Otrzymaliśmy od Jarosława Marczuka materiał z rozmowy, którą przeprowadził z Gynvaelem Coldwindem z Dragon Sector. Rozmowa wypadła niezwykle ciekawie, publikujemy ją Wam więc w całości poniżej. Na początek jednak, dla przybliżenia Wam bohatera wywiadu, zamieszczamy najpierw krótką informację o nim.
Gynvael Coldwind (pseud.), specjalista ds. bezpieczeństwa IT, założyciel i kapitan Dragon Sector, jednej z najlepszych na świecie drużyn w turniejach Security Capture-the-Flag. Autor książki ,,Zrozumieć programowanie". W roku 2013 w Las Vegas wspólnie z Mateuszem Jurczykiem odebrał nagrodę Pwnie Award w kategorii Najbardziej Innowacyjne Badania Naukowe z dziedziny bezpieczeństwa komputerowego. Pracuje w Google w Zurychu.
Określenie „haker” jest mocno obciążone stereotypami. Używasz go w ogóle?
Gynvael Coldwind: Faktycznie, jest duże obciążenie tego słowa. Dla jednych to włamywacze kradnący pieniądze, dla innych osoby wyszukujące dziury w oprogramowaniu i systemach. Dla środowisk bardziej programistycznych to twórca niestandardowego kodu. Ja trzymam się neutralnej definicji - że to osoba przełamująca zabezpieczenia. Może to robić legalnie, jak pentesterzy, albo łamać prawo. Bez różnicy.
Podobno aby zostać hakerem, trzeba się tym zajmować od dziecka. W oprogramowaniu peceta najlepiej zacząć grzebać w wieku siedmiu lat, dla dwudziestolatka będzie już za późno. Rzeczywiście?
- Wiek sam w sobie nie jest ograniczeniem. Te sześcio-, siedmiolatki podobno szybko się uczą, ale prostych rzeczy. Natomiast programowanie czy hacking są dość abstrakcyjne. To nie język, którego używa się na co dzień. Osoby starsze szybciej się tego uczą, ale mając siedem lat, ma się masę czasu. Dlatego jak ktoś ma te 22 lata albo nawet 30, to może jeszcze się wszystkiego nauczyć pod warunkiem, że starczy mu wytrwałości, aby zarywać noce na naukę.
A ty w jakim wieku zacząłeś?
- Sześciu lat.
A jednak!
- Dostałem wtedy Atari z instrukcją obsługi, gdzie były trzy-cztery małe programiki i ksero książki o basicu. To trochę zabawne, bo wtedy nie umiałem nawet za bardzo czytać. Po prostu starałem się przeklepać literka po literce z książki do komputera, uruchomić program i zobaczyć jak działa. Potem trafiłem na listingi prostych gierek w ,,Bajtku" i zobaczyłem, że sam mogę je modyfikować i tworzyć. Od tego momentu całkiem się wciągnąłem.
Czyli zaczęło się od uświadomienia sobie, że nie musisz być tylko odbiorcą gier?
- To nie była do końca świadoma decyzja. Tak po prostu wyszło, bo dobrze się przy tym bawiłem. Z czasem powoli zacząłem sobie zdawać sprawę, że za to, co robię po szkole, czyli za programowanie, inni są gotowi dobrze zapłacić. Uznałem, że mogę z tego zrobić swój zawód.
To gdzie ten hacking?
- Tym akurat zainteresowałem się dość późno, bo pod koniec liceum. Znajomi na IRC-u podrzucili mi stronę, która nazywała się Login Matrix. To był tak zwany wargame, czyli strona, na której znajdował się zestaw zadań, w tym wypadku napisanych w javascripcie, które trzeba było rozwiązać. Udało mi się przez to przejść. Potem coraz częściej wracałem do takich zabaw. Wtedy jeszcze wydawało mi się, że będę pracował przy tworzeniu gier komputerowych, ale właśnie od tamtego momentu zaczęło się to zmieniać. Jakoś prawie przez przypadek trafiłem do jednej z polskich firm antywirusowych i ta tematyka mnie ostatecznie pochłonęła.
Czyli to nie było tak, że, znów mówiąc o stereotypach, obejrzałeś ,,Gry Wojenne'' albo ,,Hakerów'' i nagle zapaliła ci się w głowie lampka...
- Faktycznie, krąży taki żart, że po każdej emisji ,,Hakerów'' w telewizji, jest dużo więcej hakerów na scenie, a przynajmniej chce być...
Czy tylko dobry programista albo administrator może stać się dobrym hakerem?
