известная в узких кругах беседка. У нас с братом (Юрий Максимов, сооснователь Positive Technologies — прим. ред.) был старенький дом во Фрязино. Мы с Юрой и Женей проводили там много времени, и однажды Женя сказал, что хочет построить на участке беседку.
Процесс занял два месяца: в результате получилась конструкция размером чуть ли не с дом. Мы часто жарили в ней шашлыки и вели фундаментальные разговоры.
Я рассказывал о перспективах XSpider, но в те годы взломы не считались чем-то страшным, а репутационных рисков практически не существовало, поэтому тема развивалась медленно. Тем не менее к 2002 году мой сканер стал дико популярным, и мы все-таки решили попробовать — основать собственную компанию и выпустить коммерческую версию продукта. Примерно через полгода после этого появилась Positive Technologies.
Я был одним из тех увлеченных хакеров с синяками под глазами, которых часто показывают в кино.
Сейчас или никогда
В чем состоял ваш бизнес-план?
Мы начали с инвестиций. С моей стороны — XSpider. На тот момент мы оценивали его в 60 000 долларов, потому что одна компания предложила мне продать код за эту сумму. Женя вложил 60 000 долларов наличными, а Юра — прибыль от своего провайдерского бизнеса. В те годы многие покупали оборудование, проводили оптику в офисные здания и раздавали интернет арендаторам. У Юры было несколько таких каналов.
Первый год Positive Technologies жила за счет инвестиций. Мы зарабатывали на оказании услуг ИБ, но вкладывали эти деньги в разработку XSpider. В те годы практически ни у одной компании не было собственной службы ИБ, поэтому спрос на наши услуги не спадал. Заказы летели через сарафанное радио, за один выезд можно было заработать порядка 500—600 долларов. Я давно подрабатывал таким образом, плюс мы наняли еще несколько специалистов, чтобы нарастить обороты. Использовали XSpider для анализа компьютеров клиентов, находили и закрывали уязвимости.
Было непросто, потому что у Юры еще оставались обязательства перед другой компанией: он не мог от них отказаться и полностью погрузиться в дела Positive Technologies. Я же сидел с синяками под глазами и четким осознанием: если сейчас не справлюсь, буду жалеть всю жизнь. Это был вызов, но сомнений не было — я понимал, что буду идти до конца. К тому же я был молод, и терять мне было нечего.
Почему вы не продали XSpider за 60 000 долларов?
Честно говоря, я думал об этом. Это были большие деньги, но два года в «Апорте» наглядно показали, что мне нравится работать на себя. Там у меня не было начальника — только Женя, который говорил: «Меня вообще не волнует, что ты делаешь, главное, чтобы компания была в безопасности». Так работать гораздо интереснее, чем выполнять четкие указания руководителя. Наверное, именно поэтому я так упорно уговаривал ребят создать собственную компанию.
По данным CNews, в 2002 году бесплатный XSpider заметно обходил дорогие вендорские сканеры по эффективности поиска уязвимостей.
Как продвигалась разработка коммерческой версии сканера? Чем она отличалась от бесплатной?
В плане core-функционала — ничем. Отличие было в скоростях: в коммерческий продукт была заложена многопоточность, то есть возможность одновременно сканировать множество устройств. Можно, конечно, поочередно прогонять все компьютеры через бесплатную версию, но, если в компании их сотни или тысячи, на это уйдет вечность.
Второе преимущество — развернутые отчеты. Бесплатная версия выдавала буквально пару предложений: мне этого хватало, остальное хранилось в голове. Коммерческая же формировала подробные документы с данными об уязвимостях и возможностях их эксплуатации, рекомендациями по устранению и полезными ссылками.
До 2002 года я писал XSpider сам, но для разработки коммерческой версии мы наняли еще одного человека. Он участвовал в улучшении GUI, внедрении уже упомянутой многопоточности и отчетов. Моей основной задачей оставалась доработка ядра.
Когда платный XSpider вышел на рынок и кто стал вашим первым клиентом?
