dwutygodnik internetowy
22.05.2017
magazyn papierowy


Kup
egzemplarz
Magazynu
kontakt
z tym
artykułem

Zaród: Hakerzy w białych i czarnych kapeluszach

W popularnym obiegu hakera utożsamia się często z cyberprzestępcą. Tymczasem jest raczej zręcznym inżynierem, żartownisiem, wykwalifikowanym programistą.

ilustr.: Zuzanna Wicha

ilustr.: Zuzanna Wicha

Z Marcinem Zarodem rozmawia Stanisław Krawczyk.

STANISŁAW KRAWCZYK: Wyraz „haker” dość dobrze zadomowił się w naszym języku, obrósł też jednak wieloma stereotypami. Jak możemy go rozumieć?

MARCIN ZARÓD: W popularnym obiegu hakera utożsamia się często z cyberprzestępcą, który łamie zabezpieczenia cyfrowe, czy to dla korzyści osobistych, czy ze złośliwości. Tymczasem w środowisku hakerskim od lat osiemdziesiątych – jeśli nie dłużej – bardzo mocno podkreśla się, że haker jest raczej zręcznym inżynierem, żartownisiem, wykwalifikowanym programistą. Nawet jeżeli odnajduje luki w zabezpieczeniach, robi to z ciekawości.

Spory o to, kim jest „prawdziwy haker”, były istotne w badaniach socjologicznych w latach dziewięćdziesiątych. W tej chwili są już raczej przebrzmiałe – zarówno naukowcy, jak i członkowie środowiska hakerskiego dość powszechnie stosują rozróżnienie na white hats i black hats.

Symbolika bieli i czerni jest przejrzysta, ale skąd te kapelusze?

Ze starych westernów, w których dobrzy bohaterowie nosili białe kapelusze, a źli – czarne. Nie sądzę jednak, żeby to pochodzenie było szczególnie znaczące.

White hats to te osoby zainteresowane bezpieczeństwem komputerowym i programowaniem, które chronią systemy elektroniczne i dbają o stan infrastruktury sieciowej (czasami też bywają hacktywistami). Z kolei black hats to cyberprzestępcy lub napastnicy. Badane przeze mnie społeczności najczęściej skupiają hakerów z pierwszej grupy – tych, którzy nie łamią prawa.

Skądinąd jedna z ważniejszych konferencji związanych z bezpieczeństwem nazywa się właśnie „Black Hats”.

Ironicznie?

Albo na pół ironicznie. Co najmniej od czasów Snowdena wiemy, że państwa mają własne oddziały wojskowe zajmujące się atakami komputerowymi. Ale to nie są black hats, bo członkowie tych grup mają glejt od swojego kraju, więc nie działają nielegalnie. Prawda?

A więc podział na białe i czarne kapelusze też może być problematyczny.

Tak, i nie wszyscy specjaliści od bezpieczeństwa go uznają. Na przykład Bruce Schneier z MIT wyraźnie zaznacza, że definicja white hats jest zbyt szeroka: nawet ten, kto w dobrej wierze narusza granice systemu elektronicznego (choćby w celu wskazania jego ograniczeń administratorom, albo w drodze swoiście rozumianej obywatelskiej troski o infrastrukturę publiczną), sprawia, iż zawarte w nim dane przestają być wiarygodne. Jeżeli ktoś niepowołany mógł mieć do nich wgląd, to nawet jeśli nic nie modyfikował, my i tak nie możemy już tym danym do końca ufać.

Dla współczesnego ruchu hakerskiego istotne są miejsca zwane hackerspace’ami. Na nich właśnie będzie skupiać się twoja praca doktorska. Czym właściwie jest hackerspace?

Jest to albo fizyczna lokalizacja, albo stowarzyszenie rozumiane jako pewna forma prawna, albo grupa ludzi. Takich hackerspace’ów od 2011–2012 roku powstało w Polsce kilkanaście, kilka z nich przetrwało i istnieje już parę lat, a największy liczy około 80–100 ludzi uczestniczących w miarę regularnie w życiu społeczności (nie uwzględniam tutaj osób afiliowanych albo cichych sympatyków). Na świecie najstarsze kolektywy hakerskie, np. w Niemczech mają już dwadzieścia pięć lat.

Jak wygląda typowy dzień w hackerspace’ach?

Zdecydowana większość dni to tak zwane dni zamknięte, w trakcie których osoby z zewnątrz mogą wprawdzie wejść do budynku, ale nie zostaną potraktowane w specjalny sposób, nikt nie będzie się nimi osobno zajmował. W takim dniu standardowy polski hackerspace z reguły zaczyna się ożywiać po godzinie piętnastej, kiedy część programistów się budzi, a część wychodzi z pracy. Około szesnastej, siedemnastej w środku może być około pięciu osób, potem nieco więcej, przy czym niektóre przychodzą na krótko, a niektóre na dłużej. W przypadku największego hackerspace’u w Polsce przez cały dzień przewija się może dwadzieścia pięć osób, z czego dziesięć spędza w budynku 5–6 godzin.