- Ogólnie się z tym zgadzam, chociaż nie do końca. Zawsze uważałem, że do opanowania inżynierii wstecznej trzeba najpierw być dobrym programistą, który rozumie, jak powstają programy, by potem je móc odwracać i analizować. Tymczasem pewien mój znajomy zaczął uczyć się programowania dopiero, gdy był już dobry inżynierem wstecznym. Natomiast jeśli chodzi o hacking, na pewnym poziomie rozwoju programowanie trzeba po prostu znać. Wiele problemów, z którymi się spotykam, wymaga stworzenia odrębnych narzędzi. Nie ma od tego ucieczki. Jeśli chodzi o stronę administracyjną, trzeba rozumieć, jak działa system operacyjny, systemy plików i parę innych rzeczy. Jednak im bardziej przesuwamy się w stronę bezpieczeństwa sieciowego, tym bardziej szala przechyla się na korzyść administratorów. Zresztą te działki są połączone. W którymś momencie trzeba będzie nabyć umiejętności z obu.
Oprócz konkretnych umiejętności trzeba mieć jakieś predyspozycje?
- Przede wszystkim trzeba chcieć zrozumieć, jak coś działa, bo w hackingu diabeł tkwi w szczegółach. Nie można uciekać przed nowymi technologiami lub systemami ani ulegać ogromowi informacji, które się otrzymuje w trakcie zetknięcia z nimi. Nie wolno się również poddawać, szczególnie, jeśli wykonuje się jakiś skomplikowany technicznie atak. Nad pewnymi rzeczami musi się po prostu posiedzieć. Trzeba mieć też tzw. hacker mindset - krytyczną perspektywę, którą zakłada, że stale szukamy słabych punktów w systemach i aplikacjach. Zwyczajny programista takiego podejścia nie ma, ponieważ zajmuje się tworzeniem, a nie psuciem.
Funkcjonuje takie przekonanie , że na tle innych krajów Polacy wyjątkowo dobrze wypadają w programowaniu i bezpieczeństwie IT.
- Na świecie jest cała masa dobrych specjalistów w tych dziedzinach, ale faktycznie, Polska pod względem stosunku liczby specjalistów do liczby mieszkańców wypada na tym polu bardzo dobrze. Z czego to wynika, nie wiem. Może to błąd pomiaru? Kiedyś miałem taką hipotezę, że to efekt embargo. Przed 1989 r. do Polski trafiały tylko słabe komputery w rodzaju Atari, gdy na Zachodzie wszyscy już używali 386. To sprawiało, że łatwiej było nam poznać te urządzenia na wylot. Gdy embargo zniesiono, przenieśliśmy to podejście na lepsze komputery. Tylko że ta teoria działa w przypadku dzisiejszych trzydziesto- i czterdziestolatków, ale nie młodszego pokolenia. A ja nie widzę luki w umiejętnościach pomiędzy generacjami. Nawet teraz, gdy coraz więcej osób interesuje się hackingiem, bo dowiedziała się, że jest to fajna działka, w której można znaleźć pracę.
Wiele z nich przechodzi na ciemną stronę. Nie masz wrażenia, że to ona właśnie przyciąga ludzi do tej tematyki?
- Prawdopodobnie jest tak jak mówisz. Do wyobraźni ludzi młodych bardziej przemawia wiadomość, że hakerzy ukradli 80 milionów dolarów, niż że badacz wykrył nowy błąd w OpenSSL. Ta nielegalna strona jest bardziej medialna i romantyczna, na takiej samej zasadzie, na jakiej niegdyś piraci wydawali się romantyczni. Tyle że teraz włamują się do NASA albo Sony.
A ciebie nigdy nie pociągały nielegalne włamy?
- Nie było u mnie zafascynowania tym etapem. Zawsze starałem się stąpać ostrożnie. Pewnie, można zarobić dużo kasy, ale zawsze trzeba się oglądać za plecy. Po co mi to? Po dobrej stronie można pomagać innym, zabezpieczać systemy, łamać je legalnie, zarabiać na tym, opisywać, publikować...
Służby nie próbowały cię werbować?
- Nie. Chyba że to było tak zawoalowane, że tego nie zauważyłem. Za to od czasu do czasu dostaję propozycję odsprzedania jakiegoś exploita lub podzielenia się nim, najlepiej za darmo. Część tych zapytań przychodzi od pentesterów, którzy chcieliby ich użyć dla swoich klientów. Są też dziwne maile, że niby w celu badawczym...
Włamywacze proszą cię o 0daye?
- Nie tylko. Jak coś opublikuję na blogu, zaraz dostaję tego rodzaju maile.
Sądziłem, że exploitów 0day każdy stara się strzec jak oka w głowie.
