Имя Джеймса Мура знакомо каждому, кто занимается пентестами. Создатель легендарного Metasploit Framework, он прошел путь, далекий от классических историй успеха Кремниевой долины: у Мура нет докторской степени, многомиллионного стартапа или офиса в Калифорнии. Вместо этого — школьные эксперименты с реверс-инжинирингом по заказу ВВС США, разобранные компьютеры с помойки и ночи в подпольных IRC-чатах, где обсуждались взломы телефонных сетей и финансовых систем.
Как подросток, увлекающийся фрикингом и сборкой ПК из выброшенных деталей, превратился в одного из самых влиятельных людей в информационной безопасности? Что привело его к созданию Metasploit — инструмента, который изменил подход к пентесту? В этой статье — история HD Moore: от первых хакерских экспериментов до фреймворка, которым сегодня пользуются и киберпреступники, и спецслужбы.
Как бедность и мусорные контейнеры сформировали мировоззрение будущего создателя Metasploit
Джеймс родился в 1981 году в Гонолулу, но его детство мало напоминало гавайский рай. Семья жила за чертой бедности — за школьные годы он сменил 12 учебных заведений в 13 разных штатах. Постоянные переезды и финансовые трудности привели к тому, что семья Джеймса буквально добывала «ресурсы» в мусорных контейнерах. Именно так он собрал свой первый ПК — из выброшенных кем-то корпусов, материнских плат и жестких дисков, усвоив принцип: «не можешь купить — сделай сам».
Социальная изоляция и частая смена школ превратили интернет в его единственный стабильный «дом». В 1990-х IRC-каналы стали для Мура первым настоящим сообществом: там он находил единомышленников, осваивал фрикинг (взлом телефонных сетей) и изучал уязвимости в ПО.
В 16 лет Мур принимает радикальное решение — бросает школу. Это дает ему неожиданное преимущество: пока сверстники сидят на уроках, он может посвящать по 12–14 часов в день изучению компьютерных систем. И время для экспериментов появилось как нельзя кстати — наступала золотая эра хакерства: в индустрии еще не было стандартов кибербезопасности или инструментов пентеста. Компании и госструктуры защищали инфраструктуру кто как мог, часто — вслепую. Разделения на этичных и неэтичных хакеров не существовало, можно было взять любую систему и исследовать её просто потому, что она была интересна.
Для Мура взлом всегда был исследованием, а не вандализмом. В разных интервью он сравнивал свои подростковые эксперименты с археологией: «Мы не думали о "хорошем" или "плохом" — просто искали интересные системы и разбирались, как они работают».
Подход Мура отличался от действий типичного «подпольного» хакера: вместо демонстративных взломов Джеймс методично документировал каждую найденную уязвимость, создавая базу знаний, которая позже ляжет в основу Metasploit. И, несмотря на молодость, он быстро выделился в хакерской среде. У него был хороший технический бэкграунд (благодаря опыту «сборки» компьютеров) и нестандартное мышление. IRC-чаты стали для юного хакера площадкой для общения, на которой обсуждалось всё: протоколы, уязвимости и схемы доступа к сетям. Вскоре Мура заметили — в том числе подрядчики ВВС США.
Однажды мне ни с того ни с сего написал незнакомец: «Ты работу случайно не ищешь?» Я ответил: «Вообще-то да». Он спросил, далеко ли я от Сан-Антонио. Я сказал: «Могу доехать, не проблема».
В итоге он устроил мне собеседование в Computer Sciences Corporation (CSC). Эта компания была подрядчиком AFIC, разведывательного подразделения ВВС США. Они занимались разработкой инструментов для редтиминга.
Я подумал: писать эксплойты для военных? Звучит круто. Такое мне по душе.
Молодому хакеру без диплома и формального образования предложили написать софт, который должен был находить уязвимые компьютеры, мониторить сетевой трафик и тестировать устойчивость систем к взлому. По сути, это была первая оплачиваемая работа, где он занимался тем же, что делал в IRC: находил слабые места. Только теперь его хакерство стало «легальным».
