W sieci trwa nieustanna walka. Niczym na Dzikim Zachodzie dobre „białe kapelusze” walczą ze złymi „czarnymi kapeluszami”. Im bardziej pomysłowe ataki, tym lepszych metod obrony się szuka. Im bardziej doświadczeni krakerzy, tym bardziej profesjonalnych hakerów trzeba im przeciwstawić.
Jak się włamać na tę stronę internetową?
– A dlaczego chcesz się włamać?
– Bo chcę przećwiczyć to, czego się nauczyłem.
– Ale czy wiesz, że włamując się, podpadasz pod kodeks karny?
– To jak mam ćwiczyć hacking?!
Taki dialog, który powtarza się w kontaktach z adeptami hakerstwa, opisał na blogu Gynvael Coldwind. Młodzi trafiają na jego stronę i na prowadzone przez niego prezentacje na przeróżnych konferencjach. Pod tym pseudonimem kryje się jeden z najbardziej szanowanych w Polsce hakerów. Szanowanych hakerów? Choć brzmi to jak oksymoron, nie ma tu pomyłki.
Najczęściej wyobrażamy sobie hakera jako bohatera klasycznego już filmu „Gry wojenne”. Młody chłopak dla zabawy oraz dla sprawdzenia się włamuje się do wojskowego komputerowego systemu obronnego i niemal doprowadza do wybuchu wojny jądrowej. Ale ten wizerunek niewiele na wspólnego z prawdą. Ta zaś jest taka: na włamaniach do systemów komputerowych i obronie przed nimi robi się świetny biznes. Zarówno łamiący systemy i prawo krakerzy, jak i broniący przed nimi hakerzy to coraz częściej pracownicy korporacji lub rządu. Z tym że hakerów zatrudnia się do obrony przed atakami krakerów.
Czarno-białe
– Nie powiedziałbym, że zatrudniamy hakerów, tylko zatrudniamy świetnych specjalistów. Proszę ich nie nazywać hakerami – tak w radiowym wywiadzie zarzekał się na początku roku minister obrony narodowej Tomasz Siemoniak.
Po tej audycji zamiast pochwał za występowanie w obronie dobrego wizerunku specjalistów od zabezpieczeń dostał... baty. „Tak jak ślusarz nie jest, z definicji, włamywaczem, a mechanik samochodowy złodziejem pojazdów, tak samo haker nie jest cyberprzestępcą. (...) Niestety, nadal pokutuje fałszywy obraz hakerów: w debacie publicznej przedstawiani są oni jako pospolici przestępcy. Również w znaczeniu pejoratywnym pojawiła się ona w pańskim stwierdzeniu.???? Jednak, w środowisku specjalistów technologii informacyjnej określenie haker jest jednoznacznie pozytywne” – napisało kilku znanych u nas ekspertów od sieciowych zabezpieczeń w liście otwartym do szefa MON. I mieli rację.
Choć przyjęło się na osoby łamiące sieciowe zabezpieczenia mówić po prostu hakerzy, sprawa nie jest taka prosta. Bo dzieli się ich, niczym w westernach, na white hats oraz black hats. „Białe kapelusze” to hakerzy, którzy starają się nie wyrządzać szkód. Ich celem jest zwrócenie uwagi na luki w zabezpieczeniach, tak by ich autorzy mogli je usunąć; hakerzy zdobytej wiedzy nie wykorzystują dla własnych celów czy też przeciwko podatnym na ataki firmom czy instytucjom.
„Czarne kapelusze” to cyberprzestępcy, krakerzy, którzy wykradają dane po to, by na nich zarobić lub zyskać sławę. – Często umiejętności hakerów i krakerów pokrywają się, ale różnią ich motywacja i sposób działania – tłumaczy Sergiusz Bazański, jeden z sygnatariuszy listu do ministra obrony. Bazański należy do Dragon Sector, drużyny polskich programistów hakerów, która kilka miesięcy temu wygrała w rozgrywanych w Moskwie międzynarodowych zawodach Positive Hack Days.
