Podobno Albert Einstein zapytany o to jak w jego przekonaniu będzie wyglądała III wojna światowa odpowiedział: „Nie wiem jak będzie wyglądała III wojna światowa. Ale wiem, że IV będzie na maczugi”. Kiedy oglądałem zdjęcia, jakie ujawnił jakiś internauta z zestrzelenia samolotu Boeing 737 ukraińskich linii lotniczych przez żołnierzy irańskiej milicji, zdałem sobie sprawę, że ofiary: 176 osób, w tym 82 Irańczyków, 57 Kanadyjczyków, 11 Ukraińców (dwóch pasażerów i dziewięcioro członków załogi), a także obywatele Szwecji, Afganistanu i Wielkiej Brytanii, to pierwsze ofiary III wojny światowej, która toczy się nie tylko na wodzie, na ziemi i w powietrzu, ale przede wszystkim w cyberprzestrzeni. Jestem również przekonany, że jest wiele innych ofiar tej wojny, o których media piszą jako o „zagadkowych” lub spowodowanych „nieustalonymi przyczynami”. Wystarczy wejść na kilka serwisów pokazujących online mapy ataków.
Jak było możliwe namierzenie gen. Kassema Sulejmaniego i lidera Haszed Szaabi Abu Mahdiego alMuhandisa możemy się tylko domyślać. Na pewno wykorzystano tu już szeroko stosowane metody operacyjne w tym szpiegowskie. Natomiast nie zamierzam tutaj analizować tego konfliktu od strony polityczno-wojskowej. Chcę zatrzymać się nad analizą faktu, że ten konflikt chociaż wydaje się, że odbywa się daleko od Polski i na razie żaden z obywateli naszego kraju nie ucierpiał, w konsekwencji musi w każdej polskiej firmie wywołać dyskusję dotyczącą tego, jaki jest stopień bezpieczeństwa naszej firmy na okoliczność faktu, że dzisiaj wojny toczą się tak blisko nas, bo w cyberprzestrzeni?
Nim jednak dojdę do meritum problemu, cofnę się lata wstecz, do początków konfliktu, o którym wiedzą tylko służby specjalne oraz garstka ekspertów od cyberbezpieczeństwa.
Cofnijmy się 10 lat wstecz – do 2010 roku, kiedy to wykryto działającego w systemie Windows robaka komputerowego o nazwie Stuxnet.
Był pierwszym znanym robakiem używanym do szpiegowania i przeprogramowywania instalacji przemysłowych. Zawierał rootkit na system Windows, pierwszy w historii PLC rootkit. Wykorzystywał też wiele luk 0day. Wirus miał zdolność aktualizacji metodą peertopeer. Analiza tego robaka pokazała, iż była ona dziełem hakerów pracujących dla amerykańskich i izraelskich służb specjalnych, a jego przeznaczeniem było zainstalowanie się w wirówkach marki Siemens, wykorzystywanych w irańskim programie atomowym. Infekcja odbywała się za pośrednictwem pamięci USB, gdyż amerykańskie i izraelskie służby specjalne wiedziały, iż wirówki nie mają połączenia z Internetem. Koniec końców operacja mająca na celu zniszczenie wirówek zakończyła się sukcesem, ale rozpoczęła ona wyścig zbrojeń, który odbywał się już w cyberprzestrzeni. Jednocześnie podejrzewa się, że Stuxnet mógł być odpowiedzialny za problemy z indyjskim satelitą INSAT4B. Wiadomo, że zainfekował komputery irańskiej elektrowni atomowej w Buszehr, choć według oficjalnych informacji rządu irańskiego zainfekowane zostały tylko osobiste komputery niektórych z pracowników, a nie systemy elektrowni. Można powiedzieć, że otwarto „puszkę Pandory”. Język następcy Stuxneta, Duqu, odkrytego we wrześniu 2011 roku, był zagadką dla analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomymi były również użyty do scalenia modułów wirusa kompilator, a także typ szkieletu, na jakim oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach internetowych. Miesiąc później okazało się, że Duqu jest napisany w OO C (kod napisany przy użyciu niestandardowego rozszerzenia umożliwiającego łączenie programowania obiektowego z językiem C++). W lipcu 2012 roku za pomocą tego metasploita zatrzymano pracę w zakładach w Natanz i Fordo, dodatkowo odtwarzając na tamtejszych głośnikach komputerowych utwór Thunderstruck zespołu AC/DC maksymalnie głośno.
