Nie święci komputery hakują (tylko dzieciaki)
Jakiś czas temu Prezydent Stanów Zjednoczonych, przebywając na zasłużonym urlopie w Camp David, nadrabiał zaległości w przebojach kinowych ostatnich lat. Szczególną jego uwagę przykuł film o nastolatku, który siedząc w zaciszu swojego pokoju, myśląc, że włamuje się do komputera producenta gier, tak naprawdę penetrował system obrony powietrznej USA – w konsekwencji omal nie wywołując trzeciej wojny światowej. Kolejnego dnia po seansie, korzystając ze spotkania z Przewodniczącym Kolegium Połączonych Szefów Sztabów, Prezydent zapytał, czy w życiu możliwa jest sytuacja z filmu: do najpilniej strzeżonego komputera w Ameryce włamuje się zwyczajny nastolatek przy pomocy zwykłego komputera i kawałka telefonicznego kabla. Generał obiecał zapytać kogo trzeba i po tygodniu wrócił z odpowiedzią:
– Panie Prezydencie – powiedział – sytuacja wygląda o wiele gorzej, niż pan myśli[1].
Tym prezydentem był Ronald Reagan, który pod wpływem filmu „Gry wojenne” przyczynił się do powstania w 1984 roku dyrektywy numer 145[2] – pierwszego prezydenckiego rozporządzenia zwracającego uwagę decydentów na możliwość penetracji krytycznej infrastruktury USA nie tylko przez dysponujące olbrzymimi możliwościami obce wywiady, ale także przez amerykańskich nastolatków z prymitywnymi, nawet jak na owe czasy, domowymi komputerami.
„Gry wojenne” stały się przyczynkiem do tego, że media przez długie lata traktowały cyberataki jedynie jako ciekawostkę, utrwalając obraz hakera jako nastolatka, który zamiast chodzić do szkoły, przesiaduje w swoim pokoju przed komputerem i włamuje się do systemów należących do państwa i korporacji. Dość powiedzieć, że Neal Patrick, siedemnastoletni przywódca hakerskiej grupy działającej pod kryptonimem 414, która na początku lat osiemdziesiątych odpowiedzialna była za liczne ataki, m.in. włamanie do systemu komputerowego centrum badań nad bronią jądrową, czyli słynnego Los Alamos National Laboratory, zamiast wylądować do końca swych dni za kratkami, trafił – niczym celebryta – na okładkę „Newsweeka”[3]. Skutek był jeden: w czasach, gdy komputery domowe utożsamiane były ze sprzętem dla młodzieży – komputerowym włamywaczem w powszechnej opinii nie mógł być nikt inny, jak tylko znudzony nastolatek.
Później, stopniowo, wraz z upowszechnieniem się Internetu, obraz komputera jako skomplikowanej zabawki dla genialnych, ale leniwych wyrostków, uległ zamazaniu; starsze pokolenia, wychowane jeszcze przed (lub poza, gdy gospodarstwo domowe nie było wystarczająco zamożne, aby pozwolić sobie na „Atari” czy „Amigę”) komputerowym boomem lat osiemdziesiątych, odkryły media społecznościowe. W zbiorowej świadomości zmienił się obraz czynności, jaką jest korzystanie z komputera – nie było to już wpisywanie z klawiatury niezrozumiałych komend, pozostające atrakcyjnym, nie wiedzieć czemu, dla (wybranych) nieletnich; wręcz przeciwnie – dzięki dzisiejszym komputerom można oddawać się radości podglądania znajomych nabywszy jedynie manualną zdolność kliknięcia na ikonie przeglądarki internetowej. „Maszyny cyfrowe” naszych czasów stały się tak proste w obsłudze, że dziś, gdy nawet ów tekst jest pisany przez Internet, podstawowa znajomość przeglądania Sieci potrafi zaspokoić wszystkie potrzeby statystycznego użytkownika komputera i powoduje, że jakiekolwiek techniczne szczegóły jego działania pozostają owiane mgłą tajemnicy.
