Zastanawialiście się kiedyś, czym różnią się osoby z naszej branży od innych ludzi, których nie pociąga bezpieczeństwo informacji, tworzenie i przełamywanie zabezpieczeń i spędzanie setek godzin nad projektami, które nie mogą się udać?
Autorem poniższego wpisu jest Marcin Zarod, bardzo miły człowiek, który zagłębia się w świat hakerów z perspektywy naukowca. Z Marcinem możecie porozmawiać już dzisiaj o godzinie 12 pod https://zoom.us/j/4099781235?pwd=M3F5YTBiajF5TDkrMXNxUnR4S3ZWUT09. A o czym? To poniżej.
Notatki z badań socjologicznych hakowania
Jest taki film katastroficzny, nazywa się „Margin Call”. Jak w każdym dobrym filmie katastroficznym sytuacja się psuje dzięki ludziom w krawatach i garsonkach. Uwielbiam z niego monolog, gdy jeden z krawatów wspomina czasy, gdy był inżynierem od mostów. Wezwali go do ratowania katastrofy ekonomicznej, a on siedzi na podmurówce i gada. Szacuje na głos, ile godzin ludzie zaoszczędzili dzięki jego mostowi. Lubię tę scenę, bo splatają się w niej inżynieria, krawaty i katastrofy, a o tych rzeczach jest ten tekst.
Zamieniłem inżynierię na socjologię, bo za dużo czytałem o katastrofach. Na pewnym etapie zacząłem sobie zadawać pytania o to, w jaki sposób systemy społeczne zgrywają się z systemami technicznymi. Jak się nie zgrywają, to jest źle. Mniej więcej mieszczę się w nurcie STS (Science-Technology-Society).
Nawet kiedy kończę rundę badań, to dalej lubię rozmawiać z ludźmi. Po części wynika to z nerdozy, po części z konieczności. Traktuję ten dialog jako dodatkową formę recenzji. Mniej ze strony nauki, bardziej ze strony wiedzy środowiskowej. STS są małym nurtem badawczym, więc łatwo o izolację i popadanie w błędne koła.
Do 2018 roku przez parę lat badałem to, jak hakerzy tworzą wiedzę. Napisałem z tego doktorat, jak chcecie to znajdziecie go tutaj (https://depotuw.ceon.pl/bitstream/handle/item/2909/3502-DR-SOC-264571.pdf?sequence=1). W dużym skrócie: stwierdziłem, że CTF-y, ekipy bezpieczniackie i miejscówki hakerskie – w ramach obserwowalnych parametrów – bywają laboratoriami tworzącymi specyficzną odmianę wiedzy. To interesujące, bo to tak, jakbyśmy mieli małe socjologiczne mechanizmy procesu naukowego, ale z zupełnie innym tłem instytucjonalnym. W pewnym sensie błędy komputerowe mogą być reprodukowane, testowane i powielane tak samo jak próbki polimerów czy pomiary mostów. A przecież modele formalne bezpieczeństwa komputerowego są na zdecydowanie innym poziomie niż pomiary wytrzymałości materiałów. Nie będę tu pisał o szczegółach socjologicznych, bo detale znajdziecie w doktoracie wskazanym powyżej.
Dlaczego mnie to jara naukowo? Bo to tak, jakby zobaczyć podobny ekosystem biologiczny, który powstał w pozornie innych warunkach. Być może – w ramach STS – potrzebujemy zmodyfikować nasze wyjaśnienia związane z odkryciami, laboratoriami i wiedzą, tak aby równie dobrze opisywały CERN co Google Zero.
Po projekcie związanym z doktoratem chciałem zrobić coś lżejszego teoretycznie i nieco łatwiej przekładalnego na praktykę. W ciągu ostatnich dwóch lat zrobiłem projekt związany z rynkiem pracy w bezpieczeństwie komputerowym. Mniej dziwnych teorii, bardziej o klasyce socjologicznej: o tym, jak wygląda praca, jakie są ścieżki zatrudnienia czy biografie „bezpieczniaków”.
