Był Pan hakerem. Jak zdefiniowałby Pan słowo haker - w przeszłości i dzisiaj? W jaki sposób porównałby Pan metody hakerów i ich motywację z lat 90. i współcześnie?

Znalazłem się w hakerskim podziemiu w 1986 r., a więc dawno temu. Od tamtego czasu znacznie zmieniła się motywacja hakerskiej aktywności, zaś metody prowadzenia ataków przeszły ewolucję, napędzaną samą technologią i digitalizacją świata, w którym żyjemy.

Kilkadziesiąt lat temu hakerstwo było sposobem uczenia się i odkrywania nowych technologii. Hakerzy byli rodzajem "bohaterów", większość przepisów przeciwko nim miała dopiero powstać, cała hakerska scena była inna niż dzisiaj. Jeśli miałbym porównać to do obecnego środowiska, powiedziałbym, że współcześnie hakerzy podążają przede wszystkim za pieniędzmi.

Cienka granica między hakerstwem a cyberprzestępczością została przerwana. Cyberprzestępczość stała się jedną z głównych, światowych gałęzi aktywności kryminalnej - tak twierdzą eskperci z USDoJ (United States Department of Justice), UN (United Nations) i wielu innych obserwatorów.

Wciąż jednak jest kilka dobrych wiadomości: są jeszcze "etyczni hakerzy", którzy nadal działają, znajdując słabości systemów i czyniąc - na swój sposób - świat miejscem bardziej bezpiecznym.

Czy z technicznego punktu widzenia kiedyś hakerstwo było łatwiejsze? W jednej z publikacji wspomina Pan sieci X25 i SS7. Czy te systemy, które mają już ponad 20 lat, są chronione przed aktualnymi zagrożeniami?

To prawda, hakerstwo było znacznie łatwiejsze, choć nie twierdzę, że współczesne hakerstwo jest dużo trudniejsze. Chodzi o to, że w latach 90. technologie były mniej bezpieczne, ale dostępnych celów także było mniej. Dzisiaj widzimy świat wypełniony po brzegi celami, które są w zasięgu, a użytkownik jest w centrum. To pozwala mądrzejszym hakerom łatwiej atakować. Jeśli mówimy o X25 i SS7, z żalem zauważam, że te bardzo stare technologie, wciąż używane na całym świecie (często w krytycznych środowiskach), są niezabezpieczone, w sposób niemal niezmieniony od tamtych czasów. Na przykład SS7 jest międzynarodowym szkieletem, do którego operatorzy mają całkowite zaufanie, od sygnalizacji po billing i wymianę ruchu międzyoperatorskiego. Wielu etycznych hakerów, takich jak Philippe Langlois, Fyodor Yarochkin i inni, pokazuje słabości SS7 już od kilku lat, ale wciąż brakuje skutecznej ochrony dla tego protokołu.

Dużo mówi się o bezpieczeństwie SCADA. Systemy te często są leciwe, były projektowane do pracy poza siecią bądź w wydzielonych sieciach bez dostępu do internetu. To takie bezpieczeństwo dzięki niewidzialności - proste, a jednak skuteczne. Dlaczego te systemy nadal nie mogą żyć w hermetycznym, odizolowanym środowisku?

To działanie ewolucji w technologii. To prawda, SCADA i systemy ICS były odizolowane i było niemal niemożliwe znaleźć do nich podręczniki obsługi technicznej. Później pojawił się internet i - czy nam się to podoba, czy nie - możemy teraz znaleźć instrukcje z dziesiątkami tzw. zero-days związanych ze SCADA i infrastrukturami ICS, zorganizowanymi wg typologii, dostawcy itd.

W jaki sposób działają grupy cyberkryminalistów, jak są zorganizowane? Na czym zarabiają, jaki jest ich "model biznesowy"?

Model biznesowy grup cyberprzestępców jest bardzo podobny do modelu działania zorganizowanych grup przestępczych. Jest szef, "kingpin", lub zespół przywódców, który działa w schemacie pionowym, wykorzystując zasoby i umiejętności różnych ludzi. Te "zasoby" to mogą być narzędzia software’owe (złośliwe oprogramowanie, botnety, kampanie), połączone z zasobami ludzkimi (e-mule, schematy prania pieniędzy). Główną filozofią cyperprzestępczości jest sprzedawanie nielegalnie zdobytych dóbr, które często są reprezentowane przez "informację": loginy do sieci, hasła, które mogą być zamienione na pieniądze.

Wspominał Pan o motywacji przestępczej. W ostatnim czasie coraz częściej zakłócanie pracy systemów ma motywację społeczną (np. zeszłoroczne protesty przeciw ACTA). Co Pan o tym sądzi?

