Digitalni tanki na naših mejnih prehodih
Ko človek pomisli na kibernetsko vojskovanje, se mu pred očmi najverjetneje izrišejo podobe ameriške filmske industrije. Zamaskirani posamezniki za prenosniki besno tipkajo in ob pritisku na tipko ENTER kamera preskoči na eksplozijo jedrske elektrarne na drugem koncu sveta.
snično kibernetsko vojskovanje je precej drugačno od filmske upodobitve, opozarjajo naši sogovorniki. Predvsem je veliko manj romantično in precej bolj strukturirano. V kibernetskem vojskovanju sodelujejo državne vojske, večje organizirane skupine plačancev in posamezniki-strokovnjaki, ki sodelujejo z eno ali drugo skupino.
Hkrati je kibernetsko bojišče veliko večje od predstave običajnega uporabnika. Kot smo lahko izvedeli v nedavnih razkritjih kolektiva Wikileaks, je ameriški obveščevalni agenciji CIA uspelo do določene mere spremeniti v orožje pametne telefone, pametne televizorje in druge naprave interneta stvari.
V kibernetskem svetu smo vsi enaki
»Kar nekaj držav po svetu ima kibernetske napadalne zmogljivosti in tukaj govorimo tako o napadih na fizično infrastrukturo kot tudi na informacijske sisteme,« opozarja izredni profesor na katedri za obramboslovje ljubljanske Fakultete za družbene vede, dr. Uroš Svete. Dodaja še, da je romantična predstava vojskovanja in hekerjev s temnimi očali iz uvoda mogoča, a s pomembno razliko. »Odvisnost sveta od informacijske tehnologije je danes velika,« poudarja in dodaja, da »kibernetski napadi že zdavnaj niso več omejeni samo na posledice v kibernetskem svetu, temveč se vedno bolj dogajajo tudi v fizičnem svetu, v katerem živimo.«
Eden najbolj znanih (pa tudi hollywoodsko obdelanih) primerov kibernetskega vojskovanja, ki je imel konkretne posledice v resničnem svetu, je virus Stuxnet, ki je bil razvit za napad na iransko infrastrukturo njihovega jedrskega programa. Prvič so ga zaznali leta 2010, analiza pa je pokazala, da so ustvarjalci virusa programsko kodo spisali tako, da se aktivira samo, ko prepozna značilen digitalni podpis iranskih centrifug za obdelovanje in plemenitenje urana. Še več – virus je vseboval tudi kodo za samouničenje v letu 2012, kar je zelo otežilo digitalno forenziko in analizo.
Kibernetski napadi na kritično infrastrukturo, incidenti z vdiranjem v podatkovne sisteme, kraja občutljivih podatkov in digitalno vohunjenje za posamezniki je v zadnjih desetih letih postalo nekaj vsakdanjega in tudi zato se države vedno bolj resno ukvarjajo z razvijanjem strukturiranih enot za kibernetsko vojskovanje znotraj svojega ustroja.
Združene države Amerike, Kitajska, Rusija, pa tudi Izrael in Velika Britanija so na tem področju trenutno najmočnejše, moj sogovornik pa opozarja, da velikost države ni nujno povezana z vplivom in močjo tega področja. »Kibernetski prostor daje vsem enake možnosti za tekmo na globalni ravni,« pojasnjuje dr. Svete in nadaljuje, da so »strukturirane enote znotraj vojske, kot je, recimo, center za kibernetsko vojskovanje (United States Cyber Command) oziroma mornariški center za kibernetsko vojskovanje (United States Marine Corps Forces Cyberspace Command), le del celotnega ustroja,« pojasnjuje dr. Svete. »Poleg njih imamo tudi obveščevalne strukture in posameznike, ki pogodbeno sodelujejo z vojaškimi silami na tem področju.«
Tudi na področju Evropske unije se zadeve razvijajo v pravo smer. Agencija ENISA (European Union Agency for Network and Information Security) je po mnenju sogovornika naredila veliko za poenotenje standardov digitalne obrambe med posameznimi članicami, pri določanju pristojnosti po institucijah, to pa zelo pripomore h kibernetski zaščiti civilnih infrastruktur. »Evropska unija je še vedno šibka pri razvijanju napadalnih kibernetskih zmogljivosti, čeprav je ravno iz primera Stuxnet razvidno, da so tudi evropske države sodelovale pri razvoju posameznih komponent tega sistema,« sklene dr. Svete.
