Haker pracujący dla rządu

Z historii incydentów internetowych w Estonii (2007) i Gruzji (2008) nie wynika, aby w prowadzone wówczas ataki Distributed Denial of Service były zaangażowane służby państwowe Federacji Rosyjskiej pomimo, że taki związek wydawał się "oczywisty" ze względu na zaangażowanie Rosji w te konflikty "w świecie rzeczywistym". W obu przypadkach analizy prowadzone po fakcie wskazywały jednak raczej na pospolite ruszenie internautów, eskalowane przez sieciowe media i serwisy społecznościowe, a wykonaniem technicznym nie różniły się one specjalnie od zwoływanych w identyczny sposób lokalnych ataków DDoS na mniejszą skalę (np. polska kampania przeciwko Redwatch w 2008 r.). W szczególności nie znalazły potwierdzenia informacje o atakach na Gruzję prowadzonych przez rosyjskich operatorów internetowych przez rozgłaszanie fałszywych prefiksów BGP, które w początkowej fazie konfliktu były traktowane również jako rzecz oczywista.

Prawdopodobnie najważniejszą lekcją z epidemii wirusa Stuxnet jest to, że organizacje powinny objąć standardowymi procedurami bezpieczeństwa teleinformatycznego dotychczasowe "święte krowy", czyli systemy kontroli przemysłowej (SCADA).

O wiele ciekawszy charakter mają incydenty związane z robakami Aurora (2009) i Stuxnet (2010). Ten pierwszy pokazał realną czarnorynkową wartość oraz zagrożenie wynikające z nowych, nieznanych jeszcze dziur w aplikacjach ("zero day"). Nietypowy był również fakt, że atak wydawał się być skierowany wyłącznie w grupę amerykańskich firm z sektora zaawansowanych technologii zamiast bezmyślnego wysyłania milionów listów do przypadkowych odbiorców według strategii klasycznych spammerów i phisherów. Publiczne zarzuty o związki operatorów ataku z chińskim rządem pojawiły się zarówno ze strony poszkodowanych firm, jak i amerykańskiego rządu, co również było faktem dość niespotykanym i to pomimo, że informacje o tego typu zorganizowanych włamaniach do amerykańskich sieci rządowych pojawiały się już od 2003 r. - operacja "Titan Rain".

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Cyberwojna trwa na Bliskim Wschodzie

Nowy typ ataku

Materiałem na dobry film sensacyjny są natomiast wnioski, które zaczęto wyciągać na podstawie analizy działania i kodu Stuxneta. Ciekawostką było to, że wyspecjalizował się on systemach kontroli przemysłowej (SCADA). Początkowo sądzono więc, że jest to techniczny element działań związanych ze szpiegostwem przemysłowym. Później jednak mogliśmy obserwować rozkwit teorii spiskowych. Obecnie jedna z ciekawszych jest taka, że Stuxnet jest wirusem napisanym w Izraelu mającym na celu zakłócenie pracy irańskich ośrodków jądrowych w Natanz i Buszehr. W kodzie znaleziono napis "19790509", który musi być zakodowaną datą zamordowania w Iranie żydowskiego biznesmena Habiba Elghaniana a do tego robak tworzy plik, w którego ścieżce są słowa "guava" (guajawa) "myrtus" (mirt) , czyli po hebrajsku hadassah, co jest także imieniem biblijnej Estery, która zniweczyła antyżydowski spisek króla Persji. No a przecież guajawa należy do rodziny mirtowatych. Niestety, mściciel nie spełnił swojej roli bo w Iranie zainfekował jedynie ok. 60 tys. komputerów i według Siemensa nie spowodował żadnych szkód w systemach przemysłowych, zaś prawdziwe spustoszenie sieje w Chinach, gdzie liczba infekcji sięga 6 mln.

Całkiem niezły poziom oprogramowania, takiego jak botnet Zeus można tłumaczyć tym, że jego autorom udało się znaleźć niszę rynkową - ktoś chce płacić za ich usługi, więc oni mogą sobie pozwolić na doskonalenie produktu.

Prawdopodobnie najważniejszą lekcją z epidemii Stuxnet jest to, że organizacje powinny objąć standardowymi procedurami bezpieczeństwa teleinformatycznego dotychczasowe "święte krowy", czyli systemy kontroli przemysłowej. Na podstawie wcześniejszych doświadczeń warto też po raz kolejny przypomnieć o sieciach urządzeń medycznych oraz urządzeniach "embedded", takich jak bankomaty i komputery wyborcze.

A o prawdziwej naturze incydentów znanych obecnie jako Aurora i Stuxnet dowiemy się zapewne za jakieś 50 lat, jeśli któryś z zainteresowanych rządów odtajni dokumenty opisujące je z pozycji autora lub celu, tak jak stało się to z fascynującą dokumentacją amerykańskiego projektu VENONA z lat 50., czy tunelu podsłuchowego pod Berlinem Zachodnim.


TOP 200