Skontaktowanie się z Michałem „lcamtufem” Zalewskim przypomina sekwencję z filmu szpiegowskiego. Nie podaje numeru telefonu, nawet na biurko w Google’u, w którym pracuje. Nie dzieli się e-mailem i numerem Skype’a. Jego ludzie w Polsce przekazują pytania jego ludziom w USA, a ci Zalewskiemu. Po kilkunastu dniach tą samą ścieżką przychodzą odpowiedzi. Łatwiej zrobić wywiad z prezydentem Polski. – To tylko jedna z wielu głów państw, a „lcamtuf” z powodu umiejętności jest unikatowy. Nic dziwnego, że tak chroni swoją prywatność – mówi „DGP” Borys Łącki, konsultant ds. zabezpieczeń systemów i struktur teleinformatycznych z LogicalTrusta.
Michał „lcamtuf” Zalewski, pracujący dla centrali Google’a, to jeden z najbardziej znanych hakerów. Nie ma w Polsce, a zapewne i na świecie, człowieka zajmującego się bezpieczeństwem sieciowym, który nie słyszał o 31-latku z Warszawy. Ale nie dlatego, że włamał się on do serwerów Pentagonu czy Interpolu, był poszukiwany przez FBI i aresztowany. Znany jest z zupełnie innych i znacznie mniej spektakularnych działań. Regularnie dowiadujemy się o kolejnych lukach w zabezpieczeniach oprogramowania, które wykrył i przed którymi ostrzegł.
Ostatnio było o nim głośno, gdy w połowie 2010 r. znalazł około setki dziur w najpopularniejszych przeglądarkach internetowych. „lcamtuf” poinformował o odkrytych lukach ich producentów. Twórcy WebKit oraz przeglądarek Firefox i Opera podziękowali i załatali większość z nich. Microsoft nie zareagował, choć był kilkakrotnie powiadamiany. Zalewski pod koniec grudnia zdecydował się na upublicznienie stworzonego przez siebie narzędzia, dzięki któremu można było dotrzeć do luk w Internet Explorerze. Ponownie rozpisały się o nim wszystkie specjalistyczne serwisy na świecie. – To nie było popisywanie się. Taka jest praktyka: wykryta luka, uprzedzona firma, brak działania z jej strony, to się dziurę ujawnia – mówi Łącki.

Szukanie dziury w całym

Reklama
Zanim opowiem o Michale Zalewskim, wyjaśnię kilka ważnych terminów:
1. Haker – osoba, która szuka i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym.
2. Cracker – osoba zajmująca się łamaniem zabezpieczeń komputerowych (zamkniętego oprogramowania lub serwerów). Obecnie słowo „cracker” używane jest jako określenie osoby włamującej się na serwery w sposób niezgodny z prawem. Używanie go w tym kontekście propaguje społeczność hakerska, według której stawianie znaku równości między hakerami a włamywaczami sieciowymi jest błędne.
3. Społeczność hakerska – grupy programistów, którzy dzielą się kodem źródłowym, wymieniają osiągnięcia i uczą się wzajemnie sztuczek lub lepszych sposobów programowania. Hakowanie w tym znaczeniu nie ma dla nich żadnego niszczycielskiego wydźwięku, co więcej, oznacza użyteczne rozwiązywanie problemów związanych z komputerami.
Tak tłumaczy to Wikipedia i tak rozumieją to ludzie zajmujący się bezpieczeństwem informatycznym. Ale powszechnie haker kojarzy się z przestępcą, który włamuje się do komputerów firm lub prywatnych użytkowników. I dlatego, choć „lcamtuf” aktywnie działa w społeczności hakerskiej, nie określa siebie mianem hakera. – W tradycyjnym znaczeniu kluczową wartością ruchu hakerów jest pasja i kreatywność w technologicznych pościgach – tłumaczy „DGP” Zalewski. – Medialnie jednak ten termin odnosi się do działań, których celem jest narażenie na szwank cudzych komputerów z czystej złośliwości lub dla zysku. A z tym oczywiście się nie identyfikuję – dodaje.
>>> Polecamy: Wirus komputerowy Zeus atakuje polskie banki
Historia Michała Zalewskego jest podręcznikowa. Od ośmiolatka, który dostał pierwszego 8-bitowca, na którym grał, po nastolatka zainteresowanego elektroniką, który odkrywa w internecie innych, równie zakręconych na punkcie komputerów fascynatów. – Wskazanie, kiedy zaczęło mnie pociągać bezpieczeństwo informatyczne, jest trudne. Myślę, że to było naturalne przejście od zainteresowania, jak system działa, do zrozumienia, jak można oprogramowanie złamać – tłumaczy.
Tak Michał trafił na legendarną już w świecie internetu listę dyskusyjną poświęconą zagadnieniom bezpieczeństwa teleinformatycznego – Bugtraq. Tysiące programistów z całego świata rozważało na niej wszelakie problemy związane z obsługą sieci i oprogramowania. Bugtraq w tamtym czasie miał własną politykę, zbiór zasad, z których jedną niezwykle ważną była publikacja wszelkich informacji dotyczących błędów w oprogramowaniu bez względu na reakcję ich twórców. Michał początkowo obserwował dyskusje i coraz więcej dowiadywał się o oprogramowaniu swojego domowego peceta. – Aż wreszcie zadałem swoje pierwsze pytanie o interesujący mnie problem. Ku memu zdziwieniu zostałem dopuszczony przez moderatora, ale zadowolenie szybko się skończyło, kiedy ktoś wyjaśnił mi, że ten mój poważny problem wcale nie był taki poważny – wspomina. Z czasem szukał rozwiązań do coraz bardziej skomplikowanych problemów i wskazywał je.

