Trinity w „Matriksie” skorzystała z luki, którą wykrył. „eWeek” umieścił go na 5. miejscu listy najważniejszych ludzi bezpieczeństwa IT. Choć Michał Zalewski nie dokonuje spektakularnych włamań, jest znany na całym świecie. Michał „lcamtuf” Zalewski, pracujący dla centrali Google’a, to jeden z najbardziej znanych hakerów.
Skontaktowanie się z Michałem „lcamtufem” Zalewskim przypomina sekwencję z filmu szpiegowskiego. Nie podaje numeru telefonu, nawet na biurko w Google’u, w którym pracuje. Nie dzieli się e-mailem i numerem Skype’a. Jego ludzie w Polsce przekazują pytania jego ludziom w USA, a ci Zalewskiemu. Po kilkunastu dniach tą samą ścieżką przychodzą odpowiedzi. Łatwiej zrobić wywiad z prezydentem Polski. – To tylko jedna z wielu głów państw, a „lcamtuf” z powodu umiejętności jest unikatowy. Nic dziwnego, że tak chroni swoją prywatność – mówi „DGP” Borys Łącki, konsultant ds. zabezpieczeń systemów i struktur teleinformatycznych z LogicalTrusta.
Michał „lcamtuf” Zalewski, pracujący dla centrali Google’a, to jeden z najbardziej znanych hakerów. Nie ma w Polsce, a zapewne i na świecie, człowieka zajmującego się bezpieczeństwem sieciowym, który nie słyszał o 31-latku z Warszawy. Ale nie dlatego, że włamał się on do serwerów Pentagonu czy Interpolu, był poszukiwany przez FBI i aresztowany. Znany jest z zupełnie innych i znacznie mniej spektakularnych działań. Regularnie dowiadujemy się o kolejnych lukach w zabezpieczeniach oprogramowania, które wykrył i przed którymi ostrzegł.
Ostatnio było o nim głośno, gdy w połowie 2010 r. znalazł około setki dziur w najpopularniejszych przeglądarkach internetowych. „lcamtuf” poinformował o odkrytych lukach ich producentów. Twórcy WebKit oraz przeglądarek Firefox i Opera podziękowali i załatali większość z nich. Microsoft nie zareagował, choć był kilkakrotnie powiadamiany. Zalewski pod koniec grudnia zdecydował się na upublicznienie stworzonego przez siebie narzędzia, dzięki któremu można było dotrzeć do luk w Internet Explorerze. Ponownie rozpisały się o nim wszystkie specjalistyczne serwisy na świecie. – To nie było popisywanie się. Taka jest praktyka: wykryta luka, uprzedzona firma, brak działania z jej strony, to się dziurę ujawnia – mówi Łącki.

Szukanie dziury w całym

Zanim opowiem o Michale Zalewskim, wyjaśnię kilka ważnych terminów:
1. Haker – osoba, która szuka i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym.
2. Cracker – osoba zajmująca się łamaniem zabezpieczeń komputerowych (zamkniętego oprogramowania lub serwerów). Obecnie słowo „cracker” używane jest jako określenie osoby włamującej się na serwery w sposób niezgodny z prawem. Używanie go w tym kontekście propaguje społeczność hakerska, według której stawianie znaku równości między hakerami a włamywaczami sieciowymi jest błędne.
3. Społeczność hakerska – grupy programistów, którzy dzielą się kodem źródłowym, wymieniają osiągnięcia i uczą się wzajemnie sztuczek lub lepszych sposobów programowania. Hakowanie w tym znaczeniu nie ma dla nich żadnego niszczycielskiego wydźwięku, co więcej, oznacza użyteczne rozwiązywanie problemów związanych z komputerami.
Tak tłumaczy to Wikipedia i tak rozumieją to ludzie zajmujący się bezpieczeństwem informatycznym. Ale powszechnie haker kojarzy się z przestępcą, który włamuje się do komputerów firm lub prywatnych użytkowników. I dlatego, choć „lcamtuf” aktywnie działa w społeczności hakerskiej, nie określa siebie mianem hakera. – W tradycyjnym znaczeniu kluczową wartością ruchu hakerów jest pasja i kreatywność w technologicznych pościgach – tłumaczy „DGP” Zalewski. – Medialnie jednak ten termin odnosi się do działań, których celem jest narażenie na szwank cudzych komputerów z czystej złośliwości lub dla zysku. A z tym oczywiście się nie identyfikuję – dodaje.
Historia Michała Zalewskego jest podręcznikowa. Od ośmiolatka, który dostał pierwszego 8-bitowca, na którym grał, po nastolatka zainteresowanego elektroniką, który odkrywa w internecie innych, równie zakręconych na punkcie komputerów fascynatów. – Wskazanie, kiedy zaczęło mnie pociągać bezpieczeństwo informatyczne, jest trudne. Myślę, że to było naturalne przejście od zainteresowania, jak system działa, do zrozumienia, jak można oprogramowanie złamać – tłumaczy.
Tak Michał trafił na legendarną już w świecie internetu listę dyskusyjną poświęconą zagadnieniom bezpieczeństwa teleinformatycznego – Bugtraq. Tysiące programistów z całego świata rozważało na niej wszelakie problemy związane z obsługą sieci i oprogramowania. Bugtraq w tamtym czasie miał własną politykę, zbiór zasad, z których jedną niezwykle ważną była publikacja wszelkich informacji dotyczących błędów w oprogramowaniu bez względu na reakcję ich twórców. Michał początkowo obserwował dyskusje i coraz więcej dowiadywał się o oprogramowaniu swojego domowego peceta. – Aż wreszcie zadałem swoje pierwsze pytanie o interesujący mnie problem. Ku memu zdziwieniu zostałem dopuszczony przez moderatora, ale zadowolenie szybko się skończyło, kiedy ktoś wyjaśnił mi, że ten mój poważny problem wcale nie był taki poważny – wspomina. Z czasem szukał rozwiązań do coraz bardziej skomplikowanych problemów i wskazywał je.



