W samo południe z hakerami w naszym ogródku

Kolejne firmy z branży elektronicznej rozrywki zbierają ostatnio cięgi od hakerów. Nasze dane powierzane twórcom i wydawcom gier są mniej bezpieczne niż kiedyś. Jakie niesie to ze sobą implikacje?

Pisząc tytuł felietonu zawahałem się na chwilę. Istnieje wśród informatyków pewien ścisły kod nazewniczy jeśli idzie o określanie osób włamujących się do systemów i omijających sieciowe zabezpieczenia. Hakerzy, crackerzy, script kiddies, cyber-wandale, cyber-terroryści - każde określenie odnosi się do kogo innego. W mediach i kulturze masowej jednakże niemal zawsze wszystkich razem określa się mianem właśnie hakerów. Niesłusznie i krzywdząco zresztą. Zastanawiałem się długo, czy grupa LulzSec zasługuje mimo wszystko na owo miano. Wychodzi jednak na to, że tak, bo nie podpada jednak pod inne definicje. W wypadku grupy Anonymous jest zresztą podobnie, ale im dziś poświęcę mniej uwagi.

Pojęcie haker ma swe korzenie tam, gdzie większość rzeczy związanych z internetem, czyli w MIT lat .60 XX wieku. Pewnie największy rozgłos zawdzięcza literaturze cyberpunkowej, gdzie hakerzy byli często bohaterami opowieści i zwykle walczyli w słusznej sprawie (a przynajmniej tak to widzieli). Nawet jednak i hakerów dzieli się od dawna na "dobrych" i "złych". Używany jest przy tym kod pochodzący ze starych westernów, czyli kolor kapeluszy. Jak wiadomo, źli bohaterowie mieli czarne, dobrzy - białe. Tak więc mamy honorowych i altruistycznych hakerów w białych kapeluszach oraz cynicznych i chciwych hakerów w czarnych kapeluszach. Wraz z wybuchem działalności LulzSec trzeba było na dobre wprowadzić do użytku pojęcie szarych kapeluszy...

Ataki LulzSec nie pozwalają bowiem jasno scharakteryzować grupy. Oficjalny manifest tych hakerów głosi, że robią wszystko dla śmiechu, podpowiada to nawet ich nazwa. Zaatakowane firmy i użytkownicy, którzy mieli konta w ich usługach, śmieją się jednak baranim głosem. To ten rodzaj radości, jaki można odczuć na fotelu dentystycznym, gdy pielęgniarka pośliźnie się komediowo i wpadnie na stomatologa, trzymającego wiertło akurat w naszym zębie. Gdy Sony chwiało się jeszcze na nogach po ataku Anonymous, LulzSec zadało cios łaski. Co prawda istnieje pewna rozbieżność co do rozmiaru włamania - hakerzy ogłosili iż wykradli dane dotyczące ponad miliona kont użytkowników, a opublikowali na swej stronie jedynie próbkę. Sony twierdzi, że problem dotyczył jedynie 37 tysięcy osób... ale to i tak bardzo dużo.

Po osławionym uderzeniu w PSN grupa Anonymous ogłosiła, iż nie będzie się w swych atakach na Sony zapędzać tam, gdzie może to zaboleć użytkowników. Pojawiły się nawet głosy, że niekoniecznie zrobili to oni. Hakerzy z LulzSec nigdy nie starali się grać rycerzy na krucjacie. Dlatego bez litości uderzali w kolejne firmy związane z grami wideo (na zmianę z innymi atakami). Obrywało się zarówno wielkim firmom, jak i drobniejszym twórcom. Na celowniku wylądowały korporacje Nintendo (tu udało się włamanie, ale się nie powiodła kradzież, więc grupa LulzSec spróbowała obrócić to w żart) i Sega (dane z - bagatela - 1,3 miliona kont). Na nic zdała się trójwarstwowa architektura zabezpieczeń i różne wymyślne dodatkowe cyfrowe fortyfikacje. Hakerzy pokazali, że mogą wleźć niemal wszędzie.

O ile walka z korporacjami wpisuje się w poetykę cyberpunkową, to już naprawdę trudno zrozumieć uderzenia w serwery gier Minecraft i EVE Online. Mikroskopijna i średnia firma, obie otwarte na postulaty graczy, studio CCP było zdolne do wspierania akcji charytatywnych robionych przez użytkowników... Mało śmieszne dowcipy tych błazenków, prawda? Faktycznie ataki LulzSec wymierzane są niemal na ślepo i ku ich własnej uciesze. Gracze przez jakiś czas nie mogli oddawać się swojej ulubionej rozrywce, nadwątleniu też uległo zaufanie klientów do usługodawców. Podobny los spotkał też serwery League of Legends i Heroes of Newerth. Niejako dla uzupełnienia spektrum ataków, doszło też do włamań na poletku deweloperskim i dziennikarskim. Bethesda Softworks nie upilnowała danych z 200 tysięcy kont (ale LulzSec nie opublikowali ich na swojej stronie), baty zebrał też sieciowy magazyn The Escapist (nie wiem, może coś szczerego i niemiłego napisali o roześmianych hakerach?).

Myślę, że tyle rysu sytuacyjnego wystarczy. Pora zastanowić się, co dalej. Kluczowym zagadnieniem może tu być gorąca informacja z wczoraj. Otóż plotka głosi, że ostatnio doszło do zacieśnienia współpracy pomiędzy Anonymous i LulzSec. To ciekawe, bo dotąd anonimowi traktowali roześmianych jak dzieci, do tego dzieci nadmiernie psocące. Ponoć cele tego sojuszu zaliczać się będą do takich, jakie hakerom, w dumnym tego słowa znaczeniu, przystoją - czyli przechylą się na stronę Anonymous. Cóż, pewnie jest to związane z tym, że LulzSec weszło na wojenną ścieżkę z rządem USA i jego agencjami. To zaś woda na młyn Anonymous, których wypowiedzi pełne są górnolotnych frazesów o wolności informacji i walce z kontrolą internetu oraz oprogramowania. Być może anonimowi nieco okiełznają zapędy roześmianych, być może zamiast szkodzić graczom komputerowym i konsolowym, zaczną oni szkodzić graczom politycznym i gospodarczym. Być może...

Mleko jednakże i tak już się rozlało. Wiele osób zawaha się, nim wejdzie na stronę wydawcy gry i zarejestruje ją dla jakichś skromnych bonusów. Wydawcy będą więc musieli albo lepiej kusić, albo spuścić z tonu i wymagać jak najmniej danych przy tworzeniu konta. Jest też skromna nadzieja, że oświeceni atakami użytkownicy zaczną stosować unikatowe hasła do różnych usług. Dziś przerażająco wiele osób wszędzie wbija to samo, maksymalnie proste hasło, więc mając dostęp do bazy danych jakieś firmy, włamywacz może spokojnie próbować przejąć kontrolę nad kontem pocztowym użytkownika, a potem sprawdzić maile i wyszukać kolejne usługi do zrobienia włamu, w tym pewnie i internetową bankowość...

Jeśli ataki będą dalej powtarzały się tak często, to niezależnie od naszej - jako użytkowników - postawy, wiele się zmieni w Internecie. W pierwszej fazie możemy spodziewać się notorycznych problemów z dostępem do kolejnych, losowych usług - tam, gdzie fantazja akurat zaprowadzi wesołych jajcarzy w szarych czy czarnych kapeluszach. Z czasem zostaną opracowane lepsze zabezpieczenia. To zaś oznacza kolejne utrudnienia i procedury, przez które będzie musiał przechodzić każdy użytkownik danej usługi. Czyli jak to zwykle w życiu bywa: gdzie dwóch się bije, tam przechodzień łomot zbiera...

Jak widzicie, perspektywy jako zwykli gracze, czyli szeregowi użytkownicy, mamy marne. Nic bowiem w od nas w tym wypadku nie zależy. No, może poza decyzją ostatecznego i pełnego odcięcia się od sieci. Nie wiem jak wy, ale ja nie jestem jeszcze gotów do podjęcia tak drastycznej decyzji. Zresztą, w sieci ryzykuję podobnie, jak na ulicy - wypadki zdarzają się wszędzie. Ze strachu przed katastrofą lotniczą nie przestanę latać, ze strachu przed wypadkiem nie przestanę wychodzić na miasto, ze strachu przed atakami hakerskimi nie przestanę używać usług sieciowych. Środków ostrożności już za bardzo nie mogę zwiększyć, bo pod tym względem należę do jednostek lekko paranoicznych, jak każdy były sysadmin. Za razem moja wiedza mówi mi, że każde stworzone przez człowieka zabezpieczenie można złamać, to tylko kwestia czasu. Mam nadzieję, że ów czas w przewidywalnej przyszłości wzrośnie na tyle, by nikomu nie chciało się tego robić dla żartu. No i że takie radosne hakerskie maratony po usługach sieciowych przez to przestaną się odbywać.

Komentarze

Usunięty

27/06/2011 15:19

Taka prosta porada na hasło które jest trudniejsze do rozwalenia - zamiana liter na cyfry :) W skrócie:Z Lenovo robi się nam L3N0v0 z Motoroli - m0T0R0l4 a z Gram.pl - gR4m.P33L :-)Teraz dorzucić do tego skojarzenia Lucasa i przepis na hasło gotowy :-)

27/06/2011 09:28

Ciekawy felieton.Jak też jestem raczej przezorny, jeśli chodzi o zabezpieczenia kont, hasła itp. Może dlatego, że też jestem sysadminem :) Najważniejsze to trzymać się prostych wytycznych: hasło min. 8 znaków, min jedna cyfra, mała litera, wielka litera, nie używać słów słownikowych, swojego imienia lub nazwiska. Tyle wystarczy. A i oczywiście najlepiej do każdej usługi inne hasło.Zastanawia mnie jedno: czy i ilu usługodawców koduje nasze hasła stratnym algorytmem? Bo to zabezpiecza definitywnie przed odkodowaniem hasła i przejęciem na to hasło innych usług.

27/06/2011 07:54

Ach i jeszcze jedno:Film który polecam można śmiało ściągnąć z neta, myślę, że w tym przypadku twórcy filmu raczej się nie obrażą a może nawet ucieszą ;)

Trwa Wczytywanie

W samo południe z hakerami w naszym ogródku

GramTV przedstawia: