CYBERDZIECI ATAKUJĄ

Świat w filmie „Gry wojenne” staje na krawędzi atomowej zagłady z powodu nastoletniego hakera, który włamuje się do komputera Pentagonu. Teraz, 30 lat później, nastoletni hakerzy spędzają sen z powiek specjalistom do spraw bezpieczeństwa.

 

Według najnowszego raportu PricewaterhouseCoopers (PwC) w 2014 roku na całym świecie odnotowano 42,8 mln cyberataków na przedsiębiorstwa prywatne – w ciągu ostatnich 12 miesięcy liczba takich incydentów wzrosła o 48%, a od 2009 roku zwiększyła się o… 1258% (sic!). Roczne straty z tego tytułu PwC szacuje nawet na 575 mld dolarów – to suma ponadpięciokrotnie przekraczająca budżet Polski.

Rzeczywista skala zjawiska jest jednak znacznie większa – opracowanie przygotowane przez PwC uwzględnia jedynie ataki wykryte, a ponadto nie opisuje dokonanych na instytucje rządowe i kluczowe elementy infrastruktury. Tymczasem w niektórych krajach są one głównym celem hakerów. We wspólnym raporcie McAfee i Agencji Bezpieczeństwa i Ochrony (SDA) w Brukseli z 2012 roku wskazywano, że w Izraelu co minutę (!) jest odpieranych około 1000 cyberataków. A to oznacza, że dwa lata temu tylko na to państwo przeprowadzono ponad 500 mln cyberataków.

 

Logiczna bomba

Co ciekawe, pierwszego spektakularnego cyberataku dokonano prawdopodobnie bez użycia internetu. W 1982 roku na terenie ZSRR miało dojść do potężnej eksplozji gazociągu transsyberyjskiego. Odpowiedzialność za to miała ponosić Centralna Agencja Wywiadowcza (CIA), która do przeprowadzenia sabotażu użyła oprogramowania komputerowego.

Thomas Reed, w tamtym okresie stojący na czele Departamentu Sił Powietrznych w administracji Ronalda Reagana, w swoich wspomnieniach opisał misterną akcję, którą, jak twierdził, przeprowadziła CIA. Na podstawie informacji przekazanych francuskiemu wywiadowi przez Władimira Wetrowa, pracownika I Zarządu Głównego KGB, CIA ustaliła, że Sowieci chcą wykraść oprogramowanie niezbędne do obsługi gazociągu z jednej z kanadyjskich firm. Amerykańscy agenci skłonili więc firmę, która znalazła się na celowniku KGB, do przygotowania wadliwej wersji owego oprogramowania, zawierającej tak zwaną logiczną bombę, czyli lukę w kodzie, dzięki której pozornie poprawnie działający program, po określonym czasie miał doprowadzić do katastrofy.

Ze wspomnień Reeda wynika, że plan udało się zrealizować w 100%. Niczego się niespodziewający Sowieci wykradli wadliwe oprogramowanie, które następnie zostało użyte do obsługi turbin, pomp i zaworów bezpieczeństwa w gazociągu. W momencie uaktywnienia się logicznej bomby oprogramowanie wyłączyło pompy i zablokowało zawory, co doprowadziło do gwałtownego wzrostu ciśnienia, którego efektem była potężna eksplozja. Zarejestrowały ją nawet amerykańskie satelity, a Dowództwo Obrony Północnoamerykańskiej Przestrzeni Powietrznej i Kosmicznej początkowo było przekonane, że w rejonie gazociągu doszło do zdetonowania bomby atomowej.

Nikt nie zginął w wyniku wybuchu (gazociąg przebiegał przez niezamieszkaną część Syberii), ale straty spowodowane całą akcją uderzyły w radziecką gospodarkę, dla której bardzo ważne były dewizy uzyskiwane ze sprzedaży gazu do Europy Zachodniej.

Niemal natychmiast po ujawnieniu w 2004 roku przez Reeda szczegółów operacji CIA pojawiły się wątpliwości, czy rzeczywiście miała ona miejsce. Rosyjskie media dotarły między innymi do emerytowanego oficera KGB, który twierdził, że w 1982 roku faktycznie doszło do eksplozji gazociągu na Syberii, ale z powodu błędów konstrukcyjnych. A straty spowodowane wybuchem były niewielkie, bo uszkodzenia udało się naprawić w ciągu jednego dnia. Reed obstaje jednak przy swojej wersji wydarzeń.

