Joanna Rutkowska — największa gwiazda polskiej informatyki

Warszawianka jest światowej klasy badaczką zagadnień bezpieczeństwa systemów komputerowych. I już od kilkunastu lat swoimi osiągnięciami przynosi chwałę Polsce. Szkoda tylko, iż w swojej ojczyźnie dokonania Rutkowskiej nie są odpowiednio znane. Liczę jednak, że lektura tej biografii pozwoli w jak największym stopniu zmienić ten stan rzeczy.

Początki

Joanna Rutkowska urodziła się 23 lutego 1981 roku w Warszawie. Przygodę z informatyką rozpoczęła w wieku jedenastu lat, kiedy otrzymała swój pierwszy komputer PC AT 286, będący klonem IBM PC/AT. Miał on monochromatyczny, bursztynowy, monitor i trój(!)-kolorową kartę graficzną firmy Hercules i nie nadawał się za bardzo do gier. Dlatego nastolatka będąca zaprawioną „giermaniaczką” za bardzo nie chciała z niego korzystać.

Wkrótce jednak ojciec kupił Rutkowskiej książkę o programowaniu w języku BASIC, a ona po jej lekturze odkryła swoją fascynację programowaniem. Wynikiem tego w wieku około 14 lat zaczęła uczyć się języka asemblerowego i pełna werwy przystąpiła do pisania wirusów, po czym skupiła się bardziej na matematyce i sztucznej inteligencji. Następnie Rutkowska jako 16/17-latka zaczęła zgłębiać tajniki sieci komputerowych i dystrybucji Linuksa oraz udoskonalać swoją bogatą już wiedzę w programowaniu systemów operacyjnych. To pod koniec lat dziewięćdziesiątych ponownie rozbudziło jej zainteresowanie dziedziną bezpieczeństwa komputerowego i zajęła się pisaniem exploitów na platformy Linux i Windows. A po dwudziestce w wyniku ciągłej ewolucji swoich zainteresowań zaczęły ją zajmować rootkity, ukryte kanały i sposoby zwalczania luk w jądrze systemu operacyjnego. 23-letnia Rutkowska, mając już tak bogatą wiedzę, ukończyła Wydział Elektroniki i Technik Informacyjnych Politechniki Warszawskiej, na kierunku informatyka w zakresie bezpieczeństwa informatycznego. Według jej wspomnień kobiety stanowiły tylko około 5 procent ogólnej liczby studentów wydziału. W jednym z wywiadów powiedziała też, że podczas tych studiów większość rzeczy uczyła się sama (jak wiele osób z branży) i niewiele miały wspólnego z bezpieczeństwem.

Advanced Malware Labs

Joanna Rutkowska zaraz po ukończeniu studiów na dobre skoncentrowała swoje działania w dziedzinie zabezpieczeń komputerowych. Od tego czasu warszawianka zaczęła także zabierać ważny głos na międzynarodowych konferencjach informatycznych, podczas których już od kilkunastu lat przedstawia wyniki swoich badań. Natomiast w styczniu 2006 roku Rutkowska stworzyła mały kilkuosobowy zespół badawczy Advanced Malware Labs, który zajmował się badaniami nad nowymi metodami kompromitacji systemów operacyjnych, jak i metodami ich zwalczania. Niedługo potem nadszedł czas jej chwały, kiedy to 4 sierpnia 2006 r. na konferencji Black Hat Briefings w Las Vegas zaprezentowała dwa sposoby na ominięcie zabezpieczeń systemu operacyjnego Windows Vista.

Blue Pill

Pierwsza z metod autorstwa Rutkowskiej umożliwiała obejście testów integralności systemu Windows Vista i załadowanie do ich jądra kodu nieoznaczonego właściwymi certyfikatami, a więc praktycznie pochodzącego z niezaufanego źródła. Drugim sposobem był Blue Pill; stanowiący tzw. rootkit, czyli narzędzie używane przy włamaniach do systemów informatycznych. Ów rootkit ukrywał niebezpieczne pliki oraz procesy, umożliwiające utrzymywanie kontroli nad systemem. Precyzując, Blue Pill działał w ten sposób, że umieszczał działający system operacyjny w kontrolowanym przez siebie środowisku, w taki sposób, iż ten będąc zaatakowany, w ogóle tego nie zauważał. Tenże „spryciarz” podczas swego działania korzystał z techniki wirtualizacji procesorów.

Stworzony przez Joannę Rutkowską rooktit wywołał pewną konsternację w środowisku informatyków, jako że umożliwiał niewykrywalny atak na Windowsa Vistę. Rutkowska stała się wtedy bardzo znana w społeczności bezpieczeństwa i za swe odkrycie otrzymała tytuł jednego z Pięciu hakerów, którzy odcisnęli swe piętno na roku 2006 przyznawany przez magazyn eWeek Magazine. I jest to jednym z największych międzynarodowych wyróżnień, jakie zostało przyznane osobie z Polski.

Invisible Things Lab 

Rutkowska podbudowana tym spektakularnym osiągnięciem w kwietniu 2007 r. założyła Invisible Things Lab. Ta warszawska firma od samego początku skupiła swą działalność na badaniach bezpieczeństwa systemów operacyjnych i programu VMM, zarabiając na różnych usługach konsultingowych. A jej głównym celem było tworzenie i demonstrowanie ataków na różne technologie bezpieczeństwa, stosowane głównie w systemach wirtualizacji (np. rodzina Intel vPro) oraz sprzętowego bezpieczeństwa (TPM i ogólnie tzw. Trusted Computing).

W międzyczasie Rutkowska nadal robiła furorę swoimi prezentacjami i w lipcu 2007 r. na konferencji Black Hat USA zademonstrowała, że niektóre rodzaje pamięci sprzętowej (np. oparte na FireWire) są niewiarygodne i można je pokonać. A kilkanaście miesięcy później wraz z członkiem zespołu Aleksandrem Tierszeszkinem, przedstawiła dalsze badania na temat wirtualizacji złośliwego oprogramowania. Następnie Rutkowska razem z asem swojego teamu Rafałem Wojtczukiem przeprowadziła etyczny atak hakerski na Intel Trusted Execution Technology i Intel System Management Mode.

Qubes

To nie był jednak koniec ich współpracy i w grudniu 2009 r. Rutkowska z Wojtczukiem rozpoczęli pracę nad otwartoźródłowym systemem operacyjnym Qubes OS bazującym na hypervisorze Xen i Fedora Linux. Kilka lat później polska specjalistka w dziedzinie zabezpieczeń komputerowych tak tłumaczyła dla magazynu „Programista” powody zainicjowania nad nim pracy:

Pomysł zrodził się z dogłębnego sfrustrowania poziomem bezpieczeństwa, a właściwie jego brakiem, we współczesnych systemach desktopowych (klienckich). W odróżnieniu od systemów przeznaczonych na serwery, systemy desktopowe stawiane są przed szeregiem zupełnie innych wyzwań, które to niestety przez szereg lat były kompletnie ignorowane bądź bagatelizowane. Ot, choćby taki klasyczny przykład: dlaczego moja przeglądarka internetowa ma mieć dostęp (tzn. móc przeczytać) wszystkie moje osobiste pliki (maile, dokumenty itp.)? No, wiadomo, po to, aby móc „uploadnąć” moje najnowsze zdjęcia na facebooka. Z drugiej jednak strony to oznacza, że jak złośliwa strona skompromituje mi przeglądarkę, to wówczas może ukraść moje prywatne listy miłosne albo projekty tajnego silnika turbinowego… A dlaczego głupi installer gry Tetris ma mieć dostęp do wszystkich moich plików?

Tak więc główną ideą pracy Rutkowskiej z Wojtczukiem było stworzenie systemu, zapewniającego maksimum bezpieczeństwa użytkownikom, bez względu na to, czy wykorzystują go do pracy zawodowej, zakupów online lub bankowości internetowej.

Wysoki poziom bezpieczeństwa Qubes OS osiągnięto dzięki odizolowaniu od siebie poszczególnych aplikacji i krytycznych procesów systemowych, na co pozwala wirtualizacja. 7 kwietnia 2010 r. Rutkowska po blisko pięciu miesiącach pracy oficjalnie ogłosiła opracowanie tego nowatorskiego systemu operacyjnego. W wywiadzie dla „Programisty” zaś szerzej wyjaśniła specyfikę jego działania:

Qubes OS jest próbą zmiany podejścia do bezpieczeństwa systemów desktopowych. Zamiast próbować budować perfekcyjny, tzn. bezbłędny system operacyjny, oraz wszystkie aplikacje w sposób, który miałby zapobiec ich kompromitacji, Qubes implementuje podejście „Security by Isolation”. W podejściu tym zakładamy, że „cyfrowe życie” użytkownika, jak też i różne podsystemy samego systemu operacyjnego (np. stosy sieciowe czy USB), są po-partycjonowane na szereg domen, zaimplementowanych jako lekkie maszyny wirtualne. W ten sposób kompromitacja mojej przeglądarki, której używam do czytania porannej prasy, nie daje adwersarzowi automatycznie dostępu do mojego konta bankowego, portfela Bitcoinowego, dokumentów zawodowych itp.

