Raport bezpieczeństwa nr 6

Koniec roku 2010 i początek 2011 dość nieoczekiwanie wywołał dyskusję dotyczącą konieczności stworzenia zintegrowanego systemu do walki z cyberprzestępczością. W agendach Unii Europejskiej i USA dojrzewa bowiem pogląd, że „walka z cyberprzestępcami nie jest wyłącznie domeną policji”. Więcej nawet – działania prawne oraz służb mundurowych mają stać się ostatnią linią obrony, a cały front przesunąć trzeba dalej. Dyskusja ta prawdopodobnie toczona była od dłuższego czasu za zamkniętymi drzwiami, na co wskazują opublikowane w USA dokumenty Departamentu Stanu, m.in. raport, którego omówienie przytaczam.

Za punkt wyjścia w nich przyjęto sytuację z początku 2010 roku, kiedy to Google zwróciło się do National Security Agency , aby pomogła w obronie przeciw skoncentrowanym atakom typu Aurora, mającym swoje źródło bez wątpienia w Chinach. Google obawiało się, że ataki te, prócz konotacji politycznej (przechwycenie przez wywiad chiński informacji kto na Zachodzie pomaga chińskim grupom obrony praw człowieka) maja także gospodarcze – kradzież baz danych i „wyszabrowanie” zasobów Google aby przy ich pomocy uruchomić podobne państwowe przedsięwzięcie chińskie… wszak nie od dzisiaj wiadomo, że skradzione bazy danych m.in. z Yahoo! stanowiły o sukcesie chińskiej wyszukiwarki Baidu. NSA wykrywał wtedy, że oprócz Google podobnymi atakami mogły zostać poszkodowane tysiące firm i to nie tylko w USA, ale i Unii Europejskiej, co już zakrawało na wielką operację polityczno-wojskową, nowy rodzaj Zimnej Wojny.


Dwa miesiące później wybuchła afera Stuxnetu – pierwszego Trojana internetowego nowego typu, który posiadał kilka dobrze ukierunkowanych mechanizmów destrukcji i jak się obecnie mówi – wiele z nich miało charakter warunkowy czyli uruchamiało się wtedy jeśli zostały spełnione inne czynniki np. obecność systemu Scada czy istnienie konwerterów częstotliwości napędów, sterujących silnikami szybkoobrotowymi w zakresie częstotliwości 807 – 1120 kHz. Destrukcja tychże konwerterów i całych silników czy też doprowadzenie ich do rozbiegania przez skokowe zmiany częstotliwości wskazywałyby, ze celem były wirówki gazowe zakładu wzbogacania plutonu przy elektrowni w Bushehr w Iranie i że po to go sporządzono. Ale to nie takie proste – Stuxnet ma zaszyte jeszcze kilka innych mechanizmów destrukcyjnych i nawet straty jakie bez wątpienia poniósł przez niego irański program nuklearny wcale nie wskazują na to iż był on głównym celem ataku; choć na pewno mógł być celem pobocznym. 30 tys. zainfekowanych ostatecznie komputerów i serwerów w Iranie oraz bliżej nieokreślona ( Departament Stanu mówi nawet ponad o 2 mln!) liczba zainfekowanych komputerów w Pakistanie, Chinach, Indonezji, Tajlandii, Malezji i Wietnamie mówi sama za siebie. Jak na razie Stuxnet masowo nie dał sobie rady z zabezpieczeniami sieci w USA czy Unii europejskiej. Ale już Azji Południowo-Wschodniej czy na Bliskim Wschodzie infekcje były masowe a tamtejsze systemy są tylko o generację gorsze od używanych w USA czy Europie. Dodatkowo istnieje jeszcze czynnik ludzki, a zakłopotanie wielu środowisk związanych pandemią tym Trojanem świadczy o tym iż albo wymknęła się ona spod kontroli, albo kraj który przygotował inwazję Stuxnetu szykuje następną generację takich Trojanów – lepszych i z poprawionymi mechanizmami ukrywania się, bo w Stuxnecie praktycznie ich nie było.
Takiego obrotu sprawy najbardziej obawiają się Europejczycy i właśnie Amerykanie, przy czym jest jednoznaczne, że ze względu na implikacje polityczne, USA ( i ich sojusznicy) są na taki atak bezpośrednio narażeni. Amerykanie określają go jako „atak bezpośrednio kierowany przez państwo lub skrycie przez państwo sponsorowany, skierowany przeciwko krytycznej infrastrukturze publicznej bądź rządowej”. Ze względu na skutki, co do których nikt w USA nie ma złudzeń, określany jest on jako „digital Pearl Harbor”. Stąd też, ze względu na konieczność zapobieżenia takim działaniom połowie roku w USA utworzono w Pentagonie przy Dowództwie Wojsk Lotniczych Cyber Command oraz Siły Cybernetyczne mające za zadanie „ochronę sieci komputerowych przed atakami z zewnątrz, z otoczenia globalnego, dla zachowania interesów USA”. Zastępca Sekretarza Obrony, William Lynn oficjalnie określił to zagrożenie jako „bardzo poważne” zaś Departament Obrony i Departament Spraw Wewnętrznych podpisały Memorandum of Understanding w których ustaliły m.in. zwiększenie stopnia koordynacji wspólnych działań dla zapobieżenia atakowi, wymianę ekspertów, stworzenie systemu wczesnego ostrzegania. Cybersecurity Coordinator (nowo stworzone stanowisko!) w Białym Domu, Howard Schmidt oświadczył, że jego urząd dokonuje właśnie przeglądu aktów prawnych i opinii urzędów prawniczych aby „mieć pewność, że nie staną one na przeszkodzie równoważnej odpowiedzi na ewentualny atak”.
Wszystkie te środki są dokładnym, lustrzanym odbiciem środków z lat 60.-70. podejmowanych dla zmniejszenia skutków napadu atomowego przeprowadzonego przez ZSRR. Bo też i zagrożenie dla systemu sieciowego USA traktowane jest poważnie – ten sam Howard Schmidt stwierdza iż dla niego skoncentrowany atak z cyberprzestrzeni „to nic innego jak cicha wojna nuklearna, po której nie zostanie nic z naszej infrastruktury”.
USA i Europa badają więc status prawny, aby wesprzeć akcje ofensywne i obronę przeciw atakom, w zależności od tego jakiego typu miałyby one nastąpić w przyszłości. Zwiększa się poziom bezpieczeństwa informatycznego, choć przez ekspertów nadal jest uznawany za niedostateczny i postuluje się wiązanie ekonomicznych i intelektualnych strat, jakie już obecnie Unia Europejska i USA ponoszą, z określonym atakującym, po to aby zapobiec „państwowemu cyberterroryzmowi” – ewentualne sankcje wobec państw podejrzanych o prowadzenie takich ataków mogłyby być bardzo dotkliwe. Zastępca Sekretarza Stanu, James Steinberg, oświadczył w końcu grudnia na spotkaniu w Klubie Prasy w Waszyngtonie, że firmy, które zostały dotknięte kradzieżą własności intelektualnej na skutek, powinny skontaktować się w celu „obliczenia i ewentualnej kompensacji strat” z Departamentem, który podniesie sprawę na forum WTO (World Trade Organisation). Podobnie, choć w większej ciszy działa Komisja Europejska, która już formułuje katalog podobnych strat doznanych przez firmy terenu Unii. Jak widać, chodzi o zduszenie w zarodku państwowego cyberterroryzmu, posługując się instytucjami międzynarodowymi.
Trudno jednak nie oprzeć się refleksji, że o ile ta inicjatywa może być udana, to gros całego problemu leży gdzieindziej; nie ma bowiem bezpańskich rakiet, ale są bezpańscy hackerzy…
Najlepszym przykładem trudności spotykanych w tych działaniach są Chiny. W grudniu 2010 przedstawiciele administracji USA podjęli rozmowy z rządem Chin dotyczące ukrócenia przestępczej aktywności, mającej swoje źródło w tym kraju, dwustronnych prac dotyczących stworzenia standardów zachowania Sieci i zmniejszenia zagrożenia. Czekały ich na wstępie dwie nieprzyjemne niespodzianki – zaprotestowała Unia Europejska, twierdząc iż „oba kraje usiłują narzucić wypracowane przez siebie standardy ponad głowami społeczności międzynarodowej”, a poza tym Chińczycy oświadczyli, ze wedle ich danych więcej aktywnych cyberprzestępców znajduje się w USA i niż w Chinach… Chińczycy zręcznie przeszli do porządku dziennego nad faktem, że najwięcej (może nawet kilka milionów) komputerów w USA zarażonych jest złośliwym kodem, lub wykorzystując backdoory po prostu jest przejęto, używając jako maszyn w botnetach do rozsyłania złośliwego kodu, spamu, phishingu czy po prostu w atakach DDOS. Oczywiście oznacza to że kuleje akceptowalna przez gremia międzynarodowe definicja takich ataków co Chiny wykorzystały, bo czym innym jest komputer będący częścią botnetu, a czym innym – serwery bądź innego typu maszyny takim botnetem zawiadujące. Nawiasem mówić, cytowany przez Financial Times Chief Information Security Officer z Verizonu oświadczył, ze botnet składający się z 65 tys. komputerów PC jest w stanie zniszczyć system sieciowy KAŻDEJ organizacji czy firmy w USA, włączając w to administrację, a wyłączając wojsko.
Takie trudności powodują rodzenie się inicjatyw ważnych i co najmniej kontrowersyjnych. Od ponad roku Steve Ballmer, prezes Microsoft Corporation, nawołuje do odcinania przez ISP od Sieci komputerów zakażonych złośliwym kodem. Administracja Obamy niby nie zgadza się na tak drastyczne rozwiązania (kłania się Pierwsza Poprawka do Konstytucji USA, w której świetle takie zachowania amerykański Sąd najwyższy już dziś uznałby za bezprawne), ale „rozważa” australijską propozycję rejestrowania przez ISP komputerów, na których znajduje się złośliwe oprogramowanie i nakłanianie posiadaczy tych jednostek do zastosowania „adekwatnych” środków do jego usuwania zanim komputery te uzyskają z powrotem dostęp do Internetu. Japoński CERT (Japan Emergency Response Coordination =JP-CERT)stworzył wręcz program Cyber Clean Center, w którym uczestniczy 76 największych japońskich firm ISP. Firmy te wysyłają do przedsiębiorstw posiadających zakażone komputery bądź do klientów indywidualnych oficjalne powiadomienia o tym drogą e-mailową lub urzędowym listem i oferują im od razu narzędzia do ich oczyszczania. Federal Communications Commission (FCC) urządziła konferencję z największymi firmami ISP, aby określić w jaki sposób zamierzają one zmniejszyć ryzyko infekcji dla klientów, ryzyko ataku sieciowego i jaką rolę tych planach mogłaby odegrać FCC. Comcast rejestruje dobrowolnie zgłaszając się ( za namowa firmy oczywiście) i przekazuje im narzędzia do ochrony własnych komputerów oraz cudzych PC. W Europie Francja podniosła na forum Komisji Europejskiej konieczność rejestrowania komputerów z malware, podobnie jak to stało się w Japonii.
Jeszcze zimą obecnego roku należy spodziewać się raportu Departamentu Handlu, który podsumuje dotychczasowe projekty polityki zwiększenia ochrony prywatności w Sieci i wykreowania agencji rządowej, która nadzorowałaby takie proces oraz monitorowała Internet pod kątem ochrony prywatności. Także Biały Dom jest zdecydowany na powołanie zespołu zadaniowego, który stworzy specyficzne polityki przeznaczone dla urzędów i agencji państwowych, oparte na tym raporcie. Jak stwierdza Departament Stanu mimo dwóch znaczących raportów, jakimi były National Strategy for Trusted Identities in Cyberspace (2010) i White House Cyberspace Policy Review (maj 2009), problemy zidentyfikowano, ale nie zanotowano większych pozytywnych zmian. Raport zwraca uwagę na to, iż systematycznie zbiera się dane dotyczące aktywności cyberprzestępczości oraz wymienia w ramach agencji rządowych przykłady aktywności przestępczości sieciowej, ale głównie w USA nie zaś globalnie. Dodatkowo, zwrócenie mniejszej uwagi na rzeczywistych sprawców tej aktywności nie zaś na ich działania pobudza ich doi dalszej aktywności i pozwala działać w przekonaniu o bezkarności. W rzeczywistości tak naprawdę nie istnieją w przestrzeni wirtualnej konsekwencje za zachowania wrogie, złośliwe i przestępcze a „natura Dzikiego Zachodu”, jak posiada Internet obecnie pozwala rozwijać się poważnym zachowaniom przestępczym, używającym szeroko znanych luk, narzędzi do ataków, „podziemnych” procesów płatności elektronicznej i systemów ruchu do bezkarnego działania. „Jeśli zlekceważymy symptomy działań przestępczych, czekając na spójną legislację cyberprzestrzeni – która być może nigdy nie nadejdzie – spowodujemy rozwój poważnej przestępczości sieciowej” – zauważa raport. Problem leży bowiem potrzebie uruchomienia aktywności – partnerstwa publiczno prywatnego międzynarodowych akcjonariuszy i agend rządu USA oraz agend europejskich, aby „osiągnąć naprawdę strategiczny cel jakim jest zredukowanie częstotliwości, ryzyka i wagi aktywności cyberkryminalnej. Co istotne, aby działać efektywnie, partnerstwo to musi respektować i wyrażać równowagę sił między czołowymi partnerami takim aliansie i działać na wszystkich poziomach współpracy.
Obecnie wiadomo iż wiele działań dotyczących cyberprzestępczości jest nieskutecznych i kończy się zwykle tylko na zapowiedziach. Przyczyną są albo niedostateczne siły i środki przy lekceważeniu skali i zagrożenia, jak w Europie Centralnej, niejasne powiązania między cyberprzestępcami a urzędnikami lub organami państwowymi , jak w części Azji, Bliskim Wschodzie, Afryce i Europie Wschodniej czy niemożność koordynacji wspólnych działań spowodowanych rozbieżnością strategii i interesów, co zwłaszcza jest w widoczne w inicjatywach agend Unii Europejskiej i USA, ale także i w samej Europie Zachodniej. Nieuniknione poślizgi spowodowane politycznym postrzeganiem całej inicjatywy, zdaniem Departamentu Stanu, spowodują, ze trudno będzie spodziewać się jakichkolwiek rezultatów tych działań przed 2012 rokiem.

Marek Mejssner