Vsakdan kibernetskega napada
Zgodovino kibernetskih napadov bi po mnenju sogovornikov lahko postavili v leto 1988, ko je Robert Tapan Morris razvil črva, s katerim je hotel izmeriti velikost interneta, (ne)hote pa je z njim napadel kibernetsko infrastrukturo ameriške administracije in jo tako upočasnil, da je postala neuporabna. Morris je bil za svoje dejanje obsojen na zaporno kazen, zdaj pa predava na fakulteti MIT.
Naslednji večji incident lahko postavimo v leto 2006, ko se je Estonija prvič srečala z ruskimi hekerji in napadi na svojo infrastrukturo. Estonija je po odcepitvi od ruske federacije leta 1991 sprejela strateško odločitev po izgradnji državne uprave z močno digitalno komponento in s tem premaknila težišče svoje države v digitalno okolje. Na žalost se je skupaj s težiščem v digitalni svet preselila tudi večina izpostavljenih točk, ki so jih Rusi leta 2006 izkoristili za kibernetske napade na e-upravne storitve in elektronski bančni sistem.
Z letom 2007 pa so kibernetski napadi postali del vsakdana za večino informacijsko naprednih držav po svetu. Tehnologija je namreč z razvojem spletnih storitev postala tako vsenavzoča, da se je število točk napada dramatično povečalo. Ena najbolj izpostavljenih še vedno ostaja elektronska pošta, kar je bilo razvidno tudi v zadnji predvolilni kampanji za ameriškega predsednika, ko so vdori v elektronske predale strankarskih veljakov predstavljali eno večjih težišč celotne kampanje.
Tudi države Bližnjega vzhoda so leta 2010 začele dejavno uporabljati kibernetsko komponento pri vojskovanju med Izraelom, Palestino, Irakom in Iranom. V tem času analitiki opozarjajo na razvoj poslovnega modela najemanja kibernetskih vojakov iz drugih držav, kot se je zgodilo v primeru napada na izraelsko kritično infrastrukturo. Napade naj bi po analizah izvedle enote v nekdanjih republikah ruske federacije, plačali pa naj bi jih Palestinci.
Število napadov se je v zadnjih letih drastično povečalo, ker se je takrat drastično povečala odvisnost od informacijskih sistemov, pojasnjujejo sogovorniki. Logično je, da zanimive tarče, kot so elektrarne, jezovi, vozlišča povezav dostopa do interneta, telekomi in drugi elementi kritične infrastrukture postajajo vedno bolj odvisni od internetnih povezav oziroma digitalnih komunikacijskih kanalov, s tem pa se izpostavljajo novim oblikam kibernetskega vojskovanja.
Tako ni nič čudnega, da je organizacija Wikileaks v začetku marca razkrila dokumente ameriške obveščevalne agencije CIA, v katerih lahko preberemo, da ima ta agencija sposobnosti vdiranja v pametne telefone, pametne televizorje in celo pametne avtomobile, vse z namenom prisluškovanja, zbiranja podatkov in v primeru interneta stvari celo atentatov.
Vault7: je to nova normalnost?
Dokumenti, ki so prišli iz baz podatkov ameriške agencije CIA in jih je organizacija Wikileaks objavila v spletu pod skupnim imenom Vault7, po mnenju analitikov kažejo na razmeroma dobro pripravljenost ameriških obveščevalnih agencij na vrzeli v varnosti novih izdelkov informacijske dobe in interneta stvari.