 

Zombie w sieci

Historia opisana przez Reeda mogłaby stanowić kanwę sensacyjnego filmu szpiegowskiego – czego z pewnością nie można powiedzieć o większości współczesnych cyberataków. Najpopularniejszą metodą „walki” stosowaną w sieci są ataki DDoS (Distributed Denial of Service, co znaczy „rozproszona odmowa usługi”). Na czym polega taki atak? W dużym uproszczeniu chodzi o równoczesne skierowanie do jednego komputera – serwera – ogromnej liczby próśb o udostępnienie jednej z usług. Każda taka prośba wymusza na atakowanym komputerze „zarezerwowanie” dla niej określonej ilości pamięci, czasu procesora czy pasma sieciowego. W efekcie – jeśli zapytań jest odpowiednio dużo – zasoby wyczerpują się i dochodzi do sparaliżowania systemu.

Brzmi zawile? W rzeczywistości mechanizm ataku DDoS jest prosty i łatwo go przedstawić na przykładzie strony internetowej. W zależności od ilości miejsca na serwerze każda strona jest w stanie „obsłużyć” w jednej chwili określoną liczbę internautów. Tymczasem atak typu DDoS w sztuczny sposób ją zwiększa. Gdy na przykład w normalnych warunkach stronę odwiedza 1000 osób w ciągu godziny, to w czasie ataku DDoS takich wejść może być do 500 tys. W efekcie strona przestaje działać.

Do ataku DDoS hakerzy zazwyczaj używają tak zwanych komputerów zombie, czyli maszyn zainfekowanych wcześniej złośliwym oprogramowaniem (np. trojanami). Właściciel najczęściej nie jest świadom, że padł ofiarą ataku, ponieważ jego komputer z pozoru działa normalnie. W rzeczywistości jednak, na sygnał wysłany przez hakera, urządzenie rozpocznie atak na wskazany serwer.

Szacuje się, że tylko w Polsce działa 300 tys. komputerów zombie. Na świecie może być ich od kilku do kilkunastu milionów. Zainfekowane tym samym rodzajem złośliwego oprogramowania tworzą botnet, czyli sieć komputerów kontrolowanych przez hakera. Botnety można nazwać, z przymrużeniem oka, cyberarmiami. Obecnie wystarczy zainfekować złośliwym oprogramowaniem kilka tysięcy komputerów, by stanowiły realną siłę zdolną do przeprowadzania groźnych cyberataków.

Drugim najpopularniejszym rodzajem cyberataku są exploity, wykorzystujące luki w oprogramowaniu, dzięki którym jest możliwe włamanie do komputera korzystającego z danego programu. Takie luki występują na przykład w systemach operacyjnych czy przeglądarkach internetowych. Po pewnym czasie są one zazwyczaj usuwane za pomocą łatek, czyli aktualizacji danego programu. Na tym jednak problem się nie kończy, bo bardzo szybko hakerzy wynajdują kolejną lukę. Dlatego popularny system operacyjny Windows jest w zasadzie non stop aktualizowany. Niewątpliwie dobrą wiadomością dla hakerów było niedawne ogłoszenie przez Microsoft zaprzestania wsparcia dla systemu Windows XP. Od 8 kwietnia więc każdy, kto na tyle zżył się z tym systemem operacyjnym, że nie wyobraża sobie pracy na nowszej wersji Windowsa, musi się liczyć z tym, że jego komputer z całą zawartością jest otwartą księgą dla hakerów.

 

Groźny nastolatek

Skoro dziś bezpieczeństwem w sieci zaczynają się zajmować NATO i rządy poszczególnych państw, mogłoby się wydawać, że głównym zagrożeniem są cyberterroryści planujący powtórzenie „wyczynu” bohatera filmu „Gry wojenne”, tudzież informatycy w mundurach, wchodzący w skład tajnych jednostek gotowych do wyłączenia prądu w danym kraju jednym kliknięciem myszki. Tak naprawdę jednak prawdziwą zmorą w sieci są dziś młodzi ludzie, którzy w ramach buntu przeciwko establishmentowi (jak grupa Anonymous), a czasem po prostu… z ciekawości potrafią spowodować straty liczone w miliardach dolarów.

To właśnie ciekawość była przyczyną pierwszego dużego cyberataku przeprowadzonego za pośrednictwem internetu. W 1988 roku niejaki Robert Tappan Morris, student prestiżowego Uniwersytetu Cornella w USA, stworzył niewielki program, który był w stanie przenosić się między komputerami podłączonymi do sieci i zapisywać w pamięci komputera w taki sposób, aby było to niezauważalne dla administratorów i użytkowników. Celem Morrisa było… sprawdzenie rozmiarów ówczesnego internetu (sic!) oraz udowodnienie, że złośliwe oprogramowanie może być przenoszone za pośrednictwem sieci, co z kolei miało uświadomić administratorom systemów komputerowych konieczność opracowania systemów zabezpieczeń przed wirusami.

W teorii tak zwany robak Morrisa miał być niegroźny. Okazało się jednak, że młody haker pomylił się w obliczeniach i w rezultacie stworzony przez niego program całkowicie zablokował 6 tys. komputerów. Mało? Otóż nie – w tamtym czasie było to… 10% wszystkich podłączonych do internetu. A sieć zaczęła funkcjonować normalnie dopiero po ośmiu dniach od ataku (w związku z atakiem robaka Morrisa trzeba było wyłączyć dużą część serwerów). Straty wywołane eksperymentem studenta szacowano nawet na, bagatela, 100 mln dolarów.

Wyczyn Morrisa blednie jednak przy tym, czego w 2000 roku dokonał 15-letni Michael Calce, w internecie znany jako MafiaBoy. Nastolatek z Kanady w ramach projektu „Rivolta” przeprowadził atak na stronę Yahoo.com – wyłączył na ponad godzinę najpopularniejszą w tamtym czasie wyszukiwarkę na świecie. W ciągu kolejnych dni zdołał unieruchomić również serwis internetowy CNN, portal aukcyjny E-bay oraz serwisy Amazon.com i Dell.com. Straty spowodowane przez serię ataków przeprowadzonych przez MafiaBoya oszacowano na… 1,7 mld dolarów.

Inny piętnastolatek, mieszkający w USA Jonathan Joseph James, w 1998 roku zdołał włamać się do komputerów jednej z agencji wchodzących w skład amerykańskiego Departamentu Obrony. W ten sposób chłopak przejął około 3 tys. informacji, które pracownicy przekazywali sobie za pomocą wewnętrznej sieci – między innymi loginy i hasła pozwalające mu logować się na kilku komputerach amerykańskiego resortu obrony. Włamał się też do komputerów należących do NASA, skąd wykradł oprogramowanie pozwalające kontrolować warunki panujące na Międzynarodowej Stacji Kosmicznej (ISS). Wszystko to uczyniło z Jonathana Josepha Jamesa legendę, ale jednocześnie stało się jego przekleństwem, które doprowadziło młodego mężczyznę do tragicznego końca. Amerykańskie służby niejako „z urzędu” podejrzewały go o udział w każdym większym cyberprzestępstwie, co spowodowało, że w 2008 roku popełnił samobójstwo. Prawdopodobnie obawiał się, że zostanie skazany za przynależność do grupy, która wykradła dane użytkowników tysięcy kart kredytowych.

Z kolei pochodzący z Niemiec Sven Jaschan w dniu swoich 18. urodzin wpuścił do sieci wirusa, który doprowadził do strat szacowanych na 500 mln dolarów. Przy czym są to tylko dane szacunkowe. Złośliwe oprogramowanie stworzone przez Jaschana całkowicie sparaliżowało między innymi system komputerowy linii lotniczych Delta, przez co musiały one anulować wiele lotów transatlantyckich.

Wprawdzie, jak dotąd, nastoletni hakerzy nie stworzyli poważnego zagrożenia dla bezpieczeństwa żadnego z państw, a rachunki za ich spektakularne sukcesy płaciły przede wszystkim firmy prywatne, to jednak przypadek J.J. Jamesa, który sforsował internetową bramę amerykańskiego resortu obrony, dowodzi, że kiedyś wszyscy możemy stać się bohaterami filmu „Gry wojenne”. Można bowiem wyobrazić sobie opracowanie metod walki z cyberterroryzmem czy agresywnie poczynającym sobie w internecie państwem, ale jak stworzyć mechanizm ochrony światowego bezpieczeństwa przed anonimowym nastolatkiem?

Artur Bartkiewicz

autor zdjęć: Satori/Fotolia





Ministerstwo Obrony Narodowej Wojsko Polskie Sztab Generalny Wojska Polskiego Dowództwo Generalne Rodzajów Sił Zbrojnych Dowództwo Operacyjne Rodzajów Sił Zbrojnych Wojska Obrony
Terytorialnej
Żandarmeria Wojskowa Dowództwo Garnizonu Warszawa Inspektorat Wsparcia SZ Wielonarodowy Korpus
Północno-
Wschodni
Wielonarodowa
Dywizja
Północny-
Wschód
Centrum
Szkolenia Sił Połączonych
NATO (JFTC)
Inspektorat Uzbrojenia

Wojskowy Instytut Wydawniczy (C) 2015
wykonanie i hosting AIKELO