Czy firma może powierzyć byłym hakerom sprawdzanie bezpieczeństwa systemu teleinformatycznego? Czy lis - nawet na emeryturze - może pilnować kurnika? Dlaczego amerykańskie przedsiębiorstwa i instytucje finansowe decydują się na zatrudnianie byłych sieciowych rozbójników? O dwuznacznej metodzie obrony przed ogromnymi stratami finansowymi opowiada Krzysztof Szymborski.

Przeglądając amerykańską prasę, można odnieść wrażenie, że miejscowa młodzież spędza mało czasu na świeżym powietrzu. Jej ulubionym zajęciem wydaje się hakerstwo - zajęcie wymagające skupienia i cierpliwości, choć niewątpliwie negatywnie wpływające na zdrowie młodego pokolenia, które potrzebuje więcej ruchu. Według oszacowań ekspertów od bezpieczeństwa komputerowego, liczba prób (w znacznej części udanych) "elektronicznych włamań" do rządowych systemów komputerowych utrzymywała się w ostatnich latach na poziomie 250 000 rocznie, co oznacza jeden hakerski atak co mniej więcej dwie minuty. Młodym sabotażystom udaje się niekiedy wykraść jakieś ważne tajemnice państwowe - np. oprogramowanie używane do kontroli szpiegowskich satelitów. Choć brzmi to bardzo złowieszczo, w istocie było to, jak dotychczas, tylko denerwującym utrapieniem dla wojskowych specjalistów od bezpieczeństwa militarnych systemów komunikacji. Na ogół bowiem hakerzy nie czynią praktycznego użytku ze swych zdobyczy. Sam nie wiem, do czego by mi się przydała możliwość kontroli amerykańskich satelitów szpiegowskich...

Ten obraz cyberprzestrzeni jako "placu zabaw" dla nastolatków, którym rodzice nieostrożnie zakupili komputer, jest jednak iluzją podtrzymywaną przez szukającą taniej sensacji prasę. Pod fasadą niewinnych na ogół hakerskich psot kryje się prawdziwa kryminalna rzeczywistość epoki Internetu, o której prasa pisze stosunkowo mało z tej prostej przyczyny, że ofiary elektronicznego rozboju wolą unikać rozgłosu.

Nawrócony rozbójnik

Kultura hakerska ma się oczywiście dobrze i na początku sierpnia br. odbył się w Las Vegas kolejny, piąty kongres hakerów o nazwie DEF CON (wyjaśnienie pochodzenia tej nazwy zajęłoby mi zbyt wiele czasu), który tym razem ściągnął do stolicy hazardu ok. 2000 uczestników. Choć na pozór są to ci sami hipisi, z kolczykami w nosach, w tenisówkach i koszulkach z antyrządowymi lub prowolnościowymi hasłami, bardziej uważna obserwacja ujawnia, że czasy jednak się zmieniają. Inicjatorem i organizatorem DEF CON jest 27-letni dziś Jeff Moss, który niegdyś prowadził "elektroniczną tablicę ogłoszeń" dla hakerów i znany był w hakerskim podziemiu jako Dark Tangent. Dziś J. Moss jest dyrektorem ds. oceny bezpieczeństwa kalifornijskiej firmy Secure Computing z siedzibą w stolicy Krzemowej Doliny - San Jose. Jego metamorfoza z "sieciowego rozbójnika" w "komputerowego policjanta" nie jest bynajmniej nietypowa. Jak wspomina, proces "demoralizacji" ideowych i bezinteresownych hakerów zjeżdżających co roku do Las Vegas, nasilił się przed dwoma laty, kiedy na jego dorocznym kongresie masowo zaczęli zjawiać się przedstawiciele dużych firm komputerowych z trudnymi do odrzucenia ofertami zatrudnienia.

Gdy ma się dwadzieścia lub mniej lat i żyje w kraju rozpasanej konsumpcji, trudno oprzeć się propozycji stałej posady z pensją sięgającą już po kilku latach 90 000 USD, zwłaszcza że pracodawca wymaga od ciebie, byś robił za pieniądze to samo, co dotychczas robiłeś przez młodzieńczą przekorę - hakował zawodowo. Twój zawód nie będzie już, oczywiście, "haker" tylko "tester penetrowalności sieci" lub "analityk słabych punktów systemu". Tak więc dawni hakerzy masowo zamieniają tenisówki na eleganckie włoskie obuwie, a malowane koszulki na garnitury od Armaniego. Nowy sojusz ze światem biznesu znalazł też swą instytucjonalną manifestację w programie DEF CON. Część kongresu stanowiło w tym roku wydarzenie zwane Black Hat Briefing (Konferencja Czarnych Kapeluszy), zorganizowane dla przedstawicieli świata przemysłu. Nie było to nieformalne spotkanie przy piwie - wpisowe wynosiło 995 USD i zgromadzenie odbyło się w eleganckich salach hotelu-kasyna Caesar's Palace. Wielu spośród jego 350 uczestników przybyło w mundurach z dystynkcjami.

Oczywiście nie wszyscy dawni hakerzy dali się "przekabacić". Są jeszcze na świecie ideowcy, którzy - tak jak legendarny niewidomy haker z Florydy Joe Engressia - wybrali wieczną młodość. Engressia, w wyniku swego kalectwa, obdarzony wyjątkowo czułym zmysłem słuchu, nauczył się w latach 60. "wygwizdywać" do telefonicznego automatu sygnał o częstotliwości 2600 cykli/s, uzyskując tym sposobem bezpłatne połączenia międzymiastowe (i międzynarodowe) bez użycia "niebieskiej skrzynki" Wozniaka i Jobsa. Zyskał sobie więc przydomek "Świstak", a także wieloletni zakaz posiadania telefonu i wyrok z zawieszeniem. Z czasem przeniósł się do Tennessee, zmienił nazwisko na Joybubbles (Radosne Bąbelki) i żyje dziś ze społecznej zapomogi, studiując spirytualizm i spędzając wiele czasu na telefonicznych rozmowach z dziećmi.

Uwaga na sfrustrowanego pracownika

Wracając jednak do naszych hakerów, którzy wydorośleli i oddali swe umiejętności na służbę ochrony prawa i porządku, proces ten napotykał początkowo pewne opory. Zdaniem niektórych porządnych obywateli, zatrudnianie byłych hakerów jako ekspertów od bezpieczeństwa jest równoznaczne z zatrudnianiem lisów do ochrony kurników. Kiedy jednak zaczęto prowadzić rzetelne badania dotyczące "elektronicznej przestępczości" okazało się, że sprawcami aż 85% poważnych nadużyć finansowych i sabotażu gospodarczego z użyciem komputerów nie są klasyczni hakerzy, lecz pracownicy poszkodowanych firm lub ludzie prowadzący z nimi interesy. Przykładem mogą być Anthony Jerdon Gatlin i Christopher Ryan Hobbs, zatrudnieni do niedawna przez firmę telekomunikacyjną Americom Communications.

W marcu tego roku Gatlin został wyrzucony z pracy, kiedy okazało się, że próbował sprzedać konkurencji tajne informacje wykradzione z elektronicznych archiwów własnej firmy. Gdy skierowano do sądu oskarżenie przeciwko niemu, Gatlin spowodował następnego dnia kompletne zamknięcie jej systemu komputerowego, usunął z jego pamięci spis klientów oraz unieszkodliwił sieć elektroniczną poczty i zatrzymał wysyłanie rachunków. Hobbs, który pracował w Americom jako programista, wykradł z kolei z chronionych kartotek numery 12 826 kodów telefonicznych, umożliwiających uzyskiwanie połączeń na konto abonentów firmy, i umieścił je w Internecie. Mając takich pracowników, Americom rzeczywiście nie musi się już obawiać hakerów.