Z pewnością istnieją hakerzy, którzy pasują do tego wizerunku rodem z hollywoodzkich filmów. Zapewne też niektórzy z nich faktycznie włamują się do zabezpieczonych sieci czy sterują botnetami. A jednak ograniczanie grona hakerów tylko do takich indywiduów oddaliłoby nas od pełnego obrazu tej sceny. Znacznie więcej z nich nie tworzy bowiem żadnej rozpoznawalnej subkultury, ponieważ obecnie ludzie ci często posługują się dwiema wizytówkami. Jedna, podpisana słowem “haker”, przydaje się w sytuacjach, gdy jej właściciel nie chce kurczowo trzymać się formalności. Druga wyskakuje z etui, gdy ten sam człowiek – już jako ekspert do spraw zabezpieczeń IT – próbuje pozyskać nowego zleceniodawcę.
Jeśli wszyscy hakerzy mają jedną wspólną cechę, to jest nią umiejętność odkrywania słabych punktów programów i usług w Sieci. Ale kiedy luka zostanie już wykryta, poszczególni członkowie tej wielkiej rodziny wybierają różne drogi. Podczas gdy jedni w tajemnicy powiadamiają o znalezisku zainteresowaną firmę, inni wolą zamieniać wiedzę na gotówkę. Niektórzy sprzedają informacje legalnie działającym organizacjom, takim jak Zero Day Initiative (ZDI) czy iDefense, które z kolei udostępniają je producentom oprogramowania. Są też tacy, którzy dzielą się wiedzą tylko na forach internetowych, licząc na poklask hakerskiej społeczności. Ci naprawdę źli nawiązują kontakty z cyfrowymi kryminalistami gotowymi dobrze zapłacić za możliwość niecnego wykorzystania świeżo odkrytych luk. To właśnie ich działalność najczęściej trafia na łamy gazet.
Hakerski słownik
: craki, kapelusze i inne
Początkowo określenie “haker” oznaczało po prostu entuzjastów techniki, czyli ludzi zafascynowanych programowaniem, lutowaniem i oczywiście rozgryzaniem istniejących systemów informatycznych. W latach 60. i 70. były to sieci telefoniczne, później oprogramowanie superkomputerów. Od czasu powstania Internetu to właśnie on znalazł się w centrum zainteresowań hakerskiego światka. Wielu jego przedstawicieli uważało się początkowo za cyfrowych Robin Hoodów – ich wiedza i umiejętności często nie zapewniały im ani grosza.
Gdy techniczni zapaleńcy o mniejszych skrupułach moralnych zaczęli wykorzystywać swoją wiedzę do nielegalnych celów, przyszedł czas na stworzenie nowego terminu. I tak na scenie IT pojawili się “crackerzy”. Początkowo określano tym mianem osoby, które w latach 80. łamały zabezpieczenia gier komputerowych uniemożliwiające ich kopiowanie. Później pozwoliło ono nieszkodliwym hakerom odgrodzić się terminologicznie od swoich złych kolegów z półświatka.
W erze Internetu słowo “cracker” przestało jednak wystarczać i trzeba było ukuć kolejne pojęcia. Wtedy pojawiły się kapelusze: “White Hats”, “Grey Hats” i “Black Hats”. Kolory nawiązują do starych westernów, w których szwarccharaktery nosiły czarne nakrycia głowy, obrońcy praworządności – białe, zaś bohaterowie należący częściowo do każdego z tych światów – szare. Te klasyczne określenia, np. “White Hat Hacker”, do dziś są używane, choć eksperci tacy jak Joshua Corman – dyrektor działu bezpieczeństwa IT w firmie Akamai zajmującej się technologiami internetowymi – chcieliby jeszcze bardziej uszczegółowić ten podział.
Dlatego Corman wyszczególnia aż dziewięć kategorii hakerów, od “dobrych praworządnych” i “złych praworządnych” aż do “dobrych chaotycznych” i “złych chaotycznych”. Przytoczona klasyfikacja stanowi odpowiedź na działalność takich grup hakerskich jak znane z ataków na sieć PlayStation Network LulzSec i Anonymous. Te sieciowe plemiona wymykają się dotychczasowemu, biało-szaro-czarnemu podziałowi.
Hakerska pomoc:
Informatorzy branży IT
Liczne firmy IT wykorzystują działalność hakerów do własnych celów – oczywiście chodzi tylko o tych, którzy noszą białe kapelusze. Dzięki nim wytwórcy oprogramowania dowiadują się o słabych punktach swoich produktów. Za przykład może służyć choćby Microsoft, który z zagorzałego przeciwnika hakerów przeistoczył się w szanowanego partnera do rozmów z nimi na tematy bezpieczeństwa. Korporacja z Redmond nie kręci już nosem na myśl o kontaktach z rozsianymi po całym świecie maniakami systemów komputerowych.
– Kiedyś działaliśmy zgodnie z zasadą, że hakerzy to ci, którzy są przeciw nam. Postrzegaliśmy ich wyłącznie jako wrogów, których co najwyżej ignorowaliśmy – oświadcza Sarah Blankinship, menedżer ds. strategii zabezpieczeń w Microsofcie. Przewodzi ona obecnie grupie pracowników utrzymujących kontakty z najtęższymi umysłami hakerskiej społeczności i organizujących konferencję Black Hat – wielką imprezę dla specjalistów z branży. Dziś zamknięcie niemal każdej luki w produktach Microsoftu jest efektem dostarczenia koncernowi informacji przez niezależnych badaczy zabezpieczeń. Informatorzy nie dostają za to pieniędzy – zbyt duże są obawy, że mogłoby to sprowokować szantażystów.
Jednym z tych, którzy już wielokrotnie wsparli Microsoft radą i czynem, jest amerykański “biały kapelusz” Dan Kaminsky. Ten 32-letni haker, wielbiciel krzykliwych koszulek, pracuje w firmie z Redmond jako doradca i należy do elitarnego grona tych, którym pozwala się majstrować w klejnotach koronnych koncernu. Kaminsky szukał luk w kodzie źródłowym nadchodzących wersji Windows całe lata przed ich oficjalnymi premierami. Dla programisty, któremu uznanie przyniosło wykrycie krytycznego błędu w koncepcji DNS, tego rodzaju współpraca jest koniecznością: – Kiedy jako hakerzy raz za razem pozwalamy firmom wpadać w pułapki, zatrzymując dla siebie wiedzę o znalezionych lukach, nikt na tym nie korzysta. – Z tej perspektywy Kaminsky postrzega wykonywaną pracę jako swego rodzaju walkę o wolność Internetu: – Jeśli rozwiązania informatyczne będą ciągle powodować straty finansowe, prędzej czy później na scenę wkroczy ustawodawca – tłumaczy. A kontrola Sieci przez państwo jest dla hakerów oczywiście nie do przyjęcia – byłby to zamach na wolność rodem z powieści Orwella.
Hakerska wiedza:
Bogactwo czy honor?
Współpraca hakerów z gigantami IT opiera się więc na symbiozie i wspólnocie interesów. – To niełatwe – mówi Felix “FX” Lindner, specjalista od sieci komputerowych – ale w pewnym momencie przyzwyczajamy się do siebie. – Ten haker w białym kapeluszu pracuje dla Cisco, szukając słabych punktów w wybranych urządzeniach sieciowych firmy. O swoim zleceniodawcy wypowiada się z szacunkiem: – Firmy takie jak Cisco czy Microsoft są chlubnymi wyjątkami, jeżeli chodzi o profesjonalizm, jaki przejawiają we współpracy ze środowiskiem hakerów.
Tej umiejętności trzeba było jednak najpierw się nauczyć. Udowadnia to anegdota opowiadana przez jednego z menedżerów Microsoftu: w 2005 roku wewnętrzne regulacje software’owego giganta nie pozwoliły na przeanalizowanie ostrzeżenia pochodzącego od społeczności hakerów. Informację odłożono ad acta. Krótko po tym wirus Zotob zaatakował komputery na całym świecie, powodując szkody finansowe w wielu firmach. Wykorzystywał on dokładnie tę lukę, o której wcześniej informowali hakerzy. Od tego czasu Microsoft dokładnie sprawdza każdą wiadomość, nawet jeśli składa się ona tylko z kilku chińskich piktogramów.
Ale nie wszyscy hakerzy są równie szlachetni jak ci, którzy dzielą się informacjami z Microsoftem – ostatecznie nie każdemu wystarczy, że pojawi się jako informator w comiesięcznym biuletynie o zabezpieczeniach IT. Wielu specjalistów każe za swoją wiedzę słono płacić. Zdania na temat właściwego sposobu postępowania ze znalezionymi lukami są podzielone. Znany haker Halvar Flake uważa, że znalazca sam powinien decydować, czy chce przekazać komuś swą wiedzę za darmo, sprzedać ją czy też udostępnić na licencji – ważne tylko, by przestrzegał obowiązującego prawa. – Nie zmusza się przecież producentów antywirusów, aby oferowali swoje produkty za darmo – podsumowuje Flake.
W mniej dyplomatycznym tonie wypowiada się Chaouki Bekrar, szef francuskiej firmy Vupen. Otwarcie zarzuca on producentom oprogramowania, że chętnie otrzymują informacje, ale nie chcą za nie płacić: – Nie zaskakuje nas, że coraz większa część ekspertów od zabezpieczeń odmawia dzielenia się wiedzą z producentami wadliwego oprogramowania. Co najbardziej szokujące, firmy wydają co roku miliony na komercyjne testy zabezpieczeń i analizy kodu, a jednocześnie nie chcą zapłacić złamanego grosza ekspertom, którzy wykonują tę samą pracę i znacznie sprawniej wykrywają nieznane wcześniej luki. – Firma Vupen utrzymuje się, wykrywając błędy w zabezpieczeniach oprogramowania oraz sprzętu komputerowego i sprzedając producentom uzyskane informacje.
Słynny poszukiwacz błędów Charlie Miller, któremu rozgłos przyniosło umieszczenie złośliwej aplikacji w AppStorze Apple’a, dostrzega jeszcze inny wymiar sprawy: – Czy hakerzy powinni sprzedawać zdobyte informacje na czarnym rynku za dziesiątki tysięcy dolarów? A może zainteresowanym rządom – za setki tysięcy? Przecież niektórzy z nich nie wiedzą nawet, do czego będą one wykorzystane. Osobiście wolałbym, żeby bezpieczeństwo w globalnej Sieci nie zależało od tego, czy jakiś siedemnastolatek gdzieś na Białorusi podejmie moralnie słuszną decyzję.
Hakerska wydajność:
Jedna luka na tydzień
Siedemnastolatkiem na pewno nie jest chiński poszukiwacz luk Wu Shi. Zarabia on na życie, znajdując słabe punkty oprogramowania. Dotychczas wytropił ich już ponad 100, głównie w przeglądarkach internetowych, takich jak Apple Safari, Google Chrome czy Internet Explorer. W samym roku 2010 udało mu się wykryć ponad 50 luk, których lwia część – ponad 35 – przypadła na przeglądarkę Safari. Zdobytą wiedzę Wu Shi sprzedaje w ramach programu Zero Day Initiative. – Chętnie współpracuję bezpośrednio z producentami oprogramowania, o ile mi za to płacą. W przeciwnym razie sprzedaję informacje o lukach poważnym organizacjom takim jak ZDI czy iDefense – mówi Wu Shi.
Przeciętnie odkrycie nowej luki zajmuje Chińczykowi około tygodnia. Średnie wynagrodzenie wynosi około 3000 dolarów. – Cena jest tak niska, bo Google płaci za wykrytą lukę zaledwie 500 dolarów – wyjaśnia Wu Shi i dodaje, że: – Producentowi bardziej się opłaca wynagrodzić “biały kapelusz”, niż pokryć straty spowodowane przez krążącego w Sieci wirusa, który wykorzystuje tę lukę. Poza tym haker nie może później szantażować firmy, gdyż dostał już pieniądze za informacje. – Jako profesjonalny poszukiwacz luk, mieszkający w Szanghaju Wu Shi nie chce robić interesów z internetowym podziemiem: – Jestem zadowolony z tego, co mam, i nie chcę podejmować większego ryzyka.
O tym, ile pieniędzy dostaje haker za swoją pracę, decyduje wiele czynników. Przede wszystkim to, czy zarabia legalnie, czy też sprzedaje swoją wiedzę przestępcom. Druga możliwość jest bez porównania bardziej intratna, ale też bardziej niebezpieczna. W końcu oznacza to dla hakera ni mniej, ni więcej tylko współpracę ze zorganizowaną grupą przestępczą, czy nawet z organizacją terrorystyczną.
Eksperci tacy jak Dan Holden z Zero Day Initiative (ZDI) szacują, że “czarne kapelusze” w półświatku inkasują za znalezioną lukę nawet do 100 000 dolarów. Holden wie, o czym mówi – w końcu jego pracodawca sam kupuje takie informacje, z tym że wyłącznie legalnymi drogami. Obecnie ZDI jest własnością HP i wykorzystuje zgromadzoną wiedzę, aby usprawniać produkowane przez firmę narzędzia zabezpieczające. Dodatkowo organizacja za darmo przekazuje informacje o lukach producentom wadliwych programów, aby mogli oni wprowadzać odpowiednie poprawki.
Hakerskie ceny:
Tu nie ma promocji
Naprawdę duże zyski przynoszą luki w popularnych programach, takich jak Adobe Reader, Internet Explorer czy Windows. Tylko w takich przypadkach przestępcy są w stanie wyłożyć 50 000 czy 100 000 dolarów na opis techniczny nowej dziury. – To, jakie luki są akurat w cenie, zależy od celu atakujących. Czasami przestępcy szukają dziur umożliwiających wprowadzenie do systemu robaka. Innym razem chodzi o zainfekowanie niewielkiej liczby wyselekcjonowanych ofiar przez spersonalizowany phishing (spear phishing) – wyjaśnia Holden.
Do przeprowadzania ataków drugą z wymienionych metod nadają się zwłaszcza luki w narzędziu Adobe Reader i w programach biurowych. Rob Rachvald – specjalista od strategii zabezpieczeń w firmie Imperva – zdradził w wywiadzie prasowym, że szacuje wartość rynku luk i narzędzi crackerskich na 250 miliardów dolarów.
W obliczu tak ogromnych sum zwykli użytkownicy mogą tylko mieć nadzieję, że “białe kapelusze” nie skuszą się na pieniądze przestępców i nie użyją swej wiedzy w ich służbie. Pozostaje też wierzyć, że producenci oprogramowania zaczną na szerszą skalę odpowiednio wynagradzać białych hakerów – w końcu to właśnie oni pomagają uczynić Sieć bezpiecznym miejscem.
Rząd wynajmuje komputery zombi
Nawet Steve Jobs był hakerem
Tu hakerzy są szczególnie aktywni
Hakerzy działają w różnych krajach, niektóre z nich są szczególnie częstymi ogniskami ataków. Usługodawca internetowy Akamai, obsługujący 95 000 serwerów i udostępniający ich zasoby między innymi Facebookowi i Yahoo, stworzył listę krajów generujących najwięcej szkodliwego ruchu:
Hakerskie oazy:
