# Человеку нужен человек: комьюнити, которого у нас [почти] никогда не было Доклад: «Человеку нужен человек: комьюнити, которого у нас [почти] никогда не было» Спикер: @arbitrarycode / Саня ## Представление Мы, наверное, продолжим такую уже, раз мы уже пошли в философию, open source — не open source, люди, корпоративы, сообщества. И я с большим удовольствием представлю следующего докладчика. Его зовут Arbitrary Code Execution, но он никогда не говорит слово Execution. Также он известен как Саня. Мы знакомы уже 200 лет, и с ним мы делали первые PHDays в 2011 году. И у него есть ещё футболка, и вот именно этим он и ценен: тем, что он знает, помнит, хранит сообщество и создаёт сообщество. Может быть, он не настолько известен, как многие современные телеграм-каналы, а он всегда где-то рядом, он всегда делает, контрибьютит и помнит, и имеет футболку с первого PHDays. Которая у меня, как у того, который сейчас печатает пачками, не осталась. Поэтому давайте поаплодируем arbitrarycode и узнаем, что он нам расскажет. Спасибо большое. Серега замечательно представил меня, как я бы и сам не представился. Сегодня, я так понимаю, было достаточно много технических докладов, на которых люди уходили достаточно глубоко в техно-хардкор. Эта же история, она немножко про другое. Она про то, как мы строим комьюнити и не даем этим комьюнити по возможности распадаться, и что нам делать для того, чтобы эти сообщества были более сплоченными. Фактически мы говорим о некоторой ретроспективе, о том, как люди в разные временные периоды, в разных локациях, в разных обстоятельствах находили своих друзей и единомышленников. Общеизвестно, что какие-то серьезные такие хардкор комьюнити, они характеризуются цепочкой, которая начинается со страсти, которая перерастает со временем в навык. Навык перерастает в ремесло, ремесло иногда перерастает в профессию иногда во что-то похуже. Но в конечном итоге мы рискуем потерей культуры, когда вещи переходят на поток и мы встаем на беговую дорожку. Поэтому этот доклад про то, как периодически нам внутри тех сообществ, в которых мы находимся, оглядываться назад, вспоминать, что было сделано, какие полезные уроки мы можем извлечь для себя и как продолжать делать интересные вещи. ## Структура доклада Дальше немножко про структуру того, как будет работать повествование. Фактически я взял и нарезал на некоторые arbitrary-эпохи все, что у нас было за последние, не знаю, в зависимости от того, как считать, 50-70 лет. И по каждой из этих эпох постарался привести некоторое видение того, как сцена, как правило, да, там, хакерская сцена существовала или развивалась, или зарождалась, или эволюционировала в нашей стране, в Штатах и в Европе. Соответственно, первый период — это так называемая протосцена, все, что у нас было до 80-х годов, зарождение, фактически, фактически у некоторых регионов еще до компьютерной эпохи. Потом мы переходим в то, что принято называть андерграундом в двух частях, в 80-е и 90-е. Где развитие шло во многом очень бурно, но не очень заметно для окружающей публики. Потом у нас есть переходный период, так называемый лимбо, когда мы еще помним андерграунд, но уже фактически следующей эпохой переходим в enterprise. То, что я назвал конвергенцией, это 2010-е годы, особенно важные для комьюнити в нашей стране, когда линии, все международные активности, наиболее сильно пересекались и объединялись. И, наконец, с 2020х годов и по сегодняшний день эпоха расхождения, когда все не так весело, когда есть очень много вызовов, которым мы должны как-то противостоять и как-то на них отвечать. Из каждой эпохи мы постараемся вынести какие-то ключевые мысли. Что было такого, что происходило интересного, чем она отличалась, и как мы можем взять это в будущее с собой в инструментарий, для того, чтобы строить более организованные и более живучие комьюнити в будущем. ## Дисклеймер Дисклеймер такой, что мне довелось участвовать и работать в лучших компаниях и сообществах, по большей части в offensive сообществах, довелось посещать разные конференции, организовывать разные конференции, бывать на митапах, организовывать митапы, побывать в разных хакспейсах, много всего посмотреть, но это дало свои перекосы. Вся история, которая представлена, она ни в коем случае не посягает на некоторую летопись, это просто какая-то карта, составленная для себя для того, чтобы, опять же, когда мы что-то забываем, нам нужно оглядываться и вспоминать, что было и возможно делиться с кем-то. Опять же, предыдущий докладчик много упоминал о том, что в зале присутствует много молодого поколения. Возможно, эта прохладная былина будет в том числе интересна ребятам, которые присоединились в движухе попозже. Ну и, конечно, если вы видели эту сцену с другой стороны, а вы наверняка ее видели с другой стороны или вы были частью совершенно другой сцены. Самый большой выхлоп от выступлений, от мероприятий подобных этому, это если на следующем подобном мероприятии вы выйдете и расскажете свою версию событий. Так, поехали с протосценой, то, что было до 80-х годов. ## Протосцена: до 80-х Очевидно, что хакерская сцена не началась с компьютера, она выросла из более старой культуры людей, которые просто хотели понять, как устроены вещи. Устройства и разные вещи, и системы могут меняться. Это могут быть самолеты, модели, радиопередатчики, телефонные сети. Но социальная