Komputerowi włamywacze dorobili się opinii internetowych przestępców. Teraz mają szansę całkiem przyzwoicie zarobić, na dodatek legalnie i w dobrej sprawie.
Cztery lata temu Jobert Abma i Michiel Prins, dwudziestolatkowie z Holandii obdarzeni talentem do łamania komputerowych zabezpieczeń, spisali nazwy stu globalnych potentatów sieci: od Apple’a po Twittera. Listę zatytułowali: Hack 100. I potem skrupulatnie, pozycja po pozycji, włamywali się na serwery kolejnych
firm.
Abma i Prins mogli sprzedać swoją wiedzą o lukach w systemach zabezpieczeń. Na czarnym rynku za informacje czy tylko wskazówki pozwalające wedrzeć się do Apple’a można zarobić nawet pół miliona dolarów. Holendrom chodziło jednak o coś innego: wszystkie zhakowane spółki zostały powiadomione o włamaniu i jego rezultatach.
Ku pewnemu zdumieniu dwudziestolatków ani jedna z
firm nie zawiadomiła organów ścigania. Co trzecia nie odpisała na ich e-maila, a tyle samo odesłało zdawkowe podziękowania – i nie zrobiło nic, by załatać luki. W pozostałych jednak informatycy zostali postawieni w stan pogotowia. Menedżerka Facebooka Sheryl Sandberg wydrukowała sobie wiadomość od Holendrów i rzuciła ją na biurko Alexa Rice’a – szefa działu zabezpieczeń w firmie Zuckerberga. Rice zaprosił nadawców e-maila do siedziby firmy, zjadł z nimi lunch, poprosił o wskazówki przy usuwaniu wskazanych błędów, wypłacił 4 tys. dol. nagrody – a przeszło rok później założył wraz z nimi (oraz ich rodakiem, zasiedziałym w Dolinie Krzemowej biznesmenem Merijnem Terheggenem) firmę, która chce przewrócić rynek hakerskich włamań do góry nogami: HackerOne.
Uniwersum 31773
Filozofię HackerOne można opisać krótko. – Każda technologia ma wady. Jeżeli nie stworzysz systemu, który umożliwi hakerom zgłaszanie błędów, to wkrótce poznasz te słabości poprzez ataki przestępcze – wyjaśnia Rice. HackerOne nie zatrudnia włamywaczy, nie proponuje opracowanego w swoich laboratoriach oprogramowania ani nie zapewnia ochrony – firma jest raczej pośrednikiem między korporacyjnymi klientami a tłumną społecznością komputerowych geeków.
Abma i Prins wiedzą, czego szukają w sieci zapaleńcy. Tej satysfakcji, jaką daje rozwiązanie wyjątkowo skomplikowanej szarady i pokonanie jej twórcy. Sławy w elitarnym gronie, gdy ich dokonania doceni sieć. I wreszcie – zarobku, bo HackerOne w ramach realizowanych dla
klienta projektów ujawniania luk w systemach komputerowych oferuje osobom raportującym błędy nagrody rzędu kilku tysięcy dolarów. Mało tego, start-up na dłuższą metę ma szansę odgrywać rolę biura headhunterskiego, wspierając legalne kariery zawodowe najbardziej utalentowanych współpracowników ze środowisk hakerskich.
Z kolei ich partnerzy znają potrzeby zarówno wielkich korporacji, jak i firm nieco mniejszych. Wiedzą, jakie argumenty i wyliczenia ryzyka czy potencjalnych szkód trafiają do przekonania menedżerów, a poza tym zapewniają – w ramach HackerOne – obsługę procesu raportowania o błędach, tak by firmowi informatycy nie musieli zajmować się jedną luką zaraportowaną przez sto różnych osób. Nie mówiąc o „szumie informacyjnym”, na jaki narażeni są specjaliści z branży informatycznej. – Może im czasem brakować koncentracji, bo przecież każdego dnia publikowane są luki w oprogramowaniu – przyznaje Tod Beardsley, ekspert IT w zajmującej się bezpieczeństwem i analityką sieci firmie Rapid7. – Tymczasem przestępczość zorganizowana jest, z definicji, zorganizowana – ucina.