Spośród tych osób część będzie siedzieć przy komputerach i kończyć pracę zawodową, a część zwyczajnie będzie ze sobą rozmawiać. Kilkoro ludzi może wpaść na godzinę czy dwie, żeby zająć się drobnymi naprawami lub korektami (na przykład dopasować jakąś część do roweru albo zrobić coś z serwerem); zjawiają się wtedy w określonym celu i nie wchodzą w zbyt wiele interakcji. Niektóre osoby po prostu kręcą się po budynku, od czasu do czasu coś zaprogramują.

Zdarza się też, że ktoś nagle rzuca ciekawy pomysł, a wtedy te trzy, cztery osoby, które luźno ze sobą rozmawiały – być może na wysokim poziomie fachowości – przystępują do bardzo szybkich testów danej koncepcji. Luźne siedzenie i praca projektowa ściśle się przeplatają i jedno bardzo łatwo przechodzi w drugie.

Jaki jest rozkład wiekowy wśród ludzi odwiedzających hackerspace’y? Przeważają studenci?

Są też osoby starsze, będące liderami grup programistycznych, projektów informatycznych, zespołów bezpieczeństwa komputerowego. Wśród stałych członków można trafić na ludzi mających czterdzieści, czterdzieści kilka lat. A jeśli chodzi o tych, którzy przychodzą na chwilę – żeby skonstruować coś konkretnego, zrealizować określony projekt – to zdarzają się nawet osoby w wieku lat pięćdziesięciu kilku. Niemniej mediana to będzie drugi, trzeci rok studiów, a najmłodsi stali członkowie mogą być nawet licealistami lub gimnazjalistami.

Przypuszczam też, że do społeczności należą głównie mężczyźni.

Rzeczywiście w hackerspace’ach jest mało kobiet i dziewczyn – proporcjonalnie mniej niż na studiach informatycznych albo w środowiskach branżowych zajmujących się programowaniem (mam na myśli konferencje PyCon, grupy związane z frameworkiem Ruby on Rails, meet-upy programistów). Pytania o wykluczenie ze względu na płeć są więc jednym z wątków mojej pracy.

A co z przynależnością klasową, na przykład wykonywanymi zawodami i uzyskanym wykształceniem?

Większość członków hackerspace’ów to osoby, które mają rodziców z wyższym wykształceniem (to klasyczny miernik socjologiczny). Równocześnie środowisko to jest moim zdaniem nieco bardziej inkluzywne pod względem klasowym niż na przykład uczelnie wyższe. Znam osoby, które nie były w stanie dostać się na studia – albo nie potrafiły tam wytrzymać ze względu na brak pewnego obycia czy kodów kulturowych charakterystycznych dla sektora akademickiego – a w hackerspace’ach mogły się rozwinąć, zdobyć wiedzę i znaleźć opartą na niej pracę.

Czemu tak się zdarza?

Ludziom z hackerspace’ów czasami mniej bliski jest formalizm matematyczny, który z powodu swojego abstrakcyjnego charakteru w większym stopniu odpowiada preferencjom klasy średniej. Cześć członków będzie raczej zainteresowana własnoręczną dekonstrukcją, warsztatami, dłubaniem, majsterkowaniem, a to zajęcia nieco bliższe klasie ludowej.

Bardzo wielu hakerów w wywiadach biograficznych mówi, że dla nich komputery to maszyny oparte na krzemie, a nie na teorii grup. Osoby te definiują więc komputery jako coś materialnego, jako skrzynkę, którą można rozmontować. Równocześnie nauki formalne definiują informatykę raczej od strony formalnej, rzadziej skupiają się na materialności – czasem dlatego, że jest to tańsze, czasem dlatego, że bardziej uniwersalne, a czasem dlatego, że matematyka generalnie jest językiem nauki. Ale niektórych problemów związanych na przykład z bezpieczeństwem nie da się w ten sposób rozgryźć.

Ja widzę to tak: im bardziej sformalizowane podejście przyjmujemy, im bardziej oddzielamy teorię komputerową od materialnego komputera, tym większa jest rola hakerów, którzy będą to wszystko zszywali. Żeby część ludzi miała komfort pracy na abstrakcjach matematycznych, bardzo dużo innych osób musi wykonywać tak zwaną niewidzialną pracę, czyli utrzymywać serwery, dbać o bezpieczeństwo, instalować łatki, zapobiegać wyjątkom. Czyli wykonywać robotę na bardzo podstawowym poziomie, który nie jest specjalnie interesujący dla świata akademickiego.

Mówimy o tym, czym różni się działalność członków hackerspace’ów od praktyki pracy naukowej. A efekt tej działalności, czyli wiedza?

Zwykła wiedza naukowa czy techniczna dąży do pewnych unifikacji czy też do rozpoznania zakresu stosowalności danego urządzenia. Tymczasem hakerom zależy na rozpoznawaniu wyjątków, bo wystarczy jeden, żeby mogli coś rozmontować. Bezpieczeństwo komputerowe jest tu świetnym przykładem: Tak jak w świecie akademickim często tworzy się szersze teorie, generalizacje, tak świat hakerski jest prawie w całości skupiony na wyjątkach, na pojedynczych wejściach do systemu.

