Vse na internet

Poslušamo, kako nevarni so spletni napadi, kako napadalci kradejo denar z bančnih računov in kako kradejo identitete. Manj pa se ve, kako odvisni smo postali od interneta in kako radi nanj obešamo vse, tudi stvari, ki tam nimajo kaj početi. Več je sistemov na internetu, večje možnosti imajo vohuni, vojaki in teroristi, da škodijo.

Naslednja velika stvar za pametnimi telefoni so povezane naprave oziroma naprave interneta stvari. So raznovrstne, a z eno skupno značilnostjo: sposobne so se povezati v internet. Hiša je v celoti pametna, avtomatizirali smo vse, kar je mogoče. Tudi elektromotorje za spuščanje in dviganje žaluzij. Ker smo v koraku s časom, jih lahko dvigamo in spuščamo od koder koli, saj je ves sistem povezan v internet. In zakaj bi potrebovali možnost, da žaluzije premikamo, kadar nas ni doma? Dejali bi, da zato, ker bi opazili, da je temperatura zaradi sončnega dneva v sobi previsoka, spuščena žaluzija pa bi temperaturo znižala. Vendar za to ne potrebujemo interneta. Sistemu ukažemo (ga programiramo), da če je temperatura v sobi prek mejne vrednosti, zunaj pa sije sonce, samodejno in brez našega posredovanja spusti žaluzije, drugače pa jih dvigne.

Cilj je, da so vse možnosti pametnega doma dostopne prek interneta, namesto da bi bile takšne le tiste, ki povezavo potrebujejo. Le redki se vprašajo, zakaj imajo možnost povezave v internet in možnost hranjenja podatkov na spletnih strežnikih tudi naprave, kjer za to ni logike. Dovolj zanje je, da so dostopne iz domačega omrežja, podatke pa lahko hranijo na lokalni pomnilnik. Pralni stroji, pametni kavomati, pečice in še cela vrsta drugih naprav je dostopnih prek interneta, podatke, ki jih pri delu »ustvarijo«, pa pošiljajo na spletne strežnike. Razlog je v podatkih. Ti so dragoceni za izdelovalce naprav, ki si obetajo dodatne zaslužke s prodajo brezosebnih podatkov uporabnikov. Kako problematično je to, smo pisali v članku Ekonomija osebnih podatkov, ki ga najdete na naši spletni strani. Verjetno ne bi bilo s tem nič narobe, če bi izdelovalci uporabniku omogočili, da se sam odloči. Da dovoli, da je naprava dostopna prek interneta, ker mu ta možnost veliko pomeni, in da hrani podatke na strežnikih, ali pa ne, ker mu zadostuje dostop do nje iz domačega omrežja in lokalno shranjeni podatki. Enako velja za nosljive naprave, ki beležijo korake. Podatke hranijo na strežnikih, uporabnik pa nima možnosti, da bi bili shranjeni le na pametnem telefonu, ker mu ta oblika zadostuje.

Težnja je, da so elementi infrastrukture (elektrika, voda, ceste) dostopni z enega mesta, s katerega je mogoč celovit nadzor. Semaforji niso povezani v internet, temveč imajo do centrale lastno podatkovno povezavo. Enako je s števci porabe energije, ventili vodovodnega in plinskega omrežja in podobno. V centrali je omogočen nadzor iz enega ali več računalnikov. Kako pa so ti povezani? Če imajo hkrati tudi dostop v internet, obstaja možnost, da heker prevzame nadzor nad njimi, s tem pa tudi nad vsem, kar ti nadzirajo. Motenje preskrbe z energijo, vodo, izklop vseh semaforjev pa ni nekaj, zaradi česar bi preprosto skomignili z rameni, ko gre kaj narobe. Računalniki, ki nadzirajo infrastrukturo, bi morali biti fizično ločeni od omrežja računalnikov v podjetju, ki imajo dostop do interneta. Kar pomeni dve ločeni omrežji. Nekje je tako, verjetno pa ne povsod. Varčevanje je mila beseda, ki jo radi slišijo lastniki in vodstvo podjetja. Dve ločeni omrežji, morda celo dva računalnika na zaposlenega je dražje kot eno omrežje in en računalnik. Varčevanje pa ni vedno dobrodošlo, sploh ne tedaj, ko vpliva na nižjo varnost.