«Я был ужасным программистом, — смеялся Мур, вспоминая первые проекты для ВВС. — Но военным нужны были не красивые решения, а инструменты, которые просто работают». Этот принцип — функциональность важнее элегантности — позже лег в основу философии хакера.
Еще до знакомства с IRC Мур исследовал телефонные сети «старой школы». Используя программу ToneLoc, он сканировал 512-й телефонный код Остина, подключаясь ко всему, что отвечало на звонок: от HVAC-контроллеров в магазинах до систем радиопередач. Для таких масштабных поисков требовалось множество телефонных линий — в доме Джеймса были установлены три обычные телефонные линии и одна ISDN.
«Как только мама ложилась спать, я подключал компьютеры ко всем линиям и сканировал округу всю ночь».
Заработав уважение в структуре, где не принято доверять никому, Мур параллельно начал брать проекты от частных компаний: малого бизнеса, финансовых организаций — тех, кто только начал понимать, что цифровая безопасность — это необходимость. Именно тогда он начинает осознавать: в отрасли не было ни адекватных инструментов, ни единого подхода. Каждый пентест — ручная работа, повторно использовать наработки почти невозможно. Доступные эксплойты либо не работали на практике, либо оставляли слишком заметные следы в системе.
Мур, на которого случайно вышли через IRC, понимал: индустрии нужен инструмент — единый, гибкий, модульный. То, чего у него самого никогда не было под рукой.
Возглавить то, что не можешь победить
К началу двухтысячных ИБ-индустрия столкнулась с серьезной проблемой. С одной стороны, количество уязвимостей росло экспоненциально. С другой — инструменты для их эксплуатации и тестирования были разрозненными, плохо документированными и доступными только узкому кругу экспертов.
Хакерские группировки вроде ADM (The Atlantis Destroyers of Milano), TESO (Team TESO) и LSD (Last Stage of Delirium) работали как закрытые элитарные клубы. Они создавали мощные эксплойты, но делились ими только внутри своего круга. Эта культура секретности означала, что доступ к свежим эксплойтам можно получить только в том случае, если вы знаете правильных людей, приняты в группу, доказали свою «уникальность». Новички не допускались, знания передавались только от учителя к ученику. Это создавало искусственный дефицит — множество талантливых специалистов по безопасности не могли получить доступ к инструментам, необходимым для выполнения своей работы. Именно этот разрыв между теми, кто создавал эксплойты, и теми, кто должен был защищать систему, позже приведет к созданию Metasploit.
Парадоксально, но Мур испытал эту элитарность на себе. Несмотря на свои навыки и знания, он не вписывался ни в одно закрытое хакерское сообщество. Возможно, причиной была его принципиальная позиция «знаниями нужно делиться». Результат был закономерен: один из самых талантливых хакеров своего поколения оказался исключен из «клуба крутых парней».
Переход в Digital Defense и зарождение идеи Metasploit
Команда Мура проводила пентесты с впечатляющими результатами — можно было легко взломать систему и получить полный контроль над всем периметром. Однако клиенты скептически относились к отчетам о найденных уязвимостях и требовали конкретных доказательств реальной угрозы. И здесь начинались главные трудности: существующие эксплойты часто не работали или были слишком «шумными» для профессионального использования. Приходилось искать рабочие инструменты на сомнительных FTP-серверах или в IRC-чатах, рискуя подхватить вирус. Но профессионал не может запускать в корпоративной сети клиента случайный код, скачанный из интернета. Нужны были надежные, проверенные инструменты, а хакерское сообщество не спешило делиться своими разработками с коммерческими компаниями.
Когда CSC отказалась от коммерческих пентестов, команда Мура перешла в стартап Digital Defense. Именно там Мур понял, что между элитарностью хакерских групп и практическими потребностями пентестеров пролегала глубокая пропасть, которую предстояло преодолеть.
Пентестеры стали заложниками системы: чтобы защитить клиентов, им приходилось рисковать, используя непроверенные эксплойты. «Мы, по сути, делали то же, что и обычные хакеры — искали код в подпольных чатах. Разница лишь в том, что мы потом писали отчеты», — шутил Мур.