Cóż, wszystko wskazuje na to, że założyciele HackerOne wyczuwają ducha czasów. Możliwości hakerów wydają się być dziś nieskończone – począwszy od głośnego kilka lat temu przypadku, gdy wpuszczony do sieci w irańskim ośrodku nuklearnym wirus Stuxnet zakłócił pracę wirówek i „zepsuł” Irańczykom sporą partię uranu, przez przypadki świeższej daty: włamanie do systemu płatności sieci supermarketów Target czy też włamanie, jakiego dopuścił się pewien specjalista od zabezpieczeń na pokładzie samolotu linii United Airlines – przez lukę w pokładowej sieci Wi-Fi dostał się do oprogramowania maszyny.
Korporacyjna odpowiedź na zagrożenia bywa różna. Apple – firma, która tylko w tym roku powiadomiła rynek o ok. 100 wykrytych lukach w swoich systemach – na informacje od hakerów nie reaguje w ogóle. Yahoo do niedawna potrafiła „nagradzać” raportujących o lukach w systemie T-shirtami ze swoim logo. Linie lotnicze – tuż po tym, jak wspomniany specjalista opisał swoje doświadczenia z pokładowym Wi-Fi na Twitterze (a wkrótce potem podczas przesłuchania w FBI) – zaczęły nagradzać zapaleńców darmowymi milami. Ambitniej do sprawy podeszło Google: do tej pory firma wydała już na nagrody ok. 4 mln dol., najwyższa wyniosła podobno 150 tys. dol., a przeciętna to 3177,30 dol. – ot, takie mrugnięcie okiem do smakoszy tematu – w slangu hakerskim 31773 to zakodowane słowo „elita”. Facebook wysupłał na nagrody od 2011 r. ok. 3 mln dol., Microsoft w lutym wypłacił grupie informatyków, którzy ujawnili błędy w przeglądarce Internet Explorer, 125 tys. dol.
Na każdego znajdzie się haker
Holendrzy liczą, że przekonają do swojego opartego na nagrodach modelu kluczowych graczy w biznesie – w końcu w firmie, poza Rice’em, są też specjaliści z Google’a i Microsoftu, którzy ręczą za to, że jest on najefektywniejszy. Nawiązano też współpracę z naukowcami z prestiżowych
uczelni, Uniwersytetu Harvarda oraz Massachusetts Institute of Technology. To daje efekt: HackerOne przekonał do inwestycji w program nagród m.in. szefów Twittera, początkowo w formule bezgotówkowej, potem na zasadzie płacenia za wskazane luki. Lista prestiżowych klientów obejmuje dziś także firmy takie jak Adobe, Dropbox, Snapchat czy Yahoo. Każdy program jest indywidualnie uzgadniany z klientem, np. Dropbox w połowie kwietnia donosił, że dzięki 24 hakerom ujawniono 25 błędów, za które firma płaciła od 216 do 4913 dol. (choć nie ma górnego pułapu nagród). Nagrodę dostawał autor pierwszego zarejestrowanego doniesienia o luce. Z kolei ostatnia z wymienionych wyżej firm, odkąd koszulki z logo zamieniła na gotówkę, dostała informacje o niemal ośmiuset lukach w swoich systemach.
Rezultat? Na początku czerwca szefowie HackerOne mogli się pochwalić wykryciem – dzięki pośrednictwu swojej firmy – ponad 9 tys. błędów. Ponad 1400 hakerów otrzymało „podziękowania”, przeważnie w postaci nagród w wysokości od 100 do 20 tys. dol. W sumie uzbierało się około 3,07 mln dol., co z kolei oznaczałoby dla firmy zarobek 750 tys. dol. – bo pobiera 20-proc. prowizję od nagród. Z niewielkim wyjątkiem: do wiosny HackerOne „podziękowała” też ponad 50 hakerom, którzy wykryli błędy w jej własnych systemach; rekordzista dostał od holenderskiego start-upu 5 tys. dol., od których zapewne firma nie wzięła prowizji.
