למי שלא שמע, Marc (“van Hauser”) Heuse, הגיע לחופשה בארץ. החבר’ה מ-Dc9723 (יפתח עמית ואיציק קוטלר) ניצלו את ההזדמנות, והצליחו לשכנע אותו להעביר הרצאה בנושא אחד המחקרים האחרונים שלו- חולשות בפרוטוקול IPv6. למי שפספס, ולא הגיע להרצאה (המצויינת) שמארק העביר אפשר להוריד מכאן: http://www.files.dc9723.org/mh-Recent%20advances%20in%20IPv6%20insecurities-TelAviv.pdf
לאון פדוטוב התקשר אלי יומיים לפני ההרצאה, והציע שנראיין אותו למגזין, הרי לא בכל יום פוגשים בחור כזה מגניב :), ישבנו ערב לפני, סגרנו על מספר שאלות כלליות שמהם נפתח ראיון זורם שכזה ובעזרת יפתח ואיציק קבענו איתו - ולאחר ההרצאה סידרו לנו כחצי שעה עם הבחור.
לפני שנציג את הרעיון, אספר קצת על הבחור:
מארק הוא חוקר אבטחת מידע גרמני, ב-1995 הוא הקים עם עוד מספר חברים את “The Hacker’s Choice”, ותחת אותה הקבוצה הוא פיתח כלים רבים, אחד הכלים המוכרים ביותר כיום הוא THC-Hydra, מדובר באחד מכלי ה-Brute-Force היותר נרחבים שיש, תומך במספר רב של פרוטוקולים ושיטות תקיפה. בנוסף ל-THC-Hydra, פותחו כלים לתקיפת מנגנוני הזדהות ב-Oracle ופורסמו מחקרים רבים בנושאים כגון: Fuzzering, Linux-Kernel, Windows Exploitation, פריצת האלגוריתם A5 (אלגוריתם שיושם להצפנת המידע ב-GSM). מארק כיום עובד כיועץ בנושא אבטחת מידע ובזמנו הפרטי מבצע מחקרים רבים בנושא אבטחת מידע.
אז מארק, ספר לנו איך בעצם הכל התחיל?
הכל התחיל ממזמן, בערך בגיל 16, אז שמעתי לראשונה על ה-BBS, שבעצם היוו את ה”אינטרנט של פעם”, שמעתי על זה וחשבתי שזה ממש מגניב, עבדתי במשך הקיץ ובסופו קניתי לעצמי קופסה כזאת, הכרתי קצת אנשים ודרכם קיבלתי גישה לכל מני BBS של Warez שפרסמו חומרים בנושאים כגון האקינג, פריקינג ואנרכיה… ובערך ככה הכל התחיל :)
מה הטריגר שגרם לך להתעניין וללמוד האקינג?
אחרי שהתחברתי לכל עולם ה-BBS, ראיתי את כל המידע שם, הורדתי וקראתי הכל, אבל כמעט ולא הבנתי כלום. כל מה שראיתי היה קהילות של Warez, ודווקא האקינג- מה שהכי עניין אותי, כמעט ולא מצאתי, ומה שמצאתי- היה די עלוב… אז החלטתי להקים BBS משלי, שיהיו בו רק נושאים טכניים, כגון האקינג ופריקינג. רציתי שה-BBS יהיה מוגבל ולא נגיש לכלל האנשים.
קראתי לו “Lore” - שמשמעות המילה היא “ידע”. אנשים התחילו לגלוש אליו וכבר לאחר שנה הוא נהפך לאחד מה-BBS המרכזיים בנושא האקינג ופריקינג, באותו זמן הוא היה מוגבל רק ל-50 איש, דבר שהקנה לו מוניטין רב. דרך אותו BBS אנשים פרסמו הרבה מאוד מידע איכותי על פריקינג והאקינג, ודרך התהליך הזה למדתי הרבה מאוד על כל העולם הזה. אז התחלתי להתעסק בפריקינג וב-Unix Hacking.
איך הקהילה פעלה אז וכיום מבחינה חברתית?
הקהילות בחו”ל הן יותר אנטי ממשלה מבישראל, בגלל שפה כביכול האויב קרוב ומוחשי, לכן אי אפשר להתיחס באותה הצורה לצבא ולמששלה כי היא כביכול מגינה עליך - אולי לא טוב אבל זה לא משנה. כמו כן מהסיבה הזו רוב האנשי אבטחת המידע קשורים לצבא בצורה כזאת או אחרת, ולדעתי הצבא יכול לשחק לשחק תפקיד ככלי תקשרות וקישור בין אותם האנשים.