Na tym samym frameworku co Flame, Stuxnet i Duqu powstał też Gauss. Pierwszy raz zaatakował we wrześniu 2011 roku, ale odkryto go 11 miesięcy później. Wirus przechwytywał cookies i hasła z przeglądarek internetowych, dodatkowo wykradał pliki konfiguracyjne oraz dane dostępowe do banków, portali społecznościowych, skrzynek email i kont IM. Malware, podobnie jak jego poprzednicy, infekował głównie komputery na Bliskim Wschodzie (najczęściej Iran i Izrael). W 2014 roku został odkryty kolejny trojan, który celował w instalacje przemysłowe. Został on odkryty przez specjalistów firmy FSecure. Podobnie jak w przypadku poprzednika, twórcy trojana mogli nie tylko wykradać dane, ale także mogli mieć wpływ na proces produkcyjny. Kto jest zainteresowany dokonywaniem w tym rejonie tak kosztownych działań destrukcyjnych? Służby specjalne. Do dzisiaj wielu specjalistów od cyberbezpieczeństwa ostrzegło – konflikty zbrojne przeniosły się do cyberprzestrzeni. Ale musimy mieć świadomość, że tak jak w konfliktach realnych, postronni i niewinni będą na tej cyberwojnie ponosić straty i ginąć.
Gdy Iran odkrył, iż stał się celem ataku w cyberprzestrzeni, rozpoczął tworzenie infrastruktury obronnej. W raporcie „Iran Military Power. Ensuring Regime Survival and Securing Regional Dominance” opracowanym przez Defense Intelligence Agency stwierdzono, że dzięki pomocy technicznej w zakresie obrony cyberprzestrzeni ze strony Rosji i Chin, Iran szybko przeszedł ewolucję, od podstawowego wykorzystywania globalnej sieci dla potrzeb społecznych do prowadzenia wyrafinowanych cyberataków oraz cyberszpiegostwa. Irańscy hakerzy wyspecjalizowali się w kampaniach phisingowych, których głównym celem są firmy prywatne oraz zaczęli się specjalizować w cyberszpiegostwie. Ich ofiarami najczęściej są przedsiębiorstwa z branży lotniczej, energetycznej, petrochemicznej, telekomunikacyjnej oraz kontrahenci wojska. Według statystyk zaprezentowanych w raporcie „co najmniej od 2014 roku irańscy hakerzy regularnie wykradają dane uwierzytelniające i rozprzestrzeniają złośliwe oprogramowanie w sieciach biznesowych. Te cyberszpiegowskie działania mogą wspierać irańskie wojskowe badania oraz rozwój, a także przemysł i handel”. Iran wielokrotnie pokazał, że jest zdolny do przeprowadzenia kosztownych w skutkach cyberataków wymierzonych w największych wrogów, w tym Stany Zjednoczone. Jako przykład, można opowiedzieć o reakcji na incydent z 2012 roku, kiedy to systemy wspomnianego wyżej irańskiego zakładu petrochemicznego zostały zainfekowane złośliwym oprogramowaniem. Wówczas Teheran odpowiedział przeprowadzeniem cyberataku na Saudi Aramco i Qatari RasGas, wyrządzając ogromne straty materialne. W odpowiedzi na ten atak USA przeprowadziły cyberoperację „USA w tajemnicy przeprowadziły cyberatak na Iran, który ukierunkowany był na zdolności Teheranu do rozpowszechniania propagandy.” Po tym ataku jak informował Reuters, Pirouz Mousavi, irański szef Pars Special Economic Energy Zone (PSEEZ), przeprowadził inspekcję infrastruktury energetycznej kraju, a następnie spotkał się z wyższymi urzędnikami państwowymi, w tym osobami odpowiedzialnymi za cyberbezpieczeństwo i zarządzanie kryzysowe. To co wydarzyło się później to była już tylko eskalacja wojny, która toczyła się najpierw w cyberprzestrzeni. Na końcu padły niewinne ofiary lotu z Teheranu na Ukrainę.
