Jak zostać hakerem w jedną lub dwie noce?


Na głównej witrynie Szkoły Hakerów znajdziemy retoryczne pytanie: "Jak Zostać Hakerem w 1 Lub w 2 Noce, Nie Posiadając Doświadczenia?". Twórcy witryny gwarantują, że "( ... ) sekrety Szkoły Hakerów działają jak magia dla każdego, kto ma komputer i klawiaturę." Ot, weźmy pierwszego z brzegu, szarego człowieczka, Michała Zawadzkiego. Uwierzycie, że " zwiększył swoje umiejętności hakerskie dwukrotnie - w 2 godziny zapoznawania się ze szkoleniem". A Krzysztof Wanke "potroił szybkość łamania dowolnych haseł - po jednej radzie z pierwszego rozdziału"! Uznaliśmy, że to naprawdę niesamowita, wyjątkowo kusząca oferta. Nie mogliśmy się oprzeć, postanowiliśmy ją sprawdzić...

16.06.2006 | aktual.: 16.06.2006 15:23

"Szkoła Hackerów - interaktywny zestaw edukacyjny - haker - hack - hacker - hacking" - takie słowa widnieją w tytule witryny SzkolaHakerow.pl - http://szkolahakerow.pl/. Zamieszczone na niej świadectwa wyglądają ni to śmiesznie, nie strasznie, ale trudno powiedzieć, żeby były przekonujące:
- Andrzej Kowalczuk, administrator sieci, wykrył trzy ataki na swój komputer, namierzył sprawców ...i posłał ich za kratki - dzięki trzem opisanym narzędziom.
- Magda Chorbacz zabezpieczyła swój komputer przed kolegami, którzy UKOŃCZYLI TEN KURS - w kilku prostych krokach.

Andrzejowi Kowalczukowi gratulujemy, posłanie sprawców za kratki w przestępstwie tego rodzaju to nie tylko wykrycie incydentu, ale przede wszystkim zabezpieczenie śladów na kilka niezależnych sposobów. Aż trudno uwierzyć, żeby wystarczyły tylko trzy narzędzia, skoro na samo logowanie danych musimy przeznaczyć minimalnie dwa!

Dalsze zapewnienia wyglądają jeszcze bardziej niewiarygodnie: "To co zaraz odkryjesz jest najbardziej potężną umiejętnością jaką kiedykolwiek mógłbyś mieć. Nieważne co się stanie z Twoim życiem, gdy już raz posiądziesz tę wiedzę będziesz zawsze mógł ją wykorzystać dla swoich korzyści. To zabierze Cię na sam szczyt bez względu na to co się stanie z Internetem czy jak daleko naprzód pójdzie technika. W końcu, Ty będziesz kontrolował bezpieczeństwo swoje i innych -- finansowe i technologiczne.

Grubymi nićmi szyte zapewnienia i pierwszy fałsz, który jesteśmy w stanie zweryfikować: "Oferuję prawie 2 kilogramy potężnej wiedzy mistrzów hackingu - to ostatni raz, w którym kiedykolwiek zobaczysz tę ofertę." Nadesłana do nas paczka z kompletem materiałów ważyła 0,92 kg ( o niej dalej ).

Obraz
© Otrzymana paczka była odrobinę mniejsza od laptopa

O następnym akapicie boimy się nawet wspominać: "Wyobraź sobie, że specjalnie dla Ciebie zebrano kilku z najlepszych hakerów polskiej sceny. Która, swoją drogą, należy do najlepszych na świecie. Specjalnie dla tego kursu wybitni hakerzy pokazują Ci, podają jak na tacy swoje sekrety, techniki, które dały im sławę wśród społeczności hakerów. Oni mają uznanie wtajemniczonych. Firmy chcą im płacić GRUBE pieniądze za ich wiedzę i umiejętności."

A może skuszą Was finanse? Nie ma problemy, zaraz zaczniecie zamawiać grubą kasę: "Wyobraź sobie sytuację, w której budzisz się za pół roku i wskakujesz w spodnie Pierre Cardin za 900 pln. Jest dopiero 12. Zabierasz się do pracy. Odebrałeś właśnie zaliczkę na zlecenie warte 4 000 pln. Musisz tylko sprawdzić zabezpieczenia na stronie lokalnego banku. "To zajmie mi parę dni, potem napiszę raport i tylko poczekam jeszcze kilka dni, by nie pomyśleli sobie, że to takie łatwe" -- myślisz sobie. Przy okazji wykrywasz włamanie do banku. Lokalizujesz frajera. Dostajesz premię 3 tysiące. Jak bardzo kręcą Cię takie kwoty? To moja CODZIENNOŚĆ, a jak wygląda Twój kolejny dzień z życia wzięty?

Nas kręcą.Zamawiamy

Haker Jan Lwowski ostrzega: "Środowisko nas zabije. Dużo ryzykujemy, dając Ci tę wiedzę. ( ... ) Tak, to tylko kwestia dni zanim nas wyłączą." Zestaw wart jest 689 zł, nam udało się trafić na moment promocji, zapłaciliśmy 92 zł. Teraz kosztuje "zaledwie" 137 zł, wygląda zatem na to, że jest na niego popyt - starą cenę da się wyśledzić tylko w niektórych wzmiankach na stronie ( cyt. "Zamawiam zestaw za 137 zł, warty co najmniej 689 zł, oszczędzam zatem co najmniej 592 zł!" -- 689-592 = 97 zł )

Obraz
© ...a wewnątrz paczki - pudełko

W oczekiwaniu na przesyłkę przeglądamy jeszcze raz witrynę. Mamy nadzieję, że poznamy prawdę w kwestii:
miejsca, w którym Jan Lwowski nauczył się Hackingu, przechwytywania SMS-ów z bramek internetowych, "podsłuchiwania" hasła, które wysyłają nieświadomi internauci logujący się na serwisy, konta pocztowe, itd.?, trzech nigdy nieodkrywanych sekretów hakerów, które do tej pory zamknięte były pod kluczem, agresorów blokujących działanie sieci lub komputera i unieszkodliwiających w sieci dowolną osobę.

W pudełku o masie 920 gramów podpisanym "Niziołek" przychodzą do nas dwie kartki, dwie płyty CD i książka. Na kartkach - wydrukowanych zresztą na drukarce atramentowej z częściowo zapchanymi dyszami - znajdziemy regulamin korzystania z zestawu szkoleniowego oraz list od Jana Lwowskiego, redaktora naczelnego ( ? - red. ) Szkoły Hakerów.

Jeśli nie brać pod uwagę kartek, trzeba przyznać, że książka i płyty robią dobre wrażenie. Autorami ( a może tylko redaktorami? W książce podawane są rózne informacje ) tekstów są Damian Put, Wojciech Adamczyk, Adam Wróbel i Paweł Bylina - za klasą przynajmniej dwóch z nich natychmiast zaświadczą Google. Pamiętajmy jednak, że bycie najwyższej klasy specjalistą nie musi przekładać się na umiejętność nauczania, czego dowodził choćby przykład słynnego duńskiego fizyka Nielsa Bohra. Dobre materiały edukacyjne - książka "Szkoła Hakerów" podpisano wielkim słowem "Podręcznik" - nie mogą być hermetyczne i zrozumiałe wyłącznie wtajemniczonym. Ale nie uprzedzajmy faktów..."Przechwytując ruch sieciowy na innych portach, np. port 21, logi wyglądać będą podobnie", czyli Podręcznik

Zaraz na wstępie podręcznika widzimy obietnicę, że zestaw przyda się każdemu: "Jak się przekonasz, nie jest to kolejny, zwięzły, iście techniczny wywód na temat bezpieczeństwa systemów komputerowych". Sposób złożenia tekstu robi dobre wrażenie - choć notorycznie zdarzają się wiszące na końcu linijek pojedyncze literki - ale bardzo szybko przekonamy się, że teksty zostały bardzo okaleczone. Nie dołączono do nich bowiem żadnych rysunków! Monotonną pstrokaciznę tekstu przerywają czasem jedynie listingi na szarych podlewach.

Weźmy choćby zdanie z pierwszego rozdziału ( str. 15 ) dotyczącego łamania haseł: "Następnie uruchomimy program i przyjrzymy się jego interfejsowi" - jesteśmy przekonani, że w tym miejscu każdy czytelnik odruchowo rzuci okiem na resztę strony, by "przyjrzeć się jego interfejsowi". Powiemy, że przecież są filmy? Niestety, materiał z nich w wielu miejscach jest tylko na motywach tekstu, a najczęściej dokumentnie się z nim rozchodzi. Początkujący nie potknie się na stwierdzeniu "uruchamiamy NAT" czy "uruchamiamy maskaradę". Początkujący polegnie, kiedy w książce zobaczy linię "nmap -sP 10.10.250.", a na filmie "nmap -sP 192.168.1." Albo "jasio" w książce i "john" na ekranie ( Rozdział 4., o backdoorach ). Autorzy uparli się bowiem na stosowanie angielskich słów ( "School", "Chapter" ), co szybko się mści - lektor nie każdy wyraz poprawnie czyta, słowa angielskie mieszają się z tłumaczeniami.

"i-pe-forłard", czyli Filmy instruktażowe

Na łopatki rozłożył nas już pierwszy film pt. "Przechwytywanie informacji w sieciach LAN", w którym w ciągu pierwszych siedmiu minut patrzymy niemal wyłącznie na proces kompilacji. Nie ma ani słowa o tym, w jaki sposób je skompilować, jest za to przerażające stwierdzenie "instalacja na dysku twardym", które może znaczyć instalację w środowisku live albo - nie daj Bóg! - na prawdziwym dysku twardym komputera. Co gorsza, jeśli wierzyć prezentacji, do skompilowania programu konieczne jest wykonanie następujących poleceń:

tar -xvzf nazwapliku ./configure make whoami su make install

Nie chcemy czepiać się szczegółów, od podręcznika oczekiwaliśmy jednak czegoś więcej: absolutnie wszystkie narzędzia powinny być zainstalowane w dystrybucji live, bo jeśli ich tam nie ma, to mamy rażący przykład niezrozumienia tego, na czym polega edukacja - widz zapoznający się z filmami będzie miał wrażenie, że w 2006 roku skorzystanie z wielu narzędzi pod Linuksem będzie oznaczało, brrr, potrzebę ich kompilacji ze źródeł.

Tymczasem autorzy książki i filmu zapewne pamiętają, że wiele wartościowych aplikacji dostępnych jest również w wersji dla Windows, a w normalnych dystrybucjach Linuksa ich zainstalowanie wymagać będzie zwykle wpisania "apt-get install nazwa" albo wręcz wyklikania.

Obraz
© Odtwarzacz przy każdym włożeniu płyty prosił nas o zainstalowanie kodeka - niezbyt "hakerskie"

Podsumujmy: w pierwszym filmie z 9 min 45 s siedem minut to obrazki z kompilacji. Były one dla nas równie ekscytujące jak uczestnictwo w pięcioboju nowoczesnym ślimaków. Od siódmej minuty natomiast dzieją się rzeczy niebywałe: uruchamiamy Nmapa z nieznanym nam przełącznikiem, uruchamiamy jakiś skrypt. Po co? Dlaczego? Co to jest, cytując za lektorem, "proc sys net i-pe-fał-cztery i-pe-forłard"? Zaraz, zaraz, może w podręczniku jest wyjaśnienie?...

Zerkamy. Jest. Cytat: "Uruchamiając skrypt, Czytelnik musi mieć prawa administratora, ponieważ Nemesis korzysta z surowych gniazd ( ang. raw sockets ), a dostęp do nich w systemie ma tylko administrator". Żeby zrozumieć, skąd się wziął Nemesis, musimy cofnąć się o pięć stron. Opis spoofowania oraz wyskakujących nagle niczym diabeł z pudełka "adresów MAC" jest dla nas ciągle niejasny, choć trzeba przyznać, że przedstawienie sieciowego dialogu wyszło świetnie - jednak aż prosi się o ilustrację graficzną. Jeśli nie dało się jej włożyć do książki, to może powinna znaleźć się w materiale wideo? Pakiety jako biegające kropki, komputery jako komputery, "popularny polski komunikator" z ikonką Gadu-Gadu, bo przecież to o niego chodzi.

Obraz
© Siódma minuta filmu - no, wreszcie skończyła się fascynująca opowieść dotycząca kompilacji

Kolejny film również nie powala na kolana. Przez pierwsze trzy minuty kompilujemy ( a jakże! ) i instalujemy potrzebne oprogramowanie. A później... robi wrażenie, naprawdę przeprowadzamy atak MITM. Tyle że dochodzimy do niego niebywale okrężną drogą.

"W ten oto sposób stworzyliśmy coś w rodzaju bindshella...", czyli dystrybucja Live

Dystrybucji live ( opartej na Slaksie ) właściwie nie możemy nic zarzucić. Choć zastrzeliła nas na samym początku pytaniem o to, czy powinna skorzystać z partycji swap, działa OK i nawet nie różni się zanadto w stosunku do tego, co zaprezentowane zostało na filmach i w treści Podręcznika. Niestety, wydaje nam się przerażająco surowa. Czy cokolwiek stało na przeszkodzie, by pojawiły się na niej prezentacje?

Obraz
© Tuż po uruchomieniu komputera z płyty CD ujrzeliśmy dziwne pytanie

Przypomnijmy, na DVD zamieszczono 2,2 GB danych, na bootowalna dystrybucja Linuksa to zaledwie jedna płyta CD - nic zatem nie stoi na przeszkodzie, by oba te nośniki umieścić na jednym, właśnie na DVD. Oprócz multimediów można by dorzucić ciekawe narzędzia - pojęcia nie mamy, dlaczego autorzy brzydzą się Etherape czy Ethereala; szczególnie, że ten pierwszy ładnie prezentuje funkcjonowanie sieci. Rozumiemy, że łatwiej jest przekleić/przepisać fragment tekstu, ale porzucanie narzędzi tylko dlatego, że wydają nam się one "mało hakerskie", uważamy za nierozsądne.

