De ce hackerii români despre care afli la știri sunt găinarii internetului

În urmă cu aproape un an descopeream Centrul de Inovare Cibernetică din București și Augustin Jianu, director CERT-RO și responsabil de CIC, îmi spunea că n-ar recruta niciodată hackeri pentru un loc care ar trebui să-i apere pe oameni de hackeri. Argumentul principal era că hackerii nu sunt de încredere.

CIC este însă o instituție a statului și m-am gândit atunci că nu se pliază pe cele mai noi tendințe. Doar am auzit cu toții de genii care sparg sisteme și sunt recrutați de companii pe foarte mulți bani să nu mai facă asta, ba chiar să-i oprească pe alții.

Așa că am ajuns la o companie de securitate cibernetică să aflu cum sunt văzuți hackerii acolo și de ce unii sunt cosiderați o amenințare. De Bitdefender ai mai auzit, dar în special prin interviurile date de fondatorul Florin Talpeș. Dincolo de visul frumos al capitalismului postdecembrist, este și o companie bine ancorată în ceea ce înseamnă securitatea cibernetică. Tocmai de aceea e partener CIC.

La sediul lor, m-am întâlnit cu Bogdan Botezatu, Senior e-Threat Analyst. La discuție a participat și Cătălin Coșoi, Chief Security Researcher, dar care s-a mulțumit doar la completări. De la ei am înțeles că amenințările informatice pot fi oprite în orice moment, dar nu fără un cost imens, și că hackerii despre care se tot vorbește în România sunt cel mai bun subiect pentru știri, și cam atât.

Și acum mai e o categorie de hackeri care atrag atenția: cei buni, cu intenții bune. La începutul anilor 2000, când hacking-ul era la început, iar internetul abia învăța să intre în era web 2.0, cele mai multe cazuri de hackeri erau cei care spărgeau conturi, furau bani, vindeau datele altora.

Apoi, au început să apară actele de white hacking - cum e copilul de zece ani recompensat de Instagram, când cineva sparge sisteme ca să găsească vulnerabilități, dar nu profită de ele.

Când vorbim însă de hackeri „pe bune", sunt două mari categorii. Unii sunt finanțați de stat, care sunt, efectiv, corporații, și cei de pe dark web și de pe tot felul de forumuri, din comunități foarte închise, care caută să cumpere exploit-uri de la „băieții răi". Aceștia din urmă le-au identificat, le revând către organizații, guverne sau companii, și își monetizează activitatea cu mâinile aproape curate.

De aici a început și discuția mea cu cei doi experți în securitate cibernetică: de ce să nu te îmbogățești din vulnerabilități, dacă tot poți.

VICE: Dacă tot sunt acești oameni care vânează vulnerabilități, de ce nu le folosesc pentru a fura mai mult?
Bogdan Botezatu: În primul rând, este mult mai ușor să monetizezi un exploit și să rămâi cu mâinile curate. Și ca să faci bani cu el, ai două oportunități: îl pasezi repede, ca pe un produs de larg consum, către o instituție pe o sumă fixă, 600 de mii – un milion de euro, bani cash, legali, spălați și mergi mai departe. Sau îți asumi riscuri fondând o grupare de cybercrime, în care ai nevoie de un întreg lanț trofic. Începi de la spam-uri care trimit mesaje către victime, de la cei care scriu mallware în jurul exploit-ului tău, după care te muți către oamenii care îți spală bani, iar la sfârșit rămâi doar cu o parte din banii aceia, foarte multă muncă depusă și foarte multe urme, în funcție de câți parteneri ai. Când ai 50 de parteneri, unul dintre ei sigur va vorbi la un moment dat.

Voi sunteți de partea cealaltă. Cum se pot reduce, cu o eficiență de până la 100%, astfel de amenințări?
Am putea opri chestia asta și mâine. Dacă am vrea cu adevărat, am opri-o în orice moment. Mă rog, nu noi, Bitdefender, dar societatea, guvernele ar putea-o face.

Cum? Tai accesul la internet?
Nu, nu tăiem internetul, ci îl reglementăm. Îți dăm un card pe care îl introduci în laptop și să te autentifici. Doar așa să poți folosi web-ul. Dar vrem asta? Nu vrem, pentru că există schimbul acesta între siguranță și intimitate. Vrem și siguranță pe internet, dar vrem să fim și anonimi.

Urmărește documentarul VICE despre primul hacker filmat în acțiune

Dar e utopie să vrei să fii 100% anonim.
Cu siguranță. Trebuie să îți dorești foarte mult să devii complet anonim. Și dacă reușești, hai să nu zicem complet anonim, ci 99%, s-ar putea să fie doar o impresie că ești complet anonim. Ai impresia că ai folosit tool-urile corecte, iar trei ani mai târziu să afli că a existat o vulnerabilitate în una dintre ele care te-a deconspirat. Uite un exemplu. În America, o foarte mare parte din timp criptografia era restricționată la 56 de biți, deci nu puteai să ai un cifru criptografic mai mare de atât. Asta pentru că, la acea vreme, fix atât puteau sparge fără probleme serviciile de informații. În prezent, ai voie să folosești până la 512 biți, cod care nu mai e atât de ușor de spart, dar nici imposibil. Cam asta se întâmplă și cu intimitatea.