Obenem dokumenti dokazujejo, da je CIA vedela za določene varnostne pomanjkljivosti izdelkov informacijske dobe, kot so pametni telefoni operacijskih sistemov iOS, Android in Windows Phone, pametnih televizorjev znamk Samsung in operacijskih sistemov Windows, macOS in Linux, in je zanje razvijala vohunsko programsko opremo. CIA je po objavi dokumentov Američane »pomirila«, da je njihova naloga vohunjenje v tujini in da razkritih taktik in orodij ne bodo nikoli uporabljali za nadzor ameriških državljanov.
Na razkritja so se že odzvali Apple, Samsung, Google, Microsoft in Linux Foundation. Apple, Samsung in Microsoft so napovedali krpanje razpok, razkritih v dokumentih, Google pa je izjavil, da je »večina razpok, omenjena v dokumentih, že pokrpana.« Treba je še opozoriti, da je v času pisanja tega članka Wikileaks razkril samo en odstotek vseh dokumentov, zbranih pod imenom Vault7, in da bodo prihodnji tedni in meseci na tem področju še zelo zanimivi.
Vršilec dolžnosti Urada vlade za varovanje tajnih podatkov, mag. Dobran Božič, opozarja, da »CIA samo opravlja svoje delo«, in dodaja, »da se moramo zaščititi pred takim početjem.«
Dodaten problem pri vrednotenju pomembnosti razkritij še naprej predstavlja izkrivljeno medijsko poročanje o problemu. Zeynep Tufekci z univerze v Severni Karolini za New York Times kritizira bombastično poročanje takoj po razkritjih in opozarja na propagandno vojno, ki ne ustreza dejanskemu stanju.
»Kombinacija neznanja novinarjev in zavajajočih izjav Wikileaksa je povzročila medijsko kampanjo, ki je bila sprva zelo zavajajoča,« pojasnjuje in dodaja, »da dokumenti dokazujejo, da so aplikacije za varno komuniciranje pravzaprav dobre pri svojem delu, saj se CIA trudi predvsem vdirati v posamezne telefone in druge naprave, in ne v aplikacije.«
Ubojno sredstvo: opekač
Internet stvari je odprl nove fronte kibernetskega vojskovanja, saj je drastično povečal število naprav, ki so tako ali drugače priklopljene v internet. Hkrati se razvoj pametnih naprav še ni zasidral pri varnem in zasebnem načinu povezovanja in komuniciranja, temveč je postavil v ospredje funkcije posamezne naprave.
Eden večjih kibernetskih napadov ob pomoči interneta stvari se je zgodil oktobra lani, ko so zaenkrat še neznani storilci v t.i. botnet povezali več tisoč pametnih naprav interneta stvari in z njimi začeli napadati strežnike podjetja Dyn, ki rabi kot pomemben del internetne hrbtenice v ZDA.
Posledice so bile katastrofalne, saj je napad s črvom Mirai onemogočil dostop do pomembnih spletišč, kot so Amazon, Spotify in Twitter, zaradi soodvisnosti od oblačnih storitev pa ni delovalo večje število spletnih mest in storitev, ki gostujejo v oblaku podjetja Amazon.
»Treba je poudariti odgovornost potrošnikov, ki so izredno nekritični in kupujejo nedodelane izdelke«, Dr. Uroš Svete
Med nastajanjem tega članka je kolektiv Wikileaks objavil Vault7 – izbor dokumentov ameriške agencije CIA, ki kažejo na to, da je ta obveščevalna agencija dobro pripravljena na internet stvari in da že pozna poti do nezavarovanih naprav interneta stvari, s katerimi lahko nadzira posameznike oziroma večje skupine uporabnikov.
