Z historii incydentów internetowych w Estonii (2007) i Gruzji (2008) nie wynika, aby w prowadzone wówczas ataki Distributed Denial of Service były zaangażowane służby państwowe Federacji Rosyjskiej, pomimo że taki związek wydawał się oczywisty ze względu na zaangażowanie Rosji w te konflikty w świecie rzeczywistym. W obu przypadkach analizy prowadzone po fakcie wskazywały raczej na pospolite ruszenie internautów, eskalowane przez sieciowe media i serwisy społecznościowe, a wykonaniem technicznym nie różniły się one specjalnie od zwoływanych w identyczny sposób lokalnych ataków DDoS na mniejszą skalę (np. polska kampania przeciwko Redwatch w 2008 r.). W szczególności nie znalazły potwierdzenia informacje o atakach na Gruzję prowadzonych przez rosyjskich operatorów internetowych przez rozgłaszanie fałszywych prefiksów BGP, które w początkowej fazie konfliktu były traktowane również jako rzecz oczywista.

O wiele ciekawszy charakter mają incydenty związane z robakami Aurora (2009) i Stuxnet (2010). Ten pierwszy pokazał realną czarnorynkową wartość oraz zagrożenie wynikające z nowych, nieznanych jeszcze dziur w aplikacjach ("zero day"). Nietypowy był również fakt, że atak wydawał się skierowany wyłącznie w grupę amerykańskich firm z sektora zaawansowanych technologii zamiast bezmyślnego wysyłania milionów listów do przypadkowych odbiorców według strategii klasycznych spammerów i phisherów. Publiczne zarzuty o związki operatorów ataku z chińskim rządem pojawiły się zarówno ze strony poszkodowanych firm, jak i amerykańskiego rządu, co było faktem niespotykanym, i to pomimo że informacje o zorganizowanych włamaniach do amerykańskich sieci rządowych pojawiały się już od 2003 r. (operacja "Titan Rain").

Nowy typ ataku

Materiałem na dobry film sensacyjny są natomiast wnioski, które zaczęto wyciągać na podstawie analizy działania i kodu Stuxneta. Ciekawostką było to, że wyspecjalizował się on w systemach kontroli przemysłowej (SCADA). Początkowo sądzono więc, że jest to techniczny element działań związanych ze szpiegostwem przemysłowym. Później jednak mogliśmy obserwować rozkwit teorii spiskowych. Obecnie jedna z ciekawszych jest taka, że Stuxnet jest wirusem napisanym w Izraelu, mającym na celu zakłócenie pracy irańskich ośrodków jądrowych w Natanz i Buszehr. W kodzie znaleziono napis "19790509", który musi być zakodowaną datą zamordowania w Iranie żydowskiego biznesmena Habiba Elghaniana, a do tego robak tworzy plik, w którego ścieżce są słowa "guava" (guajawa) "myrtus" (mirt), czyli po hebrajsku hadassah, co jest także imieniem biblijnej Estery, która zniweczyła antyżydowski spisek króla Persji. No a przecież guajawa należy do rodziny mirtowatych. Niestety, mściciel nie spełnił swojej roli, bo w Iranie zainfekował jedynie ok. 60 tys. komputerów i według Siemensa, nie spowodował żadnych szkód w systemach przemysłowych, zaś prawdziwe spustoszenie sieje w Chinach, gdzie liczba infekcji sięga 6 mln.

Prawdopodobnie najważniejszą lekcją z epidemii Stuxnet jest to, że organizacje powinny objąć standardowymi procedurami bezpieczeństwa teleinformatycznego dotychczasowe "święte krowy", czyli systemy kontroli przemysłowej. Na podstawie wcześniejszych doświadczeń warto też po raz kolejny przypomnieć o sieciach urządzeń medycznych oraz urządzeniach "embedded", takich jak bankomaty i komputery wyborcze.

A o prawdziwej naturze incydentów znanych obecnie jako Aurora i Stuxnet dowiemy się zapewne za jakieś 50 lat, jeśli któryś z zainteresowanych rządów odtajni dokumenty opisujące je z pozycji autora lub celu, tak jak stało się to z fascynującą dokumentacją amerykańskiego projektu VENONA z lat 50. czy tunelu podsłuchowego pod Berlinem Zachodnim.