Στις 27/07/2009 κυκλοφόρησε το e-zine “Zero for Owned” η αλλιώς ZF05 όπως αποκαλείται από τους περισσότερους χρήστες που ασχολούνται με την ασφάλεια υπολογιστών. Μπορείτε να το κατεβάσετε ή να διαβάσετε το αρχείο (txt) από εδώ.
Η ιστορία και η φιλοσοφία πίσω από το ZF05 είναι σχετικά παλιά. Ξεκινάει από το 1999 όταν εμφανίστηκε δημόσια για πρώτη φορά η κίνηση “anti-security“. Μια ομάδα από hackers που έχουν επιδείξει εξαιρετικές ικανότητες σε αυτό που κάνουν: εισβάλουν σε υπολογιστικά συστήματα γνωστών συμβούλων και ερευνητών ασφαλείας υπολογιστικών συστημάτων.
Ο διαχωρισμός έγινε κάπου το 2000, όταν μια ομάδα ερευνητών προβλημάτων ασφαλείας λογισμικού, άρχισε να δυσανασχετεί σχετικά με την μορφή που είχε πάρει το κύκλωμα γύρω από τους ερευνητές ασφαλείας. Έως τώρα η έρευνα προβλημάτων ασφαλείας ήταν hobby και οι περισσότεροι hackers το αντιμετώπιζαν ως απλή επίδειξη ικανοτήτων. Μετά το 2000 όμως οι εταιρίες μπήκαν στο παιχνίδι και τα πράγματα άλλαξαν δραματικά. Κάποιοι άρχισαν να πουλάνε τα exploits που κυκλοφορούσαν σε εταιρίες. Ένα exploit είναι ένας πρόγραμμα, κακόβουλο το οποίο μπορεί να χρησιμοποιηθεί για να πάρει ένας εισβολέας πρόσβαση σε έναν υπολογιστή, συνήθως απομακρυσμένα ή να πάρει δικαιώματα διαχειριστή (privilege escalation) στο σύστημα στο οποίο έχει εισβάλει. Πριν από κάθε exploit συνήθως έρχεται ένα paper. Μια μικρή ή μεγαλύτερη, κάποιες φορές σχεδόν απίθανη, έρευνα η οποία είναι και το αποδεικτικό στοιχείο τις ικανότητας του ερευνητή-hacker. Υπάρχουν ομάδες, συνήθως νεαρών ατόμων, που ασχολούνται με αυτό το δύσκολο κι επικίνδυνο sport. Άλλες είναι περισσότερο κι άλλες λιγότερο ικανές. Άλλες έχουν αγγίξει τον μύθο κι άλλες αγωνίζονται να δείξουν τις ικανότητες τους. Αυτές οι ομάδες αποκαλούνται crews. Κάποια πασίγνωστα crews είναι οι: Legion of Doom (LOD), Master of Deception (MOD), Last Stage of Delerium (LSD), Team TESO, Gobbless (( Ποιος μπορεί να ξεχάσει το ssh – shutup Theo – exploit 
)), ADM κλπ. Αυτές οι ομάδες λοιπόν, ήθελαν λίγο η πολύ την ελεύθερη διάδοση της γνώση. Παρότι ακούγεται ρομαντικό στον συγκεκριμένο τομέα δεν είναι και τόσο απλό.