потребность остается одной и той же. Найти своих единомышленников, разбираться в системе глубже, чем окружающие и понимать ее лучше, чем те, кто писали к ней инструкции. Итак, до 80-х Советский Союз. ### Советский Союз Этот кейс интересен тем, что мы недавно вспоминали как раз с Серегой про альтернативные реальности дворцы пионеров и станции юных техников, на которых фактически происходят подобные доклады, сборища, люди собирают какие-то вещи, разбирают какие-то вещи. А ведь на самом деле все это было в реальной жизни. Просто тогда люди воспринимали это изнутри, естественно, из своего времени. Но сейчас, оглядываясь назад, мы можем сказать, что те же дворцы пионеров, станции юных техников, кружки, авиамоделирования, судомоделирования, ракетостроения, клубы радиолюбителей, это фактически те же самые прототипы, существующих, каких-то мейкерспейсов, когда люди собираются под эгидой общего интереса, что немаловажно в этой конкретной модели, под менторством старшего поколения с конкретными какими-то задачами, целями, инструментами, физической локацией и инженерной мыслью. Фактически у этой культуры также существовало и средство обмена информации. Просто оно было чуть лучше структурировано, чем сейчас. Там было существенно меньше слопа. И оно было асинхронно. Это были журналы, из которых люди узнавали о каких-то новых изобретениях, каких-то подходах к воспроизведению чего-то, каким-то учились новым методам, узнавали о новых схемах, воссоздовали модели, строили разные вещи от радиоприемников и до более сложных устройств. Фактически мы говорим о синхронном протоколе передачи любопытства, потому что кто-то написав статью о том, что он сделал в своем кружке, издав ее в условном юном технике, передавал свои знания любому человеку в стране, который мог взять ее, ознакомиться с ней и повторить это или улучшить это. То есть то, что сейчас мы называем open-source hardware, фактически вполне себе было живо и здорово и в то время. ### США Что в это время происходило в общих чертах в Штатах? В Штатах тоже были свои клубы, свои какие-то кружки, в частности, наиболее известные из них это MIT Tech Model Railroad Club, где люди занимались моделированием железных дорог, строили вокруг этого свой лор, реле, автоматика, специфичный жаргон, ультралокальные мемы. и, самое главное, красивые технические решения, которые были в общем целом непонятны окружающей публике. Совсем как у нас. После этого пришли так называемые Unix-хакеры, когда подъехали большие компьютеры, не персональные, и люди стали развивать софтверную часть вокруг них, Это всегда был плюс-минус Unix, может быть, совсем таким, каким мы его знаем, но копаться в нем было возможно также бесконечно долго, погружаться, изучать, придумывать какие-то новые вещи, которые заставляли системы делать то, что тебе нужно, теми способами, которые в нее пока еще были не заложены. Параллельно эта культура вырабатывала себе какой-то язык, и этим языком тогда было то, что называетсяя "Jargon File". У нас он, кстати, выходил в конце 90-х годов, издавался тиражом типа 500 экземпляров и назывался «Новый словарь хакера». Очень интересно. Фактически переведённые на русский язык распечатанные огромные.txt-файлы середины прошлого века. Безумно интересно погружаться и читать историю, что увлекало людей, находить пересечения. параллельно зарождались распределенные телефонные сети люди получали к ним доступ теми или ими способами зарождалась фрикерская сцена как люди которые пытаются получить доступ к междугородним звонкам по тарификации локальных звонков люди которые получают доступ к каким-то автоматическим системам в другом штате с помощью телефонной линии. И потихонечку начала появляться социальная инженерия через телефонные коммуникации. Соответственно, в общем случае слово hack жило в эту эпоху в Штатах в максимально ярком ключе, который подчеркивал, в первую очередь, именно оригинальность идеи. Какой-то нестандартной реализации. ### Европа В Европе в нашу прото-эпоху до 80-х годов, и там это очень характерное разделение именно на 1980-е годы, существовало некоторое количество компьютерных клубов в разных областях региона. В Великобритании это был Amateur Computer Club, в Нидерландах свой Hobby Computer Club. Фактически каждый следующий заимствовал свои идеи и принципы у предыдущего. И так они распространялись по разным регионам. Фактически то же самое, что и мы сейчас пытаемся делать здесь. Были те же самые кружки радиолюбителей, кружки радиоэлектроники. Появлялись государственные системы массового обслуживания, но еще не массового доступа, такие как телетекст, видеотекст. И люди начали видеть интересные вещи. Оказывается, можно показывать глобально населению, всей стране, какие-то штуки текстовые через их телевизоры, которые управляются централизованными компьютерами. Начало наводить на мысли. Параллельно развивалась пакетная передача данных. И в Европе, наверное, раньше всего зародился вопрос: а кто все это контролирует? Где центр, из которого происходит вся эта коммуникация и координация? и это будет очень важно в дальнейшем развитии того, как вещи эволюционировали на этой сцене. ### Что берем из протоэпохи Что мы можем взять с собой из прото-эпохи? Мы однозначно четко понимаем и сейчас и всегда, что физическое общение незаменимо. И когда люди встречаются в какой-то одной строго определённой точке, которая