- To zależy od człowieka. Ja akurat, jeśli znajdę bug, od razu kontaktuję się z daną firmą lub opiekunem otwartego oprogramowania, który będzie potrafił naprawić błąd. Takie zachowanie jest normalne w przypadku osób zajmujących się researchem, czyli białych kapeluszy [ang. white hat]. Co firma potem zrobi z tą wiedzą, to już inna sprawa. Natomiast sam nie publikuję exploitów, choć z technicznego punktu widzenia nie ma nic złego w publikacji po tym, jak luka zostanie załatana. Na podstawie łaty każda osoba z odpowiednimi umiejętnościami może sobie ten błąd odtworzyć i na jego bazie stworzyć exploit. Czasami za to publikuję POC-e, czyli exploity, które udowadniają, że dana luka istnieje, ale nie można przy ich pomocy nic złego zrobić. Staram się natomiast nie publikować uzbrojonych exploitów, które zaraz po uruchomieniu dają dostęp do zaatakowanego systemu. To jest trochę jak dawanie nabitego pistoletu obcym do ręki. Jednak nawet tu są przeciwstawne argumenty w rodzaju, że wstrzymywanie takiej publikacji nie ma sensu, bo i tak są już osoby, które dziurę odkryły. To jest odwieczna dyskusja i problem chyba nie do rozwiązania.
Zdarzyło ci się opublikować uzbrojony exploit?
- Pewnie coś by się znalazło. Na pewno nic, co samo z siebie pozwalałoby na zdalne przejęcie kontroli.
Coraz więcej firm organizuje programy bug bounty. Czy w środowisku zmieniły one stosunek do dzielenia się wiedzą?
- Przede wszystkim zmieniło się to, jak firmy postrzegają osoby, które zajmują się wyszukiwaniem błędów i ich zgłaszaniem. Kiedyś nieraz reagowały straszeniem prawnikami lub pozwami. Teraz współpracują z researcherami i nawet jeśli nie oferują nagród pieniężnych za zgłoszenia, to przynajmniej dziękują. To już postęp. Poza tym bug bounty sprawiły, że więcej oczu zaczęło przyglądać się bezpieczeństwu rozwiązań firm. A błędy zdarzają się wszędzie, niezależnie od tego, jak dobry zespół zajmuje się bezpieczeństwem. Firmy zaczęły rozumieć, że znalezienie każdej kolejnej dziury utrudnia atak i zwiększa jego koszt. Także nawet jeśli wciąż będzie on możliwy, to może stać się nieopłacalny.
A nie jest tak, że bug bounty popsuły relacje w środowisku, bo już nie opłaca dzielić się wiedzą, skoro można na niej zarobić?
- Nie uważam, żeby był taki problem.
Pamiętasz swój pierwszy bug?
- Szczerze, to nie. Na pewno było to coś słabego w jakimś niszowym oprogramowaniu. Także chyba się cieszę z tej niepamięci.
A pierwszą dużą imprezę z Dragon Sectorem?
- Hakim, CTF indyjski, organizowany w ramach konferencji Nullcon, ale jeszcze przed nią. Zdobyliśmy na nim trzecie miejsce. Nieźle, jak na debiut, choć nie była to impreza, w której uczestniczyli najlepsi, Jednak wystarczyła, by upewnić nas, że chcemy bardziej zaangażować się w CTF-y.
Wróćmy do początku. Skąd właściwie pomysł na Dragon Sector?
- Jak mówiłem, zawsze ciągnęło mnie do wargame'ów. Z czasem w Polsce zaczęły pojawiać się konkursy Capture-the-Flag - imprezy, na których zawodnicy lub drużyny szukają dziur w systemach, zdobywając tzw. flagi, za które otrzymuje się punkty. Brałem w nich udział, podobnie jak niektórzy późniejsi członkowie DS. Pod koniec 2012 roku odkryłem, że istnieje globalny ranking CTF-ów i że zawody tego typu odbywają się częściej, niż sądziłem. Po rozmowie z Mateuszem "j00ru" Jurczykiem oraz Adamem Iwaniukiem założyliśmy drużynę. W lutym 2013 roku powstał Dragon Sector i zaczęliśmy rekrutację.
Czy to prawda, że nazwę Dragon Sector wymyślił program generujący nazwy zespołów metalowych?
- Zgadza się, chociaż osoby z teamu mówią, że musimy wymyślić do tego jakąś fajniejszą historię. Ale tak było - odpaliłem program, wybrałem kilka słów, pomieszałem je i wyszedł Dragon Sector.
Są dwa rodzaje CTF-ów, w których uczestniczycie. Czy mógłbyś o nich trochę więcej opowiedzieć?
- Jeden to jeopardy - nazwa pochodzi od amerykańskiego teleturnieju. To bardziej popularny typ CTF-ów. Polega na tym, że otrzymuje się od 20 do 50 zadań do rozwiązania, punktowanych od 100 do 500 punktów, i te zadania pogrupowane są na różne kategorie, zazwyczaj to zadania rozłączne. Drugim typem CTF-ów są Attack-Defense. Tego rodzaju konkursy są zdecydowanie mniej popularne. Tu każda drużyna dostaje własny serwer wyposażony w oprogramowanie z lukami. Trzeba te luki znaleźć i załatać, zanim przeciwnicy je wykorzystają, a w tym samym czasie wykorzystać dziury w serwerach innych drużyn. Tym sposobem zdobywa się i traci flagi, a te odnawiają się średnio co pięć minut To dosyć wymagające. Oprócz łatania serwera trzeba pisać exploity, monitorować ruch sieciowy, replikować ataki, sprawdzać, czy ktoś już się nie włamał, nie zostawił backdoora. Naprawdę trzeba się do tego przyłożyć.
W ile osób gracie jednocześnie?
- W przypadku rozgrywek on-line nie ma ograniczeń, co do liczby uczestników, więc jak wyjdzie. W imprezach offline'owych owe, czyli w najczęściej finałach, zazwyczaj jest limit 4-8 osób z wyjątkiem DEF CON’u, gdzie dopuszcza się 12-osobowe zespoły.
Podział ról?
- Na zawodach sami ustalamy, na bieżąco, kto do czego się najlepiej nada. W czasie samego CTF-a kapitan jest po prostu graczem.
Podczas przygotowywania się do wywiadu znalazłem stronę z prostymi wargame'ami. Postanowiłem się przetestować i okazało sie, że nawet banalne zadania zajęły mi strasznie dużo czasu.
- Nie ma co się oszukiwać, CTF-y pożerają go mnóstwo. Zawody trwają od ośmiu-dziewięciu do 48 godzin. Są zadania, które w kilka osób rozwiązuje się przez parę godzin. Na jedno z najtrudniejszych z jakim się spotkałem, potrzebowałem wraz z jeszcze jedną osobą aż 20 godzin.
Skoro to takie czasochłonne, to co Cię motywuje do udziału w CTF-ach?
- Chęć sprawdzenia się i nauczenia nowych rzeczy. CTF-y wymuszają zwrócenie uwagi na pewne detale, których normalnie by się nie zauważyło. To sprawia, że człowiek bardzo dużo się uczy i nabywa umiejętności przydatne potem w pracy.
Nie wymieniłeś motywacji finansowej.
- Tak...
Pieniędzy z tego nie ma?
- W większości CTF-ów nie ma żadnych nagród oprócz satysfakcji. W finałach czasem są nagrody, ale często symboliczne lub tak niskie, że nie pokrywają kosztów udziału w imprezie. Jest kilka zawodów, głównie koreańskich w rodzaju Codegate w Seulu, gdzie można zdobyć większe sumy za miejsce na podium, ale jeżeli ktoś chciałby zarobić dużo pieniędzy to CTF-y mu tego nie umożliwią.
Macie sponsorów?
- Nie, choć rok i dwa lata temu przy okazji wylotu na DEF CON dostaliśmy wsparcie od paru firm i naszych pracodawców.
Czyli dokładacie do interesu.
- Dokładnie, ale traktuję to jako hobby. Podciągnąłbym to nawet pod definicję e-sportu tylko, że tutaj kibice nie mają czego oglądać.
Mimo to osiągacie fenomenalne wyniki. W zeszłym roku zajęliście drugie miejsce, w 2014 r. pierwsze, a jeszcze wcześniej trzecie.
- W 2013 roku zbieraliśmy drużynę, żeby wygrać w kolejnym, a w 2015 trochę odpoczywaliśmy. Te wyniki są po części zasługą tego, że bardzo dużo gramy, ale przede wszystkim mamy obecnie świetny skład. Obstawiamy w zasadzie wszystkie kategorie, które pojawiają się w CTF-ach: od kryptografii przez inżynierię wsteczną po niskopoziomowe eksploitacje, websecurity i aplikacje mobilne. Ostatecznie nasze miejsce w rankingu jest wypadkową umiejętności i chęci członków drużyny.
Jakie macie plany na ten rok?
- Na pewno będziemy próbowali znaleźć się w pierwszej trójce, ale patrząc na tegoroczny ranking, widzę, że czeka nas ostra rywalizacja. Inna sprawa, że wyhodowaliśmy sobie rodzimą konkurencję. W globalnym rankingu, w pierwszej piątce są dwa polskie zespoły. My i p4, którym w tym roku świetnie idzie.
Zatem depczą wam po piętach nawet w kraju.
- Przyznaję, że to nawet mnie cieszy (śmiech).
Rozmawiał Jarosław Marczuk - dziennikarz, freelancer, pisze o nowych technologiach oraz Rosji. Publikował dotąd m.in. w Bloomberg Businessweek Polska i Rzeczpospolitej.
Foto Hacker in Work via Shutterstock.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu