От Хакервил до киберфронта

Жертвите на киберпрестъпността в глобален мащаб за една година са около 556 млн. - повече от населението на целия Европейски съюз, съобщават от Symantec. Условно казано, всяка секунда 18 души стават обект на онлайн атака. Според анализа на Symantec пораженията за глобалната икономика от киберпосегателства вече съвсем не са виртуални и се изчисляват на около 110 млрд. долара. за изследвания период. Това е колкото приходите на цялата американска индустрия за бързо хранене през последната година, илюстрират от компанията за киберсигурност. Най-големи поражения са нанесли китайските хакери – за 46 млрд. долара, следвани от американските, които са успели да нанесат щети за 21 млрд. долара.

"Когато работех за еBay, прекарвах поне по една седмица всеки месец в Ръмнику Вълча", разказва пред "Капитал" Албена Спасова, председател на управителния съвет на Международната академия за обучение по киберразследвания. По време на бума на онлайн измамите, координирани от румънския град, тя е директор на отдела "Връзки с правоохранителните органи" в eBay-Европа.

Спасова си спомня как невръстните обитатели на Хакервил без каквото и да било притеснение демонстрирали завидно имотно състояние, надсмивайки се над чуждестранните експерти по киберсигурност от своите луксозни коли. Най-прочутият киберпрестъпник от Ръмнику Вълча успял да ощети eBay със сума между 7 и 8 млн. евро, използвайки схема за динамичен фишинг. Тогава бил само на 14 години. Арестуван е след дълго преследване чак в румънската столица Букурещ. В момента би трябвало да е на 19 години и все още не е осъден...

Искаш ли мир – готви се за (кибер)война

Еволюцията на хакерството минава далеч отвъд границите на киберпрестъпността. През 2007 г. например кибератака успява да разстрои и работата на сирийската противовъздушна отбрана минути преди израелските ВВС да бомбардират инсталация за обогатяване на уран... Според военни източници на списание Aviation Week, цитирани от технологичното издание Wired, става дума за въздушно-преносима система, наречена Suter, разработена от отбранителния концерн BAE Systems. Тя е била базирана на безпилотни самолети и е позволила на израелските военни да проникнат в комуникационната система на сирийските радари и да объркат тяхната работа. Така израелските самолети са успели да осъществят операция "Орхидея" и да ударят неочаквано предполагаемата ядрена инсталация.

2007 г. е преломна за киберсигурността и заради още една мащабна кибератака. Мишена се оказва европейският "шампион" в областта на електронните услуги - Естония. След раздялата с Москва младата и еманципирана екс съветска република успява да изгради най-успешното е-правителство на Стария континент. Естонците получават документи за самоличност с чип и електронен подпис, които позволяват директен онлайн достъп до всички услуги на държавната и местната администрация. Това обаче превръща Естония изключително удобна цел за координирана кибератака, която би могла да парализира работата на цялата критична инфраструктура в страната. Нещо подобно се случва в периода 27 април – 18 май 2007 г. Експертите по киберсигурност определят случилото се като първата своеобразна кибервойна...

Кибератаката започва паралелно с масови безредици. Демонстрациите стават известни с името "Bronze riot" и са организирани от рускоезичното население. То протестира срещу преместването на местния паметник на Съветската армия на военно гробище извън центъра на града.

Уличните бунтове бързо се пренасят и във виртуалната реалност. Първоначално атаката идва от онлайн потребители, които си разменят специален скрипт за генериране на фалшив трафик към интернет страниците на естонското правителство. Следват няколко вълни от DDoS атаки, използващи botnet мрежи. Офанзивата временно успява да блокира достъпа до сайтовете на президента, правителството, парламента и основните министерства. Недостъпни се оказват и сайтовете на три от шестте големи естонски банки. Botnet мрежите, използвани при атаката, включват над 85 хил. "зомбирани" компютъра (основно в трети страни като Германия и Египет), които едновременно генерират фалшив трафик, правейки засегнатите страници недостъпни, съобщава естонският Computer Emergency Response Team (CERT).

"Това беше атака срещу нашия начин на живот. Деветдесет и девет процента от банковите транзакции в страната се случват онлайн. Ако отново трябва да минем офлайн, ще се наложи да назначим 15 пъти повече хора в банките", спомня си лейтенант Танел Мейел, ръководител на естонското звено за киберотбрана Cyber Desense League (CDL). Това е уникална структура за онлайн сигурност, изградена на принципа на резервистката армия. В нея членуват над 150 експерти от частния сектор, които са готови да защитават онлайн инфраструктурата на страната в случай на кибератака. Интересното в случая е, че щатните военни в CDL са... 3-ма души.

