Oto Michał i Mateusz. Są oficjalnie jednymi z najlepszych hakerów na świecie

Oto Michał i Mateusz. Są oficjalnie jednymi z najlepszych hakerów na świecie04.01.2019 10:45
Źródło zdjęć: © WP.PL | Bolesław Breczko

Maja 24 i 28 lat. Wg rankingu CTF time są jednymi z najlepszych hakerów na świecie. Ich wiedzę doceniły wyższe uczelnie, zlecając im naukę studentów, chociaż sami nie mieli wówczas wyższego wykształcenia. To Michał Kowalczyk z Dragon Sector i Mateusz Szymaniec z P4.

Michał Kowalczyk, lat 24. Jego zespół Dragon Sector znalazł się na 1. miejscu rankingu zawodów z bezpieczeństwa IT CTFtime. Mateusz Szymaniec, lat 28 Zespół P4, którego jest współzałożycielem zajął 3 miejsce rankingu.

Bolesław Breczko, WP Tech: Myślicie czasem o sobie, tak w ciągu dnia, że jesteście jednymi z najlepszych hakerów na świecie?
Michał Kowalczyk: Raczej nie. Wielu ekspertów nie bierze udziału w zawodach typu CTF. Poza tym tego nie można tak po prostu porównać, bo wiele osób zajmuje się tylko swoimi wąskimi działkami.

Czy wasza sława wychodzi poza branżę security? Chwalicie się swoimi osiągnięciami?
Mateusz Szymaniec: W tej branży nie musimy się "reklamować". Wieści szybko same się w niej rozchodzą, ale najlepsi są też raczej dość skromni.

Można w ogóle powiedzieć, że wy jesteście hakerami? Na zawodach musicie tak samo się bronić jak i atakować.
MS: Zawodowo raczej się nie włamuję tylko bronię.

Polscy hakerzy najlepsi na świecie

Ale żeby skutecznie się bronić musisz też wiedzieć, jak atakować.
MS: Oczywiście, że tak. W zasadzie to zestaw umiejętności i cech jest bardzo podobny niezależnie od tego, co się robi - czy to w pracy związanej z IT security, czy podczas zawodów typu CTF.

MK: "Rev" [pseudonim Szymańca – przyp. red.] w pracy w NASKu zajmuje się rzeczywiście częściej obroną, ale mi zdarza się dostawać zlecenia od firm na sprawdzenie zabezpieczeń ich systemów, tak zwane testy penetracyjne.

Jak w ogóle wyglądają takie zawody? Ja skrót CTF (Capture the Flag, czyli "zdobądź flagę") kojarzę przede wszystkim z gier komputerowych. Czym w tym wypadku jest tytułowa flaga?
MS: W najpopularniejszym wariancie zawodów CTF, czyli “jeopardy”, flaga to krótki kawałek tekstu do zdobycia w każdym z zadań, potwierdzający jego wykonanie. Następnie flagę można na platformie konkursowej wymienić na punkty dla swojej drużyny. Zadań jest najczęściej od kilkunastu do kilkudziesięciu, o zróżnicowanym poziomie trudności i w jednej z kilku kategorii: inżynierii wstecznej oprogramowania, wykorzystywania podatności aplikacji i stron internetowych czy kryptografii.

Czyli robicie dokładnie to, co robiłby haker włamujący się do systemu?
MS: Tak. Tylko, że legalnie.

MK: W drugim najpopularniejszym trybie, czyli attack-defense, dochodzi jeszcze obrona. Wygląda to następująco: każda drużyna dostaje kopię infrastruktury z serwerem, na którym działają aplikacje przygotowane przez organizatorów. Na początku muszą sprawdzić, z czym mają do czynienia i jakie luki bezpieczeństwa posiadają aplikacje, a następnie załatać je i jednocześnie atakować przeciwników.

I jak to wygląda? Siedzicie przy stole z laptopami, nagle ktoś krzyczy "Mamy kreta!" i zaczyna się gorączkowe walenie w klawiaturę?
MS: Nic z tych rzeczy. Czasem nawet nie da się zauważyć, że ktoś cię atakuje.

MK: To jest zresztą jedna z najważniejszych rzeczy - zakamuflować swój atak. Bo jeśli przeciwna drużyna zobaczy, z jakiej podatności korzystasz, to po pierwsze, sama ją załata, a po drugie, przeprowadzi atak w ten sam sposób.

Jesteście kapitanami dwóch różnych drużyn. Czy to znaczy, że na zawodach atakujecie także siebie nawzajem?
MK: Oczywiście! Atakujemy wszystkich.

MS: Ale poza zawodami stosunki pomiędzy naszymi zespołami są przyjacielskie.

A atakujecie czasem samych organizatorów? Tak dla zabawy albo treningu?
MS: My nie, bo to niezgodne z zasadami zawodów. Ale są drużyny, które "bawią się" w ten sposób.

Kto organizuje takie zawody? Czy macie wstęp na wszystkie, czy są jeszcze jakieś, które nawet dla was są nieosiągalne?
MS: Raczej już na wszystkie jesteśmy w stanie się zakwalifikować albo otrzymujemy zaproszenia. Jednymi z najciekawszych są zawody “HITCON” współorganizowane przez władze Tajwanu. Ten kraj ma bardzo duże ciśnienie na szkolenie specjalistów, bo cały czas wisi nad nimi zagrożenie ze strony kontynentalnych Chin. Na HITCON-ie dwa lata temu nawet sam premier Tajwanu pojawił się z przemówieniem.

MK: No i zawsze ciekawe są CTF-y w Chinach jak np. Real World CTF czy 0CTF. Chińczycy są niezwykle mocni, a do tego dają dobre nagrody [ponad 70 tys. PLN za pierwsze miejsce na 0CTF, które w 2018 zdobył Dragon Sector – przyp. red].

Wspomnieliście o Chinach. Nieoficjalnie wiadomo, że mają całe armie hakerów na usługach rządu. Podobnie jak Stany Zjednoczone, Rosja czy Korea Północna. Którychś z nich powinniśmy się obawiać?
MS: Tak.

Których?
MS: Wszystkich.

MK: Wszystkie duże państwa mają takie "oddziały".

Rosyjscy hakerzy atakują. MSZ powstrzymuje atak

A my mamy?
MK: My chyba nie jesteśmy na tyle dużym państwem.

MS: Ale są instytucje, które mogą dbać o bezpieczeństwo też w taki sposób.

Waszym zdaniem, jak duża jest skala działań tych rządowych grup hakerskich na świecie?
MS: To zależy od kraju. Duże państwa, takie jak Rosja, mają wiele grup, zwyczajowo oznaczanych jako APT - Advanced Persistent Threat, czyli stałe, zaawansowane zagrożenie.

MK: Czasem działają nawet niezależnie od siebie.

MS: Na przykład podczas słynnego włamania do Krajowego Komitetu Partii Demokratycznej USA podczas ostatnich wyborów prezydenckich, w tym samym momencie na ich serwerach działały grupy APT, zarówno rosyjskiego wywiadu wojskowego, jak i cywilnego. Najprawdopodobniej nie wiedziały nawzajem o swoich działaniach.

MK: Jednostki jak właśnie CERT analizują działania i ataki takich APT.

MS: Ale o naszych analizach mówić nie mogę.

Zejdźmy teraz z poziomu wojny państw do zagrożeń czyhających na zwykłego użytkownika. Jakie są najpopularniejsze?
MS: Niestety ludzie są bardzo naiwni i takie problemy, jak klikanie we wszystkie linki czy uruchamianie złośliwych załączników, to wciąż jedne z największych zagrożeń.

MK: Przestępcy potrafią nawet napisać w mailu, żeby przed otworzeniem pliku wyłączyć antywirusa i ludzie to robią.

MS: Natomiast ostatnio bardzo popularne stało się oszustwo na fałszywe sklepy internetowe.

Idą święta a wraz z nimi kolejne oszustwa. Na co powinniśmy szczególnie uważać?

Jak wygląda ścieżka kariery w branży security? Ile macie lat i ile się tym zajmujecie?
MK: Ja mam 24, a zacząłem w wieku 13 lat.

MS: Ja mam 28 i zacząłem 5 lat temu od CTF-ów, ale wcześniej byłem programistą.

Kończyliście studia w tym kierunku?
MK: Ja mam licencjat z informatyki. Nie chciało mi się już robić magisterki.

MS: Ja zacząłem licencjat, ale w trakcie sobie odpuściłem.

Czyli nawet nie masz wyższego wykształcenia?
MS: Nie, ale za to sami uczyliśmy innych na Uniwersytecie Warszawskim i Politechnice Warszawskiej.

W wieku dwudziestuparu lat, bez wykształcenia wyższego, prowadziliscie zajęcia na wyższej uczelni?
MK: Nie jako etatowi pracownicy, ale zaproszeni oficjalnie jako goście w roli ekspertów w konkretnych dziedzinach bezpieczeństwa IT.

Czyli wykształcenie nie jest potrzebne w tym zawodzie.
MS: Na pewno nie przeszkodzi, ale najważniejsze są wciąż umiejętności. Zwłaszcza, że kierunku “cyberbezpieczeństwo” z prawdziwego zdarzenia jeszcze w Polsce nie ma.

To jak się w ogóle nauczyliście swojego fachu?
MK: Pani na informatyce pokazała nam Turbo Pascala i to mnie zaciekawiło. Potem odkryłem strony typu hackme, na których można legalnie ćwiczyć swoje umiejętności z bezpieczeństwa IT. Dalej jakoś potoczyło się samo.

MS: Ja programować zacząłem od Logo Komeniusza na kółku informatyki w 6 klasie podstawówki, a bezpieczeństwa uczyłem się już dużo później, na YouTubie z filmów Gynvaela Coldwinda, czyli ówczesnego kapitana Dragon Sector.

Dlaczego w Polsce tak słabo z edukacją w kierunku cyberbezpieczeństwa?
MS: Nie ma przede wszystkim kadr i dobrego pomysłu.

MK: Oraz wsparcia ze strony władz uczelni.

MS: Coś zaczyna powstawać, ale to i tak zdecydowanie za późno, bo te najbardziej liczące się kraje mają je od lat. Zresztą ciężko mówić o poziomie, jaki będą miały te kierunki w Polsce. Na pewno w nazwie będą mieć "cyberbezpieczeństwo".

Na koniec obalcie albo potwierdźcie kilka mitów o hakerach z filmów. Czy pracujecie głównie na mało popularnych systemach operacyjnych dystrybucjach Linuksa?
MK: Zależy na którym laptopie. Na Linuksie programuję, na Windowsie gram i oglądam filmy.

MS: Ja używam Windowsa i Linuksa po równo. Większość złośliwego oprogramowania jest tworzona na Windows, więc do przeprowadzania analiz też trzeba go używać.

MK: Ale w naszym teamie zdecydowanie przeważa Linux. Chyba tylko 4 osoby na 17 pracują na Windowsie.

Czy komunikujecie się przez tajne fora i czaty, do których dostęp jest tylko przez sieć TOR?
MS: Aż tak do brania udziału w CTF-ach zabezpieczać się nie trzeba.

Czy korzystacie z szyfrowanych aplikacji do SMS-ów jak Signal albo ProtonMaila, szyfrowanej skrzynki emailowej?
MK: Z Signala tak, ale z ProtonMaila raczej nie. Korzystamy za to z szyfrowania maili (PGP).

Czy regularnie formatujecie dyski i niszczycie osobisty sprzęt komputerowy?
MK: Aż tak nie, ale co jakiś czas wymieniam cały system i wszystkie hasła.

MS: Ja aż tak paranoiczny nie jestem, ale zawsze warto trzymać się podstawowych zasad bezpieczeństwa.

Czy wszystkie wasze hasła składają się wyłącznie z przypadkowych liter i znaków?
MK: Tak, ale ja korzystam z menedżera haseł (KeePass), który mi je tworzy i zapamiętuje.

MS: W moim przypadku jest identycznie.

A co powiecie o menedżerze haseł Google? To chyba jeden z popularniejszych.
MS: Jeśli chodzi o duże firmy, to jestem zdania, że Google ma najlepszych specjalistów od bezpieczeństwa IT. Wielu członków naszych zespołów, to właśnie pracownicy Google'a i mam duże zaufanie do ich umiejętności.

MK: Zgadzam się. Jedyna obawa to to, że podajesz Google'owi jeszcze więcej swoich informacji.

W przyszłym roku też będziecie walczyć o podium w CTF-ach?
MK: Po sześciu latach już trochę jesteśmy zmęczeni, ale będziemy próbować.

MS: Czasem też miewamy problemy z motywacją, ale jeszcze będziemy walczyć.

Źródło zdjęć: © WP.PL | Bolesław Breczko
Źródło zdjęć: © WP.PL | Bolesław Breczko

Autor z "najlepszymi hakerami na świecie"

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA