Hekerji, krekerji ali zgolj kriminalci?
Že o računalnikarjih krožijo v javnosti zelo popačene podobe, še slabše pa je poznavanje hekanja. K temu ne pripomore dejstvo, da termina ni ne v slovenski zakonodaji ne v standardnih slovenskih slovarjih. Če dodamo še vrsto sorodnih pojmov, kot so na primer krekerji, je zmeda popolna. Kaj sploh je hekanje in kdo so hekerji? So to dobri ali slabi fantje in dekleta? In zakaj so nekateri aktivisti?
Besedo heker najdemo celo v dveh slovenskih slovarjih. Najnovejša inačica SSKJ označuje, da je heker oseba: 1. ki vdira v tuje računalniške sisteme in 2. ki z navdušenjem spreminja programsko opremo. V Slovenskem pravopisu pa je heker v slovarskem delu opisan zgolj kot žargonski izraz za računalniškega navdušenca. V pogovornem jeziku nestrokovnjakov z besedo heker največkrat poimenujemo zlonamerne napadalce, ki vdirajo v računalniške sisteme z namenom povzročanja škode. A ni bilo vedno tako.
Izraz heker izvira iz angleščine (hacker). V 60. letih so ga popularizirali študentje na ameriški univerzi MIT, ki so se ukvarjali z računalništvom. Prvikrat se je v modernem smislu pojavil že v zapisniku sestanka aprila 1955. Prvotni pomen je obsegal delo pri tehničnem problemu, običajno zunaj običajnih postopkov ali navodil. Ko se je izraz začel širiti, je kmalu označeval zelo spretne posameznike, ki so obvladali računalniške jezike, denimo Fortran ali zbirnik. V začetku sta bila izraza heker in hekati vsaj nevtralna, če že ne pozitivna. Še danes izraz hek na MIT pomeni domiselno, izvirno in tehnično dovršeno potegavščino, ki sodi med tradicijo in nima povezave z računalništvom. Primeri so kosi pohištva na strehi kakšne eminentne zgradbe, poustvaritev kakšne računalniške igre v realnem svetu itd.
Heki na MIT
Na slavnem Massachusetts Institute of Technology , kjer so besedo heker popularizirali in prinesli v širšo zavest, so heki del kulture. Gre za praktične potegavščine, s katerimi dodiplomski študentje pokažejo svoje sposobnosti, inteligentnost in praktičnost. Dolga desetletja je uradni muzej MIT imel tudi sobano hekov, kjer so predstavljali najboljše.
Znameniti heki vključujejo premik policijskega avtomobila na streho glavne stavbe kampusa, »preobleko« te stavbe v gigantskega robota R2-D2, postavitev replike Wrightovega letala v naravni velikosti, postavitev obrnjene (viseče) sobe s pohištvom pod zunanji obok stavbe in še številne druge potegavščine. Na spletni strani hacks.mit.edu natančno dokumentirajo vsakoletne heke.
Aprila 2010 so študentje na MIT postavili na glavo obrnjeno dnevno sobo. Slika: Andrew Whitacre
V računalniškem slovarju The Jargon File iz leta 1975 pa ima beseda heker že osem pomenov, med katerimi je prvih sedem pozitivnih. Le zadnjih pomen opisuje človeka, ki poskuša odkriti občutljive informacije z nepooblaščenim brskanjem. Ob zapisu je opomba, da se takemu človeku pravilno pravi kreker (cracker). Več o moderni terminologiji pa v okvirju.
Prvotni hekerji so se lotevali telefonskih omrežjih, kjer je bil cilj opravljati medkrajevne klice brezplačno, za ceno lokalnih ali pa stroške prevaliti na drugo organizacijo. Zanje se je razvil izraz phreakers in označuje subkulturo ljudi, ki raziskujejo, eksperimentirajo in vdirajo v telefonske sisteme. V preteklosti so, na primer, z vzvratnim inženiringom ugotovili tonske sisteme central in preusmerjali klice tako, da so medkrajevno klicali za celo lokalnih klicev. Ko so uvedli digitalne računalniške sisteme, so phreakerji hitro ostali brez prvotnega posla. Hekerji so se preusmerili na računalnike.