Bardziej dojrzałym czytelnikom chcielibyśmy przypomnieć, że podobnie rzecz się ma z motoryzacją: ongiś nie sposób było użytkować samochodu osobowego bez podstawowej znajomości mechaniki pojazdowej i zacięcia do improwizacji. Aby wyruszyć w podróż Syreną obowiązkowo należało umieć blokować półoś za pomocą łyżki do opon, posiadanie Fiata 126p zaś wymagało zdolności jego uruchamiania przy użyciu kija od szczotki. Dziś w wielu autach na próżno nawet szukać bagnetu służącego sprawdzaniu poziomu oleju silnikowego – samochody te, łącząc się bezprzewodowo ze stacją obsługi, same dadzą znać, że pora ów przybytek odwiedzić. Wraz z powolnym odchodzeniem do lamusa koła zapasowego, odchodzi konieczność posiadania podstawowej wiedzy o działaniu i obsłudze samochodu. Dla młodszych pokoleń wiedza o tym, co dzieje się pod maską samochodu stanowi tajemnicę i kojarzy się z czymś skomplikowanym, czym nie warto się zajmować, skoro samochód spełnia swoje zadanie. Odwrotnie, niż w przypadku komputerów.
Obecnie słowo „cyberatak” przestało być kojarzone z ciekawskimi dzieciakami. Mimo, że walka w cyberprzestrzeni ma historię znacznie dłuższą niż Internet, dopiero niedawno media odkryły w niej źródło sensacyjnych informacji na każdą okazję. Od tej pory jesteśmy regularnie zasypywani coraz bardziej zatrważającymi doniesieniami o atakach armii hakerów, będących na utrzymaniu Korei Północnej, Chin i – przede wszystkim – Rosji. Według popularnych mediów za każdym atakiem, włamaniem, ba, zwykłą awarią komputera, musi stać „hakerska armia Putina”. Szczególnie, jeśli gdziekolwiek pojawi się najmniejszy ślad komputera z Rosji. Adam Golański, dziennikarz specjalizujący się w bezpieczeństwie IT, posunął się nawet do stwierdzenia, że „rosyjski haker w zachodnich mediach ogrywa wręcz rolę baboka do straszenia dzieci”[4]. Satyryczny portal ASZdziennik w kpiącym tonie komentując kampanię wyborczą w USA pisał, że Hillary Clinton gotowa jest winić „rosyjskich hakerów” nawet jeśli sama potrąci samochodem zakonnicę[5].
Tymczasem powiedzenie, że nie święci garnki lepią wciąż pozostaje w mocy. Tak jak przed niejednym taksówkarzem z czterdziestoletnim stażem silnik diesla w Mercedesie nie ma żadnych sekretów, tak i dla niezliczonej rzeszy młodych ludzi mechanizmy komunikacji komputerów także nie są wiedzą tajemną. W opublikowanym w 2016 roku amerykański Erikson Institute stwierdza, że 85% amerykańskich dzieci poniżej szóstego roku życia korzysta z komputerów, tabletów i smartfonów[6]. Inne badania wskazują, że dzieci zaczynają korzystać z Internetu średnio w wieku trzech lat, a ich rodzice twierdzą, że dzięki temu zyskują one świetną umiejętność obsługi komputera[7]. Brytyjskie Office of Communications poszło o krok dalej – w swoich badaniach nad wykorzystywaniem technologii cyfrowych przez Brytyjczyków użyło wartości „ilorazu cyfryzacji”, czyli DQ. Jak donosi The Guardian, z badań Office of Communications wynika, że średnia wartość DQ wśród brytyjskich czternasto- i piętnastolatków wynosi 113, podczas gdy dorośli w wieku 45 – 49 lat mogą poszczycić się DQ na poziomie 96; później jest tylko gorzej[8]. Nic zatem dziwnego, że nawet 40% rodziców uczy się obsługi najnowszych technologii od swoich dzieci[9].