Nie dotarłem do badań na próbach reprezentatywnych dla Polski lub nawet Europy, nie miałem też środków na duże, wieloletnie badanie, więc zrobiłem badanie eksploracyjne. Co to znaczy? Po pierwsze, że nie jest reprezentatywne ani nawet na dużej próbie. Można by to nazwać rozpoznaniem obszaru socjologicznego albo badaniem, które robi się, żeby w kolejnych badaniach wiedzieć, o co pytać, gdzie pytać i jakimi narzędziami. Niewiele? Być może – ale to od takich drobniejszych badań zaczyna się większe i bardziej systematyczne sondaże. Bez nich trudno oszacować, jak losować respondentów, jakie pytania mają sens itd.
Jak to się robi? Bezpieczeństwo i badania socjologiczne?
Podstawowy problem w bezpieczeństwie danych społecznych to pogodzenie anonimowości ze sprawdzeniem poprawności analizy pod kątem naukowym. W przypadku danych statystycznych jest łatwiej, bo z jednej strony pracuje się na liczbach, a z drugiej – w ramach prawa o tajemnicy sondażowej. W badaniach eksploracyjnych i jakościowych jest trudniej: małe próby, dużo danych biograficznych i małe środowiska, często grupy zawodowe, mniejszości etniczne etc.
Reprezentatywność dla badań szczegółowych jest trudna, a dla małych budżetów i nowych środowisk praktycznie niemożliwa do osiągnięcia. Zamiast tego celowałem w dużą różnorodność: miejsc pracy, miejsc i okazji realizacji wywiadów, doświadczenia i specjalizacji. Mogliście mnie spotkać na konferencjach bezpieczeństwa, warsztatach, spejsach. Odzywałem się też mailowo do pojedynczych osób z branży.
Jak to konkretnie wygląda? Wziąłem dyktafon i – razem z Patrycją – zrealizowałem około 40 wywiadów z ludźmi z branży, od freelancerów, przez małe firmy, a skończywszy na ludziach z zespołów bezpieczeństwa w dużych firmach. Ponieważ to i tak małe środowisko, to nie mogę powiedzieć, z kim konkretnie, bo obiecałem uczestnikom anonimowość, co jest standardem etycznym w mojej branży.
Nie ma niestety jednoznacznej interpretacji prawnej, która by ten standard etyczny chroniła. Pracuję na pograniczu między tajemnicą psychologa a tajemnicą sondażową. Z tą pierwszą łączy mała skala i detale biograficzne respondentów, z tą drugą anonimizacja i powiązanie z mechanizmami ekonomii czy demografii. W praktyce sądzę, że Policja lub agencje wywiadu mogłyby zażądać moich danych, a moja osłona prawna byłaby iluzoryczna, w najlepszym razie w ramach tajemnicy przedsiębiorstwa.
Na wszelki wypadek więc nie notuję danych osobistych respondentów, nazw miast i konkretnych dat realizacji. Przed wywiadem smartfona zostawiam w innym miejscu, zamiast tego korzystam z prostego dyktafonu cyfrowego, bez geolokalizacji. Pliki z nagraniami wysyłam zaszyfrowane (najczęściej hasłowane z 7 zip, czyli AES-256, potem Dropbox albo Gmail) do konkretnej osoby robiącej transkrypcje, tą samą drogą dostaję wywiady w wersji tekstowej. Potem pliki z nagraniami przechowuję zaszyfrowane, na dysku offline, przez ok. 10 lat, na wypadek gdyby moja rzetelność była zakwestionowana.
Gdyby tak się stało, to stałą procedurą jest powołanie komisji etycznej spośród moich kolegów i respondentów, która wyłania wybrane 2 lub 3 osoby, którym udzielam dostępu do losowych fragmentów nagrań i transkrypcji. Jeśli transkrypcje są uznane za wiarygodne, to udostępniam wybranym członkom komisji losowe fragmenty transkrypcji wywiadów wraz z moimi schematami analizy, komentarzami teoretycznymi itp.
Nie jest to rozwiązanie idealne, ani z perspektywy nauki, ani z perspektywy bezpieczeństwa, ale okazało się akceptowalne dla respondentów. W większych badaniach zbieranie, przetwarzanie i analiza danych są rozbite na wiele osób, ale sami wiecie, jak to jest z budżetami na bezpieczeństwo w Polsce. No więc w naukach społecznych pieniędzy jest mniej.