Obraz
© Live w akcji

"T@rsch vav Cobratay", czyli Forum

Wraz z książką otrzymaliśmy możliwość darmowego skorzystania z Podziemnego Forum Polskich Hakerów - http://forum.hack.edu.pl/ ( wartość: 197 zł ). W momencie, gdy powstał ten materiał, było na nim 599 wypowiedzi. Z tego prosty wniosek, że jedna wypowiedź - niezależnie od zawartości - warta jest 33 grosze. Gdyby przyłożyć tę kwotę do Forum IDG.pl - http://www.idg.pl/forum/, uzyskalibyśmy kwotę wynoszącą niemal 140 tysięcy złotych.

Nasza ocena

Nie chcemy oceniać "Szkoły Hakerów" zbyt ostro. Doceniamy, że jej twórcy możliwość stworzenia wykorzystania potencjału tkwiącego w bootowalnej dystrybucji Linuksa i zdecydowali się na zamieszczenie na niej materiałów szkoleniowych. Doceniamy przetestowane aplikacje i olbrzymią wiedzę jej autorów - widać, że listingi były brane z rzeczywistych eksperymentów i zwykle prezentują to, co użytkownik jest w stanie powtórzyć z poziomu live'a.

Cała reszta nam się nie podoba

Wiele narzędzi sieciowych dla Windows zostało pominiętych milczeniem ( zbyt "lamerskie"? rzadziej dostępne nieodpłatnie? ). "Zapomniano" o wirtualnych maszynach, które przy prostych połączeniach z użyciem neostrady tp są praktycznie jedyną metodą na stworzenie i eksperymentowanie na prawdziwym LAN-ie. Kompletnie też pogrzebano możliwości oferowane przez dystrybucję live; mamy wrażenie, że służy ona tylko temu, by użytkownik nie mógł równocześnie oglądać filmu i powtarzać prezentowanych w nim technik. Czyli albo film, albo Linux i bardzo nierówny ( w zakresie przekazywanej wiedzy ) podręcznik na kolanach. Powiem szczerze i bez ogródek: bez książki, a z multimedialnymi tutorialami ( Flash lub tylko HTML i JScript z rysunkami ) ceniłbym "Szkołę Hakerów" znacznie wyżej.

To nie koniec: kiedy patrzymy na spis treści podręcznika, automatycznie przychodzi nam do głowy słowo "zlepieniec". Zabrakło jednej przewodniej myśli, jest natomiast masa oderwanych artykułów, serial, w którym odcinki spojone są tylko osobami bohaterów ( Linux, konsola, nmap, C, Perl ). Rozumiemy, że chodziło o takie zaprezentowanie treści, by każdy rozdział mógł być przeczytany niezależnie od innych. Podpowiadamy: nie udało się.

Niektóre akapity aż proszą się o wyrzucenie do ramek, bo tylko niepotrzebnie komplikują obraz sytuacji, tj. zakłócają lekturę tekstu. Inne rozdziały znowu błagają o odrobinę fabuły i masaż zręczną redaktorską ręką - zawarte w nich zdania przypominają strzelanie z karabinu, składają się bowiem z maksymalnie 5-7 słów. Nie wspominamy już o kłujących w oczy nadmiarowych przecinkach - ktoś musiał popuścić cugle Wordowi, a ten hulał do woli.

Całość prosi o daleko bardziej posunięte "umultimedialnienie"

Na koniec cena i witryna. Osobiście bardzo współczuję autorom. A wydawcy pogratuluję ( C S H Kwidzyn ), jeżeli osiągnie sukces. Wspominana na początku strona WWW została bowiem przygotowana pod publiczkę, niczym tandetny odpustowy korkowiec ( błyszczący! ), który psuje się po pierwszym użyciu. Natomiast prezentowana w książce treść to trudny - i hermetyczny, wbrew temu, co chcieli osiągnąć autorzy - wykład o zagadnieniach dość skomplikowanych. Pytanie zatem: czy profesjonalista kupi materiał reklamowany "Łamiemy hasełka GG"? Z drugiej strony: czy początkujący ( zwykle młody ) użytkownik komputera wyda 137 zł?

Życzymy jak najlepiej i trzymamy kciuki za wersję drugą. Roboty w materiały włożono bardzo dużo i szkoda byłoby ją zmarnować.

Wybrane dla Ciebie
Komentarze (0)