не меняется, в которой все привыкли, куда все приходят как домой. Там есть близкие люди, есть люди, которые могут что-то объяснить, рассказать, что ты не знаешь, какие-то наставники, менторы. Это сильнее и важнее, чем просто сидеть, сычевать по домам, изучать книги, какие-то публикации, потому что рост здесь происходит гораздо быстрее. Также мы понимаем еще с тех времен, что регулярность гораздо важнее объема, масштаба. И если мы просто продолжаем собираться, мы просто продолжаем понимать, делать эти вещи, не пропадать. Это уже не дает загнуться движению как таковому. Когда мы начинаем инвестировать в какую-то широту, раздутие объема, покрытие, это может ударить негативно. Гораздо важнее встречаться всегда и постоянно. Очень важно, иначе мы никогда не могли об этом узнать, собирать вещи, которые появляются в каждую из этих эпох. Это те самые журналы, архивы, артефакты, которые в конечном итоге формируют для нас то, что было тогда, дают нам возможность взглянуть на это по-новому, и это такой best practice, который никогда не потеряет свою актуальность. Ну и понятно, что вещи, которые создаются руками, физически осязаемые вещи, они, конечно, имеют колоссальное превосходство над просто просмотром, пассивным потреблением чего бы то ни было. ## Digital Underground, часть первая: 80-е Следующая эпоха, к которой мы переходим, — это Digital Underground, часть первая: 80-е. ### У нас У нас происходил такой очень плавный переход от радиолюбителей к персональным компьютерам. Он был непростым, неочевидным, довольно растянутым во времени, но оттого не менее самобытным. Мы говорим здесь, что у людей появились впервые микрокалькуляторы, которые тоже можно было программировать, которые имели свою дополнительную инженерную ценность, которые также нужно было изучать. Компьютеры как таковые, которые были в Советском Союзе в этот период, интересны в первую очередь тем, что они были не столько персональными, сколько коллективными, в том плане, что их нужно было сначала где-то о них узнать, промыслить для них комплектующие, в дальнейшем собраться с кем-то, собрать их, понять, а что с ними делать дальше, как-то заставить их работать, ну или в лучшем случае, в самом простом, получить к ним какой-то доступ с разделением времени. Тогда же приблизительно в школе вырабатываются дисциплины так называемых основ информатики и вычислительной техники, когда фактически начинается регулярная передача школьникам навыков обращения с компьютерами, по пониманию того, как они работают, по начальному программированию. И это, безусловно, послужило трамплином к тому моменту в нашей истории, когда персональные компьютеры все-таки были более доступны. ### США Что происходило в Штатах в 80-х годах? Там динамика была чуть-чуть более быстрой, потому что там уже вовсю у людей были персональные компьютеры И IBM компьютеры, и Apple компьютеры соответственно, буст субкультуре и сцене был придан априори за счет наличия инфраструктуры и технических возможностей. Здесь мы видим появление уже того самого андерграунда. Появляются из фрикерской сцены комьюнити и езины 2600, которые фактически обозревают социальную жизнь тогда еще фрикеров, а потом и локальной хакерской культуры, рассказывают какие-то душещипательные истории. Далеко не всегда технические, до сих пор можно купить всю подшивку изданий 2600 с 80-х годов и поныне, наверное. Появляется легендарное издание Phrack, которое фактически отличается от 2600 тем, что собирает исключительно технический хардкор. достаточно сложные темы, которые не доступны из коробки людям, которые просто возьмут и откроют это, будучи незнакомы с системами, с технологиями, с подходами, потому что тогда мы уже начинаем говорить об уязвимостях, об эксплуатации, бинарных вещах. И появляется группа и, соответственно, e-zine и культура вокруг Cult of the Dead Cow. Ребята наиболее примечательны тем, что фактически показали, что это может быть не только какой-то пережиток фрикерской культуры, как 2600, не только техно-хардкор, но ещё и стиль, вызов и провокация. параллельно всему этому растет инфраструктура, телефонных сетей, телекоммуникаций, доступных людям, у которых есть компьютеры. То есть мы можем подключать компьютеры к модемам и этими модемами подключаться к другим системам. Таким образом, на ту сеть, которую осваивали до этого на фрикерской сцене, которая была посвящена 2600, Фактически возникает оверлей, связанный с тем, а что можно сделать поверх нее? Какие данные можно передавать помимо голоса? Что еще можно делать, кроме халявных звонков? Появляются локальные bulletin board-системы, текстовые системы BBS, в которых люди публикуют свою информацию, общаются, задают вопросы, выкладывают вещи. Появляется способ искать эти вещи, когда ты не знаешь о них, так называемый war dialling. когда ты обзваниваешь пул телефонных номеров в поиске модемов. И, наверное, культурной кульминацией этой эпохи становится выход первого такого громкого, высокобюджетного на тот момент фильма «Военные игры», который фактически показывает то, что подростки, имея доступ к базовому персональному компьютеру, модему и телефонной сети, могут дотянуться до каких-то больших глобальных систем и все это может привести к каким-то очень драматичным последствиям. И несмотря на всю вот эту поп-культурность, это очень важное явление, потому что оно дало людям как-то овеществить