„To kłamstwo, że musisz być specjalistą, żeby zrozumieć, jak działają hakerzy” – pisze Kate Fazzini w swojej książce „Królestwo kłamstw”. – A największym kłamstwem jest to, że hakerzy są samymi wybitnymi specami od informatyki. Cyberprzestępcy, którzy dają sobie najlepiej radę, to ci, którzy potrafią emocjonalnie zaangażować ofiarę – mówi w rozmowie z SW+.
– Dziennikarze zawsze kłamią, co nie?
– Nie, nie sądzę, że kłamią – odpowiada Sig, rozsiadając się wygodniej na krześle. (...) – Są jak nastoletni chłopcy, którzy oglądają porno. Patrzą i mówią: „Zobacz, jak się pieprzą! A teraz ona ma orgazm! Patrz!” (...) Myślą, że byli świadkami seksu, że mogą go komuś opisać. Ale nie mogą. Widzieli tylko to, co chcieli im pokazać aktorzy, realizator, kamerzysta, producent viagry i chirurg plastyczny.
Ten dialog z książki „Królestwo kłamstw” doskonale oddaje nie tylko nastrój samego reportażu. Co najważniejsze, mówi bardzo dużo o tym, z czym zderzają się dziennikarze – choć nie tylko oni, bo także scenarzyści, pisarze… Praktycznie wszyscy, którzy próbują opowiadać o cyberprzestępczości. Mamy bardzo rozbudowane oczekiwania wobec sprytu, umiejętności i całej aury wyjątkowości tego procederu, zapominając, że stoją za nim zwykli ludzie, a nie bohaterowie serialu „Mr. Robot”. I wcale nie oznacza to, że co robią i jak robią nie jest ciekawe. Wręcz przeciwnie.
Jak bardzo fascynujący jest ten świat, pokazuje Kate Fazzini. Była reporterka Wall Street Journal zabiera nas w podróż po świecie cyberniebezpieczeństw, w którym spotykamy bardzo zwykłych ludzi potrafiących bardzo niezwykłe rzeczy. Są wśród nich: Rene – licealistka z Rumunii, Walery Romanow „król hakerów” z Moskwy, Caroline z banku NOW, która jest niczym matka hakerów czy elegancki Niemiec Siga, który nigdy nie założył bluzy z kapturem i od dziesięciu lat nie zhakował komputera, ale za to potrafi zorganizować całą siatkę cyberprzestępczą. Ich życiorysy się przeplatają i wspólnie tworzą opowieść o różnych obliczach zarówno cyberprzestępców, jak i cyberochroniarzy.
Wszystkie te nazwiska są zmyślone, ale postaci i wydarzenia opisywane przez Fazzini są już jak najbardziej prawdziwe. Losy bohaterów zbiegają się wokół ataku na bank NOW, którego nazwa też nie jest prawdziwa. W napięciu śledzimy kolejne wydarzenia, które opowiedziano tak, jak w niezłej sensacyjnej powieści. Choć nie ma tu żadnych nadzwyczajnych chwytów hakerskich, wielkich skomplikowanych układanek czy krwawej walki wywiadów. Jest za to wnikliwie opisana psychologia poszczególnych postaci rozgrywającego się dramatu. Atakujących, atakowanych i broniących przed atakami. Bo to właśnie ich wytrwałość i zdolności rozgryzienia rywali okazują się kluczowe. To oraz umiejętność skutecznego kłamania lub odkrywania cudzych kłamstw.
Fazzini swoją książkę kończyła dwa lata temu tuż po wyborach do Kongresu USA, wokół których wieszczono, że będą mistrzostwami świata w cybermanipulacjach. „To oczywiście jeszcze jedno kłamstwo. Nasze kolegia wyborcze same, bez pomocy rosyjskich elit, świetnie spartaczyły głosowania na poziomie lokalnym” – gorzko stwierdza reporterka. I podkreśla, że opanowanie kłopotów związanych z bezpieczeństwem w sieci naprawdę nie jest wyzwaniem ponad możliwości odpowiedzialnych za zapewnienie bezpieczeństwa. „Teoria, że żyjemy w dziwnych i wyjątkowych czasach (...) daje rządom, korporacjom i instytucjom wymówkę (...), że sytuacja jest teraz tak skomplikowana i niezrozumiała, że po prostu nie da się jej rozwikłać i nikt nie powinien tego od nich wymagać” – podkreśla autorka.
To podsumowanie idealnie nadaje się też do tego, co dziś przeżywamy. Nie tylko w kontekście kolejnych wyborów w Stanach. Tylko całego naszego przekonania, że nic nie możemy zrobić w kwestiach poczucia bezpieczeństwa, że to jest tak skomplikowana i nowa sytuacja, że przecież nie ma co za dużo wymagać od służb i rządów.
„Królestwo kłamstw” Kate Fazzini, Wydawnictwo Literackie, 2020.
Książka dostępna w wersji papierowej oraz jako e-book.
– Cyberprzestępczość jest znacznie łatwiejsza niż nam się wydaje. To naprawdę nie jest neurochirurgia – przekonuje w rozmowie z SW+ Kate Fazzini.