W kontekście mojego badania, co to znaczy analiza? W praktyce to zbiór transkrypcji wywiadów zapakowany w programie MaxQDA. W tym środowisku czytam każde zdanie każdego wywiadu i oznaczam kodami, które można porównać z tagami. Kody oznaczają główne problemy, główne prawidłowości biograficzne, podobne ścieżki wykształcenia etc. Na tym poziomie zbierane są dane z poszczególnych wywiadów i tutaj szukam pierwszych prawidłowości, znanych z literatury czy innych badań. Analiza to proces przekształcania danych z wywiadów w system kodów, który nie opisuje konkretnych ludzi, a abstrakcyjne mechanizmy środowiskowe. Te kody są następnie przetwarzane na język publikacji i raportów, są też używane jako odpowiednik otwartych danych. Tutaj możemy też stosować bardziej złożone techniki – od analizy krzyżowej po proste analizy sieciowe.
FAQ z badania
Skąd się biorą osoby od bezpieczeństwa? Nie ma jednej standardowej ścieżki. Klasyczna biografia hakerska nie jest już tak oczywista. Klasyczna, czyli „hakowanie routera w szkole, rzucenie studiów, pentesty i adminka jako fuchy, profesjonalizacja”. Do tego dochodzi ścieżka pozioma, czyli „byłem programistą, zajarał mnie jakiś problem / współpracowałem przy czymś bezpieczniakowym, przekwalifikowałem się”. Mam też wrażenie, że w ramach ścieżki formalnej będzie podział na „miałem czwórki, ciekawi mnie dużo rzeczy” i „algorytmika, kryptologia i matematyka dyskretna”. Pierwsza prowadzi do ludzi raczej rozmontowujących rzeczy i mających szerszy ogląd, druga do wąskich, wyspecjalizowanych stanowisk.
Dość sensowną hipotezą wydaje mi się też, że bezpieczeństwo odrywa się stopniowo od innych elementów kultury hakerskiej, bezpośredniego zaangażowania politycznego, buntu itp. Są oczywiście punkty wspólne, ale były one raczej słabo obecne w analizowanych wypowiedziach.
Gdyby ktoś mnie zapytał, jak zachęcać osoby studiujące do tej specjalizacji, to bym powiedział „dajcie ludziom warunki, żeby bezpiecznie psuć zabawki IT i gadać o ich doświadczeniach”.
Gdzie jest bezpieczeństwo w ramach organizacji? Zależy od organizacji. Dla startupów krypto czy weryfikacji tożsamości jest praktycznie na każdym poziomie, przenika całość procesu. W dużych organizacjach bywa relegowane do osobnej przegródki, raczej odizolowanej od innych procesów. To zresztą trend w wypowiedziach respondentów: problemy związane z izolacją i postulat, aby bezpieczeństwo nie było piwnicą w budynku D, tylko równym partnerem w zespołach projektowych. Tu oczywiście będzie różnica między bankami, korporacjami pozabankowymi i korporacjami informatycznymi, ale ten postulat był obecny u osób ze wszystkich ww. obszarów.
Czego się oczekuje od osób w tej specjalizacji? Pod względem wiedzy fachowej: albo osoba od wąskiej kategorii problemów, wyspecjalizowana, albo osoba rozumiejąca ogół jakiegoś wycinka procesu, umiejąca jednocześnie kojarzyć wiele detali, przekładać perspektywy itd. Ta pierwsza osoba czyta rzeczy z węższego obszaru, za to bardziej złożone technicznie. Ta druga „czyta szerzej”, w skali całego procesu czy nawet branży.
Pod względem interpersonalnym: osoba samodzielna, sama raportująca anomalie, sama szukająca informacji i testująca rozwiązania. Oczywiście część z tego jest pożądana w wielu innych sektorach, ale część z tego wynika z chęci obsadzenia zbyt szerokiego obszaru przez zbyt małą liczbę osób.
Czy menadżment to zło? Trochę tak, co częściowo wynika z izolacji zespołów, małej wiedzy klientów i elit firmowych, małych budżetów etc. Z drugiej strony sporo osób wskazywało jednak na to, że specjalizacja pociąga za sobą powstawanie osób, które scalają procesy szczegółowe, dają komfort pracy zespołom bezpieczeństwa i przekładają perspektywy. Tu respondenci doceniali zarówno sensownych PM średniego szczebla, jak i osoby „integrujące procesy”.
Czy ludzie od bezpieczeństwa są szczęśliwi? Oczywiście trudno ocenić, ale zaryzykowałbym tezę, że mogą być ciut szczęśliwsi niż ogół ludzi w IT. Brak rutyny; małe, zgrane zespoły; możliwość patrzenia na wiele elementów układanki projektowej – to wszystko może ciut redukować wypalenia zawodowe, alienację etc.
Czego jeszcze chciałbym się dowiedzieć? Na ile to jest jedna grupa osób, które rotują po różnych stanowiskach, specjalizują się i awansują? A może to osobne bąble zawodowe, mające jedynie śladowe powiązania między sobą? To wściekle trudny problem badawczy, zwłaszcza w momencie gdy nie mam dobrego oszacowania wielkości populacji. Mam pomysł żeby, użyć do tego rzadko używanego próbkowania socjologicznego, opartego m.in. na łańcuchach Markowa (tzw. respondent driven sampling, szczegóły tutaj http://www.respondentdrivensampling.org/), ale to wymaga ode mnie paru lat nauki i realizacji kolejnych badań.
Co dalej? Oczywiście mam jeszcze wuchtę pomysłów badawczych. Od przeanalizowania podatności Spectre/Meltdown jako przypadku jednoczesnego odkrycia naukowego, przez badania HCI userów i bezpieczeństwa, a skończywszy na portrecie socjologicznym forum elektroda.pl. Na razie siedzę nad analizą CTF jako mechanizmu replikacji eksperymentów. A w ogóle to NSA kiedyś zrobiło konferencję filozofów nauki i nie dali rady paru problemom…
A skąd tak obciachowa nazwa badania? Tak samo jak w „Margin Call”, ja też mam hipotekę do spłacenia.
Jeśli chcielibyście pogadać o moich badaniach, macie sugestie albo pytania – to w najbliższy piątek robię spotkanie wokół mojego ostatniego projektu. Zaczynamy 16 października 2020 o godz. 12 pod linkiem: https://zoom.us/j/4099781235?pwd=M3F5YTBiajF5TDkrMXNxUnR4S3ZWUT09
Jeśli zaś chcielibyście zapytać o coś mailowo, to piszcie na m.zarod [ małpa] is.uw.edu.pl
Komentarze
To równie fascynujące środowisko jak środowisko sprzedawców czego kolwiek oczywiście większość powie że to ich wielka pasja nie praca bo tego wymaga albo tak im się wydaje ich praca, dziś należy mówić że uwielbia się swoją pracę, ale to wszystko to prosta kalkulacja, lepsze to niż praca w starbaksie, wystarczy powiedzieć że sporo z tych ludzi nie umie programować.
Umiejętność programowania jest tak samo potrzebna bezpiecznikom, jak znajomość łaciny – współczesnemu socjologowi. Jeden język skryptowy żeby sobie co nieco automatyzować. To nie czasy RMSa, gdy „prawdziwi mężczyźni sami sobie pisali sterowniki do drukarek” :)
cytat cytatem… ale takie rzeczy mozanby wygwiazdkować w części jednak….. szczególnie w tytule….
Bo to nieprzyzwoite?
A od kiedy to commenty są u Was usuwane? :/
Jest moderacja – zanim się pojawią może minąć kilka godzin.
„Dość sensowną hipotezą wydaje mi się też, że bezpieczeństwo odrywa się stopniowo od innych elementów kultury hakerskiej, bezpośredniego zaangażowania politycznego, buntu itp.”
A w jaki sposób zdobyłeś zaufanie rozmówców i przekonałeś ich, że nie jesteś kolejną „sztuczką” penetrującą te środowiska na zamówienie organów?
„tak aby równie dobrze opisywały CERN co Google Zero” – nie rozumiem :-(
Ja bym poszedł w tą strone elektroda.pl tam się na pewno czai jakiś nobel z socjologii.
A przesledziles sklonnosc do paranoi jako chorobe zawodowa oraz upodobanie do teorii spiskowych na poziomie wyzszym niz w populacji ogolnej?
Poziom ciekawosci jak to dziala i twardy tylek do siedzenia
Ciekawy material anyway
Dolaczam sie do postulatu zmiany tytulu: studentom chcialem polecic a musze dbac o poziom