Raziskovalec doc. dr. sc. Tonimir Kisasondi s fakultete za informatiko v Zagrebu in svetovalec za kibernetsko varnost Vlatko Kosturjak sta na konferenci BSides Ljubljana prikazala problematičnost razvoja naprav interneta stvari in opozorila na največjo težavo – premik v miselnosti. »Če si ogledamo incident s črvom Mirai, vidimo, kako obširen je problem nezavarovanih naprav, ki so priklopljene v svetovni splet in dovoljujejo zlorabe,« opozarja Kosturjak, Kisasondi pa vidi v tem ponavljanje zgodovine in pojasnjuje, »da v večini razvojnih ciklov nastopi faza, ko se z razvojem začne ukvarjati veliko število ljudi, zato se poveča tudi število težav s produkti razvoja.«
Oba sta prepričana, da se trenutno večina razvijalcev ukvarja predvsem z delovanjem naprav in izdelkov, pozablja pa na varnost in zasebnost. Incidenti, kot so Vault7 in Mirai, so tako lahko celo koristni. »Pomembno je, da so incidenti medijsko izpostavljeni in da se pritiska na razvijalce programske in strojne opreme, da mislijo na varnost in zasebnost že med samim razvojem,« poudarja Kisasondi.
Dr. Uroš Svete pa dodaja, da je na trgu informacijske tehnologije del krivde tudi na potrošnikih. »Treba je poudariti odgovornost potrošnikov, ki so izredno nekritični in kupujejo nedodelane izdelke ter se s tem izpostavljajo posledicam produktnih ranljivosti,« opozarja.
Vdori so dejstvo, vprašanje je samo hitrost obrambe
Na konferenci CSA CEE Summit 2017 v Ljubljani smo se pogovarjali s predstavniki britanskega podjetja Darktrace, ki se ukvarja z razvijanjem avtonomnih sistemom za kibernetsko obrambo.
Vpr: Kakšna je razlika med klasično kombinacijo protipožarne zaščite in protivirusnega programa in avtomatskega sistema kibernetske obrambe?
Protivirusne zaščite in požarni zidovi temeljijo na zamisli obrambe na obrobju informacijskega sistema in danes niso več tako učinkoviti, saj so grožnje vedno bolj zapletene in izpopolnjene.
Danes bi morali razmišljati v smeri, da so vsi sistemi ranljivi in da se bo treba pred napadalci braniti znotraj sistema. Hkrati je treba imeti v mislih tudi grožnje s strani uporabnikov omrežja, ki lahko zaradi neznanja ali napak spustijo v omrežje nepridiprave.
Avtomatski sistemi, najprej analizirajo normalno delovanje sistema in nato spremljajo matematične anomalije znotraj sistema – zato ne potrebujejo opisa groženj, temveč se zanašajo na lastno znanje o sistemu.
Vpr: Katere grožnje so danes najbolj problematične?
Ena najbolj problematičnih je zagotovo že prej omenjeni napad od znotraj (bodisi zaradi napake zaposlenih, fizičnega vdora do infrastrukture sistema oziroma primera nezadovoljnega uslužbenca).
Druga grožnja je internet stvari, ki ustvarja popolnoma nove načine napadanja, saj v sisteme priklapljamo vedno večje število nezavarovanih naprav, ki velikokrat nimajo niti osnovnega varovanja in so zato zelo primerne kot vektor napada na celoten sistem.
Tretja težava je povezovanje industrijskih sistemov, ki so povečini zastareli, in omrežij, ki jih uporabljamo za vsakdanje delo – tako lahko napadalci enostavno preskočijo iz enega sistema v drugi.
Vpr: Kako se bo razvijala pokrajina kibernetskih groženj?
Po našem mnenju je kibernetsko vojskovanje in obramba vprašanje brez dokončnega odgovora. Ključno je, da so obrambni sistemi prilagodljivi in da sanirajo grožnje, še preden nam škodujejo.
Zavedati se je namreč treba, da so danes vdori v kibernetske sisteme dejstvo in da je vprašanje samo hitrost in kakovost obrambe pred vdori. Pri avtonomnih sistemih za kibernetsko obrambo je ta obramba boljša, saj ni odvisna od tujih analiz groženj, temveč za to poskrbi sama.
