Oto Michał i Mateusz. Są oficjalnie jednymi z najlepszych hakerów na świecie
Maja 24 i 28 lat. Wg rankingu CTF time są jednymi z najlepszych hakerów na świecie. Ich wiedzę doceniły wyższe uczelnie, zlecając im naukę studentów, chociaż sami nie mieli wówczas wyższego wykształcenia. To Michał Kowalczyk z Dragon Sector i Mateusz Szymaniec z P4.
Michał Kowalczyk, lat 24. Jego zespół Dragon Sector znalazł się na 1. miejscu rankingu zawodów z bezpieczeństwa IT CTFtime. Mateusz Szymaniec, lat 28 Zespół P4, którego jest współzałożycielem zajął 3 miejsce rankingu.
Bolesław Breczko, WP Tech: Myślicie czasem o sobie, tak w ciągu dnia, że jesteście jednymi z najlepszych hakerów na świecie?
Michał Kowalczyk: Raczej nie. Wielu ekspertów nie bierze udziału w zawodach typu CTF. Poza tym tego nie można tak po prostu porównać, bo wiele osób zajmuje się tylko swoimi wąskimi działkami.
Czy wasza sława wychodzi poza branżę security? Chwalicie się swoimi osiągnięciami?
Mateusz Szymaniec: W tej branży nie musimy się "reklamować". Wieści szybko same się w niej rozchodzą, ale najlepsi są też raczej dość skromni.
Można w ogóle powiedzieć, że wy jesteście hakerami? Na zawodach musicie tak samo się bronić jak i atakować.
MS: Zawodowo raczej się nie włamuję tylko bronię.
Ale żeby skutecznie się bronić musisz też wiedzieć, jak atakować.
MS: Oczywiście, że tak. W zasadzie to zestaw umiejętności i cech jest bardzo podobny niezależnie od tego, co się robi - czy to w pracy związanej z IT security, czy podczas zawodów typu CTF.
MK: "Rev" [pseudonim Szymańca – przyp. red.] w pracy w NASKu zajmuje się rzeczywiście częściej obroną, ale mi zdarza się dostawać zlecenia od firm na sprawdzenie zabezpieczeń ich systemów, tak zwane testy penetracyjne.
Jak w ogóle wyglądają takie zawody? Ja skrót CTF (Capture the Flag, czyli "zdobądź flagę") kojarzę przede wszystkim z gier komputerowych. Czym w tym wypadku jest tytułowa flaga?
MS: W najpopularniejszym wariancie zawodów CTF, czyli “jeopardy”, flaga to krótki kawałek tekstu do zdobycia w każdym z zadań, potwierdzający jego wykonanie. Następnie flagę można na platformie konkursowej wymienić na punkty dla swojej drużyny. Zadań jest najczęściej od kilkunastu do kilkudziesięciu, o zróżnicowanym poziomie trudności i w jednej z kilku kategorii: inżynierii wstecznej oprogramowania, wykorzystywania podatności aplikacji i stron internetowych czy kryptografii.
Czyli robicie dokładnie to, co robiłby haker włamujący się do systemu?
MS: Tak. Tylko, że legalnie.
MK: W drugim najpopularniejszym trybie, czyli attack-defense, dochodzi jeszcze obrona. Wygląda to następująco: każda drużyna dostaje kopię infrastruktury z serwerem, na którym działają aplikacje przygotowane przez organizatorów. Na początku muszą sprawdzić, z czym mają do czynienia i jakie luki bezpieczeństwa posiadają aplikacje, a następnie załatać je i jednocześnie atakować przeciwników.
I jak to wygląda? Siedzicie przy stole z laptopami, nagle ktoś krzyczy "Mamy kreta!" i zaczyna się gorączkowe walenie w klawiaturę?
MS: Nic z tych rzeczy. Czasem nawet nie da się zauważyć, że ktoś cię atakuje.
MK: To jest zresztą jedna z najważniejszych rzeczy - zakamuflować swój atak. Bo jeśli przeciwna drużyna zobaczy, z jakiej podatności korzystasz, to po pierwsze, sama ją załata, a po drugie, przeprowadzi atak w ten sam sposób.