Мы выпустили коммерческую версию в 2003 году, а первым крупным клиентом стал Сбербанк. Они купили XSpider за 21 000 долларов — для нас это были феноменальные деньги. Да и сам факт того, что мы продали копию моей программы в настолько крупную компанию, с трудом укладывался в голове.
Следом за Сбербанком подтянулся второй крупный клиент — «Билайн». К счастью, именно в этот момент Юра смог полноценно включиться в работу Positive Technologies. Я всегда был технарем, а он прекрасно решает бизнес-вопросы, поэтому наша жизнь сразу стала легче.
Для меня программирование — это чистый креатив. Возможность создавать что-то новое буквально из ничего завораживает.
Расскажите о развитии продукта.
Я продолжал дорабатывать ядро сканера, придумывать новые эвристические механизмы. Мы взяли в команду еще нескольких хакеров — обычные кодеры нам бы не подошли. Под словом «хакер» я подразумеваю действительно хорошего программиста, который глубоко погружается в код и нюансы продукта, а не просто отвлеченно выполняет задачи. Мы вместе развивали функционал поиска уязвимостей, потому что главным конкурентным преимуществом XSpider по-прежнему оставались его «мозги». К слову, Саша Анисимов до сих пор работает в Positive Technologies. Именно на таких разработчиках, как он, строилась уникальность XSpider. На мой взгляд, таких уже не делают :)
Мы понимали, что индустрия не стоит на месте: нужно расширять функционал продукта и закрывать новые ниши. Так появилась концепция MaxPatrol — монструозной версии XSpider с массой дополнительных возможностей. Забавный факт: изначально мы планировали использовать название MaxPatrol для продвижения XSpider на Западе. Мы сделали отдельную версию сканера еще на этапе коммерческого запуска. Это был тот же продукт, но с английским интерфейсом и базой знаний: мы просто меняли язык при компиляции кода. На западный рынок в итоге не пошли, поэтому решили использовать название для нового решения.
В 2005-м вышел флагманский MaxPatrol, который вобрал в себя часть функционала XSpider. В режиме черного ящика система предоставляла пользователям уже привычный функционал сканера уязвимостей. В 2008 году мы начали переводить XSpider на новую платформу MaxPatrol. Я передал код ребятам на доработку и начал постепенно выходить из процесса.
Сегодня XSpider описывается как «профессиональный сканер уязвимостей, позволяющий оценить реальное состояние защищенности IT-инфраструктуры». В 1998 году вы презентовали его как «сканер безопасности». Получается, за 25 лет суть продукта не изменилась?
Приведу аналогию: электрические тестеры существуют уже много лет и нацелены на то, чтобы показывать наличие тока. Можно сколько угодно докручивать и расширять возможности отдельных устройств, но их базовый функционал при этом не меняется. Главная задача XSpider, как и 25 лет назад, — сканировать компьютеры на наличие уязвимостей.
Больше чем продукт
Какую роль сыграл XSpider на российском рынке кибербезопасности?
С точки зрения рынка в целом он дал старт Positive Technologies — одному из крупнейших игроков отрасли. Без него других наших продуктов просто не было бы.
В начале 2000-х большой бизнес не до конца понимал ценность XSpider, потому что сетевые технологии в стране еще не расцвели — все было на бумаге. Тем не менее, благодаря популярности бесплатной версии, мой продукт сыграл свою роль в развитии российского ИБ-сообщества.
И последний вопрос: что XSpider значит лично для вас?
Для меня это реализованная мечта. Благодаря XSpider я стал совладельцем одной из лучших ИБ-компаний страны. Я почти 8 лет не участвую в работе Positive Technologies, но всегда ощущаю всплеск эндорфинов и гордость, когда слышу новости о компании, — я тоже приложил к этому руку.
XSpider был со мной почти 10 лет, на протяжении всей молодости. Для меня это не просто продукт — он помог мне вырасти. И да, я до сих пор использую его в личных целях — если нужно что-то проверить или просто навести шороху :)
XSpider дал мне свободу. Мне всегда хотелось именно этого.