Raksts

Pilsoniski aktīvs hakeris. Vai tas ir iespējams?


Datums:
26. marts, 2013


Autori

Indra Mangule


Foto: therobedscribe

Cilvēkiem vairāk jādomā par savu datu un informācijas drošību. Intervija ar hakeri.

PROVIDUS asociētā pētniece Indra Mangule intervē hakeri*

Vai pastāv ‘hakeru kopiena’ Latvijā?

Mūsdienās tas vairs nav ļoti aktuāli, jo visi ir pārgājuši uz kaut kādām internacionālām metodēm, kā sazināties. Kādreiz Latvijā bija hackers.lv, kur tika publicēti dažādi ‘sasniegumi’ – ko ir paveikuši vietējie hakeri. Šobrīd tas viss ir pazudis, tāpēc, ka ir ļoti vienkārši komunicēt internacionālā vidē.

Vai tas nozīmē, ka Latvijā tādas ‘hakeru komūnas’ nemaz nav?

Kopumā šajā jomā praktiski viss ir ar globālu ietekmi, ja vien mēs nerunājam par kaut kādiem politiski motivētiem uzbrukumiem vai kaut ko tamlīdzīgu. Protams, ka būtu labi, ja būtu tāda veida komūna, kas ir orientēta uz labiem mērķiem.

Kas ir ‘labi mērķi’ šajā kontekstā?

Labi mērķi ir, piemēram, informēt par uzbrukuma iespējamību; apmācības latviešu valodā par iespējām aizstāvēties no uzbrukumiem. Tie cilvēki, kuri uzbrūk, viņi, lielākoties, arī saprot, ko dara un zina arī, kā no tā izvairīties. Līdz ar to – ja būtu vienā vietā, kur apgrozās industrijas eksperti kaut kāda informācija latviski, tad, protams, no tā būtu labums. Sliktie mērķi – ja tur [kopīgā vietnē] apmainītos ar informāciju par veidiem kā uzlauzt kādu serveri vai mājaslapu, vai arī publicētu savus sasniegumus lielīšanās nolūkā un tamlīdzīgi.

Kādās aktivitātēs esi piedalījies pats?

Kādreiz, pirms daudziem gadiem tika darītas daudzas muļķības. Tad nebija bail no sekām vai šķita, ka industrija nav tik attīstīta, lai kāds par to uztrauktos.Tas bija vairāk, lai palielītos par saviem sasniegumiem vai spējām. Tomēr tas noteikti nebija nekāds zaudējumus radošs darbs.

Vai pastāv tāda ‘hakeru ētika’ –nerakstīti likumi? Ko tie paredz?

Hakerus dala divās (vai trīs) grupās: blackhat hakeri un whitehat hakeri, vai greyhat hakeri. Blackhat hakeri ir tie, kas principā nodarbojas ar ‘ļaunu’ darbību. Zog informāciju, piemēram, kredītkaršu datus, personīgos datus. Whitehat hakeri informē par ievainojamībām vai arī nodarbojas ar aizsardzību, bet tajā pašā laikā viņi arī interesējas par to, kā uzbrukt. Tomēr viņu [whitehat] primārais mērķis ir nodarboties ar pētniecību, aizstāvēties un informēt kādu uzņēmumu vai iestādi par to, ka viņiem ir ievainojamība. Attiecīgi – netiek nekas publicēts , kamēr tas nav novērsts. Šeit arī parādās – citās valstīs, kur šī kultūra ir attīstītāka, ir pieņemts, ka hakeri var nebaidīties par to, ka informē kādu par iespējamo ievainojamību. Latvijā nav šādas prakses. Cilvēki baidās no tā, ka viņiem draudēs tiesu darbi un viņus nosūdzēs policijai. Tāpēc, pat ja viņi ir ‘labie hakeri’, viņi izvēlas nevienu neinformēt. Tie, kas ir sliktie, protams, izdara to, ko viņi grib, jo ētika viņiem nespēlē nekādu lomu.

Kā, piemēram, raudzīties uz tā dēvēto “Imantas hakera lietu”?

Manuprāt, diezgan pārspīlēta reakcija no mediju puses. Visiem IT cilvēkiem ir skaidrs, ka viņš nebija ne tuvu galvenajiem “īpašniekiem” un presē nosauktajiem miljoniem. To varētu salīdzināt ar narkobiznesu, kurā viņš spēlētu izplatītāja lomu. Tas arī izskaidro to, ka viņu pieķēra un kāpēc viņš dzīvo Imantas daudzstāvu namā. Pieļauju, ka bija viegli noķert, pateicoties Latvijas sadarbībai un viņa neuzmanībai. Mērķis, droši vien, ir noskaidrot, kas ir augstākstāvošie personāži.

Ja salīdzinātu šo ‘labo hakeru’ praksi ar t.s. Robina Huda darbības principu un sasaistītu to ar Latvijas kontekstu un, mums labi zināmo, Neo piemēru. Kā tev šķiet, vai to var tulkot kā pilsonisko aktīvismu, lai arī tiek pārkāpts likums?

