Svět hackerů
Dobří, nebo špatní? Hackeři jsou obojí: dokážou lépe zabezpečit Windows, za peníze útočit na firmy, nebo pracovat pro tajné vládní agentury.
ULI RIES, PETR KRATOCHVÍL
Slovo „hacker“ zná většina lidí, ať už se o počítače zajímají, nebo ne. Díky akčním filmům a thrillerům mají lidé o hackerech podobnou představu: ve spoře osvětlené místnosti plné monitorů a klávesnic sedí podivně vyhlížející individuum s dlouhými a mastnými vlasy, obvykle i brýlemi s tlustými čočkami, které mluví lámanou angličtinou s ruským přízvukem.
Vše, co hackeři dělají, je nelegální, a navíc ve volných chvílích „nabourávají“ počítače CIA a amerického ministerstva obrany.
Jistě, existují i hackeři, kteří se od těchto „televizních“ klišé neliší: pracují v utajených, zatemněných a kouřem naplněných místnostech, prolamují se do vysoce zabezpečených sítí nebo řídí botnety. Pokud bychom však za hackery považovali pouze tyto jedince, získali bychom neúplný nebo zkreslený obraz této scény. Mnohem větší procento hackerů se totiž už dávno začlenilo do „běžného“ života a klidně je můžete každý den potkávat při cestě do práce. Většina z nich má totiž dvě „vizitky“. Tu první s nápisem hacker používá jen výjimečně, když všechny ostatní „metody“ selžou, případně ve volném čase. Na druhé vizitce pak s největší pravděpodobností najdete nápis „bezpečnostní IT poradce“. Tito lidé se obvykle živí tím, že hledají chyby v klientových programech, sítích či internetových službách.
Ale ani v případě, že „hackerovým“ hlavním zaměstnáním není bezpečnostní konzultant, nelegální aktivity obvykle nejsou jeho „denním chlebem“. Překvapivě často je tomu naopak: velká část z nich totiž spolupracuje s výrobci nebo prodává informace o chybách legálním organizacím, jako je Zero Day Initiative (ZDI) nebo iDefense. Od nich se informace o zranitelnostech dále šíří k softwarovým firmám a výrobcům hardwaru. Další hackeři zveřejňují své znalosti v příslušných „bezpečnostních“ fórech, kde získávají uznání a obdiv méně zkušených „kolegů“.
Do kategorie „skutečně nebezpečných“ tedy patří jen zlomek hackerů: ti po nalezení zranitelnosti prodávají své informace „nejvyšší nabídce“ kybernetických zločinců. Ti pak zranitelnost využijí k vytvoření exploitů a poté i nových variant malwaru.
Třídění hackerů: Crackeři a klobouky
Původně popisoval pojem hacker technologického nadšence. Tedy například lidi pokládající si často otázku „proč“, experimentující techniky a později i zkušené programátory. Ti všichni prozkoumávali existující systémy a hledali jejich „limity“. Tyto systémy představovaly v 60. a 70. letech telefonní sítě, později mainframe a sálové počítače a v současnosti internet a datové sítě.
Tito odborníci se často viděli v roli „Robina Hooda“ a své znalosti a dovednosti zdarma šířili dále. Bohužel se tyto znalosti čas od času dostaly i k morálně méně „vyspělým“ jedincům, kteří se snažili těchto informací využít k nezákonným činnostem, obvykle k osobnímu obohacení. Na scéně se tedy začali objevovat tzv. crackeři - tak byli původně označováni experti, kteří v osmdesátých letech odstraňovali z her ochranu proti kopírování.
V době pokročilého rozšíření internetu však rozdělení na hackery a crackery ztratilo význam, a bylo proto nutné vymyslet nové označení pro tento „typ“ uživatelů: bílé, šedé a černé klobouky. Jde o analogii ke starším kovbojským filmům, ve kterých zlí hoši vždy nosili černé klobouky, obyčejní kovbojové šedé a hrdinové bez bázně a hany bílé. S takto jednoduchým rozdělením však celá řada odborníků nesouhlasí. Například Joshua Corman, ředitel IT bezpečnostní firmy Akamai, specializující se na „zrychlení webu“, používá mnohem složitější dělení. V jeho žebříčku hodnocení jsou podle něj na jedné straně „hackeři“, které je možné označit jako „dodržující zákon a hodné“, případně „dodržující zákon a zlobivé“, na druhém konci žebříčku lze narazit na kategorie „hodní, ale vytvářející chaos“ a „zlí a vytvářející chaos“. Toto hodnocení je i jakousi reakcí na útoky skupin typu Anonymous nebo hack sítě PlayStation Net-work společnosti Sony skupinou LulzSec. Tyto aktivity totiž nelze snadno rozdělit na černé, šedé a bílé.
