Author

Topic: Moj intervju s poznatim hardverskim hakerom Joe Grandom, zvanim Kingpin (Read 86 times)

legendary
Activity: 2730
Merit: 7065
Otkako sam pogledao video o hakiranju Trezora, želio sam razgovarati s Joe "Kingpin" Grand-om lično. Javio sam mu se i pitao ga je li zainteresiran da obavi intervju sa mnom koji bi bio objavljen na Bitcointalk forumu? Svidjela mu se ideja i nakon nekoliko pokušaja, napokon smo poklopili termine i završili posao.


Za one koji ne znaju ko je Joe Grand, evo nekoliko informacija o njemu.

Joe Grand je posato haker 1982. kada je imao samo 7 godina. Njegov brat je posjedovao Atari 400 i koristio ga je za skupljanje video igrica. Joe-a je odmah privukla tehnologija te je svaki dan prije i poslije škole provodio uz računar. Zanimalo ga je da pronađe nove načine za razmjenu igrica s drugim ljudima i tako je započela njegova priča. Nakon određenog perioda, naučio je kako besplatno telefonirati i povezivati se sa kompjuterskim sustavima udaljenim od njega kako bi mogao dobiti još više igrica.

Joe je ubrzo shvatio da postoje ljudi koji trguju i drugim stvarima, ne samo video igricama. Imali su informacije o pristupanju različitim kompjuterskim sustavima. Poznavali su druge metode besplatnih telefonskih poziva ili otvaranja posebnih linija za zabavu i telekonferencije gdje se više ljudi moglo okupiti i razgovarati preko telefona. Za Joe-a je postalo normalna stvar posjedovati informacije koje druga djeca nisu imala.

Joe je bio uhapšen kad je imao 16 godina jer je provalio u telefonsku kompaniju kako bi ukrao opremu. Srećom, bio je maloljetan u to vrijeme i nije završio u zatvoru. Joe je želio učiti, ali je shvatio da krađa nije pravi način da se dođe do informacija. Nakon tog događaja pridružio se hakerskoj grupi pod nazivom L0pht Heavy Industries koja se sastojala od starijih hakera od njega.

Članovi ove skupine su hakirali svoje vlastite sustave kako bi pronalazili ranjivosti i onda bi kontaktirali dobavljače softvera (uglavnom Microsoft). L0pht je naučio Joe-a o važnosti dijeljenja informacija i činjenju dobrih stvari za širenje pozitivnih priča o hakiranju. Godine 1998. Joe je svjedočio pred američkim Kongresom zajedno sa ostalim članovima L0pht-a o stanju računarske sigurnosti u vladi i o tome koliko su kompjuterski sustavi loši od pojave interneta. Tada je šira javnost shvatila da hakeri mogu biti dobri i da se s njima isplati raditi.

Od kraja 2002. Joe radi sam, stvara svoje projekte, drži govore, predaje i povremeno snima video klipove o inžinjerstvu i hakiranju.


Intervju

Intervju je obavljen na nekoliko načina i u više faza. Najprije sam poslao listu pitanja Joe-u preko emaila. Odgovorio je na neka od njih u svojim YouTube AMA-ima uživo (linkovi se mogu naći u nastavku). O onim pitanjima koja nisu odgovorena emailom, razgovarali smo nedavno preko Zoom-a. Joe je zatim uredio svoje odgovore radi jasnoće i ažuriranja informacija.
 

1. Kakav je osjećaj biti haker? Kako te gledaju ljudi koji znaju šta možeš uraditi? Vide li tehnološkog čarobnjaka ili zlikovca?

Joe: Biti haker je sve što sam ikada znao i sve što sam ikada radio. Znatiželjan sam i volim učiti nove stvari a posebno one koje nisu opće poznate. Kada spomenem da sam haker, većina ljudi misli da radim nešto ilegalno. Čak je i moja žena u početku tako mislila. Ali to nije tako – hakiranje se može koristiti za dobro i za zlo kao i skoro sve u životu. Pomažem ljudima tako što otkrivam sigurnosne probleme i obavještavam kompanije o tim problemima kako bi se oni mogli popraviti. Pomažem ljudima podučavajući ih o onome što znam kako bi se mogli odbraniti ili poboljšati svoje proizvode. Pretpostavljam da ovisi o osobi; neki me vide kao negativca, drugi kao tehnološkog čarobnjaka.


