1.     Kim są hakerzy?

Hakerzy są specyficzną grupą użytkowników komputerów, która kojarzona jest z bardzo negatywnym zjawiskiem jakim jest łamanie prawa. Głównym twórcą tej opinii są media, które społeczność hakerów traktują jako społeczność komputerowych wandali. Historycznie termin hack (od którego stworzono określenie hacker) oznacza kombinować, wykonywać coś z pomysłowością, sprytem. Dotyczył on  praktycznie wszystkich dyscyplin techniki i sztuki, np. elektroniki, matematyki, muzyki. Wraz z nadejściem ery komputerów najszybciej odnaleźli się w niej hakerzy. Informatyce towarzyszą od samego początku, to oni eksperymentowali z siecią ARPAnet (Advanced Research Projects Agency Network), a także stworzyli dzisiejszy Internet. Są ojcami wielu systemów operacyjnych. Przykładem może być Linus Torvalds, który jest twórcą jądra Linuxa. Można powiedzieć, że są magikami, potrafią dokonać takich rzeczy przy pomocy komputerów, których nie jesteśmy w stanie sobie wyobrazić. Wykorzystując swoją głęboką wiedzę o sprzęcie i oprogramowaniu dokonują rzeczy pozornie niemożliwych.

2.     Podział hakerów

W dzisiejszych czasach osoby z olbrzymią wiedzą informatyczną stają się swego rodzaju bronią. Kraje takie jak Rosja, Chiny, USA już dziś są świetnie przygotowane do prowadzenia wojny cybernetycznej. Moim zdaniem, osoby takie powinny mieć jasno określone zespoły norm i ocen moralnych, składających się na etykę.

Biorąc pod uwagę stosowaną etykę możemy podzielić ,,hakerów” na 3 grupy:

• white hat – białe kapelusze, hacker – haker;
• black hat – czarne kapelusze, cracker – kraker;
• grey hat – szare kapelusze.

Podział ten ma swoje źródło w czarno-białych westernach. W filmie kolor kapelusza oznacza czy ktoś jest dobry czy zły. Hakerzy są również uznawani za kowbojów cyberprzestrzeni.

2.1.     Białe kapelusze

Rysunek 1. Emblemat hakerów

Hakerzy nie posiadają żadnego oficjalnego kodeksu etycznego. Vern Paxson z International Computer Science Institute zaproponował utworzenie kodeksu norm etycznych dla „dobrych” hakerów. Do jego stworzenia jednak nie doszło [5]. Pomimo tego postaram się przedstawić zasady z którymi sam się spotykam, przeglądając chociażby Internet i rozmawiając ze znajomymi. Są one nieoficjalne, lecz nie powinno to stanowić dla nikogo problemu, ponieważ wszyscy powinniśmy postępować w zgodzie z sumieniem.

Podstawowa zasada brzmi: Nie szkodzić, nie czynić żadnego zła. Nie można usuwać żadnych plików ani zmieniać nic w systemie. Teoretycznie nie można w ogóle uzyskać dostępu do żadnych danych znajdujących się na cudzej maszynie. Ciekawość, która jest fundamentalną cechą hakerów jest jednak najważniejsza. Stąd po uzyskaniu dostępu do danych nie wolno niszczyć ani modyfikować plików. Jest to szczególnie widoczne, gdy haker chce naprawić coś, co (z jego punktu widzenia) jest uszkodzone lub wymaga poprawy. Niedoskonałość złości hakerów, których pierwotny instynkt nakazuje im doprowadzać wszystko do perfekcji. Wszelkie podejmowane działania powinny być w pełni legalne, lecz często jest to sprzeczne z założeniami. Powoduje to konflikt norm moralnych. Hakerzy muszą powstrzymać pokusę wykorzystania swojej wiedzy w celach uzyskania zysku (np. sprzedaż wykradzionych danych na czarnym rynku za naprawdę duże pieniądze), zdobycia rozgłosu (np. wśród hackerskiego undergroundu (podziemia) lub innych użytkowników sieci). Kradzież informacji może przynieść bardzo duże szkody. Bardzo ważnym aspektem jest podszywanie się (spoofing i phishing), a także nasłuch informacji (sniffing), które są często stosowanymi metodami zdobywania informacji. Są z jednej strony bardzo skuteczne, lecz stwarzają możliwość bardzo łatwego uzyskania informacji, które nie powinny nigdy ujrzeć światła dziennego.

Kolejną zasadą jest informowanie administratorów/autorów o wykrytych nieprawidłowościach. Wszelkie luki odkryte w kodzie serwisu/aplikacji lub konfiguracji systemu powinny zostać jak najszybciej zaraportowanie odpowiednim osobom w celu ich naprawienia (np. aktualizacji skryptu, wydania patcha). W krajach takich jak Polska ta zasada raczej nie znajduje zastosowania. Powód jest prosty – polscy administratorzy zazwyczaj nie są wdzięczni za pomoc/poradę. Wręcz odwrotnie, potrafią grozić, np. sądem czy innymi konsekwencjami. Niby za co? Za to, że ktoś chciał w ten sposób pomóc ulepszyć jakiś program, zmniejszyć ryzyko wykradzenia istotnych informacji, poinformować o konieczności aktualizacji przestarzałego i tym samym niebezpiecznego programu. Czasami wraz z raportem o danej nieprawidłowości hakerzy wysyłają informacją jak ją naprawić. Na szczęście zmienia się to powoli na lepsze, być może administratorzy i autorzy odkrywają pozytywne intencje hakerów. Etyczny haker stawia sobie za cel pomoc w znalezieniu skutecznej metody obrony przed atakiem. Oczywiście naganne jest publikowanie informacji o znalezionych lukach dla szerszego grona osób, np. na forach internetowych, czy w formie exploitów (których użycie nie wymaga praktycznie żadnej wiedzy informatycznej).

Hakerzy powinni być skromni. Wszelkiego rodzaju przechwałki mogą być jedynie dowodem na to, że komuś brakuje wiedzy. Nie powinni nikogo lekceważyć, nigdy nie wiadomo przecież z kim się rozmawia, np. na IRC-u. Dobrze wyjść z założenia, że osoba z którą rozmawiamy ma większą wiedzę od nas. Hakerzy gardzą pochlebcami, nie potrzebują żadnych sposobów dowartościowania siebie.

Wszyscy się powinni szanować, hakerzy w szczególności zwracają na to uwagę. Szacunek to podstawa stworzenia dobrych relacji, więc wzrasta szansa poznania wielu nowych, ciekawych osób. Wśród hakerów wiele osób cieszy się uznaniem, są to, np. Richard Stallman, Linus Torvalds, Eric S. Raymond, Kevin Mitnick, a w Polsce chociażby Michał Zalewski i Joanna Rutkowska. Są oni bardzo silnymi autorytetami, niektórzy stają się żywą legendą owianą aurą tajemniczości.

Uczciwość i zaufanie są równie ważne. Niestety poprzez nagonkę na hakerów prowadzoną przez media, społeczeństwo nie darzy zaufaniem tej grupy ekspertów. Są oni utożsamiani z crackerami – hakerami, którzy wybrali działalność przestępczą. Firmy  z branży bezpieczeństwa teleinformatycznego niechętnie zatrudniają hakerów. Wzbraniają się przed współpracą, ponieważ  kryminalistom nie wolno zaufać [6]. Hakerzy z grupy „białych kapeluszy” odkrywają potencjalne zagrożenia przed odkryciem ich przez włamywaczy. Są oni również bardzo narażeni na wszelkiego rodzaju formy przekupstwa. Dla wielu osób informacja jest ważniejsza od pieniędzy. A kto może najszybciej uzyskać dostęp do niej jak nie haker? Informacja wcale nie musi być zapisana w formie elektronicznej. Pomimo tego, że cechuje ich samotność (pozostają na uboczu społeczeństwa) i są tzw. geekami (dziwakami/świrami/nudziarzami) mają jedną tajną broń – inżynierię społeczną. Od dawna wiadomo, że najsłabszym ogniwem w bezpieczeństwie teleinformatycznym jest człowiek. Są mistrzami socjotechniki, potrafią wyciągnąć bardzo wiele informacji od nieświadomych tego ludzi. Dzięki temu z łatwością uzyskują dostęp to najlepiej zabezpieczonych danych. Nie znasz hasła? Po prostu o nie zapytaj… Jak widzimy muszą oni pozostać wierni swoim zasadom i nie ulegać pokusie wykorzystania swojej wiedzy do złych celów.

Hakerzy nie powinni odnosić się obraźliwie do osób początkujących (tzw. newbies), Osoby takie niestety mogą irytować, zwłaszcza ilością zadawanych pytań oraz ich niskim poziomem. Dobrze jest wtedy wskazać im coś na dobry początek, np. poradzić jakich języków programowania się nauczyć, polecić jakąś lekturę branżową. Hakerzy co do zasady chętnie służą pomocą (wystarczy tylko udowodnić, że naprawdę komuś zależy na zdobyciu wiedzy, że ktoś się stara) i dzielą się swoją wiedzą (np. poprzez pisanie tutoriali, faq oraz wpisy na blogach, forach, grupach dyskusyjnych, własnych stronach). Popularyzacja i udostępnianie tej specyficznej wiedzy jest bardzo ważna, bo czyż nie najlepszą obroną jest atak? Znając metody jakimi posługują się hakerzy jesteśmy w stanie dobrze przed nimi się chronić. Tak więc wszyscy powinni korzystać z tego, że podstawą hackingu jest wolność w każdym aspekcie. Każda informacja powinna być jawna i wolna, stąd narodził się ruch open source – wolnego oprogramowania o otwartych źródłach.

Społeczność hackerska jest bardzo zróżnicowana pod względem narodowościowym, kulturowym czy religijnym, także dyskryminacja raczej nie jest problemem. Hakerzy nie zwracają uwagi na nic poza wiedzą. Istnieje również powszechna zasada, że w Internecie są wszyscy równi.

Szanowanie prywatności jest kolejną ważną zasadą etyczną. W informatyce dostęp do prywatnych, osobistych danych tak naprawdę odbywa się w hurtowych ilościach. Hakerzy bardzo często mają za zadanie sprawdzenie zabezpieczeń przed nieautoryzowanym dostępem. Ochrona prywatności i nienaruszalności powinna być priorytetem. Haker uzyskując dostęp do informacji, których nie powinien znaleźć jest zobowiązany do zachowania poufności i dyskrecji.

Każdy haker ma swoje zasady etyczne, którymi się kieruje. Doskonałym ich uzupełnieniem są zasady netykiety (zasady etyki sieciowej), które dotyczą wszystkich osób posługujących się komputerem. Posiada iście szlachetną ideologię. Społeczności hakerów nie tworzą intelektualiści z aktówką, lecz ludzie z doświadczeniem i wiedzą.

Chciałbym przedstawić fragment manifestu napisanego przez jednego z hakerów – The Mentora – zaraz po tym jak został zatrzymany.

,,Teraz to jest nasz świat… świat elektronu i przełącznika, piękno bodu (prędkość transmisji sygnału). Korzystamy z usług nie płacąc za nie, co mogłoby być całkiem tanie, gdyby nie banda zarabiających na tym obżartuchów, a ty nazywasz nas przestępcami. Odkrywamy… a ty nazywasz nas przestępcami. Szukamy poza wiedzą… a ty nazywasz nas przestępcami. Żyjemy bez koloru skóry, narodowości bez uprzedzeń religijnych… a ty nazywasz nas przestępcami. Budujesz bomby atomowe, prowadzisz wojny, mordujesz, oszukujesz, okłamujesz próbując nas przekonać, że to dla naszego dobra, chociaż ciągle uważasz nas za przestępców.
Tak, jestem przestępcą. Moim przestępstwem jest ciekawość. Moim przestępstwem jest osądzanie ludzi nie po tym jak wyglądają, lecz po tym, co mówią i myślą. Moim przestępstwem jest to, że jestem bardziej bystry od ciebie – nigdy mi tego nie wybaczysz.
Jestem hakerem, a to jest mój manifest. Możesz zatrzymać mnie, ale nie zatrzymasz nas wszystkich… tak czy owak, wszyscy tacy jesteśmy” [10].

2.2.     Czarne kapelusze

Krakerzy posiadają taki sam poziom umiejętności technicznych jak hakerzy, inny jest jednak jej sposób wykorzystania – negatywny. Przełamują zabezpieczenia sieci informatycznych, ponieważ chcą zdobyć zyski finansowe lub chcą po prostu zaszkodzić innym użytkownikom, producentom oprogramowania czy właścicielom serwerów [4]. Osobiste korzyści, wyrządzanie szkód w opanowanym systemie oraz inne negatywne intencje są dla nich priorytetem. Są wandalami komputerowymi, nie liczącymi się z niczym ani nikim. Bardzo popularnym ostatnio tematem jest crackowanie (łamanie) płatnych programów w celu zaoszczędzenia na opłacie licencyjnej (łamanie praw autorskich). Ideologia krakerów odbiega od szlachetnych założeń hakerów – naprawy świata. Nie liczą się zupełnie z zasadami etycznymi oraz netykietą. To przez nich określenie haker utożsamiane dawniej z informatycznym Noblem zmieniło się nie do poznania.

Część czarnych kapeluszy usprawiedliwia się, że wobec zwłoki wydawców oprogramowania komputerowego w publikowaniu łatek (patchów) poprawiających bezpieczeństwo i błędy, jedynie bezpośrednia groźba, np. w postaci exploita lub publikacji błędu w innej formie może przyspieszyć proces ich wydania.

Moim zdaniem ta grupa osób ściśle związanych ze społecznością osób zafascynowanych komputerami jest najliczniejsza. Zaliczają się do niej niestety w pewnym sensie także osoby bez jakiejkolwiek wiedzy technicznej, które wykorzystują dorobek hakerów/krakerów. Zwani są script kiddies (skryptowe dzieciaki). Nie stosują się do żadnych zasad etycznych. Zależy im na wyrządzeniu jak największej szkody, stąd przy wykorzystaniu publicznie dostępnych programów atakują hurtowo, np. serwery. Nie rozumieją zazwyczaj nawet sposobu działania skryptu, stąd pozostawiają bardzo wiele śladów i łatwo jest ich wykryć. Brak wiedzy oraz kompletny brak trzymania się zasad etyki i netykiety spowodował, że nawet krakerzy są bardzo negatywnie do nich nastawieni.

2.3.     Szare kapelusze

Szare kapelusze są osobami które balansują na cienkiej linii, rozdzielającej świat hakerów i krakerów. Przestrzegają jedynie tylko części zasad etycznych, z którymi się zgadzają.

3.     Przykłady nieetycznego postępowania

Jako przykład nieprzestrzegania zasad etycznych chciałbym przedstawić historię mojego znajomego. Podczas wyborów parlamentarnych w 2007 roku, wykorzystując atak SQL injection (wstrzyknięcie kodu SQL do bazy danych) zmienił treść jednej z okręgowych stron internetowych polskiego wymiaru sprawiedliwości. Oprócz pozostawienia krótkiej notki o swojej obecności (co jest jednoznaczne z przełamaniem zabezpieczeń witryny) napisał: ,,I tak mnie nie złapiecie”. Postępowanie to należy uznać za naganne. W tym przypadku należałoby przesłać informację o istniejącej luce bezpieczeństwa do administratora (webmastera) serwisu oraz konsekwencjach pozostawienia jej niezałatanej, lecz nie wykorzystywać tej podatność. Zapewne chęć zyskania sławy (uzyskania rozgłosu) wzięła górę nad rozsądkiem. Niestety z dalszej części jego relacji wynika, że długo nią się nie nacieszył. Rankiem następnego dnia jego dom został przeszukany przez funkcjonariuszy Policji w celu zabezpieczenia dowodów przestępstwa (sprzęt komputerowy, nośniki danych). Wyrok jaki dostał za ten ,,wybryk” to 2 lata pozbawienia wolności w zawieszeniu, grzywna 800zł oraz dozór kuratorski do osiągnięcia pełnoletniości. Cena, którą zapłacił za test swoich umiejętności jest na pewno duża. Jego historia pozwoliła mi zaoszczędzić wielu nieprzyjemności, na które mógłbym się natknąć. Była swego rodzaju nauką dla mnie [7].

Kolejnym przykładem jakim się posłużę jest publikowanie dump-ów (zrzutów) baz danych w Internecie. Jest to często praktykowane. Osoba po obejściu zabezpieczeń jakiejś witryny robi sobie dla użytku prywatnego kopię witryny (pliki + baza danych). Dane takie są bardzo cenne, ponieważ mogą zawierać nowatorskie rozwiązania techniczne, ciekawy layout (szata graficzna strony) oraz informacje o użytkownikach (loginy, hasła, e-maile). Daje to możliwość dalszego ataku skierowanego na poszczególnych użytkowników. Lista e-maili może zostać wykorzystana do wysyłania niechcianych reklam, tzw. SPAM-u. Jak widzimy serwis, którego zabezpieczenia zostały przełamane jest narażony nie tylko na duże koszty finansowe, lecz traci również zaufanie użytkowników, które jest bezcenne i ciężko jest je odzyskać. Wszystkie ,,zdobyczne” dane są zazwyczaj publikowane w wąskim gronie krakerów, lecz czasami również wśród wszystkich użytkowników Internetu. Ostatnimi czasy bardzo głośnym echem odbiła się kradzież bazy danych serwisu Wykop.pl, która została pozostawiona bez zabezpieczeń na serwerze testowym [7].

4.     Wnioski

Podsumowując, zakres działań hakerów jest bardzo szeroki i zarazem bardzo ryzykowny, ponieważ balansują oni na granicy prawa. Poddawani są ciągłej nagonce i ocenie ze strony mediów. Zarzuca się im czyny, które są tak naprawdę dokonaniami krakerów. Przez to zawsze ludzie będą ich mylić. Tak naprawdę hakerzy są utalentowanymi ludźmi, którzy mogą być wydajniejsi w pracy od zwykłych informatyków kilkanaście razy. Ich geniusz staje się wadą – przecież ludzie rzadko lubią mądrzejszych od siebie. W moim referacie próbowałem przedstawić prawdziwe – szlachetne – oblicze hakerów, które cechuje się przywiązywaniem wagi do specyficznych wartości moralnych. Mam nadzieję, że moje przemyślenia i doświadczenia pozwolą Ci na stworzenie swojej własnej opinii. Trzeba wyraźnie zaznaczyć, że wszyscy ludzie tworzący lub utożsamiający się ze społecznością hakerską powinni mieć etykę w sercu (gdy zostanie zapisana na papierze, staje się prawem, a przestaje być etyką). Powinna być ona kluczowym elementem ich życia.

Literatura:

1. A. Fadia: „Etyczny Hacking. Nieoficjalny przewodnik”, PWN – Mikom, Warszawa, 2003.
2. A. Haręża: „Doktryna Hakerów – mit czy rewolucja? Uwagi na temat natury informacji, entropii cyberprzestrzeni i postawy awangardy rewolucji postindustrialnej”, Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej – Wydział Prawa, Administracji i Ekonomii – Uniwersytet Wrocławski, Wrocław, 2005.
3. E. S. Raymond: http://www.jtz.org.pl/Inne/hacker-howto-pl.html, ,,Jak zostać hackerem”, dostęp 10.12.2009.
4. J. Ross: „Bezpieczne programowanie. Aplikacje hakeroodporne”, Helion, Gliwice, 2009.
5. Portal securitystandard.pl: http://securitystandard.pl/news/344405/Etyczni.hakerzy.balansuja.na.granicy.prawa.html, D. Niedzielewski: „”Etyczni hakerzy” balansują na granicy prawa”, dostęp: 02.12.2009.
6. Praca zbiorowa pod redakcją R. Russell: „Hack Proofing Your Network. Edycja polska”, Helion, Gliwice, 2002.
7. Prywatne rozmowy z członkami społeczności hakerskej.
8. R. Lehtinen, D. Russell, G. T. Gangemi: ,,Podstawy ochrony komputerów”, Helion, Gliwice, 2007.
9. S. Levy: ,,Hackers, Heroes of the Computer Revolution. CHAPTER 2 – THE HACKER ETHIC”, Project Gutenberg Etext of Hackers, 1984.
10. The Mentor: ,,Manifest hakera”, czasopismo ,,Phrack.org” nr 1/1986. Tłumaczenie: ?.

P.S. Jeżeli znalazłeś jakiś błąd (merytoryczny, ortograficzny, interpunkcyjny lub literówkę) to poinformuj mnie o nim, np. poprzez pozostawienie komentarza. Będę również wdzięczny za wszelkie  sugestie/słowa krytyki, a także wyłapanie braku źródeł/cytatu (może się zdarzyć, że jakiś fragment omyłkowo nie został opatrzony cytatem – z góry za to przepraszam ) .

Ostatnie wpisy

• Ciekawostki z życia cz. 4
• Ciekawostki z życia cz. 3
• Potęga NK
• Czy Niebezpiecznik jest bezpieczny?
• Ciekawostki z życia cz. 2
• Ciekawostki z życia cz. 1
• Zasady etyczne dotyczące hakerów

This entry was posted w niedziela, Styczeń 24th, 2010 o 00:55 and is filed under Cyberspace. You can follow any responses to this entry through the RSS 2.0 feed. Możesz zostawić odpowiedź, or trackback from your own site.