Pierwsza wersja Qubes OS oznaczona numerem 1.0 została wydana 3 września 2012 r. i była (jak i późniejsze) z samego założenia dostępna za darmo. W latach 2013-2018 Rutkowska razem ze swoim zespołem zajmowała się planowaniem architektury i rozwoju systemu Qubes OS oraz Qubes Odyssey Framework, co spowodowało ich maksymalnie dopracowane.

Prywatnie

Joanna Rutkowska jednak nie samą tematyką IT Security żyje i ma tak samo czas na normalne przyjemności. Jest wielką fanką muzyki, której słucha bardzo różnej — od Vivaldiego począwszy, poprzez składanki typu Smooth Jazz Cafe, a na grupie Queen skończywszy. W wolnym czasie lubi chodzić do restauracji, barów sushi, a także spacerować, oglądać filmy w kinie i pływać w basenie. Aczkolwiek Rutkowską — jak sama zresztą opowiedziała w jednym z wywiadów — najbardziej odpręża drzemka popołudniowa na kanapie w salonie. W życiu osobistym najbardziej zaś ceni dobre relacje rodzinne i udany związek — choć bardzo skrywa to, kto jest jej aktualnym partnerem. Z ciekawostek Rutkowska po raz pierwszy usiadła za kierownicą samochodu w wieku 26 lat, mimo że dorastała i mieszka w warszawskiej metropolii i uwielbia żuć gumę bez cukru. Jeżeli chodzi o sprawy związane z tematyką IT, wśród przeglądarek daje pierwszeństwo Google Chrome, a do codziennej pracy wykorzystuje kilka laptopów i komputerów, z których większość została wyprodukowana przez Apple. Rutkowska pracuje przy tym w bardzo niejednostajny sposób i przykładowo, kiedy pisała Blue Pilla, to przez owe 6 dni pracowała po 12 godzin na dobę prawie bez żadnych przerw. Jednakże są dni, gdy prawie w ogóle nie dotyka komputera przez kilka dni i jedynie ogranicza się do odpisywania na niektóre maile. Należą one jednak do rzadkości, albowiem rodzima specjalistka bezpieczeństwa słynie z pracowitości, czego dowodem są również jej bogato treściowo blogi — zarówno ten wydawany w latach 2006-2015 na Bloggerze, jak i dotyczący The Invisible Things, tworzony między 2006 a 2018 rokiem.

Bieżące fakty

Rutkowska w 2015 r. wydała nowatorskie prace w dziedzinie IT Security pt. „Intel x86 Considered Harmful” i „State Considered Harmful - A Proposal for a Stateless Laptop”. Trzy lata później zakończyła natomiast swą pracę nad rozwojem Qubes OS i objęła stanowiska Chief Strategy/Security Officer w Projekcie Golem. Rutkowska w ostatnich latach jest także nad wyraz często zapraszana na najważniejsze konferencje bezpieczeństwa IT, takie choćby jak: Cybercamp (2014), Invisible Things (2014), Next Generation Threats (2015), BlueYard Conversation (2016), Media CCC (2016), Coreboot (2016), EXATEL Security Days (2018). Zresztą wymieniłem tylko te z których prezentacje dostępne są na YouTube, bo było ich w tym czasie na pewno więcej.

Trzeba obiektywnie przyznać, że wystąpienia Rutkowskiej na tych konferencjach cieszą się sporym uznaniem, o czym najlepiej świadczy, że na każdej z nich jest komplet widzów. A to najlepiej świadczy, iż za granicą ma ona status gwiazdy bezpieczeństwa technologii informatycznych i uchodzi za czołową programistkę open source. To zaś powinno cieszyć jej skomputeryzowanych rodaków, bo w końcu działa dla ich dobra.

Reasumując

Nie da się ukryć, iż ze współczesnych polskich specjalistów IT, właśnie Joanna Rutkowska zyskała największą renomę jako elitarny haker. Ona to właśnie na początku XXI wieku przecierała szlak do międzynarodowej kariery całemu zastępowi naszych wybitnych etycznych hakerów, w których poczet wschodzą: Piotr Bania, Mateusz Jurczyk, Rafał Wojtczuk i Michał Zalewski. Każdy z nich jest dzisiaj światową gwiazdą IT Security, jednak to Rutkowska będąca jedyną kobietą w tym gronie cieszy się największą popularnością. A Wy jak oceniacie jej wpływ na rozwój bezpieczeństwa komputerowego?