Oprogramowanie, czyli sztuka po polsku

opublikowano: 25-01-2018, 22:00

Krzysztof Dyki, wiceprezes ZUS ds. IT, opowiada, jak zamiast hakerem został jednym z największych specjalistów od oprogramowania w Europie. Bez książek, internetu, ale za to ze świadectwem pracy z MPO.

W CV ma pan Szczecin jako rodzinne miasto. A w Warszawie?

Zobacz więcej

Fot. Marek Wiśniewski

W Szczecinie skończyłem edukację — pedagogikę i informatykę. Warszawa to pewien etap pracy zawodowej, kompilacja doświadczeń.

Raczej nie pierwsza praca?

Pierwsza praca była fizyczna w gospodarstwie rolnym ojca. Pierwsze świadectwo pracy otrzymałem jako piętnastolatek z Miejskiego Przedsiębiorstwa Oczyszczania. Tak łączyłem naukę z pracą.

To stąd zamiłowanie do porządków na rynku IT?

Rynkiem IT zająłem się dużo później, pracując dla organów państwa i międzynarodowych firm. To efekt rozwijania mojego hobby, związanego z inżynierią wsteczną oprogramowania w obszarze różnych architektur sprzętowych. Poświęcałem mu dużo czasu.

Inżynieria wsteczna, czyli odwrotność programowania?

W pewnym sensie. W dziedzinie inżynierii wstecznej zajmowałem się tzw. disassemblacją, dekompilacją, kompresją, algorytmami kryptograficznymi oraz rekompilacją zaszyfrowanych i skompresowanych zbiorów danych. Natomiast programowaniem jako usługą i projektami z tym związanymi zajmowałem się, tworząc oprogramowanie dla organów państwa, również oprogramowanie niejawne.

Brzmi jak underground, głęboka nisza. Z takiego miejsca da się trafić do ZUS-u, największej struktury IT w kraju?

Zanim trafiłem do ZUS-u, współtworzyłem spółkę skarbu państwa Aplikacje Krytyczne. Tworzy m.in. oprogramowanie analityczne do wykrywania i przeciwdziałania nadużyciom podatkowym w sektorze finansów państwa. Jeszcze wcześniej kilkakrotnie tworzyłem niekonwencjonalne i rozproszone oprogramowanie dla organów państwa. Mniej więcej w tym czasie zetknąłem się z nadużyciami na rynku IT po stronie publicznej i komercyjnej. Analizowałem ich mechanizmy i przyczyny, zarówno związane ze sprzętem, jak i oprogramowaniem. Między innymi te doświadczenia przełożyły się na prowadzone przeze mnie szkolenia praktyczne i teoretyczne dotyczące nieprawidłowości na rynku IT dla wielu podmiotów, głównie kluczowych instytucji państwowych.

A informatyczny underground — od czego się zaczęło?

To były jeszcze lata 80., szkoła podstawowa. Pierwszy komputer to Timex 2048, potem Commodore 64. Po kilku tygodniach zamiast grania zainteresował mnie bardziej sam komputer. Fascynowało mnie to, jak tworzone są gry, skąd biorą się programy, jak powstaje obraz i dźwięk w komputerze. Pochłonęło mnie to od 11 roku życia. Dla tak młodego chłopaka nie było dostępnej literatury technicznej. W 1988 r. nie było w naszym kraju internetu. Nie znając innej możliwości, naukę informatyki zacząłem więc nietypowo — od kodu maszynowego. Analizowałem intuicyjnie kod oprogramowania, metodą prób i błędów śledziłem zachowanie procesora, rejestrów, flag i pamięci. W ten sposób nauczyłem się także zmieniać i rozwijać oprogramowanie, zanim jeszcze nabyłem umiejętność samodzielnego jego tworzenia. Oczywiście wszystko odbywało się na użytek własny, zgodnie z obowiązującym ówcześnie prawem.

Musiał mieć pan niezwykłe samozaparcie.

To była zabawa i fascynacja trwające ponad 20 lat. Początkowo widziałem na ekranie nic nie mówiące komendy i analizując ich przebieg, musiałem zrozumieć funkcje i działanie. Pasjonowało mnie także tworzenie efektów audiowizualnych za pomocą kodu maszynowego.

Czy właśnie rozmawiamy o hackingu i crackingu?

Rozmawiamy o pasji. Dzięki niej mogłem naprawiać błędy w oryginalnym oprogramowaniu bez posiadania jego dokumentacji projektowej i kodu źródłowego. Również wtedy, gdy błąd uniemożliwiał uruchomienie bądź działanie legalnie nabytego oprogramowania. Umiejętności te zostały dostrzeżone przez poważne firmy informatyczne, zlecały mi usługi dotyczące inżynierii wstecznej bez dostępu do kodów źródłowych. Optymalizowałem wydajność oprogramowania, poprawiałem błędy, tworzyłem, testowałem i wzmacniałem zabezpieczenia oprogramowania.

