Sądzę, że Kevin Mitnick uważany powszechnie za ikonę hakerstwa, dzisiejszym fachowcom od włamań nie dorasta nawet do pięt. Co innego jednak jest interesujące. Tenże człowiek nie był podobno wybitnym informatykiem za jakiego się sam uważał i często nie miał zielonego pojęcia o tym co robi. Był mistrzem za to w innej, pokrewnej dziedzinie. Wykorzystywał po prostu najsłabsze ogniwo jakiegokolwiek systemu, czyli człowieka. Jego niewiedzę i lekkomyślność. Myślę, że podobny model hakingu od niepamiętnych czasów funkcjonuje w naszym kraju i dla sprawnego funkcjonowania nie potrzebuje on systemów informatycznych, sieci, ani komputerów.
Jednym ze sposobów hakerskiej aktywności, jest nie tyle włamywanie się do systemu, ale takie wyłamanie, aby po tym można było ten system skutecznie wykorzystać dla własnych celów. Można tam na przykład pozostawić tzw. trojańskiego konia, który dopiero narobi szkód.
Kilka dni temu mój kolega opowiedział mi historię jak można bez większego problemu dostać się na jedną z najbardziej renomowanych uczelni w Polsce. Jednym z możliwych kryteriów przyjęcia jest uzyskanie z pewnej instytucji zaświadczenia o zdolności do pracy na wysokościach. Ludzie na ogół nie czytają nudnych regulaminów, a gdy ktoś nawet zada sobie ten trud to myśli, że to nie możliwe zastrzeżenie dotyczy alpinistów. A tym czasem wystarczy udać się do tejże instytucji z podaniem o wydanie takiego zaświadczenia. Otrzymuje się podobno skierowanie do lekarza specjalisty z zakresu medycyny pracy, którzy po rutynowym, trwającym 2 minuty wydaniu wystawia stosowne zaświadczenia. Przypomnę tylko, że zgodnie z przepisami za pracę na wysokościach uznaję się pracę na co najmniej jednego metra. Z zaświadczeniem lekarskim trzeba udać się powrotem do wydającej skierowanie instytucji, po czym miła pani wręczy stosowne zaświadczenie. Ale po co ta cała zabawa? A no po to, że jeśli tego rodzaju dokument stanowi załącznik do podania o przyjęcie na studia, kandydata nie obowiązuje wynik egzaminu, lecz wyłącznie sam fakt jego zdania. O furtce wiedzieli do niedawna bardzo nie liczni. Była ona starzona celowo, dla przyjmowania na studia przyjaciół i znajomych królika i zastąpiła tak zwaną „rektorską pulę miejsc”. Nie wiem czy ta luka w systemie jeszcze działa czy nie, ale z pewnością nasi politykierscy hakerzy pozostawili ich w systemie całe mnóstwo.
Wszyscy pamiętamy proceder z lat dziewięćdziesiątych, polegający na sprowadzaniu do Polski koszmarnych ilości spirytusu bez cła. Była po prostu krótka luka prawna, w czasie której przestało obwiązywać jedno rozporządzenie, a drugie nie weszło jeszcze w życie. Ponoć przy granicy stały całe TIRy wyładowane alkoholem czekające tylko na wybicie określonej godziny. Była burza, wrzawa, ale nie skazano nikogo. Na spirytusowym procederze powstała w kraju wiele fortun. Można oczywiście mnożyć przykłady. Można przypomnieć sprawę podrabianego paliwa, ale nie o to chodzi.
W bananowej republice wszystko jest możliwe. Sprytnych ludzi nie potępiam, bo stanowią oni sól tej ziemi. Potępiam za to funkcjonowanie dziurawego systemu. Lepiej być może by było, aby on w ogóle nie istniał lub był prosty i przejrzysty?
Jak powstaje szwajcarski ser? Bierze się dziurę i oblepia serem – głosi stary dowcip. Być może kwintesencją istnienia wielu przepisów, ustaw i regulacji jest właśnie to aby stworzyć w nich lukę? Być może zamiast nadmiernie organizować lepiej jest pozostawić wszystko samemu sobie? Bez dziur będzie przynajmniej uczciwie.