2. Govorio si o drugčijem razmišljanju u svom Live AMA-u i kako te je hapšenje u dobi od 16 godina navelo da prestaneš sa delikventnim hakerskim aktivnostima. Postavši član L0phta učinilo te je boljom osobom. Šta misliš šta bi se dogodilo da nikada nisi upoznao te dečke? Vjeruješ li da bi takve aktivnosti mogle rezultirati ozbiljnom zatvorskom kaznom i životom u kriminalu?

Joe: Članovi L0pht-a su me primili nakon što sam upao u probleme. Bilo je to iskustvo koje je promijenilo moj život i prava prekretnica. Svi ostali dečki su bili stariji od mene i djelovali su mi kao odgovorne osobe. Ugledao sam se na njih i na neki način ih oponašao. Roditelji su me pustili u L0pht, koji je bio hakersko okupljalište u mom rodnom gradu Bostonu u Massachusettsu, jer su znali da imam strast prema hakiranju i da je L0pht dobro mjesto za to. Da nisam bio uhapšen kao klinac, sa sigurnošću mogu reći da bih nastavio praviti probleme i možda bi završio u zatvoru.


3. Nakon hakiranja Trezor One uređaja, jesi li pokušao slične napade na neke druge proizvođače hardverskih novčanika? Možemo li očekivati nešto slično u budućnosti? Radi li ekipa možda na nečemu dok mi razgovaramo?

Joe: Da, radili smo na drugim projektima hakiranja novčanika, kako hardverskih tako i softverskih. Objavili smo još jedan video u Junu 2022 (hack Samsung Galaxy telefona), ali većinu hakiranja novčanika koje radimo ne snimamo.

Hakiranje sa softverske strane je prilično jasno i dobro definiran problem, naročito kad je riječ o hakiranju lozinki. Ograničenja u računarskoj snazi i snazi kriptografije već su jasno definirana. Mala je vjerojatnoća da ćete izgubiti nečije kriptovalute ako hakirate lozinku njihovog novčanika ili na neki drugi način iskorištavate softverski novčanik. Ili ćete saznati lozinku od novčanika i ostvariti pristup kriptu ili nećete.

Ali hardver je drugačiji. Čak su i napadi koji su poznati vrlo nepredvidljivi i nisu tako pouzdani kao softverska strana stvari. Rizik od gubitka pristupa kriptovalutama je mnogo veći i obično je uzrokovan slučajnim brisanjem memorije ili pokretanjem neke sigurnosne protumjere tokom napada. Potrebno je puno vremena za istraživanje da bi se uopšte došlo do tačke za početak izvođenja napada na određeni hardverski novčanik. Zatim, napad mora biti uspješan na način da možete doći do privatnog ključa, seed-a ili drugih podataka na koje ciljate. A postavlja se i pitanje je li osoba stvarno imala tu količinu kriptovaluta koju je mislila da ima. Stoga moramo biti pažljiviji u vezi kojih projekata hakiranja hardvera preuzimamo.



4. Član sam Bitcointalk-a već nekoliko godina i viđao sam teme u kojima su se ljudi žalili da su izgubili pristup svojim kriptovalutama. Izgubljeni seed-ovi, pokvareni hard diskovi, zaboravljeni PIN-ovi i lozinke, itd. Da li si ikada razmišljao o korištenju ovog foruma i pronalaženju sličnih tema u kojima bi i ti i druga strana mogli imati koristi od povratka sredstava?

Joe: Zapravo nisam ni znao za Bitcointalk dok mi se ti nisi javio e-mailom. Nisam toliko obraćao pažnju na svijet kriptovaluta dok nisam hakirao Trezor novčanik. Znao sam da postoji zajednica kripto entuzijasta, ali nisam znao da postoji tako aktivan forum isključivo za to. Nikada nisam razmišljao o pretraživanju tema na forumu - to baš i nije moj način rada i osjećao bih se čudno da to radim. Puno je prirodniji proces kada ljudi dođu nama a ne da mi kontaktiramo njih. Ako neko nudi neželjenu pomoć u svijetu kriptovaluta, svakako morate biti na oprezu i paziti s kim imate posla.