Cichy, ale głośny

Jeszcze w liceum, już wtedy znany w sieci jako „lcamtuf” (Zalewski tłumaczy, że to niemające sensu słowo było tzw. cheatcodem w jednej z gier z jego dzieciństwa; po jego wpisaniu bohater gry zyskiwał np. nieśmiertelność czy nieograniczony dostęp do amunicji), zaczął chałturzyć, wykorzystując wiedzę o oprogramowaniu. Pierwsze poważne zajęcie było również z tym związane – pracował jako administrator systemów sieci centrów handlowych. – I nagle po kilku miesiącach niespodziewanie dostałem ofertę pracy dla Telekomunikacji Polskiej – opowiada. Równolegle nadal udzielał się na Bugtraq i współpracował z kilkoma związanymi z bezpieczeństwem sieciowym projektami. W 2000 r. jako 19-latek dostał kolejną propozycję pracy i to od razu połączoną z koniecznością przeprowadzki do Stanów Zjednoczonych. O Zalewskiego upomniała się firma BindView, dziś znana jako producent oprogramowania antywirusowego Symantec. Przepracował dla nich w Bostonie ponad dwa lata, by w 2003 r. wrócić do Polski. Powód: miłość, małżeństwo, syn i praca dla Polskiej Telefonii Cyfrowej. Już wtedy Zalewski był w środowisku bardzo znany. – I to nie tylko w kraju – przekonuje Łącki.
W 2003 r. w kinach pojawił się sequel „Matriksa”. Świat IT wtedy z zaskoczeniem zauważył, że w jednej ze scen Trinity nie włamuje się do komputera – jak to zwykle w filmach bywa – za pomocą przeglądarki WWW, ale używa specjalnej wersji nmapa, czyli programu służącego do skanowania komputerów. Do uzyskania dostępu do zasobów maszyny wykorzystuje on błąd wykryty przez Zalewskiego w 2001 r. – Dlaczego ta właśnie wrażliwość została wykorzystania w „Matriksie”? Nie mam najmniejszego pojęcia – przekonuje Zalewski.
Wkrótce po premierze filmu amerykański wydawca zgłosił się do niego z propozycją napisania książki – nie podręcznika uczącego, jak chronić sprzęt, ani opowieści o hackingu, tylko książki na styku przewodnika o technologii i psychologii ataków sieciowych. „Silence on the wire” („Cisza w sieci”), która ukazała się w 2004 r., zebrała mnóstwo pozytywnych recenzji i ugruntowała pozycję „lcamtufa”.
Michał, choć nie brakowało mu zajęć zawodowych, nie przestawał działać w świecie IT. – Praca od 9 do 17 nie jest zła, ale może być nudna. Świat hakerów – jeśli się zechce – jest bardziej kolorowy, trochę nieprzewidywalny, kierowany przez pozafinansowe potrzeby dzielenia się wiedzą i dalszej nauki różnych sztuczek – opowiada i tłumaczy, jak to możliwe z jednej strony pracować dla wielkiej korporacji, a z drugiej rozwijać pasję.
– Świat ekspertów bezpieczeństwa był zaskoczony, gdy w 2007 r. Zalewski zaczął pracować dla Google – opowiada Łącki. – Zaskoczony nie dlatego, że Google zechciał Zalewskiego, tylko dlatego, że on się zgodził – dodaje.
>>> Czytaj też: Google - spółka medialna, która ma wrogów prawie wszędzie
Wielki amerykański potentat sam go znalazł. – Praktyką największych firm jest zatrudnianie takich ekspertów jak Michał Zalewski do prewencyjnego chronienia swojego oprogramowania. Wszyscy mają własnych hakerów, nic więc dziwnego, że Google postarał się o niego, przecież to jeden z najlepszych na świecie – tłumaczy nam Mirosław Maj, założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń, wieloletni szef zespołu CERT przy Naukowo-Akademickiej Sieci Komputerowej.
Świetną opinię o Zalewskim potwierdził też ranking opublikowany przez „eWeek” w 2008 r. Ten, jak sam o sobie mówi, „geek” trafił na 51. miejsce wśród 100 najważniejszych ludzi w świecie IT i na 5. miejsce wśród tych zajmujących się bezpieczeństwem teleinformatycznym. – Zalewski i jego praca to dowód na istnienie dziś już zupełnie innej jakości w hakingu. Nie chodzi o głośne akcje, o złośliwe działania, tylko o kreatywność i profesjonalizm. I tak działając po cichu, można stać się sławnym – podsumowuje Maj.