"Bezpieczeństwo w roku kozy"
Aleksandra SOWA
Kto mieczem wojuje, od miecza ginie (Mt 26,52)
.Atakiem hakerskim, który wywołał w 2015 roku największe zażenowanie, była prawdopodobnie kradzież danych z Ashley Madison — portalu internetowego wyspecjalizowanego w zapewnianiu dyskretnych alibi na czas prywatnych „przygód” swoich klientów. Oszuści z Ashley Madison zostali oszukani — cynicznie skomentował całą sytuację magazyn Wired[1]. Dane klientów portalu zostały nie tylko skradzione, ale również opublikowane. Kilka rozwodów i rozstań, rozbitych rodzin i karier uwieńczyło tymczasowo koniec tej historii.
Najbardziej karkołomny atak roku 2015 to skuteczne włamanie i kradzież danych z firmy Hacking Team, włoskiej firmy ukierunkowanej na specjalistyczne technologie nadzoru, oprogramowanie szpiegujące i zlecenia hakerskie, której klientami są m.in. państwa-reżimy. Firma bywała w przeszłości krytykowana przez środowisko hakerskie, głównie ze względu na nieetyczne metody pracy i współpracę z represyjnymi, reżimowymi rządami (firma stanowczo temu zaprzeczała).
Zespół Hacking Team wykorzystywał luki w systemach, aby umożliwić rządom podsłuchiwanie i wychwytywanie dysydentów, ale nie zadbał o wystarczającą ochronę własnych systemów informatycznych.
.Skradzione dane klientów zostały upublicznione. Okazało się, że do klientów Hacking Team należały takie kraje, jak Azerbejdżan, Bahrajn, Egipt, Etiopia, Kazachstan, Maroko, Nigeria, Oman, Arabia Saudyjska, Sudan, a także niektóre urzędy w USA. Problem w tym, że niezadowolonymi klientami nie byli, jak w przypadku Ashley Madison, niewierni małżonkowie, lecz reżimy wojskowe. Firma najprawdopodobniej „nie przeżyje” tego ataku — komentował amerykański specjalista od bezpieczeństwa Bruce Schneier. I to dosłownie.
W rankingu nie może zabraknąć też najmniej spektakularnego ataku roku 2015, jakim niewątpliwie był hakerski atak na niemiecki Bundestag (Bundestags-Hack[2]). Nie tylko nie opublikowano dotychczas skradzionych danych (może nie było wśród nich nic wartego publikacji?) — atak jest przemilczany, szczególnie przez tradycyjne media. Być może dlatego, że za sprawne funkcjonowanie Bundestagu (w tym również infrastrukturę informatyczną) odpowiadająca Rada Starszych, tzw. Ältestenrat, nie jest do końca świadoma skutków ataku i poświęca mu niewiele uwagi.
Ze względu na niewiele informacji i medialną „ciszę” wokół ataku pozostaje wiele miejsca na spekulacje i teorie spiskowe. Wedle zasady najsłynniejszego fikcyjnego detektywa Sherlocka Holmesa: „Jeśli wykluczy się niemożliwe, to, co pozostanie, choćby całkiem nieprawdopodobne, musi być prawdą”.
Wedle dotychczasowych doniesień ataku dokonano metodą phishingową, poprzez maile fałszywego nadawcy, podającego się za Organizację Narodów Zjednoczonych (un.org)[3]. Po ujawnieniu ataku wymieniono operatora infrastruktury IT Bundestagu. Nadal jednak trudno o informacje o tym, co, kiedy i przez kogo zostało skradzione. Zresztą nie tylko opinia publiczna jest skromnie informowana; parlamentarzyści są oburzeni, że o fakcie ataku i wynikach jego analizy nie zostali natychmiast poinformowani.
.W Raporcie o stanie bezpieczeństwa IT w Niemczech w 2015 roku (Bericht über die Lage der IT-Sicherheit in Deutschland 2015) opracowywanym przez BSI (Federalny Urząd ds. Bezpieczeństwa w technologii informacyjnej), który notabene zajmował się badaniem i analizą samego ataku, wzmianka o nim zajęła pół strony (z 52 stron, mniej więcej tyle samo miejsca BSI poświęciło na informacje o ataku na francuską stację telewizyjną TV5 Monde). Dowiadujemy się tam, że atak ten był „typowym” atakiem APT.
Najpierw złośliwym malware’em zainfekowano pojedyncze komputery. To umożliwiło ściągnięcie i instalację kolejnych narzędzi, które z kolei umożliwiły dostęp do systemu Bundestagu: „Były to ogólnie dostępne i wykorzystywane przez wiele grup przestępczych narzędzia” — pisało BSI w swoim raporcie. Dzięki nim możliwy stał się dostęp do kont systemowych i dalsze rozpowszechnienie oprogramowania. BSI określiło tę metodę jako „lateral movement”.
W ten sposób droga do rozpowszechnienia szkodliwego oprogramowania w całej wewnętrznej sieci Bundestagu stanęła dla hakerów otworem. W niektórych systemach zainstalowano tzw. backdoor, które umożliwiały ciągły dostęp i instalacje dalszych „narzędzi ataku i złośliwego oprogramowania, takiego jak keyloggery do wyłapywania wpisów na klawiaturze i robienia zrzutów ekranu”. Znaleziono również „samodzielnie napisane skrypty do wyłapywania określonych typów plików”. Analitykom udało się ustalić, że „sprawcy ukierunkowali się na konkretne skrzynki poczty e-mail”. Czyje? Nie piszą.
To tyle, jeśli chodzi o pogłoski, kto kryje się za atakami. BSI trudności z wykryciem sprawców uzasadnia częściowo tym, że wykorzystano ogólnie dostępne złośliwe oprogramowanie i powszechnie znane metody, z których korzystają zarówno przygodni, jak i profesjonalni hakerzy.
Na szczęście napastnicy popełnili kilka błędów, umożliwiając BSI wykrycie ich działalności. Kluczowy dowód na włamanie do Bundestagu pojawił się w maju 2015 r. Zgłosił go Federalny Urząd Ochrony Konstytucji (BfV). W tym czasie centralne systemy były już prawdopodobnie skompromitowane.
.Mimo iż niemiecki rząd najwyraźniej nie ustalił jeszcze, kto lub co mu zagraża, niemiecka polityka wydaje się być przekonana, że posiada już remedium na zagrożenie związane z przestępczością w sieci, terroryzmem i szpiegostwem. Mianowicie odebranie — a przynajmniej ograniczenie —dotychczas traktowanych jako nienaruszalne praw i wolności. Nawet złośliwy internetowy trolling da się w ten sposób pokonać — przekonuje była minister Renate Künast[4].
Na przykład anonimowość w Internecie to „święta krowa dla wielu nerdów”, cytuje prawnika Geralda Spindlera dziennikarz Stefan Kremp na witrynie heise.de. Spindler był m.in. w 2006 roku upoważniony przez Komisję Europejską do przeprowadzenia ogólnoeuropejskiego przeglądu dyrektywy o handlu elektronicznym; był również ekspertem w „licznych przesłuchaniach w Bundestagu związanych z prawami autorskimi i prawem o ochronie danych”. W grudniu na konferencji „Die Zukunft des Urheberrechts” w Berlinie Gerald Spindler twierdził, że anonimowości należy wreszcie „ukrócić głowę”. Zdaniem prawnika anonimowość nie jest podstawowym prawem konstytucyjnym, bo „nie znalazł nic takiego ani w niemieckim Grundgesetz ani w odpowiednich orzeczeniach Trybunału Konstytucyjnego”.
Podobną tendencję można rozpoznać w przedstawionym przez wicekanclerza Sigmara Gabriela i prezydium socjaldemokracji (SPD) dokumencie Starke Ideen für Deutschland 2025, który ma być podstawą do dyskusji na temat przyszłego programu niemieckich socjaldemokratów. W nim to właśnie bezpieczeństwo określono mianem „prawa obywatelskiego”. Mediom nie umknęło, że termin „bezpieczeństwo” pojawia się w tym dokumencie częściej niż np. uznawany za najwyższą wartość dla socjaldemokratów termin „sprawiedliwość”. Podstawowe demokratyczne wartości odgrywają wedle krytyków z tych szeregów partii w dokumencie „obok przestępczości, terroryzmu i wojny […] raczej marginalną rolę”[5].
W magazinie Stern przewodniczący grupy parlamentarnej SPD, Thomas Oppermann, nie podziela najwyraźniej powyższych poglądów: „Idea wolności jest silniejsza od idei terroryzmu”, mówi. „Absolutne bezpieczeństwo nie może istnieć w wolnym kraju. Ludzie o tym wiedzą”. Cytuje również ostatnio coraz popularniejsze słowa Benjamina Franklina: „Ci, którzy rezygnują z wolności w imię bezpieczeństwa, tracą i jedno, i drugie”[6].
.Być może najbardziej ekscytującą i decydującą kwestią w odniesieniu do bezpieczeństwa w Niemczech będzie w najbliższej przyszłości pytanie, kogo SPD wystawi jako kandydata na kanclerza. W 2017 roku odbędą się kolejne wybory parlamentarne. Jednak do tego czasu pozostał jeszcze ponad rok. A będzie to rok dzikiej i pewnej siebie Małpy, który może przynieść naprawdę ekscytującą i nietypową kampanię wyborczą.
Aleksandra Sowa
[1] Zetter, K. 2015. „Security‘s Biggest Winners and Losers in 2015”, in: Wired Magazine, 28.12.2015, http://www.wired.com/2015/12/securitys-biggest-winners-and-losers-in-2015/ (6.1.2016).
[2] http://www.heise.de/thema/Bundestags_Hack (6.1.2016).
[3] Heise Online. 2015. „Bundestag-Hack war ein Phishing-Angriff über un.org”, 12.9.2015, http://www.heise.de/newsticker/meldung/Bundestag-Hack-war-ein-Phishing-Angriff-ueber-un-org-2811847.html (6.1.2016).
[4] Sowa, A. 2015. „Anonymität im Internet. Heilige Kuh der Demokratie schlachten”, in The European, http://www.theeuropean.de/aleksandra-sowa–2/10596-anonymitaet-im-internet, 14.12.2015 (6.1.2016).
[5] Von Olberg, R. 2015. „Wer Sicherheit will, darf von Gerechtigkeit und Solidarität nicht schweigen”, Neue Gesellschaft – Frankfurter Hefte (12/2015), S. 48-51.
[6] Stern. 2016. „Jetzt nur keine Hysterie”, ein Interview mit Thomas Oppermann in Stern 2/2016, S. 97-98.