Bohaterowie twojej książki to nie są aż tak tajemnicze i barwne postaci jak z najbardziej kultowych opowieści o hakerach. Ale i tak są na tyle ludzko i żywo opisani, że nawet tych będących „black hatami”, czyli przestępcami, w pewien sposób podziwiasz.
Kate Fazzini: Słowo „podziwiasz” jest może trochę na wyrost. Raczej doceniam i starałam się ukazać ich ludzki wymiar. Po obu stronach cyberbezpieczeństwa są ludzie, którzy przechodzą w tę i we w tę, raz na ciemną, raz na jasną stronę mocy. Część z nich w młodości popełniała błędy, miała problemy, a potem pod wpływem dojrzewania dorastali do głębszego spojrzenia na to, co robią i jak mogą to wykorzystać. Cześć podejmowała decyzje pod wpływem bieżących zdarzeń. Niektórzy z tych ludzi faktycznie stali się moimi bliskimi przyjaciółmi. Mam wciąż bliski kontakt z rosyjskim hakerem, którego dziecko jest teraz w college'u. Ojciec walczy o to, by podjęło ono w życiu lepsze wybory niż on sam. Więc taki jednoznaczny, twardy podział na dobrych i złych, na białe i czarne kapelusze jest tak naprawdę dosyć płytki. Jest w tym środowisku znacznie więcej odcieni szarości. Nawet obrońcy naszego bezpieczeństwa czasem przekraczają granice, traktują ludzi źle, zachowują się jakby byli na wiecznej wojnie, choć to nie jest wcale wojna. Po drugiej stronie nie są przecież wrogie wojska i państwa tylko tacy sami ludzie.
Rzeczywiście mocno przebija z twojej książki fakt, że nie mamy do czynienia w tradycyjnym polem bitwy, a raczej z grą, w której ścierają się umiejętności, szczególnie oszukiwania. To, jak dobry jesteś w swojej pracy, w dużej mierze wynika właśnie z tego, czy potrafisz rozgryźć przeciwnika.
Dokładnie. Właśnie to motywuje ludzi i pcha do bycia coraz lepszym w swojej pracy. Tylko z jedną postacią z mojej książki nie udało mi się osobiście skontaktować, choć bardzo się o to starałam. Jest to też jedyna osoba, która przejawiała zachowania psychotyczne. Ale tacy ludzie są nie tylko wśród hakerów. W każdej branży na świecie są tacy specjaliści, lekarze, politycy, biznesmeni… Ludzie, którzy by osiągnąć swoje cele, są skłonni ranić innych. Wśród hakerów są przecież też tacy, którzy jeżeli tylko trafią na odpowiednie środowisko, są skłonni kierować się jak najbardziej pozytywnymi pobudkami.
Skoro przekonujesz, że wszyscy w cyberbezpieczeństwie kłamią, to jak byłaś w stanie ocenić, czy twoi bohaterowie nie kłamią, rozmawiając z tobą? Nie wybielają siebie i tego, co nimi kieruje?
Napisałam tę książkę, bo mam doświadczenie z pracy dziennikarki. Kiedy pracuje się w tym zawodzie, wszystko co się pisze, musi być w 100 proc. weryfikowalne. Pisząc książkę, chciałam przekazać właśnie to, jakimi widzą się sami bohaterowie, ludzie siedzący w środku poważnych dylematów związanych z cyberbezpieczeństwem. Więc czy wszystko jest prawdą? Na pewno nie. Ale czy sprawdziłam wszystko co mogłam, następujące po sobie wydarzenia, czas, ludzi biorących w nich udział? Tak, zrobiłam wszystko, co mogłam, by to zweryfikować. Tyle że celem było nie tyle obiektywne zbadanie wydarzeń, co raczej pokazanie międzyludzkich interakcji, wejście w skórę tych fascynujących ludzi. Oczywiście imiona bohaterów zostały zmienione, ale ich motywacje, zachowania, kontakty są opisane bardzo dokładnie.
Największym kłamstwem jest jak rozumiem to, że wszystko kręci się wokół technologicznych umiejętności. A to nie technika, tylko socjotechnika jest kluczowa?
Dokładnie tak. Największym kłamstwem jest to, że hakerzy są samymi wybitnymi specami od informatyki. Prawda jest taka, że po prostu świetnie potrafią zrozumieć ludzi, ich potrzeby i lęki. Cyberprzestępcy, którzy dają sobie najlepiej radę, to ci, którzy potrafią emocjonalnie zaangażować ofiarę. Tak jest przecież z ogromną częścią tzw. oszustw telekomunikacyjnych i mailowych. Gdy księgowa czy sekretarka dostaje maila od swojego wysoko postawionego przełożonego z obsztorcowaniem za to, że zapomniała komuś za coś ważnego zapłacić, to łatwo jest takiej osobie wpaść w panikę i bez sprawdzania dokonać przelewu, oczywiście na fałszywy rachunek. Czy tu jest zastosowana jakaś nadzwyczajna technika rodem z filmów sensacyjnych? Ależ nie, to prosty socjotechniczny chwyt korzystający z dostępu do jednego adresu mailowego i emocjonalnego nacisku związanego z presją czasu i stosunkiem zależności. I to działa, to wciąż działa. Łatwo takie ofiary skrytykować i wyśmiewać ich głupotę, co jest mocno niesprawiedliwe, bo to przecież nie tylko kwestia ich nieświadomości, ale także grania na emocjach. Przecież wszyscy jesteśmy ludźmi, a nie maszynami.