Pomoc hackerů: Informace pro IT průmysl
Z práce hackerů těží mnoho IT organizací, nicméně tyto firmy chtějí být spojovány pouze s těmi „bílými“. V praxi to funguje tak, že hackeři zdarma či za menší odměnu informují firmy o zranitelnostech a mezerách v jejich produktech.
Typickou ukázkou může být Microsoft, který se změnil z oblíbeného „mlčenlivého“ cíle hackerů na respektovaného informátora v oblasti bezpečnosti. „Dříve bylo naším heslem,Oni proti nám‡. Hackeři byli našimi soupeři a my jsme je minimálně ignorovali,“ říká Sarah Blankinshipová, strategický manažer společnosti Microsoft pro oblast zabezpečení. Tato žena nyní vede skupinu zaměstnanců, kteří udržují kontakt s těmi nejlepšími z celosvětové hackerské komunity a během bezpečnostních konferencí typu Black Hat pořádají velké akce pro odborníky. V současnosti je téměř každá mezera v produktech společnosti Microsoft uzavřena především díky informacím získaným z alternativní bezpečnostní „scény“. Fakt ale je, že díky strachu z vydírání Microsoft za obdržené informace o bezpečnostních zranitelnostech neplatí.
Mezi slavné osobnosti, stojící při Microsoftu v dobrém i zlém, patří americký „bílý klobouk“ Dan Kaminsky. I když byste to na první pohled nikdy neřekli, tento 32letý hacker, jehož oblibou jsou trička s výrazným „motivem“, pracuje jako konzultant pro Microsoft. Zároveň také patří k významnému kruhu hackerů, kteří mohou pracovat s korunovačními klenoty společnosti: Kaminsky testuje zdrojový kód nových verzí Windows z hlediska potenciálních bezpečnostních rizik - a to několik let předtím, než se systém objeví na prodejních pultech. Kaminsky, známý především díky odhalení závažného nedostatku v koncepci DNS, vidí tuto spolupráci jako nutnost: „Pokud necháme firmy tajit zjištěné mezery a nepomůžeme jim je odhalit, může to mít nepříjemné následky pro všechny.“
„Firmy se platbám za nalezení zranitelností zbytečně brání...“
DAN KAMINSKY, Specialista na počítačovou bezpečnost
Kaminsky chápe svou práci jako druh boje za svobodu na internetu. Pokud by softwarové produkty pravidelně způsobovaly finanční ztráty, dříve či později by se je pokusila vláda „regulovat“. A každý z nás si určitě dokáže představit důsledky takovéhoto trendu…
Znalosti hackerů: Za bohatství, či slávu
Spolupráce mezi hackery a IT obry je logickou symbiózou a partnerstvím z rozumu: „Někdy to není snadné, ale nakonec si zvyknete,“ říká Felix „FX“ Lindner, síťový specialista pracující pro Cisco, který v rámci své práce analyzuje síťové komponenty a hledá chyby. I on přispívá k tomu, aby byl provoz na internetu plynulý a bezproblémový. O svém klientovi hovoří s respektem: „Společnosti jako Cisco či Microsoft patří k příjemným výjimkám, které se nebojí spolupracovat s hackerskou komunitou.“
O tom, že tomu tak ale nebylo vždycky, svědčí i historka z roku 2005. Tehdy společnost Microsoft obdržela tip od hackerské komunity na zranitelnost. Ten ale zůstal nepochopen a informace o něm byla kamsi „založena“. Krátce poté byly počítače na celém světě zamořeny malwarem, který využíval právě zmiňovanou zranitelnost. Microsoft od té doby důkladně kontroluje každý tip – a to i v případě, že oznámení obsahuje pouze několik čínských znaků…
Ne všichni hackeři jsou ale tak velkorysí jako experti, kteří zdarma předávají informace o nalezených mezerách Microsoftu a jejich jedinou odměnou je zveřejnění jejich jména v měsíčním zpravodaji o zabezpečení systému. Mnoho odborníků si myslí, že hackeři zabývající se objevováním bezpečnostních mezer by měli být za svou práci placeni. Známý hacker Halvar Flake je toho názoru, že nálezce chyby má morální právo se sám rozhodnout, zda tuto informaci zveřejní zdarma, nebo ji někomu prodá – pokud dodržuje existující zákony. „Nikdo také nikdy nenutí výrobce antivirových nástrojů distribuovat své výrobky bezplatně,“ říká Flake.
