Jaki nosisz kapelusz?

W starych, czarno-białych westernach łatwo było odróżnić „tych złych” od „tych dobrych”, wszystko, dlatego, że Ci pierwsi zawsze nosili czarne kapelusze, a pozytywni bohaterowie występowali w białych nakryciach głowy. Filmowy podział przyjął się również w środowisku informatycznym. Choć zarówno hakerów w białych jak i czarnych kapeluszach interesuje to samo (przede wszystkim poszukiwanie luk i błędów w systemach operacyjnych, oprogramowaniu czy sprzęcie komputerowym) to różni ich cel, w jakim to robią. Czarne kapelusze poszukują błędów, by wykorzystać je do własnego użytku, najczęściej mając na względzie zysk. W środowisku informatycznym takim osobom odmawia się miana hakera, dla odróżnienia nazywając ich crackerami. Prawdziwi hakerzy w białych kapeluszach starają się nie wyrządzać szkód, a odkrywane luki skrupulatnie opisują w formie, która uniemożliwia ich wykorzystanie i pozwalającej stosunkowo łatwo wprowadzać poprawki producentowi danego rozwiązania. Starają się odkryć potencjalne, wcześniej nieznane błędy (tzw. zagrożenia dnia zerowego), zanim zostaną wykorzystane przez crackerów. Warto jednak zauważyć, że część „czarnych kapeluszy” uważa, że jedynie groźba w postaci opublikowania dziur w zabezpieczeniach w formie pozwalającej łatwo obejść zabezpieczenia, skutecznie mobilizuje producentów do wprowadzania poprawek.

-Jeśli wczytać się uważnie w licencje użytkowania oprogramowania, które większość odbiorców po prostu akceptuje, bez wgłębiania się w ich treść, to zauważamy, że żadna firma nie daje gwarancji na prawidłowe działanie swoich programów. Zdarza się jednak, że przez błędy w oprogramowaniu ludzie tracą życie. Haker znany, jako Barnaby Jack twierdził nawet, że udało mu się złamać zabezpieczenia rozruszników serca oraz pomp insulinowych, tak by zdalnie wywołać zgon noszących je osób. Niestety zmarł zanim wyjaśnił, na jakiej zasadzie funkcjonują te błędy. Wcześniej zaprezentował jednak, że taki atak jest możliwy – powiedział Paweł Jakub Dawidek, dyrektor do spraw technicznych w Wheel Systems.

Opublikowano na Bugtraq’u

Społeczność hakerów od lat śledzi błędy w oprogramowaniu i systemach operacyjnych, wskazując producentom potencjalne i istniejące luki w zabezpieczeniach ich produktów. Przyczyniają się również do poprawy bezpieczeństwa oprogramowania open source. Jednym z najbardziej znanych i popularnych miejsc w sieci, gdzie publikowane są tego rodzaju znaleziska, jest założona w 1993 r. grupa dyskusyjna BugTraq. Dziś BugTraq jest uznanym źródłem wiedzy na temat bezpieczeństwa komputerowego, śledzi go 27 tys. subskrybentów – najczęściej są to wykwalifikowani specjaliści. Na BugTraq nie tylko publikuje się już znalezione błędy, ale również dyskutuje o pomysłach na zapewnienie bezpieczeństwa komputerów i sieci informatycznych w przyszłości.

- Branża IT nieustannie potrzebuje hakerów. Oprogramowanie tworzone jest często masowo, pod presją czasu i kosztów. Producenci nie udzielają na oprogramowanie gwarancji, a tylko nieliczni publikują kod źródłowy. Nieuchronnie wpływa to na jakość i bezpieczeństwo tak powstających produktów. Pamiętajmy, że błędów bezpieczeństwa nie znajdziemy podczas standardowych testów – oprogramowanie może działać poprawnie i zgodnie ze specyfikacją, a przy tym być dziurawe jak sito. Jedyne, co może działać mobilizująco, to właśnie hakerzy, którzy obnażając niekompetencję twórców oprogramowania, udowadniają, że o bezpieczeństwo warto dbać, bo brak tej dbałości uderza w ich wizerunek. – dodaje Paweł Jakub Dawidek.

Polacy nie gęsi

Wśród Polaków również znajdziemy uznanych hakerów. Jeden z najbardziej znanych rodaków w tej branży ukrywa się pod pseudonimem Gynvael Coldwind. Pracuje dla jednej z największych korporacji IT na świecie, ale po godzinach nie przestaje pasjonować się programowaniem. Wyszykuje w nim błędy i odnotował już wiele sukcesów na tym polu. To właśnie on wraz z kolegą po fachu znanym, jako j00ru w kwietniu 2010 r. znalazł 6 poważnych błędów w systemach Windows, które następnie zostały załatane przez Microsoft. Duet ten stworzył również inne exploity (programy wykorzystujące błędy) na system Windows, które następnie były łatane przez firmę. Polskie zespoły hakerskie znajdywały również błędy w m.in. programie Acrobat Reader i czytniku plików PDF wbudowanym w Google Chrome. Gynvael Coldwind w kwietniu będzie gościem, na organizowanym przez Wheel Systems spotkaniu dla przedstawicieli branży informatycznej.

Kariera dla hakera

Wielkie korporacje skłonne są zatrudniać hakerów i sowicie wynagradzać ich prace. Są to zazwyczaj niezwykle wykwalifikowani specjaliści, dysponujący wiedzą, którą może pochwalić się wąskie grono osób w skali całego globu. Raport firmy analitycznej Gartner wskazuje, że w 2012 r. na ochronę informatyczną wydano blisko 60 mld dolarów i wydatki te powinny rosnąć. W styczniu 2014 r. Ministerstwo Obrony Narodowej ogłosiło chęć stworzenia Centrum Operacji Cybernetycznych mające przeciwdziałać cyfrowym zagrożeniom. Resort ogłosił przy tym, że będzie zatrudniał cywilnych hakerów, ze względu na ich wiedzę i doświadczenie.