Όταν κάποιος ερευνητής κάνει “release” ένα “paper”, είναι πολύ πιθανό, άλλοι λιγότερο ικανοί να γράψουν το exploit και να το διαθέσουν σε τρίτους, να το πουλήσουν ή να το χρησιμοποιήσουν για διάφορους σκοπούς. Επίσης η ομάδα, κέρδιζε φήμη αλλά έχανε το πλεονέκτημα να γνωρίζει αυτή και μόνο για το συγκεκριμένο πρόβλημα ασφαλείας. Τις περισσότερες φορές, οι φήμες για προβλήματα ασφαλείας σε πρωτόκολλα ή προγράμματα ευρέως χρησιμοποιημένα έκαναν τον γύρω του κόσμου, χωρίς όμως να ξέρει ποτέ το ευρύ κοινό αν είναι πρόκειται για αλήθεια ή όχι. Πολλά exploits έμειναν “in the wild” όπως λένε συχνά, στο εσωτερικό της ομάδας, για προσωπική χρήση και μόνο. Έτσι αν κάποια στιγμή έπρεπε να μπουν σε κάποιο σύστημα θα είχαν εξαιρετικό πλεονέκτημα αφού θα είχαν στην κατοχή τους ένα exploit το οποίο δεν γνωρίζει κανείς ότι υπάρχει, αν δεν είναι γνωστή ούτε καν το πρόβλημα ασφαλείας του συγκεκριμένου προγράμματα π.χ. Apache2 τότε είναι… Στο έλεος το μισό διαδίκτυο. Τέτοια σκηνικά έχουν συμβεί ουκ ολίγες φορές.
Κάποια άτομα, που είχαν πρόσβαση σε αυτές τις ομάδες, άρχισαν να πουλάνε exploits σε εταιρίες οι οποίες έκαναν χρήση για βιομηχανική κατασκοπεία ή για αυτοπροβολή. Δεν μπορεί κανείς να αποδείξει ότι ο ερευνητής Α βρήκε το Χ πρόβλημα ασφαλείας πριν από τον Β. Το ξέρει μόνο ο ίδιος, τι και πως έγινε. Αργότερα άρχισε να ξεφεύγει η κατάσταση με την χρήση exploits από άσχετους με τον προγραμματισμό τους, τον τρόπο λειτουργίας τους ή ακόμη και τις βάσεις σε επίπεδο ασφαλείας υπολογιστών. Μπορεί ο οποιοσδήποτε σήμερα να πάει σε ένα website όπως το packetstormsecurity να κατεβάσει ένα exploit να το κάνει compile και να πάρει πρόσβαση σε ένα υπολογιστικό σύστημα. Φυσικά τα πράγματα δεν είναι έτσι απλά, διότι συνήθως οι διαχειριστές συστημάτων είναι σαφώς πιο έμπειροι από την συντριπτική πλειοψηφία των χρηστών.
Η παραπάνω κατάσταση δημιούργησε μια κίνηση από hackers η οποία σταμάτησε να εκδίδει papers και exploits κι άρχισε μάλιστα να “πολεμά” με αυτόν τον τρόπο, όποιους ερευνητές δημοσίευαν papers ή exploits. Ο τρόπος τους ήταν να καταλαμβάνουν τον υπολογιστή της αντίπαλης ομάδας, όπου ειδικά όταν η άλλοι δηλώνουν επαγγελματίες επιπέδου, όπως ο Mitnick είναι το λιγότερο εξευτελιστικό κάτι τέτοιο. Είναι σαν να παίρνει φωτιά η πυροσβεστική. Εκτός από το να μπαίνουν σε ξένους υπολογιστές και να ξεμπροστιάζουν άτομα που πουλούσαν exploits σε εταιρίες ή απλά να ξεφτιλίζουν άρθρα που έχουν γράψει άλλοι γνωστοί hackers. Η κίνηση αυτή άλλαξε πολλά ονόματα: el8, pHC, h0h0 και τώρα είναι οι zF05. Κανείς δεν γνωρίζει με σιγουριά αν πρόκειται για τα ίδια άτομα.
Πέρα από τις συμπάθειες ή αντιπάθειες στο συγκεκριμένο κίνημα, από ηθικής πλευράς είναι λάθος κατά την γνώμη μου. Τόσο το να κρατάς την γνώση φυλακισμένη, όσο και το να εισβάλεις σε υπολογιστικά συστήματα απλά και μόνο για να αποδείξεις ότι μπορείς κι ότι ο άλλος είναι άσχετος. Μπορείς να το κάνεις και με άλλο τρόπο… Η όλη φάση θυμίζει τσίρκο. Το τελευταίο κατορθώματα είναι εντυπωσιακά καθώς ανάμεσα στα θύματα είναι οι Dan Kaminsky του doxpara και ο Kevin Mitnick.
