Cyberbroń i zero-day. Jesteś na celowniku
„Dochodzimy do takiego momentu, w którym każdy termostat, każdy grzejnik elektryczny, każdy klimatyzator, każda elektrownia, każde urządzenie medyczne, każdy szpital, każda sygnalizacja świetlna, każdy samochód będzie podłączony do Internetu. Należy przemyśleć ewentualne konsekwencje prawdopodobnego cyberataku na te urządzenia” – mówił Brad Smith, prezes Microsoftu podczas wystąpienia przed ONZ, 9 listopada 2017 r.
Jesteśmy na celowniku. Ty, ja, my wszyscy. Na celowniku jest całe nasze społeczeństwo. Na świecie toczy się nowy wyścig zbrojeń ukryty w cyberprzestrzeni. Zimna wojna trwająca w latach 1947–1991 to przy nim dziecinna igraszka. Zagłada naszego świata nastąpi w wyniku przypadku, stąpamy po cienkim lodzie – takie mam refleksje po lekturze książki „Cyberbroń i wyścig zbrojeń”, której autorką jest Nicole Perlroth, dziennikarka „New York Timesa”. Autorka na 600 stronach ujawnia i tłumaczy świat cyberzbrojeń i cyberwojny. Świat istniejący od wielu lat, którego zwykli obywatele nie są świadomi. Władzy (wojskowej, biznesowej, politycznej) nie zależy na świadomych obywatelach. Lepiej rządzi się owcami-konsumentami.
Polska cyfrowa
Lobby cyfrowe chce scyfryzować całe nasze życie i wrzucić do sieci. Jego marzeniem jest to, żeby w Polsce było tak, jak w Stanach Zjednoczonych. A jak jest w Ameryce?
„W Stanach Zjednoczonych najważniejsza była i jest wygoda. Obecnie ma się ona nadzwyczaj dobrze. Amerykanie podłączają do sieci wszystko, co się da, z prędkością 127 urządzeń na sekundę. Dolina Krzemowa obiecała nam łatwe życie, a my jej uwierzyliśmy. Sieć oplata bez wyjątku każdą dziedzinę życia. Za pomocą Internetu możemy zdalnie kontrolować naszą codzienność, gospodarkę oraz sieć energetyczną. Nie przyszło nam do głowy, by przez chwilę zastanowić się, że w coraz większym stopniu wystawiamy się na zmasowany atak wroga” – pisze Perlroth*.
Amerykanie cyfryzują i podłączają do Internetu domy, firmy, miasta i miasteczka, szpitale i rejestry pacjentów, zakłady i sieci energetyczne, elektrownie jądrowe, rurociągi naftowe i gazowe, samoloty, pociągi, metro, zakłady chemiczne, tamy, urządzenia kontroli ruchu lotniczego, banki, parkiety giełdowe, zakłady użyteczności publicznej, systemy wyborcze, stacje uzdatniania wody. Podłączają w większości nieświadomi faktu, że robią to w oparciu o aplikacje i sprzęt z ukrytymi lukami zero-day. W większości, bo 1% ma świadomość, o co toczy się cyfrowy wyścig zbrojeń.
Zero-day
„Zero-day” to nazwa luki w oprogramowaniu (np. systemie Windows) lub sprzęcie (np. laptopie, smartfonie), która pozwala uzyskać dostęp do każdego szczegółu twojego cyfrowego świata. Nazwa nawiązuje do pacjenta zero w czasach epidemii.
Znajomość dziury w zabezpieczeniach pozwala na włamanie się do dowolnej instytucji – firmy, banku lub ministerstwa – która korzysta z oprogramowania lub sprzętu zawierającego luki. Zero-day umożliwia włamanie, zainstalowanie złośliwego oprogramowania i rozgoszczenie się, będąc niewidzialnym do czasu ataku. Atak na lukę określa się terminem „exploit zero-day”.
O lukach Nicole Perlroth dowiedziała się z materiałów ujawnionych przez Snowdena.
„W dokumentach znalazłam odniesienia do luk w zabezpieczeniach, które NSA (National Security Agency, Agencja Bezpieczeństwa Narodowego – przyp. red.) tworzyła w niemal każdym dostępnym na rynku sprzęcie komputerowym oraz oprogramowaniu.
Okazało się, że agencja dysponuje tajnym dostępem do prawie wszystkich najważniejszych aplikacji, platform społecznościowych, serwerów, routerów, firewalli, programów antywirusowych, oprogramowań dla iPhone’a, Androida czy BlackBerry, a także do wszelkiego rodzaju laptopów, desktopów oraz systemów operacyjnych”.
Liczba linii kodów aplikacji, których używamy codziennie zwiększa się co roku w zawrotnym tempie. Dla przykładu system operacyjny Linux zawierał początkowo 176 tysięcy linii kodu, pięć lat później już 2 miliony, a w 2011 roku linii kodu było już 15 milionów. Dziś system operacyjny Microsoft Windows Vista składa się z około 50 milionów linii kodu. Oprogramowanie serwisów Google’a – Google Search przez Gmail po Google Maps – obejmuje około dwóch miliardów linii kodu. Kod oprogramowania amerykańskich samolotów bojowych Joint Strike Fighter zawiera ponad 8 milionów linii.
Im więcej linii, tym większe prawdopodobieństwo błędów tworzących luki zero-day. Im więcej błędów, tym więcej możliwości ataków zero-day. Im więcej ataków, tym większa możliwość, że któryś z nich okaże się destrukcyjny dla naszych komputerów, smartfonów i dla infrastruktury krytycznej naszego państwa.
„Jednocześnie lobbyści starali się usilnie, by ustawodawcy nie zauważali tego, by nic z tym nie robili” – to słowa Nicole Perlroth o narażaniu zwykłych Amerykanów na zagrożenia ze strony cyberbroni i zero-day. Dziennikarka 7 lat przyglądała się lobbystom cyberzbrojeń: szefom i pracownikom służb wywiadu, politykom, wojskowym, entuzjastom cyfryzacji wszystkiego za wszelką cenę. „Z czasem okazało się, że to właśnie z Białego Domu płynie największe zagrożenie dla naszego dyskursu obywatelskiego, dla prawdy i faktów” – zauważa reporterka „New York Timesa”.
Zgasić światło w całym kraju
Celem posiadaczy luk zero-day najczęściej jest szpiegostwo, sabotaż lub kradzież pieniędzy z banków. Zero-day to potężna broń. Dzięki niej można np. zgasić światło w całym kraju. Jak to wygląda w praktyce?
„27 czerwca 2017 roku Kreml odpalił cyberbroń NSA na Ukrainie, co okazało się najbardziej destrukcyjnym i kosztownym cyberatakiem w historii świata.
Tego popołudnia zgasły ekrany wszystkich urządzeń na terenie kraju. Ukraińcy nie mogli pobrać gotówki z bankomatu, zapłacić za paliwo na stacji benzynowej, wysłać lub odebrać maila, kupić biletu na pociąg, zrobić zakupów spożywczych, odebrać własnego wynagrodzenia oraz, co najgorsze, monitorować poziomu promieniowania radioaktywnego w elektrowni w Czarnobylu.
Konsekwencje ataku odczuwalne były także poza granicami Ukrainy.
Ucierpiały firmy prowadzące działalność na terenie tej byłej radzieckiej republiki. Każdy ukraiński pracownik międzynarodowej organizacji stanowił furtkę do sieci globalnej. Zaatakowano komputery spółek farmaceutycznych Pfizera oraz Mercka, gigantów na rynku przewozów i dostaw, czyli firm Maersk oraz FedEx, jak również producenta wyrobów czekoladowych Cadbury w jego fabrykach zlokalizowanych na Tasmanii. Fala ataków uderzyła rykoszetem w samą Rosję, gdzie ucierpiały bazy danych potentata naftowego Evraz oraz producenta stali będącego własnością dwóch rosyjskich oligarchów. Za pomocą wykradzionego z NSA kodu Rosjanie przypuścili więc atak rozsiewający złośliwe oprogramowanie na całym świecie. Atak, który tylko Mercka i FedEx kosztował miliard dolarów”.
