To tylko firma informatyczna...

Informacje o włamaniach do sieci komputerowych dawno przestały być sensacją. I nie może być inaczej, skoro np. Departament Obrony USA twierdzi, że próby ataków na jego sieć zdarzają się co chwila. Przypadek jednak, o którym agencje poinformowały 26 i 27 października br., był pod kilkoma względami wyjątkowy: zaatakowano, i to skutecznie, nie ministerstwo czy bank, lecz firmę informatyczną. Firmę-legendę, dla wielu będącą symbolem i wzorcem wszystkiego, co wiąże się z informatyką i jej okolicami. Co więcej, włamywacze, zanim ich zauważono, mieli buszować po komputerach tej firmy przez kilka miesięcy, co - gdyby było prawdą - należałoby uznać za sporą kompromitację.

Informacje o włamaniach do sieci komputerowych dawno przestały być sensacją. I nie może być inaczej, skoro np. Departament Obrony USA twierdzi, że próby ataków na jego sieć zdarzają się co chwila. Przypadek jednak, o którym agencje poinformowały 26 i 27 października br., był pod kilkoma względami wyjątkowy: zaatakowano, i to skutecznie, nie ministerstwo czy bank, lecz firmę informatyczną. Firmę-legendę, dla wielu będącą symbolem i wzorcem wszystkiego, co wiąże się z informatyką i jej okolicami. Co więcej, włamywacze, zanim ich zauważono, mieli buszować po komputerach tej firmy przez kilka miesięcy, co - gdyby było prawdą - należałoby uznać za sporą kompromitację.

Wielu zadawało sobie pytanie: skoro nawet sam wielki Microsoft nie potrafi się obronić, to co mogę zrobić ja, mały i biedny? Dzień później ten sam wątek podjęły firmy-hieny, powielając elektronicznie tę samą wątpliwość i dodając: no, chyba że skorzystasz z naszej niepowtarzalnej oferty...

Pierwsze, ogólne informacje przekazał rzecznik prasowy Microsoftu Rick Miller. Z jego wypowiedzi wynikało, że atak został wykryty przez personel odpowiedzialny za bezpieczeństwo w środę, 25 października. Atak ten określił on jako "akt szpiegostwa przemysłowego". Zapewnił jednocześnie, że nie nastąpiło naruszenie kodów źródłowych oprogramowania wytwarzanego przez Microsoft, a firma analizuje, w jaki sposób do tego mogło dojść. Przy okazji dodał, iż zestaw haseł udostępniających takie kody wysłano jednak z ich sieci na adres poczty elektronicznej w Petersburgu.

Co innego podawał Wall Street Journal, powołując się na własnych informatorów i źródła "wewnątrz firmy Microsoft". Według tych informacji, włamywacze korzystali z dostępu przez trzy miesiące i przechwycili znaczne ilości kodu źródłowego nowych wersji zarówno systemu operacyjnego Windows, jak i pakietu Office. Dziennik ten informował również, że do włamania użyto znanego od kilku miesięcy programu typu koń trojański o nazwie QAZ (od liter na pierwszym pionowym rzędzie klawiatury), wysłanego jako załącznik do przesyłki elektronicznej.

O powadze sytuacji świadczyło powołanie wewnętrznej komisji dochodzeniowej złożonej z 44 ekspertów ds. bezpieczeństwa, pod kierownictwem Howard Schmidt, byłego oficera dochodzeniowego Sił Lotniczych USA, obecnie szefa bezpieczeństwa w Microsofcie. Zawiadomiono FBI, które natychmiast rozpoczęło śledztwo. Dostęp do sieci firmowej na pewien czas odcięto nawet 39 tys. stałych pracowników firmy na całym świecie.

Przebywający w Szwecji szef Microsoftu Steve Ballmer powiedział agencji Reuters, że włamanie nie było niebezpieczne. Włamywacze nie uzyskali dostępu do istotnych danych, a FBI wezwano na wszelki wypadek. Kilka godzin później, w trakcie seminarium dla programistów i dziennikarzy, oświadczył jednak, iż jest oczywiste, że - jak się wyraził - "włamywacze mogli obejrzeć kody źródłowe".

Informacje te zamykają pierwszy etap sprawy. W prasie codziennej i specjalistycznej, w Internecie i w środkach przekazu pojawiły się niezliczone spekulacje. Wygłaszali je eksperci i profani, przedstawiciele firm informatycznych i politycy. Jak zwykle w takich przypadkach, to, że niewiele było wiadomo, nie powstrzymało nikogo przed wyciągnięciem daleko idących wniosków. Padało pytanie: dlaczego znany od lipca koń trojański QAZ, rozpoznawany przez wszystkie znane programy antywirusowe, nie został w tym przypadku wykryty? Ktoś sugerował - ponieważ programiści często wyłączają takie programy, gdyż zabierając część mocy obliczeniowej, spowalniają działanie komputerów. Inni próbowali domniemywać, co już mogło i co jeszcze może stać się z kodem źródłowym. Przedstawiciele firm i uczelni mających stały dostęp do części tego kodu twierdzili, że jest on zabezpieczony tylko hasłami i umieszczony na odrębnych serwerach, gdzie można go nie tylko czytać, ale i pobierać.

Niemal nikt nie zwrócił uwagi na to, że również 27 października zespół X-Force firmy Systems, zajmujący się bieżącym śledzeniem zagrożeń, ogłosił alarm piątego stopnia (w pięciostopniowej skali) w związku z wykryciem luki w części tłumaczącej kod Unicode w wersjach 4 i 5 programu Microsoft Internet Information Server. Błąd ten umożliwia konstruowanie, z użyciem znaków Unicode, adresów URL dających dostęp do zastrzeżonych zasobów sie- ciowych (błąd ten usunęła niezamierzenie poprawka mająca usunąć inny błąd, opublikowana przez Microsoft w sierpniu - niewiele osób ją jednak zastosowało).