это что-ли, да, как-то вокруг всей этой убер-андеграундной культуры выстроить что-то более человеческое. Понять, что, блин, а вот, наверное, может быть и я так могу. ### Европа Что происходит в Европе в 80-е годы? Это переломный момент для того, что будет происходить в Европе отныне и впредь. Зарождается Chaos Chaos Computer Club очень интересная нон-профит организация которая существует с тех пор и по наше время и я думаю просуществует еще очень долго. У ее истоков стоит очень известный в локальных кругах персонаж Wau Holland, которого уже нет с нами, но которому CCC посвятил очень много разнообразных докладов публикаций о его жизни, его вкладе в развитие комьюнити. Есть документальное кино. И Chaos Chaos Computer Club изначально — это просто собрание людей, которые подумали, блин, ну сколько можно уже просто суетиться по своим норам, давайте как-то соберемся, структурируем и что такое вместе уже делать. И они сделали что-то вместе. Впоследствии это стало называться BTX hack. История не очень известна за пределами Германии, но для нее она была такой основополагающей точкой, в которой фактически ребята из Chaos Chaos Computer Club, используя те самые системы телетекст и видеотекст, используя уязвимости в них перенаправили некоторые муниципальные средства оплаты на свой счет потом развернув все эти транзакции обратно, но тем самым они показали, что системы государственные, системы муниципального уровня не могут быть просто введены в эксплуатацию и отданы на поруки на доверии. Они должны быть проверены. И социальная инфраструктура должна подвергаться пристальному вниманию с точки зрения того, насколько безопасной она является для граждан. В том же году был основан первый Chaos Communication Congress. Это собрание всех наверное странных людей сначала в Германии, а потом и за ее пределами и за пределами Европы которое сейчас переросло мероприятие не знаю, 10 лет назад там было 12 тысяч человек сколько сейчас не смотрел но это колоссальное мероприятие тогда это была первая точка сборки для энтузиастов со всей страны в которой фактически они могли регулярно, и опять же, возвращаясь к этому тезису, обмениваться тем, что у них произошло за год. делиться своими впечатлениями, своими исследованиями, погружаться в то, что делают другие, устанавливать социальные связи. ### Что берем из 80-х Что мы можем взять с собой из этой эпохи? Очевидно, что сцене нужен свой язык. Мы это поняли еще из Jargon File нашей доисторической эры, что людям нужно как-то называть себя, то, что они любят, то, чем они занимаются, как-то общаться между собой на странные темы. В сцене очевидно, нужны свои медиа, потому что эти медиа, и мы будем возвращаться к этому еще много. Вот фактически тот же тезис, то, что медиа, начиная там от e-zine'ов, всяческих каких-то публикаций, записей, выступлений, архивов и прочего. Они нужны для того, чтобы погрузить людей, скажем так, проактивно. Не только тех, кто ищет сообщество, а тех, кто просто может проходить мимо и увидеть вещи. Еще больше в этом, безусловно, важна поп-культура. И здесь мы, в первую очередь увидели это на примере голливудского фильма, который привлек колоссальное внимание. У нас он не был так популярен, но в Штатах это, конечно, был совершенный фурор с War Games И мы поняли, что она может неплохо так засасывать людей в сообщество. Сколько из них потом там останется, чем они будут заниматься, вопрос следующий. Но важно, что люди начинают думать по-другому. Ну и, конечно, немецкая сцена, европейская сцена и в целом комьюнити этого времени показало, что этика – это наша единственная опора, которая дает нам возможность оставаться на светлой стороне силы. И если мы не выработаем этические принципы для себя, как культуры, мы рискуем оказаться в нехороших местах. ## Digital Underground, часть вторая: 90-е Дальше мы переходим ко второй части эпохи цифрового андеграунда — в 90-е годы. ### У нас У нас это, конечно, взрывной рост. Люди получают достаточно широкий доступ к персональным компьютерам в школах, институтах на предприятиях, везде. Это повсеместное знакомство с тогдашними операционными системами, DOS, первыми виндами. Это те самые уроки информатики с Бейсиком, Турбо-Паскалем, для кого-то и c Ассемблером. первые модемы которые еще не так легко получить но со временем ближе к концу этого периода люди уже организуют свои доморощенные dial-up-сети поверх них открывают свои BBS кто-то уходит в исследование глобальных X.25 сетей интересным артефактом эпохи является разнообразный варез, который хлынул тогда в нашу страну, и совершенно неожиданно порой это были не только какие-то поломанные игры или какой-то софт, но еще и диски а-ля "SuperHacker 98", "SuperHacker 99", "Все, что нужно хакеру". И прочая такая история, которая фактически — 700 мегабайт добра из интернета, до которого большая часть людей добраться не могла. Вещи на вот тех же самых подборах e-zine'ов cDc-шных, Phrack'ов, фактически многие люди того поколения получали доступ к подобной информации с этих болванок с Горбушки. И оттуда же, например, нам стали доступны некоторые вещи, связанные с демосценой, для широкого потребителя, который не причастен к ним. И, безусловно, это совершенно взрывной рост для России, который позволил нам фактически нагнать все, что было чуть-чуть упущено в предыдущее десятилетие. ### США В Штатах. В это время