Słyszałem kiedyś historię dwóch urzędników, którzy po wyrzuceniu ich z pracy w Ministerstwie Finansów rzekomo założyli firmę szkoleniową. Znali się na podatkach i przygotowali kolejne nowelizacje ustawy o VAT. Nie byłoby w tym nic niezwykłego gdyby nie fakt, że szkolenie nosiło tytuł: „Luki prawne w podatku VAT za rok ….” – czy jakoś tak. Opłata za szkolenie wynosiła ponoć 5 tyś złotych od osoby. Podobno chętnych było tak wielu, że dostawiano krzesła. Panowie przeprowadzili swe wykłady w większości miast w Polsce. A teraz przybliżona kalkulacja: 5000 zł, razy 100 – osób na każdym szkoleniu, raz 16 wojewódzkich miast. Wynik – 8 000 000 zł. Nieźle jak na dwóch, za miesiąc roboty przy sprzedaży wiedzy, która za rok będzie już nie aktualna. Wszystko legalnie. Można rzecz jasna potępiać owych urzędników. Ale to oni sprawili, że wiedza dostępna dla nielicznych stała się powszechna, a system musiał się uszczelnić. To jest chyba najlepszy sposób walki – transparencja.
Dobry haker informuje wszystkich o odkrytych przez siebie dziurach licząc lub nawet nie licząc na nagrodę, zły natomiast wykorzystuje ją do własnych celów. Nader często ów zły haker pisze program tylko po to aby umieścić w nim przydatne potem dziury. Pewnie nie rzadkie są przypadki, że jest on administratorem systemu.
Najgorsze jest jedna to, że bardzo rzadko zdarza się, że zły haker przechodzi na „jasna stronę mocy”. No chyba, ze chce zemścić się na hakerach wyżej postawionych od niego za odcięcie od sieci...
Wszystko wskazuje na to, że czarny haking, tak rozpowszechniony w naszych czasach, doprowadzi nasz kraj do upadku. Ale nie martwmy się zbytnio. Przyjdzie czas na załatanie dziur. Przyjdzie czas na reset systemu i zatrudnienie takich adminów, którzy nie dadzą do niego wprowadzić już więcej żadnego trojańskiego konia. Jedyne co można robić w tej chwili to transparencja.
dlaczego nie poda Pan nazwy tej uczelni?
OdpowiedzUsuńjeśli to nadal aktualne
to wdroży Pan transparencję,
to sprawiłby Pan, że wiedza dostępna dla nielicznych stała by się powszechna, a system musiał by się uszczelnić,
może zalałoby ich mnóstwo takich podań
a jeśli nieaktualne to i tak się należy kompromitacja,
przydałoby się też ogłosić imiona i nazwiska rektora i reszty królików, które przygotowały i zatwierdziły ten skandaliczny regulamin.
@kazik trzonek
OdpowiedzUsuńNie uzyskałem jeszcze potwierdzenia tej historii. Niechałbym pomówić szacunku godnej uczelni, jeśli to okazałoby się nieprawdą. Nie jestem absolutnie pewien czy to przypadkiem nie "legenda miejska". Przeszukałem regulamin tej uczelni i nie znalazłem tam tej konkretnej "dziury". Osoba od której o tym usłyszałem jest wiarygodna, a jej syn właśnie tam studiuje. Schemat jest także dość prawdopodobny i trudno oczekiwać aby ktoś miał tak bujną wyobraźnię, aby go wymyśleć. Gdy tylko uzyskam potwierdzenie tej historii natychmiast o tym napiszę.
Sądzę także, że postępuję właściwie. Mam nadzieję, że ludzie po tej publikacji bardziej uważnie zaczną przyglądać się przeróżnym regulaminów szukając w nich wytrychów. Bo to wcale nie o uczelnie chodzi, a chociażby o studiowanie lichwiarskich umów bankowych.
Pozdrawiam