„Hackeři se mohou rozhodnout, zda své znalosti a zkušenosti darují nebo prodají“
HALVAR FLAKE, německý hacker
Méně diplomatický je Bekrar Chaouki, generální ředitel francouzské bezpečnostní firmy Vupen. Podle jeho názoru je absurdní, že někteří výrobci softwaru chtějí získávat co nejvíce informací o chybách ve svých programech, ale nechtějí za ně platit. „Proto nás nepřekvapuje, že stále více a více bezpečnostních expertů odmítá sdílet své znalosti s výrobci. Firmy utrácejí miliony dolarů ročně za komerční ‚bezpečnostní kontrolu‡, analýzu kódu a ve finále i reklamu, ale zároveň odmítají platit výzkumníkům byť jediný cent za stejné (nebo větší) množství práce při hledání dosud neznámých slabin.“
Firma Vupen se živí tím, že hledá bezpečnostní mezery v oblasti hardwaru a softwaru, které prodává příslušným výrobcům. Prominentní lovec zranitelností Charlie Miller, který se proslavil poté, co propašoval škodlivou aplikaci do Apple „App Store“, vidí tento problém i z jiného úhlu: „Odměna za nalezení chyby by podstatně zmenšila pokušení prodat informace o zranitelnosti za desetitisíce dolarů na černém trhu, kde neexistuje žádná jistota, jak budou tyto informace využity. Byl bych raději, kdyby internetová bezpečnost nezávisela na morálním rozhodnutí sedmnáctiletého Bělorusa,“ říká Miller.
Hackeři nespí: Jedna mezera týdně
Trochu jiná situace panuje v oblasti internetových prohlížečů, kde výrobci s finančním oceněním za nalezení chyby neváhají. Například téměř sedmnáctiletý čínský „lovec chyb“ Wu Shi si takto vydělává na živobytí: má „na kontě“ už více než 100 nalezených závažných chyb. Jeho revírem jsou především prohlížeče Apple Safari, Google Chrome nebo Internet Explorer, ve kterých se mu například v roce 2010 podařilo odhalit více než 50 chyb, přičemž největší podíl (s více než 35 chybami) měl prohlížeč Apple Safari.
„Baví mě spolupracovat přímo s výrobci, ovšem pouze pokud jsou ochotni za informace o chybách zaplatit. V opačném případě prodávám chyby renomovaným bezpečnostní organizacím, jako jsou ZDI nebo iDefense.“ V průměru trvá tomuto čínskému „hackerovi“ odhalení jedné zranitelnosti přibližně týden a jeho měsíční mzda se pohybuje okolo 3 000 amerických dolarů. „Tato částka je tak nízká proto, že například Google platí jen 500 dolarů za chybu,“ říká Wu Shi.
Podle našeho názoru je pro výrobce jednodušší zaplatit „bílému klobouku“, než později za sanaci škod způsobených útokem využívajícím slabinu. Navíc profesionální výzkumník nemůže poté, co obdrží peníze, firmu vydírat. To potvrzuje i Wu Shi žijící v Šanghaji, který prodávat informace internetovým zločincům rozhodně nechce: „Jsem spokojen s tím, co mám, a nechci se zaplést do něčeho riskantního.“
„Internetová mafie zaplatí za chybu až 100 000 dolarů“
DAN HOLDEN, Zero Day Initiative
Alternativní „cesta“ totiž nemusí být jen výnosnější, ale také podstatně rizikovější. Z IT specialisty a „občasného“ prodejce informací o chybách v programech se postupem času může stát „nechtěný“ člen organizovaných zločineckých nebo teroristických organizací. Bezpečnostní odborník Dan Holden z firmy Zero Day Initiative (ZDI) odhaduje, že „černé klobouky“ pracující pro internetové zločince dostávají za nalezenou chybu až 100 000 dolarů. Tato informace je důvěryhodná i proto, že ZDI se zabývá podobným, ale legálním obchodem: nakupuje informace o zranitelnostech. ZDI je součástí firmy HP, která tyto informace využívá ke zlepšení svých bezpečnostních produktů a poté zdarma informuje postižené výrobce, aby mohli uzavřít nalezené mezery.
Ceny za hacking: Poptávka a nabídka
Zájem černého trhu je především o chyby v populárních programech, jako jsou Adobe Reader či Internet Explorer, stranou zájmu nezůstávají ani samotná Windows. Odměna za takovéto chyby se skutečně pohybuje v rozmezí 50 až 100 tisíc dolarů. Cena za nalezenou zranitelnost se také odvíjí od cíle útočníků. V některých případech jsou například vyhledávány chyby vhodné pro využití v útocích červů, jindy zase zranitelnosti v konkrétním softwaru použitelné pro cílený phishing. Podle Roba Rachwalda, bezpečnostního experta firmy Imperva, se celkový objem „obchodů“ na černém trhu s chybami, hacky a zranitelnostmi pohybuje ročně okolo 250 milionů amerických dolarů.
