Firmy T.J. Maxx i Citibank przekonały się boleśnie, co może się stać, gdy przestępcy działający z odległości tysięcy kilometrów zagną na nas parol. Biorąc pod uwagę oczywiste zagrożenia, można by pomyśleć, że przed podłączeniem wszystkiego, co działa na prąd, do globalnej sieci informatycznej wskazana byłaby pewna ostrożność, a jednak wciąż zakochujemy się coraz bardziej we wszystkich nowinkach technicznych.
Jesteśmy coraz bardziej podłączeni do różnych systemów komputerowych w sposób, którego nawet nie rozumiemy. Co więcej, połączenia są niegodne zaufania i podatne na zagrożenia — stanowią więc kiepski fundament społeczeństwa informacyjnego XXI wieku, a mimo to na nim właśnie próbujemy je budować.
Nie dość, że nasze domowe i firmowe komputery są przez cały czas podłączone do internetu, to jeszcze tak samo jest w przypadku najważniejszych infrastruktur, od których zależy funkcjonowanie współczesnego społeczeństwa.
Sieć energetyczna, gazociągi, system dyspozytorski centrum powiadamiania alarmowego, system kontroli lotów, sieć komputerowa giełdy papierów wartościowych, wodociągi, oświetlenie uliczne, szpitale i systemy sanitarne: wszystko to jest oparte na technologii komputerowej i nie funkcjonuje bez internetu.
W tym nowym, wspaniałym świecie usunęliśmy człowieka z systemu i osią cywilizacji uczyniliśmy maszyny. Karty kredytowe, terminale płatnicze w sklepach i bankomaty — urządzenia podtrzymujące działanie światowego handlu i kapitalizmu — natychmiast przestałyby działać, gdyby zabrakło sterujących siecią komputerów. To komputery decydują o tym, w jaki sposób, gdzie i kiedy przesłać energię elektryczną, żeby utrzymać stabilność sieci energetycznej. Wspomagane komputerowo systemu dyspozytorskie śledzą położenie radiowozów, karetek i wozów strażackich, żeby dyspozytorzy zawsze wiedzieli, które z nich są dostępne i znajdują się najbliżej miejsca zdarzenia. Aby się przekonać, jak mógłby wyglądać ten dystopijny świat bez komputerów i elektryczności, wystarczy włączyć któryś z seriali telewizyjnych albo filmów przedstawiających scenariusze technologicznej katastrofy połączonej z apokalipsą zombi, takich jak Żywe trupy, Planeta małp albo Szklana pułapka 4.0. Pomijając hollywoodzkie scenariusze, nasze najważniejsze infrastruktury informatyczne zbudowane z komputerów są coraz częściej atakowane i bardzo podatne na katastrofy systemowe, które mogą mieć naprawdę opłakane skutki.
Większość ważnych infrastruktur na świecie wykorzystuje systemy kontroli i pozyskiwania danych (ang. supervisory control and data acquisition, SCADA). Systemy te „automatycznie monitorują i regulują przełączanie, produkcję i inne czynności kontroli procesów, wykorzystując do tego celu dane cyfrowe zbierane przez czujniki”[i]. Są to wyspecjalizowane, często stosunkowo stare systemy komputerowe sprawujące kontrolę nad fizycznymi elementami infrastruktury, które robią dosłownie wszystko, zaczynając od wyznaczania tras pociągów, a kończąc na rozsyłaniu energii elektrycznej w mieście. Systemy SCADA coraz częściej są połączone z internetem, z czego wynikają poważne implikacje w zakresie naszego bezpieczeństwa. Niestety nie zostały one zaprojektowane z uwzględnieniem spraw bezpieczeństwa ani z myślą o odporności na zagrożenia płynące z internetowego świata.
Problem jest poważniejszy, niż myślisz: w badaniu przeprowadzonym w lipcu 2014 roku wśród firm obsługujących najważniejsze infrastruktury w różnych sektorach ujawniono, że prawie 70% z nich doświadczyło w ciągu poprzednich 12 miesięcy poważnego naruszenia bezpieczeństwa skutkującego utratą poufnych danych i przerwaniem działalności[ii].
