Przejdź do treści

Pieśni o Bezpieczeństwie Sieci
blog Michała "ryśka" Woźniaka

Ściągawka z kultury hakerskiej dla mediów (i nie tylko)

Ten tekst został napisany na zlecenie OKO.press i tam oryginalnie opublikowany.

Poprawne uznanie autorstwa tego tekstu to: "Michał 'rysiek' Woźniak, Fundacja Ośrodek Kontroli Obywatelskiej „OKO”", powinno też zawierać odnośnik do oryginalnego tekstu w portalu OKO.press.

Obfite okraszanie przekazów medialnych dotyczących kwestii bezpieczeństwa informacji, włamań, wycieków, i cyberataków słowami “haker”, “zhakować”, i podobnymi, jest problematyczne:

  1. Utrudnia rzetelne zdanie sprawy z przyczyn danego wydarzenia, a w efekcie niemal uniemożliwia rzeczową debatę publiczną.
  2. Demonizuje kreatywną społeczność majsterkowiczów i majsterkowiczek, artystek i artystów, badaczek i badaczy systemów informatycznych, czy osób zajmujących się bezpieczeństwem informacji.

Utrudniona debata publiczna

Włamanie na konto pocztowe Michała Dworczyka świetnie ilustruje problem pierwszy.

Tytuły w stylu “Atak hakerski na Dworczyka” czy “Rząd zhakowany” stawiają Dworczyka i rząd w roli ofiar, które zostały “zaatakowane” przez jakichś domniemanych ale nieznanych (i przez to strasznych) “hakerów”, na których tym samym przenoszona jest odpowiedzialność.

Jak wyglądałaby debata publiczna, gdyby tytuły brzmiały “Wyciek tajnych danych z niezabezpieczonego konta Dworczyka” albo “Rządowe maile na prywatnej skrzynce pocztowej”? Być może skupiłaby się na fakcie, że Michał Dworczyk zachował się w sposób skrajnie nieodpowiedzialny. Być może też zastanawialibyśmy się, dlaczego osoby publiczne używają prywatnych kont pocztowych do oficjalnej komunikacji – czy próbują coś ukryć?

To nie są hipotetyczne dywagacje, przecież po publikacji informacji o wycieku maili częścią rządowego przekazu dnia byli “hakerzy z Rosji”

Problem jest szerszy: za każdym razem, gdy okazuje się, że jakieś usieciowione urządzenie nie zostało wystarczająco zabezpieczone przez producenta (od żarówek, przez samochody, po sex-zabawki), media piszą o “hakowaniu” i “hakerach”, zamiast skupić się na dostawcach wadliwego, niebezpiecznego produktu. W efekcie, mnóstwo energii idzie w debatowanie, jak “zabezpieczyć się przed hakerami”.

Z jednej strony nie rozwiązuje faktycznych problemów (rząd unikający korzystania z bezpiecznej infrastruktury państwowej, oficjele nie stosujący podstawowych zabezpieczeń, producenci sprzedający niebezpieczne produkty).

Z drugiej: tworzone są regulacje prawne (jak amerykańska CFAA), które osoby utalentowane technicznie i ciekawe traktują jak groźnych przestępców i terrorystów. To prowadzi do sytuacji, w których ktoś znajduje problem bezpieczeństwa w dużej firmie, informuje tę firmę, po czym zostaje oskarżony o “włamanie”.

Społeczność hakerska

Spora część tych utalentowanych technicznie osób nazwałaby siebie “hakerami”. Z drugiej strony, nie wszyscy hakerzy i hakerki są osobami technicznymi. Haker to ktoś ciekawy świata, myślący niesztampowo, lubiący przekraczać granice i dzielić się wiedzą: informacja chce być wolna.

Haker nie musi być informatykiem. Świetnymi przykładami hakerów z polskiego podwórka są Pomysłowy Dobromir, Antonisz, Adam Słodowy. Doskonale ilustrują kreatywne podejście do rozwiązywania problemów, pragnienie pomagania innym.

Polska społeczność hakerska koncentruje się wokół hakerspejsów. Większość z nich ma formę prawną (zwykle jest to stowarzyszenie lub fundacja), członkinie i członków, siedzibę, zarząd. Polscy hakerzy i hakerki brali udział w debatach publicznych, na masową skalę produkowali pro bono przyłbice antycovidowe dla osób pracujących na pierwszej linii pandemii, organizowali setki godzin warsztatów z cyberbezpieczeństwa. Stali się też przedmiotem pracy naukowej z dziedziny socjologii.