Stuxnet i Gry Olimpijskie
Żeby zrozumieć, dlaczego był możliwy cyfrowy atak służb rosyjskich, przy użyciu amerykańskiej cyberbroni na ukraińską infrastrukturę krytyczną w 2017 roku, trzeba cofnąć się do 11 września 2001 roku. Patriot Act pozwolił amerykańskim służbom na zakładanie podsłuchów rozmów telefonicznych bez pozwolenia. W Stanach Zjednoczonych i na całym świecie obywatele byli poddawani nadzorowi NSA. W kolejnych latach inwigilacja wypłynęła na nowe wody – obejmowała już pocztę mailową, SMS-y i szyfrowane kanały tj. WhatsApp i Signal.
Cyberwojnę zaczęła specjalna jednostka hakerska TAO (Tailored Access Operations; Operacje Dostosowanego Dostępu), działająca w ramach NSA.
„Celem zespołu było zlokalizowanie każdego najmniejszego pęknięcia w najgłębszych zakamarkach cyfrowego wszechświata i zagnieżdżenie się tam na tak długo, jak to możliwe. (…) hakerzy z TAO eksplorowali BugTraq (forum, na którym hakerzy z całego świata zamieszczali informacje o błędach i exploitach – przyp. red.) na ataki, wertowali zwykłe magazyny hakerskie oraz rozbierali na czynniki pierwsze każdy nowy sprzęt i oprogramowanie na rynku w poszukiwaniu błędów, które mogliby dodać do swojego arsenału broni zero-day”.
Działamy bez cenzury. Nie puszczamy reklam, nie pobieramy opłat za teksty. Potrzebujemy Twojego wsparcia. Dorzuć się do mediów obywatelskich.
Lata 2001-2011 uznaje się za złotą erę szpiegostwa, głównie dzięki wykorzystaniu do inwigilacji Google i Facebook’a. To była też dekada, w której rozpędzał się nowy cyfrowy wyścig zbrojeń. Wszyscy szpiegowali wszystkich: Amerykanie Chińczyków, Chińczycy Amerykanów, Rosjanie Chińczyków itd.
Rubikon został przekroczony w 2009 roku. Dzięki wytężonej pracy tysięcy specjalistów z TAO „Amerykanie powołali do życia pierwszą na świecie cyberbroń masowego rażenia”. W tym roku Stany Zjednoczone przekroczyły swoje granice i przy użyciu tajnej cyfrowej broni i luk zero-day dokonały „nalotu” na infrastrukturę wroga bez użycia lotnictwa i bomb.
Służby TAO i izraelskiej jednostki Unit 8200 nadały swojej operacji kryptonim Olympic Games. Jej celem było zniszczenie irańskich wirówek do produkcji uranu klasy zbrojeniowej. Zielone światło do cyberataku dał prezydent George W. Bush. Operację z sukcesem dokończył prezydent Barack Obama. Amerykańskie służby wykorzystały błędy zero-day w maszynach, które Iran stosował w ośrodku nuklearnym w Natanz. Historię szczegółowo opisuje Kim Zett w książce „Odliczając do dnia zero. Stuxnet, czyli prawdziwa historia cyfrowej broni”. Robak, który zniszczył irańskie wirówki, przeszedł do historii pod nazwą Stuxnet. Służby amerykańsko-izraelskie wykorzystały do ataku błąd w systemie Microsoft Windows, który został opisany w polskim magazynie hakerskim „Hakin9”. Co dokładnie się wydarzyło, dowiemy się po 2039 roku, bo do tego czasu dokumentacja projektu ma klauzulę poufności.
Michael Hayden, były dyrektor NSA, porównał atak Stuxneta do zrzucenia pierwszej na świecie bomy na Hiroszimę: „To pachnie sierpniem 1945 r. Ktoś właśnie użył nowej broni i ta broń na pewno nie trafi z powrotem do szuflady”.
Co najważniejsze – cyberatak Stanów Zjednoczonych na Iran nastąpił bez wypowiedzenia wojny. Cyberwojny nie są wypowiadane, ale one się toczą tu i teraz.
Cyberzbrojenia
„Stuxnet otworzył puszkę Pandory. Niespodziewanie przed krajami, które nawet nie mogły marzyć o dołączeniu do wyścigu z USA, jeśli chodzi o broń konwencjonalną, otworzyły się nowe perspektywy. Wystarczył odpowiedni kod. I nawet jeśli nie mieli cyberwojowników, by samodzielnie przeprowadzać te operacje, posiadali gotówkę, by ich pozyskać”.
Rynek sprzedaży zero-day przybrał na rozmiarach. Handlują na nim Stany Zjednoczone, Chiny, Rosja, Francja, Niemcy, Włochy, Izrael, Iran, Kora Północna, Arabia Saudyjska, Zjednoczone Emiraty Arabskie, Finlandia, Państwo Islamskie itd.
W cyfrowym wyścigu zbrojeń uczestniczą hakerzy z NSA, CIA oraz ich odpowiednicy z krajów Sojuszu Pięciorga Oczu (sojusz wywiadowczy obejmujący Australię, Kanadę, Nową Zelandię, Wielką Brytanię i Stany Zjednoczone). Swoją cegiełkę dokładają też programiści z Polski, Argentyny, Australii, Algierii, Białorusi, Rumunii, Kuala Lumpur, Egiptu, Indonezji, Malezji, Singapuru, Brazylii.
Cyberzbrojenia ułatwia fakt, że „obecnie wszyscy jesteśmy częścią tej samej technologii”, jak mówił J. Michael Daniel, prawa ręka prezydenta Obamy do spraw cyberbezpieczeństwa.
Shadow Brokers
Nicole Perlroth poświęca w swojej książce cały rozdział grupie hakerskiej Shadow Brokers. To ludzie, którzy w sierpniu 2016 roku na Twitterze poinformowali opinię publiczną o tym, że włamali się na serwery NSA. A następnie zaczęli licytować narzędzia hakerskie należące do TAO. Pliki zawierały exploity zero-day pozwalające na bezkarne włamania do systemów rządowych i korporacyjnych na całym świecie. „Exploity, nad którymi najlepsi amerykańscy hakerzy i kryptografowie pracowali miesiącami, a w niektórych przypadkach nawet latami”. To tak jakby udostępnić na Twitterze kody, które uniemożliwiają dostęp do głowic nuklearnych.
Przecieki Shadow Brokers pokazały, że „NSA przez lata utrzymywała w ścisłej tajemnicy informacje o dziurawych firewallach, które służyły do zabezpieczania amerykańskich sieci”. Każdy mógł je znaleźć i wykorzystywać.
Co ciekawe wyciek dokumentów Snowdena to było małe piwo, przy wycieku Shadow Brokers. Mimo to media nie były nim zbytnio zainteresowane. Sprawa zbyt techniczna i zbyt skomplikowana dla obywateli. A tutaj Tweet Snowdena na temat wycieków z 16 sierpnia:
„Są kurwa w środku”
Cyberzbrojenia nakręcają cyberwojny. Nicole Perlroth pisze o: rosyjskim penetrowaniu komputerów w Departamencie Stanu, Białym Domu, Kolegium Połączonych Szefów Sztabów, Krajowym Komitecie Partii Demokratycznej; chińskich atakach na amerykański Urząd Zarządzania Kadrami – agencję, która przechowuje najbardziej wrażliwe dane około miliona pracowników federalnych i kontrahentów, w tym szczegółowe dane osobowe, finansowe i medyczne, numery ubezpieczenia społecznego, a nawet odciski palców; irańskich włamaniach do zakładów Aramco i banków; rosyjskich atakach na system wyborczy w USA; chińskich kradzieżach własności intelektualnej; zniszczeniu przez Koreę Północną komputerów korporacji Sony Pictures; ataku Rosjan na rafinerię Petro Rabigh w Arabii Saudyjskiej; uderzeniu Iranu w imperium kasyn Sands należące do miliardera Sheldona Adelsona; obrabowaniu przez służby Korei Północnej banku w Bangladeszu na kwotę 81 milionów dolarów.
Opisuje też atak cybernetyczny nieznanych hakerów w 2017 roku. Dotknął on 200 tys. podmiotów w co najmniej 150 krajach. Celem cyberataku były: „rosyjskie koleje i banki, niemiecki transport szynowy, francuski koncern motoryzacyjny Renault, indyjskie linie lotnicze, cztery tysiące uniwersytetów w Chinach, największa hiszpańska firm telekomunikacyjna Telefonica, Hitachi i Nissan w Japonii, japońska policja, szpital na Tajwanie, sieć kin w Korei Południowej, niemal wszystkie stacje benzynowe zarządzane przez PetroChina, chińska państwowa firma paliwowa, w Stanach Zjednoczonych zaś FedEx oraz niewielkie zakłady elektryczne rozrzucone po całym kraju”. I jeszcze pięćdziesiąt brytyjskich szpitali.
„Są w środku. Są kurwa w środku” usłyszała Nicole Perlroth od swojego informatora w lipcu 2017 roku, który dotarł do nadzwyczajnego komunikatu Departamentu Bezpieczeństwa Krajowego i FBI. Ostrzeżenie dotyczyło rozgoszczenie się Rosjan w systemach niezliczonej liczby amerykańskich elektrowni jądrowych i energetycznych.
Jako przykład w komunikacie podano włamanie się do Wolf Creek, 1200-megawatowej elektrowni jądrowej w pobliżu Burlington w stanie Kansas. Hakerzy schowali się w środku, czekając na odpowiedni moment.
„Mogą wyłączyć nam prąd. Czekają tylko na polityczny pretekst” – komentował Eric Chien, dyrektor techniczny działu technologii zabezpieczeń i reagowania firmy ochroniarskiej Symantec.
Co robić?
Co robić, żeby nie narażać Polek i Polaków na cyberatak masowego rażenia? Nie podłączać wszystkiego do Internetu. Nie ograniczać płatności gotówką. Zamiast stawiać na łączność bezprzewodową 5G, powinniśmy rozwijać sieć światłowodów, które są bezpieczniejsze dla naszej infrastruktury krytycznej.
Niech przykładem będzie dla nas Ukraina, którą tak opisuje dziennikarka „New York Timse’a”: „Ta była republika radziecka pozostawała daleko w tyle w wyścigu technologicznym i jeszcze nie wszystko zostało tu podłączone do Internetu. Tsunami o nazwie Internet Rzeczy, które całkowicie pochłonęło społeczeństwo amerykańskie w minionej dekadzie, wciąż jeszcze nie dotarło do Ukrainy. Tutejsze elektrownie jądrowe, szpitale, zakłady chemiczne, rafinerie, gazociągi oraz rurociągi naftowe, fabryki, gospodarstwa rolne, miasta, samochody, sygnalizacja świetlna, domostwa, termostaty, żarówki, lodówki, kuchenki, elektroniczne nianie, rozruszniki serca i pompy insulinowe funkcjonowały poza Internetem”.
To, co dziennikarka New York Timesa widzi jako atut i zabezpieczenie przed cyberatakami, część ukraińskich i polskich decydentów uznaje za obszar do transformacji cyfrowej. Wicepremier i minister rozwoju cyfrowego Ukrainy Mykhailo Fedorov napisał niedawno na Twitterze: „Ukraina 2030 — najbardziej wolny i najbardziej cyfrowy kraj na świecie. Bez biurokracji, ale z silnym przemysłem technologicznym. Bezgotówkowy i bez papieru. To jest przyszłość, którą budujemy”. Mykhailo Fedorow zadeklarował, że „ukraiński cyfrowy rząd będzie działał jak firma IT pod względem efektywności procesu decyzyjnego”.
Lobby cyberzborojeń widać działa skutecznie, mimo wojny.
Opór czy wygoda?
Zabawa dzieci z NSA cyfrowymi zapałkami doprowadziła nas do miejsca, w którym jesteśmy dziś. „Według niejednego eksperta zagłada świata nastąpi w wyniku przypadku. Stąpamy po cienkim lodzie. My, informatycy. My, ojcowie przypadków” – mówił pierwszy broker zero-day.
Jakie rady mam po lekturze książki „Cyberbroń i wyścig zbrojeń”? Po pierwsze, przenieść wszystko, co cenne, w tryb offline – zacznij od rzeczy najprostszej czyli od własnej sieci kontaktów. Kiedy zgaśnie światło i zaatakują infrastrukturę krytyczną, to będą się działy rzeczy, o których filozofom się nie śniło. Po drugie, łataj dziury, czyli aktualizuj swoje oprogramowanie. Po trzecie, żądaj od polityków i dziennikarzy debaty o zero-day. Jeśli po koronawirusie i głodzie przyjdzie cyberatak, to czy nasze państwo jest na niego przygotowane? Jak?
Czy nasza infrastruktura krytyczna jest bezpieczna? Jeśli Rosjanie siedzą w systemach amerykańskich elektrowni atomowych, to czy decydenci biorą to pod uwagę przy planowaniu budowy polskiej elektrowni atomowej?
Czy w kontekście zero-day lepiej inwestować miliardy w energetykę jądrową, czy w energię rozproszoną, bazującą na odnawialnych źródłach energii i wytwarzaną na własne potrzeby w mikroinstalacjach? Nie ma łatwych, zero-jedynkowych odpowiedzi, które tak lubimy, bo niewiele od nas wymagają. Ale debata jest konieczna, tym bardziej, że już jest spóźniona.
I na koniec jeszcze raz Nicole Perlroth: „(…) mamy w sieci tyle podatności, ile gwiazd na niebie. Było tylko kwestią czasu, kiedy jakiś zdeterminowany wróg wykorzysta je przeciwko nam. Obecnie ataki przytrafiają się z taką częstotliwością, że nawet nie wywołują szczególnego zainteresowania prasy. Zagrażają naszym elektrowniom jądrowym, szpitalom, domom opieki, najznakomitszym laboratoriom badawczym i firmom. Z jakiegoś powodu, bez względu na to, jak wiele artykułów publikowałam, wszystko to zdawało się nie docierać do świadomości przeciętnego Amerykanina, który podłącza do Internetu swoje Nesty, Alexy, termostaty, elektroniczne nianie, rozruszniki serca, żarówki, samochody, piece i pompy insulinowe”.
A co dociera do świadomości przeciętnego Polaka?
Co dociera do Ciebie?
*Wszystkie cytaty pochodzą z książki „Cyberbroń i wyścig zbrojeń”, Nicole Perlroth.
Tropy w głąb króliczej nory:
- Gibney Alex, Zero Days, 2016.
- Maggio John, Idealna broń (The Perfect Weapon), 2020.
- Sanger David E., Cyberbroń – broń doskonała. Wojny, akty terroryzmu i zarządzanie strachem w epoce komputerów, Gliwice: Wydawnictwo Helion, 2021.