Co mógłby zrobić haker po uzyskaniu dostępu do takich systemów? Rozważmy przykład skomplikowanych systemów informatycznych sterujących pracą lokalnego zakładu uzdatniania wody. System SCADA przez cały czas analizuje i modyfikuje skład mieszanki substancji chemicznych dodawanych do wody w celu jej oczyszczenia i uczynienia zdatną do picia. Co by się stało, gdyby ktoś się do niego włamał? Czy haker nie mógłby domieszać do wody zbyt dużej ilości chemikaliów, żeby ją zatruć? To brzmi jak wymysł fantasty, ale znane są doniesienia o podobnym ataku na stację uzdatniania wody i oczyszczania ścieków w południowej części Houston w Teksasie. Poinformowała o tym stacja BBC w 2011 roku[iii]. Sądząc po adresie IP, sprawcy działali z Rosji, a ich ingerencja polegała na wielokrotnym włączaniu i wyłączaniu pompy, co doprowadziło do jej uszkodzenia. Choć na skutek tego ataku nikt nie ucierpiał, sama koncepcja jest wyraźnie widoczna.
Jakie jeszcze systemy mogą paść ofiarą takich nadużyć? Jak się okazuje, nawet niebo nie jest bezpieczne. Personel podlegającej Federalnej Administracji Lotnictwa (ang. Federal Aviation Administration, FAA) wieży kontrolnej w Worcester w stanie Massachusetts przekonał się o tym już w 1998 roku. Nastolatek z sąsiedztwa wykorzystał posiadaną wiedzę komputerową do zakłócania łączności między lądującymi samolotami i wieżą, a nawet wyłączył oświetlenie pasa startowego tuż przed lądowaniem samolotu[iv]. Choć nikt nie zginął, katastrofa była na wyciągnięcie ręki. Oczywiście ataków na ważne elementy infrastruktury na całym świecie było znacznie więcej. Jeden z najwcześniejszych nastąpił w 2001 roku w Maroochy Shire w australijskim stanie Queensland, gdzie haker zaatakował oczyszczalnię ścieków. Przejął kontrolę nad systemami przemysłowymi i spowodował „wyciek milionów litrów surowych ścieków na tereny lokalnych parków, do rzek, a nawet na działkę zajmowaną przez hotel Hyatt Regency”[v]. Skutkiem tego zdarzenia było zniszczenie dużej części flory i fauny w lokalnych wodach przybrzeżnych oraz zagrożenie ekologiczne dla mieszkańców miejscowości.
Prawdopodobnie jednym z najważniejszych systemów podatnych na ataki jest krajowa sieć energetyczna. Bez elektryczności przestają działać wszystkie udogodnienia naszego nowoczesnego świata, takie jak oświetlenie, windy, bankomaty, kierowanie ruchem ulicznym, metro, bramy garażowe, lodówki i dystrybutory paliwa na stacjach. A kiedy dojdzie do nieuchronnego wyczerpania się baterii i zabraknie paliwa w generatorach awaryjnych, przestaną działać także telefony komórkowe i internet.
Były amerykański sekretarz obrony Leon Panetta stwierdził: „następnym Pearl Harbor, z którym być może będziemy musieli się zmierzyć, może być paraliżujący cyberatak”[vi] na nasze systemy zasilania i sieć energetyczną.
Obawy Panetty potwierdzał i wzmacniał raport Departamentu Energetyki, w którym zauważono, że amerykańska sieć energetyczna — często nazywana najbardziej złożoną maszyną na świecie — łączy ze sobą 5800 elektrowni i składa się z prawie 725 tysięcy kilometrów linii wysokiego napięcia. Mimo to 70% kluczowych komponentów tej sieci ma ponad 25 lat[vii]. Każdy z nich pracuje pod kontrolą jeszcze starszych systemów SCADA, które mogą stać się łatwym celem ataku i w rzeczywistości często są brane na celownik przez cyberprzestępców.
Dochodzenie przeprowadzone przez Komisję Energetyki i Handlu Izby Reprezentantów ujawniło, że „ponad tuzin amerykańskich przedsiębiorstw użyteczności publicznej zgłaszało »codzienne«, »ciągłe« lub »częste« próby cyberataków, zaczynając od phishingu, przez infekcje złośliwym oprogramowaniem, kończąc na penetracji systemów. Jedno z przedsiębiorstw poinformowało, że co miesiąc było celem ponad 10 tysięcy ataków”[viii]. Raport kończy się konkluzją, że zagraniczne rządy, kryminaliści i przypadkowi hakerzy ciężko pracują, żeby przejąć kontrolę nad siecią. Ten wniosek jest zgodny z wcześniejszymi wypowiedziami przedstawicieli wywiadu, którzy w dzienniku „Wall Street Journal” potwierdzili, że cyberszpiedzy „spenetrowali sieć energetyczną Stanów Zjednoczonych i zostawili w niej programy, które mogą zostać użyte do jej zniszczenia”[ix]. Ci sami urzędnicy mówią też, że szpiedzy z Rosji i Chin podobno mają dokładny schemat amerykańskiej sieci, dzięki czemu w czasie kryzysu lub wojny ze Stanami Zjednoczonymi mogliby ją szybko sparaliżować.
Terroryści także mają plany cyfrowego ataku na amerykańską infrastrukturę. Latem 2012 roku FBI dotarło do filmu nagranego przez organizację As-Sahab (medialne skrzydło Al-Kaidy). Przywódcy terrorystów wzywają w nim swoich „ukrytych mudżahedinów do przeprowadzenia fali cyberataków na amerykańskie infrastruktury o największym znaczeniu, w tym sieci energetyczne[x]. Wcześniejsze śledztwa FBI ujawniły liczne przypadki badania przez Al-Kaidę celów i szpiegowania systemów obsługi numerów alarmowych, elektrowni, zakładów wodociągowych, elektrowni atomowych i sieci gazowniczych w Stanach Zjednoczonych[xi].
Terroryści przygotowali nawet obszerne pakiety informacyjne dotyczące ważnych elementów infrastruktury mogących być celem ataku, zawierające między innymi zdjęcia obiektów, szczegółowe opisy i wyniki wyszukiwania danych w internecie.
Również hakerzy bardzo się starają zrozumieć działanie systemów SCADA i innych ważnych infrastruktur, obnażyć ich słabości i je wykorzystać. Podczas Chaos Communication Congress — corocznego zjazdu hakerów odbywającego się w Niemczech — analitycy z Positive Research pokazali, jak uzyskać kontrolę nad instalacjami przemysłowymi w sektorze gazowniczym, chemicznym, naftowym i energetycznym[xii]. Równie niepokojące jest to, że hakerzy dzielą się tą wiedzą ze wszystkimi, a nawet stworzyli dającą się przeszukiwać publiczną bazę znanych dziur w systemach, które można wykorzystać do zarządzania ważnymi elementami infrastruktury.
Jedna z najbardziej znanych baz danych tego typu, o nazwie Shodan, zawiera wskazówki dotyczące cyfrowego włamywania się do wszystkiego, zaczynając od elektrowni, a kończąc na turbinach wiatrowych, które można przeszukiwać według krajów, firm albo urządzeń. Baza zawiera szczegółowe instruktaże i bardzo obniża poziom trudności ataku oraz wiedzy potrzebnej pierwszemu z brzegu hakerowi do buszowania w najważniejszych elementach infrastruktury[xiii]. W efekcie złoczyńcy zainteresowani przejęciem kontroli nad naszym podłączonym do sieci światem traktują bazę Shodan jak wyszukiwarkę Google — w dodatku praktycznie niezniszczalną, ponieważ działa na wielu serwerach rozlokowanych w kilku krajach świata, a publikowanie informacji o słabościach infrastruktury nie jest przestępstwem w większości z tych państw.
Zorganizowane grupy przestępcze także coraz częściej zwracają uwagę na możliwość przeprowadzania ataków na infrastrukturę jako sensowne narzędzie wymuszania haraczy od firm i władz publicznych. Do kilku takich incydentów doszło podobno w Brazylii w latach 2005 – 2007, kiedy fala cyberataków przetoczyła się przez tereny na północ od Rio de Janeiro oraz przez stan Espírito Santo[xiv]. W wyniku jednego z incydentów prawie trzy miliony ludzi zostały bez prądu, kiedy lokalna firma energetyczna nie zapłaciła organizacji przestępczej żądanego haraczu. W mieście Vitória, będącym jednym z największych na świecie ośrodków produkcji rudy żelaza, trzeba było wskutek tego zamknąć kilka zakładów, co kosztowało firmę niemal 7 milionów dolarów. 
Ataki zostały potwierdzone przez amerykański wywiad, analityków bezpieczeństwa, a nawet pośrednio przez prezydenta Obamę, który stwierdził: „Wiemy, że cyberprzestępcy (…) w innych krajach (…) pogrążyli całe miasta w ciemnościach”[xv].
Marc Goodman
Fragment najnowszej książki „Zbrodnie przyszłości. Jak cybeprzestępcy, korporacje i państwa mogą używać technologii przeciwko tobie”, Wyd. OnePress/Helion, 2016 POLECAMY WERSJĘ PRINT I/LUB E-BOOK: [LINK]
[i] Clay Wilson, Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress, Congressional Research Service, 9 stycznia 2008, s. 25. [ii] Brian Prince, Almost 70% of Infrastructure Companies Breached in Last 12 Months: Survey, „Security Week”, 14 lipca 2014. [iii] Hackers „Hit” US Water Treatment Systems, BBC, 21 listopada 2011. [iv] Martha Stansell-Gamm, Interview: Martha Stansell-Gamm, „Frontline”, luty 2001; Sean Silverthorne, Feds Bust Kid Hacker, ZDNet, 18 marca 1998. [v] Tony Smith, Hacker Jailed for Revenge Sewage Attacks, „Register”, 31 października 2001. [vi] Anna Mulrine, CIA Chief Leon Panetta: The Next Pearl Harbor Could Be a Cyber Attack, „Christian Science Monitor”, 9 czerwca 2011. [vii] President’s Council of Economic Advisers and the U.S. Department of Energy’s Office of Electricity Delivery, Economic Benefits of Increasing Electric Grid Resilience to Weather Outages Report, sierpień 2013. [viii] Edward J. Markey, Henry A. Waxman, Electric Grid Vulnerability Report, 21 maja 2013. [ix] Siobhan Gorman, Electricity Grid in U.S. Penetrated by Spies, „Wall Street Journal”, 8 kwietnia 2009. [x] Jack Cloherty, Virtual Terrorism: Al Qaeda Video Calls for „Electronic Jihad”, „World News”, 22 maja 2012. [xi] Barton Gellman, Cyber Attacks by Al Qaeda Feared, „Washington Post”, 27 czerwca 2002. [xii] Darlene Storm, Hackers Exploit SCADA Holes to Take Full Control of Critical Infrastructure, „Computerworld”, 15 stycznia 2014; Vortrag: SCADA StrangeLove 2, http://events.ccc.de/. [xiii] Shodan HQ, strona główna, dostęp: 9 lutego 2014, http://www.shodanhq.com. [xiv] Cyber War: Sabotaging the System, „60 Minutes”, 6 czerwca 2011. Jeśli chodzi o działalność przestępczą, zob.: David Shamah, Hack Attacks on Infrastructure on the Rise, Experts Say, „Times of Israel”, 30 stycznia 2014. [xv] Barack Obama, Remarks by the President on Securing Our Nation’s Cyber Infrastructure, The White House Office of the Press Secretary, 29 maja 2009.
