Polski haker pilnuje bezpieczeństwa Google’a

Skontaktowanie się z Michałem "lcamtufem" Zalewskim przypomina sekwencję z filmu szpiegowskiego. Nie podaje numeru telefonu, nawet na biurko w Google’u, w którym pracuje. Nie dzieli się e-mailem i numerem Skype’a. Jego ludzie w Polsce przekazują pytania jego ludziom w USA, a ci Zalewskiemu. Po kilkunastu dniach tą samą ścieżką przychodzą odpowiedzi. Łatwiej zrobić wywiad z prezydentem Polski. - To tylko jedna z wielu głów państw, a "lcamtuf" z powodu umiejętności jest unikatowy. Nic dziwnego, że tak chroni swoją prywatność - mówi "DGP" Borys Łącki, konsultant ds. zabezpieczeń systemów i struktur teleinformatycznych z LogicalTrusta.

Michał "lcamtuf" Zalewski, pracujący dla centrali Google’a, to jeden z najbardziej znanych hakerów. Nie ma w Polsce, a zapewne i na świecie, człowieka zajmującego się bezpieczeństwem sieciowym, który nie słyszał o 31-latku z Warszawy. Ale nie dlatego, że włamał się on do serwerów Pentagonu czy Interpolu, był poszukiwany przez FBI i aresztowany. Znany jest z zupełnie innych i znacznie mniej spektakularnych działań. Regularnie dowiadujemy się o kolejnych lukach w zabezpieczeniach oprogramowania, które wykrył i przed którymi ostrzegł.

Ostatnio było o nim głośno, gdy w połowie 2010 r. znalazł około setki dziur w najpopularniejszych przeglądarkach internetowych. "lcamtuf" poinformował o odkrytych lukach ich producentów. Twórcy WebKit oraz przeglądarek Firefox i Opera podziękowali i załatali większość z nich. Microsoft nie zareagował, choć był kilkakrotnie powiadamiany. Zalewski pod koniec grudnia zdecydował się na upublicznienie stworzonego przez siebie narzędzia, dzięki któremu można było dotrzeć do luk w Internet Explorerze. Ponownie rozpisały się o nim wszystkie specjalistyczne serwisy na świecie. - To nie było popisywanie się. Taka jest praktyka: wykryta luka, uprzedzona firma, brak działania z jej strony, to się dziurę ujawnia - mówi Łącki.

Zanim opowiem o Michale Zalewskim, wyjaśnię kilka ważnych terminów:

1. Haker - osoba, która szuka i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym.

2. Cracker - osoba zajmująca się łamaniem zabezpieczeń komputerowych (zamkniętego oprogramowania lub serwerów). Obecnie słowo "cracker" używane jest jako określenie osoby włamującej się na serwery w sposób niezgodny z prawem. Używanie go w tym kontekście propaguje społeczność hakerska, według której stawianie znaku równości między hakerami a włamywaczami sieciowymi jest błędne.

3. Społeczność hakerska - grupy programistów, którzy dzielą się kodem źródłowym, wymieniają osiągnięcia i uczą się wzajemnie sztuczek lub lepszych sposobów programowania. Hakowanie w tym znaczeniu nie ma dla nich żadnego niszczycielskiego wydźwięku, co więcej, oznacza użyteczne rozwiązywanie problemów związanych z komputerami.

Tak tłumaczy to Wikipedia i tak rozumieją to ludzie zajmujący się bezpieczeństwem informatycznym. Ale powszechnie haker kojarzy się z przestępcą, który włamuje się do komputerów firm lub prywatnych użytkowników. I dlatego, choć "lcamtuf" aktywnie działa w społeczności hakerskiej, nie określa siebie mianem hakera. - W tradycyjnym znaczeniu kluczową wartością ruchu hakerów jest pasja i kreatywność w technologicznych pościgach - tłumaczy "DGP" Zalewski. - Medialnie jednak ten termin odnosi się do działań, których celem jest narażenie na szwank cudzych komputerów z czystej złośliwości lub dla zysku. A z tym oczywiście się nie identyfikuję - dodaje.

Historia Michała Zalewskego jest podręcznikowa. Od ośmiolatka, który dostał pierwszego 8-bitowca, na którym grał, po nastolatka zainteresowanego elektroniką, który odkrywa w internecie innych, równie zakręconych na punkcie komputerów fascynatów. - Wskazanie, kiedy zaczęło mnie pociągać bezpieczeństwo informatyczne, jest trudne. Myślę, że to było naturalne przejście od zainteresowania, jak system działa, do zrozumienia, jak można oprogramowanie złamać - tłumaczy.

Tak Michał trafił na legendarną już w świecie internetu listę dyskusyjną poświęconą zagadnieniom bezpieczeństwa teleinformatycznego - Bugtraq. Tysiące programistów z całego świata rozważało na niej wszelakie problemy związane z obsługą sieci i oprogramowania. Bugtraq w tamtym czasie miał własną politykę, zbiór zasad, z których jedną niezwykle ważną była publikacja wszelkich informacji dotyczących błędów w oprogramowaniu bez względu na reakcję ich twórców. Michał początkowo obserwował dyskusje i coraz więcej dowiadywał się o oprogramowaniu swojego domowego peceta. - Aż wreszcie zadałem swoje pierwsze pytanie o interesujący mnie problem. Ku memu zdziwieniu zostałem dopuszczony przez moderatora, ale zadowolenie szybko się skończyło, kiedy ktoś wyjaśnił mi, że ten mój poważny problem wcale nie był taki poważny - wspomina. Z czasem szukał rozwiązań do coraz bardziej skomplikowanych problemów i wskazywał je.

Jeszcze w liceum, już wtedy znany w sieci jako "lcamtuf" (Zalewski tłumaczy, że to niemające sensu słowo było tzw. cheatcodem w jednej z gier z jego dzieciństwa; po jego wpisaniu bohater gry zyskiwał np. nieśmiertelność czy nieograniczony dostęp do amunicji), zaczął chałturzyć, wykorzystując wiedzę o oprogramowaniu. Pierwsze poważne zajęcie było również z tym związane - pracował jako administrator systemów sieci centrów handlowych. - I nagle po kilku miesiącach niespodziewanie dostałem ofertę pracy dla Telekomunikacji Polskiej - opowiada. Równolegle nadal udzielał się na Bugtraq i współpracował z kilkoma związanymi z bezpieczeństwem sieciowym projektami. W 2000 r. jako 19-latek dostał kolejną propozycję pracy i to od razu połączoną z koniecznością przeprowadzki do Stanów Zjednoczonych. O Zalewskiego upomniała się firma BindView, dziś znana jako producent oprogramowania antywirusowego Symantec. Przepracował dla nich w Bostonie ponad dwa lata, by w 2003 r. wrócić do Polski. Powód: miłość, małżeństwo, syn i praca dla Polskiej Telefonii Cyfrowej. Już wtedy Zalewski był w środowisku bardzo znany. - I to nie tylko w kraju - przekonuje Łącki.

W 2003 r. w kinach pojawił się sequel "Matriksa". Świat IT wtedy z zaskoczeniem zauważył, że w jednej ze scen Trinity nie włamuje się do komputera - jak to zwykle w filmach bywa - za pomocą przeglądarki WWW, ale używa specjalnej wersji nmapa, czyli programu służącego do skanowania komputerów. Do uzyskania dostępu do zasobów maszyny wykorzystuje on błąd wykryty przez Zalewskiego w 2001 r. - Dlaczego ta właśnie wrażliwość została wykorzystania w "Matriksie"? Nie mam najmniejszego pojęcia - przekonuje Zalewski.

Wkrótce po premierze filmu amerykański wydawca zgłosił się do niego z propozycją napisania książki - nie podręcznika uczącego, jak chronić sprzęt, ani opowieści o hackingu, tylko książki na styku przewodnika o technologii i psychologii ataków sieciowych. "Silence on the wire" ("Cisza w sieci"), która ukazała się w 2004 r., zebrała mnóstwo pozytywnych recenzji i ugruntowała pozycję "lcamtufa".

Michał, choć nie brakowało mu zajęć zawodowych, nie przestawał działać w świecie IT. - Praca od 9 do 17 nie jest zła, ale może być nudna. Świat hakerów - jeśli się zechce - jest bardziej kolorowy, trochę nieprzewidywalny, kierowany przez pozafinansowe potrzeby dzielenia się wiedzą i dalszej nauki różnych sztuczek - opowiada i tłumaczy, jak to możliwe z jednej strony pracować dla wielkiej korporacji, a z drugiej rozwijać pasję.

- Świat ekspertów bezpieczeństwa był zaskoczony, gdy w 2007 r. Zalewski zaczął pracować dla Google - opowiada Łącki. - Zaskoczony nie dlatego, że Google zechciał Zalewskiego, tylko dlatego, że on się zgodził - dodaje.

Wielki amerykański potentat sam go znalazł. - Praktyką największych firm jest zatrudnianie takich ekspertów jak Michał Zalewski do prewencyjnego chronienia swojego oprogramowania. Wszyscy mają własnych hakerów, nic więc dziwnego, że Google postarał się o niego, przecież to jeden z najlepszych na świecie - tłumaczy nam Mirosław Maj, założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń, wieloletni szef zespołu CERT przy Naukowo-Akademickiej Sieci Komputerowej.

Świetną opinię o Zalewskim potwierdził też ranking opublikowany przez "eWeek" w 2008 r. Ten, jak sam o sobie mówi, "geek" trafił na 51. miejsce wśród 100 najważniejszych ludzi w świecie IT i na 5. miejsce wśród tych zajmujących się bezpieczeństwem teleinformatycznym. - Zalewski i jego praca to dowód na istnienie dziś już zupełnie innej jakości w hakingu. Nie chodzi o głośne akcje, o złośliwe działania, tylko o kreatywność i profesjonalizm. I tak działając po cichu, można stać się sławnym - podsumowuje Maj.

@RY1@i02/2011/039/i02.2011.039.186.0003.001.jpg@RY2@

Fot. Jakub Ostałowski/Fotorzepa

31-letni dziś Michał "lcamtuf" Zalewski rozpoczął pracę dla Google’a w 2007 roku. Wcześniej pracował między innymi dla Telekomunikacji Polskiej, PTC i BindView

Sylwia Czubkowska