Wojny w cyberprzestrzeni
-
- Tadeusz Włodarczyk,
- 19.06.2012
Operację zablokowania dostaw gazu i elektryczności do miasta lub całego państwa będzie można przeprowadzić zdalnie z dowolnego miejsca na świecie, wykrycie i ukaranie sprawców będzie praktycznie niemożliwe. Nie przypadkiem Stany Zjednoczone chcą szybko podpisać z Rosją memorandum o niewykorzystywaniu w ramach działań wojennych ataków w cyberprzestrzeni, podobne do tego o niewykorzystywaniu broni jądrowej.
By minimalizować prawdopodobieństwo możliwości przeprowadzenia skutecznego ataku i nie stać się, choćby przypadkową, ofiarą cyberwojny (a takie były przy okazji ataków Stuxnetem), potrzebna jest zmiana priorytetów oraz wdrożenie nowego podejścia do budowania systemów bezpieczeństwa w sieciach SCADA. Zaufanie do technologii zabezpieczeń zostało naruszone. Programy antywirusowe, zapory sieciowe nie są dziś gotowe na wykrywanie ataków realizowanych za pomocą podatności "zero day". Opisywane wirusy, mimo wykrycia i opisania, nie przestały być niebezpieczne; kiedy zajdzie taka potrzeba zostaną załadowane nowymi podatnościami i wystrzelone do nowego celu.
Twórcy aplikacji systemowych, użytkowych i bazodanowych nie panują nad komplikacją tworzonego przez siebie kodu. Dlatego, jak się przypuszcza, firmy zajmujące się bezpieczeństwem nie są w stanie wykryć i załatać co najmniej jednej czwartej wszystkich podatności, które są znane w podziemiu przestępczym.
Co w takim razie robić? Należy podjąć działania, w celu ograniczania liczby interfejsów (sieciowych, USB itp.) oraz funkcjonalności, przez które infekcja może trafić do naprawdę ważnych systemów informatycznych. Priorytetem powinno być ograniczenie obszaru ryzyka. Drugim wyzwaniem jest zapewnienie jak najszybszego wykrywania infekcji, co można osiągnąć poprzez uszczelnianie i bieżące analizowanie komunikacji w punktach styku pomiędzy sieciami biznesowymi a sieciami SCADA, a także przez instalację systemów (np. honeypot) służących wykrywaniu infekcji wewnątrz segmentu sieci SCADA. Zmienić się musi również sposób budowy systemów SCADA. W przyszłości muszą one zapewniać możliwość instalacji poprawek i aktualizacji bez ryzyka utraty ciągłości ich działania.
Ochronie infrastruktury o krytycznym znaczeniu dla państwa przed atakiem z cyberprzestrzeni będzie poświęcona tegoroczna konferencja "Wolność i Bezpieczeństwo", organizowana we Wrocławiu w dniach 19-21 września przez Computerworld, Instytut Mikromakro i Fundację Bezpieczna Cyberprzestrzeń. Patronat nad konferencją objął szef Biura Bezpieczeństwa Narodowego gen. Stanisław Koziej. W trakcie konferencji zostaną przeprowadzone po raz pierwszy w Polsce ćwiczenia z obrony infrastruktury krytycznej, w których udział wezmą m.in. Ministerstwo Obrony Narodowej, Rządowe Centrum Bezpieczeństwa, Komenda Główna Policji, PSE-Operator, RWE Polska, Gaz-System, Wojskowa Akademia Techniczna, Politechnika Wrocławska. Autor tekstu jest członkiem zespołu przygotowującego program ćwiczeń.
Na początku czerwca dziennik The New York Times podał, że Stuxnet powstał na zlecenie administracji amerykańskiej. Był częścią operacji uderzenia cybernetycznego na Iran, zatwierdzonej przez ówczesnego prezydenta George’a W. Busha, która zyskała także aprobatę Baracka Obamy po przejęciu przez niego urzędu.
Początek operacji o kryptonimie Igrzyska Olimpijskie sięga roku 2006, kiedy Iran wycofał się z negocjacji z Zachodem w sprawie przerwania irańskiego programu budowy instalacji atomowych. Irańczycy ponownie uruchomili podziemne zakłady w Natanz, położonego o kilkanaście kilometrów od elektrowni jądrowej w Buszehr.
Frakcja "jastrzębi" w amerykańskiej administracji próbowała nawet przekonać prezydenta Busha do operacji militarnej w Iranie. Ale mogłoby to doprowadzić do dalszego zaognienia sytuacji na Bliskim Wschodzie, tym bardziej że wiarygodność Amerykanów znacznie ucierpiała, kiedy po inwazji na Irak nie odkryto śladów instalacji do produkcji broni jądrowej czy chemicznej.
CIA już wcześniej podjęła próby sabotażu w odkrytych trzy lata wcześniej tajnych zakładach oczyszczania uranu w Natanz, ale nie przyniosły one rezultatu. Hale zostały zbudowane osiem metrów pod ziemią. Mają podwójne betonowe ściany o grubości kilku metrów, a w 2004 dodatkowo zostały przykryte ponad 20-metrową warstwą ziemi.
Generał James E. Cartwright, który utworzył wcześniej w amerykańskim Dowództwie Strategicznym grupę cybernetyczną wraz z szefami CIA zaproponował Bushowi przeprowadzenie o wiele bardziej złożonej i wyrafinowanej operacji w cyberprzestrzeni od wszystkich poprzednich. Jej elementami były wirusy Duqu i Stuxnet. W ich opracowaniu najprawdopodobniej uczestniczyli także specjaliści z Izraela. Suxnet spowodował zniszczenie co najmniej 1 tys. wirówek w Natanz.
Według analityków firmy Kaspersky Lab, która miała swój udział w wykryciu wirusów, Flamer został opracowany w ramach tej samej operacji co Stuxnet, choć musiała go przygotować inna grupa programistów. Irański CERT przyznał na swojej stronie internetowej, że Flamer jest potencjalnie jeszcze groźniejszy niż Stuxnet. W kwietniu br., kiedy cyberatak doprowadził do zniszczenia danych irańskiego Ministerstwa ds. Ropy, Iran odciął połączenie swoich terminali naftowych z internetem.
