Wywiad z hackerem

30-01-2006, 10:20

Lcamtuf, czyli Michał Zalewski, to postać dobrze znana w polskim Internecie. Przez kilka lat swojej działalności na polu bezpieczeństwa sieciowego udało mu się znaleźć wiele luk w ogólnodostępnym oprogramowaniu - jedną z nich wykorzystała nawet filmowa Trinity w przeboju kinowym pt. Matrix. O nieszablonowym podejściu Michała do zagadnień bezpieczeństwa, hackingu, jego nowej książce (Silence on the Wire) i życiu prywatnym rozmawia Piotr Konieczny.

Dziennik Internautów: Witaj Michale. Co skłoniło cię do napisania książki "Silence on the Wire" (SotW) (Cisza w Sieci). Czy była to własna inicjatywa, czy odwiedziła Cię grupa panów z wydawnictwa w czarnych garniturach...? I - to pytanie zadaje sobie wielu internautów - dlaczego taki tytuł?

Michał Zalewski: Trudno odpowiedzieć na to pytanie w kilku słowach - bez wątpienia bezpośrednim bodźcem, który zmobilizował mnie do napisania SotW, była po prostu otrzymana ni z tego ni z owego propozycja od wydawcy... natomiast oprócz tego, nie zdecydowałbym się na pisanie, gdybym nie doszedł do wniosku, że mam coś w miarę ciekawego do powiedzenia i gdyby inni nie zgodzili się z takim przypuszczeniem :-)

Co do tytułu, starałem się po prostu wybrać coś, co z jednej strony brzmiałoby ciekawie i nietypowo, a z drugiej, nie było zupełnie niezrozumiałe i nie odstraszało czytelników. Książka skupia się na sztuce obserwacji i wyciągania wniosków w sytuacjach, w których pozornie nie ma się nad czym rozwodzić - więc taki tytuł wydał mi się zgrabny.

DI: Ile czasu zajęło ci napisanie SotW i jak wspominasz godziny spędzone nad edytorem tekstu?

MZ: Było to mniej więcej pół roku pracy (1-2 godziny dziennie), wliczając w to korektę, redakcję i redakcję techniczną, przygotowanie ilustracji i okładki z grafikiem, itp. Jest to w miarę standardowy czas jak na książkę liczącą około 300 stron.

Pisanie samo w sobie nie jest szczególnie męczące, ale bardzo dużym wysiłkiem jest utrzymanie codziennego rygoru pracy - opuszczenie kilku dni oznacza duże zaległości, które potem trzeba nadganiać. Praca przy redakcji też jest dość wyczerpująca, ponieważ wiąże się z ponownym czytaniem i reorganizowaniem materiału, który zna się już prawie na pamięć i chciałoby się mieć za sobą.

Tym niemniej, efekt końcowy i pochwały od czytelników to spora satysfakcja :-)

DI: Podjąłbyś się jeszcze raz zadania tego typu?

MZ: Jasne - tak długo, jak będę miał dobre pomysły i będzie chętny wydawca, nie widzę przeszkód.

Nie jest to szczególnie dochodowa zabawa, jeśli spojrzeć na nią z perspektywy zainwestowanego czasu, a i prestiż z opublikowania książki w dzisiejszych czasach maleje, ponieważ nowoczesne technologie umożliwiają samodzielny druk na zlecenie każdemu, kto coś napisał, niezależnie od jakości takiej pracy... tym niemniej, wydaje mi się, że warto.

DI: Emacs czy Vim? W czym pisałeś swoją książkę? (Czytelnikom należy się kilka zdań wyjaśnienia. Emacs i Vim do dwa bardzo popularne edytory dla programistów, chociaż niektórzy nazywają Emacsa systemem operacyjnym... Stworzone zostały na platformę *niksową, chociaż obecnie dostępne są również dla Windows. W kręgach tzw. geeków, trwają kultowe potyczki o to, który z edytorów jest lepszy...)

MZ: He he... znam purystów, którzy pisali książki w Emacsie, ale moim zdaniem, w WYSIWYGowych, graficznych edytorach z prostym interfejsem pracuje się po prostu szybciej i wygodniej. SotW powstał w Open Office... co bynajmniej nie jest pochwałą tego pakietu (jest ślamazarny i ma sporo błędów), po prostu był najlepszym kompromisem.

DI: Twoja książka powstała w języku angielskim. Wiele osób zastanawia się dlaczego jej polskie tłumaczenie zostało wykonane przez kogoś innego? Przekład zdaje się być najłatwiejszym zdaniem dla jego autora...

MZ: Pisałem po angielsku, ponieważ dostałem propozycję od zachodniego wydawcy, poza tym jest to większy i bardziej dojrzały rynek. Prawa do tłumaczenia zostały kupione przez Helion bezpośrednio od wydawcy w USA i bez mojej wiedzy; przez jakiś czas rozmawiałem z Helionem na temat tłumaczenia, ale w końcu nałożyło mi się trochę innych obowiązków i nie zabrałem się za to.

DI: O czym naprawdę jest Twoja książka? Jaka jest główna myśl, jedno zdanie, które chciałbyś aby czytelnicy zapamiętali na zawsze po przeczytaniu "Silence on the Wire"?

MZ: W telegraficznym skrócie, SotW to opowieść o nietypowych i gdzie indziej słabo udokumentowanych problemach z zakresu bezpieczeństwa IT, ze szczególnym naciskiem na zagadnienia, w których nie dochodzi do klasycznego ataku na system, i ofiara nie wie, kto na nią czyha.

Całość można traktować po prostu jako podręcznik, ale podstawowym przesłaniem tej książki jest to, że warto samodzielnie myśleć i puścić wodze wyobraźni, nawet jeśli chodzi o tak ścisłe i techniczne zagadnienia jak komputery i sieci teleinformatyczne. Rutyna i uczenie się reguł postępowania jest ważne, ale może zabijać pasję i sprawiać, że nie dostrzegamy wielu istotnych zagadnień o kluczowym znaczeniu dla bezpieczeństwa danych.

DI: Ile to już lat zajmujesz się ogólnie pojętym bezpieczeństwem sieci komputerowych?

MZ: Od czasu, kiedy zacząłem się na poważniej interesować tą tematyką minęło coś koło 10 lat (o rany...).

DI: Jakie były Twoje początki, co obudziło w Tobie pasję do rozmaitych układów scalonych i elektroniki?

MZ: Zawsze interesowało mnie, jak wszystko działa, jak można coś ulepszyć, naprawić, zepsuć. Zaczęło się od dziecięcych zabaw silniczkami i żarówkami podłączanymi do baterii, a potem ani się spojrzałem...

DI: Jesteś autorem kilku ciekawych projektów i programów (p0f, revisionist). Ostatnio dynamika ich tworzenia jakby zmalała, a Twoja strona domowa rzadziej jest aktualizowana. Czy to już stała tendencja spadkowa, czy może brak czasu?

MZ: Myślę, że to przesada - na mojej stronie często pojawiają się nowe materiały, chociaż nie zawsze związane ściśle z bezpieczeństwem IT - na szczęście mam parę innych hobby i od czasu do czasu do nich wracam :-) Czasem więc pojawiają się nowe zdjęcia, czasem - jak ostatnio - materiały o włamywaniu się do sejfów z wykorzystaniem termowizji...

Mniej ostatnio publikuję na BUGTRAQ (i staram skupiać się raczej na interesujących problemach, a nie na znajdowaniu dziur w konkretnych programach). To wynika po części z niesprzyjającej tego typu zainteresowaniom atmosfery (sięganie przez dostawców oprogramowania po środki prawne, potępianie przez różne środowiska praktyki full-disclosure), a po części z tego, że pracowałem nad SotW, a teraz ślęczę nad paroma innymi dużymi projektami - ale nie wydaje mi się, żeby sytuacja była szczególnie dramatyczna.

DI: To nad czym obecnie pracuje Michał Zalewski?

MZ: Po prawdzie, mam skłonność do rozgrzebywania wielu projektów i kończenia tylko niewielkiej części z nich. Dlatego, nauczony praktyką (na przykład Argante czy asmsh), wolę nie chwalić się za bardzo do chwili, gdy mam już co pokazać :-)

DI: Wydaje się, że osiągnąłeś już to, o czym marzy każdy mały Jasio stawiając swoje kroki w świecie IT. Odkryłeś wiele luk w kilkunastu usługach, jedna z nich została nawet wykorzystana przez Trinity w filmie Matrix. Mało tego, światowa scena specjalistów IT okrzyknęła Cię mianem hackera, a obecnie zdobywasz sławę jako pisarz... ;-) Co jeszcze chciałbyś w życiu zrobić?

MZ: Przez te wszystkie lata udało mi się faktycznie zaistnieć na międzynarodowej scenie bezpieczeństwa - ale jest przecież wiele osób z dłuższym stażem i bardziej imponującymi osiągnięciami. Poza tym, staram się pracować przede wszystkim dla własnej satysfakcji, nie dla sławy lub pieniędzy (zresztą takie akurat zainteresowania nie sprzyjają żadnemu z tych dwóch celów ;-).

Przede mną jeszcze wiele nauki i tak już zostanie - postęp technologiczny oraz coraz głębsza integracja naszego codziennego życia z nowoczesną techniką dostarcza ciągłych wyzwań. Mam też nadzieję, że sporo uda mi się odkryć, i równie dużo przekazać innym.

W sferze bardziej osobistej, chciałbym kiedyś zostać dobrym fotografem ;-)

DI: Jak wyobrażasz sobie Internet i sieci komputerowe za kilkanaście lat, powiedzmy w 2048 roku, żeby była to równa, informatyczna liczba...

MZ: Świat za 42 lata zostanie ukształtowany zarówno przez przyszłe odkrycia, wdrażanie nowych technologii, jak i przez wydarzenia na scenie politycznej czy gospodarczej - i wszystko to jest często w większym stopniu dziełem przypadku niż racjonalnych, przewidywalnych decyzji i trendów.

Z tego powodu, opisywanie świata jutra prowadzi tylko do komicznych wpadek - 40 lat temu szanowani naukowcy spekulowali, że w każdym domu znajdzie się odkurzacz o napędzie jądrowym, ludzie skolonizują Marsa i zbudują osiedla na dnach oceanów - ale nikomu nie przyszło do głowy, jak dalece prozaiczna i mało romantyczna koncepcja Internetu odmieni codzienne życie i komunikację między ludźmi.

Innymi słowy - nie mam pojęcia, ale wydaje mi się, że świat przyszłości będzie wyróżniał się wieloma drobnymi, dla nas trudnymi do zrozumienia różnicami. Niestety obawiam się, że dokładnie tak samo jak dziś będziemy borykać się z przestarzałymi technologiami, atakami na sieci, robakami sieciowymi, i tak dalej - nic nie skłania do nadmiernego optymizmu w tych tematach.

DI: Wedle starej anegdoty, żona Lecha Wałęsy, zapytana o to, co jest hobby jej męża odpowiedziała: "zupa pomidorowa". Czym Ty zajmujesz się, kiedy (jeśli...) odchodzisz od komputera?

MZ: Od komputera zdarza mi się odchodzić całkiem często i mam sporo zainteresowań, którymi fascynuję się zupełnie amatorsko, do których staram się wracać gdy tylko mogę. Jednym z nich jest wspomniana już fotografia. Innym są nauki ścisłe, zwłaszcza matematyka stosowana. Jeszcze innym - elektronika, w szczególności robotyka.

Co poza tym? Wszystko w normie - mam koty, rower, zdarza mi się oglądać filmy, coś przeczytać albo napisać ;-)

DI: To co powiedziałaby Twoja żona na pytanie o hobby męża? ;-)

MZ: Że lubię chipsy i colę ;-)

DI: I na koniec: "czym wg Ciebie jest hacking?" ;-P (Pytanie to dość często zadawane jest nowicjuszom na jednej z ciekawszych grup Usenetowych...

MZ: Cbjgóemę ghgnw cb enm xbyrwal fgjvreqmravr zbwrtb xbyrtv, avrpb wr cnensenmhwąp - unpxvat avr wrfg żnqaą xbaxergaą nxgljabśpvą, glyxb cb cebfgh zvneą grtb, wnx jlśzvravpvr fvę pbś ebov ;-)

(Odpowiedź na ostatnie pytanie została zaszyfrowana, co nie znaczy, że nie da się jej odczytać... Kto pierwszy odpowie jaki to szyfr i poda treść odpowiedzi w komentarzu, wygra roczny dostęp do archiwum DI -- dop. red.)

DI: Dziękujemy za rozmowę


  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31