Однако, создав эти технически сложные программы, в которых было нелегко разобраться и скопировать, мы подумали: «У нас есть криптографические библиотеки, позволяющие безопасно выполнять любые действия на карманных устройствах. Какую защиту мы можем обеспечить? Возможно, каких‑то действий покупателей?» В результате переориентировались на другого потребителя. Мы решили написать приложение для хранения конфиденциальной информации на карманном устройстве. Например, для хранения данных кредитной карты. И нам без труда удалось реализовать эту идею. Но, сами понимаете, не было смысла иметь программу электронного бумажника без возможности использовать эти данные в любом месте. Допустим, у заказчика возникает вопрос: «Какой номер моей кредитной карты?» Какая разница, где его посмотреть: вытащить обычный бумажник и глянуть там или взять свое карманное устройство и проверить номер с помощью программы электронного бумажника? Значит, эта идея тоже бесперспективна.
Затем мы решили поискать ответ на вопрос: «Что действительно важное можно хранить в Palm Pilot?» Это навело нас на мысль, что мы можем обеспечить сохранность конфиденциальной информации. Например, неразумно записывать на бумаге пароли. Но введя их в Palm Pilot, вы можете обеспечить их защиту с помощью дополнительного пароля (идентификационной фразы). Мы написали такую программу и привлекли внимание пользователей, но все равно наша деятельность оставалась пока малоэффективной.
И вдруг произошло озарение: «А почему бы не хранить деньги в карманных устройствах?» Первым действием на этом пути стало создание криптографически защищенных долговых обязательств (расписок). Например, я даю расписку: «Я должен тебе 10 долларов» и шифрую ее с помощью идентификационной фразы. В действительности она не хранится на уровне пользовательского интерфейса, но ею можно воспользоваться вполне реально. Например, я могу отправить ее вам через инфракрасный порт на Palm Pilot, который сейчас кажется чем‑то давно устаревшим. Вы можете «снять» 5 долларов в качестве оплаты за ланч, а можете достать второй Palm Pilot и повеселиться, пересылая электронные деньги друг другу. Эта простая идея послужила толчком к дальнейшему развитию, поскольку она была необычной и прогрессивной. Как будто вокруг нас собралась толпа любителей новых технологий, уверенно твердивших: «Ух ты! Да ведь за этим будущее. Мы хотим отправиться в будущее. Возьмите нас с собой». Таким образом, нам удалось привлечь внимание и повысить уровень финансирования на базе этой истории.
Затем состоялась знаменитая транзакция в ресторане Buck’s в Вудсайте. Ресторан фактически является вторым домом для многих венчурных капиталистов. Средства нашего первого раунда инвестирования были перечислены нам с помощью Palm Pilot. Наши венчурные капиталисты пришли на раунд финансирования с суммой в 4,5 млн долл., заранее загруженной в Palm Pilot. Затем выполнили транзакцию нам через инфракрасный порт своих Palm Pilot.
В действительности наш программный продукт тогда еще не был доведен до полной готовности. За неделю до первого раунда инвестирования в ресторане Buck’s я осознал, что мы не сможем осуществить задуманное, поскольку программный код не дописан. Естественно, можно было выполнить имитацию подлинной операции перевода средств, например воспроизвести звуковой сигнал и сказать: «Деньги получены». Но мне претила такая идея. Наша компания занималась безопасностью, как же я могу имитировать что‑то стоимостью 4,5 млн долл.? А что будет, если что‑то пойдет не так? Или имитация станет очевидной? Мне придется прибегнуть к ритуальному самоубийству, чтобы избежать позора. Поэтому два моих программиста и я сутками корпели над программным кодом. И так в течение пяти дней. Я знаю, что люди обычно спят. Я не спал тогда вообще. Это был безумный марафон, когда голову сверлила только одна мысль: «Мы должны заставить это работать». И в конечном итоге мы добились своего. Мы закончили программу в 9:00, а транзакция по переводу денег состоялась в 10:00.
В этом случае нельзя было писать программу кое‑как. Когда вы занимаетесь криптографическими приложениями, то при ошибке в одном бите ничего не функционирует вообще. Мы начали тестирование в полночь перед днем раунда финансирования, исправили все недочеты и выполнили проверку снова. При работе программы возникали «утечки памяти», но все действия являлись полностью безопасными. То есть хотя ПО и не было идеальным, способ передачи данных о транзакции денежных средств из одних рук в другие оказался целиком защищенным. Опасность состояла лишь в том, что устройства Palm Pilot могли выйти из строя, при этом транзакция была совершенно надежной. Я мог поставить на нее всю свою жизнь. Однако нельзя назвать идеальной ситуацию, когда лишь программное обеспечение было безопасным, а компьютер – нет.
Поэтому мы запаслись штабелями Palm Pilot, куда загрузили одно и то же ПО. Разумеется, деньги можно было «разместить» только в одном из них, но план состоял в том, что при сбое в любом из устройств я мог заменить используемую пару на другую (нам нужен был один Palm Pilot для отправки денег и второй – для их получения). Мы были полностью готовы. Компьютеры Palm Pilot мы промаркировали следующим образом: «Отправитель 1», «Отправитель 2», «Отправитель 3», «Получатель 1», «Получатель 2», «Получатель 3». Прихватив с собой стопку Palm Pilot, я прыгнул в автомобиль и подъехал до ресторана Buck’s приблизительно в 9:50. Питер пребывал в тревожном состоянии, чересчур переживая о происходящем. У меня же все плыло перед глазами, поскольку я очень устал.
Предстоящий раунд финансирования освещало около десятка телекомпаний. Нам действительно удалось привлечь повышенное внимание средств массовой информации. Мы выполнили транзакцию с помощью Palm Pilot, но одна тележурналистка опоздала и попросила нас: «Вы можете это повторить?» На что я ответил: «Нет, я беспрерывно работал над этим последние пять дней и последние пять месяцев. Основной принцип безопасности как раз и заключается в том, что вы не можете скопировать транзакцию. Ее завершение означает, что деньги сменили владельца». Поэтому этим ребятам пришлось попросить Питера разыграть повторное перечисление денег и при этом не снимать экран устройства, на котором отображалось: «Нарушение безопасности! Не пытайтесь отправить те же деньги еще раз». Это сообщение стало триумфом для меня, но оказалось занозой в пятке для телеоператора.
После того как у меня взял интервью журналист The Wall Street Journal или еще какого‑то известного издания, помню только то, что зашел на секунду в туалет, а мне заказали омлет. Он и стал моим следующим воспоминанием, поскольку возле него я проснулся. В ресторане Buck’s никого не было. Все ушли, дав мне отоспаться.
Ливингстон. Какими были ваши первые действия после получения новых инвестиций?
Левчин. Получив их, мы немедленно приступили к найму сотрудников. Мы доработали приложение для карманных компьютеров Palm Pilot, которое оказалось достаточно популярным. Каждый день его скачивали 300 новых пользователей. Затем мы создали его демоверсию для веб‑сайта. Она обладала такими же функциональными возможностями (т. е. на веб‑сайте вы могли делать все то же, что и на Palm Pilot), но сам сайт был скучноватым, и мы не слишком о нем заботились. Мы как бы говорили: «Зайдите на наш сайт и скачайте версию программы для Palm Pilot. Это действительно круто».
Ливингстон. Ежедневно триста человек скачивали это приложение? Ради чего?
Левчин. В мире множество чудаков. Количество загрузок быстро снизилось, но на первом этапе наша программа имела широкий резонанс.
К началу 2000 года мы осознали, что все эти люди пытаются использовать наш веб‑сайт для выполнения финансовых транзакций, и рост числа таких операций значительно превышает увеличение количества транзакций с помощью карманных устройств. Это казалось необъяснимым, поскольку КПК казались такими «классными», а веб‑сайт создавался всего лишь для демонстрации возможностей приложения. Затем многие пользователи сайта eBay стали звонить нам и спрашивать: «Можно, я размещу ваш логотип на страничке своего аукциона?» А мы удивлялись: «Зачем?» Поэтому отвечали отказом. То есть какое‑то время мы изо всех сил сражались со странными пользователями сайта eBay: «Убирайтесь, вы нам не нужны».
Однако вскоре мы поняли, что эти люди, по сути, хотят стать нашими пользователями. Мы вдруг прозрели, и следующие 12 месяцев как сумасшедшие работали над улучшением интернет‑версии нашего программного продукта, который сегодня превратился в электронную платежную систему PayPal. В конце 2000 года мы прекратили поддержку приложения для КПК, поскольку число его пользователей остановилось на максимальном значении 12 тысяч человек. Многие из них были огорчены нашим решением. Они говорили: «Вы ведь собирались заниматься денежными платежами с помощью карманных устройств и не думали об Интернете». А мы отвечали приблизительно так: «Нет, Интернет входит в сферу наших интересов».
Ливингстон. Сколько человек использовали ваш веб‑сайт в тот момент, когда вы прекратили работу над приложением для карманных компьютеров?
Левчин. Я полагаю, тогда у нас было 1,2–1,5 миллиона пользователей. Мы приняли сложное решение, но очевидное с точки зрения бизнеса.
Ливингстон. Когда вы впервые заметили мошеннические действия?
Левчин. Одним прекрасным днем. Это было достаточно забавно, поскольку мы постоянно общались с разными людьми, которые занимались банковским делом и кредитными картами. И они постоянно нам твердили: «Мошенники съедят вас на обед». Мы удивлялись: «Какие такие мошенники?» А они говорили: «Увидите, какие. Увидите».
У меня были советники, специализирующиеся на финансовых вопросах. Они меня предупреждали: «Будьте готовы к возвратным платежам5. Необходимо предусмотреть стандартную процедуру действий на этот случай». Я промычал в ответ что‑то неопределенное. Тогда советники спросили меня: «Вы даже не знаете, что такое возвратный платеж, правда?»
Ливингстон. То есть вы не предвидели возможности мошенничества?
Левчин. Я не имел ни малейшего понятия о том, что произойдет.
Ливингстон. Но ведь вас это не слишком удивило?
Левчин. Мы самостоятельно пытались атаковать собственную систему электронных платежей. Так делают все профессионалы в области безопасности. Как можно обмануть систему и украсть деньги? С первого дня ее существования мы готовились к противодействию злоумышленникам. Мы предотвратили все очевидные атаки, и первый возвратный платеж произошел только через шесть дней после запуска системы. Мы отнеслись к этому слегка легкомысленно: «Что же. Один платеж в неделю. Это некритично». А затем началась лавина финансовых потерь: 2000‑й стал для нас годом электронного мошенничества. С каждым месяцем мы теряли все больше и больше. В один из месяцев из‑за действий злоумышленников мы лишились более 10 млн долл. От этого можно было сойти с ума.
И тогда я понял, что должен решить эту проблему. Я начал углубленно исследовать поставленную задачу, разбираться в том, что можно сделать и какие существуют варианты борьбы с хакерскими атаками.
Ливингстон. Значит, вы осознанно решили сфокусироваться на устранении этой проблемы?
Левчин. В действительности это был своего рода побочный эффект. Дело в том, что в тот момент произошло наше слияние с компанией X.com. Оно оказалось непростым, поскольку мы, по сути, являлись крупными конкурентами на одном рынке. На какое‑то время Питер Тиль отошел от дел. Тот парень, который руководил X.com, стал нашим генеральным директором, а я остался техническим директором. Он был сторонником операционной системы Windows, а я хорошо разбирался в Unix и предпочитал ее. Поэтому между командами инженеров возникли неприязненные отношения. Наш новый генеральный директор был убежден в исключительности Windows и в том, что мы должны перевести наши приложения на работу под ее управлением. Однако я полагал, что используемая нами платформа действительно качественная и хотел ее сохранить.
К лету 2000 года переход на Windows стал более вероятным в связи с уходом Питера Тиля. Он взял годичный отпуск, чтобы упредить столкновения между генеральными директорами. В результате мой новый партнер стал подталкивать меня к тому, чтобы я признал необходимость смены нашей платформы на Windows. Я сказал так: «Если это действительно произойдет, то от меня в компании не будет никакой пользы, поскольку я ничего не знаю о Windows. Я учился в колледже, где все было построено на Unix, и всю жизнь программировал только под нее».
Со мной работал молодой практикант, которого я нанял еще до слияния с X.com. Вместе мы пришли к такому мнению: «Мы создали все эти отличные Unix‑проекты, но теперь они становятся бессмысленными, поскольку коллеги собираются отправить на свалку нашу ОС. Нам придется придумать что‑то еще». Поэтому мы вдвоем решили создать собственные интересные проекты. Одним из них стал пакет ПО по тестированию нагрузки, который должен был оказаться значительно лучше его Windows‑версии. Мы написали такую программу для Unix‑платформы и Windows. В результате нам удалось получить прекрасные графики, демонстрирующие, что масштабируемость Windows‑версии составляет лишь 1 процент от возможностей масштабирования для Unix. Этим мы как бы сказали: «Вы действительно хотите перейти на Windows?»
Все было сделано красиво, но для меня наступили сложные времена в компании, поскольку мне не нравилось, как развиваются события. Когда ты – генеральный директор, то можешь авторитетно не согласиться с мнением сотрудников, но если ты не разделяешь мнения генерального директора, то должен сам подать в отставку.
Я заинтересовался финансовой ситуацией в компании PayPal и попытался разобраться, что происходит на серверной стороне, поскольку какое‑то время перестал следить за программным кодом и используемыми технологиями. Оказалось, что мы теряем гораздо больше денег, чем я себе представлял. Это было начало 2001 года. Если посмотреть на показатели финансовых потерь компании в то время, то они были сравнительно низкими. По статистическим данным можно понять, что мы лишались денег, но постоянный рост числа пользователей системы до определенного момента компенсировал эти потери. В системе электронных платежей число мошеннических операций составляло менее 1 процента – невысокий показатель. Но когда я проанализировал динамику мошеннических действий, стало очевидно, что если не остановить киберпреступников, то это значение скоро составит 5 или даже 10 процентов от общего количества финансовых операций, что окажется неприемлемо большим значением.
Поэтому я полностью погрузился в проблему. Вместе с практикантом мы написали статистические программы для отслеживания платежных операций, чтобы понять, как могло произойти, что мы теряем деньги. К концу лета мы решили, что наступает конец света, если люди ведут себя подобным образом. Стало очевидно, что компания лишается из‑за мошенников колоссальных сумм. Наши потери уже составляли около 10 млн долл. в месяц, что было пугающей цифрой.
Ливингстон. Другие сотрудники компании знали об этом?
Левчин. Думаю, за лето многие постепенно пришли к пониманию всей серьезности ситуации. В какой‑то момент этот вывод стал очевидным. Мне не пришлось никого убеждать. Сначала многие говорили: «Да, это крупные суммы, но объем операций тоже быстро растет. Если смотреть на абсолютные цифры, то 5 млн долл. на фоне транзакций на сумму в 300 млн долл. выглядят некритично».
Однако на высших уровнях управления PayPal возникли резкие разногласия, в результате чего генеральному директору пришлось уйти в отставку. На этот пост вернулся Питер Тиль. Первое наше с ним совместное решение заключалось в том, что кроме технического управления компанией я должен устранить проблему мошенничества в системе. Ведь я уже потратил массу времени на выявление существующих потерь. Мне удалось убедить того молодого практиканта, Боба, оставить Стэнфордский университет на год и вместе со мной сфокусироваться над данной задачей. Весь следующий год мы с Бобом посвятили выявлению причины существующих проблем и устранению всех возможных прорех в системе безопасности.
Ливингстон. Значит, генеральный директор подал в отставку, а Питер Тиль вернулся в компанию?
Левчин. В настоящее время мы трое – хорошие друзья. Но тогда я ненавидел генерального директора, который заставлял меня перейти на Windows. В конечном итоге я был просто убежден, что ему следует уйти из компании. Мои аргументы были такими: «Мы никак не можем перейти на Windows сейчас, поскольку на данный момент для нас самым важным является противодействие атакам злоумышленников. Мы не можем позволить себе никаких дополнительных изменений. На отдельном этапе развития компании можно решить только одну серьезную проблему, а действия киберпреступников при электронных транзакциях как раз и являются таковой. Поэтому сделать одновременно и то и другое просто невозможно». Эти аргументы послужили причиной достаточно острого конфликта, который привел к отставке генерального директора, возвращению Питера и тому, что я занялся проблемой защиты от нападений хакеров.
Ливингстон. Когда вы впервые смогли сказать, что система безопасности действительно работает?
Левчин. Мы с Бобом разработали программный пакет под названием IGOR. Мы написали несколько приложений и называли их в соответствии с русскими именами, которые начинались с буквы I и состояли из четырех букв. Это правило придумал я. Так у нас появились IGOR, INGA и IVAN. В итоге мы создали впечатляющий программный продукт, на который сейчас обладаем патентом. Он построен на основе ряда сложных предположений, но, как выяснилось, наши догадки большей частью оказались правильными.