Nē, nu, Robina Huda princips ir skaists teorijā. Tomēr likumi eksistē, lai novilktu kaut kādas robežas. Ja mēs skatāmies uz Neo darīto, tad tur var piemeklēt dažādas atsauces uz fizisko pasauli – ko tas būtu nozīmējis, ja viņš to pašu būtu izdarījis nevis internetā, bet dzīvē. Par to es, protams, nevaru spriest, tas ir juristu darbs. Bet, ja viņš ir pārkāpis likumu, tad viņam attiecīgi pienākas kaut kādas sekas. Diemžēl nevar visus gadījumus izvērtēt individuāli. Kaut arī viņš [Neo] varbūt kaut kādu labumu pienesa tautai, mēs nevaram atgriezties pie principiem, ka mēs staigāsim pa ielām ar dakšām un izvēlēsimies, kuru sodīt un kuru nesodīt, ja abi ir pārkāpuši likumu.

Kā tu būtu rīkojies?

Es noteikti nebūtu to darījis tā kā viņš to darīja. Neo to pārvērta par politisku aktivitāti. Tas bija mērķis – viņš gribēja kaut ko ar to panākt. Es neuzskatu, ka tā ir labākā metode. Viņam būtu jāiet pa citiem ceļiem, legāli tas jādara, lai neizliktos publiski par upuri, vai, es nezinu… Skaidrs, ka ir jābūt kaut kādiem pirmsācējiem, lai kaut ko mainītu. Es saprotu, ka tauta viņu atbalsta par to, ko viņš darīja. Tajā pašā laikā, kā jau es teicu – mēs nevaram pieļaut to, ka cilvēki taisa kaut kādu linča tiesu, vai izvēlas, kuru sodīt un kuru nesodīt.

Ja hakerim ir pieejamas zināšanas vai iemaņas, ar kuru palīdzību viņi var ‘celt gaisā’ sabiedrībai nozīmīgu informāciju, vai, tavuprāt, viņiem ir pienākums to darīt?

Ārzemēs ir pieņemta kultūra – ja tu kaut ko atrodi kā hakeris, kaut kādu ievainojamību, tu vari droši (ne visur, protams) paziņot par to un sagaidīt pat kaut kādu atlīdzību par to. Bieži tiek izsludinātas atlīdzības par to, lai atrod kaut kādu ievainojamību Facebook vai Google. Tā hakeris var saņemt ļoti ievērojamu naudas summu. Savukārt Latvijā, ja tu to darīsi, tad tev tas ir jādara anonīmi. Jāiet garš ceļš, lai tevi pēc tam nevarētu atrast, gadījumā, ja viņi gribēs tevi nodot policijai. Kādēļ tad to darīt? Līdz ar to, tā ir lieta, kuru būtu jāmaina, lai sagaidītu kaut kādu ‘labdarību’ no hakeriem.

Kurām sistēmām būtu jābūt visdrošākajām?

Tādu, kurām jābūt visdrošākajām valstiskā līmenī ir ļoti daudz – tas pats VID, praktiski visas ministrijas, Valsts Policija un visas pārējās valsts iestādes, kas uztur informācijas sistēmas, glabā jebkādus personu datus. Tās ir sistēmas, par kurām būtu ļoti jārūpējas drošības ziņā.

Trūkumi ir ļoti individuāli, tādēļ arī nepieciešami drošības auditi. Aizsargāties var, apgūstot tipiskāko uzbrukumu metodes un izmantojot jaunāko programmatūru, kur tas iespējams. Valsts iestāžu informācijas sistēmām ir likumā vai Ministru kabineta noteikumos noteikts, es neatceros precīzi kā bija formulēts, ka nepieciešams veikt drošības auditu reizi gadā vai reizi divos gados. Drošības audits, principā, nozīmē to, ka tiek noalgoti drošības eksperti, kas pārbauda informācijas sistēmu ievainojamības. Tas ir pats mazākais, ko var darīt. Papildus var pārbaudīt drošības politiku, kas ietver lietotāju pārvaldību, paroļu drošības noteikumus, to, kā vispār tiek organizēts darbs, kā tiek pārbaudītas jaunas sistēmas versijas. Ar to nodarbojas daudz, tas tiek regulāri darīts.

Vai ar to pietiek?

Nesen tika paziņots interesants jaunums, ka tiek veidota kiberzemessardze. Tas, šķiet, ir interesants projekts, un tajā varēs piedalīties brīvprātīgie. Savstarpēji sadarbojoties, viņi varēs apmācīt valsts pārvaldes darbiniekus un citus, lai iegūtu jaunas zināšanas. Tas, protams, ir ļoti noderīgi, jo visbiežāk drošības problēmas rodas cilvēcīgu kļūdu dēļ. Nepieciešams, lai būtu kāds veids, kā droši, nebaidoties par savu brīvību, paziņot par kaut ko, kas tiek atrasts nejauši vai speciāli kaut ko meklējot. Mehānisms ir skaidrs. Ārzemēs hakerim par to var samaksāt. Protams, ir ļoti maza iespēja, ka kāda [Latvijas]valsts iestāde ko tādu uzņemtos. Tas būtu ļoti pārsteidzoši. Kaut vai tikai ērts veids, kā par to paziņot. Es domāju, viens vai divi gadījumi, kas no tā tiktu iegūti, būtu tā vērti. Tas ir elementāri – vienkāršs veids kā paziņot, e-pasta adrese ar paskaidrojumu, un garantija, ka tam nebūs nekādas sekas. Tas būtu ļoti liels uzlabojums.

Ir dzirdēts par to, ka norisinās dažāda veida pasākumi šajā jomā, tādas kā sacensības, kā arī pasākumi pašvaldību līmenī, lai pārbaudītu to mājaslapu drošību. Cik vērtīgi ir šādi pasākumi?

Es sekoju līdzi Latvijas jaunumiem un zinu, ka, piemēram, Valmierā notika ‘Hackfests’ – tieši šāda veida pasākums. Tā, manuprāt, ir ļoti laba doma, jo viņi [pašvaldība] principā ieguva iespēju piesaistīt drošības ekspertus un entuziastus, kas viņiem varēja pārbaudīt sistēmu drošību. Spriežot pēc pieejamās informācijas, pašvaldības izmantotie līdzekļi tur bija minimāli, jo balvu fondu nodrošināja sponsori, kas bija privāti uzņēmumi. Ja pašvaldībām un valsts iestādēm nerodas nekāds interešu konflikts, tad tas, manuprāt, ir ļoti labi. Tiek piesaistīti cilvēki šajā jomā, un tajā pašā laikā šīs pašvaldības vai valsts iestādes iegūst sev vismaz kaut kādu ieskatu savu sistēmu drošībā, neveicot oficiālu auditu. Tiesa, tās lietas varbūt nevar objektīvi salīdzināt, jo nav teikts, ka cilvēki, kas piedalīsies ir attiecīgi spējīgi vai ir eksperti.

Pilsoniski aktīvs hakeris. Vai tas ir iespējams un kādai jābūt motivācijai?

Motivācija var būt dažāda – gan sacensību gars, gan arī samaksa. Bet, tā kā es neesmu patriots, man nav nekāda iemesla riskēt ar savu brīvību, lai mēģinātu kaut ko atrast kādā valsts iestādes sistēmā vai mājaslapā. Es nejūtu nekādu motivāciju to darīt.

Kam vēl vajadzētu mainīties, lai radītu ‘veselīgu hakerisma vidi’?

Veselīgs hakerisms? (smiekli) Es domāju, ka nekas nemainīsies. Vienmēr tas notiek tā – cilvēki, kad viņi sāk par to interesēties vai kaut ko darīt šajā jomā, viņi vienmēr gribēs kaut kā eksperimentēt. Tas var arī būt neveselīgi, ja viņi nezina, ko viņi dara vai tāpēc, ka viņiem ir vienalga, vai neapzinās sekas. Manuprāt, būtu jāuzlabojas izglītības kvalitātei universitātēs. Cilvēki, kas šeit pabeidz studijas, nav ne tuvu tik zinoši, kā tam vajadzētu būt. Protams, tas ir subjektīvs viedoklis. Noteikti nepieciešama valsts interese par jomu. Teorētiski tā pastāv, ņemot vērā to pašu NBS iniciatīvu un cert.lv eksistenci. Tas, protams, notiek viļņveidīgi – ja kaut kas ļoti ‘skaļš’ notiek, tad kāds par to parunā, bet tas arī drīz vien beidzas.

Es domāju, ka cilvēkiem ir jāinteresējas par drošību. Tas, ka viss tiek digitalizēts, ir pilnīgi skaidrs. Pilnīgi viss – privātā dzīve Draugiem.lv, Facebook un arī visi personas dati visās valsts un ne-valsts iestādēs. Līdz ar to, cilvēkiem vienmēr ir jādomā par to, ko viņi raksta internetā, kādus datus viņi nodod, kādai iestādei vai uzņēmumam, portālam vai tamlīdzīgi. Tas arī viss – jādomā cilvēkiem vairāk par savu datu un informācijas drošību.

______________________________________________________________

*savas nodarbošanās dēļ, hakeris vēlējās palikt anonīms


Saturs, kurš šajā mājaslapā publicēts 2014.gadā un agrāk, bija daļa no sabiedriskās politikas portāla politika.lv. Šajā portālā tika publicēti dažādi pētijumi, analīzes, viedokļraksti un blogi, kuru saturs ne vienmēr sakrīt ar politika.lv redakcionālās komandas vai Providus pozīciju.

Creative commons licence ļauj rakstu pārpublicēt bez maksas, atsaucoties uz autoru un portālu providus.lv, taču publikāciju nedrīkst labot vai papildināt. Aicinām atbalstīt providus.lv ar ziedojumu!