Które ze znanych aplikacji były przedmiotem pana informatycznych analiz?

Nie chodzi o konkretne produkty, ale niewłaściwie implementowane funkcje. Praktycznie w każdym rozbudowanym oprogramowaniu można znaleźć błędy lub luki. Podobnie było i jest w zaawansowanych systemach zabezpieczeń oprogramowania, w tym kluczach sprzętowych.

Gdzie dzisiaj młodzież może zdobywać tak wyjątkowe umiejętności?

Pod tym względem niewiele się zmieniło. Mimo dostępu do internetu i literatury fachowej źródła wiedzy pozwalają zrozumieć głównie podstawowe aspekty techniczne. Literatura nie nadąża za rozwojem technologii w wymiarze sprzętowym i programowym. Świadectwem tego jest dynamiczny rozwój zagrożeń cybernetycznych. Według mnie, kluczem do wiedzy jest pasja i wytrwałość. Polacy mają potencjał, już współtworzą światową czołówkę kapitału intelektualnego w dziedzinie cyberprzestrzeni. Tworzone przez nich oprogramowanie przekracza pojęcie dobrego rzemiosła. Tak, może być uznane za sztukę.

W służbach też komputery były na pierwszym miejscu?

To było ciekawe i cenne doświadczenie, szczególnie w dziedzinie technik operacyjnych i pracy w laboratorium kryminalistycznym. Odbezpieczałem i odtwarzałem struktury wirusów, analizowałem oprogramowanie szpiegowskie, zajmowałem się dekompresją i rekompresją nieznanych algorytmów oraz analizą danych binarnych o nieustalonych strukturach. Później zajmowałem się także między innymi kontrolą publicznych zamówień informatycznych.

Czy to wtedy powstało oprogramowanie niejawne?

Porozmawiajmy może o oprogramowaniu jawnym, o tym, jak w pewnej instytucji państwowej niespodziewanie utracono kontakt z zagraniczną firmą, produkującą oprogramowanie przetwarzające najważniejsze dane dotyczące obywateli. Były zapisane w nieznanym formacie i zostały zaszyfrowane autorskim algorytmem producenta, z którym utracono kontakt. Zaistniała pilna potrzeba ich odczytania i migracji do nowego formatu. Dodatkowym utrudnieniem była utrata przez administratora hasła dostępu do oprogramowania i brak dostępu do dokumentacji projektowej i kodów źródłowych. Niezbędna była analiza kodu maszynowego oprogramowania w celu odkodowania hasła administratora i ustalenia algorytmów i kluczy szyfrujących dane operacyjne. W efekcie powstało nowe oprogramowanie odczytujące hasła wszystkich użytkowników, deszyfrujące dane operacyjne zapisane w autorskich strukturach producenta i przenoszące oryginalnie zaszyfrowane zbiory danych do uniwersalnej postaci.

Co ma wspólnego IT ZUS-u ze światem inżynierii wstecznej?

Teoretycznie niewiele, praktycznie sporo. Rozumienie wewnętrznych aspektów działania sprzętu i oprogramowania, w informatyce określanych jako właściwości niskopoziomowych, pozwala na uniwersalną perspektywę oraz zrozumienie procesów technicznych niezależnie od producenta. Ta wiedza znacząco pomaga ocenić sytuację projektową i biznesową, a w rezultacie ułatwia merytoryczny dialog z partnerami technologicznymi, wspiera podejmowanie decyzji.

Stres związany z zagrożeniami publicznego sektora IT nie utrudnia snu?

Podstawą mojego działania jest nie stres, lecz zaufanie do kompetencji i doświadczenia zespołu, w którym pracuję. To także świadomość odpowiedzialności za powierzone nam zadania i bezpieczeństwo przetwarzania świadczeń 23 mln naszych klientów. To jest najważniejsze. &

Krzysztof Dyki

Absolwent Wydziału Informatyki Politechniki Szczecińskiej. Specjalizuje się w kodzie maszynowym, inżynierii wstecznej oprogramowania oraz cyberprzestępczości. Twórca oprogramowania dla instytucji państwowych. Realizował wiele projektów związanych z dekompilacją i inżynierią wsteczną oprogramowania i baz danych dla zagranicznych instytucji komercyjnych. Autor analiz i testów zabezpieczeń sprzętowych i programowych zlecanych przez producentów. Zanim podjął pracę w zarządzie Zakładu Ubezpieczeń Społecznych, był wiceprezesem spółki Aplikacje Krytyczne, która tworzy dla Ministerstwa Finansów systemy teleinformatyczne wspomagające pracę administracji podatkowej.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Karol Jedliński, Grzegorz Suteniec

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Po godzinach / Oprogramowanie, czyli sztuka po polsku