Heker v službi države

Moderne vojne ne potekajo le na bojišču s tanki in letali, temveč tudi v kibernetičnem svetu. Obstoj hekerskih enot v razvitejših vojskah ni skrivnost, je pa skrivnost, kaj in kako to počnejo. V zahodnem tisku je razvpita enota 61398 kitajske ljudske armade. Poleg ukvarjanja s kibernetičnim vohunjenjem naj bi bila »zaslužna« tudi za krajo gospodarskih skrivnosti in Američani so nekaj njenih znanih članov obtožili pred sodiščem. Na kraj pameti pa jim ne pade, da bi enako storili s svojimi hekerji, ki isto počnejo drugje po svetu. Zakaj bi, ko so oni in njihovi zavezniki na dobri strani sile, vsi drugi pa na temni. Morda pa kitajski bralci bolj poznajo nečedno početje zahodnih hekerskih vojaških skupin, hkrati pa hvalijo svojo? Nekaj je res. So spletne strani, ki v realnem času kažejo sumljivo dogajanje na internetu. Če je verjeti njim, potem neprimerno več sumljivih aktivnosti izvira iz Kitajske kot od koder koli drugje.

Državni hekerji imajo raznovrstne naloge. Napadajo infrastrukturo nasprotnika in mu poskušajo zadati boleč udarec, ki bo vplival na njegovo sposobnost vojskovanja, hkrati pa so v prvi vrsti obrambe pred njegovimi spletnimi napadi. Malo je znano o orodjih, ki jih imajo na voljo, pa tudi o uspehih. Prizadeti neradi javno priznajo, da je bila napaka na infrastrukturi posledica hekerskih napadov.

Govorilo se je, da je bil pred leti izpad elektrike v dobršnem delu Združenih držav posledica hekerskih napadov, kar so vpleteni večkrat zanikali. Potrjena ste le dva uspešna spletna napada, katerih posledica je bilo fizično uničenje opreme. Konec leta 2007 ali v začetku leta 2008 naj bi sile združili ameriški in izraelski hekerji ter sabotirali delovanje centrifug v iranskem obratu za bogatitev urana. Ni šlo za spletni napad, saj je črv Stuxnet Siemensove industrijske krmilnike okužil prek okuženih fizičnih podatkovnih nosilcev. Zaradi okužbe krmilnikov so se centrifuge nenadzorovano vrtele in prišlo je do poškodb. Napad je bil odkrit leta 2010 in takrat smo lahko poslušali, da je le vprašanje časa do novega »uničujočega« napada. Do njega je prišlo lani. Napadena je bila nemška jeklarna, njenega imena pa niso razkrili. Tudi v tem primeru so hekerji vplivali na industrijski krmilni sistem, in sicer za nadzor plavža (peči). Veliko o napadu in škodi ni znano, le to, da peči niso mogli nadzorovano ugasniti in je menda prišlo do ogromne škode.

Oba primera kažeta, da so industrijski krmilni sistemi dovzetni za napade, podobni sistemi pa nadzirajo tudi delovanje električnega, plinskega in vodovodnega omrežja. Posledice napada na iranski obrat in nemško jeklarno ljudje nismo občutili. Uspešen napad na javno infrastrukturo pa bi!

Države hekerje »zaposlujejo« tudi za namene vohunjenja. Do informacij o nasprotniku je veliko enostavneje in brez žrtev priti prek interneta. Lani je Edward Snowden razkril, kaj počne agencija NSA, s tem pa so tudi njene dejavnosti v kibernetičnem svetu bolj znane. Napačno pa bi bilo, če bi mislili, da le NSA vohuni po svetu. To počnejo vse države sveta, v skladu s svojimi zmožnostmi. Afera NSA je toliko večja zaradi obsega vohunjenja, ki ga je razkrila, in svobode govora v demokratičnih državah. Posledica pa je, da nekatere države razmišljajo o ponovnem tipkanju občutljivih dokumentov na tipkarskih strojih. Medtem ko nekateri o tem razmišljajo, se je menda izkazalo, da v Rusiji to počnejo že ves čas. V zadnjih letih so varnostni strokovnjaki razkrili tudi več škodljivih kod oziroma omrežij okuženih računalnikov, ki so bili uporabljeni za vohunjenje v Evropi in tudi drugod po svetu. Obseg elektronskega vohunjenja je verjetno še veliko večji, kot kažejo Snowdnova razkritja.

Najemajo jih teroristi …

Možnost fizičnega uničenja kritične opreme infrastrukture s pomočjo škodljive programske opreme bi bila najbolj uničujoča v rokah terorističnih organizacij. Te imajo denar, Islamska država (ISIS) naj bi letno imela na voljo dve milijardi dolarjev in si lahko privošči najeti hekerske skupine, ki bi za denar izpolnjevale »želje«.

Na srečo hekerski napadi, ki imajo za posledico uničenje kritične infrastrukture, niso tako enostavni, kot bi si mislili. Nekaj je vdreti v sistem, nekaj drugega pa povzročiti škodo. Pisci črva Stuxnet so morali imeti v »laboratoriju« enak krmilnik in enako centrifugo, ki sta bila v iranskem obratu, da so lahko preizkusili delovanje modula za sabotiranje oziroma ugotovili, kakšno zaporedje ukazov povzroči največjo škodo. Manj je verjetno, da bi imel to opremo heker v kleti svojih staršev. Škodljive kode, ki so sposobne uničiti »opremo«, zato razvijajo hekerske skupine v službi držav, tam razvito kibernetično orožje pa bi lahko prišlo v roke teroristov, če bi se ti hekerji odločili za »zasebno« poslovno pot ali če bi jim ga prodale kar države, ki so ga razvile. Pa še tedaj bi bil uspeh kibernetičnega terorističnega napada vprašljiv, saj sočasno z razvojem kibernetičnega orožja razvijajo tudi zaščito pred njim.

Po drugi strani pa je tudi res, da bi napadena država priznala uspešen kibernetični napad le, če ga ne bi mogla skriti. Čisto nekaj drugega je, ko Estonija obtoži Rusijo napada spletne strani državnih ustanov kot priznanje uničenja infrastrukture kot posledice kibernetičnega napada ali terorizma. Možno je, a je do obeh v manjši meri že prišlo, le da so bile posledice majhne in jih je bilo mogoče pred javnostjo skriti, da je bil napad pravočasno preprečen ali pa da teroristi internet uporabljajo za druge namene, in (še) ne za kibernetične napade.

Grožnja kibernetičnega terorističnega napada ni zanemarljiva pravzaprav zaradi nas samih, ko želimo informatizirati in na internet odpreti vse, pri tem pa dostikrat pozabimo na varnost. Samo predstavljamo si lahko, kako katastrofalne bi bile posledice »izklopa« na primer sistema za nadzor zračnega prometa ali celo »uničenja« električne infrastrukture. Možnost, da bi do takšnega napada prišlo kot posledica vojne med dvema državama, je pričakovana, teroristični napad pa bi prišel kot strela iz jasnega, zato pa bi bile tudi posledice hujše.

Čeprav je verjetnost kibernetičnega terorističnega napada majhna, popolnoma brez skrbi ne moremo biti. Islamska država je pokazala, da je sposobna sprejeti in izkoristiti nove tehnologije, pa čeprav za zdaj le za promocijo. Teroristi niso, pa čeprav se tako obnašajo, ljudje iz srednjega veka, med njimi je tudi veliko genijev, ki so sposobni, če imajo na voljo dovolj sredstev in časa, narediti marsikaj.

… pa tudi podjetja

Kibernetično orožje, škodljive kode ter metode in tehnike, ki jih hekerji razvijajo – naj bodo na plačilni listi držav ali to počnejo zaradi svojega užitka –, niso uporabni le za kibernetično vojskovanje in terorizem, temveč tudi za nekaj bolj dobičkonosnega in očem skritega. Za kibernetično industrijsko vohunjenje. Morda je pri napadu na podjetje Sony Pictures Entertainment šlo za krajo poslovnih skrivnosti. Napadalci so odnesli veliko podatkov, med drugim tudi načrte (scenarije) filmov. Ni ga konkurenčnega filmskega studia, ki mu ti podatki ne bi bili dragoceni bolj kot kepa suhega zlata.

Podjetja nerada priznajo hekerske napade, še najmanj tiste, ki se uvrščajo med industrijsko vohunjenje. Za ugled Sonyja je bolje igrati vlogo žrtve, s prstom kazati na grde male Severnokorejce, kot priznati, da so imeli slabo varovan sistem in da je bil cilj napada kraja poslovnih skrivnosti, vse drugo (objava filmov na spletu, objava elektronskih sporočil zaposlenih in podobno) pa le prikrivanje osnovnega cilja.

Ogroženost Slovenije pred kibernetičnim vojaškim ali terorističnim napadom je razmeroma majhna, pred kibernetičnim vohunjenjem pa nismo imuni. Imamo podjetja, ki so na svojih področjih pomembni svetovni igralci, in ta imajo skrivnosti, do katerih bi se tekmeci radi dokopali.

Družba bi se morala bolj bati kibernetičnega vojskovanja, terorizma in vohunjenja, ki ga izvajajo države (ali teroristične skupine), kot posamičnih napadov na spletne uporabnike. Skrb za internetno varnost pa je večplastna. Varovati se moramo kot posamezniki, varni morajo biti tako državni sistemi kot tudi sistemi podjetij.