Dzieci pozostają dziećmi – skorymi do psot czy przechwałek przed innymi; od zarania dziejów w tej kwestii nic nie uległo zmianie, zmieniają się jedynie zabawki. Poruszając się bez porównania swobodniej w Internecie niż rodzice, dzisiejsze dzieci – podobnie jak bohater „Gier wojennych” sprzed trzydziestu lat – także włamują się na inne komputery dla „draki”, jak w przypadku chłopca z Pensylwanii, który dla żartu włamał się na stronę www belgijskiego lotniska w Zaventem. Być może włamanie owo pozostałoby bez większego echa, gdyby nie fakt, że dzieciak wybrał sobie trochę niefortunny czas na wybryki – jego włamanie zbiegło się z atakami terrorystycznymi, stawiając na nogi belgijskie i amerykańskie służby[10]. Dziecięca skłonność do rywalizacji wystarczyła, by piętnastoletni Michael Calce z Kanady unieruchomił strony www takich gigantów jak Amazon, Yahoo, CNN czy Dell. Policja nie wpadłaby na jego trop, gdyby nie fakt, że chłopak przechwalał się swoimi „osiągnięciami” na internetowych forach, ukrywając się pod pseudonimem „Mafiaboy”[11].
Skoro już o blokowaniu dostępu do gigantów mowa – w listopadzie 2016 roku miliony internautów na wschodzie USA zostały odcięte od Sieci. Kto się do tego przyczynił? „Winę ponoszą dzieciaki” – pisał kilka dni później portal vice.com – „największy atak DDoS w historii został prawdopodobnie przeprowadzony przez znudzone nastolatki”[12]. To największy atak – a te drobne? Te, które udało się wykryć, liczone są w tysiącach (powstają nawet rankingi nastoletnich hakerów[13]); a co z tymi, które pozostają niezauważone?
Wróćmy do kultowego filmu. Główny bohater „Gier wojennych” w jednej ze scen, dostając się do szkolnego systemu komputerowego, podwyższa oceny koleżance i sobie. To, co w USA nie było fantastyką naukową w latach osiemdziesiątych, w Polsce przestało być dopiero w XXI wieku, do czego wybitnie przyczyniły się wrocławska firma Vulcan oraz katowicki Librus. I tu dochodzimy do kolejnego czynnika, który motywuje młodych ludzi do zgłębiania arkanów cyberbezpieczeństwa – polski Internet ugina się od pytań typu „jak włamać się na vulcan” czy „jak usunąć oceny z librusa”. Jeden z poznańskich gimnazjalistów, aby podwyższyć oceny sobie i kolegom, był bardzo kreatywny: stworzył replikę strony internetowej szkoły i w miejscu, gdzie w oryginale występowało logowanie do „komputerowego dziennika”, umieścił odpowiedni mechanizm przechwytujący hasła. Wpadł, gdyż nie zacierał za sobą śladów – być może specjalnie, bo przyznał się do winy nie kryjąc samozadowolenia[14].
Opisujące tę historię dziennikarki postanowiły sprawdzić, czy to odosobniony w Wielkopolsce przypadek nastoletniego hakera. Jak nietrudno się domyślić, w przypadkach ataków przeprowadzonych przez młodych Wielkopolan można było przebierać – począwszy od „drobnostek”, gdy piętnastolatek z Golina (bez żadnego powodu, jak potem twierdził) wylicytował na popularnym serwisie aukcyjnym Audi za 90 tys. zł używając cudzego konta, przez przypadek, gdy gimnazjalista ze Środy Wielkopolskiej za pomocą strony łudząco podobnej do serwisu Nasza Klasa wykradał hasła, aby potem siać zamęt wśród użytkowników prawdziwego portalu, skończywszy na siedemnastoletnim mieszkańcu Poznania, który włamał się do systemów amerykańskiej agencji kosmicznej NASA[15]. Agencje nie podają, jaka kara spotkała tego licealistę; gdy w 1999 roku zabezpieczenia systemów NASA i Pentagonu sforsował Jonathan James, piętnastolatek z USA, rząd federalny skazał go na pół roku więzienia, czyniąc go pierwszym nastolatkiem skazanym za „przestępstwo komputerowe”[16], tym samym kończąc erę pobłażania młodym hakerom (i umieszczania ich na okładkach poczytnych magazynów).