Računalniški kriminal
Hekerje povezujemo z računalniškim kriminalom, ki je prerasel nekdanje romantično in neškodljivo vdiranje v državne, vojaške ali univerzitetne sisteme. To je precej netočno, saj le manjši del svoje znanje izrablja za povzročanje škode, je pa računalniški kriminal danes postal zelo razširjen in raznolik, v nekaterih primeri pa sploh ne uporablja hekerskih znanj. Socialni inženiring izkorišča dejstvo, da je pogosto najšibkejši varnostni člen. Ljudje si gesla zapisujejo na liste papirje, občutljive dokumente z osebnimi podatki nezaščiteno mečejo v smeti in verjamejo elektronskim sporočilom ter na lažnih spletnih straneh vpisujejo svoja gesla.
Tekmovanja
Hekerji, vsaj tisti s srcem na pravi strani, se udeležujejo tekmovanj, med katerimi je najbolj znani Pwn2Own, ki od leta 2007 poteka v Vancouvru ob robu konference CanSecWest. Prireditelji vsako leto razpišejo programsko in strojno opremo, v kateri bodo hekerji iskali ranljivosti, ter nagrade, ki jih prispevajo pokrovitelji.
Hekerske skupine več mesecev pred dogodkom začno iskati ranljivosti in pripravljati napade, potem pa imajo na tekmovanju nekaj časa (običajno pol ure), da demonstrirajo vdor v tekmovalno napravo. Vrstni red nastopa žrebajo in tisti, ki mu prvemu uspe vdreti, dobi nagrado v višini nekaj tisoč dolarjev (odvisno od resnosti ranljivosti), v zameno pa mora ranljivost podrobno razkriti proizvajalcu. Tekmovalci se pogosto pridušajo, da so nagrade bistveno premajhne, da bi se jim izplačalo razkriti najhujše luknje, saj lahko na sivem trgu zanje iztržijo bistveno več, o čemer pišemo v sosednjem članku.
Zmagovalci lanskega Pwn2Own: Georgi Geshev, Fabi Beterke, Niklas Baumstark, Samuel Groß, Richard Zhu, Alex Plaskett. Slika: Zero Day Initiative.
Med računalniški kriminal danes sodijo kraje identitete, razkrivanje osebnih podatkov, nezakonito širjenje avtorskih del (programska oprema, glasba, filmi …), zloraba plačilnih kartic, vdiranje v elektronsko bančništvo, napadi DDoS, pošiljanje spama, hekanje bankomatov, izsiljevalski napadi s šifriranjem programske opreme, prisluškovanje in vohunjenje, uničevanje strojne opreme (prepisovanje firmwara), širjenje neresničnih informacij in lažnih novic itd.
Nekateri zlonamerni hekerji delujejo samostojno, drugi se povezujejo v bolj ali manj tesne hudodelske združbe, tretji pa delajo za vojsko in državne agencije. ZDA, Kitajska, Rusija, Južna in Severna Koreja so znane po tem, da imajo v svojih oboroženih silah organizirane hekerske oddelke. Ti se ukvarjajo s krajo informacij, prisluškovanjem, sabotažami in z onesposabljanjem konkurenčne opreme. Prvi nas je na to opozoril virus Stuxnet za sabotažo iranskih centrifug za bogatenje urana, ki je bil delo izraelskih in ameriških hekerjev. Desetletje pozneje je dejstvo, da imajo najboljše hekerje, največ opreme in največ denarja ravno države, postalo samoumevno.