בסין למשל, כל מאמר ומחקר שמתפרסם מתורגם לשפה המקומית בגלל שהרבה סינים אינם דוברי אנגלית, דבר שמאפשר ביתר קלות להפיץ את אותו הידע בקהילה המקומית. דוגמא נוספת לכיוון השני היא הקהילה באיטליה ובספרד - רב המחקרים מופצים באנגלית, ובגלל שהרבה מהם לא יודעים אנגלית / מתרגמים מאמרים לשפה המקומית, הרמה הממוצעת של אבטחת מידע שם מאוד נמוכה.
ספר לנו קצת על THC בבקשה.
את THC הקמתי ב-1995, בהתחלה רק פרסמתי מספר כלים מאוד בסיסיים והעלתי אותם ל-Lore, ה-BBS שהיה לי, לאט לאט ראיתי שעוד אנשים מפרסמים כלים שהם כתבו בעצמם וחשבתי לעצמי שזה יכול להיות מאוד מגניב אם נקים קבוצה שתפרסם כלים, שאתה יודע שאם הכלי הזה הגיע מהם - הוא איכותי ולגיטימי ואתה יכול לדעת שהוא בטיחותי לשימוש.
אז המטרה בהקמה של THC הייתה בעצם ליצור קבוצה שתפרסם כלים תחת אותה קורת-גג?
כן, אבל לא רק, המטרה העיקרית הייתה לפרסם כלים איכותיים, כך שגם אם אתה לא מתעניין באותו נושא ולא צריך אותם אז זה בסדר, אבל אתה יודע שמדובר בכלים איכותיים. למשל מדובר בכלי בנושא פריקינג ואתה בכלל האקר, אבל אתה יודע שאם זה הגיע מהקבוצה הזאת- זה איכותי.
המטרה לא הייתה לשתף מידע בסתר או לפרוץ ביחד לכל מני מערכות. המטרה העיקרית הייתה הקמה של פלטפורמה איכותית של ידע וכלים.
בהסתכלות על הזמן שחלף, המטרה הזאת השתנתה במהלך השנים?
בהחלט לא. גם כיום, כל אחד שרוצה לפרסם משהו איכותי יכול לבוא ולהצטרף, כמובן שאתה צריך להיות גם חברתי, אם אתה מגיע לאיזה כנס האקינג, ואתה פוגש בחור נחמד, ולא איזה weirdo או משוגע והוא כותב כלים מעניינים ומעוניין לשחרר אותם תחת THC - אז מעולה. הוא בפנים.
יש לכם קשר לחבר’ה של CCC?
כן, אבל בגלל שהם יותר בכיוון של ארגון, יש להם כל מני חוקים שהם צריכים לעמוד בהם, הם יותר ממסדיים, אבל הם מאוד נגישים, ואם אתה רוצה להעביר הרצאה אצלהם או משהו- מספיק שאתה מציע בקשה, אף פעם לא קיבלנו מהם תשובה שלילית. הם בסדר גמור. הם אוהבים אותנו ואנחנו אוהבים אותם :)
פה בארץ, בגלל שהכל קטן, קהילת ההאקינג היא כמו “שכונה”, אנחנו מכירים בערך מגיל 13, איך זה אצלכם?
טוב זה בטוח עוזר, אצלנו הקהילה הרבה יותר מפורזת, את THC מרכיבים גם מספר חברים מהולנד. כן, ראינו שהיו לכם גם מספר חבר’ה מסין, מה היה הסיפור שם? הבחור מסין היה רק סיפור כיסוי לפרק זמן קצר על מנת שנוכל לפרסם מספר כלים תחת שמו בכדי למנוע סיבוכיים עם החוק, אבל יש לנו בחור מויאטנם, בחור מאוד טוב. בערך 50 אחוז מ-THC תושבי גרמניה…
מה דעתך על האקינג בהקשר האקטיביסטי?
המ.. פוליטיקה זה דבר מאוד מורכב, אני בן אדם מאוד אתי, אני צמחוני, אני נוטה לשמאל מבחינה פוליטית, אבל בכל זאת לא הייתי פועל כך בגלל שמעשים מהסוג הזה גוררים יותר נזק מתועלת, ואני ממש לא תומך בזה. מה שאני כן תומך זה גופים כגון Wikileaks, בגלל שהם מעלים את השקיפות של האירגונים, ובעזרתם, יש לך דרך בתור עובד באירגון שבו נחשפת לפעילות לא חוקית או לא אתית- להביא לשינוי.
ישנן ממשלות שמבצעות דברים שהם לא חוקיים אפילו בעיני החוק המקומי שלהם, והם עושים את זה מפני שאף אחד לא יכול לעצור אותן או לשלוט בהן. לכן Wikileaks זה דבר חיובי. אבל לפרוץ לרשתות כגון PlayStation זה דבר אחר שבו אני לא תומך.