Jesteście kapitanami dwóch różnych drużyn. Czy to znaczy, że na zawodach atakujecie także siebie nawzajem?
MK: Oczywiście! Atakujemy wszystkich.
MS: Ale poza zawodami stosunki pomiędzy naszymi zespołami są przyjacielskie.
A atakujecie czasem samych organizatorów? Tak dla zabawy albo treningu?
MS: My nie, bo to niezgodne z zasadami zawodów. Ale są drużyny, które "bawią się" w ten sposób.
Kto organizuje takie zawody? Czy macie wstęp na wszystkie, czy są jeszcze jakieś, które nawet dla was są nieosiągalne?
MS: Raczej już na wszystkie jesteśmy w stanie się zakwalifikować albo otrzymujemy zaproszenia. Jednymi z najciekawszych są zawody “HITCON” współorganizowane przez władze Tajwanu. Ten kraj ma bardzo duże ciśnienie na szkolenie specjalistów, bo cały czas wisi nad nimi zagrożenie ze strony kontynentalnych Chin. Na HITCON-ie dwa lata temu nawet sam premier Tajwanu pojawił się z przemówieniem.
MK: No i zawsze ciekawe są CTF-y w Chinach jak np. Real World CTF czy 0CTF. Chińczycy są niezwykle mocni, a do tego dają dobre nagrody [ponad 70 tys. PLN za pierwsze miejsce na 0CTF, które w 2018 zdobył Dragon Sector – przyp. red].
Wspomnieliście o Chinach. Nieoficjalnie wiadomo, że mają całe armie hakerów na usługach rządu. Podobnie jak Stany Zjednoczone, Rosja czy Korea Północna. Którychś z nich powinniśmy się obawiać?
MS: Tak.
Których?
MS: Wszystkich.
MK: Wszystkie duże państwa mają takie "oddziały".
A my mamy?
MK: My chyba nie jesteśmy na tyle dużym państwem.
MS: Ale są instytucje, które mogą dbać o bezpieczeństwo też w taki sposób.
Waszym zdaniem, jak duża jest skala działań tych rządowych grup hakerskich na świecie?
MS: To zależy od kraju. Duże państwa, takie jak Rosja, mają wiele grup, zwyczajowo oznaczanych jako APT - Advanced Persistent Threat, czyli stałe, zaawansowane zagrożenie.
MK: Czasem działają nawet niezależnie od siebie.
MS: Na przykład podczas słynnego włamania do Krajowego Komitetu Partii Demokratycznej USA podczas ostatnich wyborów prezydenckich, w tym samym momencie na ich serwerach działały grupy APT, zarówno rosyjskiego wywiadu wojskowego, jak i cywilnego. Najprawdopodobniej nie wiedziały nawzajem o swoich działaniach.
MK: Jednostki jak właśnie CERT analizują działania i ataki takich APT.
MS: Ale o naszych analizach mówić nie mogę.
Zejdźmy teraz z poziomu wojny państw do zagrożeń czyhających na zwykłego użytkownika. Jakie są najpopularniejsze?
MS: Niestety ludzie są bardzo naiwni i takie problemy, jak klikanie we wszystkie linki czy uruchamianie złośliwych załączników, to wciąż jedne z największych zagrożeń.
MK: Przestępcy potrafią nawet napisać w mailu, żeby przed otworzeniem pliku wyłączyć antywirusa i ludzie to robią.
MS: Natomiast ostatnio bardzo popularne stało się oszustwo na fałszywe sklepy internetowe.
Jak wygląda ścieżka kariery w branży security? Ile macie lat i ile się tym zajmujecie?
MK: Ja mam 24, a zacząłem w wieku 13 lat.
MS: Ja mam 28 i zacząłem 5 lat temu od CTF-ów, ale wcześniej byłem programistą.
Kończyliście studia w tym kierunku?
MK: Ja mam licencjat z informatyki. Nie chciało mi się już robić magisterki.
MS: Ja zacząłem licencjat, ale w trakcie sobie odpuściłem.
Czyli nawet nie masz wyższego wykształcenia?
MS: Nie, ale za to sami uczyliśmy innych na Uniwersytecie Warszawskim i Politechnice Warszawskiej.
W wieku dwudziestuparu lat, bez wykształcenia wyższego, prowadziliscie zajęcia na wyższej uczelni?
MK: Nie jako etatowi pracownicy, ale zaproszeni oficjalnie jako goście w roli ekspertów w konkretnych dziedzinach bezpieczeństwa IT.
Czyli wykształcenie nie jest potrzebne w tym zawodzie.
MS: Na pewno nie przeszkodzi, ale najważniejsze są wciąż umiejętności. Zwłaszcza, że kierunku “cyberbezpieczeństwo” z prawdziwego zdarzenia jeszcze w Polsce nie ma.
To jak się w ogóle nauczyliście swojego fachu?
MK: Pani na informatyce pokazała nam Turbo Pascala i to mnie zaciekawiło. Potem odkryłem strony typu hackme, na których można legalnie ćwiczyć swoje umiejętności z bezpieczeństwa IT. Dalej jakoś potoczyło się samo.
MS: Ja programować zacząłem od Logo Komeniusza na kółku informatyki w 6 klasie podstawówki, a bezpieczeństwa uczyłem się już dużo później, na YouTubie z filmów Gynvaela Coldwinda, czyli ówczesnego kapitana Dragon Sector.
Dlaczego w Polsce tak słabo z edukacją w kierunku cyberbezpieczeństwa?
MS: Nie ma przede wszystkim kadr i dobrego pomysłu.
MK: Oraz wsparcia ze strony władz uczelni.
MS: Coś zaczyna powstawać, ale to i tak zdecydowanie za późno, bo te najbardziej liczące się kraje mają je od lat. Zresztą ciężko mówić o poziomie, jaki będą miały te kierunki w Polsce. Na pewno w nazwie będą mieć "cyberbezpieczeństwo".
Na koniec obalcie albo potwierdźcie kilka mitów o hakerach z filmów. Czy pracujecie głównie na mało popularnych systemach operacyjnych dystrybucjach Linuksa?
MK: Zależy na którym laptopie. Na Linuksie programuję, na Windowsie gram i oglądam filmy.
MS: Ja używam Windowsa i Linuksa po równo. Większość złośliwego oprogramowania jest tworzona na Windows, więc do przeprowadzania analiz też trzeba go używać.
MK: Ale w naszym teamie zdecydowanie przeważa Linux. Chyba tylko 4 osoby na 17 pracują na Windowsie.
Czy komunikujecie się przez tajne fora i czaty, do których dostęp jest tylko przez sieć TOR?
MS: Aż tak do brania udziału w CTF-ach zabezpieczać się nie trzeba.
Czy korzystacie z szyfrowanych aplikacji do SMS-ów jak Signal albo ProtonMaila, szyfrowanej skrzynki emailowej?
MK: Z Signala tak, ale z ProtonMaila raczej nie. Korzystamy za to z szyfrowania maili (PGP).
Czy regularnie formatujecie dyski i niszczycie osobisty sprzęt komputerowy?
MK: Aż tak nie, ale co jakiś czas wymieniam cały system i wszystkie hasła.
MS: Ja aż tak paranoiczny nie jestem, ale zawsze warto trzymać się podstawowych zasad bezpieczeństwa.
Czy wszystkie wasze hasła składają się wyłącznie z przypadkowych liter i znaków?
MK: Tak, ale ja korzystam z menedżera haseł (KeePass), który mi je tworzy i zapamiętuje.
MS: W moim przypadku jest identycznie.
A co powiecie o menedżerze haseł Google? To chyba jeden z popularniejszych.
MS: Jeśli chodzi o duże firmy, to jestem zdania, że Google ma najlepszych specjalistów od bezpieczeństwa IT. Wielu członków naszych zespołów, to właśnie pracownicy Google'a i mam duże zaufanie do ich umiejętności.
MK: Zgadzam się. Jedyna obawa to to, że podajesz Google'owi jeszcze więcej swoich informacji.
W przyszłym roku też będziecie walczyć o podium w CTF-ach?
MK: Po sześciu latach już trochę jesteśmy zmęczeni, ale będziemy próbować.
MS: Czasem też miewamy problemy z motywacją, ale jeszcze będziemy walczyć.
Autor z "najlepszymi hakerami na świecie"