Kada tražite pomoć za povrat kriptovaluta, jako je važno da ste sigurni da razgovarate sa pravom osobom, a ne sa nekim prevarantom. Postoje imitatori Joe Grand-a na društvenim mrežama (osobito na Instagramu, ali i na TikToku, Twitteru itd.) koji nude pomoć ljudima i traže novac unaprijed, a ja obično čujem za to tek kad neko bude prevaren. Čim se jedan lažni nalog blokira, pojavi se drugi. Mene nije teško pronaći – ostvarivanje kontakta sa mnom putem moje web stranice je najbolji i najpouzdaniji način da znate da razgovarate sa mnom, a ne s nekim ko se pretvara da sam ja.



5. Šta nam možeš reći o offspec.io? Kako bi vaša tvrtka mogla pomoći nekome sa Bitcointalk-a, na primjer?

Joe: offspec.io je mali tim kojeg smo okupili kao rezultat mog hakiranja Trezor novčanika. Dok sam radio na tom projektu, supruga mi je rekla da bih trebao snimiti video o hakiranju jer je većina videa koje sam do tad objavljivao bila fokusirana na inžinjerstvo i "ljudi moraju vidjeti da si još uvijek haker". Obratio sam se svom prijatelju koji snima filmove i odlučili smo to napraviti. Nakon uspješnog hakiranja novčanika, moj prijatelj je rekao da bi ovo trebalo postati naše zanimanje. I bio je u pravu - toliko ima ljudi kojima je potrebna pomoć.

Ja sam hardverski haker i onaj kojeg većina ljudi prepoznaje zbog naših videa, ali imamo i softverske hakere koji rade na razbijanju lozinki i sličnim analizima i par drugih osoba koje rade iza scene na pravnoj strani stvari i direktnoj komunikaciji sa potencijalnim klijentima.

Otkako je izašao prvi video, primili smo stotine i stotine e-mailova od raznih ljudi sa različitim problemima. Pomažemo onima kojima možemo, ali nažalost mnogi ljudi su prevareni na neki način - ili su slali kriptovalute na lažne mjenjačnice ili su ulagali u neke lažne coine, itd. Nismo u mogućnosti da pomogemo ljudima koji su prevareni - priroda kriptovaluta je takva da je malo vjerojatno da se povrate sredstva na zakonit način bez pomoći organa za provođenje zakona, što je također malo vjerojatno da će se dogoditi.

Bez obzira na to kako su ljudi izgubili pristup svojim kriptovalutama, moraju znati da nisu sami. Ne bi se trebali osjećati "glupo" jer su zaboravili šifru, izgubili komadić papira gdje je bio zapisan seed ili su bili prevareni. Sve su to stvari koje se čovjeku mogu desiti i to se događa mnogima od nas.



6. Kakvu budućnost vidite za Off Spec i gdje želite da bude za 5 ili 10 godina?

Joe: Nemamo plan. Šta god da se dogodi, dogodit će se. Volio bih snimiti još videa koji kombiniraju tehničke elemente povratka kriptovaluta sa ličnom stranom ljudi kojima je potrebna pomoć. I naravno, želimo nastaviti pomagati ljudima dok god je to nešto u čemu uživamo. Hakiranje novčanika nije naš primarni posao. To je samo jedna usluga koju nudimo kako bismo pokušali pomoći ljudima da povrate svoja sredstva.


7. Tvoj fokus je na hardveru, ali pretpostavljam da znaš više o softveru od prosječne osobe. Jesam li u pravu?

Joe: Po zanimanju sam kompjuterski inžinjer, tako da je moj fokus primarno na hardveru, ali imam iskustva sa kodiranjnjem i dovoljno poznajem softver za ono što meni treba za posao. Uglavnom pišem kod za hardverske projekte na kojima radim, obično u C ili assembly, i za kontrolu hardverskih alata koji se koriste za hakiranje, poput rada u Python-u kako bi mogao raditi sa ChipWhisperer-om za izvođenje fault injection napada ili analize napona. Dovoljno sam dobar, ali sebe nikada ne bih nazvao programerom.


8. Koje je tvoje iskreno mišljenje o kriptovalutama, posebno o Bitcoinu? To je open-source protokol. Jesi li ikada istraživao kodnu bazu tražeći ranjivosti ili da bi vidio kako su Satoshi i drugi programeri stvorili ovaj digitalni novac kojeg koristimo danas?

