U publici, nasuprot meni, sjedio je M.M. iz kluba M. kojeg znam već dugo godina, pa ponekad navratim u M. na R.V., a čak sam i donirao nešto opreme za HL. M.M. želi ostati neindetificiran. Unatoč njegovom zdušnom branjenju grupe Anonymous kao grupe zrelih, odgovornih anarhista koje nije moguće zajebati ili navući na neke trikove, ipak je rekao da on ne bi da mu se objavljuje ime.
Meni se, naime, svidio izazov ispitivanja te priče: kako postaviti okruženje (recimo web stranice zamišljene tvrtke koja čini The Zlo) koje nije stvarno, ali je dovoljno uvjerljivo da netko sa strane uspije penetrirati u Anonymous i nagovoriti ih da napadnu nepostojeću Zlu Tvrtku, time dokazavši kako se ta i slične grupe mogu zloupotrijebiti za ne baš plemenite stvari.
M.M. je rekao da nema šanse, i da kad bih tako nešto pokušao da bi me Anonymous sigurno skužili i pretvorili mi život u pravi pakao. Ergo, iz istog razloga on ne želi da se njegovo ime spominje u ikakvoj vezi sa zamišljenim izazovom.
Iako, naravno, možemo idealizirati grupu anonimnih hacktivista i anarhista, iako dapače možemo sa punim pravom reći kako oni jesu odigrali neke poteze koji će se pokazati značajnim u dužem roku, pa čak i ako priznamo da su, što se informatičke sigurnosti ali i demokracije tiče, WikiLeaks i Anonymous ispali vrlo značajni igrači i kako nakon njih Internet više nije isto mjesto... unatoč svemu tome, upravo taj strah M.M.-a govori o dva lica anarhističke i bezimene skupine nepoznatih ljudi koji nemaju čvrstu hijerarhiju niti čvrst fokus. Jedno lice je lice pravednika, tajnovitog osvetnika, moćnog zaštitnika nemoćnih i obespravljenih od grabežljive ruke nehumanih megakorporacija; drugo lice je lice prištavog, iskompleksiranog egotripaša koji iz roditeljskog podruma lansira napade na bilo koga tko bi se usudio imati poglede različite od njegovog, a nedajbože da ga, Njega!, pomisli ispitivati na slabosti!
But, life imitates art – pa je zamišljeni pokus postao redundantan. Kao što su već sve svjetske novine o tome pisale, grupa Anonymous je provalila u sustav jedne tvrtke i pokupila podatke o kreditnim karticama. Osim toga, kažu, iskoristili su podatke da preko tih kartica pošalju humanitarnih donacija u vrijednosti milijun dolara.
Ako je priča zaista bila onakva kakvom je opisuju novine i novinari, riječ je o zaista indikativnom potezu grupe, međutim potezu koji ne mora naići na odobravanje javnosti, potezu koji može ozbiljno naštetiti imidžu Anonymousa, ali i svake sljedeće slične grupe.
Jedna je stvar raditi probleme tvrtkama koje (sa pravom ili bez njega) asociramo sa sumnjivim poslovnim potezima, iskorištavanjem tržišne pozicije, kršenjem ljudskih prava ili jednostavno – svrstavanjem uz ovu ili onu vlast. Posve druga stvar je krađa podataka ljudi koji možda i nemaju veze sa praksom tvrtke u koju je provaljeno.
Je li Anonymous htio upozoriti na loše sigurnosne mjere?
Uobičajena praksa ozbiljnih stručnjaka za informatičku sigurnost, u takvim slučajevima, diktira točno određen modus ponašanja: prije svega kontaktirati drugu stranu i upozoriti na postojanje problema. Zatim, surađivati ili sačekati da druga strana problem riješi. Tek kada je problem riješen, informatički stručnjak ima (nepisano) pravo na odgovarajućim mjestima (stručni forumi i mailing liste, primjerice) dati podatke o sigurnosnom problemu, do u detalje. Takav se tijek smatra profesionalno korektnim.
Anonymous i LulzSec ne rade tako. Oni jednostavno provale, pokupe podatke i zatim ih kao trofej daju svima na uvid. Ne obavještavaju o propustu, jednostavno uzmu i urbi et orbi objave što su sve pokupili sa provaljenog servera.
Ponekad je to nužno – kada je riječ o represivnim režimima koji krše ljudska prava, primjerice. Naravno, o etičnosti priče uvijek možemo dvojiti, ali prilika da se razotkrije i oslabi inače moćan i nedodirljiv sustav koji igra prljavo predobra je, a da bi bila propuštena. Izvrstan primjer je ovo zadnje arapsko proljeće, sa diktatorskim režimima sa jedne, i narodom sa druge strane. Sumnjam da itko ima etičke dvojbe o tome je li trebalo provaljivati u sustave režima koji na vlastite građane šalju borbena vozila.
S druge strane, nije uvijek riječ o zlim vladama koje krše ljudska prava. Sony je dobar primjer: riječ je o tvrtci velikoj, snažnoj, ali teško bismo mogli reći i bezgrješnoj – barem u digitalnom smislu: čvrst stisak glazbene industrije, DRM, izbjegavanje otvorenih standarda, nametanje vlastitih standarda tržištu i zaključavanje korisnika u vlastiti ekosustav, stvari koje nisu izbjegli primjetiti niti analitičari skloniji poslovnom nego informatičkom tržištu.
Ispravno uočena meta, možda ćete reći. No, napad na PlayStation network imao je jednu ozbiljnu posljedicu. Osim napada na Sony (koji se isprva nemušto branio tvrdeći kako je sve u redu, ne shvaćajući ozbiljnost momenta koji se, zatim, odužio) koji je pokazao koliko je slaba sigurnost njihovih sustava, taj napad imao je i kolateralne žrtve – korisnike PSN-a. Osim vađenja crijeva samoj tvrtci, na svjetlo dana došli su osobni podaci korisnika PSN-a, što je rezultiralo masovnim mijenjanjem lozinki i paničnim provjeravanjem online transakcija diljem svijeta.
I dok je Sony tako dobio žestoko prašenje po guzici, pale su i prve nevine žrtve – korisnici.
Koliko je etičnosti u izazivanju štete krajnjim korisnicima? Je li to sredstvo opravdano ciljem? Najzad, u poprilično neugodnoj seriji napada na Sony, nije li bilo sasvim dovoljno materijala za dokazivanje svog stava i bez izlaganja krajnjih korisnika?
Posljednja sigurnosna priča nastavalja se na ovu: ovoga puta, ne samo da su provaljeni osobni podaci korisnika, već su, navodno, iskorišteni njihovi brojevi kreditnih kartica kako bi se uputile donacije u ime njihovih vlasnika.
U ovom trenutku pričamo o vrlo ozbiljnim stvarima: o novcu trećih osoba. Više ne pričamo o sramoćenju tvrtke, o iskapanju dokaza o korupciji ili o gospodarskom kriminalu, kategorijama koje su anonimnim hackerskim grupama donijele popularnost “među rajom”.
Doniranje novca u humanitarne svrhe plemenita je stvar. No, doniranje tuđeg novca u humanitarne svrhe zapravo je – krađa. Fundamentalno, nema razlike između krađe nečije kreditne kartice kako bi se poslao novac humanitarnoj zakladi i krađe nečijeg bicikla kako bi se taj bicikl poslao nekoj humanitarnoj zakladi koja se bavi distribucijom dvokotača po afričkim selima. Možda je ideja plemenita, ali je izvedba kriminalna.
Osim toga je i loše izvedena: štetu od ove priče ne trpi toliko tvrtka u koju je provaljeno, koliko vlasnici kreditnih kartica, kartičarske kuće koje sad trebaju urediti neispravne transakcije, a na kraju i humanitarne organizacije koje (zamislite!) ne smiju prihvatiti donaciju nastalu kriminalnim činom, pa sad trebaju pročešljati donacije i vratiti one neispravne. Kolateralna šteta tako se proširila sve do samih humanitarnih organizacija.
Neki mediji dali su ovom slijedu događaja robinhoodovski atribut – anonimni hackeri napadaju veliku tvrtku kako bi im oteli novac kojeg zatim poklanjanju potrebitima u siromašnim državama. No, stvarnost je drugačija: riječ je o križancu Robina Hooda i Superhika, notornog antijunaka iz stripa Alan Ford koji krade siromašnima da bi dao bogatima.
Tko su ljudi čije kartice su zloupotrebljene? U redu, ima tamo i imućnih likova (što ih ne čini manje kolateralnim žrtvama), ali i mnoštva drugih ljudi. Tko kaže da su sve redom bogataši, pa da u afektu fukaraškog mentaliteta kažemo: “Neka su im uzeli, oni imaju!”? Tko je nepoznata osoba, u čije ime je netko uplatio novac u kakvu humanitarnu zakladu? Možda netko sa debelim kreditima na leđima, netko tko tom karticom spaja krajeve? Možda netko tko inače daje u humanitarne svrhe, ali mu se ne dopada ideja da netko u njegovo ime raspolaže njegovim novcem u bilo kakve svrhe?
Ukrasti brojeve kreditnih kartica ljudi i zatim sa njih skinuti novac je kriminalno djelo. Čak i kada taj novac usmjerite u dobrotvorne svrhe, i dalje ste kriminalac. Nema ideološkog ni etičkog opravdanja za taj čin.
I to je mjesto na kojem ova priča pada. Lijepo je i potrebno boriti se protiv represivnih režima. Dobro je ukazivati na probleme moćnih kompanija. Zažmirili bismo na jedno oko dok gledamo predsjednike uprava medijskih giganata kako se malo bahate, a malo preznojavaju.
No, ukrasti posve stvaran novac sa posve stvarnog, nečijeg konkretnog računa – tu priča o vitezu u sjajnom oklopu završava.
Ta priča završava, ali možda započinje ona moja priča sa početka, priča o infiltriranju u grupu.
Naravno, teško je dokazati bilo što, ali priča o infiltraciji u hackerske grupe sa ciljem razbijanja istih – drži vodu.
I baš kao što sam pričao na onom okruglom stolu, anonimne hackerske grupe sa labavom hijerarhijom osjetljive su na upravo ovakve stvari. Izabrana i sposobna ekipa infiltrira se u hackersku grupu i socijalnim inženjeringom skrene sve članove (ili jednostavno osnuju frakciju pod svojom kontrolom – ako su svi Anonymous, tko je Anonymous koji može argumentirano reći kako onaj drugi nije Anonymous?) u nekom drugom smjeru – primjerice, u smjeru aktivnosti koje će dovesti do gubljenja popularnosti i potpore u javnosti, što je prvi korak prema krajnjem cilju: kriminalizaciji grupe, njenom razbijanju i hvatanju što više članova, na terenu koji je već pripremljen: u javnosti koja hackersku grupu više ne promatra kao idealističke borce za višu stvar, već kao opasnu terorističku ili kriminalnu grupu, te u sudstvu sklonom zaštititi interesa javnosti i prije svega zakona. Možda vas ne mogu zatvoriti zbog vaše ideologije, ali vas itekako mogu zatvoriti zbog krađe kreditne kartice.
Sa druge strane, priča o razbijanju grupe iznutra ne mora biti točna. Moguće je da te hacktivističke grupe zaista ne tvore ljudi usmjereni ka višim idealima već obični oportunisti željni adrenalinskog kicka i nešto svjetske slave, spremnih učiniti bilo što – samo zato što mogu, i samo zato što ih nitko do sad nije ulovio.
I ta je priča jednako opasna – to je priča o grupi nekontroliranih, kaotičnih ljudi sposobnih učiniti bilo što, bez obzira na štetu koju mogu izazvati. I u takvom slučaju također imamo identičan PR problem: promjenu stava javnosti iz više ili manje pozitivne u izrazito negativnu.
Najzad, hvalisanje o kreditnim karticama novinara neće baš pomoći izgradnji pozitivne slike o hackerskoj grupi. I to mi se čini kao posebno zanimljiv moment: svatko želi imati medije uz sebe, svatko želi da mediji o njemu govore pozitivno. Zašto bi se netko hvalisao kako ima u svojim rukama brojeve kreditnih kartica novinara, riskirajući da ih okrene protiv sebe? Padaju mi na pamet samo dva objašnjenja: jedno objašnjenje je namjerna sabotaža ubačenih agenata sa ciljem izazivanja animoziteta, a drugo je objašnjenje glup potez socijalno neprilagođene ekipe hackera sa velikim egom i obrnuto proporcionalnim osjećajem za PR, te lažnim osjećajem nadmoći nad “glupim sustavom”.
Da bi stvar bila zanimljivija, oba objašnjenja jednako su vjerojatna.
I tako, čini se da zbilja neće biti potrebno smišljati pokus – bit će dovoljno pratiti razvoj događaja. Je li riječ o incidentu u amorfnoj masi anonimnih anarhista, je li riječ o organiziranoj sabotaži ili je pak riječ o divljanju ega socijalno neprilagođenih geekova – saznat ćemo, kad tad. Jedan od ranih indikatora može biti ograđivanje (ili ne) hackerskih grupa od ovakvih poteza.
Krajnji ishod priče, nažalost, samo je jedan: ideološki sukobi traže dobro definirane ideologije i zahtjevaju snažnu etiku na strani boraca. Kolateralne žrtve ne mogu biti opravdane ideologijom, a nasilje nad nedužnima mora biti osuđeno. U suprotnom, plemenita gerilska borba nužno će skliznuti u terorizam; a terorizam je jedan od naziva kojeg je lako nalijepiti svakoj gerilskoj borbi koja je izgubila podršku u narodu.
Hoćemo li uskoro vidjeti prve hackerske terorističke grupe?
Autor je jedan od vodećih domaćih informatičara i ekspert za slobodni softver, informatički novinar, bivši stručni savjetnik za informatiku u poglavarstvu Grada Zagreba i vlasnik tvrtke Operacijski sustavi. Jedan je od 25 najboljih IT konzultanata u Hrvatskoj, prema izboru korisnika tih usluga. Njegove tekstove možete pronaći na njegovom osobnom blogu oddparity.org.
