Siedem twarzy hakera

Hakerzy systemów komputerowych budzą wielkie emocje nie tylko u entuzjastów technologii. Oto różne oblicza tego procederu.

Haker złodziej

Pierwsze, najlepiej poznane (przez część z nas niestety praktycznie) oblicze hakera to zwykły złodziej. Mechanizm jest z reguły taki sam. Ktoś uzyskuje dostęp do konta w banku albo numeru karty kredytowej i przelewa nasze pieniądze na swoje konto. Korzystając często z tzw. słupów – bezdomnych i pozbawionych majątku osób, które, zanim się zorientujemy, podejmą te pieniądze i przeleją na konto zleceniodawcy. Nim policja ich pochwyci i ustali, że byli tylko pośrednikami, ślad prawdziwego złodzieja rozwieje się jak poranna mgła.

Mechanizmy są różne. Czasami haker uzyskuje zdalny dostęp do naszego komputera, wcześniej instalując aplikację, która monitoruje nasze działania, w tym zbiera loginy i hasła, jakich używamy podczas logowania do systemów. Kiedy przychodzi odpowiedni moment – wykorzystuje je, wykonuje przelew na swoje konto, a potem zaciera ślady. Czasami podstawia nam stronę do złudzenia przypominającą oryginalną stronę banku albo dostawcy usług. Spreparowano m.in. strony Idea Banku, mBanku i Allegro – po to, aby wyłudzić login, hasło, hasła jednorazowe albo numer karty kredytowej. W ostatnich miesiącach nastąpiło kilka wyłudzeń na „pracownika serwisu”. Dzwonił – rzekomo z banku – kazał zainstalować aplikację dającą zdalny dostęp do komputera, przeprowadzał ofiarę przez procedurę logowania, a potem – dosłownie na oczach zdezorientowanego klienta – przelewał środki na podstawione konto albo ściągał płatności z karty do dna limitu kredytowego.

Niekiedy tacy hakerzy nie potrzebują nawet niczego hakować. Jedna z polskich firm zbrojeniowych „otrzymała” wiadomość mailową od kontrahenta z Czech, w którym podał on nowe numery swoich kont. Przelała cztery miliony złotych – i uważała sprawę za załatwioną. Do momentu, gdy okazało się, że Czesi numerów kont nie zmienili i nadal domagają się zapłaty za dostarczone towary i usługi. Pierwsze oblicze hakera to zatem zwykły złodziej korzystający z luk bezpieczeństwa w systemach oraz naszych zachowaniach, aby ukraść lub wyłudzić pieniądze.

Haker szantażysta

Czasami hakerzy nie okradają ofiary bezpośrednio. Jedynie szantażują ją kompromitującymi materiałami – o charakterze politycznym, gospodarczym lub obyczajowym – skłaniając do określonych zachowań. Z początku względnie prostych i niewinnych, które dają szantażowanemu ułudę, że zaraz będzie miał sprawę z głowy. Na przykład wysłanie jakiejś wiadomości, przeniesienie pakunku albo przewiezienie kogoś z miejsca na miejsce. Ale te działania sprawiają, że ofiara szantażu pogrąża się coraz mocniej, szantażysta zaś ma na nią coraz więcej „haków”. Fani serialu „Black Mirror” na pewno pamiętają odcinek „Zamknij się i tańcz” – gdzie młody chłopak ostatecznie staje się sprawcą najcięższych przestępstw, stopniowo realizując polecenia hakera, który nagrał go w kompromitującej sytuacji.

Najbardziej popularna forma szantażu to tzw. ransomware. Komputer ofiary zostaje zaszyfrowany, a na ekranie pokazuje się groźba. Jeśli nieszczęśnik wpłaci w zadanym czasie żądaną sumę (oczywiście w anonimowej kryptowalucie na anonimowe konto) – otrzyma klucz do deszyfracji. Jeśli nie – dane przepadną bezpowrotnie. Bodaj najgłośniejszą ofiarą takiego ataku stała się gmina Kościerzyna. Tutaj historia skończyła się happy endem – analitykom udało się odszyfrować dyski kaszubskiej gminy i usunąć samego wirusa. Najczęściej kończy się po prostu na utracie danych. Biada tym, którzy nie robią regularnych kopii zapasowych.

Szczególną formą szantażu jest tzw. sextortion, czyli szantaż kompromitującymi materiałami w celu uzyskania nie tyle gotówki, ile usług o charakterze seksualnym. To typowa rozgrywka pomiędzy byłymi partnerami. Odrzuceni rewanżują się groźbą ujawnienia posiadanych przez siebie zdjęć, nagrań, faktów, które skompromitują byłą lub byłego w oczach bliskich. Wymuszają w ten sposób posłuszeństwo, a nierzadko dodatkowe korzyści o charakterze seksualnym. Niestety, oficjalne dane na temat tej praktyki to prawdopodobnie wierzchołek góry lodowej. Ofiary najczęściej spełniają oczekiwania szantażystów i cierpią w samotności.

Haker aktywista

Terminy „haktywista” i „haktywizm” to połączenie słów „hakować” i „aktywista/aktywizm” oraz jednocześnie trzecie oblicze hakera. Haktywizm łączy się przede wszystkim z wydarzeniami o charakterze politycznym, np. protestami. Aktywiści włamują się do systemów rządu lub jego agend (np. policji) oraz wydobywają informacje i dokumenty, które mają pomóc protestującym. Najbliższy nam – geograficznie i czasowo – haktywizm to działalność grupy określającej siebie jako Cyberpartyzanci Białorusi. Dzięki nim na stronie urzędu prezydenta pojawiły się biało-czerwono-białe flagi zamiast oficjalnych czerwono-zielonych. Transmisje rządowych mediów były przerywane relacjami z pobić i zatrzymań. Sparaliżowano m.in. państwową loterię oraz strony milicji. Najgroźniejsze dla reżimu okazało się jednak ujawnienie tożsamości funkcjonariuszy OMON-u. Włamanie do sieci Ministerstwa Spraw Wewnętrznych umożliwiło przejęcie bazy danych z imionami, nazwiskami oraz adresami zamieszkania najbrutalniejszych policjantów. I choć działania Cyberpartyzantów Białorusi nie spowodowały załamania się reżimu Łukaszenki, z pewnością osłabiły go i podważyły twierdzenia rządowej propagandy, że protestuje tylko garstka, a rząd wyłącznie „utrzymuje porządek”.

Wcześniej haktywiści działali także w innych krajach. Podczas protestów w Chile ujawnili korespondencję między resortami siłowymi. Zaatakowali norweskie serwery, zadając kłam zapewnieniom tamtejszych wielorybników o sanitarnym (odławianie chorych sztuk) i naukowym charakterze polowań. Polscy haktywiści najbardziej widoczni byli podczas protestów przeciwko ACTA – podmienili wtedy stronę premiera na własną.

Najbardziej znane grupy haktywistów to Anonymous oraz 4chan. Obie zresztą moralnie dwuznaczne. Anonymous oskarżano o powiązania ze służbami specjalnymi Rosji oraz Chin. 4chan – obok naprawdę zabawnych historii (np. przekonanie wielu użytkowników iPhone’a, że da się go naładować w mikrofalówce, co w rzeczywistości powodowały uszkodzenie i telefonu, i kuchenki) potrafi być mizoginiczny i rasistowski. Haktywizm to nie zawsze idealiści walczący z opresją i bezprawiem; czasem to po prostu zleceniobiorcy stronnictw politycznych, działających za pomocą środków technicznych.

Hakujące państwa

A skoro o polityce mowa, warto dodać o hakowaniu będącym działalnością państwową. Donald Trump, który właśnie w niesławie zakończył prezydenturę w Stanach Zjednoczonych, wygrał ją w pewnej mierze dzięki rosyjskim hakerom. Włamali się do prywatnej skrzynki Hillary Clinton i przekazali sztabowi kandydata republikanów prywatną korespondencję konkurentki. Choć nie znaleziono tam żadnych materiałów dyskwalifikujących jej kandydaturę sensu stricto, kilka niewygodnych wniosków (zblatowanie z elitami politycznymi i biznesowymi, wykorzystywanie prywatnej poczty do spraw wagi państwowej) prawdopodobnie było kroplą, która przelała czarę goryczy – zniechęciła część jej wyborców do pójścia do urn i przesądziła o zwycięstwie Trumpa.

Ale najbardziej fascynująca historia dotyczy wirusa Stuxnet. Wykonany prawdopodobnie przez Izrael, został wpuszczony do komputerów rosyjskich i białoruskich specjalistów od technologii jądrowych, których Iran zatrudnił, aby rozwinąć własny program atomowy. Z ich laptopów przeniósł się do sieci przemysłowych instalacji wzbogacających uran. Pozostając w ukryciu, w przypadkowy sposób zaburzał pracę wirówek służących do oddzielania potrzebnego ajatollahom izotopu 235 od (bezużytecznego w zastosowaniach wojskowych) izotopu 238. Włączał je i wyłączał w przypadkowych momentach; przyspieszał, zwalniał – w konsekwencji doprowadzając do opóźnienia całego programu. Przez cały czas wirus maskował się, mutował, ukrywał w zakamarkach sieci przemysłowych – i kiedy irańskim specjalistom już wydawało się, że go usunęli, wracał i uszkadzał kolejną wirówkę.

Podczas inwazji na wschodnią Ukrainę sieci naszego południowo-wschodniego sąsiada zostały sparaliżowane przez hakerów „z innego państwa”. Wyłączone całe połacie kraju, spięcia, uszkadzane turbiny energetyczne, palące się transformatory, stworzenie zagrożenia nawet dla instalacji jądrowych – oto konsekwencja pozostawienia systemów bez właściwych zabezpieczeń i nadzoru. Miesięcznik „Wired” w obszernym materiale na ten temat z czerwca 2017 r. sugerował wręcz, że Ukraina była tylko poligonem doświadczalnym przed sparaliżowaniem sieci energetycznych innego, znacznie istotniejszego kraju. O jakim państwie mowa – można się tylko domyślać.

Bez wątpienia najlepsi specjaliści od hakowania systemów i wirusów pracują dzisiaj dla rządów i ich agencji. Szacuje się, że ok. 30% włamań to zlecenia mające motyw polityczny albo gospodarczy.

Haker pasjonat – hakatony i hackerspace’y

Ale „haker” nie zawsze jest terminem pejoratywnym. Określa się tak czasami po prostu geniusza komputerowego; kogoś, kto potrafi stworzyć bardzo innowacyjne rozwiązania w bardzo krótkim czasie. Określenie to hack albo to hack up oznacza w kolokwialnym angielskim „szybko zaprogramować”. Do legend programistycznych należy m.in. izraelski haker, który – posiłkując się umiejętnościami z programowania gier komputerowych – stworzył w ciągu kilku tygodni tzw. Żelazną Kopułę, system pocisków likwidujących rakiety odpalone ze Strefy Gazy i Wzgórz Golan w kierunku izraelskich osiedli.

Z takim rozumieniem słowa „haker” związane jest pojęcie „hakatonu”. To kolejny po „haktywiście” neologizm powstały po połączeniu dwóch słów: „hakera” oraz „maratonu”. Hakatonem nazywamy więc kilkudziesięciogodzinny maraton programistyczny, którego celem jest stworzenie rozwiązania może nie idealnego, za to działającego. Niemało współcześnie dostępnych rozwiązań – apek mobilnych, serwisów internetowych albo nawet całych produktów – powstało właśnie w ten sposób. Facebook Recommendations (część serwisu, w której prosimy znajomych o rekomendacje konkretnych produktów lub usług) jest owocem wewnętrznego hakatonu Facebooka. Start-upy warte dzisiaj miliony dolarów (EasyTaxi, GroupME, Carousel) też miały takie początki.

W Polsce kilkukrotnie odbył się m.in. Hakaton Danych Publicznych, podczas którego rozbudowywano portal dane.gov.pl oraz tworzono użyteczne rozwiązania na bazie udostępnianych tam danych. Między innymi poprzez połączenia informacji o przetargach publicznych i ich zwycięzcach z poszczególnych ministerstw i urzędów oraz danych z Krajowego Rejestru Sądowego udało się zidentyfikować firmy otrzymujące kontrakty publiczne oraz określić, ile było tych kontraktów. Jakkolwiek nie ma nic niestosownego w tym, że jakaś firma lub grupa firm specjalizuje się w pozyskiwaniu zamówień rządowych, to informacja o tym jest elementem obywatelskiej kontroli nad władzami publicznymi.

Na świecie rośnie ruch tzw. hackerspace’ów – utrzymywanych z datków samych członków laboratoriów komputerowych. Ich członkowie mogą przyjść i skorzystać z rozwiązań zakupionych wspólnym sumptem, a także spotkać pasjonatów takich jak oni. Hackerspace’y kupują sprzęt, którego inżynierowie mogą potrzebować, ale okazjonalnie – np. drukarki 3D, obrabiarki cyfrowe, części elektroniczne, stanowiska do lutowania i spawania – i je udostępniają. Społeczność hackerspace’ów (w Chinach zwanych makerspace’ami) to coś na kształt komputerowych klubów majsterkowicza. Polskie hackerspace’y działają m.in. na Śląsku, w Krakowie, Warszawie i Trójmieście.

Antyhaker, czyli o kolorach kapeluszy

Ponieważ hakerzy to dzisiaj codzienne zagrożenie w obszarach publicznych, w biznesie, a także w życiu codziennym, pojawiło się zapotrzebowanie na specjalistów, którzy zawodowo udają hakerów i włamują się do systemów w sposób kontrolowany, zanim inni zrobią to złośliwie.

Typ hakera, w zależności od stosowanej etyki, określa się „kolorem kapelusza”. Czarne kapelusze to przestępcy. Łamią zabezpieczenia, aby wykraść dane, szantażować ofiarę albo po prostu sprzedać dostęp na czarnym rynku. Białe kapelusze, inaczej etyczni hakerzy, to specjaliści, którzy przełamują zabezpieczenia w celu rozwinięcia, sprawdzenia lub potwierdzenia własnych umiejętności. Jeśli im się to uda – zostawiają wiadomość dla właściciela złamanego serwisu (często w sposób jednoznacznie pokazując, że są skuteczni, np. wysyłając wiadomość z konta prezesa zarządu), ujawniając jednocześnie, co i jak udało się złamać. Jeśli ofiara nie zareaguje, podają szczegóły swojego rozwiązania do wiadomości na specjalistycznych forach, aby poddać ją infamii – ale nadal w taki sposób, by nie stworzyć zagrożenia. Z reguły firmy wtedy reagują.

Czerwone kapelusze – albo czerwone drużyny (red teams) – to specjaliści od bezpieczeństwa zatrudniani przez firmy lub agencje w celu przetestowania własnych zabezpieczeń. Wykonują tzw. testy penetracyjne – czyli sprawdzają, czy system ma luki. Włamują się w sposób kontrolowany i nie czynią szkód – jednak robią to nie dla idei lub potwierdzenia własnych umiejętności, ale na zlecenie samej „ofiary”.

Wreszcie niebieskie kapelusze – albo po prostu niebieska drużyna – to lokalne zespoły odpowiedzialne za bezpieczeństwo. Ich zadaniem jest ciągłe nadzorowanie infrastruktury i aplikacji organizacji, aby hakerzy nie mogli się do niej dostać. Odpowiadają za instalację wszelkich łatek bezpieczeństwa, analizę logów (dzienników) systemowych, regularną zmianę haseł, aby prawdziwi hakerzy, a także czerwone kapelusze, nie mogli się dostać do systemu.

