Ten o tym jak zacząłem

Jakiś czas temu przypomniałem sobie o moim początku z cyberbezpieczeństwem, ponieważ przypadkowo znalazłem pewien wyciek. Jak się okazało był to prawdopodobnie jeden z pierwszych znalezionych przeze mnie wycieków.

Ten artykuł powstał z okazji wybicia 2000 członków na mojej grupie - Cybersecawka. Dziękuję.

Był to rok 2011, grałem wtedy jeszcze w Minecrafta. Już wtedy interesowałem się prywatnością, bezpieczeństwem systemów, czy też serwerów gier i całe dnie próbowałem zrozumieć jak działają różne ataki na serwery Minecraft (przysięgam, że skrót do Minecrafta nazwałem “Hacking Playground” i nie wstydziłem się tego. Teraz jest mi bardzo głupio XDD). Jako że byłem młody i uwielbiałem filmy o hakerach (takie bardziej dokładne, bez takich czy też takich scen) to można się domyślić, że był to ten okres, gdy byłem black hatem. Nie zamierzam zdradzać dokładnych szczegółów, ale patrząc na to z perspektywy osoby, która teraz o bezpieczeństwie wie znacznie więcej (dalej za mało w moim odczuciu) to szczerze cieszę się, że ograniczyło się to tylko do serwerów w jakiejś grze (chociaż nawet wtedy można zaszkodzić całemu światu).
Pewnego dnia dowiedziałem się, że doszło do sporego wycieku z jakiegoś serwera. Podobno była jakaś izraelska grupa hakerska, która włamywała się na serwery Minecraft i wykradała bazy danych. Za tamtych czasów coś takiego jak bezpieczeństwo serwerów Minecrafta nie istniało, więc w większości były to bazy danych haseł* w plain texcie - coś na wzór tego wycieku. Bardzo zainteresowałem się sprawą i kilka tygodni później znalazłem wyciekniętą bazę. Wyobraźcie sobie 10 latka, który jara się filmami o hakerach, gdzie akcje często kończą się raidami policyjnymi i który znajduje taką bazę danych kilkunastu tysięcy haseł. Tak, zabarykadowałem się w pokoju i nie wychodziłem nigdzie przez parę dni. Dobrze, że nie miałem wtedy przyjaciół, bo bym ich stracił.
Jak wspomniałem było tam kilkanaście tysięcy haseł graczy, w tym administratorów serwerów. Więc wyobraźcie sobie teraz co 10-letni “haker” robi gdy może się komuś włamać na konto administratora na serwerze Minecraft. Grief, psucie renomy serwera, psucie zabawy, eh. Później odkryłem jeszcze, że ludzie używają tych haseł często w innych serwisach i tak stałem się posiadaczem kikudziesięciu kont Minecraft premium (tak, często używano tego samego hasła do logowania do Minecrafta*, do poczty, a także do innych serwisów, niestety).
Co dziwne nawet w tamtym momencie nie byłem na tyle głupi, żeby uważać siebie za mistrza wszystkiego, bo dalej wiedziałem, że są ludzie lepsi ode mnie, ludzie którzy wiedzą znacznie więcej i nie umywam się do poziomu tych, którzy wykradają te bazy danych. Więc zacząłem to robić. Ponownie, nie chcę mówić jak dokładnie tego dokonywałem, bo to nie było nic fajnego. Ale muszę przyznać, że dało mi to duże pojęcie tego jak działa cyberbezpieczeństwo i dzięki tym wybrykom nauczyłem się naprawdę wiele przydanych rzeczy (a także pogłębiłem swoje zainteresowanie cyberbezpieczeństwem oraz psychologią). Ale nawet wtedy nie doświadczyłem przerostu ego i nie uważałem się za najlepszego, z czego jestem dumny.

Z roku na rok, z miesiąca na miesiąc mądrzałem i zacząłem dawać ludziom rady jak zabezpieczać swoje konta i swoje serwery. Nastał moment gdy działałem na dwa fronty - byłem grey hatem. Jednocześnie wykorzystywałem moje “umiejętności” do zabezpieczania fajnych serwerów i szkodziłem serwerom, które mnie denerwowały. Podejrzewam, że w tamtym momencie posiadałem największą w Polsce Minecraftową bazę haseł, którą aktywnie używałem do następnych ataków.
Dowiadując się coraz więcej o cyberbezpieczeństwie powoli dorastałem.

Okolice roku 2013, w czasie gdy dostaję same piątki z informatyki zaczynam przenosić część mniej szkodliwych działań do prawdziwego życia przykładowo bawiłem się sieciami WiFi. Dowiedziałem się wtedy, że będąc podłączonym do WiFi można podsłuchiwać ruch sieciowy po HTTP. Oczywiście wszystkiego trzeba było się nauczyć samemu, więc siedziałem wiele godzin nad jakimiś narzędziami i próbowałem zrozumieć jak to działa. Nie wiedziałem wtedy, że bardzo często uczę się czegoś przez reverse engineering i jest to dla mnie najlepsza metoda nauki.

Rok 2016, na informatyce dalej GIMP, Word, Excel. “Wyrosłem” z bycia black hatem, całą swoją przeszłość skasowałem wymazując jedyny dysk, na którym miałem wszystkie bazy danych, narzędzia, pdfy z poradnikami (chociaż to sobie mogłem zostawić, bo teraz ciężko mi znaleźć tak dobrze opisane jak tamte). W klasie uchodzę za botmastera, bo często dla zabawy robiłem jakieś pojedyncze ataki botami na serwery Minecraft (za zgodą administracji danego serwera). W międzyczasie uczę się kryptografii, poznaję różne ciekawe narzędzia do skanowania internetu (np. shodan). Wtedy też postanowiłem przeprowadzić swój ostatni po dziś dzień “atak” na coś bez wcześniejszej zgody. Ofiarą padła pracownia szkolna. Podczas 20 minutowej przerwy, gdy nikt nie pilnował pracowni zainstalowałem na wszystkich komputerach skrypt, który o danej godzinie włączał przeglądarkę, wyświetlał wcześniej wybraną stronę, a następnie zabijał proces przeglądarki. Miałem 15 lat, więc wybór padł oczywiście na stronę pornograficzną. Na przerwie zaprosiłem kolegów i pokazałem im swoje “dzieło”. Na szczęście obyło się bez konsekwencji.

Rok 2019. Cyberbezpieczeństwo to moja jedna z wielu pasji. Uwielbiam czytać o nowych błędach w software, o nowych atakach, tak samo jak uwielbiam czytać o nowych odkryciach w kosmosie czy zagadnieniach psychologicznych. Patrząc na to co robiłem w przeszłości jednocześnie cieszę się, że nie zrobiłem nic bardziej głupiego i żałuję, że nie pociągnąłem tego bardziej, bo mając prawie 18 lat, interesując się cyberbezpieczeństwem od 12 lat (tak, interesowałem się tą tematyką gdy miałem 6 lat) nie potrafię napisać kawałka kodu. Ale chcę to zmienić.

Więc tak wyglądały moje skromne początki.
Nie chcę zostać źle zrozumiany - nie jestem nikim pokroju Kevina Mitnicka. Jestem zwykłym człowiekiem, który z nudów lubi czytać o dziwnych rzeczach i z braku czasu dzieli się swoją zdobytą wiedzą przykładowo pisząc na tym blogu, bo lubię pomagać ludziom.

*chodzi tu o hasła logowania się na sam serwer, nie do konta Minecraft

Stay safe.