To nie jest "hakerstwo" w czystym znaczeniu tego słowa, to "haktywizm". To oznacza używanie hakerskiego know-how, narzędzi i umiejętności do prowadzenia społecznych akcji. Nie skomentuję tego, ponieważ uważam, że w wielu publicznych sprawach (np. ACTA) prawo odeszło zbyt daleko od swoich pierwotnych celów, a metody, które zostały użyte, mogą być zdefiniowane jako "nielegalne", podobnie jak w innych sytuacjach, jakie widzieliśmy.

Czy w przyszłości ludzie, zamiast strajkować w sposób tradycyjny, zaczną umawiać się np. na Facebooku i blokować strony organizacji, przeciw którym protestują?

Cóż, to już się dzieje! Wystarczy przyjrzeć się wydarzeniom tzw. Arabskiej Wiosny - tam-tam został zastąpiony technologią telekomunikacyjną. Rozmawiałem niedawno z przedstawicielem nigeryjskiego rynku bezpieczeństwa IT, który powiedział mi o proporcjach użytkowników PC i telefonów komórkowych. Ok. 20-30% społeczeństwa posiada pecety, podczas gdy penetracja internetu jest co najmniej 5 razy wyższa, dzięki urządzeniom mobilnym. Ruch Anonymous wykorzystywał w ostatnich latach LOIC (Low Orbit Ion Cannon) - organizowanie strajków za pomocą wirtualnych narzędzi z realnym skutkiem biznesowym jest już rzeczywistym, codziennym życiem.

Jakie będą nadchodzące zagrożenia w najbliższych latach? Jakie są największe wyzwania dla bezpieczeństwa informacji?

Moim zdaniem, największym zagrożeniem jest cyberwojna. Obserwujemy zupełnie nowe pole bitwy i nowych aktorów: cybermercenaries (rodzaj najemników), hakerzy, haktywiści, agenci wywiadów, wojsko. Wszyscy ci aktorzy wiedzą, że "informacja to władza" i pragną zdobyć dane.

Obserwuję również wyzwania w bezpieczeństwie urządzeń mobilnych, w sieciach operatorów. Oczywiście, sieci społecznościowe także oznaczają nowe zagrożenia, zwłaszcza gdy atakujący celują w pracowników firmy poprzez media społecznościowe, aby przeprowadzić ataki phishingowe.

Jakie sektory biznesowe czy rodzaje organizacji są najbardziej zagrożone atakami cyberprzestępców i dlaczego właśnie one są szczególnie wrażliwe?

Ataki z lat 2011 i 2012 pokazują, że najczęstszymi ofiarami są firmy z branży finansowej, IT i samego sektora bezpieczeństwa informatycznego oraz administracja państwowa. Możemy dodać również sektor farmaceutyczny i dóbr luksusowych (mówimy o handlu podrabianymi towarami). Moim zdaniem, na końcu tego łańcucha jesteśmy my, obywatele, którzy płacą najwyższą cenę. Jeśli tracimy zaufanie do internetu, to przestajemy być aktywni i z dużym dystansem podchodzimy do transakcji online.

W jaki sposób - i czy w ogóle - firma może się zabezpieczyć przed cyberatakami? Czy można czuć się bezpiecznym w 100%? Przecież łupem hakerów padł nawet najpopularniejszy producent rozwiązań bezpieczeństwa (RSA)

Wszyscy wiedzą, że nie ma 100-proc. bezpieczeństwa. To, co można zrobić, to uświadamiać pracowników firmy i użytkowników. W ataku na RSA przestępcy wykorzystali m.in. inżynierię społeczną. Pracownicy muszą zrozumieć, że są krytycznym elementem łańcucha bezpieczeństwa firmy i mogą stanowić skuteczną linię obrony przed tym rodzajem ataków. Trzeba pamiętać, że działa wywiad cyberprzestępczy: niektóre firmy mają dane, które mogą być użyteczne dla cyberprzestępców. Myślę, że firmy powinny założyć, że jeśli nawet jeszcze nie padły ofiarą hakerów, to z pewnością padną. Powinna nastąpić całkowita zmiana nastawienia. Zasady i podejście stosowane dotychczas stały się nieaktualne, należą już do przeszłości cyberbezpieczeństwa.

Raoul Chiesa będzie gościem konferencji Computerworld SEMAFOR. O bezpieczeństwie, audycie i zarządzaniu IT (Warszawa, 5-6 marca br.) Więcej informacji na stronie: VI Konferencja SEMAFOR