Sztuka przetrwania. Cyberterroryzm i nowe pola walki
- Szczegóły
- Nadrzędna kategoria: ROOT
- Kategoria: Zdrowie publiczne
- Opublikowano: piątek, 29.06.2018, 14:17
- Odsłony: 4250
Konrad Skrzyński
Raz po raz jesteśmy informowani o zakłóceniach w funkcjonowaniu instytucji, w których używa się systemów komputerowych. A używa się ich niemal wszędzie, np. w handlu, sprawowaniu rządów, wojsku, policji, przesyle energii, bankowości, ochronie zdrowia, transporcie. W większości wypadków sieć komputerowa jest otwarta w obu kierunkach. Tylko w nielicznych wypadkach system komputerowy instytucji pozostaje zamknięty przed dopływem informacji z zewnątrz. A i to nie jest całkowicie pewne. Wystarczy celowe lub przypadkowe podpięcie nośnika zawierającego złośliwe oprogramowanie, by osoby z zewnątrz uzyskały dostęp do chronionego systemu.
Jak poważny jest problem? Według firmy Symantec1 wzrost liczby ataków między rokiem 2016 a 2017 wyniósł od 54 do 600% w zależności od rodzaju zainfekowanego celu. Wymierne straty finansowe spowodowane cyberatakami mają osiągnąć 6 bilionów2 dolarów do roku 2021. Nieustający postęp techniczny oraz zastosowanie nowinek w kolejnych obszarach naszego życia gwarantują, że problem będzie raczej rósł niż malał.
Czym jest cyberatak?
Definicyjnie – cyberatak jest to atak przeprowadzony przez jeden lub wiele komputerów na inny komputer, grupę komputerów lub sieć komputerową3. Wyróżniamy dwa główne cele ataków – uniemożliwienie działania komputerom lub sieci komputerowej albo przejęcie kontroli nad komputerami czy też całymi sieciami.
Nie zapominajmy jednak, że komputer nie musi koniecznie oznaczać „pudełka” stojącego pod biurkiem ani nawet telefonu komórkowego noszonego w kieszeni. Ataki na te urządzenia, chociaż szkodliwe, nie będą powodować bezpośredniego zagrożenia dla zdrowia czy życia użytkownika. Zupełnie inaczej ma się sprawa z coraz popularniejszym Internetem Rzeczy (Internet of Things), gdzie połączeniem internetowym mogą być objęte systemy oświetlenia domu, monitoringu, zabezpieczeń drzwi wejściowych czy też systemy kontrolujące pracę samochodu.
Jak poważne jest zagrożenie, najlepiej widać na filmie4 obrazującym możliwości oprogramowania stworzonego przez Charliego Millera i Chrisa Valaseka do przejęcia kontroli nad jeepem cherokee. W tej demonstracji pokazano, że siedząc w sypialni za klawiaturą komputera, można nie tylko zmieniać muzykę czy włączyć wycieraczki w pędzącym po autostradzie samochodzie, lecz również odłączyć silnik czy hamulce, a nawet przejąć kontrolę nad kierownicą.
Według Chrisa Robertsa5 poprzez wpięcie się w komputer wmontowany w siedzenia niektórych samolotów pasażerskich można przejąć kontrolę nad maszyną. Twierdzi on, że w ten sposób udało mu się od 15 do 20 razy połączyć z samolotami Boeinga i Airbusa. Miał on również spowodować „bujanie” samolotu poprzez wysłanie jednemu z silników instrukcji wznoszenia.
Postęp techniczny pomaga również medycynie, obserwujemy nieustanny rozwój diagnostyki, analizy dolegliwości wspieranej przez sztuczną inteligencję czy też komputeryzacji implantów. Tym baczniejszą należy zwrócić uwagę na bezpieczeństwo nowej techniki używanej do ratowania zdrowia i życia pacjentów. Okazuje się, że ważne urządzenia medyczne, takie jak pompy insulinowe i stymulatory serca6 mają luki pozwalające na dostęp do dokumentacji pacjenta, a w skrajnych wypadkach nawet na unieruchomienie czy błędne działanie, które może okazać się fatalne w skutkach dla chorego.
