Kim tak naprawdę jest haker?
Czy haker jest rzeczywiście tak niebezpieczny, jak codziennie przedstawiają go media oraz twórcy kultury popularnej? Kto stanowi prawdziwe zagrożenie dla naszego bezpieczeństwa i ludzie zajmujący się hakingiem byliby gotowi ruszyć na cyberwojnę?
W powszechnym rozumieniu każdy haker to cyberprzestępca, który chce zaszkodzić normalnym użytkownikom komputerów i jeśli nie ma zamiaru ich okraść, to przynajmniej uprzykrzyć życie. Prawdziwi hakerzy mogliby się jednak za taką definicję obrazić - nie po to udowadniają, że można zdalnie zabić człowieka z rozrusznikiem serca, by faktycznie to robić, ale by pokazać producentom takich urządzeń, gdzie tkwi błąd.
Cracker kontra haker
W starych, czarno-białych westernach łatwo było odróżnić "tych złych" od "tych dobrych", wszystko, dlatego, że ci pierwsi zawsze nosili czarne kapelusze, a pozytywni bohaterowie występowali w białych nakryciach głowy. Filmowy podział przyjął się również w środowisku informatycznym. Choć zarówno hakerów w białych jak i czarnych kapeluszach ("Blackhat") interesuje to samo (przede wszystkim poszukiwanie luk i błędów w systemach operacyjnych, oprogramowaniu czy sprzęcie komputerowym) to różni ich cel, w jakim to robią. Czarne kapelusze poszukują błędów, by wykorzystać je do własnego użytku, najczęściej mając na względzie zysk. W środowisku informatycznym takim osobom odmawia się miana hakera, dla odróżnienia nazywając ich crackerami.
Prawdziwi hakerzy w białych kapeluszach starają się nie wyrządzać szkód, a odkrywane luki opisują w formie, która uniemożliwia ich wykorzystanie i pozwalającej stosunkowo łatwo wprowadzać poprawki producentowi danego rozwiązania. Starają się odkryć potencjalne, wcześniej nieznane błędy (tzw. zagrożenia dnia zerowego), zanim zostaną wykorzystane przez crackerów. Warto jednak zauważyć, że część "czarnych kapeluszy" uważa, że jedynie groźba w postaci opublikowania dziur w zabezpieczeniach w formie pozwalającej łatwo obejść zabezpieczenia, skutecznie mobilizuje producentów do wprowadzania poprawek.
- Jeśli wczytać się uważnie w licencje użytkowania oprogramowania, które większość odbiorców po prostu akceptuje, bez wgłębiania się w ich treść, to zauważamy, że żadna firma nie daje gwarancji na prawidłowe działanie swoich programów. Zdarza się jednak, że przez błędy w oprogramowaniu ludzie tracą życie. Haker znany, jako Barnaby Jack twierdził nawet, że udało mu się złamać zabezpieczenia rozruszników serca oraz pomp insulinowych, tak by zdalnie wywołać zgon noszących je osób. Niestety zmarł zanim wyjaśnił, na jakiej zasadzie funkcjonują te błędy. Wcześniej zaprezentował jednak, że taki atak jest możliwy - powiedział Paweł Jakub Dawidek, dyrektor do spraw technicznych w Wheel Systems.
Samotny kowboj
Społeczność hakerów od lat śledzi błędy w oprogramowaniu i systemach operacyjnych, wskazując producentom potencjalne i istniejące luki w zabezpieczeniach ich produktów. Przyczyniają się również do poprawy bezpieczeństwa oprogramowania open source. Jednym z najbardziej znanych i popularnych miejsc w sieci, gdzie publikowane są tego rodzaju znaleziska, jest założona w 1993 r. grupa dyskusyjna BugTraq. Dziś jest ona uznanym źródłem wiedzy na temat bezpieczeństwa komputerowego, śledzi ją niemal 30 tys. subskrybentów - najczęściej są to wykwalifikowani specjaliści. Na BugTraq nie tylko publikuje się już znalezione błędy, ale również dyskutuje o pomysłach na zapewnienie bezpieczeństwa komputerów i sieci informatycznych w przyszłości.
- Branża IT potrzebuje hakerów. Często oprogramowanie tworzone jest masowo, pod presją czasu i kosztów. Producenci nie udzielają na oprogramowanie gwarancji, a tylko nieliczni publikują kod źródłowy. Odbija się to na jakości tak powstających produktów. Błędów bezpieczeństwa zwykle umykają standardowym testom - oprogramowanie może działać poprawnie i zgodnie ze specyfikacją, a przy tym być dziurawe jak sito. Jedyne, co może działać mobilizująco, to właśnie hakerzy, obnażający niekompetencję twórców oprogramowania - dodaje Paweł Jakub Dawidek.
Przykład? Nasz rodak ukrywający się pod pseudoniemem Gynavel Coldwin. Pracuje dla jednej z największych korporacji IT na świecie, ale po godzinach nie przestaje pasjonować się programowaniem. Wyszykuje w nim błędy i odnotował już wiele sukcesów na tym polu. To właśnie on wraz z kolegą po fachu znanym, jako j00ru w kwietniu 2010 r. znalazł 6 poważnych błędów w systemach Windows, które następnie zostały załatane przez Microsoft. Duet ten stworzył również inne exploity (programy wykorzystujące błędy) na system Windows, łatane później przez firmę.Polscy cyberochotnicyAż 87 proc. zapytanych przez firmę Mediarecovery uczestników konferencji Confidence (największa w kraju impreza skupiająca środowisko specjalistów przełamywania zabezpieczeń) uważa, że polscy hakerzy włączyliby się do cyberwojny w przypadku konfliktu z innym państwem. 4 proc. jest odmiennej opinii. 9 proc. nie ma zdania na ten temat. - Ci ludzie już się angażują, jednak na razie wykorzystują swoje umiejętności do ochrony firm i instytucji, w których pracują - mówi Damian Kowalczyk z laboratorium Mediarecovery. Mamy z nimi częsty kontakt podczas wdrożeń, które realizujemy w bankach, instytucjach finansowych czy sektorze rządowym - dodaje. W przyszłości może wystąpić potrzeba użycia ich wiedzy do obrony Polski.
Wyniki badania Mediarecovery potwierdzają doświadczenia Fundacji Bezpieczna Cyberprzestrzeń. Mirosław Maj, prezes Fundacji, już w zeszłym roku ogłosił potrzebę stworzenia Cyberarmii Ochotników. Podobne struktury powstały na Łotwie czy w Estonii Udział w cyberwojnie to nie jedyne pytanie zadane specjalistom przełamywania zabezpieczeń. 41 proc. z nich wskazało czynnik ludzki jako drogę przeprowadzenia ataku. Jeśli dodać do tego 21 proc. wskazań na brak aktualizacji oprogramowania okaże się, że hakerzy wykorzystują przede wszystkim błędy pracowników.
Badani wymieniali również błędy w oprogramowaniu (24 proc.) i brak procedur i polityk bezpieczeństwa - 14 proc. Jak mówi Damian Kowalczyk z Mediarecovery - Wyniki badania potwierdzają, że oprócz systemów bezpieczeństwa IT konieczne jest szkolenie i uwrażliwianie pracowników na zagrożenia płynące z sieci. Dotyczy to nie tylko działów IT ale wszystkich pracowników mających dostęp do internetu. Raport firmy analitycznej Gartner wskazuje, że w 2014 r. na ochronę informatyczną przeznaczono blisko 71 mld dolarów, a wydatki wciąż rosną. Nawet polski MON planuje zatrudnić hakerów w tworzonym Centrum Operacji Cybernetycznych.
Zanim użyjemy słowa "haker" warto wiedzieć, jakie jest jego prawdziwe znaczenie. I jaki kapelusz nosi.
