Jakub Bodziony: Czy bezpieczeństwo mojego smartfona jest powiązane z bezpieczeństwem mojego kraju?

Andrzej Kozłowski: Każdy smartfon może stać się częścią tzw. botnetu, czyli sieci składającej się z urządzeń podłączonych to internetu. Do takiego telefonu można się włamać i wykorzystać go do wyprowadzenia ataku DDoS (distributed denial-of-service) np. na stronę Pentagonu.

DDoS?

Strony internetowe znajdują się na serwerach, które mogą przyjąć ograniczoną liczbę zapytań, czyli prób wejścia pod dany adres. Strona Pentagonu może przyjąć takich zapytań kilka milionów naraz, ale standardowe witryny mogą zawiesić się po przekroczeniu paru setek lub tysięcy prób jednoczesnego wejścia. Wtedy wyświetla się komunikat, że strona jest niedostępna. To właśnie denial of service. W Polsce zdarzały się sytuacje, w których strony internetowe ministerstw były niedostępne przez kilka godzin. To jest najprostszy i najpopularniejszy element wojny informacyjnej i uciążliwa kwestia wizerunkowa, ale ma znikomy wpływ na tradycyjnie rozumiane bezpieczeństwo.

To co jest realnym zagrożeniem dla bezpieczeństwa kluczowych instalacji infrastrukturalnych kraju?

Jedną z pierwszych powszechnie używanych broni cyfrowych/cyberbroni w sektorze przemysłowym był robak Stuxnet, czyli opracowane za prezydentury George’a W. Busha złośliwe oprogramowanie, które paraliżowało pracę systemu sterowania instalacjami wzbogacania uranu w irańskim zakładzie jądrowym. Stuxnet był produktem amerykańsko-izraelskim i miał za zadanie powstrzymać irański program wzbogacania uranu. Robak dostał się tam prawdopodobnie dzięki działaniom agentów Mossadu lub przez nieuwagę jednego z naukowców irańskich, który podłączył telefon albo komputer do sieci globalnej i tam został zaatakowany. Bezpośrednie włamanie się do systemu samej elektrowni byłoby bardzo trudne, ponieważ tego typu ośrodki są zbudowane w technologii air gap, czyli nie są podłączone do internetu, a korzystają z własnej sieci, tzw. intranetu.

Kolejnym przykładem był atak na elektrownię w Kijowie w grudniu 2015 r. Z perspektywy operatora sieci musiało wyglądać to surrealistycznie, bo nagle kursor myszy na ekranie zaczął się poruszać wbrew jego woli. Ktoś, przypuszczalnie Rosjanie, zdalnie przejął kontrolę nad komputerami w elektrowni i doprowadził do kilkugodzinnego blackoutu. Ostatnio na Ukrainie również doszło do tego typu incydentu, ale przerwa w dostawie prądu wynosiła kilkadziesiąt minut.

Ilustracje: Katarzyna Urbaniak
Ilustracje: Katarzyna Urbaniak

Jak od czasu Stuxneta rozwinęły się ofensywne możliwości technologii?

Im większe uzależnienie infrastruktury krytycznej od technologii, tym wyższe prawdopodobieństwo ataku. Istnieją dwie główne metody, którymi przeprowadza się ofensywne operacje cyfrowe. Pierwsza z nich to poszukiwanie błędów w milionach linijek kodu, z których składa się system lub oprogramowanie. Wystarczy jeden ludzki błąd, żeby umożliwić włamanie się do nich. Z ujawnionych przez Edwarda Snowdena informacji wiadomo, że większość amerykańskich firm high-tech współpracuje ze służbami, celowo umieszczając furtki w swoim oprogramowaniu i sprzęcie. Tego typu działania osłabiają bezpieczeństwo całego internetu, bo zwiększa się ryzyko, że taki błąd może znaleźć haker lub wrogi wywiad.

Wywiad nie czyha chyba na nas też w domach?

