Pearl Harbor wojny cyfrowej?
Skoro nawet
rząd USA nie potrafi bronić się przed internetowym atakiem
złodziei, kto może dać nam gwarancję ochrony naszych
haseł bankowych, korespondencji, numerów identyfikacyjnych?
Włamanie do
agencji rządowej Office of Personnel Management miało miejsce, jak
podał „Washington Post”, w grudniu ubiegłego roku. Amerykanie
zorientowali się, że taki atak miał miejsce, jakoby dopiero w
kwietniu. Włamywacze – Amerykanie są niemal pewni, że
działający na zlecenie chińskiego rządu – mogli
wykraść dane osobowe co najmniej czterech milionów pracowników
rządowych. W tym służące identyfikacji, niczym polski
PESEL, numery ubezpieczenia społecznego (social security).
Według
ekspertów to ci sami sprawcy, którzy okradli z danych specjalizujące
się w ubezpieczeniach i opiece zdrowotnej firmy Premera i Anthem. Premera
przyznała, że mogła utracić zapisy dotyczące 11 mln
klientów, z kolei Anthem przechowuje w swojej bazie około 80 mln numerów
ubezpieczenia społecznego obywateli USA.
Skala inwigilacji
może jeżyć włos na głowie, zwłaszcza że nie
jest to pierwszy głęboki cios w rządowe bazy danych USA –
choć zdecydowanie największy wykryty w historii zero-jedynkowych
zimnych wojen.
Wielka ofensywa
chińskich hakerów na rządowe bazy danych zaczęła się
co najmniej na początku ubiegłego roku; z różnym powodzeniem
atakowali różne cele – w tym sieć Office of Personnel Management.
Amerykanie mają też świeżo w pamięci skuteczną
inwigilację sieci pocztowej Białego Domu przez hakerów z Rosji. Ich
najbardziej spektakularnym łupem okazała się prywatna
korespondencja Baracka Obamy.
To naturalne,
że Amerykanie są zszokowani. Postrzegając się jako
tradycyjna potęga militarna, odruchowo zakładają, że taki
sam podział sił obowiązuje w cyberprzestrzeni. Tymczasem atak na
bazy OoPM, biorąc pod uwagę skalę potencjalnych szkód,
można śmiało porównać do klęski floty w Pearl Harbor.
Wtedy też mało kto przypuszczał, że lekceważeni
Japończycy są zdolni do aż tak skutecznego ataku.
Nieskuteczność
zapór antywłamaniowych agencji rządowych USA nie powinna jednak
dziwić. Inwigilacja w Internecie jest dziś raczej normą niż
wyjątkiem, a przez wielkie sieci czasami łatwiej się
prześlizgnąć niż przez małe. Zbyt wiele pozostaje
uchylonych furtek. Decydują ludzkie błędy – kliknięcie w
załącznik z trojanem wysłany przez szpiega podszywającego
się pod szefa, wykorzystanie w pracy zainfekowanego nośnika
pamięci, czy choćby naiwne zdradzenie kluczowych informacji w
rozmowie telefonicznej, co wykorzystywał już w latach 90. pierwszy
słynny haker Kevin Mitnick.
Zawodowcy
oczywiście potrafią także wyszukiwać nieznane dotychczas
błędy w oprogramowaniu, i tak uchyloną furtką
niepostrzeżenie włamywać się do strzeżonych systemów.
Paweł
Dawidek, ekspert ze specjalizującej się w zabezpieczaniu systemów IT
firmy WHEEL Systems, wskazuje na kilka powszechnych źródeł
błędów w oprogramowaniu. Jednym z nich jest dominujące jeszcze
nie tak dawno podejście do projektowania systemów operacyjnych, które
przede wszystkim miały wykonywać zadania szybko, bezpieczeństwo
nie było wtedy najwyższym priorytetem.
– Kiedy
zdecydowano się na wprowadzenie mechanizmów bezpieczeństwa,
miały one na celu separację użytkowników systemu między
sobą, a nie separację i izolację programów wykonywanych przez
jednego użytkownika – mówi Dawidek. – Dlatego też najpopularniejszy
model systemów operacyjnych to duże jądro systemu z najwyższymi
uprawnieniami oraz bardzo wysokie, acz niepotrzebne z praktycznego punktu
widzenia, uprawnienia dla wykonywanych programów.
Ten system
był tworzony z myślą o licznych użytkownikach
korzystających z jednego programu (systemu operacyjnego). Dziś jednak
coraz częściej to jeden użytkownik korzysta z różnych
systemów operacyjnych jednocześnie, na przykład w komputerze i
smartfonie. To oznacza, że trzeba separować dla zachowania
bezpieczeństwa nie tyle poszczególnych użytkowników, ile poszczególne
programy. Ta zmiana się już od pewnego czasu dokonuje, ale sprawny
haker wciąż może znaleźć w systemach zabezpieczeń
sporo dziur.
O porażce
całego, nieraz bardzo kosztownego projektu może zadecydować
czasami parę przeoczonych linijek kodu – czy to zostawionych w programie przez
nieuwagę, czy też zlekceważonych jako nieistotne. Dobrym
przykładem takiej klęski była katastrofa rakiety Ariane-5. Jej
budowa trwała 10 lat i kosztowała 7 mld dol., rakieta rozpadła
się kilkadziesiąt sekund po starcie. Okazało się, że
część oprogramowania skopiowano ze starej Ariane-4. System,
odwołując się do funkcji nieobecnej w Ariane-5,
zgłosił po starcie błąd. Ogłupiony komputer
nawigacyjny wydał silnikom polecenie wykonania nagłego zwrotu o 20
stopni. Po tym nie mógł już zapobiec katastrofie żaden manewr
systemu awaryjnego.
Warto
pamiętać o tej lekcji. Europejska Agencja Kosmiczna zatrudnia bez
dwóch zdań świetnych naukowców, teoretycznie przy takich
nakładach i poziomie profesjonalizmu wszystko powinno być sprawdzane
wielokrotnie, a jednak zadecydowały typowe ludzkie błędy.
Śledztwo wykazało, że nie sprawdzono dokładnie
założeń oprogramowania Ariane-4, nie było też
niezbędnych testów ani symulacji programowej.
Zakładanie,
że ranga instytucji, poziom zatrudnionych przy projekcie ekspertów i wysokość
stawki gwarantują oprogramowaniu niezawodność, jest
naiwnością. Skuteczność ataków hakerskich na najlepiej
strzeżone bazy danych świata, do których przecież dochodzi
obecnie co rusz, nie jest zatem żadną sensacją, ale kolejnym
potwierdzeniem reguły najsłabszego ogniwa.
Czy to nam grozi?
Owszem, ale można ograniczać ryzyko. Zapisywać w formie cyfrowej
krytyczne dane jak najrzadziej, nie przekazywać ich pochopnie nikomu,
zachować ostrożność w Internecie i przy sprawdzaniu
e-poczty, korzystać z jak najlepszych możliwych zabezpieczeń IT,
by utrudnić życie sieciowym złodziejom detalistom.
W cyfrowym
świecie, gdzie inwigilacja jest tak powszechna i prosta, w pełni
bezpieczni nie będziemy jednak już nigdy.