Mikko Hyppönen i Mirek Maj rozmowy o bezpieczeństwie.

Mikko Hyppönen – dyrektor ds. badań w F-Secure. Ekspert w dziedzinie bezpieczeństwa komputerowego, publicysta. Pisał dla magazynów takich jak: Scientific American, Wired czy The New York Times. Od 1990 roku, Hyppönen pomagła w egzekwowaniu prawa w Stanach Zjednoczonych, Europie i Azji w temacie przypadków cyberprzestępczości, doradza rządom w dziedzinie bezpieczeństwa komputerowego. W 2011 roku znalazł się na 61. miejscu listy Top 100 Światowych Myślicieli sporządzonej przez Foreign Policy. Został również uznany przez PC Word za jednego z 50 najważniejszych ludzi Internetu. Polecamy również wystąpienia Hyppönena na platformie TED.

Mirosław Maj – http://cybsecurity.org/139-2/

 

MM: Na początek może pytanie na temat prywatności i temat portali społecznościowych. Mikko, jesteś bardzo aktywny na Twiterze, więc czy możesz się podzielić swoimi poglądami na temat użytkowania takiego portalu oraz zasadami jakimi się kierujesz dokonując wpisów?

MH: Tak. Twitter to dla mnie narzędzie zawodowe a nie prywatne. I nigdy nie robię wpisów dotyczących spraw osobistych takich jak np. co dziś jadłem. Nigdy też nie zamieszczam żadnych rzeczy na temat mojej rodziny czy przyjaciół. Nawet bardzo rzadko podaję informację na temat moich podróży. Na moim profilu nigdzie nie znajdziesz informacji, mówiącej że jestem w Polsce – a jestem.

Używanie Twittera pomaga mi natomiast zdobyć błyskawicznie informacje, zaraz po ich wydarzeniu. Kiedy coś ważnego się dzieje to jestem o tym informowany na bieżąco właśnie za pomocą Twittera. Jest też bardzo przydatny w dzieleniu się wieloma np nowinkami technicznymi, poza tym, pozwala kontrolować obserwatorów i gości na profilu.

Wszystko zależy od tego jak go używasz. Ja mam swoje własne zasady włączając w to nie zamieszczanie prywatnych wpisów na profilu. Powód tego jest taki, że mam swoich wrogów i nie chcę dawać im wglądu w moją prywatność.

MM: Czy Twoi wrogowie są niebezpieczni? To pytanie jest bardzo na czasie jeśli chodzi o bezpieczeństwo przetwarzania danych,  problem ten często się powtarza.

MH: Tak, to staje się coraz większym problemem. Nasze dane są rejestrowane i łatwo dostępne dla przestępców. Oni doskonale wiedzą kim my jesteśmy i co robimy więc trzeba o tym pamiętać i być ostrożnym. Ale jeśli pytanie brzmi: czy się boję? To odpowiedź jest: zdecydowanie nie!

MM: Czy słyszałeś o badaniach dotyczących problemów prywatności w sieci przeprowadzonych przez ENISA? Przeprowadzili eksperyment, w którym prosili ludzi o podanie swoich danych osobowych w zamian za zniżki na bilety do kina. Ile musiałbym Tobie zapłacić za podanie adresu domowego?

MH: Od ręki dałbym Ci adres, tyle, że zły.

MM: Co myślisz o takich rzeczach jak wartość RIOT Browser – czy to powinno być legalne, czy nie? RIOT  Browser to zaawansowane narzędzie, które jest prawdopodobnie zakontraktowane z władzami USA i daje możliwości bardzo głębokiego zbadania prywatności i śledzenia twoich kroków w Internecie, Facbook-u, Twitterze, to jest forma prezentacji. To jest bardzo interesujące gdyż, bazując na Twoich interakcjach w sieci Internet np. na Twitterze mogą stworzyć profil bardzo dokładny, mogą przewidywać, o której godzinie chodzisz np. na siłownie, do baru, itp. To jest robione na potrzeby rządu USA.

MH: I co dalej z tym RIOT-em?

MM: To zostało zaprezentowane przez The Guardian, przeczytaj sobie:

http://www.guardian.co.uk/world/2013/feb/10/software-tracks-social-media-defence

MH: Jedyna wartość prywatności jaka przychodzi mi w tej chwili na myśl to Google. Czy wiesz, ile Google zapłacił za prąd w zeszłym roku? 100 milionów dolarów – tylko za prąd – za używanie serwerów (Google wyszukiwarka, poczta, Youtube). W ostatnim kwartale zeszłego roku zainwestowali w nową bazę danych ok miliard dolarów – w ostatnim kwartale – na zakup nowych serwerów. Biorąc pod uwagę, że te serwisy są zupełnie darmowe dla użytkowników można pomyśleć, że to olbrzymia kwota. I nikt się nie zastanawia, że jest to dla nich opłacalne i firma przynosi miliony dolarów profitu kwartalnie. I to jest wartość prywatności – to jest odpowiedź jak płacimy za swoją prywatność – obracanie naszymi danymi przynosi im olbrzymie zyski. To jest niesamowite jak dużo operacji zachodzi w czasie korzystania z internetu i jak są one dla niektórych cenne.

MM: Możemy to prosto przekalkulować na podstawie naszej wiedzy dot. ilości użytkowników Googla.

MH: Czyli ok. 1 miliarda użytkowników,  a roczny przychód około 30 miliardów dolarów. To znaczy jeden użytkownik to obrót około 30 dolarów. Ja jestem warty 30 dolarów w obrotach Googla i Ty też jesteś warty 30 dolarów. Czy klikasz na ogłoszenia Googla?

MM: Bardzo rzadko.

MH: Ja też, prawie nigdy, ale wiele osób klika i to często. Niektórzy wydają na to 5 dolarów, a niektórzy nawet 200.

MM: Obserwowałem Twoją wyprawę do Pakistanu, gdzie spotkałeś twórców wirusa BRAIN. To było bardzo interesujące. Ja nigdy tam nie byłem.

MH: Żałuj bo to wspaniałe miejsce, bezpieczne i ludzie są sympatyczni.

MM: Moje pierwsze obawy-przemyślenia jakie przychodzą mi do głowy to wyrozumiałość dla tych co napisali tego (według mnie) niebezpiecznego wirusa, za to, że byli przeciw złośliwemu zachowaniu wirusa co jest bardzo ważne.

Czy jest coś jeszcze ukrytego za obrazkiem? Tzn. czy chciałbyś coś jeszcze interesującego nam zaprezentować, pokazać?

MH: To chłopaki… Zupełnie inni niż byli 25 lat temu. To długi czas. Teraz są biznesmenami, mają rodziny, są odpowiedzialni w tym co robią. Oni odpowiedzieli bardzo prosto „my to zrobiliśmy, ale jeśli nie bylibyśmy pierwszymi to ktoś inny by był”. Bardzo się cieszę, że ich poznałem, spotkałem. Nie mam więcej kopi Brain’a. Jedyną którą miałem zostawiłem w Pakistanie.

MM: Chciałbym Cię także zapytać, co myślisz o wynajmowaniu formalnych pisarzy profesjonalnych wirusów hakerskich? Widziałem Twój przykład rekrutacji ludzi, którzy byli znanymi – nazwijmy ich atakującymi. Ale nikogo to nie obchodziło, przynajmniej podczas tej rekrutacji. Jaka była Twoja przeszłość.

MH: Co ja o tym myślę. Pozwól, że zadam ja Tobie takie pytanie: Czy jesteś wynajętym kryminalistą?

MM: Nie.

MH: Ja też nie. Czy to nie jest odpowiedź???

MM: To jest Twoja opinia. Ale czy wy tego nie robicie?

MH: Nie. My mamy już wdrożone procedury.

MM: Czy myślisz, że Rząd to robi?

MH: Tak. Aby się bronić wynajmują hakerów. Przestępcy działający online, lub piszący wirusy mogą mieć pewne trudności ze spełnieniem norm dotyczących niekaralności, dla tego nie wszyscy mogą dołączyć do grupy obrony przeciw atakom. Ale tak jak widziałeś, to jest bardzo powszechne zjawisko, jest więcej rekrutowanych hakerów atakujących w firmach zajmujących się bezpieczeństwem, niż specjalistów ds. bezpieczeństwa. I to mnie martwi…

MM: Co według Ciebie należałoby zrobić aby przeciwdziałać temu zjawisku? Czy masz jakiś mądry pomysł?

MH: przede wszystkim edukacja. Oni muszą wiedzieć, że mogą użyć swoich umiejętności w dobrym celu. I że użycie umiejętności w dobrym celu jest dla nich korzystniejsze. To powinno być już poruszane w szkołach, gimnazjach i uniwersytetach. Powinno być pokazywane to, że jak się raz wejdzie na złą drogę to potem ciężko jest zawrócić na odpowiednią.

MM: Oni mają tyle wewnętrznej energii żeby coś robić, jak myślisz jak można im pokazać, że złe wykorzystywanie swoich umiejętności może im tylko zaszkodzić, ale nie mówiąc im: to jest złe – bo to do nich nie przemawia. Jak znaleźć sposób na ukierunkowanie tej energii w dobrą stronę?

MH: Ja wiem, że oni są bardzo młodzi. Rozmawiałem z takim chłopakiem, który miał 14 lat. Nie mógł znaleźć pracy ponieważ był za młody. Szukał możliwości zarobienia pieniędzy na swoich umiejętnościach. I niestety znalazł tę niewłaściwą drogę zarobku. Bardzo ważne dla młodych ludzi jest znalezienie im zajęcia. Poradziłem mu by zajął się programowaniem iPhona (grami). On się temu przyjrzał, napisał kilka gier, a kilka nawet opublikował w iStore. Zarobił trochę pieniędzy a ma dopiero 14 lat. To było legalne i jednocześnie dochodowe. Więc są możliwości zarobku nawet dla młodych, jeśli mają umiejętności. Trzeba być tylko trochę kreatywnym.

MM: Co myślisz na temat  ruchu Annonymus. Jak wiele jest w tym ruchu prawdziwej walki ideowej a ile zniszczenia? Koncept czegoś niszczącego – bo lubię niszczyć…

MH: To jest nie do zmierzenia. Ludzie są różni. Ja jestem Annonymusem, Ty jesteś, i każdy jest. Więc trudno to ocenić.

MM: Te ich ostrzeżenia My wszyscy jesteśmy Annonymus brzmią jak wspaniałe idee a czy Ty wierzysz w to, że nie ma w tym niczego destrukcyjnego?

MH: Tak jak powiedziałem, kiedy Annonymus krzyczą: „to nie my zrobiliśmy ten atak, to nie Annonymus”, – to co to znaczy? – przecież wszyscy nimi jesteśmy. Ale to jest nieprawda.

Jest ciekawe porównanie odnośnie tego problemu, a mianowicie uliczny protest. Większość osób jest prawdziwymi aktywistami, którzy uczestniczą w nim w imię idei, ale jest też jeden facet, który przyszedł po prostu się bić i jest mu wszystko jedno co jest ideą tego protestu.

I właśnie tak samo jest z Annonymus. Jedni robią to w imię idei, bo chcą coś zmienić a inni po prostu dla zniszczenia. Dobrym przykładem jest gdy Annonimous postulują wielkie idee a wystarczy jeden z nich, który złamie pewne zasady i włamie się gdzieś, to mamy do czynienia z tą samą historią. Na przykład w jednej z Amerykańskich firm doszło do włamania hakerskiego, każdy się dziwi jak to się stało?  Skradziono dane pracowników, dane kart kredytowych klientów i znowu mamy do czynienia z tą samą historią. Dlaczego? Bo to byli źli ludzie, zła firma…. To jest oportunizm.

MM: Powiedziałeś podczas swojej prezentacji, że zalegalizowanie DDoS może być problemem dla nowej generacji. Ja myślę, że to głosy za legalizacją DDoS są coraz częstsze. Czy sądzisz o zalegalizowaniu DDoS? Czy jesteś pewny, że to nie będzie problem dla naszego pokolenia?

MH: Możesz mieć rację. Pewnie wkrótce będziemy musieli podjąć takie decyzje. Mamy pewne opóźnienia, ponieważ DDoS nie był nielegalny 10 lat temu. Nikt nie mówił wtedy – to jest atak, to jest nielegalne. Teraz ludzie używają DDoS coraz częściej i w różnych celach np. w ramach protestów i w walce o jakieś idee, co nie jest nielegalne, natomiast niektórzy poprzez atak DDoS zatykają ruch na stronach internetowych np. jakiejś korporacji, która łamie prawa człowieka. Ja nie widzę tu dużej różnicy.

MM: Myślę, że odpowiedzią na to pytanie jest źródło tego ataku. Czy jest to własny komputer atakującego czy nie.

MH: To prawda, jeśli używasz do ataku swojego komputera to jest ok. Wielu Annonymus atakuje ze swoich własnych komputerów. I potem dumnie przed sądem mówią: „tak to ja i wiedziałem, że mnie znajdziecie. Nie zależy mi na tym, bo jestem dumny z tego co zrobiłem”. I ja się z tym zgadzam.

Druga część rozmów o bezpieczeństwie „Mikko Hyppönen i Mirek Maj rozmowy o bezpieczeństwie”, już wkrótce w biuletynie CIIP focus.

 

Share Button