организовываются ключевые конференции. Это то, что важно с точки зрения нашей дискуссии. Потому что конференция — это не просто конференция, но и комьюнити. Соответственно, появляется DEF CON. DEF CON, да, Джефф Мосс организует свою конференцию для друзей, которые просто пересеклись в Лас Вегасе, потом это становится одной из наиболее известных в мире конференций по информационной безопасности. Что важно здесь: в какой-то момент достаточно скоро, после 5-го DEF CON, он понял, что им по-любому надо как-то форкнуть коммерсов и техно-хардкор. И тогда он отделил Black Hat, сделав её более бизнес-френдли, а DEF CON оставил более техно-хардкорным для ресерчеров, исследователей и той самой хакерской сцены. Впоследствии это сыграло им на руку. Выходит замечательный фильм «Sneakers». Не помню, как в русском переводе он называется, кажется, «Тихушники». Не очень известный в нашей стране, но фактически первый фильм, эпически популяризовавший тему, которая пришла к нам в индустрию уже сильно-сильно позже, а именно Red Teaming. команду adversary simulator'ов, которые получают доступ к чему-то конкретному по определенному сценарию. Тогда же очень шумную огласку приобрел инцидент с арестом Кевина Митника, которого тоже, к сожалению, уже нет с нами. Но оно показало, что есть какие-то совершенно мифические и легендарные люди, с которыми происходят разные вещи, которые умеют делать что-то удивительное, насвистывать коды от баллистических ракет в телефон, а потом попадают в тюрьму и их надо оттуда вытаскивать. Безусловно, ключевым вот именно поп-культурным событием, которое до эпохи конвергенции, которая у нас еще предстоит, уникальным образом пронзило все вот эти вот параллели нашей страны, штатов и Европы был выход фильма «Хакеры», который, пусть и был максимально непоказательным с точки зрения техно-хардкора, но был замечательно репрезентативным с точки зрения того, а как выглядят эти люди, как они могли бы выглядеть, что их связывает, какие у них могут быть интересы, как они проводят время. И таким образом совершенно колоссально людей затянуло в эту воронку из совершенно каких-то не близких областей и отраслей. Таким образом в 90-е штаты показали, конечно, что они умеют делать интересные такие громкие мифы. И пусть иногда оно выглядит как-то примитивно, иногда токсично, но это безусловно ценно, поскольку сцена получает свои легенды, получает свои ритуалы и получает все, что приходит за этим. ### Европа В Европе, в свою очередь, конгресс оформляется как ежегодный синк всех членов Chaos Computer Club. То есть, фактически, помимо Chaos Computer Club, как центральной сущности, есть в каждой земле Германии, чуть ли не в каждом городе, свои локальные представители Chaos Computer Club. Они все весь год что-то делают, что-то исследуют, что-то придумывают. И раз в год они сводят все это воедино. После того, как происходит падение Берлинской стены, в это комьюнити вливается практически вся окружающая Европа, не только клубы по стране. Открывается первый важный и самый, наверное, известный и до сих пор европейский хакспейс C-BASE. Хотя сама история хакспейсов дойдёт до нас чуть попозже, в 2000-е годы. Но у ребят уже было свое легендарное место сборки в Берлине, которое, опять же, доступно и по сей день. Появляется первое открытое мероприятие формата Open Air. То есть конференции теперь это не просто Лас-Вегас, какие-то отели, залы и коридоры, это еще и мероприятие на открытом воздухе с палатками, такие как Hacking at the End of the Universe и Hacking in Progress в Европе. И появляется колоссальное параллельное измерение в виде демо-сцены в Финляндии. Assembly, которое привлекает внимание к такому феномену, как Creative Computing, когда собираются не только программисты или не только хакеры, не только какие-то отдельные странные личности, но и команды людей, программистов, артистов, музыкантов, дизайнеров, издателей, которые формируют некий общий продукт, который никто не собирается продавать, которым может только наслаждаться, который является вещью в себе, просто потому что его сложно сделать. Появляются соответствующие соревнования — существенно раньше, чем потом появились CTF. И Европа лишний раз привлекает внимание локальных и международных хакеров к социальным процессам, инфраструктурам и социально-технической повестке. ## Переходный период, или лимбо: 2000-е Переходный период, лимбо, 2000-е, здесь, в принципе, сцена, что наша, что международная, расходится на три потенциальных траектории. Кто-то уходит в культурную самореализацию и экспертизу, кто-то уходит в будущие легальные профессии, а кто-то, к сожалению, уходит в криминализацию. И это важный период между тем, когда мы получали информацию из e-zine'ов в андерграунде и тем периодом, когда мы получили настоящие глобальные международные конференции, какие-то white hat конференции и большой рынок ### Россия и индустрию 2010х. В России наиболее интересные, яркие для меня артефакты этой эпохи – это некоторые онлайн-порталы, такие как void.ru, bugtraq.ru, где можно было видеть впервые и публиковать первые свои исследования и истории не находясь в таких комьюнити. Вышел журнал Хакер, который опять же послужил важным поп-культурным медиа-элементом для вовлечения людей в нашей стране, в это сообщество. Пусть не всегда про то, и не всегда о том, но это все равно было важной вехой для того, чтобы добавить еще заинтересованных людей. В рамках эволюции демосцены и перетекания к нам, сначала появляется демопати ENLiGHT в Питере, потом она перерастает в достаточно долгоиграющую историю и сообщество Chaos Constructions, которое в первую очередь посвящено демо-сцене, но впоследствии подтягивает и infosecurity сцену. Появляются совершенно феноменальные какие-то хабы для комьюнити, которые только погружаются в это или которые переходят из прошлого диалап андерграунда. Antichat, RDot, форумы, на которых люди могут делиться информацией в очень интенсивном режиме. Есть возможность как-то смотреть репутацию человека, проверять, что он сделал, что он опубликовал, с кем он дискутировал. И в дальнейшем из этих форумов появляется целая культура, в том числе и CTF команд, которые потом превращаются уже в настоящие эффективные какие-то команды, работающие прямо по профессии с большими энтерпрайзами. Но также и какая-то blackhat ветка тоже получает свое развитие от тех же самых форумов, на которых можно где-то закрыто обсуждать те или иные вещи. Если у кого-то лежит душа как бы к быстрой монетизации, а не просто к глубокому рисерчу, к сожалению, людей утягивают и туда. Фактически это отдельная своя подсцена, которая оформилась в эти годы. Появляются появляются крупные российские компании, занимающиеся инфосеком. Поскольку сначала там всякие проблемы у людей ассоциировались с вирусами, это были антивирусные компании, но буквально в 2003 году появляется одновременно PT, DSec, Group-IB, и люди занимаются уже настоящими white hat делами, пишут какие-то продукты, закладывают какие-то интересные, перекладывают свои ресёрчи в автоматизированные средства и развивают их именно как white hat-сценарии. ### США В Штатах в это время происходит засилье всевозможного, как тогда это называли, "червей" — самоходного программного обеспечения, которое показало, что на самом деле критическую инфраструктуру можно за ночь где-то да и уронить с помощью такого самоходного обеспечения. Формируется Department of Homeland Security, Подразделение правительственное Которое наравне с US-CERT призвано Регулировать, контролировать обеспечивать безопасность на уровне государства Появляются дискуссии о раскрытии информации об уязвимостях. Наиболее известные Это Full Disclosure и Rain Forest Puppy, которые фактически ратовали за то, что вся информация об уязвимости должна быть раскрыта, ну если не через час, то завтра. И неважно, как вендор будет это устранять. Было очень много интересных коллизий, последствия этого мы ощущаем и сейчас. Оформляется Metasploit как единый фреймворк для тогда зарождающихся offensive операций, для тестов. Появляется OWASP как институт, собирающий культуру вокруг Web Application Security, который тогда, опять же, стремительно набирает обороты, поскольку появляется очень много разнообразных веб-приложений. Появляются первые люди, которые покупают уязвимости, да это ZDI. И это дает в дальнейшем интересный толчок к тому, что привело к тому, что сейчас называетсяя bug bounty-сценой. Соответственно, помимо Black Hat и DEF CON появляется куча-куча локальных конференций в разных частях страны, наиболее интересной, из которых является BSides. То есть изначально конференция, которая сказала, «Ребят, ну, наверное, у вас много людей, которых не взяли на DEF CON, Black Hat, у вас осталось куча контента, просто не потому что они плохие, а потому что невозможно уместить все в сетку. Давайте будем собираться у себя в городах и рассказывать друг другу, эти штуки, чтобы они в стол не уходили и не пропадали. И до сих пор это движение BSides живёт, они сейчас есть не только в Штатах, но и по всему миру. Там проведено уже больше полутора тысяч конференций, это совершенно потрясающе. У них есть замечательные блюпринты по тому, как организовывать это в своем городе, это не менее важно в рамках той темы, в которой мы здесь освещаем. ### Европа Что происходит в Европе? В Европе в 2000-е сильно входят в общественное поле законы о так называемых digital rights — цифровых правах граждан. Формируется отдельная история, которая называетсяя Netzpolitik. Тот трек, которому до сих пор на Конгрессе посвящается очень много времени. Фактически это все история вокруг того, как граждане своей страны должны иметь возможность фактически понимать то, как работают инфраструктуры, отвечающие за их социум. И у них это движение очень сильно. Open source становится совершенно mainstream-треком, и все переходит в open source. Софт, hardware, вся разработка, начавшись с конференции FOSDEM, это движение заполоняет всё, и сейчас мы не представляем себе разработки без open source. Camp получает развитие. Появляется помимо Chaos Communication Congress, Chaos Communication Camp, он проходит как олимпиада, там раз в 4 года появляются кэмпы в других регионах, Hacking at the End of the Universe, Hacking at Large На 24-м конгрессе люди рассказывают доклад, который революционирует впоследствии то, как люди объединяются в сообщество по всему миру. Это доклад про то, как организовать хакерспейс в своей локации. Фактически ребята, как и BSides, дают нам блюпринт, что нужно для того, чтобы завтра собраться впятером, скинуться на аренду подвала, закупить бэушное железо, паяльники и начать делать вещи. ### Что берем из 2000-х Что мы возьмем с собой из 2000-х годов? Форумы показали, что плотность общения