Szefem jednej z bardziej skutecznych grup hakerskich rozpracowanych w ostatnim czasie w Polsce był cieśla. Miał zawodowe wykształcenie, nigdy nie skończył żadnych informatycznych studiów, a razem z bratem kierował największymi hakerskimi atakami na firmy w Polsce i Szwecji.
Przyznam się, że wcale mnie to nie zaskakuje. Cyberprzestępczość jest znacznie łatwiejsza niż nam się wydaje. Jedną z najpopularniejszych metod jest tzw. sextorion, czyli wymuszenie pod pozorem posiadania dowodów na to, że ofiara oglądała porno w internecie. Tu naprawdę nie trzeba nic wielkiego. Wystarczy wysłać mail i liczyć na czyjś wstyd i niewiedzę o świecie cyberbezpieczeństwa. Bo patrząc racjonalnie, komu by się opłacało podglądać zwykłych ludzi oglądających porno? A jednak jakiś procent ludzi nabiera się na takie oszustwo, którego nie przygotował żaden szachowy geniusz z Rosji. Czasem wystarczy półroczny kurs programowania, by wystarczająco ogarniać takie kwestie. To naprawdę nie jest neurochirurgia.
Niedawno opisywaliśmy historię specjalistki od PR, która kliknęła w zły link i straciła dostęp do konta na Instagramie. Historia jakich wiele, tyle że jej ciągiem dalszym była próba szantażu i wymuszenia od niej pozowanych nagich zdjęć, które przestępcy mogliby dalej wykorzystywać do produkcji porno deep fejków.
To jest nowe, coraz poważniejsze zjawisko. Kradzieże tożsamości z takich fragmentów danych, o których mówi się dziś „syntetyczne”, stają się coraz powszechniejsze. Przy czym, co ważne, to kolejne przestępstwo, które mocno czerpie z tradycyjnych form, kradzieży wizerunku, nielegalnej, wymuszonej pornografii. Tyle że w tym nowym rodzaju przestępczości wchodzimy na kolejny poziom grania na ludzkich emocjach, czyli deep fejki. Ich tworzenie i wykorzystywanie – choć i do tego nie będą potrzebne jakieś wielkie umiejętności, bo przecież to za człowieka zrobi sztuczna inteligencja – niestety na pewno pozwoli na jeszcze więcej oszustw i wyłudzeń. Coraz ciężej będzie nam się zorientować, co jest prawdą, a co kłamstwem.
Kiedy wie się tyle, co ty i zna środowisko tak dogłębnie, to czy można czuć się bezpiecznie?
Sprawa, która najbardziej mnie martwi tak osobiście, to właśnie kradzież tożsamości i dlatego staram się bardzo ograniczać moją ekspozycję w mediach społecznościowych. Stanowczo jestem antyfejsbukowa. Nie podoba mi się polityka prywatności i dbania o użytkowników na tym portalu. Mam konto na Twitterze, bo wymagał tego ode mnie WSJ, ale na tym moja aktywność na portalach społecznościowych się kończy. Używam ich głównie w kontaktach profesjonalnych, nie umieszczam o sobie za wielu prywatnych informacji. Na pewno obawiam się też o moje dzieci. Cyberprzestępczość dotykająca najmłodszych ogromnie wzrasta. Dlatego nie pozwalam moim dzieciom na to, by miały konta społecznościowe i naciskam na znajomych, by robili podobnie. Jest tak wiele możliwości ich skrzywdzenia w internecie i wciąż tak słaba międzynarodowa współpraca policji w tym zakresie, że pod tym względem jestem najbardziej zapobiegawcza.
Ograniczasz media społecznościowe – coś jeszcze robisz? I jak doradzasz pod kątem bezpieczeństwa?
Reszta to tak naprawdę rady bardzo zdroworozsądkowe. To, co umieszcza się w sieci, może człowieka prześladować całe życie. Co więcej – jako że sieć daje ogromne możliwości komunikacyjne, publiczne może się stać nawet to, co pokazujemy i przekazujemy w zaufaniu. Mamy przecież te wszystkie dramatyczne historie dziewcząt i kobiet wysyłających swoje intymne zdjęcia partnerom, które potem lądują w internecie i są praktycznie nie do usunięcia. I znowu wcale niepotrzebny jest tu genialny haker, by zgotować ludziom piekło.
Kate Fazzini – reporterka, specjalistka ds. cyberbezpieczeństwa. Pracowała m.in dla „The Wall Street Journal” i CNBC. Prowadzi kursy z zakresu cyberbezpieczeństwa na Georgetown University. Była wiceprezeską w dziale operacji cyberbezpieczeństwa banku inwestycyjnego JPMorgan Chase.