Cyberpropaganda
Wyżej opisane cele cyberataków służą do infekowania komputerów. Niedawne wydarzenia uzmysławiają nam jednak, że internet może również posłużyć do oddziaływania na jego użytkowników. Chociaż początkowo używano tej techniki do wpływania na decyzje zakupowe przez masowe publikowanie pozytywnych opinii własnych produktów bądź negatywnej nagonki na produkty konkurencji, cyberpropaganda stała się w ostatnim czasie obiektem o wiele poważniejszych zarzutów – fałszowania wyborów prezydenckich w USA, obarczono ją też częściową odpowiedzialnością za brexit oraz wpływem na wyniki referendum niepodległościowego w Katalonii.
Poprzez nowe technologie zmieniło się również oblicze mediów. Dzięki internetowi każdy może prowadzić blog i opisywać bieżące wydarzenia ze swojego punktu widzenia. Taka wolność może też prowadzić do wykorzystania wpływowych osób oddziałujących na duże grupy odbiorców w celu propagowania treści służących innym podmiotom gospodarczym, instytucjom czy państwom. Dodatkowo rozwój platform społecznościowych i marketingu internetowego wspomaga powstawanie informacji nakierowanej na konkretnego klienta, w której rzetelność odgrywa drugorzędną rolę. Powoduje to jeszcze dalszą degradację tradycyjnych mediów, obniżających swe standardy w pogoni za odbiorcą wiadomości. Co więcej, wielu dziennikarzy i blogerów bywa werbowanych przez wywiady państwowe jako niejawne wtyczki7. Mogą oni mniej lub bardziej świadomie udzielać informacji obcemu wywiadowi bądź powielać i propagować treści użyteczne dla innych państw, a szkodzące interesom własnego kraju.
Techniki cyberataków
Cyfrowe ataki bazują głównie na lukach w legalnie powstałym oprogramowaniu bądź sprzęcie komputerowym. Programy tworzone w celu przeprowadzenia cyberataków nazywa się malwarem (malicious software), czyli oprogramowaniem złośliwym.
Bywa również, że atak jest przeprowadzony niezamierzenie poprzez uaktywnienie się niezidentyfikowanego błędu w oprogramowaniu. Taka sytuacja miała miejsce w jednym z pierwszych ataków na sieć komputerową, który został przeprowadzony przez Roberta Morrisa w 1988 roku, kiedy był on studentem Uniwersytetu Cornell w USA. Morris, chcąc zbadać rozmiar internetu, wypuścił robaka (worm), który miał w ograniczony sposób rozprzestrzeniać się w sieci. Jednak wbudowane zabezpieczenie nie zadziałało, a robak „dokleił się” do oprogramowania systemowego i zaczął niekontrolowanie infekować kolejne maszyny, co spowodowało paraliż ponad sześciu tysięcy komputerów i straty wyceniane na od 10 do 100 milionów dolarów. Chociaż atak ten nie był zamierzony, a jego szkodliwość ograniczona, był on inspiracją do przeprowadzania ataków DDoS (Distributed Denial of Service), będących jedną z popularnych technik hakerskich stosowaną do dziś.
Aby móc przeprowadzić taki atak, należy przejąć kontrolę nad odpowiednią liczbą komputerów (botów) tworzących sieć (botnet) kontrolowaną przez atakującego. Aby uderzenie było trudniejsze do odparcia, takie komputery powinny być rozproszone w różnych, możliwie losowych lokalizacjach, tak aby nie dało się ich jednocześnie odciąć przez zastosowanie prostych filtrów. Aby zbudować botnet, hackerzy najczęściej wypuszczają robaki, które działają niezależnie od innych programów lub też wirusy, które są dystrybuowane wewnątrz innego oprogramowania. Takie wirusy najłatwiej sprowadzić na swoją maszynę przez używanie sieci PeerToPeer służącej do bezpośredniej wymiany plików z innymi użytkownikami lub ściąganie programów z zainfekowanych stron internetowych.
Tak uzyskane botnety są później wykorzystywane do jednoczesnego ataku na wyznaczony cel. W wypadku ataku DDoS dąży się do przeciążenia serwera i spowolnienia lub zatrzymania jego pracy.
W listopadzie 2000 roku piętnastoletni wówczas Kanadyjczyk, Michael Calce (MafiaBoy), przeprowadził atak DDoS początkowo na serwery Yahoo, następnie na serwisy takie jak CNN, Amazon czy eBay. Skutki tego prostego ataku kosztowały ponad 1,2 mld dolarów.