критически важна. И, конечно, наверное, многим сейчас недостает этого. Потому что не все, что было там переехало в условный Telegram. Блюпринты, как BSides, так и блюпринты для хакерспейсов. Это фактически шорткаты для того, чтобы создавать локальное сообщество без административного головняка или минимизируя его. То есть ты берешь просто чек-лист, идешь по нему, делаешь вещи, выживает — хорошо, выплывет — ведьма. Публичное авторство мотивирует вовлеченность. Это история про то, что если ты публикуешься, там условно журнале «Хакер» в начале 2000-х – это ничего себе! Или твои статьи выходят на void.ru, или ты известен на форумах. Безусловно, это вовлекает людей погружаться все глубже и глубже. И мы очень в очередной раз понимаем, что локальные конференции важнее масштабных каких-то ивентов для роста новичков. ## Конвергенция: эпоха схождения линий Эпоха схождения линий, конвергенции — наиболее интересная и динамичная из того, что мы переживали в последнее время. То время, когда мы приблизились, как сообщество, в нашей стране максимально близко к международному сообществу. И это было совершенно потрясающе. Сначала начали появляться профильное образование в области ИБ. Люди уже не просто инженеры-программисты, они уже идут учиться этому как профессии. За этим последовали, конечно, и другие спецэффекты, то, что люди и на работу стали переходить как на работу. Но это история другого доклада. Появляется спрос на прикладную безопасность. То есть люди могут монетизировать свои навыки легально. Появляются offensive команды, да, и действительно можно начинать получать свои 50 тысяч рублей за те навыки, которые копил предыдущие 15 лет. CTF выходит на пик своего существования. За счет того, что все это происходит максимально интернационально, CTF происходят поверх границ, и люди встречаются и ездят в совершенно какие-то удивительные места, разные команды приезжают в разные страны, соревнования хостятся на разных площадках, и все это дает опять же толчок и развитие молодых специалистов, людей, которые только входят и осваивают профессию в эту сцену. Проходит в 2011 году первые PHDays и ZeroNights. На который тогда и следующие 10 лет Мы всегда приглашали кучу международных спикеров Подыскивали интересные доклады Пытались организовывать интересные какие-то воркшопы С международным участием людей Приглашали The Open Organisation of Lockpickers И это было совершенно удивительно с точки зрения переплетения культур и вовлечения международного движения, которое сейчас в ретроспективе кажется почти невероятным. ### США и мир В Штатах в это время происходит своя конвергенция. Cyber-physical истории обретают популярность. а всё, что связано с производством, логистическими процессами, разными IoT-устройствами, промышленностью, банкоматами, car hacking — всё это вовлекается в историю, в сцену, в offensive, в какие-то ресёрчи. Появляется первый Big Tech think tank, Project Zero, о котором сегодня уже упоминали, неслыханные доселе, как бы, структуры, которые фактически вовлекают людей для того, чтобы они просто делали очень крутые вещи и потом релизировали их в паблик. Развивается история со скупкой уязвимостей. То есть появляется площадка Pwn2Own в рамках конференции CanSecWest. И тогда еще люди платили за какие-то эксклюзивные ресёрчи, за сложные уязвимости и их эксплуатацию. Впоследствии появляются платформы HackerOne, Bugcrowd, которые сейчас широко известны как bounty-площадки, которые с одной стороны тоже вовлекли много людей, но с другой стороны — мы немножко разменяли глубину на ширину. В Штатах и по всему миру после тех блюпринтов, которые нам показали в Европе в прошлой эпохе, появляется миллион хакерспейсов: NYC Resistor, Noisebridge, мейкерспейсы, такие как Artisans Asylum, DEF CON, как глобальная тусовка, как конференция, дробится на вилладжи, и появляются локальные группы, то, что было характерно уже для CCC в Германии. Локальные вилладжи, вилладжи на конференции очень важны, опять же, с точки зрения комьюнити. В какой-то момент Джефф Мосс понял, что эта история — unmanageable. Невозможно просто в одни щи собрать, как-то устроить все происходящее на таком колоссальном хэппенинге. И он отдал, фактически, бразды правления. Car hacking village — отдельной группе людей. ATM hacking village — другой группе людей и так далее и тому подобное. Что в свою очередь не дало конференции как-то засохнуть под консервативным каким-то единым началом Ну и blueteam в штатах оформляется во вполне себе полноценную профессию ### Европа В Европе в это время социально-активистская история привлекает еще больше внимания к себе Поскольку появляются whistleblower'ы, история со Сноуденом получает очень широкий охват Докучи выходит закон GDPR. Персональные данные внезапно стали не просто тревогой каких-то гиков, а уже чем-то большим для всего комьюнити. Людей это очень беспокоит. Хакспейсы развиваются везде. Open source продолжает набирать обороты. Congress ровно так же, как и DEF CON, нарезается на отдельные ассамблеи. То есть это больше не одно мероприятие. В рамках основного конгресса проходят ключевые треки, но также есть десятки, если не сотни локальных людей, которые приезжают и оформляют какие-то свои движухи. Начиная от hardware hacking'а и заканчивая кофе и пиво-варением. ### Что берем из конвергенции Что мы берем оттуда с собой? То, что международное взаимодействие – это больше, чем просто поездки. Это то, что дает совершенно потрясающий заряд людям, которые участвуют в этом и обмениваются опытом. Профессия, безусловно, нужна, она дает возможность легализоваться и реализоваться, как профессионал и получать за это хлебушек, но она не должна съедать культуру. CTF может объединять людей поверх любых географических и политических границ. Bug bounty, ориентированный на payout могут завести нас в тупик. И большие события должны почковаться и взращивать локальные группы, чтобы не закостенеть. ## Дивергенция: эпоха расхождения Дивергенция — наверное, самый драматичный и грустный этап. В 2020-е годы начались с ковида, который прервал весь оффлайн и далеко не все вернулись обратно. 