W tym miejscu Czytelniku zadajesz sobie pytanie, w jaki sposób my w Polsce mamy obawiać się tej cybernetycznej wojny, jeśli Polska nie jest stroną konfliktu a Polscy obywatele raczej z sympatią patrzą na naród Irański z którym łączy nas sporo. A ostatnio tę sympatię podkreśliła spontaniczna pomoc dla Irańskiego kierowcy Fardina, któremu zepsuła się ciężarówka. Przypomnę tylko, że pomoc ta zakończyła się zbiórką, w której ponad 6000 Polaków zebrało ćwierć miliona złotych i kupiło mu nową scanię wyposażając go nie tylko w setki gadżetów, ale i zachęcając innych Irańczyków by odwiedzali Polskę.
Niestety większość cyber ataków wykorzystuje słabości systemów informatycznych a także fakt, że systemy są często wzajemnie połączone.
Większość naszych firmowych systemów cyberbezpieczeństwa jest przygotowanych na najbardziej złożone ataki. Nie będę o nich pisał, w dzisiejszym magazynie przeczytacie Państwo o wielu formach ataków i sposobach chronienia się przed nimi.
Ale tak jak amerykańskie i izraelskie służby specjalne dotarły do najbardziej strzeżonych irańskich ośrodków atomowych, infekując systemy wirówkowe czy komputery pracowników, te same metody stosowane są dzisiaj, by wejść do najbardziej chronionych systemów w krajach, które są celem cyberataków przeprowadzanych przez hakerów na rządowym wikcie.
Jeśli więc Wasz system wykorzystywany jest do realizacji zadań na terenie USA (nawet nie bezpośrednio, ale pośrednio), albo na terenie sojusznika USA, i do tego wcale nie musi on być wykorzystywany do celów militarnych, ale np. pozwala zarządzać procesami w elementach infrastruktury wrażliwej w USA albo krajach z USA powiązanych, Twoja firma lub Ty możesz być celem ataku cyberwojsk, które zatrudniają cyberprzestępców i sprawiają, że są oni praktycznie bezkarni.
Przykładem na to jest hacker, za którym FBI wysłało list gończy z wielomilionową nagrodą za wskazanie jego miejsca przebywania. Chodzi o Maksima Jakubca, który rzekomo jest odpowiedzialny za rozwój i dystrybucję Dridexa, znanego szkodliwego oprogramowania bankowego, które potrafi unikać tradycyjnych rozwiązań antywirusowych i rozprzestrzenia się głównie poprzez kampanie phishingowe. Grupa, w której działa „Evil Corp” została również powiązana z wieloletnią operacją, w której wykorzystano podobne złośliwe oprogramowanie znane jako „Zeus”, które pomogło im ukraść kolejne 70 milionów dolarów od ofiar. Jakubiec – przywódca Evil Corp jest powiązany z rosyjskimi służbami wywiadowczymi i uważa się, że pomagał im w gromadzeniu poufnych informacji na temat różnych celów od 2017 roku. Na terenie Rosji chroniony jest przez FSB. Zajmuje pierwsze miejsce na liście najbardziej poszukiwanych przez FBI cyberprzestępców. Faktycznie większość z działających w cyberprzestrzeni hackerów już dawno jest na usługach agencji wywiadowczych, a ich działania na ich rzecz, gwarantują im całkowitą bezkarność. Muszą też ćwiczyć, doskonalić swój fach, testować własne rozwiązania. I to wszystko też mogą robić na tobie, twoim sprzęcie i systemie zatrudniającej cię, drogi Czytelniku firmy.
O ile nasze systemy informatyczne są chronione coraz lepiej i typowe ataki na nie są skutecznie blokowane, należy pamiętać, że w dobie toczonych w cyberprzestrzeni wojen zmieniają się pewne zwyczaje i taktyki.
Dzisiaj, jeśli Iran postanowi zaatakować powiedzmy konkretną wpływową osobę w USA, uruchamiany jest cały system zbierania informacji o tej osobie: jej zwyczajach, sieci powiązań, sposobach komunikowania się, słabościach, rodzinie i bliskich ich rodzin oraz znajomych. Tworzy się szczegółowe dossier, które pozwala znaleźć punkt styku (węzły w sieci powiązań) z tą osobą i wybrać najlepszą metodę do realizacji celu strategicznego. Jeśli w tym łańcuchu, w którymś węźle, znajdzie się ktoś z nas albo my jesteśmy powiązani z tym kimś (korespondujemy z tą osobą, pracujemy dla bliskich tej osoby, albo dla firmy, w której jest zatrudniona, etc.) my, nasi bliscy, zatrudniająca nas firma staje się celem pośrednim i jest penetrowana przez systemy wojskowe i hackerów. Jeśli dodatkowo można dzięki nim, przebić się przez systemy zabezpieczeń ich celu – np. nasz email zostanie otwarty a nasz dokument zostanie edytowany, bez trudu możemy zostać wytypowani jako miejsce ataku. Na świecie już wielu ludzi przekonało się co to znaczy, kiedy zatrzymały ich służby policyjne albo zostali wyprowadzeni w kajdankach zza swoich biurek. Budżety takich komórek pracujących dla wojska i służb specjalnych pozwalają na zakup odpowiednich narzędzi i zapłacenie za usługi najlepszym hackerom, aby dotrzeć do nas, naszej firmy, zainfekować naszego emaila, nasz laptop czy system zatrudniającej nas firmy, byleby dopaść jakiegoś człowieka, albo rozpracować jakiś system w USA lub zrealizować coś, co było atrakcyjne dla jakiegoś rządu czy agencji szpiegowskiej.
Dzisiaj wszyscy wiedzą, jak nasze systemy informatyczne są chronione
Większość systemów informatycznych jest non stop bombardowana różnymi formami ataków. Spora ich część to tylko elementy badania podatności naszych systemów, sposobów obrony i rozpoznawanie ich. Te emaile z dziwnymi załącznikami, albo przedziwną treścią zachęcającą nas czasem na kliknięcie w załącznik, może być żałosną próbą wyłudzenia od nas pieniędzy ale częściej jest testem, czy można nas jakoś podejść i za naszym pośrednictwem osiągnąć coś bardzo cennego. Nie zdajemy sobie sprawy, że czasami dziwne omyłkowe telefony mogą być próbami nagrania naszego głosu, by kiedyś naśladując naszą mowę i głos, oszukać kogoś kto nas zna (już są takie rozwiązania, które pozwalają naśladować ludzką mowę). Dziwne zdarzenia w naszym realnym życiu, często wyglądające na pomyłkę, żart – mogą być próbami badania naszej czujności. Rozsypane śmieci wokół naszego przydomowego śmietnika, ślady nieskutecznego włamania, dziwne reakcje psa, szczekającego w środku nocy – to niekoniecznie nasze przewrażliwienie czy „początki paranoi” – jak możemy sobie sami to tłumaczyć. Ale mogą być sygnałem, że koło nas jest ktoś, kto się nami bardzo interesuje. Nawet, jeśli jesteśmy tylko sprzątaczką w biurze znanej korporacji czy asystentką dyrektora biura bezpieczeństwa. Dla osobnika, zainteresowanego tym do czego macie dostęp, jesteście najważniejsi na świecie.