Łamania zabezpieczeń bez wiedzy zainteresowanych nie tłumaczy nawet chęć pomocy. „Zastąpcie słowo strona, serwer czy serwis słowem dom. Czy gdyby ktoś obcy włamał się do naszego domu, po czym powiedział nam, jak to zrobił, to czy byśmy się ucieszyli z tego powodu? Czy uwierzylibyśmy zapewnieniom, że nic nie zginęło, że nie czytał naszego tajnego-pamiętnika-który-ukrywamy-pod-poduszką etc.? A może czulibyśmy się dziwnie, bo ktoś naruszył naszą prywatność? Być może nawet jakaś wdzięczność by się pojawiła po czasie, jak byśmy to przemyśleli i być może nawet kupili lepszy zamek, natomiast nie sądzę, żeby było to dominujące uczucie” – napisał na swoim blogu Gynvael Coldwind.
Tyle że tak jasny moralny podział działa tylko w teorii. W praktyce jest wiele odcieni szarości. – Wszystko zależy od punktu widzenia i przekonań. Jednak łatwiej zaobserwować u hakera system wartości kompatybilny w jakimś stopniu z moralnością społeczeństwa. Nawet jeżeli będzie naginał prawo, nie będzie to zazwyczaj tak rażące jak przy typowym popełnieniu przestępstwa, chociażby rozboju czy napadu na bank – opowiada Bazański. I dodaje, że można to porównać z zachowaniem kierowcy, który – choć nie zawsze przestrzega przepisów ruchu drogowego, to jest dość daleki od bycia przestępcą.
– Haker to termin, który ma bardzo dużo znaczeń. Tak dużo, że nawet ludzie zajmujący się kwestiami bezpieczeństwa gubią się w terminologii – przyznaje Paweł Jakub Dawidek, dyrektor ds. technicznych i oprogramowania w firmie Wheel Systems. – Można tak nazwać tych, którzy zarabiają na oferowaniu usług instytucjom, które nie są wystarczająco dobrze zabezpieczone. Ale są to także ci, którzy audytują oprogramowanie ze szlachetnych pobudek. Bo chcą, by świat był bezpieczniejszy. Jedni i drudzy to hakerzy – tłumaczy Dawidek. Ale dodaje, że hakerami nie da się nazwać już tych, którzy zabezpieczenia łamią dla własnej przyjemności lub by ukraść dane czy pieniądze. – To są dwie strony barykady – podkreśla.
Ale pewne jest, że obie strony działają coraz bardziej profesjonalne. Gdyby do komputerów w instytucjach rządów oraz bankach włamywali się tylko ludzie szukający rozrywki, specjaliści od zabezpieczeń spaliby o wiele spokojniej. Ale włamania, przekonuje Joanna Schulz-Torój, ekspert Doctor Web, stają się dla coraz liczniejszej grupy sposobem zarabiania. – W takich organizacjach pracują setki ludzi, którzy zajmują się nie tylko atakami, lecz sprzedażą usług, w tym nielegalnego oprogramowania używanego do wykradania wrażliwych danych – mówi. I ona podkreśla, że pierwsi hakerzy nie byli złodziejami, ale inteligentnymi informatykami, pracującymi często w ośrodkach naukowych, którzy wykrywali luki w zabezpieczeniach systemów. Z czasem ta grupa pasjonatów zaczęła wykorzystywać niedoskonałości sieci do własnych celów. I to celów najczęściej czysto zarobkowych.
Cyberrozbójnicy
Na początku roku głośno było o ataku na jedną większych sieci handlowych w USA – Target Corporation. Kraker wykradł z systemów firmy dane ponad 40 mln użytkowników kart kredytowych. Ochrona (znajdująca się w Indiach) nie zablokowała systemu, choć spływały do niej informacje o włamaniu. Dlaczego? Krakerzy dokonali skoku w Święto Dziękczynienia, a tego dnia Amerykanie robią gigantyczne zakupy. Szefostwo spółki kazało jej nic nie robić, bo zablokowanie systemu wiązałoby się z ogromnymi stratami. Prezes Target Corporation musiał się potem tłumaczyć ze swojej decyzji przed komisją dochodzeniową Kongresu, a akcje spółki straciły na giełdzie blisko 20 proc.