2022 год разделил всех. Люди уехали многие сообщества, за которые они отвечали и часть которых они являлись, распались санкции ограничили нам перемещение мы больше не можем нормально звать зарубежных спикеров сложнее и сложнее подаваться и проходить отборы на международные конференции, которые проходят за рамками нашей страны импортозамещение неадекватно раздуло локальный рынок появились big tech'и, которые взяли и поглотили фактически все живые умы и руки, если раньше это был удел сервис-провайдеров и вендоров, то теперь у каждого свои колоссальные какие-то offensive команды, свои red team'ы. Это неплохо, опять же, но все рассосались. Серьезная экспертиза слишком тесно пересеклась и смешалась с политикой. люди столкнулись с неразрешимыми конфликтами которые для многих привели к утрате каких-то понятных этических красных линий соотношение информации к шуму в сети совершенно зашкалило в рамках последних веяний с ИИшечкой и каждый регион замыкается сам на себя у каждого своя регуляторика, каждый балканизируется и фактически все идет не туда. ## Что теперь Что теперь? Путешествуя по этим эпохам, для себя мы поняли ключевые вещи и собрали себе набор инструментов, которые могут позволить нам собрать комьюнити обратно и сделать его более поддерживаемым, более живучим, более sustainable. Что важно? Важно иметь место как регулярную точку сборки. Важно иметь заинтересованных и увлеченных людей, наставников, привлечение новичков в этих комьюнити, всегда иметь живое общение. Очень важно делать вещи регулярно. Если нет ритма, нет постоянства — вещам свойственно разваливаться и разбегаться в разные стороны. Мы должны хранить цепочку своей истории, собирать артефакты, статьи, вайтпейперы, e-zine'ы, архивы, что угодно. Мы должны, как никогда, быть привержены четкой и понятной этике, code of conduct и не давать политике влиять на наши отношения. И, наконец, мы должны поддерживать культуру глубины исследований. Любопытство ради любопытства, действие ради действия. Мы не должны уходить, постоянно должны одергивать себя от ухода в treadmill коммерции. Что мы можем сделать конкретно дальше сейчас, и что уже делает эта конференция и многие другие митапы, которые сейчас проходят. Все-таки не все так грустно. Многие те же самые big tech'и организовывают очень много своих локальных сходок. Регулярно что-то проходит. Не все обо всем знают. Что-то слишком закрытое, что-то слишком элитарное. Не везде можно попасть с улицы. Но это все равно прекрасно само по себе. И мы должны делать это шире или доступнее. Мы должны изучать блюпринты, чтобы делать вещи проще, доступнее. Без какого-то административного оверхеда. Мы должны делать это более децентрализованным, потому что сейчас все конференции, фактически, серьезные в России, принадлежат отдельным вендорам. И понятно, куда нас это приведет. Мы должны прийти к модели, когда конференции существуют независимо от какого-то конкретного бизнеса. Мы должны иметь такой публичный, прозрачный календарь событий. Куда, когда, к кому приходить, к кому обращаться, для того, чтобы узнать, а что будет дальше. Мы должны пускать новичков на lightning talks. Даже если у людей нет опыта, они должны рассказывать, что у них происходит, о чем они думают, что они сделали вчера. Мы должны пытаться строить и поддерживать мосты с международным комьюнити через open source, CTF'ы, публикации. Все, что осталось доступным, все, где мы можем податься, к чему мы можем присоединиться. Мы не должны терять эти мостики. Ну и нам просто нужно продолжать появляться, потому что если мы опустим руки, все это превратится в тыкву. Спасибо. Простите, что за задержал вас. ## После доклада Спасибо, Саня, за это крутое выступление. Community с нами, community есть мы. YOPRST вроде как закончился, но не закончился. А, вот. И начинает. Саш, не уходи. Это песня в честь тебя. Она называетсяя «Teenage Riots». Это для тех мест, которые дали мне драйв. Да Кто помнит «Радио-86РК»? Кто помнит «БК 0010-011»? Эх, молодежь! Я расскажу, что будет дальше Дальше, смотрите, у нас есть прекрасные картины Вы можете за любой донат, за один рубль, за три рубля, за любой, какой интересно, в фонд «Дом с маяком» просто взять их и унести с собой, чтобы они вас радовали и напоминали о YOPRST. У нас есть прекрасный бар, который работает. Через краткий саундчек у нас будет какая-то музыка. Будут интересные люди играть. Мы немножко, наверное, разведем эти стулья. Можно курить, общаться, болтать и пить йогурт. А на выходе вам еще... А может и не на выходе можно и раньше. Дадут всем клёвые YOPRST-ные футболки. Потому что вы крутые. Спасибо большое! Спасибо.