Joe: Mislim da postoje neki zanimljivi elementi kod kriptovaluta i blockchain tehnologije koji bi zapravo mogli imati praktičnu svrhu. Koncept digitalnih valuta i decentraliziranog finansijskog sustava, između ostalog, zvuči sjajno i postoje neki legitimni i zanimljivi projekti, ali broj prevara, shitcoina, itd. otežava prihvaćanje i povjerenje javnosti. Još uvijek postoje mnoga neriješena pitanja o tome kako bi se te tehnologije trebale koristiti. Je li Bitcoin imovina ili valuta? Jesmo li mi samo učesnici u Ponzi šemi i HODL-amo u nadi da će drugi ljudi u budućnosti to još više cijeniti kako bismo mogli profitirati? Ili ga koristimo kao valutu umjesto fiata? Kako može biti i jedno i drugo u isto vrijeme? Ima li digitalno "vlasništvo" non-fungible tokena zaista ikakvu stvarnu vrijednost ili je sve to samo subjektivno? Je li to išta drugačije od toga kako se vrednuju materijalni kolekcionarski predmeti? Mislim da kripto još uvijek nije neovisan finansijski sustav. Čak i uz rast kriptovaluta i blockchaina u posljednjih 10+ godina, još uvijek se sve to čini nevjerojatno rizičnim i spekulativnim.


9. Najbolji Bitcoin i kripto novčanici i softveri su open-source. Jesi li ikada istraživao neke od najpopularnijih novčanika, poput Bitcoin Core-a ili Electrum-a?

Joe: Nisam pregledao kodne baze open-source softverskih novčanika, ali sam čitao kodne baze open-source hardverskih novčanika tražeći potencijalne ranjivosti koje mogu iskoristiti preko hardverskih napada. Open-source platforme olakšavaju pažljivo provjeravanje koda, ali to ne znači nužno da su sigurnije jer smo vidjeli mnoge primjere sigurnosnih propusta u open-source programima. Uz sve rečeno, lično ne bih vjerovao niti koristio bilo šta što je povezano sa kriptovalutoma a da nije open-source, posebno zbog rizika od virusa i prevara. Ja sam veliki zagovornik open-source projekata i većinu svog rada činim dostupnim na taj način – ne nužno zbog sigurnosti, već kako bih omogućio drugim ljudima da ih provjere, da ih nadograđuju ili da uzmu nešto što je njima korisno i ugrade to u svoje vlastite projekte.


10. Koristiš li ti Bitcoin?

Joe: Ne baš. Jedva da imam išta od kriptovaluta. Jednostavno nemam želudac za to, pogotovo zato što radim za sebe i nikad ne znam odakle će doći moja sljedeća plata. Još 2010. godine moja žena mi je predložila da kupim Bitcoin jer su ga svi moji prijatelji kupovali, ali nisam želio uložiti svoj novac u to i izgubiti ga. Ali, naravno, trebao sam je poslušati.


11. Šta nam možeš reći o secure element čipovima u hardverskim novčanicima? Ledger novčanici, na primjer, imaju secure element, ali su ti čipovi closed-source. Bitcoin zajednica je generalno zabrinuta u vezi svega što je closed-source. Koje opasnosti vidiš u closed-source softveru i hardveru? Jesmo li zabrinuti sa razlogom? Jesi li ikada pokušao hakirati secure element čip?

Joe: Kada radite sa nečim što je closed-source, vi zapravo imate posla sa crnom kutijom. Vi ne znate šta imate u rukama. I dalje možemo izvršiti reverse-engineering na closed-source sustavima ali za to je potrebno više truda. Ljudi koji podržavaju closed-source projekte reći će da se neprijateljima open-source-a olakšava pregledanje koda ili hardvera radi pronalaženja ranjivosti, ali to također znači da čim neko pronađe problem i progovori o njemu, svi drugi to odmah mogu potvrditi i implementirati metode kako bi se zaštitili. To se može učiniti neovisno o proizvođaču, gdje bismo inače čekali da oni "učine pravu stvar" i riješe probleme umjesto nas.