Kolejnym wykorzystaniem botnetu jest wysyłka spamu oraz phishing. Ten ostatni polega na podszywaniu się pod osobę lub instytucję w celu wyłudzenia wrażliwych danych (np. danych dostępowych do konta bankowego). Zazwyczaj taki atak jest przeprowadzany z użyciem fałszywych linków dołączanych do e-maili czy wiadomości SMS. Jednak hakerzy szukają różnych sposobów zdobycia zaufania ofiar.
Niedawno opisywanym przykładem są próby uzyskania nieautoryzowanego dostępu do kont bankowych klientów OLX8. Ofiara proszona jest jedynie o opłacenie kuriera za wysyłkę przedmiotów oddawanych za darmo. Ogłoszeniodawca wysyła ofierze link do dokonania płatności na specjalnie sfałszowanej stronie kurierskiej. Przy dokonywaniu płatności strona hakera komunikuje się z prawdziwą bramką banku i prosi ofiarę o wprowadzenie danych logowania. Te dane są przechwytywane przez atakującego i użyte do wykonania innej transakcji – albo przelania pieniędzy bezpośrednio na konto hakera, albo dodanie jego rachunku do listy kont zaufanych. W tym drugim wypadku, o ile ofiara nie spostrzeże pomyłki i potwierdzi operację SMS-em, narażona jest na utratę wszystkich środków zgromadzonych na koncie bankowym.
Inną możliwością użycia malware’u jest atak ransomware. Polega on na blokadzie dostępu do systemu komputerowego, dopóki atakujący nie uzyska „okupu” za jego odblokowanie. Zazwyczaj polega to na zaszyfrowaniu danych na dysku i odszyfrowaniu po uzyskaniu korzyści materialnej. Ostatnio zaobserwowanym atakiem tego typu był WannaCry przeprowadzony w maju 2017 roku. Dotknął on w głównej mierze brytyjską służbę zdrowia (NHS). W tym wypadku wykorzystano lukę systemu Microsoft wykrytą przez Agencję Bezpieczeństwa Narodowego USA. Zamiast poinformować firmę Microsoft o znalezionym defekcie, agencja wykorzystywała ją do własnych celów. Jednak kod użyty do exploitu (nazwany EternalBlue) został wykradziony przez grupę Shadow Brokers i opublikowany w sieci. Wywołało to oburzenie firmy Microsoft, która byłaby w stanie zapobiec atakowi, gdyby tylko agencje rządowe poinformowały ją o wykrytej luce.
Przy tej okazji warto wspomnieć o netykiecie, która zobowiązuje programistów znajdujących luki w oprogramowaniu do poinformowania producenta i danie czasu na załatanie dziury przed opublikowaniem swojego odkrycia. W przeciwnym wypadku takie luki nazwa się zero-day – niedające firmie możliwości naprawy błędu przed jego szerokim upublicznieniem.
Jednak nie tylko luki w oprogramowaniu są wykorzystywane do ataków. O wiele groźniejsze są luki w bezpieczeństwie sprzętu komputerowego, głównie procesorów i pamięci. W styczniu tego roku Google Project Zero9 upublicznił dane o dwóch atakach (Spectre i Meltdown), które można przeprowadzić na procesorach Intel, AMD i ARM. Ataki te pozwalają na wykradzenie z pamięci procesora przetwarzanych danych lub na dostęp do pamięci bez uzyskania odpowiednich przywilejów. O ile dla exploitu Meltdown dostępne są poprawki programistyczne, o tyle Spectre wymaga zmiany architektury procesora i nie może być zneutralizowany programistycznie.
Co więcej, w procesorach Intela zlokalizowano sekretny chip 3g10 pozwalający na zdalne rozwiązanie problemów z maszyną, nawet gdy ta jest wyłączona. Rozwiązanie, które w zamyśle ma ułatwiać analizę systemu, w niepowołanych rękach może prowadzić do zdalnego odczytania lub nadpisania dowolnych danych, nawet na wyłączonym i nieprzyłączonym do sieci komputerze.
Cyberwojna
Jako że większość firm oraz instytucji korzysta z internetu, możliwy jest atak na nie w celu wykradzenia poufnych danych. Jedną z powszechnych form jest szpiegostwo gospodarcze. Przez zainfekowanie systemu firmowego można uzyskać przewagę nad konkurencją, a nawet skopiować i ulepszyć opracowane przez nią rozwiązania. Ofiarą takiego szpiegostwa gospodarczego stała się w 1997 firma Gillette, której pracownik sprzedał projekt maszynki do golenia konkurencyjnej firmie11.
Szpiegostwo w przestrzeni cyfrowej nie jest oczywiście ograniczone do firm komercyjnych. Wywiad i kontrwywiad każdego liczącego się kraju inwestuje coraz większe środki w użycie technik informatycznych do prowadzenia działań rozpoznawczych, propagandowych i osłonowych. Wywiad stara się pozyskać i podsycać tematy polaryzujące opinię społeczną w celu osłabienia zaufania do państwa12. Przez użycie trollingu (płatnego umieszczania komentarzy internetowych o z góry ustalonej tematyce) testuje również swoje możliwości wpływania na nastroje społeczne, a nawet decyzje wyborcze.
O wiele groźniejsze mogą być jednak ataki na infrastrukturę kraju zagrażające bądź bezpośrednio życiu mieszkańców, bądź też destabilizujące funkcjonowanie państwa. Jednym z pierwszych ataków tego typu była akcja CIA w 1982 roku13, kiedy to ZSRR uaktualnił oprogramowanie do obsługi infrastruktury przesyłowej gazu i ropy. Oprogramowanie to zawierało wprowadzone przez CIA błędy destabilizujące pracę pomp i zaworów. Doprowadziło to do największego nienuklearnego wybuchu na Syberii, widocznego nawet z kosmosu.
Rosja wyciągnęła wnioski z tego ataku. W 2016 roku rząd USA oskarżył ją14 o infekowanie malwarem systemów operacyjnych instytucji związanych z przesyłem energii elektrycznej, wody, fabrykami newralgicznymi dla działania państwa, a nawet reaktorami nuklearnymi.
Do wzrostu zagrożenia cybernetycznego przyczyniają się też wycieki z agencji rządowych. Według danych upublicznionych przez Edwarda Snowdena – w wyniku przecieku CIA15 straciła oprogramowanie służące do szpiegostwa cybernetycznego, którego stworzenie kosztowało 100 miliardów dolarów.
Z danych ujawnionych przez Snowdena dowiadujemy się również, że oprogramowanie większości komputerów, telefonów komórkowych czy konsol gier może być użyte do podsłuchiwania ich użytkowników16. Coraz częściej tak zdobyta komunikacja staje się narzędziem kontrolowanego wycieku, który ma zdyskredytować przeciwnika. W 2014 roku udostępniono zapis rozmowy17 między Catherine Ashton a Urmasem Paetem, z której dowiadujemy się, że Estonia i Unia Europejska są w posiadaniu informacji, iż snajperzy strzelający do uczestników kijowskiego Euromajdanu byli wynajęci przez samych protestujących. Wyciek ten przypisuje się Służbie Wywiadu Zagranicznego Federacji Rosyjskiej.
Wojna hybrydowa i cyberterroryzm
Jako że internet jest przestrzenią wirtualną i rozproszoną, często problematyczne jest ustalenie nie tylko źródła cyberataku, ale nawet tego, czy cyberatak w ogóle miał miejsce. Przykładem niech będą wspomniane już wyżej osoby nazywane niejawnymi wtyczkami, w wypadku których granica między prezentacją własnych poglądów a tych zainspirowanych przez obce państwo może być bardzo płynna.
Nie tylko obce mocarstwa są zainteresowane prowadzeniem cyberataków. Grupy hakerskie mogą osiągać pokaźne profity z cyberprzestępczości, a dzięki istnieniu DarkNetu (sieci zrzeszającej cyberprzestępców) mogą wymieniać się zdobytymi danymi, oprogramowaniem czy znalezionymi lukami. Takie grupy mogą również korzystać z ochrony służb wywiadowczych, działając tak jak XVI-wieczni korsarze.
Ponieważ tak trudno przypisać atak do konkretnej osoby czy kraju, cyberataki są idealną metodą prowadzenia wojen hybrydowych, w których atakujący zaprzecza istnieniu konfliktu, nie mówiąc o aktywnym działaniu na niekorzyść przeciwnika. Wzmożone w ostatnich latach zainteresowanie lukami w oprogramowaniu systemów krytycznych dla działania państwa sugeruje, że poszukiwane są również metody asymetrycznego uderzenia, na przykład przez zawieszenie ruchu lotniczego, spowodowanie awarii sieci telekomunikacyjnej czy przesyłowej.
Sposoby obrony
Tak jak każdy sejf można otworzyć, tak też każdy system komputerowy będzie miał swoje słabe strony. Nie miejmy złudzeń, że znajdziemy stuprocentowo pewne zabezpieczenie przed cyberatakami. Jednak nie jesteśmy też całkowicie bezbronni. Powinniśmy uczynić ataki tak trudnymi i kosztownymi, jak to tylko możliwe.
● Używaj oprogramowania antywirusowego.
● Ważne dokumenty przenoś na nośnik papierowy.
● Instaluj na bieżąco uaktualnienia systemowe.
● Staraj się nie otwierać linków otrzymanych przez e-mail lub SMS. Nigdy nie otwieraj linków od nieznanych nadawców. Zwracaj uwagę na adres nadawcy (np. bzwbk24.pl vs bzwdk24.pl).
● Zabezpiecz swoje konta mocnymi hasłami. Nie używaj tego samego hasła do wielu systemów. Nie ignoruj bezpieczeństwa kont e-mail – mając do niego dostęp, atakujący może zresetować hasło do innych systemów, przejmując nad nimi kontrolę (np. nad kontem bankowym).
● Nie zapisuj haseł w łatwo dostępnym miejscu. Pod żadnym pozorem nie umieszczaj haseł w okolicy komputera (tak została zhakowana francuska telewizja TV5Monde18).
● Używaj szyfrowanych komunikatorów, takich jak Telegram czy Signal.
● Bądź ostrożny w sugerowaniu się cudzymi opiniami znalezionymi w internecie. Zwracaj szczególną uwagę na komentarze zostawione przez Polaków, a mające składnię czy słownictwo charakterystyczne dla obcego języka.
● Zwróć uwagę na informacje, które publikujesz w sieci. Fotografia z kartą kredytową może prowadzić do utraty środków z powiązanego konta, a opublikowane zdjęcie z wieżą w Pizie może sugerować złodziejom, że twój dom jest obecnie pusty.
● Sprawdź kontrowersyjną informację, zanim powielisz ją w sieci. Czy źródło tej informacji jest wiarygodne? Czy możesz znaleźć informację o danym fakcie widzianą z innej perspektywy?
● Do celów dyskrecjonalnych używaj osobnego komputera, który nie ma połączenia z siecią.
● Przeczytaj ponownie artykuły o sztuce przetrwania, zamieszczone we wcześniejszych numerach GdL19.
1 https://www.symantec.com/security-center/threat-report
2 https://www.comparitech.com/vpn/cybersecurity-cyber-crime-statistics-facts-trends/
4 https://www.youtube.com/watch?v=MK0SrxBC1xs
6 https://www.cyberdefence24.pl/cyberatak-na-rozrusznik-serca-to-naprawde-mozliwe
6 https://www.cyberdefence24.pl/cyberatak-na-rozrusznik-serca-to-naprawde-mozliwe
7 https://www.hybridcoe.fi/wp-content/uploads/2018/05/Strategic-Analysis-2018-4-Juurvee.pdf
8 https://niebezpiecznik.pl/post/uwazajcie-na-rzeczy-oddawane-za-darmo-na-olx/
9 https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
10 http://www.mcreveil.org/Anglais/journaux/puce3g_Intel_en.html
11 https://securityaffairs.co/wordpress/66617/hacking/cyber-espionage-cases.html
12 https://www.hybridcoe.fi/wp-content/uploads/2018/05/Strategic-Analysis-2018-4-Juurvee.pdf
15 https://thehackernews.com/2017/06/cia-linux-hacking-tool-malware.html
16 https://hackernoon.com/wikileaks-vault7-exposes-cia-deep-state-hacking-capabilities-883f87828211
Konrad Skrzyński
syn lekarza
dyrektor IT Callt Ltd.
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
GdL 7_2018