Hakerzy na niby

Wreszcie działalność hakerów stała się świetnym wykrętem dla osób, które w internecie powiedziały o kilka słów za dużo i próbują się z tego wycofać. Pierwszy był bodaj Paweł Kukiz. Kilka zdań rzuconych przez niego w piątkowy wieczór stało się tematem powszechnych komentarzy. Najpierw zrzucał winę na hakerów, a kiedy opinia publiczna zaczęła wątpić w prawdziwość tych słów, sugerując, że „haker nazywał się Johnnie Walker”, przyznał, że jedynym hakerem, który przejął jego konto i jego samego, była „piątkowa noc”. „Kogo nigdy w życiu taki piątek nie przejął – niech pierwszy rzuci kamieniem” – podsumował ze skruchą.

Latem ub.r. posłanka rządzącej partii, zimą wiceminister z tego samego stronnictwa opublikowały obelżywe, rasistowskie i seksistowskie treści. Obie panie twierdziły, że na profile się włamano, a zamieszczone treści nie są ich autorstwa. Serwis Niebezpiecznik. pl, jeden z największych autorytetów w dziedzinie bezpieczeństwa cyfrowego, zdaje się podzielać przynajmniej częściowo te doniesienia. Jeśli faktycznie w tym przypadku mamy do czynienia z włamaniem, a nie z chwilą słabości, w której autorki dały upust negatywnym emocjom, hakerzy bardzo umiejętnie dobrali publikowane treści. Większość komentatorów od razu uwierzyła, że taki wpis może pochodzić od tych właśnie osób; wielu nadal nie przekonują tłumaczenia działaczek. Warto dodać, że brak umiejętności zadbania o bezpieczeństwo własnego konta naraża polityków na utratę dobrej opinii nie mniej niż publikowanie nocami. Zwłaszcza gdy do przejęcia skrzynki przyznaje się wicepremier i minister aktywów państwowych.

Dodajmy, że testowanie zabezpieczeń to świetny wykręt dla służb specjalnych, aby uzyskiwać dostęp do serwisów i systemów, które je interesują. W polskiej ustawie o zwalczaniu terroryzmu przyznano policji takie prawo, nie określając jednocześnie zakresu jego obowiązywania. Fundacja Panoptykon, zajmująca się ochroną prywatności obywateli w cyfrowym świecie, uważa brak precyzyjnych zapisów, ograniczeń i kontroli sądowej nad takimi działaniami za zagrożenie dla prywatności obywateli. Dość łatwo można sobie wyobrazić, że służby specjalne włamują się do systemów, a jeśli zostaną złapane za rękę, mówią „przepraszamy, tylko testowaliśmy zabezpieczenia” – i przywołują odpowiednią podstawę prawną. Zdaniem Panoptykonu takie działania powinny zawsze odbywać się pod kontrolą niezawisłego sądu.

Hakerzy w nowej cyfrowej rzeczywistości

Do tych siedmiu oblicz hakera wkrótce dojdą zapewne kolejne. Kiedy nasza rzeczywistość stanie się jeszcze bardziej cyfrowa, hakerzy ujawnią nowe twarze. Gdzieś niedaleko czyha biohacking: „włamywanie” się do żywych organizmów, modyfikacja ich cech, skłanianie do określonych zachowań, aby uzyskać pożądane rezultaty. Szczepionka mRNA Pfizer/Moderna to pierwsza jaskółka: zastępuje urydynę (U) elementem zwanym 1-metylo-3˘-pseudourydyną (Y), aby „oszukać system zabezpieczeń” (czyli układ opornościowy) i zapobiec zniszczeniu cząsteczki szczepionki przed wniknięciem do komórki. Ktoś niedługo wykorzysta mechanizmy biohackingu do czegoś innego niż ochrona przed koronawirusem.

Należy pamiętać, że większość hakerów nie potrzebuje zaawansowanej technologii, a jedynie socjotechniki. W książce „Sztuka podstępu” Kevin Mitnick, legendarny haker, który już w latach 80. uzyskiwał nielegalny dostęp do systemów i sieci telekomunikacyjnych, pisze, że najsłabszym punktem każdego systemu jest człowiek. Podszycie się pod kogoś, wzbudzenie zaufania ofiary i wykorzystanie go do uzyskania nieautoryzowanego dostępu – to w wielu przypadkach wystarcza. Często sprawdzenie kilku podstawowych haseł (data urodzenia, słowo „password”, 1234 itd.) również otwiera nieautoryzowany dostęp. Doprawdy, najlepsze protokoły i narzędzia nie wystarczą, jeśli ktoś wykorzystuje łatwe do odgadnięcia ciągi znaków i nie zmienia ich regularnie, zapisuje je na żółtej karteczce przypiętej do monitora albo daje się nabrać na pracownika banku dzwoniącego przez telefon i proszącego, aby podać numer karty.

Przed nami wielka rewolucja internetu rzeczy. To zmieni całkowicie oblicze hakerów, hackingu oraz jego konsekwencji. Ci, który wcześniej mogli uzyskać jedynie dostęp do pieniędzy i informacji na nasz temat, zdobędą klucze do fizycznych urządzeń. Będą mogli przejąć kontrolę nad zamkami, alarmami, oświetleniem, ogrzewaniem, klimatyzacją, sieciami energetycznymi, sprzętem medycznym, inteligentnymi budynkami i autonomicznymi pojazdami – i zapewne wywoływać będą wypadki, pożary, problemy z dostawami energii, a nawet pokuszą się o uwięzienie ludzi. Taki scenariusz opisał Marc Elsberg w książce „Blackout” – a podczas jej czytania włos jeży się na głowie nawet największym entuzjastom technologii.

Najbliższe lata to więc nieustanne balansowanie pomiędzy zaufaniem a jego brakiem, bilansowanie (niebagatelnych) kosztów bezpieczeństwa oraz wartości informacji, które być może utracimy. Analizowanie ryzyk i scenariuszy reakcji na nie; ćwiczenie ataków i przeciwdziałanie im. To nieustanny wyścig, przypominający wyścig zbrojeń – z tą różnicą, że wróg czai się wszędzie, nie pokazuje twarzy i może zaatakować w każdej chwili. To także myślenie o tym, jakie dane i komu udostępniliśmy. Życia z ryzykiem, a także świadomością, że jakieś niewygodne szczegóły z nami związane mogą wypłynąć na światło dzienne.

Kilka rad, jak nie dać się hakerom

• Nie udostępniać nikomu loginów i haseł do systemów.

• Regularnie aktualizować system operacyjny i aplikacje do najnowszych wersji.

• Nie stosować tego samego hasła do kilku serwisów, w tym np. poczty albo banku. Jeśli mamy trudność z zapamiętaniem, skorzystać z menedżera haseł.

• Gdzie się da, włączyć uwierzytelnianie dwuskładnikowe (np. SMS-em albo – lepiej! – w apce).

• Nie klikać na podejrzane linki przesyłane mailem lub w komunikatorach internetowych, nawet jeśli zdają się pochodzić od znanych nam osób.

• Nie instalować aplikacji niewiadomego pochodzenia.

• Nie podawać numeru podstawowej karty kredytowej w serwisach internetowych. Jeśli nie ma innej możliwości płatności, wyrobić sobie dodatkową kartę do internetu i trzymać na niej niewielką kwotę.

• Nie wierzyć w telefony i maile od banku, które wymagają podania naszego hasła, numeru karty kredytowej lub zainstalowania jakiejś aplikacji na smartfonie czy komputerze.

• Przed zalogowaniem się do serwisu (np. banku, poczty elektronicznej, społecznościowego) sprawdzić, czy nazwa domeny jest zgodna z nazwą tego serwisu, a w pasku adresu pojawia się kłódka i „https://”.

• Najlepiej nie korzystać z publicznych sieci wi-fi; jeśli już trzeba – nie dokonywać w takiej sieci transakcji finansowych i nie logować się na nowe konta.

• Oszczędnie udostępniać informacje na swój temat w internecie – zwykłe zdjęcie z wakacji wrzucone na publiczne konto w sieci społecznościowej to informacja dla złodzieja, że nie ma nas w domu i może do nas wpaść w gościnę bez ryzyka natknięcia się na domowników.

• Należy posiadać kopię zapasową wszystkich istotnych danych.