Aleksandra SOWA, Natalia MARSZAŁEK: Bundestag przejrzysty dla hackerów?

TSF Jazz Radio

Bundestag przejrzysty dla hackerów?

Aleksandra SOWA

Badacz nowych mediów. Z kryptologiem Hansem Dobbertinem w Horst Görtz Institute for Information Security prowadziła jedne z najważniejszych europejskich badań dotyczących kryptologii oraz bezpieczeństwa w dziedzinie technologii informatycznych. Autorka licznych publikacji fachowych. Zajmowała się także m.in. redakcją internetową w ramach „Wahlkampftour” w kampanii wyborczej Gerharda Schroedera.

Ryc.: Fabien Clairefond

zobacz inne teksty autora

Natalia MARSZAŁEK

Absolwentka kierunku Bezpieczeństwo Wewnętrzne ze specjalnością bezpieczeństwo systemów i sieci teleinformatycznych. Czyta literaturę fantasy. Kocha Tatry. Pisze prozę.

zobacz inne teksty autora

Wciąż wracają obawy, że obce służby próbują zmanipulować wyniki wyborów. Niemieckich polityków paraliżuje strach, wybory do 27 Bundestagu wszakże tuż-tuż – piszą Aleksandra SOWA i Natalia MARSZAŁEK

.Po tym jak partia francuskiego kandydata na urząd prezydenta Emmanuela Macrona ogłosiła, że na kilka dni przed wyborami stała się celem zorganizowanych ataków[1] oraz że skradzione podczas nich dokumenty — zmieszane z fałszywymi — zostały opublikowane na Pastebinie, niektórym niemieckim politykom zachwiał się grunt pod nogami. Polityk Lars Klingbeil (MdB, członek Bundestagu) grzmiał na Twitterze, jak poważny jest to problem w kontekście zbliżających się wyborów do Bundestagu: „Naiwny jest ten, kto myśli, że coś takiego nie może przydarzyć się podczas niemieckich wyborów”, czytamy na jego profilu.

Pierwszy (upubliczniony) atak hakerski na Bundestag, podczas którego zostały skradzione maile niemieckich posłów, miał miejsce dwa lata temu. Na początku maja 2015 roku Federalny Urząd Ochrony Konstytucji niemieckiego Bundestagu i Federalny Urząd Bezpieczeństwa Informacji (Bundesamt für Sicherheit in der Informationstechnik, BSI) poinformowały o tym, że „zaatakowane zostały co najmniej dwa komputery z sieci Bundestagu”[2].

Chociaż BSI przejęła śledztwo w sprawie wydarzeń z 2015 roku, dyrektor BSI, Arne Schönbohm, nie przegapił żadnej okazji, aby podkreślić, że BSI nie ponosi odpowiedzialności za infrastrukturę IT niemieckiego Bundestagu, a tym samym nie jest odpowiedzialny za ataki. BSI wraz z zewnętrznym usługodawcą zbadała ten incydent i ujawniła kolejne nieprawidłowości i anomalie. Atak odpowiadał wzorowi typowego ataku APT: w pierwszej kolejności zakażone zostały pojedyncze komputery i te były następnie wykorzystywane jako brama do kolejnych ataków, przesyłania i pobierania dokumentów, infekowania złośliwym oprogramowaniem itp. Na podstawie analizy zdarzenia należy przyjąć, że sprawcy ukierunkowani byli na konkretne konta e-mail[3], podsumowało BSI, a wyniki badań opublikowano w raporcie Sytuacja bezpieczeństwa IT w Niemczech w 2015 roku. Sprawców nie udało się jednak zidentyfikować. Metody APT w swoich atakach używa większość grup cyberszpiegowskich, twierdzi BSI. A jej ocena cyberataku na Bundestag zajmuje „aż” pół strony w raporcie o bezpieczeństwie Niemiec[4].

Pomimo braku dowodów utrzymuje się, że rosyjscy hakerzy z polecenia Kremla chcieli wpłynąć na wyniki wyborów w Stanach Zjednoczonych, Francji, a teraz także w Niemczech. Chociaż autorów ataku ostatecznie nie ustalono (Jewgienij Kaspersky, szef firmy cyberbezpieczeństwa Kaspersky Lab, nie bez powodu uznał atrybucję za jedno z największych wyzwań dla bezpieczeństwa informacji), posłowie nadal obawiają się publikacji i wykorzystania — przez na przykład obcy wywiad — wrażliwej zawartości skradzionych e-maili w celu chociażby „demontażu” polityków i wpłynięcia w ten sposób na wyniki wyborów.

W systemach informatycznych Bundestagu odkryto wiele luk. Ruch internetowy może być bez większego wysiłku podsłuchiwany i rejestrowany.