Cichy, ale głośny

Jeszcze w liceum, już wtedy znany w sieci jako „lcamtuf” (Zalewski tłumaczy, że to niemające sensu słowo było tzw. cheatcodem w jednej z gier z jego dzieciństwa; po jego wpisaniu bohater gry zyskiwał np. nieśmiertelność czy nieograniczony dostęp do amunicji), zaczął chałturzyć, wykorzystując wiedzę o oprogramowaniu. Pierwsze poważne zajęcie było również z tym związane – pracował jako administrator systemów sieci centrów handlowych. – I nagle po kilku miesiącach niespodziewanie dostałem ofertę pracy dla Telekomunikacji Polskiej – opowiada. Równolegle nadal udzielał się na Bugtraq i współpracował z kilkoma związanymi z bezpieczeństwem sieciowym projektami. W 2000 r. jako 19-latek dostał kolejną propozycję pracy i to od razu połączoną z koniecznością przeprowadzki do Stanów Zjednoczonych. O Zalewskiego upomniała się firma BindView, dziś znana jako producent oprogramowania antywirusowego Symantec. Przepracował dla nich w Bostonie ponad dwa lata, by w 2003 r. wrócić do Polski. Powód: miłość, małżeństwo, syn i praca dla Polskiej Telefonii Cyfrowej. Już wtedy Zalewski był w środowisku bardzo znany. – I to nie tylko w kraju – przekonuje Łącki.
W 2003 r. w kinach pojawił się sequel „Matriksa”. Świat IT wtedy z zaskoczeniem zauważył, że w jednej ze scen Trinity nie włamuje się do komputera – jak to zwykle w filmach bywa – za pomocą przeglądarki WWW, ale używa specjalnej wersji nmapa, czyli programu służącego do skanowania komputerów. Do uzyskania dostępu do zasobów maszyny wykorzystuje on błąd wykryty przez Zalewskiego w 2001 r. – Dlaczego ta właśnie wrażliwość została wykorzystania w „Matriksie”? Nie mam najmniejszego pojęcia – przekonuje Zalewski.
Wkrótce po premierze filmu amerykański wydawca zgłosił się do niego z propozycją napisania książki – nie podręcznika uczącego, jak chronić sprzęt, ani opowieści o hackingu, tylko książki na styku przewodnika o technologii i psychologii ataków sieciowych. „Silence on the wire” („Cisza w sieci”), która ukazała się w 2004 r., zebrała mnóstwo pozytywnych recenzji i ugruntowała pozycję „lcamtufa”.
Michał, choć nie brakowało mu zajęć zawodowych, nie przestawał działać w świecie IT. – Praca od 9 do 17 nie jest zła, ale może być nudna. Świat hakerów – jeśli się zechce – jest bardziej kolorowy, trochę nieprzewidywalny, kierowany przez pozafinansowe potrzeby dzielenia się wiedzą i dalszej nauki różnych sztuczek – opowiada i tłumaczy, jak to możliwe z jednej strony pracować dla wielkiej korporacji, a z drugiej rozwijać pasję.
– Świat ekspertów bezpieczeństwa był zaskoczony, gdy w 2007 r. Zalewski zaczął pracować dla Google – opowiada Łącki. – Zaskoczony nie dlatego, że Google zechciał Zalewskiego, tylko dlatego, że on się zgodził – dodaje.
Wielki amerykański potentat sam go znalazł. – Praktyką największych firm jest zatrudnianie takich ekspertów jak Michał Zalewski do prewencyjnego chronienia swojego oprogramowania. Wszyscy mają własnych hakerów, nic więc dziwnego, że Google postarał się o niego, przecież to jeden z najlepszych na świecie – tłumaczy nam Mirosław Maj, założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń, wieloletni szef zespołu CERT przy Naukowo-Akademickiej Sieci Komputerowej.
Świetną opinię o Zalewskim potwierdził też ranking opublikowany przez „eWeek” w 2008 r. Ten, jak sam o sobie mówi, „geek” trafił na 51. miejsce wśród 100 najważniejszych ludzi w świecie IT i na 5. miejsce wśród tych zajmujących się bezpieczeństwem teleinformatycznym. – Zalewski i jego praca to dowód na istnienie dziś już zupełnie innej jakości w hakingu. Nie chodzi o głośne akcje, o złośliwe działania, tylko o kreatywność i profesjonalizm. I tak działając po cichu, można stać się sławnym – podsumowuje Maj.