"Когато става дума за киберзаплахи, сътрудничеството между държавата и частния сектор е от критично значение", коментира за "Капитал" Танел Мейел. Затова всички членове на лигата разполагат с постоянна връзка и могат да работят дистанционно от служебните и личните си компютри. Срещат се на живо по един път месечно, за да обменят идеи и да се подготвят за симулирани кибернападения. До момента са имали по думите на Мейел "две учения и половина", като в най-голямото от тях Locked Shields десет екипа защитавали предварително създадена виртуална мрежа. "CDL е като инкубатор, където се тестват нови идеи", заключва командирът на CDL.

"Организирахме първото учение за отразяване на кибератака през 2010 г.", допълва пред "Капитал" Лиина Аренг, съветник по киберсигурността в естонското Министерство на отбраната. "Година по-рано бяхме направили списък с всички компании, които имат критично значение за обществото ни. Дефинирахме 42 услуги, които имат жизненоважно значение за нас, и могат да бъдат обект на кибератака", добавя тя. Всички тези държавни структури и фирми трябва да докладват на националния орган за киберзащита Estonian Information System's Authority (EISA) в случай на инцидент.

"Кибератаките са все още твърде неясно понятие от правна гледна точка", допълва Аренг. И добавя: "Някои държави смятат, че регулациите в сферата на киберсигурността трябва да бъдат третирани по същия начин като контрола над въоръженията." Подобна позиция изразява и известният Евгений Касперски, председател на директорския борд и основател на известната фирма за киберсигурност Kaspersky Labs. "Кибервойните и кибертероризмът са онлайн заплаха номер едно днес", обяви той по време на тазгодишното технологично изложение CeBit през май. Касперски прогнозира, че липсата на ефективна интернет сигурност и неприкосновеност на данните съвсем реално може да доведе и до края на демокрацията в рамките на следващите 20 години.

"Съществуването на вируси като Stuxnet, Duku и Flamer доказват, че вече е възможно създаването на зловреден софтуер, предназначен за атаката на точно определена цел", коментира за "Капитал" Тоомас Виира, водещ специалист по киберсигурността в EISA. Той е един от експертите, занимавали се с отбиването на атаката срещу естонската критична инфраструктура през 2007 г. "Ние сме нещо като пожарната, но в сферата на киберсигурността", шегува се Виира, но не желае да разказва подробности за атаката, случила се преди 5 години. "В момента акцентираме на превенцията. Не само имаме списък на критичните услуги, чието функциониране трябва да бъде запазено на всяка цена в случай на интернет атака, но и поддържаме сървъри с архиви на информацията извън Естония", разказва той.

С ракети срещу хакерите

Онлайн кампанията срещу Естония е повратна точка в отношението на целия западен свят към киберзаплахите. Като член на НАТО бившата съветска република става инициатор на фундаментална промяна в стратегическата рамка на алианса. Като жертва на първата и страна с най-много опит в борбата с онлайн заплахи Естония започва да се профилира в борбата срещу интернет нападения с рамките на Северноатлантическия алианс. "Кибервойната в бъдеще ще бъде само компонент от цялостна атака, а не нещо самостоятелно", коментира за "Капитал" Лииз Вихул, юридически експерт в Cooperative Cyber Defence Centre of Excellence – мозъчен тръст, създаден от НАТО, който е базиран в естонската столица.

Центърът разработва концептуален документ, наречен The Tallinn Manual, който анализира правните аспекти на кибервойните от гледна точка на международното законодателство и правото на всяка държава да се защитава. Въпреки че все още е в работен вариант и не е официален за НАТО, The Tallinn Manual дава най-обща представа по какъв начин ще се случват бойните действия във виртуалния свят. Може би най-важният момент в него е анализ по въпроса какво е правото дадена държава да отговори на кибератака с военна сила в реалния свят. Според The Tallinn Manual това е приемливо, ако кибернападението и военният отговор са със съизмерима интензивност. Документът обаче не дава абсолютна яснота как точно трябва да се тълкува това.

По-ясно тълкувание дава Харолд Кох, правен съветник в Държавния департамент на САЩ. В свое изявление пред конференция на U.S. Cyber Command, проведена на 18 септември, той потвърждава, че ако една държава бъде атакувана с кибероръжие, тя може да отвърне както с ответна кибератака, така и с конвенционална военна сила. Кох твърди, че за да бъде равностойна на "използване на сила" по смисъла на международното право, кибератаката трябва да е довела до "смърт, нараняване или значителни разрушения". Юристът на Държавния департамент подчертава, че при използването на кибероръжия ясно трябва да се разграничават военните и да се избягва атакуването на цивилна инфраструктура. Когато обаче става дума за използването на Botnet мрежи (какъвто е случаят с атаката срещу Естония), кибернападението може да идва именно от компютрите на нищо неподозиращи трети страни, които в един момент да се окажат легитимни военни мишени.

Най-добрата отбрана

"Вирусът Stuxnet доказа, че с киберсредства може да се предизвикат физически поражения. От концептуална гледна точка това е повратен момент", коментира за "Капитал" Сюлейман Анил, ръководител на Cyber Defence Emerging Security Challenges Division в НАТО. "Алиансът развива способностите си за киберзащита на цената на един боен самолет. За тези пари обаче постига много по-голяма ефективност", шегува се той.