Za uspešno obrambo namreč potrebuje samo signal, da se v sistemu dogaja nekaj nenormalnega. To je v osnovni popolnoma drugačen pristop od klasične antivirusne zaščite, kjer je obramba odvisna od vnaprej definirane grožnje.
Na predavanju sta raziskovalca omenila incident z ukrajinsko vojsko, ki je za izračunavanje položajev artilerijskega bombardiranja uporabljala aplikacijo za pametne telefone. Hekerji so v aplikacijo vdrli s trojanskim konjem in ta je pametni telefon spremenil v oddajnik lokacije in lovca spremenil v tarčo.
Tudi mednarodno združenje Online Trust Alliance (OTA) v svojem zadnjem poročilu s področja interneta stvari opozarja na neenakomerno porazdeljene odgovornosti za varnost in zasebnost. Prodajalci bi morali po mnenju združenja vzpostaviti sistem minimalnih varnostnih in zasebnostnih standardov ter s tem prisiliti izdelovalce, da začnejo vlagati tudi v razvoj tega področja. Izdelovalci naj bi varnostne in zasebnostne politike jasno navedli na samih izdelkih, da bi se potrošnik lahko zavedal svojih pravic in možnosti reakcije na ranljivosti. Vključeni bi morali biti tudi ponudniki dostopa do interneta, ki bi skrbeli za omejitev problematičnih praks v svojih omrežjih.
Razmere v Sloveniji
Slovenija na področju kibernetske obrambe sledi direktivam in razvoju članic Evropske unije. Lanskoletna napoved o ustanovitvi posebnega organa za kibernetsko obrambo se počasi uresničuje – slovenska vlada je namreč konec februarja 2017 sprejela Strategijo kibernetske varnosti, ki predvideva tudi ustanovitev posebnega Nacionalnega organa za kibernetsko varnost.
Pristojnosti naj bi prevzel Urad vlade za varovanje tajnih podatkov, katerega v.d. direktor je trenutno mag. Dobran Božič, ki je pred tem deloval v slovenski vojski kot načelnik generalštaba. »Slovenska kibernetska vojska je hkrati velika in mala,« pojasnjuje mag. Božič. »Mala zato, ker organizacijsko ni povezana, velika pa zato, ker v Sloveniji trenutno deluje veliko nepovezanih strokovnjakov s tega področja, kar kaže na to, da je Slovenija lahko na tem področju v svetovnem vrhu,« je prepričan.
Mag. Božič sicer ocenjuje, da je slovenski zasebni sektor na področju kibernetske varnosti bolj pripravljen na incidente kot javni, a vidi še veliko prostora za razvoj. »Ko spremljam razvoj varnostnih centrov znotraj podjetij, vidim, da jih v Sloveniji ni veliko, in verjamem, da bo v razvoj centrov v prihodnosti vsekakor treba vlagati,« razlaga in dodaja, da se javna uprava na drugi strani ubada s težavo pomanjkanja kadrov s tega področja. Pojasnjuje, da je »eden od razlogov neprivlačna plačna politika, po drugi strani pa mlade strokovnjake s področja kibernetske varnosti odbija tudi statična kultura javnega sektorja.«
Pomembno je, da so incidenti medijsko izpostavljeni in da se vrši pritisk na razvijalce programske in strojne opreme, da mislijo na varnost in zasebnost že med samim razvojem
Ključno vlogo igra po mnenju sogovornikov tudi formalno in neformalno izobraževanje uporabnikov. Novo nastajajoči Nacionalni organ za kibernetsko varnost po mnenju mag. Božiča ne bo igral vloge obveščevalne službe, temveč bo predvsem storitev, ki bo pomagala državnim organom, zasebnim podjetjem in zainteresirani javnosti.
Vojne strojev v prihodnosti
V drugi zbirki NATOvih priporočil za kibernetsko vojskovanje (Tallinn Manual 2.0: International Law Applicable to Cyber Operations), ki so bila objavljena februarja letos, lahko razberemo videnje kibernetskega vojskovanja v prihodnosti. Zanimiv je že naslov zbirke priporočil, saj se je bojevanje (warfare) iz prve zbirke spremenilo v operacije (operations), priporočila pa na več kot šesto straneh vsebujejo poglede na področje s stališča pravnih, vojaških in ekonomskih dilem.
