Skontaktowanie się z Michałem „lcamtufem” Zalewskim przypomina sekwencję z filmu szpiegowskiego. Nie podaje numeru telefonu, nawet na biurko w Google’u, w którym pracuje. Nie dzieli się e-mailem i numerem Skype’a. Jego ludzie w Polsce przekazują pytania jego ludziom w USA, a ci Zalewskiemu. Po kilkunastu dniach tą samą ścieżką przychodzą odpowiedzi. Łatwiej zrobić wywiad z prezydentem Polski. – To tylko jedna z wielu głów państw, a „lcamtuf” z powodu umiejętności jest unikatowy. Nic dziwnego, że tak chroni swoją prywatność – mówi „DGP” Borys Łącki, konsultant ds. zabezpieczeń systemów i struktur teleinformatycznych z LogicalTrusta.

Michał „lcamtuf” Zalewski, pracujący dla centrali Google’a, to jeden z najbardziej znanych hakerów. Nie ma w Polsce, a zapewne i na świecie, człowieka zajmującego się bezpieczeństwem sieciowym, który nie słyszał o 31-latku z Warszawy. Ale nie dlatego, że włamał się on do serwerów Pentagonu czy Interpolu, był poszukiwany przez FBI i aresztowany. Znany jest z zupełnie innych i znacznie mniej spektakularnych działań. Regularnie dowiadujemy się o kolejnych lukach w zabezpieczeniach oprogramowania, które wykrył i przed którymi ostrzegł.

Ostatnio było o nim głośno, gdy w połowie 2010 r. znalazł około setki dziur w najpopularniejszych przeglądarkach internetowych. „lcamtuf” poinformował o odkrytych lukach ich producentów. Twórcy WebKit oraz przeglądarek Firefox i Opera podziękowali i załatali większość z nich. Microsoft nie zareagował, choć był kilkakrotnie powiadamiany. Zalewski pod koniec grudnia zdecydował się na upublicznienie stworzonego przez siebie narzędzia, dzięki któremu można było dotrzeć do luk w Internet Explorerze. Ponownie rozpisały się o nim wszystkie specjalistyczne serwisy na świecie. – To nie było popisywanie się. Taka jest praktyka: wykryta luka, uprzedzona firma, brak działania z jej strony, to się dziurę ujawnia – mówi Łącki.

Szukanie dziury w całym

Zanim opowiem o Michale Zalewskim, wyjaśnię kilka ważnych terminów:

1. Haker – osoba, która szuka i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym.

2. Cracker – osoba zajmująca się łamaniem zabezpieczeń komputerowych (zamkniętego oprogramowania lub serwerów). Obecnie słowo „cracker” używane jest jako określenie osoby włamującej się na serwery w sposób niezgodny z prawem. Używanie go w tym kontekście propaguje społeczność hakerska, według której stawianie znaku równości między hakerami a włamywaczami sieciowymi jest błędne.

3. Społeczność hakerska – grupy programistów, którzy dzielą się kodem źródłowym, wymieniają osiągnięcia i uczą się wzajemnie sztuczek lub lepszych sposobów programowania. Hakowanie w tym znaczeniu nie ma dla nich żadnego niszczycielskiego wydźwięku, co więcej, oznacza użyteczne rozwiązywanie problemów związanych z komputerami.

Tak tłumaczy to Wikipedia i tak rozumieją to ludzie zajmujący się bezpieczeństwem informatycznym. Ale powszechnie haker kojarzy się z przestępcą, który włamuje się do komputerów firm lub prywatnych użytkowników. I dlatego, choć „lcamtuf” aktywnie działa w społeczności hakerskiej, nie określa siebie mianem hakera. – W tradycyjnym znaczeniu kluczową wartością ruchu hakerów jest pasja i kreatywność w technologicznych pościgach – tłumaczy „DGP” Zalewski. – Medialnie jednak ten termin odnosi się do działań, których celem jest narażenie na szwank cudzych komputerów z czystej złośliwości lub dla zysku. A z tym oczywiście się nie identyfikuję – dodaje.

Historia Michała Zalewskego jest podręcznikowa. Od ośmiolatka, który dostał pierwszego 8-bitowca, na którym grał, po nastolatka zainteresowanego elektroniką, który odkrywa w internecie innych, równie zakręconych na punkcie komputerów fascynatów. – Wskazanie, kiedy zaczęło mnie pociągać bezpieczeństwo informatyczne, jest trudne. Myślę, że to było naturalne przejście od zainteresowania, jak system działa, do zrozumienia, jak można oprogramowanie złamać – tłumaczy.

Tak Michał trafił na legendarną już w świecie internetu listę dyskusyjną poświęconą zagadnieniom bezpieczeństwa teleinformatycznego – Bugtraq. Tysiące programistów z całego świata rozważało na niej wszelakie problemy związane z obsługą sieci i oprogramowania. Bugtraq w tamtym czasie miał własną politykę, zbiór zasad, z których jedną niezwykle ważną była publikacja wszelkich informacji dotyczących błędów w oprogramowaniu bez względu na reakcję ich twórców. Michał początkowo obserwował dyskusje i coraz więcej dowiadywał się o oprogramowaniu swojego domowego peceta. – Aż wreszcie zadałem swoje pierwsze pytanie o interesujący mnie problem. Ku memu zdziwieniu zostałem dopuszczony przez moderatora, ale zadowolenie szybko się skończyło, kiedy ktoś wyjaśnił mi, że ten mój poważny problem wcale nie był taki poważny – wspomina. Z czasem szukał rozwiązań do coraz bardziej skomplikowanych problemów i wskazywał je.