Всички представители на Северноатлантическия алианс енергично отхвърлят подозренията, че организацията може да развива способности за офанзивни действия във виртуалната реалност. Разследване на авторитетния щатски всекидневник New York Times обаче твърди, че зад вируса Stuxnet, поразил иранските инсталации за обогатяване на уран, стоят американски и израелски компютърни специалисти, а заповедта за използването му е дошла лично от президента на САЩ Барак Обама. 

В средата на септември пък специалисти по сигурността от водещите компании Symantec и Kaspersky Labs паралелно публикуваха сензационни подробности около вируса Flamer. Двете фирми подозират, че той е предшественик на Stuxnet, защото има подозрителни съвпадения в програмния код на двете програми.

Оказва се също така, че шпионският софтуер е копирал и изпращал информация от компютри в Близкия изток в продължение на поне 5 години. През март т.г. германският Computer Emergency Response Team (CERT-Bund) открива команден сървър за управлението на Flamer, който контролира над 1000 заразени машини. Два месеца по-късно друг сървър подава команда за изтриване на шпионския софтуер, заличавайки следите.

По-важното в случая е, че според Symantec и Kaspersky Labs софтуерът за управление на Flamer, наречен Newsforyou, може да командва още 4 компютърни вируса, които все още не са открити.

"Не е ясно дали тези клиентски софтуери и в момента шпионират компютри, или става дума за стари версии", коментира Викрам Тахур, специалист по сигурността в Symantec. Експертите дори не знаят дали въпросните вируси само събират информация, или могат да извършват и офанзивни действия като Stuxnet. Едно обаче е ясно – данните, изпращани от Flamer, пристигат в криптиран вид, така че операторът на програмата Newsforyou да няма достъп до тях. Използваният алгоритъм за шифроване е практически непробиваем, което засилва подозренията, че става дума за софтуер, разработен от разузнавателната агенция на някоя държава.

На източния киберфронт – нещо ново...

Индикациите, че скоро може да станем свидетели на кибервойна с безпрецедентен мащаб, са повече от достатъчни.

Преди около две седмици правителството в Иран обяви, че ще прибегне до безпрецедентна мярка, постепенно отделяйки своята комуникационна инфраструктура от интернет. Правителството в Техеран обяви, че ще премине към използване на своя вътрешна онлайн платформа, като за начало планира да прекъсне достъпа до търсачката на Google и пощенската услуга Gmail. Официалният аргумент за всичко това е "затягане на сигурността". Плановете са цивилното население на страната също да премине към иранския правителствен "интернет" до март 2013 г.

Горе-долу по същото време сайтовете две от най-големите американски банки – JP Morgan Chase и Bank of America, станаха обект на масирани DDoS атаки, които временно извадиха от строя някои техни онлайн услуги. Служители от американските служби за сигурност, пожелали да останат неназовани, официално обвиниха за кибернападението режима в Техеран. "Официално обявяваме, че нямаме нищо общо с атаките", казва в отговор Голам Реза Джалали, ръководител на Иранската агенция за защита на цивилното население, пред месната агенция Fars. "Въоръжаваме се с нови средства, защото кибервойната е по-опасна от войната във физическия свят", коментира пък Абдула Араки, зам.-командир на сухопътните войски на Ислямската революционна гвардия на Иран пред иранската информационна агенция ISNA, цитирана от Reuters.

"Подрънкването" на кибероръжия от страна на САЩ и Иран обаче е само част от проблема. По-големият проблем е, че естеството на виртуалните конфликти позволяват те да се водят не само между национални държави, но и между частни субекти. Пример за възможната "приватизация" на кибервойните е т.нар. операция "Зора" (Operation "Aurora"). Става дума за хакерска атака срещу инфраструктурата на Google от края на 2009 г. Онлайн гигантът съобщава за нея през януари 2010 г., уточнявайки, че източникът на офанзивата е Китай.

Това, което Google премълчава, е, че компанията тайно организира своя контраофанзива. Причината е, че китайските хакери успяват да откраднат част от сорс кода на някои услуги, предлагани от онлайн корпорацията. В отговор на киберофанзивата програмистите на Google тайно успяват да се доберат до машина в Тайван, за която се предполага, че е източник на атаката. Според разследване на в. New York Times на въпросния компютър е имало доказателства за проникване не само в системите на интернет гиганта, но и на още 33 компании, сред които Adobe Systems, военният гигант Northrop Grumman и Juniper Networks.

Всичко това не само повдига въпроса за опасността от кибератаки, провеждани от недемократични държави като Китай и Иран, но и един далеч по-фундаментален проблем: доколко правителствата са способни да запазят контрола върху легитимното използване на сила, когато става дума за виртуалната реалност, и какви ще са последствията от кибероперации, провеждани от частни корпорации...