– Jeśli ktoś, gdzieś tam na świecie, posługuje się oprogramowaniem, wlepiają w niego oczy zarówno dobrzy, jak i źli faceci – tłumaczy obrazowo Katie Moussouris, niegdyś w Microsofcie, dziś w HackerOne. – Jeśli masz coś wartego ochrony, dane użytkowników, informacje finansowe, wcześniej czy później ktoś spróbuje po nie sięgnąć – dodaje. Powtarzana nieustannie przez menedżerów start-upu mantra robi też wrażenie na inwestorach. – W następnych latach każda firma będzie musiała coś takiego zrobić – skomentował system nagród dla hakerów jeden z szefów funduszu venture Benchmark Bill Gurley. Pod koniec maja jego firma zdecydowała się zainwestować 9 mln dol. w HackerOne. Gurley – a także John Hering, szef zajmującej się bezpieczeństwem smartfonów firmy Lookout Inc. – zasiądą też w zarządzie kalifornijskiego start-upu.
Na tej samej fali chcieliby popłynąć rywale HackerOne – firmy takie, jak Bugcrowd czy Synack. Model pierwszej z nich mógłby do złudzenia przypominać pomysł na życie twórców HackerOne, poza jednym detalem: firma pobiera od klientów nie prowizję, a roczną opłatę. Dziś obsługuje zarówno weteranów
biznesu (Western Union), jak i młode wilki (Pinterest). Z kolei Synack stawia na sprawdzonych hakerów – osoby, które wcześniej przeszły proces weryfikacji umiejętności, co ma w założeniu zapobiegać przypadkowym szkodom. Ten model też może się podobać. – Mamy to szczęście, że jesteśmy obecni w 32 rozmaitych krajach – komentował ekspansję firmy jej szef Jay Kaplan. Już w zeszłym roku zebrała ona od inwestorów 7,5 mln dol., na wiosnę udało jej się pozyskać dalsze 25 mln.
Przełamane bariery, rzucone kłody
Wbrew pozorom podbój rynku nie musi być wcale taki trudny. Szlaki przetarły hakerskie legendy lat 80. i 90. Kevin Mitnick w pierwszej połowie lat 90. udowadniał wszem i wobec, że jest sprytniejszy od specjalistów IT banków i sieci telefonicznych. Wpadł dopiero po zakrojonej na ogólnokrajową skalę obławie. Dziś prowadzi specjalizującą się w bezpieczeństwie sieciowym firmę, reklamującą szefa jako tego, który „wykrywa luki w systemach szybciej, niż robią to źli faceci”. Adam Botbyl odsiedział pięć lat w więzieniu, ale od 2010 r. prowadzi telekomunikacyjno-technologiczną firmę konsultingową Revolutionary Systems. Mark Abene jeszcze jako dzieciak włamał się do sieci Southwestern Bell, ale niemal natychmiast po tym, jak wyszedł na wolność, znaleźli go kadrowcy z Ernst & Young, zatrudniając w roli konsultanta. W ostatnich latach Abene „przeszedł na swoje” – założył w Kalifornii firmę TraceVector, specjalizującą się w bezpieczeństwie sieci komputerowych.
Nie gorzej radzi sobie Kevin Poulsen, który swego czasu potrafił się włamać do systemu sieci radiowej, by wygrać w antenowym konkursie porsche, wycieczkę na Hawaje czy nagrodę wysokości kilkudziesięciu tysięcy dolarów. Dziś jest współpracownikiem prestiżowego magazynu „Wired”. Robert Tappan Morris, który sparaliżował wirusem sieć szacownego Cornell University, dziś wykłada w Massachusetts Institute of Technology. Jest jeszcze Samy Kamkar – autor wirusa Samy, który dekadę temu „położył” serwis MySpace i około miliona komputerów na świecie. Kamkar odkupuje dziś grzechy, działając w organizacji Brave New Software (technologie dostępu do internetu dla społeczeństw, żyjących w państwach dyktatorskich). Inna sprawa, że przy okazji stworzył drona, który potrafi przejąć kontrolę nad innymi dronami w zasięgu sieci Wi-Fi, co „pozwala stworzyć armię dronów zombie”.
Do grona dawnych hakerów, dziś pozostających na usługach biznesu lub nauki, można by dorzucić grupę tych, którzy nigdy z przestępczością się nie kojarzyli: współtwórca koncernu Apple Steve Wozniak, twórca Linuxa Linus Torvalds czy „samuraj”, który przyczynił się do schwytania Mitnicka – Tsutomu Shimomura. Jeszcze inny przykład to zmarły dwa lata temu (zdaniem środowiska, w niejasnych okolicznościach) Barnaby Jack – gwiazda hakerskiego świata, ekspert, który na branżowych konferencjach potrafił tak zaczarować bankomaty, że wypluwały pliki banknotów, a jakby tego było mało, zapewniający, że jest w stanie zdalnie rozregulować pompę insulinową tak, by zabiła pacjenta. Wszyscy w swoim czasie, przynajmniej epizodycznie, zajmowali się łamaniem zabezpieczeń, choć nie wyciągali z tego korzyści. Dziś uchodzą za prekursorów środowiska „białych kapeluszy” – hakerów działających etycznie, niepowodujących szkód, niepopełniających przestępstw.
Zarówno ci pierwsi z wymienionych, jak i drudzy, przez lata skutecznie przełamywali psychologiczną barierę związaną ze współpracą pomiędzy biznesem a hakerami. Nawet jednak najlepszy haker z kryminalną przeszłością (jak Abene w Ernst & Young) czy „biały kapelusz” (jak zatrudniony przez Twittera Charlie Miller, wcześniej ekspert NSA) nie jest w stanie ogarnąć wszystkiego, co dzieje się w sieci. Co innego zbiorowa wiedza półtora tysiąca hakerów – a tylu zarejestrowanych jest na platformie HackerOne. I może do nich dołączyć każdy chętny, może z wyjątkiem tych, którzy nie skończyli jeszcze 13. roku życia. Oni muszą poprosić o zgodę rodziców.
Problem w tym, że rosnąca świadomość zagrożeń sieci komputerowych wcale nie ułatwia przedsiębiorcom takim, jak twórcy HackerOne, życia. Zgodnie z przedstawionym na początku tego roku przez administrację Baracka Obamy projektem zmian w Computer Fraud and Abuse Act karane byłyby wszystkie działania mające na celu ujawnianie luk w zabezpieczeniach, a także wiele innych zachowań w sieci – często jedynie pośrednio mających związek z hakerstwem.
Ba, mało tego. Biały Dom rozważa też zmiany w Porozumieniu Wassenaar, dotyczącym kontroli eksportu broni konwencjonalnej oraz dóbr i technologii podwójnego zastosowania. Układ obejmuje 41 krajów – w tym Polskę – i może doprowadzić do sytuacji, w której badacze będą musieli uzyskać zgodę rządu państwa sygnatariusza, zanim przekażą informację o potencjalnych lukach czy naruszeniach zagranicznej firmie. Innymi słowy, jeśli polski czy rosyjski haker znajdzie lukę w systemie Microsoftu, będzie musiał poprosić swój rząd o pozwolenie na podzielenie się swoją wiedzą z bezpośrednio zainteresowanymi. Paradoksalnie, ta kłoda padłaby przede wszystkim pod nogi „białych kapeluszy” – hakerzy z półświatka i tak znajdą sposób, by nowe zabezpieczenia ominąć.
HackerOne nie zatrudnia włamywaczy i nie oferuje specjalistycznego oprogramowania. Wypłaca nagrody tym, którzy znajdą luki w komputerowych systemach bezpieczeństwa