Globalnie hakerki i hakerzy są podobnie aktywni: biorą udział w konsultacjach społecznych, używają drukarek 3d do produkcji brakujących części zamiennych respiratorów dla szpitali, czy pomagają protestującym w czasie Arabskiej Wiosny obchodzić blokady internetu.

Trudno podać datę początkową ruchu hakerskiego – już Ada Lovelace jak najbardziej się w nim mieści – ale często wymienia się Tech Model Railroad Clubna MIT jako ważne miejsce i czas (przełom lat 40. i 50. XX w.) dla narodzin współczesnej kultury hakerskiej. Pierwsi współcześni hakerzy byli modelarzami kolejowymi. W tym czasie w PRL-u nazywaliśmy ich “majsterkowiczami”.

Wraz z popularyzacją komputerów osobistych i Internetu kultura hakerska się rozpowszechniła i nieco rozmyła. Powstały hakerspejsy, czyli “kluby hakera”: przestrzenie, w których hakerzy i hakerki mogą realizować swoje pasje i wymieniać się wiedzą. Jest miejsce na spokojną pracę z laptopem, wifi, prąd, i kawa. Czasem jest serwerownia. Często jest warsztat do pracy z drewnem czy metalem, drukarki 3d, warsztat elektroniczny, plotter laserowy. Większe hakerspejsy (jak ten Warszawski) mają cięższy sprzęt, na przykład tokarki.

Hakerspejsy tworzą nieformalną, globalną sieć miejsc, w których osoby ze społeczności, zgubione w nieznanym mieście, mogą uzyskać dostęp do prądu i Internetu, i znaleźć przyjazne towarzystwo. Z czasem niektóre hakerspejsy zrzeszyły się w większe organizacje hakerskie, jak niemiecki Chaos Computer Club. Powstały również ruchy powiązane: ruch wolnego oprogramowania, ruch wolnej kultury.

Pojawiły się też fablaby i makerspace’y, które skupiają się bardziej na praktycznej, twórczej stronie ruchu hakerskiego.

Granice są rozmyte, wiele fablabów i makerspace’ów nie czuje się częścią ruchu hakerskiego. Z grubsza: makerspace’y kładą mniejszy nacisk na etos hakerski, bardziej skupiając się na robieniu rzeczy. Mniej się też na ogół interesują elektroniką i informatyką. Fablaby z kolei to makerspace’y mniej nastawione na budowanie społeczności, a bardziej na udostępnienie (zwykle odpłatnie) pracowni wszystkim zainteresowanym.

Etos hakerski

Nie ma jednej, globalnie uznanej definicji etosu hakerskiego. Są jednak pewne stałe elementy, które pojawiają się w zasadzie na każdej liście:

  • wiedza ubogaca, dostęp do niej nie powinien być ograniczany (“informacja chce być wolna”);
  • autorytety są podejrzane, centralizacja (wiedzy, władzy, kontroli, itp.) również;
  • wartość hakera czy hakerki nie ocenia się na bazie z koloru skóry, płci, wieku, itp., a na podstawie wiedzy i umiejętności;
  • praktyka jest ważniejsza niż teoria.

Hakerzy i hakerki są często bardzo wyczuleni na różnicę pomiędzy faktem, że coś jest niezgodne z prawem, a faktem, że coś jest nieetyczne. Działania nielegalne i jednocześnie nieetyczne są dla nich zdecydowanie mniej interesujące, niż działania nielegalne a zarazem etyczne.

Stąd wsparcie społeczności hakerskiej dla organizacji dziennikarskich czy organizacji pozarządowych.

Stąd narzędzia takie, jak Tor Project, SecureDrop, Signal, czy Aleph, szeroko używane przez organizacje dziennikarskie na całym świecie, a zapoczątkowane i tworzone przez osoby ze społeczności hakerskiej.

Stąd też działania grup takich, jak Telecomix, od pomagania w obchodzeniu blokady internetu w Tunezji czy Egipcie, po wykradnięcie logów udowadniających, że amerykańskie firmy pomagały rządowi Syrii cenzurować Internet i szpiegować Syryjczyków.