Dobre plati
Kakor je koristno, da znajo ključavničarji vlomiti ali gasilci sneti vrata, tako so tudi veščine hekerjev lahko koristne. Dobra varnostna praksa je, da se pred komercialnim zagonom občutljivega sistema, ki mora biti čim bolj odporen proti manipulacijam in kjer so lahko njihove posledice hude, v sistem namenoma poskusi vdreti. Švicarji nameravajo letos prvikrat na zveznih volitvah glasovati elektronsko, zato so razviti sistem postavili na ogled in k napadu povabili hekerje. Kodo, ki poganja sistem, so javno odprli, potem pa ponudili za 150.000 švicarskih frankov nagrad. Mesec dni pozneje je bilo že jasno, da je koda precej luknjičasta. Neodvisni raziskovalci so odkrili, da bi bilo mogoče spreminjati glasove, ne da bi za tem ostajala sled. Švicarska pošta, ki je sistem naročila pri španskem podjetju Scytl, je dejala, da gre za starejšo ranljivost, ki pa jo zaradi napake v popravku še niso odpravili. Švicarska vlada se je odzvala z izjavo, da sistem še ne izpolnjuje pogojev za uporabo. Ni še jasno, ali bodo jeseni Švicarji glasovali elektronsko ali ne.
Poleg hekerskih tekmovanj in odprtih akcij iskanja ranljivosti imajo številni proizvajalci programske opreme stalno odprte razpise (bug bounty), s katerimi nagrajujejo vse odkrite in odgovorno prijavljene ranljivosti v svoji programski opremi. Podjetja so pač ugotovila, da je to ceneje kakor redno zaposlovati kopico hekerjev, ki bi bdeli nad kodo. In etični hekerji, ki so zaposleni v podjetjih, se običajno raje poimenujejo varnostni strokovnjaki, sistemski inženirji, omrežni administratorji, arhitekti omrežji in podobno. Kot na ostalih področjih IT je tudi tu pomembneje, kaj znaš, kot pa, kako se imenuješ.
Največje združenje hekerjev je evropski Chaos Computer Club (CCC), ki je registriran v Nemčiji, ima pa več kot 7.700 članov iz nemško govorečega dela Evrope. CCC se zavzema za več transparentnosti, prost dostop do informacij, pravico do komuniciranja, uporabo odprte kode, univerzalen dostop do računalnikov in etično hekanje. Gre za eno najpomembnejših in najvplivnejših organizacij, ki organizira dogodke in konference s področja varnosti, pripravlja tožbe in kampanje, večkrat nastopa kot strokovni izvedenec na nemških sodiščih ipd. Vsakoletni Chaos Communication Congress je največje srečanje hekerjev oziroma varnostnih strokovnjakov v Evropi.
Etični hekerji so pomemben steber računalniške varnosti, ki imajo tudi svoj kodeks, o čemer pišemo v sosednjem članku. Njihovo gibanje pa prerašča okvire zgolj računalniške varnosti in se zavzema za širok spekter pravic ter transparentnosti, ki so povezane z dandanašnjim digitalnim svetom. Boj za odprto programsko opremo, spoštovanje standardov, dobre prakse programiranja in varnostnega projektiranja je pomembnejši kot kadarkoli.
Hekerski leksikon
Hekerji (hacker) so posamezniki, ki iščejo in uporabljajo ranljivosti v računalniških sistemih ali omrežjih, da dobijo dostop do njih. Običajno so to zelo usposobljeni posamezniki. Delijo se na dobre in slabe fante (in dekleta).
Etični hekerji (white hacks) po pisnem naročilu lastnikov sistemov poskušajo vdreti vanje, da bi našli ranljivosti, ki jih potem lastnik zakrpa.
Kreker (cracker) so hekerji, ki uporabljajo svoje sposobnosti za nezakonit dostop in za lastno korist, denimo za krajo podatkov, denarja itd.
Script kiddie je slabšalni izraz za zlonamerne hekerje, ki nimajo znanja, temveč uporabljajo zgolj že pripravljena orodja, ne da bi razumeli njihovo delovanje.
Hektivisti (hacktivist) so hekerji, ki vdirajo, da bi svetu predstavili sporočilo. Običajno vdirajo v spletne strani in širijo družbene, politične ali verske nazore.
Phreakerji, ki so bili nekoč bistveno bolj razširjeni kakor danes, izkoriščajo varnostne luknje v telefonskih sistemih.