Vzhledem k této obrovské sumě mohou uživatelé webu jen doufat, že „bílé klobouky“ nepodlehnou mámení peněz a nenabídnou své „nálezy“ na černém trhu nebo že softwarové IT společnosti začnou platit hackerům za informace, které udělají internet alespoň o trochu bezpečnějším.
AUTOR@CHIP.CZ
DELŠÍ HACKING S TRENDY „KÁVOVÝM“ LEDOVÝM ČAJEM
Hackeři obvykle pracují i v době, kdy ostatní jdou spát: nedělá jim problémy programovat celou noc. Ovšem pracovat „dobře“ mohou pouze s tím správným životabudičem: podle posledních trendů je jím v současnosti nápoj Club-Mate, který se vyrábí v malém německém městě Münchsteinach. Tento nápoj vzal v nedávné době celý svět útokem, a dokonce i v USA touží hackeři po tomto bublinkovém ledovém čaji s obsahem kofeinu. Podle pověstí byl tento nápoj k dispozici za 200 dolarů (za přepravku) i na hackerské konferenci Def Con.
TÉMATA KONVERZACÍ POČÍTAČOVÝCH ZLOČINCŮ
Po letech sledování hackerských fór zveřejnila IT společnost témata, o nichž se uživatelé v diskusích nejčastěji bavili.
KDE JSOU HACKEŘI NEJAKTIVNĚJŠÍ
Hackeři své útoky provádí ze všech zemí, ale z některých poněkud častěji. Firma Akamai, která provozuje kolem 95 000 serverů a mimo jiné své kapacity poskytuje i pro Facebook či Yahoo, zveřejnila, ze kterých zemí nejčastěji pochází „nebezpečný traffic“.
země hackerů
země podíl
1 Barma 13%
2 USA 10%
3 Tchaj-wan 9.1 %
4 Rusko 7,7%
5 Čína 6,4%
6 Brazílie 5.5%
7 Indie 3,8%
8 Hongkong 3,3%
9 Rumunsko 2,5%
10 Itálie 2,5%
PRONÁJEM VLÁDNÍCH BOTNETŮ
Podle bezpečnostního stratéga Roba Rachwalda připravila íránská vláda za prezidenta Mahmúda Ahmadínežáda v roce 2010 několik robotických sítí, které už ale nepotřebuje. Nyní je pronajímá soukromým hackerům.
KTEŘÍ HACKEŘI JSOU NEJLEPŠÍ
Žebříček hodnocení nejlepších hackerů najdete na webu rankmyhack.com. Čím více je oběť hackera populární, tím více bodů hacker získá.
www stránka získaných bodů
1 huffingtonpost.com 1 685 393
3 terra.com.br 731 707
3 free.fr 731 707
4 mtvyouthicon.in.com 530 035
5 attuverselivetv.att.com 414 364
6 noaa.gov 327 963
7 baidu.com 300 000
8 altervista.org 286 806
9 monster.com 280 373
10 abril.com.br 268 336
HACKEŘI VE STÁTNÍCH SLUŽBÁCH
Redaktor amerického hackerského časopisu 2600 Eric Corley tvrdí, že FBI použila 25 % všech hackerů a počítačových zločinců jako informátory. Podle bezpečnostních expertů jsou hackerská fóra infiltrována špiony FBI, stejně jako diskusní fóra organizace Anonymous.
I HACKEŘI MAJÍ SVÉ ZÁSADY
„Přístup k počítačům by měl být volný a neomezený,“ píše o hackerské etice Steven Levy v prvním odstavci knihy „Hackeři“, která vyšla v roce 1984. Toto pravidlo nejlépe charakterizuje mladé studenty, kteří v šedesátých letech studovali na MIT. Pro ně tato věta znamenala: „Počítače mohou změnit náš život k lepšímu.“ V knize najdete ještě dalších šest zásad hackerů.
PRVNÍ ŽENSKÁ HACKERKA
Američanka Susan Headleyová, známá jako „Thunder“, byla jednou z prvních žen, které se proslavily jako hackerky. Byla aktivní v 70. a na počátku 80. let, kdy se s gangem „Roscoe“ podílela na hacknutí telefonní sítě, jež způsobilo aktivací „bezplatného volání“ velké škody telefonním operátorům. Podle pověstí pracovala Thunder dříve jako prostitutka, která spala s důležitými lidmi a získávala od nich tajné informace o konkurenčních podnicích.
I STEVE JOBS BYL HACKER
I Steve Jobs, který jako nikdo jiný podporoval uzavřené počítačové světy, byl jednou hacker. On, Steve Wozniak a John T. Draper vytvořili společně zařízení Blue Box, které umožňovalo provádět dálkové telefonní hovory zdarma. „Bylo to nezákonné, ale byli jsme tím fascinováni a chtěli jsme udělat nejlepší hračku na světě.“