A więc cyber-wojna! Ta wojna już trwa w najlepsze
W mojej ocenie wydarzenie było bardzo dobrze zorganizowaną i godną pochwały inicjatywą i rozumiem, że problem cyberbezpieczeństwa jest wielki, jak cały Internet, ale o dwóch szczególnie ważnych aspektach powiedziano i mówi się, w mojej ocenie, za mało. Niezwykle istotne są odpowiednie zabezpieczenia krytycznej infrastruktury państwowej energetyki. Wyzwania stanowi też ciągle rozwijający się dział Internetu Rzeczy (Internet of Things - IoT) oraz OT (Operational Technology – OT – systemów sterowania fabrykami, elektrowniami, taśmami produkcyjnymi, etc.), a zagrożenie, szczególnie ze strony rosyjskich hakerów, jest większe, niż kiedykolwiek wcześniej.
Rosjanie są oskarżani także o przeprowadzenie ataków i kradzieży danych z serwerów Partii Demokratycznej w okresie wyborczym i próbę wpływania na wynik wyborów prezydenckich. Ponadto w listopadzie kanclerz Niemiec Angela Merkel ostrzegała, że istniało prawdopodobieństwo prób manipulacji rosyjskich hakerów wynikiem wyborczym przy okazji wyborów do niemieckiego parlamentu. Miesiąc temu amerykańskie ministerstwo bezpieczeństwa narodowego nakazało wszystkim cywilnym agencjom rządowym usunięcie ze swoich komputerów oprogramowania Kaspersky Lab, ponieważ Rosja wykradła tajne dane NSA (amerykańskiej wewnętrznej agencji wywiadowczej, koordynująca m.in. zadania wywiadu elektronicznego) za pomocą antywirusa Kaspersky Lab, a źródłem wycieku okazał się nie kto inny, jak sam pracownik elitarnego oddziału hakerów agencji NSA, zbierający dane wywiadowcze o zagranicznych celach. Okazało się, że pracownik ten, niezgodnie z zasadmi, przechowywał tajne dokumenty NSA na domowym komputerze, na którym miał zainstalowany program antywirusowy Kaspersky’ego. Paradoksalnie, to ten program zabezpieczający komputery przed wirusami i hakerami miał tylną furtkę, którą wykorzystali rosyjscy hakerzy. Sprawę wykryli izeraelscy hakerzy, którzy przyglądali się na żywo działaniom rosyjskich hakerów, którzy wykradali w tym czasie dane amerykańskim hakerom, którzy w tym czasie próbowali złapać rosyjskich hakerów. Dlatego tak, jak powiedział podczas jednego z ostatnich paneli na forum Cybersec dowódca amerykańskiej cyberoddziału NATO:
Musimy zmienić cały sposób myślenia odnośnie cyberzagrożeń, bo codziennie jesteśmy w stanie wojny - powiedział Donald Lewis, amerykański dowódca J-Cyber Division NATO i dowódca Task Force Cyber w sztabie NATO SHAPE w USA
Ale cyberzagrożenia to nie tylko ataki wojskowych hakerów na innych wojskowych hakerów i na wojskowe sieci. Infrastruktura zaangażowana w cyberwojnę nie sprowadza się tylko do urządzeń wojskowych i sieci wojskowej. Ośrodki cywilne, jak elektrownie, czy systemy monitoringu, są bardzo podatne na zagrożenia atakami z cyberprzestrzeni, a w wielowymiarowej wojnie hybrydowej są strategicznie ważne, choćby w operacjach dywersyjnych.
Doświadczenia ostatniego roku pokazały nam, że zaatakować można wszystko, co jest podłączone do Internetu, a nawet można teoretycznie wyłączyć ludziom Facebooka – banalnie prostymi, starymi metodami. Gdy rok temu hakerzy zaatakowali firmę DYN, która zarządzała serwerami wykorzystywanymi przez popularny serwis Twittera, przy okazji odcięto ludziom dostęp do bardzo popularnych usług SoundCloud, Spotify, Reddit, Netflix, Amazon czy PayPal. Dla niektórych mogło to oznaczać koniec świata, ale nie oszukujmy się - od odłączenia od tych usług się nie umiera, ani te usługi nie mają znaczenia dla codziennego, fizycznego funkcjonowania. Ważne jest, że ataku ten przeprowadzono przez kamerki internetowe i drukarki. Ważne jest też to, ze generowały one na sekundę i przesyłały 1,2 terabitów danych na serwery Dyn, co skutecznie te serwery zablokowało.
W innym bardzo głośmym ataku z obszaru Internetu Rzeczy (IoT) - ataku typu DDOS (ang. distributed denial of service - rozproszona odmowa usługi) - wykorzystano kamery przemysłowe i monitoringu miejskiego, niejako w roli rzeszy petentów w urzędzie do zablokowania jego pracy przez wysyłanie zapytań na serwer ze zmienionego przez hakerów systemu. Kamery, które były zebrane w botnet (sieć zaprogramowanych wirtuanych robotów) do przeprowadzania tego ataku DDoS generowały od 35 tys. zapytań HTTPS na sekundę do 50 tys. zapytań HTTPS na sekundę. Kamery były rozmieszczone w przeszło 105 krajach. 24 proc. z nich znajduje się na Tajwanie, 12 proc. w Stanach Zjednoczonych, 9 proc. w Indonezji, 8 i 6 proc odpowiednio w Meksyku i Malezji. Po 5 proc. kamer miało adresy z Izraela oraz Włoch, po 2 proc. – w Wietnamie, Francji i Hiszpanii.