Czemu Telecomix zdecydował się wykraść te logi? Ponieważ działania rządu Syrii i współpracujących z nim amerykańskich firm były skrajnie nieetyczne, a technologia była przez nie wykorzystywana w celach, które dla hakerów są nie do zaakceptowania: blokowania dostępu do wiedzy i dławienia opozycji. Etos hakerski w działaniu.

Hakerzy i włamywacze

Jak zwykle w kwestiach etycznych, ocena takich działań nie jest czarno-biała i jednoznaczna. Granica między hakerem a cyberprzestępcą jest nieostra, wyznaczona z grubsza właśnie przez ten niedookreślony etos. Nie daje to jednak licencji na równianie wszystkich hakerów i hakerek do cyberprzestępców.

Dobrym tłumaczeniem czasownika “hack” (w konteście kultury hakerskiej) jest “majstrowanie”. Zwykle oznacza coś kompletnie niewinnego, jak naprawianie swojego roweru czy montowanie półek w garażu. Co prawda “majstrowanie” przy cudzym zamku do drzwi brzmi podejrzanie, nie powiemy jednak: “ktoś mi się wmajstrował do mieszkania i ukradł telewizor”.

Istnieją hakerzy-włamywacze, tak samo jak istnieją majsterkowicze-włamywacze. Gdy majsterkowicz się gdzieś włamie, nazwiemy go włamywaczem. Gdy majsterkowicz coś komuś ukradnie, nazwiemy go złodziejem.

Absurdem byłoby mówić o “gangu majsterkowiczów” tylko na podstawie faktu, że przy większym rabunku użyto narzędzi.

Nie mówilibyśmy o “majsterkowiczach”, gdyby grupa młodzieży włamała się do pokoju nauczycielskiego, wyłamując zamek śrubokrętem.

Wreszcie, nie mówilibyśmy o “majsterkowiczach” również wtedy, gdy dana grupa przestępcza byłaby finansowana, wyposażona, i wyszkolona przez konkretne państwo, które ustalałoby cele jej włamań.

Jakoś jednak nie dziwią nas tytuły w stylu: “Rosyjskojęzyczni hakerzy zhakowali policję w Waszyngtonie” albo cytaty typu: “Policja namierzyła młodego hakera, teraz zajmie się nim sąd rodzinny.”.

Czym innym jest zorganizowana grupa przestępcza (nieważne, czy działa w Sieci, czy poza nią), czym innym młodociany wandal, a czym innym komórka szpiegowska. Trzynastolatek z Gdańska nie ma nic wspólnego z Rosyjskimi cyber-szpiegami, ci z kolei raczej niewiele z gangiem kryminalistów wyłudzających haracz on-line. Nazywanie ich wszystkich “hakerami” niewiele wnosi i nic nie wyjaśnia.

Zderzenie z rzeczywistością

Angielski czasownik “hack” znaczy “ciosać”, “rąbać”. Z czasem, na MIT właśnie, stało się też rzeczownikiem i nabrało znaczenia “psikus”, “psota”, zwłaszcza gdy chodziło o żarty wymagające inwencji i poświęcenia. W kulturze hakerskiej przyjęło też dodatkowy sens: “niekoniecznie eleganckie, ale skuteczne i błyskotliwe rozwiązanie jakiegoś problemu”.

“Problemem” może tu być złe napięcie w szynach modelu kolejki, blokada Internetu w Tunezji, albo… brak otwartego dostępu do biblioteki tekstów naukowych. A skoro “informacja chce być wolna”, to trzeba jej pomóc.

Tyle tylko, że to już może zostać łatwo zinterpretowane jako “cyberatak” – na bazie wspomnianych regulacji prawnych pisanych w celu “obrony przed hakerami”. To doprowadziło do zaszczucia hakera, aktywisty, współzałożyciela Reddita, pomysłodawcy SecureDropa i współtwórcy formatu RSS, Aarona Swartza. Po jego śmierci, JSTOR zdecydował się jednak nieco otworzyć swoje zbiory dla publiki.

Gdyby ruch hakerski nie był tak łatwo demonizowany, być może organa ścigania podeszły by do sprawy inaczej, i Aaron wciąż by żył.


Pytania i odpowiedzi

Jak nazwać ludzi, którzy włamują się do indywidualnych i zbiorowych systemów w złych celach?

Włamywaczami” albo “cyberprzestępcami”, jeśli mówimy o włamaniu natury kryminalnej. “Wandalami” (z przymiotnikiem, np. “cyfrowymi”, “sieciowymi”, itp.), jeśli mówimy np. o włamaniu i podmienieniu treści jakiejś strony – zwłaszcza jeśli nie było specjalnie skomplikowane technicznie (jak niechlubne hasło admin1 na stronie premier.gov.pl). “(Cyber)szpiegami”, jeśli mowa o atakach prowadzonych, finansowanych, lub powiązanych z rządami konkretnych państw.

Jeśli brakuje konkretnych informacji, zawsze można nazwać ich “atakującymi”, “agresorami”, itp.

Uwaga techniczna: często nie doszło nawet do włamania! Na przykład w przypadku “młodych hakerów”, którzy rzekomo się “włamali” na serwery e-dziennika, okazuje się, że atakujący “doprowadzili do ich [serwerów] przeciążenia, utrudniając na pewien czas prowadzenie zdalnych lekcji”. To tak, jakby grupa ludzi stworzyła sztuczny tłum przed wejściem do szkoły – trudno to nazwać włamaniem!

Kiedy nazwać kogoś hakerem?

W takich samych sytuacjach, w których (gdyby dane wydarzenie nie było związane z komputerami), nazwalibyśmy ich “majsterkowiczami”. To naprawdę dosyć dobry model.

[Majsterkowicze] włamali się do gabloty szkolnej i umieścili w niej niestosowne komunikaty” – raczej nie brzmi dobrze. Nawet, jeśli ci wandale sami siebie nazywają “majsterkowiczami”. A więc również nie “[Hakerzy] włamali się na stronę i podmienili treść”.

[Majsterkowicze] wyprodukowali 50.000 przyłbic antycovidowych i wysłali do szpitali i instytucji medycznych” – to działa. A więc i “hakerzy wyprodukowali…”.

[Majsterkowicze] włamali się do mieszkania ministra” nie ma sensu. A zatem również nie “hakerzy włamali się na konto ministra”: raczej “nieznani sprawcy”, “osoby podejrzane o współpracę ze służbami obcego kraju”, itp.

Czym są hakatony?

Hakatony to wydarzenia, na których osoby technicznie utalentowane starają się w krótkim czasie rozwiązać jakiś problem lub osiągnąć jakiś cel. Hakatony mogą na przykład być społeczne (jak Random Hacks of Kindness, czy dawniej polski SocHack), albo skoncentrowane na tworzeniu startupów (jak Startup Weekend).

Na czym tak naprawdę polega hakowanie?

Hakowanie to nic innego, jak majsterkowanie, tylko może nieco bardziej sugeruje użycie komputerów (a i to nie zawsze). Serio serio. Przekonać się o tym można w dowolnym lokalnym hakerspejsie.

Czy walka o ten termin nie jest już przegrana? Nie lepiej znaleźć inne słowo na tę społeczność?

Próbowaliśmy – “haktywista” i “aktywista cyfrowy” nie wzięły się z nikąd. I natychmiast zaczęły być używane w znaczeniu “cyberprzestępca”, na przykład tu:

“Activists or hacktivists are threat actors motivated by some political, economic, or social cause, from highlighting human rights abuse to internet copyright infringement and from alerting an organization for its vulnerabilities to declaring online war with people or groups whose ideologies they do not agree with”

Inne słowa zostały “odzyskane” przez ich społeczności. Społeczność LGBTQ+ odzyskala skutecznie słowa, które były pejoratywnymi określeniami osób homoseksualnych (nikt w mediach nie napisze dziś o nich używając np. nazwy części rowerowej, a przecież jeszcze w “Seksmisji” bohater mówi “nie róbcie z nas pederastów”!). Podobnie społeczność osób czarnoskórych w Stanach Zjednoczonych skutecznie odzyskała słowo-na-n.

I wreszcie, być może najważniejsze: czemu w ogóle mielibyśmy oddawać to słowo bez walki? Tak się nazwaliśmy, tak nasza społeczność się określa, czy nie należy się nam jakiś zupełnie podstawowy szacunek? Dlaczego mielibyśmy się po cichu zgadzać na publiczne równanie z kryminalistami i szpiegami tylko dlatego, że łatwiej komuś pisać “haker” niż zastanowić się, co się faktycznie wydarzyło w danej sytuacji?