Taką wiedzę trudno wykładać na uczelniach.

Tak, to podejście zdecydowanie bliższe jest warsztatom hands-on i pracy indywidualnej niż klasycznym akademickim mechanizmom transferu wiedzy. Wiedzę z hackerspace’ów trudniej się rozpowszechnia, nie jest łatwo napisać podręcznik, nie bardzo wiadomo, czy istnieje jakieś minimum informacji, które wszyscy musimy znać, żeby się ze sobą dogadywać.

Wszystko to, o czym mówimy, odbywa się nie tylko w ramach indywidualnego majsterkowania bądź programowania, ale też w toku interakcji społecznych.

Tak, hakerzy funkcjonują w dialogu ze sobą nawzajem, chętnie rozmawiają o ciekawych problemach. Natomiast nie mają cierpliwości dla grzeczności, rytuałów, formalizmów, całego tego kleju społecznego. Członkowie kolektywów łatwo się sobą nudzą, ich interakcje są bardzo dynamiczne i bardzo szybko wygasają. Mamy na przykład pięć minut wspólnego badania jakichś abstrakcyjnych, głębokich parametrów systemu, a potem nagle zapada cisza, bo obaj rozmówcy zaczynają coś skręcać.

Mówiąc o dialogu, odwołuję się również do przeprowadzanego w antropologii wiedzy czy antropologii pisma (Jack Goody, Elizabeth Eisenstein) rozróżnienia na oralność i piśmienność. Kultury oparte na dialogu i opowieściach są inne od kultur bazujących na piśmie. Moim zdaniem kultura hakerska jest zbudowana na oralności, bo nawet logi z konstrukcji różnych urządzeń czy instrukcje opisujące, jak je zbudować, mają strukturę historii z wyraźnie wyodrębnionym głównym bohaterem; częste są też dygresje, wrzutki, odwołania do wiedzy milczącej. To nie są artykuły naukowe, to nie są teksty standaryzowane.

Czy specyfika wiedzy hakerskiej ma jeszcze jakiś inny wymiar?

Jeśli spojrzymy na hackerspace’y jako pewien rodzaj laboratoriów naukowych, to ważna będzie cecha, którą nazywam ustabilizowaną niestabilnością. Laboratoria formalne i przemysłowe najczęściej starają się wytworzyć gotowy produkt, który pójdzie do fabryki z instrukcją obsługi albo zostanie opisany za pomocą publikacji naukowych. Tymczasem hakerom wystarcza to, że coś działa. Nie musi działać zawsze, nie musi działać powtarzalnie, nie musi działać w szerokim spektrum warunków, nie musi się sprzedawać. Ma działać.

Co za tym idzie, produkty hakerskie często sprawiają wrażenie wytworów prowizorycznych, układów niestabilnych, działających okresowo lub wymagających pracy użytkownika. W ten sposób powstaje obieg rzeczy wprawdzie nie zawsze działających, ale łatwo podlegających modyfikacji (tak jak system operacyjny Linux lub inne otwarte oprogramowanie, do którego każda osoba może mieć wgląd, choć nie zawsze jest ono przyjazne dla zwykłego użytkownika). Ta ustabilizowana niestabilność sprawia, że dany produkt może być bardzo szybko rozmontowywany, zmieniany i testowany: członkowie kolektywu będą badać, co tkwi w środku, przeprowadzać różnego rodzaju sprawdziany, próby sił (czy to na oscyloskopie, czy w dziedzinie bezpieczeństwa komputerowego). W tym sensie hackerspace’y raczej odkrywają niż konstruują, uwidaczniają złożoność, a nie sprowadzają ją do stanu zamkniętych produktów. To taka moja socjologiczna definicja: hakerem jest ktoś, kto otwiera czarne skrzynki…

…i majstruje w nich.

Ale niekoniecznie je potem zamyka.

Albo zamyka je w taki sposób, że potem trzymają się tylko na sznurek.

No właśnie. Oprócz tego możemy tu jeszcze wrócić do wątków, które pojawiały się przy okazji pojęcia strefy wymiany. Z prowizorycznością hakerskich wytworów związana jest rola humoru – to właśnie on pozwala zmniejszyć koszty nieudanych operacji czy konstrukcji. A jeśli produkt okaże się udany, to można go przekazać do profesjonalnych laboratoriów, gdzie nadana mu zostanie zamknięta forma. Tak było z Linuxem: on czasem działał, czasem nie, i dopiero wówczas, gdy został ustabilizowany przez szereg dystrybucji komercyjnych, stał się powszechnie używanym produktem. W pewnym sensie wiedza hakera jest wiedzą rzemieślnika, bo często jest lokalna, wyrywkowa i nieskodyfikowana.

Oprócz określenia „hackerspace” posługujesz się też słowem „kolektyw”. Co ono oznacza?

To już pojęcie bardziej socjologiczne. Można je definiować na trzy sposoby i każdy z nich podkreśla inny aspekt tego samego zjawiska.

Pierwsza definicja wskazuje na to, że część hackerspace’ów wyrasta ze środowiska anarchistycznego. Tak jak istnieją kolektywy anarchistyczne, czyli pewne wspólnoty rządzące się charakterystycznymi prawami, tak też istnieją kolektywy hakerskie, nawiązujące do tradycji anarchistycznej czy wolnościowej za pomocą nazwy.

Definicja druga odwołuje się do pojęcia kolektywu myślowego Ludwika Flecka – prekursora STS, polskiego mikrobiologa, filozofa i socjologa nauki. Kolektyw taki jest grupą ludzi, którzy mają wspólny sposób traktowania wiedzy, wspólne kryteria określania prawdziwości różnych przekonań.

I wreszcie w ramach teorii aktora-sieci, z której korzystam, istnieje pojęcie kolektywu ludzi i nie-ludzi. Teoria ta zwraca uwagę na to, że przedmioty również są istotne i trzeba się nimi zajmować dużo bardziej wnikliwie, niż to tradycyjnie robiono w socjologii. Nie sposób zrozumieć jakiejkolwiek zbiorowości ludzkiej bez badania przedmiotów, które umożliwiają jej działanie.

Jaką rolę w naszym wypadku odgrywa pojęcie kolektywu ludzi i nie-ludzi?

Podkreśla ono znaczenie sprzętów, przedmiotów i bytów wirtualnych, które umożliwiają hakerom bycie hakerami. Aktorami nieludzkimi są tutaj choćby serwery, drukarki 3D czy różnego rodzaju wirtualne boty, które także tworzą realia hackerspace’ów. Jeżeli na przykład wejdziemy na hackerspace’owy kanał komunikacji (kanał IRC, listę dyskusyjną), to będziemy rozmawiali z wieloma ludźmi, ale też z botami. Opłacając składkę na utrzymanie naszej piwnicy, regulację części płatności również powierzymy botowi, to jest programowi napisanemu specjalnie w tym celu.

Możemy mówić tutaj o dialogu ze sprzętem – dialogu, bo między działaniem a odpowiedzią upływa niewiele czasu, pętle interakcji z przedmiotami są bardzo krótkie. W takiej wymianie uczysz się na błędach, wykorzystując to, że koszt pojedynczej iteracji (czasowy, energetyczny, finansowy) jest stosunkowo niski. W eksperymentach fizycznych bądź chemicznych, na przykład w badaniu cząstek, nie masz tego luksusu; musisz wszystko z góry dokładnie przemyśleć, przeprowadzić symulacje, nie możesz zbudować pięciu akceleratorów na próbę i zobaczyć, który działa. W inżynierii komputerowej dużo łatwiej jest zrobić coś kilka razy, zobaczyć, jakie występują problemy, i dopiero wtedy stworzyć teorię (zamiast od niej zaczynać).

Wspominasz o historycznym związku hackerspace’ów ze środowiskami anarchistycznymi. Zastanawiam się, czy współczesne kolektywy hakerskie są w jakimś wymiarze kontrkulturowe. Chodzi mi tutaj o przeciwstawianie się dominującym trendom w takich kwestiach jak bezpieczeństwo danych, prywatność lub anonimowość.

To jest moment, w którym klasyczne koncepcje socjologiczne okazują się niewystarczające. Hackerspace’y są kontrkulturowe w tym sensie, że czasami podważają prawomocność instytucji formalnych; ich członkowie trochę się śmieją z politechniki, z uniwersytetu. Niekiedy hakerzy prowadzą też działalność watchdogową, działają na rzecz społeczeństwa obywatelskiego, współpracują z innymi aktywistami. Hackerspace’y są więc nieraz ośrodkami oporu lub ośrodkami, wokół których gromadzą się grupy protestu czy grupy zainteresowania. To miejsca, gdzie możesz usłyszeć, jaki jest aktualny stan ustawy inwiligacyjnej albo jakie nowe środki techniczne pozyskała Policja. Ale jednocześnie elementy kultury hakerskiej stały się nieodłączną częścią obiegu informatycznego. Metody pracy, elementy seksizmu, standardy sprawdzania wiedzy, a nawet korzystanie z określonych narzędzi to nie nisza w informatyce, tylko norma.

Pojawia się też pytanie: na ile można mówić, że zbiorowości hakerskie są kontrkulturowe, jeżeli trudno być specjalistycznym programistą albo ekspertem od bezpieczeństwa komputerowego, nie będąc z nimi w żaden sposób związanym? I mówimy tu przecież o zawodach cenionych, bardzo dobrze opłacanych.

A czy na przykład hasło „wielkie korporacje” wzbudziłoby w hackerspace’ach jakąś reakcję?

Co do zasady, korzystanie z Facebooka, Apple’a czy ze sprzętu Microsoftu byłoby wykpiwane i stanowiłoby powód do żartów, ale nikt tego nie zabrania. Twoja prywatność, twoja sprawa.

