Internet Rozmowy Wys3ano dnia 15-06-2009 o godz. 17:18:08 przez rafa  | Wywiad z podwójnie zbuntowanym informatycznym nie amatorem; ujawnia kulisy dzia³alno¶ci podziemia informatycznego, czyli jak to wszystko wygl±da :) |
Jak i kiedy zacz±³e¶ interesowaæ siê komputerami?
Komputerami zacz±³em siê interesowaæ w wieku 11 lat. Na pocz±tku jak ka¿dy dzieciak gra³em w gry. Sentymentalnie wspominam czasy systemu Windows 3.11 nagranego na dyskietkach. Tamten czas by³ pocz±tkiem rozwoju internetu w polsce: pierwsze modemy, callback`i (u¶miech). Ludzie w tamtym okresie nie byli obeznaniz technologiami teleinformatycznymi. Wielokrotnie s³ychaæ by³o o tym, ¿e komu¶ siê wpiêli w linie telefoniczn± w nocy... pó¼niej rachunek nie by³ przyjemny.
Czy pamiêtasz jakie¶ metody dzwonienia za darmo w tamtym okresie czasu?
(u¶miech).. Z tego co pamiêtam to sposób na iskrê z zapalniczki w metalow± obudowê telefonu w budce, takie dzia³anie pozwala³o na wykonanie dowolnego po³±czenia telefonicznego bez potrzeby p³acenia za nie. Niestety sam tego nie próbowa³em bo jest to niezgodne z prawem (u¶miech). Obecnie stosowane s± karty chipo`we, lecz ludzie którzy na co dzieñ zajmuj± siê bezpieczeñstwem telekomunikacyjnym i metodami obej¶cia danego zabezpieczenia twierdz±, ¿e przeprogramowanie niektórych chip`ów jest ³atwiejsze ni¿ nagrywanie i ³adowanie kart magnetycznych z 1998 roku.
Kiedy ta pasja przerodzi³a siê w co¶ wiêkszego? Jakby¶ okre¶li³ swoj± dzia³alno¶æ w sieci?
Codzienna obs³uga systemu z czasem przesta³a mnie interesowaæ. W polskiej sieci zaczê³y siê pojawiaæ strony oparte na rozmaitych jêzykach skryptowych po³±czonych z obs³ug± baz danych. W latach 2000-2004 wiêkszo¶æ firm posiada³a ju¿ rozbudowane systemy informatyczne. Lecz by³o jedno „ale”, w tamtym czasie nikt nie zastanawia³ siê nad bezpieczeñstwem. To mnie naprawdê zainteresowa³o. Wielu ludzi okre¶la moje dzia³anie mianem white hat czyli bia³ego kapelusza, jest to okre¶lenie osoby która pomaga i dzieli siê swoj± wiedz± na forum w celu niesienia pomocy innym. Do tego dochodzi ca³a gama okre¶leñ na osoby, które zajmuj± siê dziedzin± zabezpieczeñ i ich omijania. Ale ja sam nie podpisujê siê pod ¿adn± z tych grup. Robiê zupe³nie to na co mam ochotê i na co mi pozwala mój wolny czas i akty prawne. Nikt i nic nie ma na mnie wp³ywu i nie jest mi w stanie niczego narzuciæ. Wielu ludzi z którymi pracujê na co dzieñ powtarza mi ¿e powinienem mieæ w sobie wiêcej pokory, jednak ja mam zupe³nie inne zdanie na ten temat. Nie zmienimy ¶wiata na lepsze nie staj±c naprzeciw problemom. Moje dzia³anie sprawia mi zarówno satysfakcjê jak i mo¿liwo¶æ pomocy tym, którzy jej potrzebuj±. Chodzi³o g³ównie o to, by co¶ dobrze i szybko dzia³a³o bez problemów. Mo¿na zauwa¿yæ, ¿e w tamtym okresie dochodzi³o do ró¿nych ataków na przyk³ad na strony Telekomunikacji Polskiej przez grupy hakerskie takie jak Gumisie czy C.Y.P.H.E.R.S Team. By³ to swoisty bunt przeciwko wysokim rachunkom za Internet. Szczytny cel, lecz czy to co¶ zmieni³o, nie wiem. Obecnie mo¿emy zauwa¿yæ, ¿e coraz wiêcej witryn rz±dowych jak i wielkich firm pada ofiar± internetowych w³amywaczy korzystaj±cych jedynie z gotowych programów, poniewa¿ ich wiedza ogranicza siê do wpisania na przyk³ad komendy w stylu "./kodzik". Ja od samego pocz±tku mia³em nieco inne podej¶cie do blokowania dzia³ania witryn czy te¿ robienia zamieszania na czyjej¶ maszynie (serwerze). Nie widzê w tym nic co zas³uguje na szacunek prócz wandalizmu. Wydaje mi siê, ¿e zdecydowanie lepsza satysfakcja jest z tego jak ominie siê dane zabezpieczenia czego¶ zamkniêtego, sytemu który nie ma otwartego kodu ¼ród³owego w przeciwieñstwie do komercyjnych systemów gdzie wystarczy zwyk³y edytor tekstowy by wy³apaæ b³êdy i je wykorzystaæ. Jasne ¿e nie jest to te¿ proste. Jestem przeciwny publikowaniu jakichkolwiek b³êdów na forum publicznym tylko po to by jaki¶ dzieciak zaatakowa³ 10 stron opartych na jednym systemie i zamrozi³ na jaki¶ czas dzia³anie witryn. Dla ka¿dej firmy czy te¿ instytucji s± to tylko straty finansowe.
Dlaczego zaj±³e¶ siê w³a¶nie zabezpieczeniami?
Jest to dzia³ informatyki, który jest jednym z najwa¿niejszych przynajmniej dla mnie. Nowe technologie, które powstaj± nios± za sob± nowe zagro¿enia zarówno dla ludzi jak i ca³ego ¶wiata. Je¶li nie bêdzie osób, które stoj± po dobrej stronie, zapanuje totalny chaos w sieci Internet, która na chwilê obecn± jest bez w±tpienia czê¶ci± ¿ycia co drugiej osoby czy te¿ firmy na ¶wiecie. Najwa¿niejsza obecnie jest informacja, która jest najdro¿sza na rynku.
Gdyby sparali¿owaæ ³±cza internetowe powsta³aby wielka dziura, która mia³aby odbicie w ró¿nych dziedzinach ¿ycia ludzkiego np. bankowo¶æ elektroniczna czy te¿ podczas operacji chirurgicznych online, które od kilku lat ciesz± siê swoj± popularno¶ci± na ¶wiecie. Jest to ju¿ zagro¿enie ¿ycia ludzkiego, dlatego zabezpieczenia s± dla mnie czym¶ wiêcej ni¿ tylko prac± i codziennym hobby. Prze³amywanie pewnych barier jest zajêciem czasoch³onnym ale w pe³ni mnie satysfakcjonuj±cym. Nie ma nic bardziej odprê¿aj±cego jak siedzenie nam danym systemem nawet miesi±c czasu, a po miesi±cu znajdujesz to co¶, co daje ci dostêp do ca³ego systemu lub rekordów w danej bazie danych. Pó¼niej przychodzi ta satysfakcja, ¿e twoja praca nie jest tylko przeliczana na pieni±dze ale tak¿e na co¶ wiêkszego.
Za kogo siê uwa¿asz?
Uwa¿am siê za zwyk³ego szarego cz³owieka, który od czasu do czasu pomaga ludziom swoj± wiedz± i nie bierze od nich nic w zamian. Mam pe³no znajomych, którzy na co dzieñ zajmuj± siê tym samym. Niektórzy z nich pracuj± w wielkich korporacjach, niektórzy z nich s± najwiêkszymi dostawcami internetowymi w polskich miastach inni z kolei pracuj± w serwisach i portalach a nawet w instytucjach rz±dowych. Czêsto podczas spotkañ mo¿na porozmawiaæ o ró¿nych aspektach zabezpieczeñ zwi±zanych z najnowszymi trendami ataków internetowych i obron± przed nimi. Internet stwarza co krok coraz wiêksze zagro¿enie. Je¶li nikt z nas nie bêdzie wychodzi³ na przeciw problemowi takim jak cyber-terroryzm zapanuje totalny chaos.
Czy zanim wyp³yn±³e¶ na szerokie wody zajmowa³e¶ siê mniej legalnymi aspektami tej dzia³alno¶ci?
(u¶miech) Szczerze ciê¿ko mi powiedzieæ, bo ró¿ni ludzie maj± wiele na my¶li s³ysz±c pojêcie "mniej legalne aspekty". Je¶li chodzi o omijanie zabezpieczeñ nigdy nie naruszy³em „etykiety”. Czym siê zajmujê na co dzieñ, co uda³o mi siê zabezpieczyæ i komu pomóc czy te¿ wychwyciæ s³abe punkty w zabezpieczeniach mo¿na przeczytaæ na mojej stronie internetowej http://schain.only.pl/, poniewa¿ prowadzê na niej dzia³ live bugtraq i w miarê wolnego czasu opisujê jednocze¶nie moje ¿ycie i informacje o b³êdach zarówno du¿ych portali jak i tez polskich firm. Na co dzieñ pracujê oraz wspó³pracujê z wieloma firmami na stanowisku testera aplikacji lub audytora. Na chwilê obecn± reprezentuj±c firmê SecurityReason.com, która zajmuje siê przeprowadzaniem audytów i testów bezpieczeñstwa aplikacji i systemów komputerowych.
Czy uwa¿asz ¿e przeciêtny u¿ytkownik mo¿e siê dobrze zabezpieczyæ?
Hmm nie ma idealnego i z³otego ¶rodka i chyba nigdy go nie bêdzie. Je¶li mogê, nawi±¿ê do pewnej sytuacji jaka mia³a miejsce na ogólno¶wiatowej konferencji DEFCON w Stanach Zjednoczonych. Grupa kilkunastu osób zosta³a podzielona na trzy osobowe dru¿yny. Zadanie ich by³o proste, dostali kod ¼ród³owy popularnego robaka internetowego, który by³ wykrywalny przez wszystkie bazy antywirusów na ca³ym ¶wiecie. Mieli oni tak przetworzyæ tego wirusa by, nie by³ wykrywalny przez nie. Jedna z grup potrzebowa³a z tego co pamiêtam zaledwie trzech godzin aby tak zaszyfrowaæ i zmieniæ sygnaturê tego wirusa, ¿e nie by³ wykrywalny przez najlepsze ¶wiatowe antywirusy. Wiêc odpowied¼ nasuwa siê sama. U¿ytkownik nigdy nie mo¿e czuæ siê bezpieczny w sieci Internet. Wiele osób nie dba o bezpieczeñstwo swojego komputera, wówczas staje siê on ³atwym celem dla osób trzecich, które ¿eruj± na niewiedzy u¿ytkownika. Komputer przeciêtnego Kowalskiego mo¿e pos³u¿yæ zarówno w ataku na wiêkszy cel np. bank czy te¿ du¿± korporacjê, lub byæ kolejnym komputerem w pajêczynie, któr± tworzy w³amywacz do zamaskowania swojego adresu IP.
Jakie instytucje wed³ug ciebie powinny pracowaæ nad zabezpieczeniami?
Wydaje mi siê, ¿e ka¿da instytucja, ka¿da firma powinna pracowaæ nad bezpieczeñstwem zarówno swoich serwerów jak i aplikacji internetowych. Poniewa¿ dowolna strona czy te¿ serwer mo¿e byæ ruchomym celem dla w³amywacza, nie bior±c pod uwagê tak¿e dzieciaków, które u¿ywaj± gotowych skryptów by jedynie o¶mieszyæ czy te¿ naraziæ na koszty dan± firmê lub instytucjê. Zazwyczaj serwery, które pad³y ofiar± w³amania posiadaj± w sobie backdoor`y, czyli tylne drzwi przez które w³amywacz ma ca³y czas dostêp do serwera.
W takim wypadku jest wiele scenariuszy. Mo¿e on zainstalowaæ narzêdzie, które bêdzie elektronicznym pods³uchem - przechwytywaæ has³a i loginy u¿ytkowników loguj±cych siê na dana pocztê lub konto danego serwisu.
Jakie kierunki widzisz w rozwoju ¶wiêtokrzyskiego na internetowej mapie polski?
Z obserwacji widzê, ¿e rynek ¶wiêtokrzyski rozwija siê w Internecie w dobrym kierunku.
Jest wielu m³odych, którzy teraz próbuj± wypromowaæ jak±¶ okre¶lon± markê czy stworzyæ co¶ czego nie ma jeszcze w Polsce. Ka¿demu ¿yczê jak najlepiej aby jego pomys³ doszed³ do skutku i dorobi³ siê na nim milionów.
A co poza prac± - czym siê zajmujesz co ciê krêci?
Na chwilê obecn± po¶wiêcam swój wolny czas muzyce. Moje konto zasili³y dwa gramofony Technics i p³yty winylowe prosto z Kingston z Jamajki. Raz na jaki¶ czas gram w kieleckich klubach tiuny prosto z Jamajki.
Jakie masz plany na najbli¿sz± przysz³o¶æ?
W najbli¿szych miesi±cach czeka mnie ¶lub z narzeczon± Paulin±. Nastêpnie, jak to mawiaj± najstarsi górale trzeba postawiæ dom, zasadziæ d±b i sp³odziæ syna... To chyba tyle z planów na najbli¿sz± przysz³o¶æ.
Dziêkuje za rozmowê :)