Kamery komputerowe i przemysłowe wykorzystano dlatego, że podłączone do Internetu są na ogół najsłabiej zabezpieczone - niemal nikt nie zmienia ich fabrycznych haseł. To oznacza, że nigdy nie wiesz, czy ktoś w tym momencie nie obserwuje Cię z Twojej kamery w Twoim laptopie, jeśli nie zmieniłeś jeszcze fabrycznie ustawianego hasła. A hasła fabryczne można banalnie łatwo pozyskać.
Tu także trzeba zauważyć, że tym razem wykorzystano te sprzęty w innym celu, ale można sobie wyobrazić ich kolosalne znaczenie w działaniach wojennych, gdy włamanie się do systemu monitoringu miast i autostrad pozwoliłoby agresorowi uzyskać pełnię danych wywiadowczych z miejsc objętych monitoringiem. Według raportu z 2015 roku na temat IoT, w 2014 roku samych kamer przemysłowych było na świecie 245 mln, 20 proc. z nich było podłączonych do sieci, co daje prawie 50 mln kamer. Kamerę w laptopie ma prawie każdy posiadacz laptopa.
Internet Rzeczy jest stanowczo zbyt słabo zabezpieczony, a ludzie nadal bardzo nieświadomi zagrożeń i najprostszych metod zabezpieczania się przed włamaniem. Dlaczego słabe zabezpieczenia w IoT są tak ważnym problemem i jak mogą być groźne nie na poziomie pojedynczego perwersa, a bezpieczeństwa publicznego i narodowego?
Tytułem przypomnienia aktywności Rosjan w cyberprzestrzeni: pod koniec grudnia 2015 roku w wyniku ataku hakerów na ukraińskie spółki energetyczne blisko 225 tys. osób zostało pozbawionych energii elektrycznej. To, że był to cyberatak potwierdził w lutym tego roku Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych. Co ciekawe, z oprogramowania Black Energy wykorzystanego do ataku na Ukraińców hakerzy korzystali także przy okazji ataków na sieć elektroenergetyczną USA w 2014 roku. Wtedy obyło się bez szkód, ale wtedy nie o szkody chodziło, tylko o pokaz siły. Ten fakt zaalarmował amerykańskie agencje.
Przede wszystkim sukcesywne ataki Rosjan na ukraińskie elektrownie pokazują, że można oddziaływać na cywilów wojną psychologiczną, po prostu gasząc im światło i wyłączając ogrzewanie – jak to miało miejsce na Ukrainie w grudniu 2015 i 2016 roku, co było pokazem siły Rosjan.
W rozmowach kuluarowych uczestnicy tegorocznego forum Cybersec wskazali mi właśnie ten obszar, jako obecnie wyjątkowo potencjalnie niebezpieczny i wyjątkowo słabo zabezpieczony. Także w Polsce, gdzie systemy w niektórych przypadkach w firmach i agencjach państwowych są aktualizowane tak często, że można spotkać stacje robocze działające na antycznym już systemie Windows 95. Nie bez powodu złodzieje samochodów dziękują losowi za inteligentne auta – te jest znacznie łatwiej ukraść, niż analogowe. Bezpieczeństwo rzeczy w Internecie Rzeczy jest zdecydowanie tematem, któremu w najbliższym czasie trzeba bardziej nagłośnić.
Daleko nie trzeba szukać. Przy pomocy aplikacji wykrywającej urządzenia podłączone do sieci sprawdzaliśmy z kilkoma osobami, które wolały pozostać anonimowe, jak można się najszybciej i którędy włamać do samej sieci forum Cybersec. Okazało się, że nie byłoby to takie trudne, bo najsłabszym, niezabezpieczonym ogniwem były własnie podłączony do internetu telewizor jednego z wystawców oraz hełm VR prezentowany na jednym ze stoisk. To były dwie furtki, którymi teoretycznie możnaby złamać cyberzabezpieczenia forum. A winą – jak w większości przypadków łamania zabezpieczeń Internetu rzeczy, były brak hasła lub niezmienione, fabrycznie ustawione hasła urządzeń podłączonych do forumowego Internetu. Wejście przez takie otwarte furtki mogłoby skutkować przejęciem kontroli nad całym systemem. To pokazuje na ważność IoT i OT w kontekście podłączania kolejnych systemów lub smart-peryferiów i konieczności redukowania stopnia zaufania między systemami.
Wiele mówiliśmy w tym roku o zagrożeniach wojskowych, ale to słabe zabezpieczenia Internetu i urządzeń w sektorze cywilnym powinny być prawdziwym powodem do zmartwień, zwłaszcza w przypadku strategicznej infrastruktury energetycznej. Na tym polu jest tyle do zrobienia, że bez cienia wątpliwości można stwierdzić, że dopiero teraz idą złote czasy dla specjalistów od zabezpieczeń. Ażeby poczuć się bezpieczeniej i nie zostać celową lub przypadkową ofiarą cyberataku, już dziż zmieniajmy fabryczne hasła wszystkiego, co podłączamy do Internetu.