Charakterystyczny dla tego etapu jest wątek rosyjski. Jeżeli włamywacze rzeczywiście jawnie wysłali coś do Petersburga, to byłaby to nieudolna próba odwrócenia podejrzeń, a zarazem wygodne dla ofiary tłumaczenie: włamał się nie byle kto, lecz specjaliści z Petersburga. Brak w tym już tylko wzmianki o słynnej od stuleci petersburskiej szkole matematycznej...

Po kilkudziesięciu godzinach ciszy rozpoczął się etap drugi. W tym czasie Microsoft mógł ustalić więcej faktów i przygotować obraz sytuacji na tyle szczegółowy, aby przekonać doń otoczenie, i na tyle ogólny, by nie powiedzieć zbyt wiele.

Zastosowano taktykę oddalenia źródeł problemu od firmowej sieci informatycznej i braku jego związku ze stosowaną w firmie polityką bezpieczeństwa. Dalej dano do zrozumienia, że kody źródłowe sztandarowych produktów firmy były poza zasięgiem atakujących. Nade wszystko jednak próbowano zminimalizować albo wykluczyć te nieszczęsne trzy miesią- ce obecności włamywaczy w sieci firmowej...

Według Microsoftu, koń trojański nie przedostał się do sieci firmowej, lecz trafił na domowy komputer jednego z pracowników, który łączył się z niego z firmą, co pozwoliło włamywaczom na zdobycie i - później - wykorzystanie hasła umożliwiającego dostęp do zasobów firmowych. Dalej - nieprawda, że trwało to tak długo. Wersja o tygodniach czy nawet miesiącach nie kontrolowanego dostępu wzięła się stąd, że specjaliści firmy niesłusznie skojarzyli tę sprawę z wcześniejszymi atakami, a szczególnie z alarmem wirusowym 21 września, kiedy na cały dzień trzeba było wyłączyć pocztę elektroniczną Microsoftu. Według nowej wersji - włamanie trwało tylko 12 dni (od 14 do 25 paździer- nika), a włamywacze natychmiast zostali wykryci i od początku byli obserwowani przez firmowe służby bezpieczeństwa. Kod źródłowy natomiast, do którego atakujący mogli mieć dostęp, nie dotyczy ani systemu operacyjnego Windows, ani pakietu Office, lecz oprogramowania, które miało trafić na rynek dopiero za kilka lat.

Ten sielankowy niemalże obraz kilka dni później został poważnie zmącony przez holenderskiego włamywacza komputerowego o pseudonimie Dimitri. Przedstawił on dziennikarzom dowody włamania na kilka serwerów Microsoftu już po 25 października, wykorzystując wspomnianą tu już słabość programu Internet Information Server. Twierdził on, że na dowód swego pobytu pozostawił krótki tekst zatytułowany: Hack The Planet. Poza tym mógł zorientować się w strukturze serwerów i skopiować zbiory z nazwami użytkowników i ich hasłami. Podał, że np. serwer domenowy nosi nazwę Houston, a wszystkie serwery są identycznie skonfigurowane i mają tak samo zorganizowaną pamięć dyskową.

Wystąpienie to spowodowało natychmiastową reakcję firmy. Jej rzecznik stwierdził, że włamanie miało miejsce, a włamywacz dotarł do komputera, na którym akurat nie zastosowano poprawki zabezpieczającej przed włamaniami. Komputer ten jednak, zdaniem rzecznika, był "półemerytem", którego jedynym zadaniem było kierowanie wywołań z sieci do innych zasobów firmowych. ("The whole purpose of it was a redirect server...").

Pozostaje kwestia - dotąd bez odpowiedzi - co z tego wynika dla użytkowników oprogramowania Microsoftu? Nawet przyjmując najgorszy - z punktu widzenia firmy - scenariusz, czyli kradzież znacznej ilości kodu źródłowego, trudno zakładać, że nagle pojawi się w obiegu np. fałszywy system operacyjny Windows. W wielu opiniach za bardziej prawdopodobne uważa się powstawanie podrobionych modułów systemowych, wzbogaconych jednak o różnego rodzaju furtki, umożliwiające włamania, przechwytywanie haseł itp. Nie można wykluczyć obrotu kradzionym kodem i pojawiania się różnych wersji poszczególnych modułów. Osobną kwestią pozostają tajemnice rozwiązań firmowych, będących wynikiem osiągnięć firmy, a zawarte - być może - w skradzionych kodach.

Wieloletnie doświadczenie, właśnie z zakresu programowania systemów operacyjnych i kompilatorów, podpowiada mi jednak, że sam kod źródłowy znaczy niewiele, jeżeli nie dysponuje się jednocześnie strukturami danych w zbiorach, bibliotekami, charakterystyką obiektów (chyba że Microsoft ich nie stosuje) i - nade wszystko - układami tabel systemowych. Próba zrozumienia programu napisanego przez kogoś jest przedsięwzięciem co najmniej tak pracochłonnym, jak samo jego tworzenie.

Znacznie bardzie niepokojące jest wrażenie braku systemowego podejścia do kwestii bezpieczeństwa, nad którym Microsoft jeszcze będzie musiał sporo popracować. Na szczęście, jest to tylko firma informatyczna, a nie np. bank.