Najbardziej spektakularne ataki dotyczą właśnie giełd. Warszawski parkiet został niedawno zaatakowany przez grupę CyberBerkut. Przez jakiś czas nie działał jej internetowy serwis. – To był atak w stylu rosyjskim. Jest organizowany w taki sposób, że internauci skrzykują się pod hasłem „nasz kraj jest w niebezpieczeństwie”, a następnie – sztucznie generując ruch – masowo wchodzą na wybraną stronę internetową, która zostaje zablokowana – tłumaczy Robert Żelazo z firmy FireEye, która dostarcza rozwiązania i programy chroniące przed cyberatakami. Takie działania wydają się niegroźne, ale w przypadku giełdy, banków czy firm energetycznych mogą mieć poważne konsekwencje.
A nawet jeżeli u podstaw ataku leżą szczytne intencje, to i tak de facto chodzi o pieniądze. Tak było z włamaniem do Saudi Aramco, jednego z największych producentów paliwa, odpowiadającego za dostawy 10 proc. ropy naftowej na świecie. Grupa działająca pod nazwą Cutting Sword of Justice, co można przetłumaczyć jako „Tnący miecz sprawiedliwości”, zaatakowała w 2012 r. wewnętrzną sieć komputerową koncernu, by – jak tłumaczyła – walczyć w ten sposób z naruszaniem praw człowieka w Arabii Saudyjskiej. Opinia publiczna nigdy nie dowiedziała się, jakie były skutki akcji hakerów, ale musiały być poważne, skoro firma ogłosiła, że odcina wszystkie wewnętrzne systemy komputerowe od internetu, a przerwa w działalności kosztowała ją dziesiątki milionów dolarów. Grupa, która dokonała ataku, chwaliła się też, że weszła w posiadanie tajnych dokumentów Saudi Aramco, ale nigdy ich nie opublikowała. Nic dziwnego, że szybko pojawiło się podejrzenie, że Cutting Sword of Justice działała w ramach zleconego szpiegostwa gospodarczego.
Joanna Schulz-Torój jako przykład szczególnie niebezpiecznego trojana, który wielokrotnie w ciągu ostatnich lat atakował klientów polskich banków, wskazuje Zeusa p2p. – Z danych laboratorium firmy Doctor Web wynika, że od jesieni 2012 r. do kwietnia 2013 r. zaatakowano w ten sposób ponad 8 tys. razy – ujawnia.
Krakerów coraz częściej zatrudniają też rządy. To na ich potrzeby opracowano choćby watering hole attack, czyli atak przy wodopoju. Ten rodzaj przełamania zabezpieczeń jest przeprowadzany w miejscu, do którego ofiary same ściągają. Ta technika wymaga posiadania nie tylko umiejętności informatycznych, lecz i socjotechnicznych. W drugiej połowie 2013 r. taki atak przeprowadzili chińscy krakerzy: namierzyli serwisy internetowe odwiedzane przez politycznych uciekinierów i zainstalowali na tych stronach programy szpiegujące. – Jeśli ktoś wchodził na taką stronę, to ściągał szkodliwe oprogramowanie, które potem umożliwiało im dostęp do komputera – opowiada Żelazo. W ten sposób dysydenci, pobierając informacje o sytuacji w Chinach, byli jednocześnie inwigilowani przez tamtejszy rząd. Zresztą nie jest tajemnicą, że w Chinach włamywaniem się do serwerów umiejscowionych w innych krajach zajmują się jednostki wojskowe.
Cyberrycerze
Nic dziwnego więc, że prężnie rozwijają się działania obronne. A jest się czym zajmować. Po ataku na Saudi Aramco bałagan posprzątała firma Mandiant, która co roku przygotowuje raport M-Trends. Dane zebrane przez nią w 2013 r. pokazują, że statystycznie przez 229 dni po fakcie włamania do sieci firma nie wie, że została zaatakowana. – To, z czym mamy do czynienia dzisiaj, to ataki wyjątkowo wysublimowane. Po to, by jak najdłużej pozostały niewykryte – podkreśla Żelazo. Dodaje, że w 2013 r. 1/3 klientów firmy Mandiant wykryła włamania samodzielnie. Ale najczęściej wtedy, gdy przestępca uzyskał już pożądane dane.
Jeszcze bardziej alarmujące informacje płyną z badania przeprowadzonego na przełomie 2013 r. i 2014 r. przez firmę FireEye. Zbadano komputery u 1216 klientów w 63 krajach. W Europie na 351 klientów w 75 proc. systemów stwierdzono nawiązaną komunikację z krakerskimi serwerami CnC (Command and Control). Oznacza to, że ktoś komunikował się z sieciami, wykradał informacje i wykonywał różnego rodzaju komendy, np. kopiowania. – W Polsce w ciągu półtora roku przeprowadziliśmy testy u kilkudziesięciu klientów. 85 proc. miało u siebie zainstalowane szkodliwe oprogramowanie lub konie trojańskie, co oznacza, że ataki na te instytucje zakończyły się sukcesem – mówi Żelazo. I dodaje, że najnowsze ataki są tak sprytne, że wirusowe oprogramowanie nie uruchomi się, jeśli na przykład ktoś nie porusza myszką, są w uśpieniu, aż aktywuje je ktoś z wewnątrz. Mogą tak czekać nawet kilka miesięcy – opowiada ekspert.
Nie ma się co oszukiwać, że tradycyjne metody zabezpieczeń, firewalle czy antywirusy są wystarczające. Na eksperta trzeba odpowiedzieć ekspertem, który będzie znał i rozumiał zasady, jakimi rządzi się cyberbezpieczeństwo. A nikt do tego lepiej się nie nada niż haker. I choć dla wielu może to brzmieć jak herezja, ale właśnie specgrupy są do takiej obrony wynajmowane. – Jest nas już ponad 30, a kiedy zespół powstawał dwa lata temu, to liczył ledwie kilka osób. A choć jest nas coraz więcej, to pracy nam nie brakuje – powiada nam Rafał Jaczyński, szef takiej specgrupy czyli zespołu Cyber Security z firmy audytowej PwC. – Czy zatrudniamy hakerów? Na pewno nie pracujemy z nikim, kto złamał prawo. Nie potrzebujemy też nikogo, kto musi sobie udowadniać, jaki jest dobry, włamując się dla zabawy. Nasi eksperci mają po kilkanaście lat doświadczenia i dawno wyrośli z krótkich spodenek – dodaje Jaczyński ze śmiechem, lecz przyznaje, że mają takie umiejętności, że włamania nie byłyby dla nich problemem.