Avtorji pojasnjujejo, da so se za spremembo naziva odločili zaradi nedavnih kibernetskih incidentov, kot so ruski vdori v zbirke podatkov ameriške demokratske stranke, ki po definiciji mednarodnega prava še niso vojno dejanje, a imajo določene značilnosti vojaških operacij.
Hkrati se med priporočili znajdejo razmišljanja o digitalni propagandi in povezujejo člene Ženevske konvencije o prepovedi krutega ravnanja z ujetniki ter objavo fotografij ujetnikov v spletu z namenom smešenja, pa napadi na spletno kulturno dediščino, uporabo zbirk podatkov za načrtovanje genocida in kibernetsko napadanje kritične infrastrukture.
A v priporočilih manjkajo razmišljanja o avtonomnih kibernetskih sistemih, za katera analitiki ocenjujejo, da bodo pomenili naslednji kvantni preskok v kibernetski ofenzivni in defenzivni dejavnosti. Algoritmi že danes ponujajo eno od možnih rešitev na področju kibernetske obrambe pred napadi, kjer se programska oprema za zaščito omrežij uči iz zlonamerne kode in prilagaja obrambne mehanizme, hkrati pa tudi programska oprema za uničevanje omrežij postaja vse pametnejša in vedno bolj avtonomna.
Obenem se razvijajo tudi avtonomni sistemi za kibernetsko obrambo. Na trgu je vedno več rešitev za kibernetsko obrambo na temeljih samoučeče programske opreme, ki ljudem pomaga pri obrambi kompleksnih informacijskih sistemov. Podjetja, kot so Darktrace, Deep Instinct, Harvest.ai in JASK, skušajo na tem področju orati ledino in ponuditi nov pogled na kibernetsko obrambo. Vsi temeljijo na podobni logiki – analizi vzorcev obnašanja procesov in uporabnikov v omrežju ter izoliranju nepričakovanih dogodkov v omrežju.
Sogovorniki se strinjajo, da smo zaenkrat še na začetku te poti, a so trendi zaskrbljujoči. Dr. Uroš Svete izpostavlja pomen izobraževanja na tem področju. »Razvoj tehnoloških zmogljivosti je ena plat medalje, treba pa je delati tudi na človekovi naravi,« pojasnjuje in dodaja, »da je človekova narava tista, na katero moramo vplivati,« ter opozarja, »da nikakor ne smemo dopustiti, da bi zgolj tehnologija določala varnostne standarde.« Tudi doc. dr. sc. Tonimir Kisasondi in Vlatko Kosturjak poudarjata človeški dejavnik in pomen zakonodaje. »Država bi morala na tem področju uvesti regulacijo s finančnimi kaznimi za izdelovalce, katerih izdelki ogrožajo varnost in zasebnost uporabnikov,« opozarjata.
V isti smeri razmišlja tudi dr. Svete, ki opozarja, da »so danes uporabniki informacijske tehnologije bolj ali manj prepuščeni sami sebi, slovenski izobraževalni sistem v primerjavi z nekaterimi drugimi državami pa zelo zamuja.« Dodaja še, da je preventivno delovanje veliko bolj učinkovito od kurativnega, kjer bi naknadno reševali posledice pomanjkljivosti in nevarnosti programske in strojne opreme, ki je dostopna na trgu.
Kibernetsko vojskovanje tako vedno bolj postaja prvovrstna politična tema, ki mora povezati tehnične in družboslovne strokovnjake in ponuditi celostne odgovore na pereča vprašanja varnosti in zasebnosti v kibernetskem prostoru. Sogovorniki so enotnega mnenja, da to ne sme in ne more biti stvar ene panoge, temveč se moramo s tem čim prej začeti ukvarjati vsi.