W takim razie spytam inaczej: czy jest jakiś ważny spór publiczny, w którym hakerzy zajmują wyraźne stanowisko i odgrywają istotną rolę?

Owszem – spór związany z prywatnością. Część hakerów jest zdecydowanie przeciwna prawu służb specjalnych do nieograniczonej inwigilacji. Często nawet osoby, które w hackerspace’ach generalnie pozostają apolityczne, aprobują ideę CryptoParty i wspierają bardziej zaangażowanych kolegów.

CryptoParty?

To otwarte warsztaty, dzięki którym można się nauczyć szyfrować korespondencję, dyski, zabezpieczać – przynajmniej na podstawowym poziomie – komunikację elektroniczną. Hackerspace’y w Polsce i Europie organizowały kiedyś takie spotkania regularnie, nawet co miesiąc (w tej chwili coraz rzadziej). W warsztatach tych uczestniczyła znacząca liczba dziennikarzy, aktywistek… Hackerspace’y włączały się też w działania Ministerstwa Cyfryzacji i mają swój udział we współczesnych dyskusjach o bezpieczeństwie danych.

Głos hakerów jako środowiska nie jest chyba dobrze słyszalny z perspektywy „szarego człowieka”. Rozumiem jednak, że oddziałuje na poglądy specjalistów i dziennikarzy, którzy z kolei kształtują opinię publiczną.

Właśnie w ten sposób hakerzy realnie wpływają na przebieg dyskusji w sprawach bezpieczeństwa, prywatności, komputerowej infrastruktury publicznej. Szczególny nacisk położyłbym tutaj na kwestię edukacji technicznej w obszarze informatyki. Z jednej strony hackerspace’y wyciągają ludzi z politechnik, bo dają możliwość zajmowania się ekscytującymi rzeczami bez konieczności zaliczania analizy matematycznej. Z drugiej strony czasem wspierają uczelnie w rożnych pracach badawczych, realizując drobne projekty, będąc źródłem podwykonawców, będąc miejscem konsultingu. Wydaje mi się też, że oddziałują – w sposób trudno mierzalny statystycznie, ale istotny – na kształcenie kolejnych specjalistów od bezpieczeństwa komputerowego. Na uczelniach technicznych bardzo słabo uczy się zagadnień bezpieczeństwa, czy to od strony pracy administratora, od strony testów penetracyjnych, czy też od strony projektowania systemów…

…a hackerspace’y wypełniają tę lukę?

Wypełniają, chociaż tylko częściowo. Nie mogą przecież przekroczyć pewnego poziomu organizacji, istnieje jakieś ograniczenie wiedzy i złożoności, które można w takich obiegach poznać. Ale ciągle jest to istotne.

Czy można sobie wyobrazić lepszy system edukacji technicznej, dzięki któremu luka między uczelniami a hackerspace’ami byłaby mniejsza?

Można. Część uczelni w Niemczech ma grupy akademicko-hakerskie zajmujące się zawodami hakerskimi czy zawodami związanymi z bezpieczeństwem, które są łącznikami pomiędzy lokalnym hackerspace’em a uniwersytetem bądź politechniką. Na przykład grupa działająca na Karlsruhe Institute of Technology rozwiązuje zadania związane z bezpieczeństwem i wykonuje testy bezpieczeństwa; w jej skład wchodzą hakerzy, absolutnie bez afiliacji, oraz ludzie z afiliacjami akademickimi. W ten sposób powstaje rodzaj trzeciej przestrzeni czy przestrzeni pośredniej. Taka grupa funkcjonuje też na University of California.

W jakim kierunku mogłoby zmierzać państwo polskie, jeśli chodzi o załatanie dziur w systemie kształcenia?

Myślę, że część agend publicznych, takich jak Ministerstwo Cyfryzacji czy Narodowe Centrum Badań i Rozwoju, mogłaby tworzyć zadania i łamigłówki związane z bezpieczeństwem. Tak samo jak mamy festiwale nauki, tak też można tworzyć gry wojenne, łamigłówki typu „Capture the Flag”, różne rodzaje zagadek hakerskich. Nie w celu rekrutacji, jak być może robią nasze służby specjalne, ale po to, aby popularyzować ten obszar wiedzy, poszerzać społeczne zainteresowanie, kształcić populację. Podobnie na studiach wyższych – szczególnie na politechnikach, i tu zwłaszcza w obszarach administrowania siecią czy bezpieczeństwa komputerowego – dobrze byłoby, gdyby studenci musieli ukończyć CTF-a, przynajmniej CTF-a zaprojektowanego pod kątem egzaminu.

I wreszcie bezpieczeństwo komputerowe – a więc na przykład to, czy czyjeś nagie zdjęcia nie trafią do sieci – jest zarówno problemem technologicznym, jak i społecznym. Wielu hakerów mówi, że dużo łatwiej jest złamać człowieka niż system. I tutaj widzę pole do roboty dla socjologii stosowanej: możemy badać takie modele organizacyjne i proponować procedury organizacji, które byłyby potencjalnie bardziej odporne.

Poza państwowymi uniwersytetami i politechnikami przychodzą mi na myśl jeszcze przynajmniej dwa rodzaje środowisk, które mogłyby szerzej współpracować z hackerspace’ami i więcej się od nich uczyć. Są to prywatne firmy oraz organizacje pozarządowe.

Dołożyłbym jeszcze środowiska anarchistyczne. A mówiąc ogólnie, moim zdaniem kolektywy hakerskie działają jako tak zwana strefa wymiany: są to miejsca, w których przedstawiciele rozmaitych grup mogą się spotkać i wymienić różnymi rodzajami wiedzy. Wiedza związana z praktyką biznesową jest trochę inna niż wiedza akademicka albo wiedza aktywisty. Kolektyw hakerski to miejsce negocjacji, targowisko idei, w którym różne grupy mogą się ze sobą dogadywać, poznawać nawzajem, mając ten komfort, że spotykają się w neutralnej przestrzeni.

Ani w gabinecie profesora uczelnianego, ani w gabinecie prezesa firmy.

Tak. Rolą hackerspace’u jest właśnie to, że usprawnia on komunikację pomiędzy heterogenicznymi aktorami. Nie tylko stanowi kolektyw sam w sobie, z własną specyfiką tworzenia wiedzy, ale jest też miejscem kontaktów pomiędzy innymi kolektywami. Metaforycznie mówiąc: jest zarówno swoistą przestrzenią wiedzy jak i punktem spotkania.

I jest to możliwe dzięki temu, że hackerspace’y nie są przyporządkowane do istniejących od dawna sfer społecznych.

To pierwsza rzecz. Drugą rzeczą jest to, że nie są do końca poważne. Hackerspace jest mniej lub bardziej symboliczną piwnicą, miejscem rozmów w nieformalnej atmosferze. Wszystko to sprawia, że można łatwiej zaproponować pomysły, jakie w innych warunkach zostałyby uznane za wariackie; można podejść do problemów w sposób bardziej eksploracyjny, pozwolić sobie na szerszy wachlarz spekulacji.

Jeżeli jesteś akademikiem, biznesmenem czy aktywistką, to po osiągnięciu pewnego etapu kariery nie możesz ryzykować głupich propozycji. W twoim codziennym środowisku pula tego, co możesz powiedzieć, zostaje ograniczona; jeszcze bardziej zawęża się grupa osób, z którymi masz styczność. Instytucje akademickie są zamknięte, biznes też – spotykasz w nim tylko kontrahentów. Tymczasem propozycje, które w innych miejscach natychmiast uznano by za niepoważne, w hackerspace’ach przynajmniej się omawia. Jeżeli dany pomysł wstępnie się sprawdzi, zabieramy go do naszego biznesu, na uczelnię, robimy z niego poważny projekt. A jeżeli nie, to po prostu traktujemy go jako pogaduchy w piwnicy i w ten sposób obniżamy koszt porażki (co jest kolejną cechą wiedzy hakerskiej).

Wiąże się to z szerszym zjawiskiem w kolektywach hakerskich – zjawiskiem, które nazywam karnawałem poznawczym. W trakcie karnawału możesz zaproponować dziwne rzeczy i one zostaną co najmniej rozważone, a jednocześnie negatywna ocena nie wpłynie znacząco na twoją biografię zawodową.

Czy to wszystko już się dzieje, czy też dopiero mogłoby się dziać?

To już się dzieje, także w polskich hackerspace’ach. Ta koncepcja wyjaśnia, dlaczego na otwartych czwartkach spotykali się akademicy z hakerami, a dołączał do nich biznesmen. Albo dlaczego akademik, aktywistka i haker mogli wspólnie się czymś zająć. Jasne, że nie wszystkie te strony zawsze będą zaangażowane, ale zaryzykowałbym tezę, że hackerspace’y tworzą okazję do spotkań bardziej heterogenicznych grup niż uczelnie czy urzędy.

Czy przychodzą ci na myśl przykłady historycznych przestrzeni, które mogły spełniać podobną funkcję?

Sama koncepcja stref wymiany pochodzi od Petera Galisona – historyka i socjologa nauki, który badał specyfikę wojskowych laboratoriów radarowych. W latach 1950–1980 na wschodnim wybrzeżu Stanów Zjednoczonych, na skutek pewnych cech charakterystycznych, laboratoria takie nie były zawłaszczane ani przez fizyków, ani przez elektroników, ani przez wojskowych, tylko działały właśnie jako miejsca pośrednie.

Galison przedstawił tę problematykę na poziomie języka, instytucji, uwarunkowań administracyjnych. Moim wkładem jest zbadanie roli, którą – przynajmniej w hackerspace’ach – odgrywa obniżenie kosztów porażki.

 A jeszcze wcześniej?

Trudno powiedzieć. Rzetelne badania socjologiczne prowadzone są od kilkudziesięciu lat, a spekulacje historyczne są ryzykowne, zwłaszcza w kontekście nauk technicznych, które mają – powiedzmy – sto pięćdziesiąt lat. Trzeba też pamiętać, że w XIX wieku nauka była domeną albo inteligentnych laików (konstruujących nowe przedmioty oddolnie, z bardzo ograniczonymi modelami formalnymi), albo dżentelmenów, którzy pisali do siebie listy. Te dwa obiegi prawie się nie spotykały, chyba że akurat silnik elektryczny się spalił; wtedy jedni drugich zaczynali słuchać, ale tylko na chwilę.

 Czyli strefy wymiany prawdopodobnie stały się potrzebne wraz z rozwojem nauki.

W tym sensie hackerspace’y są pochodną specjalizacji wiedzy technicznej: inżynierskiej, związanej z przetwórstwem plastyku, dotyczącej bezpieczeństwa. Tego rodzaju wiedza fachowa jest bardzo wąska, a niektórym osobom zależy na większym rozmachu. Jeśli w jednym zespole mamy ludzi o tak zróżnicowanych preferencjach, to kolektywy hakerskie w pewnych momentach pozwalają im łatwiej się ze sobą dogadywać.

To dlatego powstały?

Powstały dlatego, że ludzie nie chcieli trzymać w garażach swoich gratów. Nie mieli dość miejsca w domach. Zamiast trzymać w piętnastu domach piętnaście drukarek i piętnaście obrabiarek, postanowili się zrzucić na piwnicę.

A potem okazało się, że nawet samotnicy czasami potrzebują kolektywu myślowego.

***

Marcin Zaród jest socjologiem nauki i techniki.

***

Zapraszamy również do lektury suplementu, w którym Marcin Zaród przedstawia dalsze zagadnienia związane z hackerspace’ami.

 

  • John Smith

    Ciekawe badania, choć wyczuwa się silną predylekcję autora do “narzucania” zjawiskom konceptów, które niekoniecznie mają z nimi związek. Dobrym przykładem jest sformułowanie dotyczące logów.
    “Moim zdaniem kultura hakerska jest zbudowana na oralności, bo nawet logi z konstrukcji różnych urządzeń czy instrukcje opisujące, jak je zbudować, mają strukturę historii z wyraźnie wyodrębnionym głównym bohaterem; częste są też dygresje, wrzutki, odwołania do wiedzy milczącej. To nie są artykuły naukowe, to nie są teksty standaryzowane.”

    Logi to zapisy techniczne odnoszące się do poszczególnych kroków danego procesu realizowanego przez system. Z zasady procesy mają celowościową strukturę – po coś się je w systemie implementuje np. oblicza się podatek, rejestruje użytkownika, podłącza się nowe urządzenie do routera, itd. Proces, to specyficznego rodzaju algorytm. Jeśli algorytm uznać za opowieść, to pojawia się się efekt trywialności bo kategoria ta zaczyna obejmować niemal wszystko.

    Z kolei przeciwstawienie teorii wyjątkom też wydaje się być nieporozumieniem. Zabawa w hackowanie to poszukiwanie miejsc w systemie, które generują niepożądane zachowanie systemu z perspektywy twórców. Np. pozwalają utworzyć przelew na inny rachunek niż podał użytkownik systemu. Istnienie tego typu możliwości wynika na ogół z błędów projektowych. Innymi słowy, jeśli uznać system za pewną teorię dotyczącą problemu X, to luki w systemie pokazują jedynie, że jest ona niekompletna i trzeba ją uzupełnić. Nie ma tu zatem żadnego konfliktu. To tak jakby powiedzieć, że wartości brzegowe nie należą do teorii.

    Mam nadzieję, że te uwagi się przydadzą ;-)

    • Ezechiel

      Super, dzięki.

      1. Logi to kwestia sformułowania (logi z konstrukcji to może być zapis dyskusji z IRC czy zdjęcie tablicy z dyskusji o projekcie, niekoniecznie to jest tożsame z logami serwerowymi lub z przyrządem do mierzenia prędkości okrętu).

      2. Dzięki, Pomyślę nad tym. Na szybko: nie chodzi o proste przeciwstawienie (bo są wyjątki w matematyce i eksperymenty paradoksalne w fizyce), ale o ich status, reakcję środowiska, potencjalną generalizację i przypisywane im znaczenie.

      Na pewno będę to bardziej dłubał, choćby dla jaśniejszej terminologii.

      • John Smith

        Ad. 1. Jeśli rozciągamy pojęcie logów na zapisy dotyczące konstrukcji, to faktycznie, wątek oralny staje się bardziej widoczny. Obecnie jednak tego typu zapisy na ogół traktuje się jako część tzw. backloga, czyli miejsca,
        w którym gromadzi się zapisy dotyczące planowanych tzw. features związanych z systemem. W tym kontekście funkcjonują również tzw. user stories oraz epic’i czyli tzw. “lekkie” formy zapisu wymagań wobec systemu. Już same nazwy sugerują związek z oralnością, ale należy być ostrożnym, bo nie zawsze są one adekwatne. Poza tym tego typu pojęcia funkcjonują bardziej w obszarze wytwarzania oprogramowania niż hackowania.