Wedle do niedawna jeszcze tajnego raportu firmy Secunet, który powstał w lutym 2017 r. na zlecenie rządu niemieckiego, system IT Bundestagu jest również obecnie podatny na ataki hakerów. Raport mówi, że w systemach odkryto wiele luk, jak poinformowały telewizja NDR i czasopismo Süddeutsche Zeitung[5], a także Die Zeit[6] — otwarty dostęp do połączeń sieciowych i używanie przez posłów i ich pracowników różnorodnych urządzeń peryferyjnych, brak systemu zarządzania tymi urządzeniami, brak blokad instalacji i uruchomiania oprogramowania i aplikacji, otwarte porty USB. Ruch internetowy może być bez większego wysiłku podsłuchiwany i rejestrowany. Hakerzy mogą tak uzyskać dostęp do sieci Bundestagu poprzez zainfekowanie złośliwym oprogramowaniem urządzeń deputowanych i pracowników.

Lecz również w kontekście „tajności” raportu nasuwają się natychmiast dwa interesujące pytania dotyczące bezpieczeństwa. Po pierwsze, jeśli dokument jest rzeczywiście „tajny”, dlaczego dowiadujemy się o tym z prasy? A po drugie, dlaczego raport na temat bezpieczeństwa infrastruktury IT Bundestagu jest w ogóle tajemnicą? Czy obywatel nie ma prawa wiedzieć, jak mają się sprawy bezpieczeństwa reprezentatywnego ciała w Niemczech? I chodzi tu o wiedzę bezpośrednio od Bundestagu, a nie tylko z gazety, Pastebinu czy WikiLeaks.

Zamiast tego w raporcie krytykuje się, że członkowie Bundestagu korzystają w pracy ze swojego prywatnego sprzętu, różnych urządzeń peryferyjnych czy niecertyfikowanego oprogramowania i aplikacji. Praktycznie bez kontroli. Ale chociaż od niektórych posłów powinniśmy oczekiwać więcej świadomości w zakresie bezpieczeństwa — szczególnie od tych, którzy kładą nacisk na swoje „przywileje” i nie chcą legitymować się w bramie Bundestagu — przedstawiciele ludu w rządzie powinni jednak móc korzystać z dobrodziejstw IT i internetu w swojej pracy. Nalegania parlamentarzystów na niekontrolowany dostęp do Bundestagu są problemem nie tylko dla strażników, którzy są „przeklinani i obrażani”, jak pisze Hans-Martin Tillack w Sternie[7], ale mogą też zagrażać bezpieczeństwu Reichstagu. Tak jak w tradycyjnym bezpieczeństwie, w kwestii cyberbezpieczeństwa zasada „albo-albo” nie ma już zastosowania. Wcześniej twierdzono, że sukcesywna ochrona infrastruktury IT przed stratami zależy tylko od łatwości obsługi (usability). Skończyło się na tym, że systemy nie były ani przystępne, ani bezpieczne. „Keep things human”, dlatego dyrektor brytyjskiej agencji wywiadowczej GCHQ Ciaran Martin zaleca: uproszczenie procedur nawet kosztem nieco niższego bezpieczeństwa, byleby ludzie się w ogóle do reguł stosowali[8].

Arne Schönbohm, szef BSI, w trakcie Forum Polityki Bezpieczeństwa NRW, wskazując na publiczność, mówił o człowieku jako słabym ogniwie („Ilu ma program antywirusowy w telefonie?”, pytał) i podkreślał: „My, siedzący tu, jesteśmy największą słabością, ponieważ nie zostaliśmy odpowiednio uświadomieni”. Bruce Schneier wyjaśnia[9] jednak, że problemem nie jest użytkownik — tak więc w przypadku Bundestagu: ani poseł, ani jego referent. Bezpieczeństwo jest połączeniem technologii, procesów i ludzi. „Chmury” nie są niczym więcej niż pomieszczeniem pełnym serwerów, chłodzonych, wentylowanych, chronionych, do których dostęp, wstęp i ingerencja powinny być ograniczone uprawnieniami. Zarządzanie hasłami mogłoby zostać uproszczone i zaprojektowane tak, że nie trzeba by tworzyć nowego hasła dla każdego systemu (potem, jako że trudno zapamiętać taką liczbę haseł, zapisuje się je w przeglądarce na komputerze lub na smartfonie — i tragedia gotowa) lub używać tego samego hasła do wszystkich systemów. Załączniki do poczty (czy to zainfekowane, czy czyste) mogą zostać otwarte w zabezpieczonej chmurze, gdzie ewentualne złośliwe oprogramowanie nie uszkodzi infrastruktury IT ani żadnego z urządzeń peryferyjnych. To samo możliwe jest w przypadku aplikacji i oprogramowania.

„Stop trying to fix the user”, grzmiał na swoim blogu amerykański spec od bezpieczeństwa Bruce Schneier. Oczywiście, że posłowie nie powinni używać całkowicie niezabezpieczonego prywatnego sprzętu, jednak nierozsądne byłoby powiedzieć teraz ludziom, że nie powinni klikać linków, skoro przez dwadzieścia ostatnich lat starano się ich do tego właśnie przyzwyczaić, mówi Schneier.

A jeśli chodzi o uświadamianie, to rzeczywiście istnieją lepsze sposoby niż blokowanie portów USB. Specom od bezpieczeństwa zabrakło wyobraźni i okazało się, że najeżona zabezpieczeniami twierdza ma z tyłu furtkę zamykaną na drewniany skobelek. Mur można zburzyć, tłumaczy Martin, czasami wystarczy coś tak trywialnego, jak monitorowanie nieprawidłowości w zasilaniu, aby złapać napastników in flagranti. Niemieckie partie i rząd mają jeszcze cztery i pół miesiąca do wyborów we wrześniu, aby uzbroić się na wypadek ataku, niezależnie od tego, skąd nadejdzie. Czas na poprawę procesów, dostosowanie przebiegu ich pracy itp.

Na razie Bundestag zaopatrzono w nowy firewall. Koszt: 470 000 euro[10].

Christoph Fischer, który ze swoją firmą badał atak na Bundestag w 2015 r., ostrzega, że jeśli ktoś planuje atak na Bundestag, to już pewnie i tak jedną nogą jest w progu[11]. W przypadku szpiegujących podmiotów państwowych musimy spodziewać się high-tech. Programami węszącymi nie tylko na twardym dysku, ale i sprytnie zagnieżdżonymi w pamięci. Ponadto takie złośliwe oprogramowanie jest szyfrowane, co sprawia, że niezwykle trudno je wykryć. I jest jeszcze jedna rzecz, z którą musimy nauczyć się żyć, jak pisze autor SF, Rafał Kosik[12]: „Jakkolwiek zaawansowana by była technologia chroniąca nasze tajemnice, zawsze gdzieś w kluczowym miejscu jest pan Henio, który wyjdzie na papierosa i zostawi uchylone drzwi”.

Aleksandra Sowa
Natalia Marszałek

[1] Morenne, B. 2017. Macron Hacking Attack: What We Know and Don’t Know. NYT, 2.5.2017, https://www.nytimes.com/2017/05/06/world/europe/emmanuel-macron-hacking-attack-what-we-know-and-dont-know.html (dostęp: 15.5.2017). [2] BSI. 2016. Die Lage der IT-Sicherheit in Deutschland 2015. Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, Nov. 2015, s. 26. [3] Ibidem. [4] Ibidem. [5] Pinkert, H. und Tanriverdi, H. 2017. Zahlreiche Sicherheitslücken im Netzwerk des Bundestags. Süddeutsche Zeitung, 12.4.2017 http://www.sueddeutsche.de/digital/it-sicherheit-zahlreiche-sicherheitsluecken-im-netzwerk-des-bundestags-1.3462578 (dostęp: 15.5.2017). [6] Zeit Online. 2017. Zahlreiche Sicherheitslücken in der Bundestags-IT. Zeit Online, 13.4.2017, http://www.zeit.de/digital/2017-04/netzwerk-deutscher-bundestag-sicherheitsluecken-it-berlin (dostęp: 15.5.2017). [7] Tillack, H.-M. 2017. Posse um Ausweispflicht: Wenn Abgeordnete die Pförtner beschimpfen. Stern, 6.12.2016, http://www.stern.de/politik/deutschland/bundestag–posse-um-ausweispflicht—abgeordnete-beschimpfen-pfoertner-7226592.html (dostęp: 15.5.2017). [8] Wired. 2016. How you can protect yourself. Wired Magazine, May 2016, P 120. [9] Schneier, B. 2016. Security Design: Stop Trying to Fix the User. Schneier on Security, 3.10.2016, https://www.schneier.com/blog/archives/2016/10/security_design.html (dostęp: 15.5.2017). [10] Zeit Online. 2017. Zahlreiche Sicherheitslücken in der Bundestags-IT. Zeit Online, 13.4.2017, http://www.zeit.de/digital/2017-04/netzwerk-deutscher-bundestag-sicherheitsluecken-it-berlin (dostęp: 15.5.2017). [11] Fischer, C. 2017. Greifen Hacker auch die Bundestagswahl ein? Wired, 01.2017, s. 40–41. [12] Kosik, 2016, Nic się nie ukryje, Rafał Kosik (oficjalna strona), 3.10.2016, http://rafalkosik.com/nic-do-ukrycia (dostęp: 15.5.2017).

Pierwszy raz na Wszystko Co Najważniejsze?

Aby nie ominąć istotnych tekstów, raz w tygodniu w niedzielę rano wysyłamy newsletter. Zapraszamy do zapisania się:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Magazyn idei "Wszystko Co Najważniejsze" oczekuje na Państwa w EMPIKach w całym kraju, w Księgarni Polskiej w Paryżu na Saint-Germain, naprawdę dobrych księgarniach w Polsce i ośrodkach polonijnych, a także w miejscach najważniejszych debat, dyskusji, kongresów i miejscach wykuwania idei.

Aktualne oraz wcześniejsze wydania dostępne są także wysyłkowo.

zamawiam