Młodzieńczy zapał do ciągłej rywalizacji i przechwałek przybiera w cyberprzestrzeni też jeszcze inną formę: dzieci lubią sprawdzać się jako autorzy oprogramowania, służącego atakom. Program użyty do opisanego wyżej „największego w historii ataku DDoS” był udostępniony na zwykłej, nie ukrywanej w żaden sposób, stronie www. Z analizy jego kodu źródłowego wynika zaś, że był on stworzony przez ucznia szkoły średniej. Znany jest przypadek Adama Mudda, piętnastolatka z Hertfordshire, który udostępniając odpłatnie autorskie oprogramowanie do ataków zarobił w efekcie 315 tys. funtów[17]. Setki innych narzędzi do cyberataków znaleźć można na ogólnodostępnych stronach. Powstały nawet swoiste „kombajny” gromadzące w jednym programie wiele możliwych sposobów ataków, w zależności od tego, czym charakteryzuje się system ofiary. Jeśli młody człowiek nie wie, z jakim systemem ma do czynienia, jeden z popularnych „kombajnów” posiada opcję wyzwalającą wszystkie ataki na raz – twórcy oprogramowania nazwali ją przekornie „Hail Mary” („Zdrowaś Maryjo”). W Internecie dostępnych jest wiele instrukcji, jak z tego typu narzędzi korzystać. Niejednokrotnie są to instrukcje bardzo szczegółowe, opisujące krok po kroku sposób działania. Zatem często, aby zaatakować, nie trzeba dysponować specjalistyczną wiedzą – „script kiddies” wiedzą jedynie, skąd ściągnąć odpowiedni program i dalej postępują według instrukcji.
Na zakończenie jeszcze o słynnych „rosyjskich hakerach”. Można zauważyć, że do tej pory w niniejszym tekście nie opisaliśmy przypadku hakera-nastolatka z Rosji. Czy to oznacza, że takowi nie istnieją? Badania[18], a także osobiste doświadczenie autorów niniejszego tekstu wskazują, że jest wręcz przeciwnie – rosyjskie nastolatki przodują, jeśli chodzi o umiejętności obchodzenia zabezpieczeń systemów komputerowych. Brian Krebs, amerykański dziennikarz specjalizujący się w tematyce cyberprzestępczości, posiłkując się badaniami opublikowanymi w czasopiśmie ACM Transactions on Computing Education[19], tłumaczy ów fakt programem nauczania informatyki w Rosji, skupiającym się na takich elementach, jak matematyczne podstawy informatyki, algorytmika, modelowanie czy języki programowania[20]. Wspomniany wcześniej Adam Golański pisze: „rosyjskie nastolatki przez całe lata ćwiczą się w pisaniu programów i rozwiązywaniu realnych problemów informatycznych, podczas gdy amerykańscy uczniowie zastanawiają się nad takimi problemami jak >>wykorzystanie komputerów w twórczej ekspresji<< czy >>rozwój programów na potrzeby ludzi i organizacji<< – właściwie nikt nie musi programować[21]”. Dodajmy do tego raczej bezdyskusyjny fakt, że władze Rosji nie są zainteresowane ściganiem hakerów atakujących systemy w innych krajach, gdyż jest to działanie w ogromnej większości służące interesom Rosji. Zatem nie za każdym atakiem z Rosji stoi cyber-armia Putina. Rosyjskie dzieciaki, doskonale informatycznie wyedukowane i pozostające praktycznie bezkarne, dalej są dzieciakami. I podobnie, jak ich rówieśnicy z innych części świata, skore są do przeprowadzania cyberataków z pobudek, jakie raczej dorosłym by do głowy nie przyszły. Bywa, że i bez żadnego określonego powodu.
Młodość, która od zawsze rządziła się swoimi prawami, bez względu na szerokość geograficzną, dziś ma do dyspozycji nowoczesne i często groźne zabawki. Ale dzieciaki i ich (osobliwe) zabawy nie stanowią takiego zagrożenia, jak armia etatowych hakerów. Zatem i wysiłki, aby zabezpieczyć się przed ewentualnymi atakami będą bez porównania mniejsze.
Kluczem do sukcesu są odpowiednie nawyki przy pracy z komputerem, aktualne oprogramowanie oraz umiejętność rozpoznania pierwszych zwiastunów ataku. Czytelników chcących poznać szczegóły – odsyłamy do oferty Fundacji Po.Int, gdzie na przykład w ramach szkolenia „cyberawareness” uczymy, jak niskim kosztem skutecznie przeciwdziałać możliwym atakom, nie tylko ze strony znudzonej młodzieży. Zapraszamy!
Arnika Hryszko
Jarosław Hryszko
Przypisy
[1] https://www.nytimes.com/2016/02/21/movies/wargames-and-cybersecuritys-debt-to-a-hollywood-hack.html
[2] https://fas.org/irp/offdocs/nsdd/nsdd-145.pdf
[3] http://graphic-server.com/cgi-bin/backissues.cgi?full/NW19830905.JPG
[4] https://www.dobreprogramy.pl/Tak-to-robia-w-Rosji-hakerzy-produkowani-na-masowa-skale,News,81865.html
[5] http://aszdziennik.pl/118843,pilne-hillary-c-zatrzymana-pod-wplywem-alkoholu-przejechala-na-pasach-zakonnice-w-ciazy
[6] https://50.erikson.edu/wp-content/uploads/2016/10/Erikson-Institute-Technology-and-Young-Children-Survey.pdf
[7] http://www.telegraph.co.uk/news/10029180/Children-using-internet-from-age-of-three-study-finds.html
[8] https://www.theguardian.com/technology/2014/aug/07/ofcom-children-digital-technology-better-than-adults
[9] Teresa Correa. Bottom-Up Technology Transmission Within Families: Exploring How Youths Influence Their Parents’ Digital Media Use With Dyadic Data. Journal of Communication, 2013
[10] http://www.independent.co.uk/news/world/europe/us-child-hacker-confess-cyber-attack-brussels-airport-isis-attack-pittsburgh-fbi-islamic-state-a7571161.html
[11] https://www.wired.com/2001/06/prison-urged-for-mafiaboy/
[12] https://news.vice.com/story/a-bunch-of-kids-probably-pulled-off-the-biggest-ddos-hack-ever
[13] https://thehackernews.com/2012/09/the-10-most-infamous-student-hackers-of.html
[14] http://www.gloswielkopolski.pl/artykul/376527,poznan-mlody-haker-zmienial-szkolne-oceny,id,t.html
[15] http://www.rmf24.pl/fakty/news-polski-haker-wlamal-sie-do-serwera-nasa,nId,152208
[16] http://abcnews.go.com/Technology/story?id=119423&page=1
[17] http://www.theregister.co.uk/2016/11/02/teen_uk_hacker_pleads_guilty_after_earning_385k_from_ddos_tool/
[18] Gerard Alberts, Ruth Oldenziel, eds. Hacking Europe: from computer cultures to demoscenes. Springer, 2014.
[19] Jewgienij Kenner, Igor Semakin. “School subject informatics (computer science) in Russia: Educational relevant areas.” ACM Transactions on Computing Education (TOCE) 14.2 (2014): 14.
[20] https://krebsonsecurity.com/2017/06/why-so-many-top-hackers-hail-from-russia/
[21] https://www.dobreprogramy.pl/Tak-to-robia-w-Rosji-hakerzy-produkowani-na-masowa-skale,News,81865.html