        Ad. 2. Proszę pamiętać, że szczególny stosunek do wyjątków mają również testerzy, którzy również próbują “zhackować” system by zapobiec błędom na produkcji. Często osoby testujące również nie znają w szczegółach modelu systemu i skupiają się jedynie na jego wejściach oraz wyjściach. Zatem wiążąc pojęcie wyjątku z reakcją na niego pewnej grupy osób pojawia się problem jak rozróżnić testerów od hackerów – obawiam się, że bez włączenia w to kategorii moralno-etycznych może być kłopot ;-).

        • Ezechiel

          1. Zgadzam się, że należy zachować ostrożność. Ale też warto pamiętać, że oralność (w sensie Goody’ego czy Onga) to nie same akty mowy, ale specyficzna konstrukcja wywodu. I tutaj user stories, write-upy po CTF czy “tales from the field” (z pracy Juliana Orra) pasują nieźle. Przynajmniej na razie ;-)

          2. Mój argument jest taki: hakerzy i testerzy próbują znaleźć wyjątki i pewne mechanizmy mogą być podobne (przynajmniej z perspektywy tworzenia wiedzy). Ocena moralno-etyczna jest dla mniej mniej istotna (o etyce hakerskiej są już tony prac socjo, o specyfice wiedzy jest dużo mniej).

          Tak czy śmak, dzięki za rozmowę. Jakby co mogę podsyłać papiery do walidacji (tzn. marudzenia) po kontakcie na m.zarod@is.uw.edu.pl

          • John Smith

            To na koniec tej sympatycznej dyskusji, jeszcze dwie uwagi.

            Ad. 1. Choć nie znam prac Goody’ego ani Onga to na podstawie definicji w wikipedii przypuszczam, że chodzi Panu o tzw. wtórną oralność: “Both McLuhan and Ong also document the apparent re-emergence, in the electronic age, of a kind of ‘secondary orality’ that displaces written words with audio/visual technologies like radio, TV and telephones. Unlike primary oral modes of communication, these technologies depend on print for their existence. Mass internet collaborations like Wikipedia rely primarily on writing, but re-introduce relationships and responsiveness into the text”. Jeśli tak pojmować oralność w obszarze subkultury hackerskiej, to z pewnością ma ona miejsce, przy czym z moich doświadczeń jako projektanta systemów wynika, że tego typu formy mają charakter pomocniczy, a podstawą, przynajmniej w projektowaniu są modele dziedziny (patrz ostatnio bardzo popularny trend Domain Driven Desing).
            Ad. 2. Proszę pamiętać, że obecnie wiedza dotycząca możliwych form ataku na systemy jest już mocno “skodyfikowana”. Innymi słowy pojęcie wyjątku ma sens głównie w odniesieniu do systemu, który się atakuje, natomiast na poziomie wytwarzania wiedzy, o którym Pan pisze mamy do czynienia z zaawansowanymi wzorcami postępowania. Pamiętam jak osoba zajmująca się bezpieczeństwem systemów w mojej firmie znalazła w ciągu pierwszych dni po zatrudnieniu szereg krytycznych luk. Jej działanie sprowadzało się do zastosowania szeregu znanych exploitów i wzorców postępowania. Nie było w tym żadnej szczególnej analizy, wnikania w dziedzinę systemu, itd. Znajdowanie słabych punktów sprowadzało się do dość mechanicznego zastosowania znanej w środowisku hackerskim wiedzy. Innymi słowy w wielu przypadkach hacikng to rzemiosło. Dodam na koniec słynne, choć nie wiem, czy potwierdzone przez badania hasło, że 90% fraudów, ataków pochodzi z wewnątrz organizacji. Innymi słowy autorami większości ataków są osoby, które na co dzień pracują z systemami i doskonale wiedzą jakie są ich słabe punkty.

            Niestety muszę podziękować za propozycję walidacji papierów – chętnie poznałbym Pana badania i analizy, ale niestety mam bardzo ograniczony czas – sam również próbuję skończyć phd, a niestety nie idzie mi to tak sprawnie jakbym chciał :(.
            Trzymam kciuki!

          • Ezechiel

            1. Tak, chodzi o szczególną formę wtórnej oralności (z tym, że nie tylko w formie audio, ale również w formie pisanej – co nieco wykracza po wąski cytat z wiki).

            2. Super, dzięki. Gdzie można poczytać więcej o tych standaryzacjach? Na kongresach bezpieczeństwa były raczej talki o problemach z taką standaryzacją (każda firma ma swoje modele).

          • John Smith

            Miałem na myśli serwisy typu: https://www.exploit-db.com
            gdzie dla danego komponentu lub typu ataku można znaleźć bogatą bazę przykładów, gotowych skryptów, itd. Co innego modele wytwarzania bezpiecznego oprogramowania – tutaj obawiam się, że poza dobrymi praktyki i zaleceniami metodycznymi (np. mieć jak najwyższe pokrycie testami) brak jest jakiś twardych od strony teoretycznej koncepcji.