Trinity w „Matriksie” skorzystała z luki, którą wykrył. „eWeek” umieścił go na 5. miejscu listy najważniejszych ludzi bezpieczeństwa IT. Choć Michał Zalewski nie dokonuje spektakularnych włamań, jest znany na całym świecie. Michał „lcamtuf” Zalewski, pracujący dla centrali Google’a, to jeden z najbardziej znanych hakerów.
Skontaktowanie się z Michałem „lcamtufem” Zalewskim przypomina sekwencję z filmu szpiegowskiego. Nie podaje numeru telefonu, nawet na biurko w Google’u, w którym pracuje. Nie dzieli się e-mailem i numerem Skype’a. Jego ludzie w Polsce przekazują pytania jego ludziom w USA, a ci Zalewskiemu. Po kilkunastu dniach tą samą ścieżką przychodzą odpowiedzi. Łatwiej zrobić wywiad z prezydentem Polski. – To tylko jedna z wielu głów państw, a „lcamtuf” z powodu umiejętności jest unikatowy. Nic dziwnego, że tak chroni swoją prywatność – mówi „DGP” Borys Łącki, konsultant ds. zabezpieczeń systemów i struktur teleinformatycznych z LogicalTrusta.
Michał „lcamtuf” Zalewski, pracujący dla centrali Google’a, to jeden z najbardziej znanych hakerów. Nie ma w Polsce, a zapewne i na świecie, człowieka zajmującego się bezpieczeństwem sieciowym, który nie słyszał o 31-latku z Warszawy. Ale nie dlatego, że włamał się on do serwerów Pentagonu czy Interpolu, był poszukiwany przez FBI i aresztowany. Znany jest z zupełnie innych i znacznie mniej spektakularnych działań. Regularnie dowiadujemy się o kolejnych lukach w zabezpieczeniach oprogramowania, które wykrył i przed którymi ostrzegł.
Ostatnio było o nim głośno, gdy w połowie 2010 r. znalazł około setki dziur w najpopularniejszych przeglądarkach internetowych. „lcamtuf” poinformował o odkrytych lukach ich producentów. Twórcy WebKit oraz przeglądarek Firefox i Opera podziękowali i załatali większość z nich. Microsoft nie zareagował, choć był kilkakrotnie powiadamiany. Zalewski pod koniec grudnia zdecydował się na upublicznienie stworzonego przez siebie narzędzia, dzięki któremu można było dotrzeć do luk w Internet Explorerze. Ponownie rozpisały się o nim wszystkie specjalistyczne serwisy na świecie. – To nie było popisywanie się. Taka jest praktyka: wykryta luka, uprzedzona firma, brak działania z jej strony, to się dziurę ujawnia – mówi Łącki.
Zanim opowiem o Michale Zalewskim, wyjaśnię kilka ważnych terminów:
1. Haker – osoba, która szuka i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym.
2. Cracker – osoba zajmująca się łamaniem zabezpieczeń komputerowych (zamkniętego oprogramowania lub serwerów). Obecnie słowo „cracker” używane jest jako określenie osoby włamującej się na serwery w sposób niezgodny z prawem. Używanie go w tym kontekście propaguje społeczność hakerska, według której stawianie znaku równości między hakerami a włamywaczami sieciowymi jest błędne.
3. Społeczność hakerska – grupy programistów, którzy dzielą się kodem źródłowym, wymieniają osiągnięcia i uczą się wzajemnie sztuczek lub lepszych sposobów programowania. Hakowanie w tym znaczeniu nie ma dla nich żadnego niszczycielskiego wydźwięku, co więcej, oznacza użyteczne rozwiązywanie problemów związanych z komputerami.
Tak tłumaczy to Wikipedia i tak rozumieją to ludzie zajmujący się bezpieczeństwem informatycznym. Ale powszechnie haker kojarzy się z przestępcą, który włamuje się do komputerów firm lub prywatnych użytkowników. I dlatego, choć „lcamtuf” aktywnie działa w społeczności hakerskiej, nie określa siebie mianem hakera. – W tradycyjnym znaczeniu kluczową wartością ruchu hakerów jest pasja i kreatywność w technologicznych pościgach – tłumaczy „DGP” Zalewski. – Medialnie jednak ten termin odnosi się do działań, których celem jest narażenie na szwank cudzych komputerów z czystej złośliwości lub dla zysku. A z tym oczywiście się nie identyfikuję – dodaje.
Historia Michała Zalewskego jest podręcznikowa. Od ośmiolatka, który dostał pierwszego 8-bitowca, na którym grał, po nastolatka zainteresowanego elektroniką, który odkrywa w internecie innych, równie zakręconych na punkcie komputerów fascynatów. – Wskazanie, kiedy zaczęło mnie pociągać bezpieczeństwo informatyczne, jest trudne. Myślę, że to było naturalne przejście od zainteresowania, jak system działa, do zrozumienia, jak można oprogramowanie złamać – tłumaczy.
Tak Michał trafił na legendarną już w świecie internetu listę dyskusyjną poświęconą zagadnieniom bezpieczeństwa teleinformatycznego – Bugtraq. Tysiące programistów z całego świata rozważało na niej wszelakie problemy związane z obsługą sieci i oprogramowania. Bugtraq w tamtym czasie miał własną politykę, zbiór zasad, z których jedną niezwykle ważną była publikacja wszelkich informacji dotyczących błędów w oprogramowaniu bez względu na reakcję ich twórców. Michał początkowo obserwował dyskusje i coraz więcej dowiadywał się o oprogramowaniu swojego domowego peceta. – Aż wreszcie zadałem swoje pierwsze pytanie o interesujący mnie problem. Ku memu zdziwieniu zostałem dopuszczony przez moderatora, ale zadowolenie szybko się skończyło, kiedy ktoś wyjaśnił mi, że ten mój poważny problem wcale nie był taki poważny – wspomina. Z czasem szukał rozwiązań do coraz bardziej skomplikowanych problemów i wskazywał je.
źródło:
Dziennik Gazeta Prawna
1: bolek z IP: 89.231.227.* (2011-02-27 21:28)
To nie jest "już inna jakość w hakingu". To powrót do korzeni.
2: icampuf z IP: 95.160.38.* (2011-02-28 18:52)
No i czuję się bezpiecznie, używając Google Chrome :)
3: wykopek z IP: 83.5.185.* (2011-02-28 19:56)
wykop *****
4: Chameleon z IP: 83.6.210.* (2011-03-01 10:24)
Znam Michała i zastanawiam się na tym kretynizmem: "– Świat ekspertów bezpieczeństwa był zaskoczony, gdy w 2007 r. Zalewski zaczął pracować dla Google – opowiada Łącki. – Zaskoczony nie dlatego, że Google zechciał Zalewskiego, tylko dlatego, że on się zgodził – dodaje."
Michał w momencie kiedy zgodził się pracować w Google pracował Polskie Telefonii Cyfrowej, gdzie według mnie praca była mało rozwojowa, jeśli chodzi o tematy związane z IT.
Gdybym miał wybór pomiędzy Google, a PTC to musiałbym upaść na głowę, żeby wybrać PTC - po prostu Google to firma dla kreatywnych informatyków, a PTC raczej nie ...
5: Borys Łącki z IP: 86.111.207.* (2011-03-01 16:04)
@Chameleon: Oczywiście, iż masz rację. Nie zastanawiaj się za długo nad kretynizmami, bo marnujesz swoje życie. Jeśli wyrwie się zdanie z kontekstu, pozamienia słowa i dobierze tak jak komuś pasuje - wyjdzie taki kwiatek. A jak wypowiedź dodatkowo jest bez autoryzacji i z zupełnie luźnej rozmowy około tematycznej - mamy już całą Łąckę kwiatków :] Media górą.
6: seba z IP: 212.87.14.* (2011-03-02 17:47)
kilka dni temu był tutaj komentarz apropo projektu WTF lcamtufa.
czy ktoś wie jak ten projekt się zakończył (jeśli wogóle)?
7: A3D z IP: 78.9.78.* (2011-03-03 08:38)
Miło przeczytać, że są tacy Polacy, których bez wstydu "na salony" przyjmują. Co prawda z informatyki nie wiem nic, poza tym, że na prąd działa. Ale gratulacje człekowi owemu za całokształt.
Mam nadzieję ,że trafi ten tekst do ośrodków mózgowo-rdzeniowych tych zadufanych w sobie "informatyków z bożej łaski" co to wiedzą dszystko najlepiej, a jak się do klawiatur przykleją, to ich opracowania ino psują świat przestrzeni cybernetycznej. Nie psuć, nie tryskać jadem i złośliwością. Można współpracować zamiast walczyć udając swoją "wyszszość".
Amen. Temu zaś Zalewskiemu pionka.
Poseł PiS Jan Tomaszewski został na miesiąc zawieszony w prawach członka klubu tej partii i ukarany naganą - poinformowało w niedzielę biuro prasowe PiS. Taką decyzję podjęło prezydium klubu parlamentarnego Prawa i Sprawiedliwości w piątek.
