Эссе по мотивам доклада @arbitrarycode / Сани
После дня технических докладов, где люди уходят в эксплуатацию, железо, протоколы, уязвимости, fuzzing, токены и внутренности систем, особенно важно на время отложить инструменты и спросить: а кто вообще всё это делает? Не в смысле должностей, грейдов и названий компаний, а в более старом и человеческом смысле: где эти люди находят друг друга, как они учатся, кому передают ремесло, почему иногда держатся вместе десятилетиями, а иногда распадаются после одного сильного внешнего удара.
Доклад @arbitrarycode / Сани «Человеку нужен человек: комьюнити, которого у нас [почти] никогда не было» именно об этом. Это не инструкция по построению meetup-сетки и не очередной чек-лист «как развивать community». Скорее историко-рефлексивная попытка посмотреть на хакерские, инженерные и security-сообщества как на живые организмы: они рождаются из страсти, обрастают языком и артефактами, переживают взросление, коммерциализацию, конфликты, миграции, политические разрывы и иногда выживают не потому, что были большими, а потому что у них оставались люди, места, ритм и память.
Главная цепочка доклада звучит почти как биография любого сильного технического увлечения: страсть превращается в навык, навык в ремесло, ремесло в профессию. И именно в этот момент возникает риск. Профессия даёт деньги, легальность, рынок, большие задачи, социальное признание. Но она же может стереть культуру, из которой выросла. Если всё превращается в поток, KPI, найм, корпоративные треки и бесконечный treadmill коммерции, сообщество начинает терять то, что делало его сообществом: любопытство ради любопытства, действие ради действия, удовольствие от странного, глубокого и не всегда монетизируемого.
Поэтому разговор о community после технических докладов не выглядит отступлением. Наоборот, он возвращает технику к её социальной почве. Уязвимости не находят сами себя. Open source hardware не появляется из воздуха. Hackerspace и makerspace не держатся на аренде помещения как таковой. CTF-команды, форумы, локальные конференции, зины, архивы, физические точки встречи и менторство — это инфраструктура не менее важная, чем лаборатория, стенд или репозиторий.
Протоэпоха: до компьютера как массового предмета
Хакерская культура не началась с персонального компьютера. В докладе это принципиально: сцена выросла из более старого желания понять, как устроены вещи, и заставить их работать иначе, лучше, страннее, красивее, чем предполагала инструкция.
В советском контексте такими прото-hackerspace были дворцы пионеров, станции юных техников, кружки авиамоделирования, судомоделирования, ракетостроения, радиолюбительские клубы. Сегодня легко смотреть на них через ностальгию или, наоборот, через усталую иронию. Но если убрать исторический шум, там видны очень современные элементы makerspace: общая physical location, инструменты, регулярность, старшие товарищи, mentors, инженерная задача, возможность прийти руками и головой в одну и ту же точку.
Важна и медийная сторона этой культуры. Журналы работали как асинхронный протокол передачи любопытства. Кто-то собирал схему, модель, приёмник или устройство, описывал опыт, и через бумажный тираж этот опыт мог попасть к человеку в другом городе, который повторит, улучшит, переизобретет. В докладе это прямо сопоставляется с open source hardware: не в юридическом смысле современных лицензий, а в культурном смысле открытого воспроизводимого знания.
В американской линии возникает MIT Tech Model Railroad Club — клуб, где вокруг моделирования железных дорог выросли автоматика, жаргон, локальные мемы, внутренний лор и технические решения, непонятные внешнему наблюдателю. Это важный образ: community начинается не тогда, когда появляется сайт и логотип, а когда люди совместно строят маленький мир с собственными правилами, языком и стандартами красоты.
Рядом с этим развивается Unix-культура, Jargon File и позже русское издание «Новый словарь хакера». Словарь здесь не декоративен. Сообщество, которое не умеет называть себя и свои практики, хуже себя помнит. Jargon File важен не только как набор смешных или архаичных терминов, а как попытка зафиксировать способ мышления: что считалось красивым, что считалось hack, что было стыдно, что было смешно, что отличало своих от случайных прохожих.
Параллельно через телефонные сети формируется фрикерская сцена. Люди исследуют тарификацию, междугородние звонки, автоматические системы, социальную инженерию через телефонные коммуникации. Это уже не только техническое любопытство, но и ранний контакт с инфраструктурой, властью, доступом и границами допустимого.
Из протоэпохи Саня вытаскивает несколько практик, которые не устарели. Физическое общение незаменимо. Регулярность важнее масштаба. Архивы и artifacts нужно собирать сразу, пока они кажутся обычными и неценными. А вещи, которые можно потрогать руками, будь то модель, плата, журнал, устройство или самодельный стенд, формируют культуру глубже, чем абстрактный разговор.