Bun, dar cei care ghicesc parole de mail. Ăștia ce mai sunt, tot un fel de clovni pentru societate?
Sensul cuvântului „hacker" este un pic deturnat în zilele noastre. El însemna, de fapt, un individ, un programator, care modifică ceva, nu neapărat în scop malițios. Acum, termenul de hacker acoperă cam tot ceea ce înseamnă individ care într-un fel sau altul îți intră în conturi și îți folosește, fură datele. Și băieții ăștia cu ghicitul parolelor sau recuperarea acestora prin întrebări de securitate au succes în zonă de social engineering. Tot în sfera asta intră și malware. Există structuri de viruși de tipul acesta, pe care le faci cu un click. Există site-uri cu formulare, ești întrebat care este numele malware-ului tău, cât vrei să primești pentru fiecare infecție, câteva sute de dolari plătiți în Bitcoin, unde vrei să primești banii și gata. Este ceea ce noi numim malware ca serviciu: nu trebuie să fii hacker să poți face chestia asta, trebuie doar să știi să apeși patru butoane.

Tot aici îi putem include și pe hackerii din România care „au speriat vestul"?
Clonarea de carduri, de exemplu, este tot un furt de informație și se consideră hacking. Datele nu sunt vândute mai departe, este o monetizare folosită în scop personal, dar intră tot la hacking. Și probabil că există hackeri mari, buni în România sau din România, dar până acum au fost prinși oameni care au ghicit parolele lui Clinton, niște băieți care stăteau pe forumuri de hacking, care clonau carduri de prin străinătate și scoateau bani din bancomatele din State sau care dădeau țepe pe eBay. Pe scurt, erau oameni care foloseau tool-uri cumpărate de la alții.

Bun, și atunci să ne speriem doar de ei sau și de cei antrenați și încorporați de state?
Hackerii statelor ar putea fi incluși și la hacking, și la măsuri pentru protecția cetățenilor. Războaiele s-au mutat pe internet. E mult mai ușor să creezi panică într-un oraș dacă tai apa, curentul și oprești aprovizionarea supermarket-urilor, decât să parașutezi 200 de tancuri. Mi se pare mult mai simplu să ți se taie apa caldă și deja e panică. Pe de altă parte, statul este direct interesat să monitorizeze tot ce se poate despre cetățeni, pentru diverse motive. Cele pe care le declară ei ar fi strict pentru a combate terorismul. Acum, că tot monitorizăm de 20 de ani, iar terorismul e bine, aproape nederanjat, asta e o altă poveste.

În contextul ăsta, unde se încadrează Anonymous, grupare care a amenințat de la candidați la președinția SUA, până la teroriști ISIS?
Nu cred că îl putem defini, pentru că nu există o organizație efectivă. Apartenența este declarativă, nu devii membru într-un mod formal. Dar, da, sunt hackeri buni și foarte buni, indivizi care vor să facă multe lucruri și care, la un moment dat, se decid și susțin că sunt membri Anonymous, pentru că s-au identificat cu ideologia grupului. Totodată, este bizar ce se întâmplă cu Anonymous. Ei sunt descentralizati și nu au o misiune, nu au un scop și nici principii. Au vrut să dea o lecție Sony anul trecut, i-au dat-o. Cum au făcut-o? Au expus clienți nevinovați. Nu mi se pare că așa te răzbuni pe companie, ci pe clienți.

Dacă vreau să aplic un mit al internetului și să rămân anonim, protejat, folosind Windows XP, am șanse să reușesc?
În Windows nu funcționează asta, pentru că începând cu Windows XP, una dintre prioritățile Microsoft a fost să asigure funcționarea aplicațiilor pe toate sistemele de operare. Singura problemă majoră pe care au avut-o hackerii a fost prin 2005-2006, când s-a lansat Windows Vista, cu un panou de siguranță pentru utilizator. Iar această versiune bloca utilizarea unor programe, până când utilizatorul își dădea acceptul. Numai că utilizatorul era enervat de acest proces, iar asta afecta experiență de folosire. Sistemele vechi de operare nu sunt cu nimic mai bune, mai ales că nici nu mai primesc actualizări.

Dacă a fost un lucru cu care am rămas după acest interviu, am învățat că e nevoie de Guccifer (aka Marcel Lazăr Lehel). Nu pentru că ar fi un mare hacker, ci pentru că publicațiile reușesc să facă audiența cu așa cazuri. Șoferi, șomeri care stau mult pe net și ghicesc parole sunt un exemplu ciudat de reușită.

Altfel, dacă vrei să încerci puțin anonimat, poți apela la acest ghid. Asta cât mai ai timp, până primim toți net pe cartelă și cip pentru autentificare.

Urmărește VICE pe Facebook

Citește mai multe despre net, așa, în general:
Contul tău de Yahoo Mail ar putea să devină mai sigur ca ăla de Gmail
Facebook pășește în era realității virtuale sociale cu videoclipurile sferice
Oamenii de ştiință au construit un creier artificial autist