Należy pamiętać, że nikt nie atakuje tam, gdzie obrona i ochrona jest najmocniejsza.
To jest zbyt kosztowne i jeszcze można łatwo wpaść. Truizmem już jest powtarzanie, że najsłabszym ogniwem każdego systemu jest człowiek. Dlatego działające w sieci grupy, jeśli zależy im na skutecznym ataku, nie uderzają tam, gdzie system naszpikowany jest rozwiązaniami obronnymi, ale szuka dotarcia do systemu pozyskując źródło osobowe, albo wykorzystując socjotechnikę, a jeśli trafiamy na zorganizowaną grupę, która jeszcze sowicie jest opłacana przez służby specjalne, możemy być zaatakowani fizycznie. Jak? Włamując się do naszego domu i kradnąc nam służbowy laptop i komórkę. Albo instalując nam szpiegowskie oprogramowanie, gdy my nieopatrznie pozostawimy nasz sprzęt w domu a nie w pracy u pracowników bezpieczeństwa. Specjalistom zatrudnianym przez służby specjalne, wejście, zainstalowanie oprogramowania na naszym sprzęcie w domu oraz wyjście zabierze kilka, kilkanaście minut. I nie przeszkodzi im w tym system alarmowy dowolnej firmy ochroniarskiej, czy nawet zainstalowane ukryte w domu kamery.
Dlatego jeśli chcemy realnie chronić nasze zasoby, wiedzę i dane, nie wystarczy już sprawny system informatyczny, ale potrzeba chronić nasze zasoby ludzkie i obieg informacji w rzeczywistej przestrzeni. Warto zacząć sprawdzanie od tego, gdzie trafiają śmieci z biurek naszych pracowników i czy niszczone w firmie nośniki, od papierowych po cyfrowe, są niszczone skutecznie. I tu nie tylko trzeba mieć rozwiązania, które skutecznie mielą zebrane w firmie dokumenty, nim trafią one do zewnętrznego kosza na śmieci, ale również skutecznie chronią stare dyski twarde, dyskietki i płytki oraz niewykorzystywane pendrivy. Już standardem jest również lokalizowanie laptopów, telefonów służbowych, szyfrowanie pamięci wewnętrznych i twardych dysków oraz blokowanie peryferiów i wejść do komputerów przed możliwością instalowania oraz kopiowania danych z nieautoryzowanych i niezabezpieczonych pendrive’ów. Systemy powinny podlegać nieustannym testom penetracyjnym, w niektórych branżach nawet permanentnych. Ale nie wolno rezygnować ze szkoleń, w których pracownicy każdego szczebla są szkoleni nie tylko z postępowania w przypadku ataków czy cyberzagrożeń, ale również powinni być szkoleni by odpowiednio reagować, gdy osoby obce starają się wypytywać o ich firmę, zabezpieczenia a nawet, kiedy pracownicy są zachęcani do wchodzenia na dziwne strony, czy zaprzyjaźniania się przez osoby, których nigdy nie widziały na oczy. Powinno się je szkolić, jak mają sprawdzać, czy ktoś nie stara się ich pozyskać albo wykorzystać, jak sprawdzić metodą Q&A jak prawdziwe zamiary ma dana osoba, czy jest tym, za kogo się podaje. Nie wiem, w których firmach szkoli się kadrę jak zabezpieczyć swoje sprzęty w domu, albo na co zwracać uwagę, by nie stać się nieświadomym pomocnikiem hackera. Ostatnie takie szkolenie dla pracowników mojego Klienta robiłem dwa lata temu. Do dzisiaj nikt nie był nim zainteresowany. Ale może to tylko mnie dotyka, a inne firmy robią to permanentnie dbając o swoje bezpieczeństwo i ochronę swoich zasobów?
Dzisiaj nasze sekretarki, handlowcy, prezesi są punktem wejścia do systemów, elementem łańcucha, który prowadzi czasami do osób i systemów o jakich nie mamy pojęcia.
Obecnie technologia idzie w kierunku inteligentnych systemów, sztucznej inteligencji, domów i rozwiązań inteligentnych a także autonomicznych rozwiązań dla samochodu, transportu, domu i pracy. Każde połączone z siecią urządzenie, to albo źródło informacji albo okno lub drzwi w systemie. Nie wiemy, czy już na liniach produkcyjnych, chipy i procesory nie są infekowane robakami, które zostaną uruchomione w odpowiednim czasie dla ich twórców. Już dzisiaj jest możliwe zabicie człowieka, poprzez przejęcie kontroli nad pojazdem, którym się porusza. Dla niektórych służb nie jest problemem uruchomienie inteligentnej windy, w celu zabicia lub zranienia osoby w niej przybywającej. Są kraje, które jeśli uznają, że dzięki nam, mogą osiągnąć jakiś strategiczny cel, mogą zainfekować nasz domowy komputer, podpiąć się do komputera w naszym samochodzie, inwigilować nasz telefon a przez telefon, telewizor z kamerą, laptop, rejestrować wszystko co mówimy, o czym rozmawiamy, a nawet jeśli głośno myślimy, stworzyć tak dokładny profil psychologiczny naszej osoby, iż są w stanie mając dostęp do tych wszystkich danych jakie przetwarzają urządzenia, z jakich korzystamy – przewidzieć co zrobimy, kiedy i jak zadziałamy, jeśli podda się nas odpowiedniej stymulacji. Problem z danymi, jakie o sobie sami mówimy i umieszczamy w sieci – to problem naprawdę marginalny. Obecnie funkcjonujące systemy są w stanie wyliczyć, na ile dane, jakie człowiek prezentuje dla przykładu na Facebooku czy Linkedin, są prawdziwe lub są zwykłą kreacją naszego ego.
Jakiś czas temu spotkałem się z kilkoma moimi współpracownikami i przy lampce wina przeprowadziliśmy bardzo ciekawy eksperyment. Siedząc przy stoliku warszawskiej knajpki spojrzeliśmy na sąsiedni biurowiec. Zażartowałem, że gdyby stworzyć z nas grupę i gdybyśmy mieli niezbyt uczciwe plany, moglibyśmy zrobić w tym biurowcu wszystko. Jeden z moich kolegów, były oficer wywiadu powiedział. „Michale, swoją siedzibę ma w tym biurowcu bardzo ciekawa firma, jej informatycy tworzą systemy sterowania dla jednego z producentów rakiet klasy powietrze-powietrze”. Drugi mój kolega ma firmę informatyczną: „Tak? Hmm ja mam kilku świetnych pentesterów. Są w stanie włamać się wszędzie”.
Uśmiechnąłem się. „W tym budynku po godzinach szefem ochrony jest jeden z moich detektywów” – powiedziałem. Moja koleżanka z wyksztalcenia psycholog nie wytrzymała: „A ja umiem szydełkować na zwojach mózgowych, czy to oznacza, że od jutra mam się bać?”.
Roześmialiśmy się wszystko traktując jako żart. Ale pisząc ten felieton uzmysłowiłem sobie, że chociaż dla wielu ludzi może to wszystko brzmieć fantastycznie, to im bardziej rozwija się technologicznie nasz świat, tym liczba zagrożeń wcale nie maleje a ilość miejsc, w których należy od razu rozstawiać strażników, podejmować działania poprawiające bezpieczeństwo i blokujące potencjalne zagrożenia nie maleje, ale rośnie w postępie geometrycznym. I czasami najprostsze metody, potrafią stworzyć zagrożenia, o jakich nikomu może się nie śniło. A stan zagrożenia jest tym poważniejszy im mniejsza jest nasza świadomość tych zagrożeń.
Dlatego nawet jeśli twoja firma, dom wydają się bezpieczne i dobrze chronione, nie możesz sam spać spokojnie. I nie możesz zapomnieć przysłowia: „Przezorny, zawsze ubezpieczony”. Bo wojna trwa.
Michał Czuma