Digital Underground: язык, медиа и миф
80-е и 90-е в докладе складываются в Digital Underground: эпоху, когда персональные компьютеры, модемы, BBS, телефонные сети, warez-диски, зины, фильмы и первые громкие конференции начинают превращать разрозненные технические увлечения в узнаваемую сцену.
В 80-е важна плотность андеграунда. В США вокруг телефонной инфраструктуры, 2600, BBS, wardialing, фрикерской сцены и групп вроде Cult of the Dead Cow формируется не просто техническая среда, а стиль. Появляется провокация, эстетика, вызов, своя медийность. Фильм «WarGames» показывает массовой аудитории образ подростка с компьютером и модемом, который может дотянуться до большой системы. Технически этот образ может быть условным, поп-культурным, местами наивным. Но для community важен сам эффект: человек со стороны вдруг думает, что этот мир существует и, может быть, туда можно войти.
В Европе тем временем оформляется Chaos Computer Club. В докладе он звучит как пример редкой институциональной удачи: люди не просто «суетятся по своим норам», а собираются, структурируются и начинают действовать вместе. История с BTX hack показывает важную этическую линию: исследование инфраструктуры не обязательно должно быть криминальным присвоением. Оно может быть публичным указанием на то, что социально важные системы требуют проверки, потому что от них зависят граждане.
Chaos Communication Congress становится ежегодной точкой сборки. Это не просто конференция в расписании, а ритуал возвращения: люди весь год что-то исследуют, строят, спорят, а потом привозят это в общую точку, где знания снова становятся социальными связями.
В 90-е российская линия резко ускоряется. Персональные компьютеры появляются в школах, институтах, на предприятиях. Люди встречают DOS, первые Windows, Basic, Turbo Pascal, Assembler. Модемы ещё не везде доступны, но ближе к концу периода возникают домашние dial-up сети, BBS, интерес к X.25. Важным, почти комичным артефактом становятся warez-диски: Super Hacker 98, Super Hacker 99, «Всё, что нужно хакеру» и похожие сборки. В них вместе с поломанным софтом и играми неожиданно приходили зины, Phrack, cDc, куски демосцены и тексты, до которых иначе было трудно добраться.
Так сцена получала не только инструменты, но и воображение. Можно было не знать никого лично, не иметь доступа к «правильному» клубу, но через диск, форум, BBS или журнал почувствовать, что где-то есть другие люди, которые смотрят на системы похожим образом.
В США 90-е дают DEF CON, Black Hat, мифологию вокруг Кевина Митника, фильм «Sneakers» и, конечно, «Хакеров». Саня осторожен: поп-культура часто неточна и не обязана быть техно-хардкорной. Но она создаёт легенды, ритуалы, образы и входные двери. Многие приходят в сцену не через лучший технический текст, а через картинку, которая вдруг совпала с внутренним ощущением: «я тоже хочу быть среди этих людей».
Европейская культура 90-х добавляет hackerspace c-base, open air-мероприятия вроде Hacking at the End of the Universe и Hacking in Progress, а также Assembly и демосцену в целом, как пример creative computing. Здесь community строится не только вокруг взлома, но вокруг сложного совместного производства красоты: программисты, художники, музыканты, дизайнеры делают продукт, который трудно продать, но которым можно гордиться.
Из Digital Underground доклад выносит несколько уроков. Сцене нужен свой язык. Сцене нужны свои медиа: зины, публикации, записи, выступления, архивы. Поп-культура тоже важна, даже когда раздражает своей неточностью. И главное: без этики техническая сцена очень быстро может оказаться не там, где хотела. Этика здесь не украшение, а единственная опора, которая позволяет отличить исследование от разрушения, curiosity от эксплуатации слабых, публичный интерес от личной наживы.
Limbo: между андеграундом и enterprise
2000-е в докладе названы limbo — переходным периодом. Старый андеграунд ещё помнит себя, но уже появляются легальные профессии, white hat-команды, крупные компании, государственные интересы, рынки уязвимостей и первые контуры enterprise-безопасности. Сцена расходится на несколько траекторий: культурная самореализация, профессионализация и, увы, криминализация.
В России этого времени важны онлайн-порталы и форумы: void.ru, bugtraq.ru, AntiChat, RDOT и другие хабы, где люди публиковали исследования, спорили, накапливали репутацию, узнавали друг друга не по визиткам, а по тому, что человек написал, нашёл, сломал, объяснил. Не все из этого переехало в современные мессенджеры. У форумов была плотность сообщения, память тредов, видимая история участия и публичное авторство.
Журнал «Хакер» в этой рамке оказывается не просто журналом, а поп-культурным шлюзом. Пусть не всегда «про то» и не всегда идеально, но он вовлекал людей, показывал, что существует сцена, куда можно смотреть, о которой можно говорить, где технический интерес имеет свою эстетику.
Параллельно демосцена через Enlight и Chaos Constructions перетекает в более широкое поле, где рядом оказываются creative computing и infosecurity. Появляются CTF-команды, которые со временем превращаются в реальные профессиональные команды. Появляются российские компании в области информационной безопасности, антивирусные компании и секьюрити-вендоры, исследовательские группы и сервисные команды.
В США 2000-е приносят червей, государственное регулирование, US-CERT, Department of Homeland Security, дискуссии о Full Disclosure, Metasploit, OWASP, ZDI и будущую bug bounty-логику. Это годы, когда security становится не только сценой, но и индустрией, а уязвимость — не только текстом в зине, но и объектом рынка, политики раскрытия, процедуры, ответственности.
Особенно важен пример BSides. Это почти идеальный community blueprint: если DEF CON и Black Hat не могут вместить всех, не нужно ждать разрешения центра. Можно собраться в своём городе, сделать локальное событие, дать людям площадку, сохранить контент, вырастить новичков. Такая модель ценна не масштабом, а воспроизводимостью.
В Европе 2000-е усиливают разговор о digital rights, netzpolitik, open source, FOSDEM, Chaos Communication Camp и hackerspace. Один из ключевых сюжетов — доклад о том, как организовать hackerspace в своей локации: собраться впятером, скинуться на подвал, купить бэушное железо и паяльники, начать делать вещи. Это тоже blueprint, но уже для физического community. Не надо ждать идеальной инфраструктуры, гранта, большого спонсора и красивого бренда. Достаточно минимального места, регулярности и людей, которые готовы появляться.
Из limbo следует важный вывод: локальные структуры важнее больших витрин для роста новичков. Большая конференция вдохновляет, но часто новичок становится своим именно в маленьком регулярном пространстве: на форуме, в hackerspace, на локальном BSides-подобном митапе, в CTF-команде, в кружке, где можно задать глупый вопрос и через год самому отвечать на чужие.
Convergence: когда линии сошлись
2010-е в докладе — эпоха convergence, схождения линий. Для российского security-сообщества это время, когда локальная сцена максимально близко подошла к международной: ездили команды, приезжали спикеры, проходили PHDays и ZeroNights, CTF преодолевал границы, воркшопы и конференции становились точками обмена не только докладами, но и культурой.
Появляются профильные образовательные программы в ИБ. Навыки, которые раньше копились почти подпольно или на периферии формального образования, можно легально монетизировать. Offensive-команды становятся рабочей реальностью. Вчерашний странный навык превращается в профессию, а профессия, в лучшем случае, даёт человеку возможность не выбирать между любопытством и выживанием.
Но это же время приносит новый риск: культура может стать приложением к рынку. Bug bounty, ориентированный на payout, вовлекает многих людей, но иногда меняет глубину на ширину. Там, где раньше вопрос звучал как «что интересного устроено внутри этой системы?», он может превратиться в «какой минимальный путь к выплате?». Это не моральная паника, а наблюдение о смене стимулов.
Convergence в Штатах идёт через cyber-physical security: automotive, aviation, ICS, IoT, банкоматы, card hacking, производство, логистика. Big tech создаёт команды вроде Project Zero. Pwn2Own, HackerOne, Bugcrowd и другие платформы меняют экономику ресерча. DEF CON дробится на villages: car hacking village, IoT hacking village и множество других направлений. Это важный организационный ход: большое событие не пытается удержать всё в одной руке, а выращивает локальные зоны ответственности.
Европейская линия параллельно усиливает социально-активистский слой: WikiLeaks, Сноуден, GDPR, персональные данные как политическая и общественная тема, а не только тревога гиков. Chaos Communication Congress, как и DEF CON, нарезается на assembly: десятки и сотни локальных групп приезжают со своими темами, от hardware hacking до бытовых и культурных практик. Так большая сцена не высыхает, потому что внутри неё остаётся множество маленьких живых сцен.
Из convergence доклад берёт самый светлый и одновременно болезненный урок: международное взаимодействие — это больше, чем поездки. Это заряд, который меняет масштаб воображения. Ты видишь, что твоя локальная проблема не уникальна, что твой навык понятен людям в другой стране, что CTF-команда, open source-проект, доклад или маленький hackerspace могут стать мостом поверх географических и политических границ.
Divergence: когда связи расходятся
2020-е в докладе названы divergence — эпохой расхождения. Это самая травматичная часть рассказа, потому что она уже не историческая в спокойном смысле. Она ещё происходит.
Сначала ковид проредил офлайн, и далеко не все вернулись обратно. Потом 2022 год разделил людей и сообщества: кто-то уехал, кто-то остался, кто-то потерял локальную точку сборки, кто-то больше не может или не хочет говорить с теми, с кем раньше делал общие вещи. Санкции и ограничения усложнили международные поездки, приглашение зарубежных спикеров, подачу на конференции, участие в глобальной сцене.
Локальный рынок при этом раздулся. Гипертехи, крупные компании, импортозамещение, внутренние AppSec- и red team-команды забрали огромное количество людей. Это не обязательно плохо: профессия нужна, работа нужна, зрелые команды нужны. Но социальный эффект понятен: люди рассосались по корпоративным контурам, а независимым точкам сборки стало труднее.
Самое тяжёлое — смешение экспертизы с политикой и потеря понятных этических красных линий. Когда региональные информационные контуры замыкаются, каждый получает свою реплику реальности. Соотношение информации к шуму ломается. Community оказывается не только технически, но и морально перегружено.
И всё же доклад не заканчивается капитуляцией. Наоборот, Саня собирает из предыдущих эпох набор практик, которые могут помочь сообществам выжить.
Что брать в будущее
Первое — физическая локация. Нужны места, куда можно прийти как домой: hackerspace, makerspace, маленький офис после работы, аудитория, бар, подвал, лаборатория, регулярная комната. Не каждое сообщество обязано иметь постоянное помещение, но без физической точки встреча остаётся слишком хрупкой. Онлайн помогает поддерживать связь, но не всегда создаёт доверие, менторство и эффект совместного присутствия.
Второе — регулярность. Ритм важнее масштаба. Маленькая встреча раз в две недели часто полезнее, чем большой фестиваль раз в год, после которого все снова исчезают. Community живёт не анонсом, а повторяемым действием: люди знают, что в такой-то день можно прийти и там кто-то будет.
Третье — наставники и новички. Сильная сцена не только показывает хардкор для уже посвящённых, но и умеет вводить новых людей. Нужны lightning talks, маленькие доклады, возможность рассказать о вчерашнем эксперименте без статуса эксперта. Новичок должен видеть не только недостижимую вершину, но и лестницу.
Четвёртое — артефакты и архивы. Нужно хранить статьи, зины, записи, фотографии, схемы, репозитории, локальные истории. То, что сегодня кажется бытовым мусором, завтра станет единственным способом понять, как сцена на самом деле жила. Память нельзя полностью делегировать платформам и корпоративным блогам.
Пятое — blueprint-культура. BSides, hackerspace-модели, open source-проекты, локальные календарные сетки, простые инструкции по запуску митапа — всё это снижает административную нагрузку. Сообществу не нужно каждый раз героически изобретать способ собраться. Чем проще повторить формат в своём городе, тем больше шансов, что появятся маленькие локальные сообщества, а не только большие vendor-owned конференции.
Шестое — независимость и децентрализация. Если все серьёзные события принадлежат отдельным компаниям, культура неизбежно начинает подстраиваться под бизнес-интерес. Это не значит, что бизнес враг. Это значит, что community нужны независимые пространства, где можно говорить, спорить, ошибаться, выращивать темы, которые ещё не стали продуктом.
Седьмое — международные мосты через всё, что осталось доступным: open source, публикации, remote-участие, исследования, личные связи, проекты, письма, архивы. Convergence нельзя просто вернуть усилием воли, но можно не соглашаться на полную изоляцию как на норму.
И наконец, восьмое — собственная история. Доклад начинается с оговорки: это не летопись, а карта памяти одного участника и наблюдателя. И именно поэтому он важен. Community не может иметь одну окончательную историю. Оно живёт, когда разные люди выходят и рассказывают свои версии: кто где был, что видел, в каком хакспейсе тусовался , какой форум помнит, какую конференцию строил, где ошибался, что потерял, что хочет передать дальше.
Фраза «человеку нужен человек» в security-среде звучит почти вызывающе. Мы привыкли говорить о системах, угрозах, моделях, эксплоитах, supply chain, инфраструктуре, протоколах. Но любая живая техническая культура в конечном счёте держится на людях, которые не перестают заниматься тем, чем они одержимы. Придумвыают вещи. Приходят в одно и то же место. Приносят железки. Документируют сделанное. Объясняют новичку. Делают маленький доклад. Оставляют после себя след. Не дают профессии окончательно съесть ремесло.
Комьюнити, которого у нас почти никогда не было, возможно, именно так и существует: не как идеальная историческая форма, которую можно вернуть, а как набор повторяемых практик. Собраться. Сделать. Рассказать. Сохранить. Позвать следующего. И приходить снова и снова.