В это же время на рынке появился Core Impact — первый коммерческий фреймворк для пентеста. Цена лицензии достигала $40,000, что делало его недоступным для большинства специалистов. Это был замкнутый круг: элитные группы создавали инструменты только для внутреннего пользования, а коммерческие решения были слишком дороги, качественных открытых альтернатив не существовало.
Опыт в Digital Defense стал последней каплей для Мура. К началу 2000-х он окончательно устал от абсурдной ситуации, в которой оказались пентестеры: чтобы доказать клиенту реальность угрозы, нужен рабочий эксплойт, но добыть такой эксплойт можно было только пройдя через огонь, воду и высокий риск заражения собственной системы.
Тогда-то у Мура и возникла идея создать «свой TESO дома». Его подход кардинально отличался от принципов закрытых хакерских группировок: максимальная открытость и доступность для всех. Джеймс хотел создать фреймворк, который мог бы использовать любой специалист по информационной безопасности, независимо от его связей и принадлежности к каким-либо группировкам или корпорациям. Первые технические решения были революционными не столько по сути, сколько по подходу. Мур начал собирать и стандартизировать эксплойты, создавать единую документацию, которую мог использовать кто угодно.
Создание фреймворка
Момент озарения настиг Мура во время изучения документации по Windows API. Он внезапно понял: большинство эксплойтов используют одни и те же принципы. Техническая суть была проста, но гениальна: создать базу данных шелл-кодов, которые можно было бы переиспользовать. Вместо того чтобы каждый раз писать эксплойты с нуля, можно было собирать их из готовых компонентов, как из конструктора Lego, и делиться ими.
В 2003 году Мур создает первую версию Metasploit с текстовым интерфейсом — скромный набор из 11 эксплойтов для Windows и 27 полезных нагрузок, написанный на Perl. Однако истинная ценность фреймворка заключалась не в количестве компонентов, а в том, что они были взаимозаменяемы. Эксплойты, полезную нагрузку и механизмы обхода защиты теперь можно было комбинировать — и это кардинально упрощало работу пентестеров.
Сам Мур впоследствии признавался, что первые версии Metasploit «выглядели стремно». Но код работал, а главное — его могли понять и модифицировать другие разработчики. В отличие от элитных групп, которые создавали «произведения искусства», доступные только их авторам, Мур создавал рабочие инструменты для массового использования.
Первые версии Metasploit были похожи на хаотичный сборник скриптов, которые Мур годами хранил на своем ПК. «Никакой документации, никакой системы — просто папка с файлами, которые я хоть как-то понимал». Но даже такой «полуфабрикат» был прорывом: теперь у пентестеров был централизованный инструмент с эксплойтами, которые не пытались заразить их клиентов. Проблема была в поддержке актуальности: новые уязвимости появлялись каждый день, а Мур не мог самостоятельно отслеживать их на постоянной основе. Именно тогда стало ясно, что Metasploit должен трансформироваться из личного проекта в общее дело.
К 2007 году Metasploit Framework был полностью переписан на Ruby. Миграция с Perl была не просто техническим решением, а философским выбором.
Ruby с его принципом «программист должен получать удовольствие от кода» идеально подходил для проекта, который развивался силами сообщества энтузиастов. Открытый исходный код стал оружием против корпораций, которые пытались монополизировать рынок инструментов безопасности. Вместо того чтобы платить десятки тысяч долларов за лицензию, любой мог скачать Metasploit бесплатно и начать использовать.
Почему все ненавидели Metasploit
Успех Metasploit привел к тому, что Мур оказался в состоянии войны практически со всеми участниками индустрии. Каждая сторона имела свои претензии к его детищу.
Работодатели Джеймса не хотели нести ответственность за выпуск эксплойта, которым может воспользоваться кто угодно для взлома чужой системы — ведь любой мог скачать инструмент и атаковать инфраструктуру компаний. Логика была проста: если об уязвимости никто не знает, то ее как бы и нет.
Хакеры возмущались, что их секреты общедоступны: эксплойты, которые продавались за тысячи долларов, стали бесплатными. Metasploit разрушал их бизнес-модель, основанную на дефиците информации. Например, уже в первую неделю после запуска кампании «Month of Browser Bugs» (2006 год), Мур получил гневное письмо от русскоязычного хакера, который жаловался, что публикация уязвимости лишила его дохода.
