Haking po polsku

Sądzę, że Kevin Mitnick uważany powszechnie za ikonę hakerstwa, dzisiejszym fachowcom od włamań nie dorasta nawet do pięt. Co innego jednak jest interesujące. Tenże człowiek nie był podobno wybitnym informatykiem za jakiego się sam uważał i często nie miał  zielonego pojęcia o tym co robi. Był mistrzem za to w innej, pokrewnej dziedzinie. Wykorzystywał po prostu najsłabsze ogniwo jakiegokolwiek systemu, czyli człowieka. Jego niewiedzę i lekkomyślność. Myślę, że podobny model hakingu od niepamiętnych czasów funkcjonuje w naszym kraju i dla sprawnego funkcjonowania nie potrzebuje on systemów informatycznych, sieci, ani komputerów.

Jednym ze sposobów hakerskiej aktywności, jest nie tyle włamywanie się do systemu, ale takie wyłamanie, aby po tym można było ten system skutecznie wykorzystać dla własnych celów. Można tam na przykład pozostawić tzw. trojańskiego konia, który dopiero narobi szkód.

Kilka dni temu mój kolega opowiedział mi historię jak można bez większego problemu dostać się na jedną z najbardziej renomowanych uczelni w Polsce. Jednym z możliwych kryteriów przyjęcia jest uzyskanie z pewnej instytucji zaświadczenia o zdolności do pracy na wysokościach. Ludzie na ogół  nie czytają nudnych regulaminów, a gdy ktoś nawet zada sobie ten trud to myśli, że to nie możliwe zastrzeżenie dotyczy alpinistów. A tym czasem wystarczy udać się do tejże instytucji z podaniem o wydanie takiego zaświadczenia. Otrzymuje się podobno skierowanie do lekarza specjalisty z zakresu medycyny pracy, którzy po rutynowym, trwającym 2 minuty wydaniu wystawia stosowne zaświadczenia. Przypomnę tylko, że zgodnie z przepisami za pracę na wysokościach uznaję się pracę na co najmniej jednego metra. Z zaświadczeniem lekarskim trzeba udać się powrotem do wydającej skierowanie instytucji, po czym miła pani wręczy stosowne zaświadczenie. Ale po co ta cała zabawa? A no po to, że jeśli tego rodzaju dokument stanowi załącznik do podania o przyjęcie na studia, kandydata nie obowiązuje wynik egzaminu, lecz wyłącznie sam fakt jego zdania. O furtce wiedzieli do niedawna bardzo nie liczni. Była ona starzona celowo, dla przyjmowania na studia przyjaciół i znajomych królika i zastąpiła tak zwaną „rektorską pulę miejsc”. Nie wiem czy ta luka w systemie jeszcze działa czy nie, ale z pewnością nasi politykierscy hakerzy pozostawili ich w systemie całe mnóstwo.

Wszyscy pamiętamy proceder z lat dziewięćdziesiątych, polegający na sprowadzaniu do Polski koszmarnych ilości spirytusu bez cła. Była po prostu krótka luka prawna, w czasie której przestało obwiązywać jedno rozporządzenie, a drugie nie weszło jeszcze w życie. Ponoć przy granicy stały całe TIRy wyładowane alkoholem czekające tylko na wybicie określonej godziny. Była burza, wrzawa, ale nie skazano nikogo. Na spirytusowym procederze powstała w kraju wiele fortun. Można oczywiście mnożyć przykłady. Można przypomnieć sprawę podrabianego paliwa, ale nie o to chodzi.

W bananowej republice wszystko jest możliwe. Sprytnych ludzi nie potępiam, bo stanowią oni sól tej ziemi. Potępiam za to funkcjonowanie dziurawego systemu. Lepiej być może by było, aby on w ogóle nie istniał lub był prosty i przejrzysty?

Jak powstaje szwajcarski ser? Bierze się dziurę i oblepia serem – głosi stary dowcip. Być może kwintesencją istnienia wielu przepisów, ustaw i regulacji jest właśnie to aby stworzyć w nich lukę? Być może zamiast nadmiernie organizować lepiej jest pozostawić wszystko samemu sobie? Bez dziur będzie przynajmniej uczciwie.

Słyszałem kiedyś historię dwóch urzędników, którzy po wyrzuceniu ich z pracy w Ministerstwie Finansów rzekomo założyli firmę szkoleniową. Znali się na podatkach i przygotowali kolejne nowelizacje ustawy o VAT. Nie byłoby w tym nic niezwykłego gdyby nie fakt, że szkolenie nosiło tytuł: „Luki prawne w podatku VAT za rok ….” – czy jakoś tak. Opłata za szkolenie wynosiła ponoć 5 tyś złotych od osoby. Podobno chętnych było tak wielu, że dostawiano krzesła. Panowie przeprowadzili swe wykłady w większości miast w Polsce. A teraz przybliżona kalkulacja: 5000 zł, razy 100 – osób na każdym szkoleniu, raz 16 wojewódzkich miast. Wynik – 8 000 000 zł. Nieźle jak na dwóch, za miesiąc roboty przy sprzedaży wiedzy, która za rok będzie już nie aktualna. Wszystko legalnie. Można rzecz jasna potępiać owych urzędników. Ale to oni sprawili, że wiedza dostępna dla nielicznych stała się powszechna, a system musiał się uszczelnić. To jest chyba najlepszy sposób walki – transparencja.

 Dobry haker informuje wszystkich o odkrytych przez siebie dziurach licząc lub nawet nie licząc na nagrodę, zły natomiast wykorzystuje ją do własnych celów. Nader często ów zły haker pisze program tylko po to aby umieścić w nim przydatne potem dziury. Pewnie nie rzadkie są przypadki, że jest on administratorem systemu.

Najgorsze jest jedna to, że bardzo rzadko zdarza się, że zły haker przechodzi na „jasna stronę mocy”. No chyba, ze chce zemścić się na hakerach wyżej postawionych od niego za odcięcie od sieci... 

Wszystko wskazuje na to, że czarny haking, tak rozpowszechniony w naszych czasach, doprowadzi nasz kraj do upadku. Ale nie martwmy się zbytnio. Przyjdzie czas na załatanie dziur. Przyjdzie czas na reset systemu i zatrudnienie takich adminów, którzy nie dadzą do niego wprowadzić już więcej żadnego trojańskiego konia. Jedyne co można robić w tej chwili to transparencja.