אתה אדם דתי מארק?
לא. מה בדבר בפרופוגנדה דתית? מה ההבדל כאן? אם יש לך אמונה, והיא עושה לך טוב, אז זה מושלם בשבילך. אבל אל תכפה את אותה האמונה על מישהו אחר. אם מישהו שומע על האמונה שלך ויכול להזדהות איתה- זה מעולה. אבל אל תגיד “אתה טועה ואני צודק”, זה המקום שממנו מתחילות כל הבעיות בעולם. אם אתה עושה את זה, אתה תמיד שם את עצמך במקום גבוה יותר מהאדם שמולך וזה מה שנקרא “לדרוש צרות”.
מה נותן לך השראה למחשבים?
כשאתה עושה משהו עם עוד אנשים ביחד, בחברה, אתה תמיד מוגבל בהרבה גבולות והרבה חוקים שקשה להבין, כמו פוליטיקה או קשרים חברתיים בין הקבוצה, אך כשאתה עובד עם מחשב ומשהו לא הולך - אתה יכול להאשים רק את עצמך. ככה שיוצא שכשאתה עובד עם מחשב הגבול היחיד שיש לך הוא בעצם עצמך. וכאן בעצם אתה יכול לבחון את הגבולות שלך ואת עצמך. אתה תלוי אך ורק ביצירתיות שלך, וזה בעצם מה שאני אוהב בכל התחום הזה, אתה לא משחק נגד אף אחד אחר.
מה ה-Home Setup שלך?
אה… זה כל כך שנות התשעים איך שאני עובד, אני משתמש ב-Joe’s Own Editor. אז מה, מסך אחד? כן, מסך אחד לקימפול, מסך אחד לתיכנות, ואחד לאימיילים ;) לא שאני מנסה להגיד שזה אפקטיבי - כל אחד צריך למצוא את הדרך שנוחה לו.
התחלת את הכל כתחביב וכיום אתה מתעסק בזה באופן מקצועי לפרנסתך. מה בעצם ההבדלים בין התעסקות בנושא כשזה תחביב לבין זה שזה מקצוע?
אתה חייב לעסוק במשהו שיביא לך פרנסה. לפעמים אנשים בוחרים במקצועות שהם לא אוהבים רק בגלל שזה מכניס הרבה כסף. אבל לדעתי אתה צריך לבחור במקצוע שאתה מרגיש שממלא אותך, עבודה שמהנה ומאתגרת אותך, ככה שאתה בכלל לא מרגיש שזאת עבודה.
ניסיתי להיות מנהל פרוייקטים / מנהל מחקרים, אבל לא אהבתי את זה, וזה לא שאני להגיע ללקוחות ולהגיד להם “אה אה! הקונפיגורציה שלכם לא נכונה אתם טפשים!”. זה יותר כמו לימוד, אם למשל אתה מוצא חולשה במנגנון מסויים, בדרך כלל הבעיה היא לא החולשה אלא זה שאותם צוותים בדרך כלל לא מבינים שמדובר בחולשה, או שאין להם מנגנוני עדכונים לצורך זה, ומה שאני אוהב בעבודה הזאת זה את זה, את הלימוד של אותם צוותים. ולשלב את החלק של ההאקינג זה תמיד כיף, ואם אתה עושה מכל זה כסף - אז בכלל, למה לא? :)
זה לא משנה כמה כסף אני עושה, אם אני עושה יותר או פחות, זה משנה אם אני אוהב את זה.
אוקיי.. שאלה אחרונה: תתאר לנו מה היא המערכת המושלמת מבחינתך מבחינת אבטחת מידע.
יהיה מדובר בפרוטוקול מאוד פשוט, טקסטואלי. משהו מובן עם פקודות קריאות, כמו SMTP למשל, בלי יותר מדי אפשרויות, בלי תשתית מורכבת, עם שרת פרוקסי באמצע שבודק את Certificates תקינות הקלט. ולמערכת פתוח פורט אחד ויחיד וכל המכונה מקונפגת בעזרת ממשק סריאלי, והיא יושבת על רשת נפרדת.
כאן סיימנו את הראיון, תודה רבה לך מארק!
אה, וכן, אנחנו לא משתמשים ב-THC! ;)
תודות:
תודה רבה ללאון פדוטוב על הרעיון והעזרה הענקית בביצוע. תודה רבה ליפתח עמית ולאיציק קוטלר מ-Dc9723 שאירגנו לנו את ההזדמנות הנ”ל (עמוד הפייסבוק שלהם), וכמובן, תודה רבה למארק על הזרימה! :)