Što se tiče Ledger-a, oni imaju closed-source proizvod. Oni koriste sigurnosni element za kojeg možete dobiti dokumentaciju samo ako potpišete ugovor o povjerljivosti sa dobavljačem čipova a tu "privilegiju" imaju samo odabrani kupci. Iako je secure elements čipove znatno teže hakirati od mikrokontrolera za opću namjenu, jedini način na koji se njihova sigurnost može testirati ili provjeriti je od strane onih koji imaju pristup skupoj i specijaliziranoj opremi, što ograničava broj ljudi koji zapravo to mogu učiniti.

U stvarnosti, i open-source i closed-source hardverski dizajni mogu imati velike nedostatke koji bi mogli potkopati sigurnost ili integritet cijelog proizvoda. Jednostavno možda nećemo saznati za njih dok neko ne odluči izaći u javnost s tom informacijom. Ako su vezani ugovorom o povjerljivosti, to se možda nikada neće ni dogoditi.



12. Ti radiš samostalno. Moglo bi se reći da si freelancer. Jesi li ikada radio za neku veliku tvrtku ili razmišljao o takvoj karijeri?

Joe: Nakon što sam završio fakultet 1997., radio sam kao inžinjer dizajna za kompaniju koja se zove Continuum i koja se bavi razvojem proizvoda. Tu sam naučio kako pravilno dizajnirati elektroničke sustave i kako ih odvesti od prototipa do masovne proizvodnje. U to vrijeme su imali oko 100 ljudi. 2000. godine napustio sam Continuum kako bih pokrenuo @stake sa momcima iz L0phta. To je jedna od prvih konzultantskih kompanija za računarksu sigurnost. Osamostalio sam se krajem 2002. godine i nikad se nisam pokajao. Uvijek sam imao problema sa ljudima koji su mi govorili šta treba da radim i prilično sam siguran da ne bih mogao dugo izdržati u nekoj velikoj kompaniji.


13. Kako danas očuvati privatnost i ostati anoniman na internetu sa svom ovom tehnologijom oko nas?

Joe: Moja glavna briga ovih dana je kako se moji podaci, povijest internet preglednika, upiti za pretraživanje itd. prikupljaju, koriste i prodaju. Zgrožen sam količinom reklama koje nam se stalno guraju pod nos. Glavni alati koje ja koristim su blokeri za pračenje i oglašavanje kao što su Adblock Plus, uBlock Origin i Ghostery. Koristim Little Snitch za monitoring ili blokiranje dolaznih i odlaznih konekcija za određene aplikacije. Koristim ili VPN ili Tor Browser kako bih zaštitio svoju privatnost na internetu. Također bih toplo preporučio da se pretplatite na Crypto-Gram newsletter Bruce-a Schneier-a kako biste bili u toku sa informacijama o sigurnosti i privatnosti.


14. Koji je tvoj najveći uspjeh u hakerinju, a šta ti je najveći neuspjeh?

Joe: Moj najveći uspjeh je to što mogu imati karijeru hakera i što mogu dijeliti ono što volim s drugim ljudima. Nisam nikada očekivao da će se to dogoditi i iznimno sam zahvalan što imam ovu priliku. Potrebno je puno samokontrole i motivacije da ostanete fokusirani, ali ja i ne bih želio da bude drugačije.

Ponekad razmišljam o stvarima koje sam mogao učiniti drugačije ili o greškama koje sam napravio, ali umjesto da na to gledam kao na svoje neuspjehe, na njih gledam kao na priliku za učenje ili razvoj. Da se bilo šta u mojoj prošlosti dogodilo drugačije, možda ne bih završio ovdje gdje sam sada. Dakle, stvarno ne žalim ni za čim.





Za više informacija o Joe-u:
- Zvanična web stranica i projekti: https://www.grandideastudio.com
- Usluge hakiranja novčanika i oporavka kriptovaluta: https://www.offspec.io
- YouTube: https://www.youtube.com/@JoeGrand
- Mastodon: https://chaos.social/@joegrand
- Službeni Discord server Joe Grand-a: https://discord.gg/wud8KnF2Gm

Joe ne koristi nijedne druge društvene mreže, stoga se čuvajte imitatora i prevaranata.

Izvori korišteni za ovu temu su 1. i 2. Live AMA Joe Grand-a, naš Zoom razgovor i dio teksta koje je napisao sam Joe.
Jump to: