Despre RST, hacking, cracking și acces liber la informație
Scriu acest post cu mâhnire, dezamăgire și – de ce să nu recunosc – ceva scârbă, deopotrivă la adresa media și a comunității de security research din România. Tocmai mă uit pe PRO TV la reluarea știrii despre arestarea lui Mihai P (update: am eliminat numele complet pe 15.07.14 la cererea acestuia), carderul ridicat azi de joint-venture-ul FBI / DIICOT / SRI.
Pe scurt, pentru cei care au fost la serviciu sau care n-au avut chef de știri în seara asta, istoria e următoarea: câțiva băieți deștepți au spart remote calculatoare prin phishuit detinatori de carduri din Australia și State, au colectat informații despre cardurile de credit și apoi le-au vândut la terțe persoane, cauzând un prejudiciu de 250 de mii de coco. Povestea întreagă e (și) aici. Tangențial, băieții ridicați se dădeau pe RST, unde se lăudau cu faptele de vitejie.
Ziceam la începutul acestui articol că mi-e silă. Mi-e silă pe media pentru că au sărit din nou cu “hackerii de la RST”, când RST e – cum bine punctau câțiva membri RST – un forum, o comunitate deschisă care nu are o structură organizată. Nu e prima oară când presa confundă RST cu RNS (Romanian National Security) team, un grup de indivizi care, prin 2010, s-au apucat s-o facă pe haiducii digitali cu site-urile din străinătate care puneau românii într-o lumină nefavorabilă.
În același timp, mi-e la fel de scârbă despre ce se întâmplă în security research pe la noi. Sigur, există pasionați de tehnologie și de vulnerability research. Există oameni buni, care sparg site-uri pe rupte. Există oameni căutați de FBI, NSA și alte organizații din 3 litere. Dar asta e departe de security research – e cam exact opusul.
Andrei a încercat să explice pe blogul DefCamp cîteva chestii pe care le reiau și eu aici. E vorba despre linia subțire pe care fac unii echilibristică între dark side și ethical side. Am arătat mai sus că RST nu e un grup infracțional (nici măcar grup nu e) ci o comunitate de research în chestiuni de securitate. Bun, dar atunci de ce există – și de ce sunt tolerate - fire de discuție de genul acesta [normal că linkul nu merge acum, poate așteptați până vin serverele de la SRI, dacă mai vin]?
Ca fost manager de comunitate pe platforme web cu peste 5000 (cinci urmat de 3 de zero) de membri, pot să afirm cu tărie că nu am scăpat niciodată un fir de discuție în care se discută despre exploatare sau hacking. E clar că administratorii RST știau despre ce e vorba și au tolerat chestia asta. Din nou revenim la the “thin grey line” dintre security research și black hat hacking.
Cât despre security research, denumirea asta a devenit un termen-umbrelă pentru cam toți puștii de pe web-ul românesc care au descoperit xssed și Exploit-DB. Faptul că ai reușit să reproduci un exploit nu te îndreptățește să-l folosești, nici să-ți asumi titulatura de security researcher. Vorbesc despre acest lucru pentru că, incidental, mi-am petrecut ultimii cinci ani din viață ca security researcher cu acte la una din cele mai mari companii de antivirus din lume și știu cum se învârt treburile în sferele astea.
Trăim într-o vreme în care accesul la informație nu e numai liberalizat ci e aproape forțat în sinapsele omului de rând. Demonstrațiile de hacking și exploatare live care se fac la evenimente de securitate pentru oameni pe care NU îi cunoaștem (K), în care nu avem încredere(T) și pe care nu i-am mai văzut în viața (M) noastră sunt la limita iresponsabilității, chair dacă adevăratul scop al acestor manifestații este ridicarea gradului de conștientizare asupra pericolelor care s-ar putea abate asupra ta – utilizatorul de rând – fără ca tu măcar să-ți dai seama că ele se pot întâmpla.
Cu atât mai mult cu cât aceste evenimente sunt mediatizate, transmise live sau stream-ate pe net, ca să nu mai amintesc de tutorialele video pe care cei din audiență le fac și le postează pe Youtube folosind know-how-ul pe care l-au acumulat la respectiva conferință. În lipsa clasicului KMT de mai sus, salut intenția DefCamp de a introduce o taxă de participare la evenimentul de anul acesta – măcar faptul că evenimentul costă va mai cerne din participanți.
Nu mă înțelegeți greșit, nu am nimic cu pen-testerii și cu cercetărorii pe partea de securitate. Aceștia sunt rotițe esențiale într-un mecanism uriaș care contribuie enorm la dezvoltarea aplicațiilor și infrastructurilor de date din lume. Dar aceștia respectă un cod de conduită foarte bine pus la punct și au protocoale care îi împiedică să capitalizeze în orice fel cunoștiințele în posesia cărora au intrat.
În contrast, faptul că tu vezi un website și te gândești că poate e vulnerabil la un SQL inject fără să ai acordul celui care-l gestionează nu te face pen-tester, te face un infractor – fie că raportezi buba de pe site în mod privat sau că te lauzi pe RST cu ce-ai făcut tu.
Morala poveștii de azi e: nu confundați ethical hacking-ul cu infracțiunea informatică – luați legislația la puricat și – acolo unde legea lipseșete sau e ambiguă – folosiți bunul-simț.
Și mai ales, nu vă lăsați înșelați de poveștile care spun că oamenii vânați de FBI și NSA pentru infracțiuni informatice ajung consultanți de securitate pentru guvernele statelor din vestul civilizat. Cel mai probabil sfârșesc extrădați, într-o celulă de 12 pe 12 metri undeva la demisol, cu niște colegi deloc impresionați de arta hackingului.