Другие выражали недовольство иначе — через DDoS. Например, когда в Metasploit появилась уязвимость, которую использовали операторы одного ботнета, те устроили DDoS-атаку на сайт проекта. В ответ Мур изменил DNS-записи metasploit.com так, чтобы они вели на С2-серверы самого ботнета. В итоге зараженные машины начали штурмовать собственную инфраструктуру, и вскоре операторы потеряли над ней контроль.
Через неделю хакеры написали Муру письмо с просьбой «вернуть всё обратно». Ответ был прост: «Только если больше не будете нас трогать». Больше не трогали.
Хакерским подпольем дело не ограничилось — к давлению на Metasploit подключились и корпорации. Они пытались криминализировать сам проект: юристы крупных компаний угрожали судебными исками, а некоторые государственные структуры рассматривали Metasploit как угрозу национальной безопасности.
Для проверки системы на уязвимости нужны подходящие инструменты. Но никто не спрашивает пентестера, откуда он их берет. Все просто предполагают, что раз «ты хакер», то как-то сам справишься. Но ведь нельзя каждый раз изобретать велосипед, чтобы обойти защиту. Нужен набор проверенных инструментов, которым ты доверяешь и которые не нанесут вред клиенту. И вот тут встает другой вопрос: если ты сделал такой инструмент и выложил его в открытый доступ, а кто-то потом использует его для преступления — насколько ты за это в ответе?
Правовые проблемы преследовали Джеймса. Повестки от различных правоохранительных органов, угрозы и попытки запретить распространение Metasploit — все это было частью повседневной реальности. Ярким примером двойственности ситуации стал первый шелл-код Мура для Windows. Едва появившись в публичной сборке Metasploit, он почти мгновенно был интегрирован в червь Blaster — один из самых разрушительных сетевых вирусов 2003 года.
По оценкам исследователей, только в 2020 году более тысячи вредоносных кампаний использовали Metasploit как основу для атак. Но Мур оставался непреклонен: он видел лицемерие в концепции «ответственного раскрытия уязвимостей». Практика показывала, что защищены только интересы корпораций, а не пользователей. Философия Мура была радикальной: публичное раскрытие уязвимостей заставляет компании быстрее исправлять проблемы и повышает общий уровень безопасности в индустрии.
А Microsoft против!
Отличной иллюстрацией того времени стало противостояние Мура с Microsoft. Первый стартап Джеймса был партнером корпорации, что давало компании скидки на лицензии MSDN и другие преимущества. Именно этим Microsoft и воспользовалась как рычагом давления, решив действовать на упреждение: представитель корпорации начал регулярно звонить руководству с одним и тем же требованием уволить Мура.
Давление оказывалось методично и безжалостно: в Microsoft понимали, что для небольшого стартапа потеря партнерских привилегий могла стать катастрофой. Коллеги Мура, его начальник, генеральный директор — все они внезапно оказались под прицелом корпоративной машины, которая требовала одного: заставить неудобного человека замолчать. Это было не просто деловое решение — это была попытка уничтожить карьеру Мура, который осмелился говорить правду.
Если корпорация думала, что сможет запугать его угрозами, она сильно ошибалась: вместо отступления Мур удвоил усилия. Вместе с единомышленниками он сосредоточился на автоматизированном поиске уязвимостей в ActiveX, разработав браузерный фаззер на JavaScript-движке для Internet Explorer.
Сначала Мур попытался действовать по правилам, методично сообщая Microsoft об обнаруженных проблемах. Но корпорация словно не замечала его усилий. Месяц за месяцем уязвимости оставались неисправленными, а от Microsoft не поступало никаких внятных ответов. Терпение лопнуло, и хакер принял радикальное решение, начав кампанию по привлечению внимания «Month of Browser Bugs». Стратегия была простой: завалить Microsoft уязвимостями, чтобы заставить компанию отказаться от этой небезопасной технологии. Мур не просто критиковал ActiveX — он объявил ей войну.
После тридцати-сорока опубликованных уязвимостей Мур сделал заявление, которое окончательно добило Microsoft: «У нас есть еще двести-триста таких же. Мы можем продолжать весь год».
Это была не пустая угроза — это была демонстрация того, что проблема носит системный характер, а ActiveX невозможно сделать безопасной по определению. Но настоящая кульминация противостояния произошла в Малайзии, на конференции «Hack the Box», куда Мур приехал объявить о создании Metasploit. Ирония ситуации была в том, что Microsoft спонсировала это мероприятие и организовала соревнование Capture the Flag, предлагая всем заинтересованным в качестве мишени для взлома полностью обновленный Windows 2003 Server. Для Мура это была идеальная возможность публично продемонстрировать уязвимость продуктов Microsoft.
Он решил участвовать в CTF и начал работу с фаззинга: написал собственную утилиту, которая автоматически отправляла случайные команды и данные на сервер, отслеживая любые сбои в его работе. Вскоре Муру удалось добиться некорректного поведения системы. Он проанализировал данные, вызвавшие сбой, и на их основе создал эксплойт, обеспечивший удаленный доступ к серверу — несмотря на его актуальное состояние и отсутствие известных документированных уязвимостей. Когда Джеймс сообщил о находке представителям Microsoft, они предложили ему передать её через официальный канал. Однако, уже имея негативный опыт взаимодействия с компанией и столкнувшись с игнорированием ранее направленных отчетов, он отказался и потребовал объяснить, какие гарантии и вознаграждение предлагает Microsoft.
Ни гарантий, ни вознаграждения ему давать не планировали. Мур обратился к организаторам соревнования, сообщив им о попытках Microsoft заставить его скрыть найденную уязвимость. Это был открытый вызов: исследователь публично заявил, что отказывается подчиняться давлению той самой компании, которая спонсировала мероприятие. Почти сразу корпорация начала предлагать работу тем, кто поддержал Мура, пытаясь купить их молчание.
В войне с Microsoft случались и «просветы». В 2005 году, осознав необходимость диалога с сообществом, компания начала приглашать внешних экспертов на BlueHat — закрытую конференцию для обсуждения уязвимостей во внутренних продуктах. Microsoft десятилетиями боролась с хакерами в судах, а теперь сама привела их в святая святых — на внутреннюю встречу с разработчиками.
Мур знал одного из докладчиков и был приглашен присоединиться к его выступлению; ему было о чем рассказать. В это время он работал с экспериментальной утилитой KarMetasploit. В основе инструмента лежала уязвимость, связанная с работой Wi-Fi, характерная для тех лет. Многие ноутбуки и мобильные устройства автоматически подключались к ранее сохраненным точкам доступа, не проверяя их подлинность. Это позволяло злоумышленнику создать фальшивую точку с таким же SSID, и устройства подключались к ней, считая её легитимной.
KarMetasploit пошел еще дальше: вместо того, чтобы имитировать конкретную точку доступа, Karma просто «соглашался» на запрос подключения, независимо от имени сети, которую искал клиент. То есть любое устройство, запрашивающее подключение к «CorpWiFi» или «HomeNet», немедленно получало от фальшивой точки подтверждение, что это именно та сеть, и подключалось к ней. После подключения устройство начинало обычный сетевой трафик — например, пыталось подключиться к файловым службам, проверить доступность корпоративных ресурсов, инициировать VPN-соединение или даже отправить учетные данные для аутентификации через NTLM. Мур добавил в связку эксплойты, снифферы и модули перехвата, которые позволяли собирать NTLM-хеши передаваемых паролей автоматически запускать эксплойты против подключившихся устройств, если они имели известные уязвимости. В некоторых случаях можно было захватить контроль над системой, если клиент был уязвим.
Мур решил воспользоваться собственным инструментом в полете на конференцию. Запустив утилиту, он смог собрать множество хэшей паролей сотрудников Microsoft, летевших рядом с ним.
Противостояние с Microsoft закалило Мура и показало ему истинную природу корпоративной власти в IT-индустрии. Это была война на два фронта — технический и личный, где ставкой была не только безопасность миллионов пользователей, но и право исследователя говорить правду. Мур выиграл обе битвы, но цена победы оказалась высокой: он навсегда остался неудобным человеком для крупнейшей корпорации в мире.
300 спартанцев от ИБ
То, что начиналось как проект одиночки, быстро превратилось в настоящее движение. К пику своего развития Metasploit насчитывал около 300 активных контрибьюторов по всему миру. Среди них были такие ключевые фигуры, как Spoonm и Skape, которые внесли фундаментальный вклад в развитие фреймворка.
Особенно интересной была система «отмывания эксплойтов» для государственных служащих и новичков. Многие специалисты по безопасности, работавшие в правительственных структурах, не могли официально участвовать в проекте из-за бюрократических ограничений. Поэтому они передавали свои разработки через посредников, которые публиковали их от своего имени. Мур активно приглашал сообщество к диалогу, иногда за плюшки — например, модифицированный Wi-Fi роутер с прошивкой на базе OpenWRT.
На официальном сайте публиковались не только изменения во фреймворке, но и авторские дополнения — вклад каждого был важен.
Metasploit кардинально изменил подход к пентестам: до появления фреймворка, пентест был своего рода искусством, доступным только избранным экспертам. После — стал инженерной дисциплиной со стандартизированными инструментами и методологиями. Появление Bug Bounty программ во многом обязано философии Мура. Компании поняли: лучше платить «белым хакерам» за поиск уязвимостей, чем бороться с последствиями атак.
Демократизация знаний о безопасности привела к появлению целой индустрии. Курсы по этичному хакингу, сертификация, специализированные конференции — всё это выросло на фундаменте, заложенном Metasploit.
Сделка с дьяволом
21 октября 2009 года было объявлено о приобретении проекта Metasploit компанией Rapid7. Звонок из Rapid7 стал предложением, которое Мур не мог отклонить — не столько из-за денег, сколько из-за возможностей развития проекта. Структура сделки была типичной для стартапов — earn-out модель, где итоговая сумма зависела от достижения определенных показателей в течение нескольких лет. Это означало, что Мур должен был не просто продать проект, но и продолжать его развивать под корпоративным управлением.
Конфликт интересов был неизбежен. С одной стороны — страсть Мура к самостоятельному созданию инструментов, с другой — требования публичной компании, где каждое решение оценивается через призму ROI. Следующие четыре года превратились в серьезное испытание: Джеймсу пришлось создавать команду и офис в Остине, балансировать между требованиями open-source сообщества и коммерческими интересами Rapid7. Да, техническая эволюция проекта ускорилась — корпоративные ресурсы позволили привлечь больше разработчиков и масштабировать разработку. Но каждое решение проходило через призму коммерческой целесообразности: сообщество требовало сохранения принципов открытости, а корпорация — создания монетизируемых функций в закрытых продуктах.
Успех дорого обошелся Муру. Постоянное давление, необходимость принимать решения не только как технического лидера, но и как бизнес-руководителя, привели к серьезным проблемам со здоровьем и личными отношениями. Выгорание было неизбежно, ведь человек, который создавал Metasploit из страсти к технологиям, оказался менеджером корпоративного продукта с бюджетами, дедлайнами и требованиями акционеров.
В 2016 году Мур принял решение уйти, чтобы начать создавать что-то новое, а не управлять уже созданным.
Второе дыхание
После ухода из Rapid7 Мур занялся консалтингом. Главной проблемой, на которой он решил сфокусироваться, стала растущая сложность корпоративных сетей — компании часто не знали, какие активы у них есть, где они расположены и как защищены. Традиционные инструменты сканирования были слишком медленными и неточными для современных динамических сред — нельзя защитить то, о чем не знаешь.
Новый проект Мура — RunZero (первоначально Rumble Network Discovery) не просто еще один сетевой сканер, а попытка применить философию Metasploit к инвентаризации IT-активов.
Если Metasploit дал всем желающим доступ к инструментам атаки, то RunZero помогает организациям увидеть, что на самом деле происходит внутри их собственной инфраструктуры. В каком-то смысле это продолжение той же идеи, с которой начинался Metasploit — только вместо «взломать и доказать» ставится цель «обнаружить и защитить».
Metasploit же продолжил жить своей жизнью — без участия Мура, но с неизменным влиянием на индустрию. Но об эволюции инструмента поговорим уже в следующей статье.
PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона