12 lipca 2022

“Haker to jest stan umysłu” – wywiad Twórczywa

Szybki kurs samoobrony w wirtualnym świecie, w luźnej rozmowie z Grzegorzem WróblemCEO STM CYBER*

Grzegorz Wróbel CEO STM CYBER pozuje na tle Ledonu
Grzegorz Wróbel CEO STM CYBER

Czy istnieją dobrzy hakerzy?

Ania Domińska: Muszę przyznać, że wiem o Was stosunkowo mało. Gdy myślę, jak opisać Waszą firmę do głowy przychodzi mi określenie: dobrzy hakerzy. A Wy jak się definiujecie?

Grzegorz Wróbel: Ogólnie nie ma dobrych czy złych hakerów.

Słowo „hacker” nigdy nie miało negatywnego znaczenia w środowisku ludzi, którzy na co dzień się tym zajmują

Natomiast mówiło się kiedyś, że „cracker” to taka osoba, która wykorzystuje swoją wiedzę techniczną w celu robienia rzeczy niezgodnych z prawem, przełamywania zabezpieczenia w imię swoich idei, to się wtedy nazywało „haktywizmem”, lub zarobienia nielegalnych pieniędzy. ”Crackerzy” to bardzo często młodzi ludzie, którzy chcą szybko zarobić pieniądze, wykorzystując techniczną wiedzę, aby kogoś okraść. I to nie ma nic wspólnego z hackerem!

Neonowe logo do biura
Świecące logo STM CYBER

Ania: A jak tłumaczysz swoim znajomym, czy też nowo poznanym osobom, czym się zajmujesz?

GW: Zajmuję się szeroko pojętym IT, i tak też się przedstawiam. Ludzie nie mają zielonego pojęcia, kim  jest Pentester i czym są testy penetracyjne. Te słowa bardziej kojarzą się z penetracją innych obszarów niż te, które naprawdę penetruję…[Śmiech]. Dlatego właśnie wolę powiedzieć, że na co dzień zajmuję się IT i bezpieczeństwem teleinformatycznym w obszarze ofensywnym. 

Ania: Ale to już brzmi strasznie grzecznie… Wytłumacz nam proszę co oznacza „W obszarze ofensywnym”?

GW: W  bezpieczeństwie teleinformatycznym możemy zdefiniować obszary defensywne i ofensywne. Defensywne to te, które służą zabezpieczeniu na wprost, czyli implementacją różnego rodzaju mechanizmów mających na celu podwyższenie poziomu Twojego bezpieczeństwa w sieci. A przynajmniej poczucie tego, że jesteś bezpieczna. Przekładając to na proste przykłady – to może być np. oprogramowanie antywirusowe na Twoim telefonie. Natomiast ta druga strona, ofensywna – to jest sprawdzenie, czy na Twój telefon da się włamać. Czyli wykonanie dokładnie tego samego co zrobiliby ludzie, którzy mają złe intencje, tylko po to, by następnie przygotować z tego raport i utrudnić potencjalne włamanie.

Ledon idealna dekoracja do biura STM CYBER
Neonowe logo w kosmicznym biurze STM CYBER

Jak dbać o swoje bezpieczeństwo w sieci?

Ania: Dla nas to jest aktualnie gorący temat. Czujemy się dość niebezpiecznie po tym jak skradziono nam nasze instagramowe konto. Wydawało nam się, że zrobiliśmy wszystko, co trzeba, aby uniknąć kradzieży. Okazało się, że włamanie na konto i jego kradzież jest bardzo proste. Nie rozumiem, po co ktoś to zrobił i do czego wykorzystał nasze konto.

GW: Generalnie, jeśli chodzi o kradzież kont związanych z Instagramem, Twitterem czy Facebookiem, to są dwa typy działań w tym kierunku. Jeden jest bardzo mocno wymierzony w konkretną osobę. Głównie polega to na wypuszczeniu informacji, które mogłyby wpłynąć np. na kurs notowania akcji na rynku lub cokolwiek innego co można by było w ostateczności spieniężyć. Drugi typ to tak zwany atak masowy, w którym atakowana jest masa kont w sposób przypadkowy. Najczęściej stajemy się ofiarami takiego ataku poprzez słabe zabezpieczenie konta. Staje się tak, gdy przykładowo nie włączymy uwierzytelnienia dwuskładnikowego. 

Ania: Ja włączyłam…

GW: Jeżeli włączyłaś to zapewne z wykorzystaniem swojego telefonu, a  nie z wykorzystaniem klucza zewnętrznego.

Ledon idealna dekoracja do biura
Neonowe logo zmieniające kolory robi niesamowity klimat

Ania: W takim razie powiedz mi co powinnam dokładnie zrobić, aby ustrzec się w przyszłości przed podobnymi sytuacjami? 

GW: Przede wszystkim zalecamy uwierzytelnienie dwuskładnikowe, zainstalowanie oprogramowanie antywirusowego.

Musimy pamiętać, że w bezpieczeństwie teleinformatycznym nie ma czegoś takiego jak 100% gwarancja bezpieczeństwa przed kradzieżą czy oszustwem. Możemy jedynie obniżyć ryzyko wystąpienia zdarzenia niekorzystnego. 

Ania: Czyli w dużym skrócie mówiąc, firmy zgłaszają się do Was z potrzebą wsparcia w zakresie bezpieczeństwa w sieci. Wy robicie wszystko by to wsparcie zapewnić, lub też robicie wszystko by takie włamanie utrudnić. Jednocześnie nie gwarantujecie, że Wasze rozwiązania będą zawsze skuteczne? 

GW: Mało tego, że nie gwarantujemy, dajemy takie rozwiązania, które w danym czasie mają rację bytu, ale już za miesiąc lub dwa, nie muszą. W związku z tym, żeby to miało sens, trzeba zrobić z tego proces weryfikacji, który jest rozłożony w czasie. Dlaczego? Dlatego, że środowiska w firmach są zmienne. Dodawane są różne aplikacje, inne są usuwane, jeszcze inne ulegają modyfikacji. Z każdą taką zmianą pojawiają się nowe ryzyka, z którymi musimy się nieustająco, na bieżąco zmierzać. Od lat istnieje taki slogan w naszym środowisku, że „Bezpieczeństwo jest procesem” – to nie jest jednorazowe zjawisko.

Ania: Czyli to wynika również z tego, że musicie nieustannie wymyślać sposoby na utrzymanie bezpieczeństwa swoich klientów, bo ludzie po drugiej stronie, ci tak zwani „crackerzy” robią wszystko by to bezpieczeństwo złamać? 

GW: Dokładnie tak. Ci ludzie po drugiej stronie mają takie same umiejętności jak my. Różnica jest w intencji i motywacji.  Pamiętajmy, że hacker to nie jest kwestia kogoś, kto jest zły albo dobry z natury. To jest chęć zrozumienia procesu, szybkiej korelacji informacji. To także analityczny umysł, chęć rozłożenia skomplikowanych systemów na elementy pierwsze, w takim celu, żeby zrozumieć jak niedoskonały jest cały system, i w jaki sposób można go zaatakować.

Jedni robią to po to, żeby wyrządzić komuś krzywdę, a drudzy, aby komuś pomóc. Jeden i drugi zwany jest hackerem.

Można atakować dosłownie wszystko, można atakować systemy dostępu wejść do biura, kamery, otwierać zamki w samochodach. To wszystko jest Hacking. 

Neonowy symbol do biura STM CYBER
Kolejny Ledon w biurze STM CYBER

Moralność hakera

Ania: Domyślam się, że może to być kuszące jak się posiądzie takie umiejętności… 

GW: Pokusa spróbowania zrobienie czegoś nie tak jest potężna! Zdarza się, że jak ktoś próbuje czegoś raz to już nigdy nie „wraca” na drugą stronę barykady. Jestem zwolennikiem teorii, że jak raz zobaczysz czym pachnie druga strona, to potem niezwykle ciężko się wraca na tę dobrą stronę. My moralność stawiamy na pierwszym miejscu.

Ania: A czy zdarza się, że dostajecie czasem propozycje, które nie do końca są dla Was moralne i jesteście zmuszeni odrzucić jakieś zlecenie? 

GW: To jest ciekawe pytanie,  bo to, co dla niektórych jest moralne, dla innych wcale takim może nie być. Ta moralność czasami bywa naprawdę trudno uchwytna. 

Ania: Chyba musisz podać jakieś przykłady..

GW: Chyba nie.. [Śmiech] Będziesz musiała sama się domyślić. 

Świecące logo firmy STM CYBER
Jeden Ledon z funkcją RGB – wiele opcji świecenia

Prapoczątki

Ania: Dobrze, zatem zacznijmy od początku. Twojego początku. Opowiedz nam jak to wszystko się zaczęło, jak się nauczyłeś hackowania?

GW: Moja przygoda z hackowaniem zaczęła się w 1998 roku. Wtedy o bezpieczeństwie w sieci nikt jeszcze nie mówił, a cała wiedza przekazywana była z ust do ust. Żeby się tym zajmować trzeba było się wkręcić w specyficzne środowisko. Pamiętam jak dziś, jak jako dwudziestokilkuletni chłopak, razem z kumplami założyliśmy pierwsze konta shellowe…

Ania:  Nie wiem co to za konta… 

GW: To takie konto gdzie logujesz się na serwer i masz przed sobą czarne okienko gdzie możesz wpisywać komendy…

Ania:  Na filmach tak robią, prawda? [Śmiech]

GW: Haha tak dokładnie, wiesz o co chodzi! 

…W każdym razie, jakimś cudem znalazłem tajemną gazetę z komendami, które można w takie okienko wpisać. Zacząłem więc bez jakiejkolwiek wiedzy czy doświadczenia wpisywać tam komendy. Trzy dni później dostałem maila z treścią, że albo pojawię się w wyznaczonej knajpie i postawię temu komuś piwo, albo sprawa pójdzie do prokuratury za próbę włamania. Wybrałem oczywiście tę pierwszą opcję. Zjawiłem się na spotkanie. Tam przeżyłem filmową scenę, która miała duży wpływ na moją przyszłość. Spotkanie z tajemniczym facetem potoczyło się zupełnie inaczej niż się tego spodziewałem – okazało się że był hackerem z innego pokolenia! Słuchałem jego historii, pochłaniałem jego wiedzę, i to był ten moment kiedy sobie pomyślałem – Chcę być taki jak on! 

Ania:  To był rok 1998 rok, czyli mniej więcej jak pojawił się film Matrix. To co opowiadasz bardzo kojarzy mi się z tym filmem…

GW: I słusznie [Śmiech].  Jak Matrix pojawił się na ekranach, wszyscy ludzie ze środowiska, łącznie ze mną, wyczekiwali sceny z n-map’em. To była scena, w której naprawdę pojawiło się coś, czym tak naprawdę się zajmowaliśmy!

Ania: No dobra, ale powiedz jak wyglądała Twoja pierwsza praca? I co Cię doprowadziło do miejsca, w którym jesteś teraz? 

GW: Moja pierwsza praca, jakiej podjąłem się w tej dziedzinie była pracą za darmo, jako administrator. Zaproponowano mi, że mogę przychodzić do biura (a w zasadzie piwnicy), czerpać wiedzę, uczyć się, ale nie dostawać za to żadnego wynagrodzenia. To była bardzo dobra decyzja, bo poznałem ludzi, przy których mogłem się rozwijać. Pamiętajmy, że w tamtych czasach nie było Internetu i ludzie zdani byli na przekazywanie sobie informacji z ust do ust. (kiedy ja zaczynałem swoja przygodę w IT dostęp do Internetu nie był tak powszechny jak obecnie. Także literatura dziedzinowa była ograniczona – najwięcej mogłeś dowiedzieć się od swojego współpracownika, kolegi.)

Świecąca dekoracja do biura STM CYBER
Warszawskie biuro STM CYBER

Ania: Zmierzając powoli do brzegu… Rozumiem, że Twoja historia jest typową historią zwaną “From Zero to Hero”, czyli od piwnicy aż do pięknego biurowca w centrum stolicy?

GW: Można tak powiedzieć. W międzyczasie pracowałem jeszcze w korporacji amerykańskiej na stanowisku Inżyniera, a następnie w Cisco. Odchodziłem z korporacji z myślą, że nie chcę już pracować dla kogoś, i chcę stworzyć coś swojego, tworząc tym samym STM. Firmę otwierałam z Michałem Orzechowskim, moim obecnym wspólnikiem, którego wszystkiego nauczyłem od początku – dziś jest bardzo utalentowanym hackerem. Obecnie zatrudniamy około 30 osób i chcemy się rozwijać. 

Co dalej?

Ania: Powiedz nam jeszcze na koniec o swoich planach na przyszłość, jakie masz marzenia względem firmy? 

GW: Moim marzeniem jeśli chodzi o firmę, od zawsze było stworzenie tak zwanego “hacker-nestu” – czyli takiego gniazda przyjaznego ludziom, którzy są wyjątkowi, jeśli chodzi o sposób myślenia. Muszę przyznać, że przez STM przewinęła się masa potężnych talentów, którzy dzisiaj robią naprawdę niesamowite rzeczy, a zaczynali z nami praktycznie od zera. Mam nadzieję, że firma będzie przyciągała wyjątkowych ludzi, że będziemy robić wyjątkowe projekty nie tylko w zakresie testowania czy da się włamać czy nie, ale również w zakresie researchu, czy badań naukowych. 

Ania: Dziękuję za rozmowę!

*Wróbel Grzegorz – Specjalista w obszarze ochrony informacji. Posiada ponad piętnastoletnie doświadczenie w projektowaniu i implementacji rozwiązań sieciowych i bezpieczeństwa.