Niekoniecznie, bo druga metoda, o której chcę powiedzieć, skupia się właśnie na człowieku, najsłabszym ogniwie cyberprzestrzeni. Hakerzy prowokują, a czasem zmuszają użytkownika do realizacji ich celów. Np. jeśli pasjonuje się pan lotnictwem, to może pan dostać mailowe zaproszenie na forum poświęcone nowemu modelowi myśliwca. W wiadomości znajdzie pan link ze szczegółowym programem wydarzenia, a po jego kliknięciu zostanie pan przeniesiony na stronę, która jest zainfekowana i automatycznie zacznie instalować złośliwe oprogramowanie na pańskim urządzeniu. Często też wysyłane są maile bliźniaczo podobne do tych, które otrzymujemy z pracy czy z banku. Ofiarami takich działań mogą stać się też pracownicy administracji publicznej, a za pomocą ich urządzeń można włamać się do systemów instytucji centralnych czy samorządowych.

Czy coś jeszcze nam zagraża?

Ransomware, czyli złośliwe oprogramowanie, które paraliżuje naszą pracę, dopóki nie wpłacimy odpowiedniej sumy pieniędzy. W taki sposób szantażuje się nie tylko bogatych ludzi, ale również zwykłych użytkowników, którzy zrobią wszystko, żeby odzyskać swoje dane. W Stanach Zjednoczonych i Wielkiej Brytanii bardzo częstym obiektem ataków tego typu były też szpitale, które płaciły okup, żeby odzyskać dostęp do bazy danych pacjentów.

Opisane przez pana działania to działalność pojedynczych osób lub grup przestępczych. Czy służby państw posiadają odpowiednie możliwości i zasoby pozwalające im przeprowadzić skoordynowane ataki komputerowe?

Większość państw cały czas oficjalnie nie przyznaje się do tzw. środków ofensywnych. Granica pomiędzy szpiegowaniem a dokonywaniem ataku komputerowego jest bardzo cienka, ponieważ obie te czynności polegają na złamaniu zabezpieczeń danych urządzeń, a następnie dostaniu się do systemu.

W cyberprzestrzeni dominują Stany Zjednoczone, głównie ze względu na to, że 95 proc. sprzętu elektronicznego, z którego korzystamy, pochodzi z USA. Na podium znajdują się również Chiny i Rosja, ze swoim bardzo specyficznym systemem cyberbezpieczeństwa będącym hybrydą patriotycznych hakerów, cyberprzestępców oraz najbardziej zaawansowanych hakerów pracujących dla służb. Ci pierwsi posiadają podstawowe umiejętności i chętnie atakują cele znajdujące się w krajach zachodnich. Szczebel wyżej znajduje się niesamowicie rozbudowane podziemie cyberprzestępcze, chronione pośrednio lub bezpośrednio przez FSB. Granice działania są jasno określone przez stronę rządową – dopóki wy nie ingerujecie w pracę rosyjskich instytucji, my nie ingerujemy w wasze działania. Na samym szczycie tej struktury znajdują się grupy APT 28 i APT 29, które podlegają odpowiednio pod GRU i FSB.

Chiny szukają alternatywnych sposobów na przezwyciężenie dominacji Zachodu w sferze militarnej. Siły zbrojne Stanów Zjednoczonych są w największym stopniu uzależnione od dostępu do informacji w czasie rzeczywistym. USA są najpotężniejsze w cyberprzestrzeni, ale jednocześnie są najbardziej narażone na wszelkie ataki i Pekin to wykorzystuje.

Zanim przejdziemy przez przejście dla pieszych, to uważnie rozglądamy się w obie strony. Warto przenieść te zasady do internetu, który już od wielu lat nie jest ani anonimowy, ani bezpieczny. | Andrzej Kozłowski

Jak na tle tych gigantów plasuje się Polska?

Tydzień temu Samoa opublikowała swoją pierwszą strategię cyberbezpieczeństwa, a my dalej czekamy… Kompleksowa strategia miała zostać opublikowana na przełomie października i listopada zeszłego roku. Dwa główne dokumenty, czyli „Polityka Ochrony Cyberprzestrzeni RP” i „Doktryna Cyberbezpieczeństwa RP”, mają zerową wartość strategiczną. Uchwalenie odpowiedniej ustawy zapowiadane jest na wiosnę, ale nie wierzę, by terminy zostały dotrzymane. Ministerstwo Cyfryzacji przeznacza na realizację tego celu ok. 60 mln zł. To są śmieszne pieniądze i dlatego poziom naszego cyberbezpieczeństwa ciągle jest bardzo niski, nawet na tle innych krajów regionu.

Co trzeba zmienić?

Absolutną podstawą jest strategia cyberbezpieczeństwa, która zdefiniuje cele i kierunki rozwoju. Drugą kwestią jest ustawa dot. cyberbezpieczeństwa, która ma wprowadzać zapisy unijnej dyrektywy NIS. Powinno się również ograniczyć liczbę urzędników, których komputery są bezpośrednio podłączone do internetu. Kluczowe są jednak edukacja i cyberhigiena.

Cyberhigiena – co to takiego?

To zastosowanie podstawowych środków bezpieczeństwa, takich jak używanie odpowiednich haseł i ich częsta zmiana. Powinny się one składać ze znaków diakrytycznych, wielkich i małych liter oraz liczb. Należy ostrzegać o zagrożeniu związanym ze ściąganiem podejrzanych plików, wchodzeniem na witryny, które mogą być potencjalnie niebezpieczne. Warto też stosować tzw. podwójną autoryzację, czyli potwierdzenie logowania się do danej usługi kodem, który otrzymujemy przez SMS. Atakom nie da się zapobiec w pełni, ale można skutecznie odstraszyć i zniechęcić potencjalnych hakerów. To pozwoliłoby zmniejszyć zagrożenie co najmniej o 80 proc.

Jeden z najzdolniejszych hakerów w historii Kevin Mitnick zawsze mówił, że on hakował ludzi, wykorzystując ich własną naiwność. Większość urzędników państwowych to osoby w wieku ok. 50–60 lat, które nie czują się swobodnie, używając technologii informacyjnych, i dlatego to oni są najłatwiejszym celem. Ich jest łatwiej zmanipulować, nakłonić do podjęcia danej decyzji w cyberprzestrzeni. Zanim przejdziemy przez przejście dla pieszych, to uważnie rozglądamy się w obie strony. Warto przenieść te zasady do internetu, który już od wielu lat nie jest ani anonimowy, ani bezpieczny.

Temat zachowania bezpieczeństwa w internecie często wiązany jest dziś z działalnością Rosji, która wojnę informacyjną zapisała w swojej doktrynie wojskowej.

Wywiad i kontrwywiad niemiecki już od kilku miesięcy ostrzegają przed zagrożeniem związanym z rosyjskimi hakerami, którzy mogą ingerować w wybory w Europie. W Holandii postanowiono, że głosy będą liczone ręcznie. Także we Francji wiadomo, że Kreml miesza w wyborach. Przykłady dezinformacji możemy też znaleźć na swoim podwórku, np. kiedy Antoni Macierewicz opowiadał o francuskich okrętach Mistral, które Egipt miał odsprzedać Rosji za symbolicznego dolara. Nikt nie zweryfikował tej informacji, która wywołała międzynarodowe poruszenie na szczeblu ministerialnym. Jeszcze innym rażącym przykładem dezinformacji była sprawa rosyjskiej dziewczynki, która miała zostać zgwałcona przez imigrantów w Niemczech. Powołując się na fałszywą informację, Siergiej Ławrow żądał nawet wyjaśnień od strony niemieckiej.

Dlaczego państwa i społeczeństwa zachodnie są tak wrażliwe na działania związane z wojną informacyjną?

Główną słabością Zachodu jest nasz system polityczny. Każdy z nas woli żyć w demokracji, ale wolność słowa może być wykorzystana przeciwko nam. Mamy do czynienia z masowym propagowaniem informacji nieprawdziwych. Obniżyła się też jakość mediów mainstreamowych, dziennikarze nie są już tak rzetelni jak dawniej. Wreszcie, internet umożliwił bezpośredni dostęp do najgłupszych i najbardziej absurdalnych informacji. Skrócił się dystans i nie ma już nikogo, kto weryfikowałby źródła.

 

* Współpraca: Adam Puchejda.