Zresztą takie włamania, ale za wiedzą i zgodą danej organizacji czy instytucji, są przez tę grupę przeprowadzane. To ataki typu hybrydowego, łączące elementy technologiczne oraz socjotechniczne. Uderza się, sprawdzając nie tylko zabezpieczenia infrastruktury, ale także to, czy sami pracownicy wiedzą, jak się zachować. Na przykład czy łatwo da się ich namówić do wyjawienia swojego loginu i hasła lub zachęcić do otwarcia pochodzącego z niewiadomego źródła e-maila z załącznikiem (może być w nim ukryty koń trojański). To konieczne, bo człowiek pozostaje najsłabszym ogniwem wszelkich zabezpieczeń. Dzięki takiej usłudze można sprawdzić, czy firma jest tak szczelna, jak się jej wydaje. – Oczywiście w ogromnej części nasza praca polega na działaniach zapobiegawczych: identyfikujemy ryzyka, sprawdzamy podziemne fora, czy nie pojawiają się sygnały o planowanych atakach, sprawdzamy poziom zabezpieczeń u naszych klientów, szukamy słabych punktów tak by o te dziury zadbać – opowiada Jaczyński. Dodaje, że to praca, w której nie da rady się nudzić, bo nigdy nie wiadomo, kiedy i z jakiej strony może pojawić się zagrożenie. – W Polsce nie ma specjalnie szerokiej świadomości, że takie usługi są naprawdę potrzebne i przydatne szczególnie dla tych organizacji, które funkcjonują na podstawie gospodarki wiedzy. To te, które muszą bronić swoich wynalazków, patentów lub są w sytuacji przygotowywania się do fuzji czy przejęcia i rynek nie powinien za wcześnie dowiedzieć się o nazbyt wielu szczegółach – dodaje ekspert z PwC i zapewnia, że jednak na świecie są to już dla części branż standardowe usługi.
Zresztą i na świecie jeszcze kilka lat temu korporacje reagowały alergicznie na informacje o dziurach w ich zabezpieczeniach, a cyberspecjalistów, którzy o tym informowali, w najlepszym przypadku zbywały, a w najgorszym – ścigały. Jednak podejście dużych instytucji do hakerów się zmienia. – Świetnym przykładem jest Microsoft, który w przeszłości różnie podchodził do błędów w produktach. Dziś prowadzi specjalne programy, w ramach których płaci hakerom za znajdowanie dziur w oprogramowaniu i zawiadamianie o nich. Młody człowiek dysponujący zdolnościami może opublikować znaleziony przez siebie błąd na specjalnej liście i zawiadomić o tym MS – opowiada Paweł Jakub Dawidek z Wheel Systems. Dodaje, że musiało jednak minąć wiele czasu, by giganci IT dorośli do tego. Stąd dzisiaj już nikogo nie dziwi, że największe firmy mają swoich hakerów na etacie – i tak Sergiusz Bazański pracuje dla CodiLime, a Gynvael Coldwind piastuje stanowisko information security engineera w Google.
To oczywiste, że przestępcy zawsze mają przewagę, ale jak to bywa ze zbrojeniami – obie strony coraz bardziej dopracowują arsenały. W efekcie najnowocześniejsze zabezpieczenia są tak sprytne, że potrafią sobie poradzić nawet z najbardziej wyrafinowanymi atakami. Jak? – Działają jak saperzy. To urządzenia sieciowe, przez które przechodzi cały ruch internetowy. Na nich zainstalowane są tysiące maszyn wirtualnych – odpowiedników komputerów – z różnymi systemami operacyjnymi – wyjaśnia Żelazo. Dodaje, że taka maszyna wykonuje to wszystko, co działoby się na prawdziwym komputerze. Z taką jednak różnicą, że jest wyposażona w system powiadamiania o atakach.
– Wiadomo więc, że przesłany do nas właśnie e-mail zawiera np. załącznik PDF, który otwarty w określonej wersji programu Adobe zainstaluje na komputerze trojana. Wtedy komunikacja zostaje wstrzymana – mówi ekspert. Jak twierdzi, e-maile są najpierw sprawdzane, a potem przekazywane na komputer. W przypadku stron WWW opóźnienie nie jest możliwe (bo użytkownicy byliby bardzo niezadowoleni nawet z kilkusekundowego czasu otwierania stron), więc system wirtualny sprawdza komunikację WWW równolegle do tego, co się dzieje na komputerze. Urządzenie jest wprawdzie zaatakowane, ale już nie zdąży odpowiedzieć atakującemu, czyli żadne dane nie zostaną wysłane do cyberprzestępcy.
Im bardziej więc pomysłowe ataki, tym lepszych metod obrony się szuka. Im bardziej doświadczeni krakerzy, tym bardziej profesjonalnych hakerów trzeba im przeciwstawić.