Как бы история успеха: за что ФБР разыскивает хакера Карлоса Мелару? Евгений Золотов

Как бы история успеха: за что ФБР разыскивает хакера Карлоса Мелару?

Евгений Золотов

Опубликовано 14 ноября 2013

Список «Most wanted» Федерального бюро расследований США — всё равно что доска почёта: если ты там оказался — значит, определённо кому-то насолил, и насолил сильно. Это почти как стать героем шпионского боевика, только не понарошку, конечно. Похитители детей соседствуют здесь с убийцами, насильники — с рэкетирами, наркоторговцы с грабителями. Есть там и раздел киберзлодеев, в котором из десяти фигурантов аж пятеро — уроженцы РФ или территорий бывшего СССР: вымогатели, мошенники, воры.

На днях, однако, в эту тёплую компанию затесался человек, которому делать там как будто бы нечего. Он не грабил, не убивал, не брал чужого. С фотографии на нас смотрит спокойный, неглупый, не лишённый обаяния юноша. Это сальвадорец Карлос Энрике Перес-Мелара; сейчас ему 33 года, и чести быть включённым в список самых разыскиваемых преступников он удостоился за то, что занимался любимым делом. А именно — написал и имел наглость продавать компьютерную программу. Естественно, необычную: предназначалась она для выведения на чистую воду неверных супругов. Loverspy.

По принципу действия Loverspy похожа на троян (а с точки зрения антивирусных вендоров им и является). Она проникает на компьютер жертвы, маскируясь под виртуальную открытку, и начинает контролировать клавиатуру, браузер, электронную почту, пароли; с её помощью можно включать веб-камеру, удалять и править файлы — короче говоря, делать всё то, что обычно позволяют средства дистанционного администрирования. Собранная информация периодически отправляется хозяину, то есть человеку, который и «натравил» программу. А это, предположительно, любящий супруг или друг сердца, заподозривший неладное и решивший проверить, не ведёт ли партнёр двойную игру, не ходит ли «налево».

Мир узнал о Loverspy летом 2003-го, и всего за несколько месяцев (если верить ФБР) она была применена для скрытой слежки за сотнями, если не тысячами ничего не подозревающих обывателей и обывательниц. Поскольку жертвами чаще всего оказывались простые люди, а трояны, распространяющиеся по почте, тогда ещё были новинкой, эффективность программы оказалась весьма высокой: каждая вторая атака оканчивалась заражением. Громкий успех привлёк внимание полиции, и уже осенью к Карлосу нагрянули с обыском. Увы, чтение чужой переписки en masse дозволено АНБ и ФБР, но те же действия для частного лица расценили как незаконные. Так в истории востребованного проекта была поставлена точка. 

Но для Карлоса всё только начиналось. В Штаты он приехал по туристической визе, а к моменту визита полиции успел поступить в колледж и получить студенческую. Однако к 2005 году, когда ему и четырём покупателям его программного продукта (Loverspy, естественно, была небесплатной: 89 долларов за лицензию на пять машин) предъявили обвинение, наш герой предпочёл «сделать ноги». Обвинения включали в себя незаконное производство, распространение, эксплуатацию и рекламу тайного подслушивающего устройства, а также помощь в эксплуатации и проникновение на чужой компьютер с целью получения выгоды.

Покупатели, которых удалось привлечь к ответственности, в конце концов отделались штрафами и условными сроками. Карлосу, понятное дело, такая щедрость не грозила: совокупная тяжесть проступков, в которых его подозревали, тянула на 175 лет тюрьмы и многомиллионный штраф. Так что он, очевидно, решил распрощаться с «родиной демократии» и вернулся на родину историческую, в Сальвадор, где, говорят, его и видели последний раз. Восемь лет он водил ФБР за нос (воистину, талантливый человек талантлив во всём!) и удостоился чести быть включённым в список «Most wanted». За одну только информацию, ведущую к его аресту, ФБР теперь готова выплатить $50 тысяч.

Сам Карлос успел заработать, с одной стороны, прилично (учитывая, что бизнес просуществовал лишь несколько месяцев), а с другой — совсем не много: десятки тысяч долларов, опять же если верить федералам. Укради он такую сумму «живьём», ему светила бы в лучшем случае провинциальная каталажка, а не почётное звание самого разыскиваемого преступника ФБР. Но есть в истории Карлоса и другие детали, заставляющие ему сочувствовать, а не жаждать возмездия.

Прежде всего ему определённо не повезло с моментом. Начало «нулевых» было временем бурным и интересным, но сравнительно примитивным для технологий анонимности. Начинай Карлос сегодня, он, конечно, смог бы избежать раскрытия своей личности и личностей клиентов (которых он пытался защитить, выступая посредником при пересылке собранной информации с компьютера жертвы): подпространство TOR и биткойны легко позволили бы выстроить абсолютно анонимный бизнес.

Но лучше того, случись это сегодня, он почти наверняка вообще построил бы бизнес абсолютно легальный! И наша история была бы не рассказом о беглом бандите, а историей успеха талантливого программера, продавшего перспективный веб-сервис какому-нибудь гиганту, вложившемуся в новый проект и так далее. Дело в том, что spyware — то есть софт для слежки за пользователем, к которому причисляют и Loverspy, — как класс зародился в 90-е, но оскалил зубы только с наступлением нулевых. И время было натурально дикое: никто не знал ещё, что хорошо, а что плохо, никто не понимал, где проходит та черта, переступить которую значило нарушить закон. Свидетельством сему замечательный факт: одно из первых массовых spyware-решений скрывалось под видом обучающего продукта для детей, произведённого законодателем мод в области детских игрушек Mattel.

Точно так и Карлос вполне мог не понимать, что нарушает закон, когда публиковал свою программу. Не понимали этого и СМИ, бросившиеся восторженно описывать Loverspy — и потерявшие интерес, как только он проснулся у полиции.

_{Год 2013. Обычная реклама мультиплатформенного spyware-продукта. Обратите внимание на список «медиапартнёров».}

К настоящему моменту правовая неразбериха более или менее утряслась, и нарисовалась удивительная картинка. Спайварь может быть совершенно легальной, если только при пользовании программой выполняется условие: компьютер (и вообще устройство, на которое инсталлируется spyware-продукт) должен принадлежать человеку, который spyware инсталлирует. Чем и пользуются авторы бесчисленного множества компьютерных и мобильных приложений из разряда слежения за детьми (почему-тоparental control) и вообще дистанционного мониторинга. Правда, в тех же Штатах, Европе и наверняка в России всё ещё можно отправиться за решётку за «прослушку» гражданина без его согласия, но это обстоятельство продажам не мешает.

Хочется верить, что и Карлос не зарыл свой талант в землю — и, пусть под другим именем, делает какой-нибудь большой и полезный программный продукт. Кто-нибудь знает, каков в США срок давности за компьютерные преступления?

В статье использована иллюстрация Ed Yourdon.

К оглавлению