- Przez ostatnie 60 lat żyliśmy w świecie, w którym warunki gry dyktowała broń atomowa. Następne 60 lat spędzimy w rzeczywistości, w której umiejętności komputerowe zdefiniują możliwości armii - mówi w wywiadzie dla money.pl Mikko Hypponen z F-Secure, jeden z największych autorytetów w dziedzinie cyberbezpieczeństwa.
Mateusz Ratajczak, money.pl: *Porozmawiajmy o cyberwojnie. Jak będzie wyglądać? Regularne wojny zamienią się w gry? Żołnierze w koszarach usiądą przed komputerami, nikt nie zginie, a państwa i ich kluczowa infrastruktura i tak upadną? *
Mikko Hypponen, F-Secure: W sieci czekają zagrożenia nie tylko na typowych użytkowników, ale też na wielki biznes i rządy mocarstw. I to jest fakt, a nie bajka kolesia od bezpieczeństwa w średnim wieku, który chce przestraszyć ludzi. Ale nie wierzę w cyberwojnę jako oddzielny fenomen, jako przyczynę i główną metodę prowadzenia wojny. To będzie element krajobrazu, ale nie główny obrazek.
Ale już teraz przez sieć można kraść miliardy dolarów i atakować elektrownie. Kluczowa infrastruktura może stać się obiektem zainteresowania wrogich wojsk. Jest podłączona do sieci, a to kusi.
Jeżeli pomyśleć o historii konfliktów, to bardzo łatwo zauważyć, jak wojsko wraz z upływem dekad przystosowywało się do nowoczesności, oczywiście różnie w danym czasie pojmowanej. Kilkaset lat temu każda wojna była prowadzona na lądzie, rycerze mieli konia, miecze i tyle. Wystarczyło, żeby się zabijać i podbijać nowe tereny. Kolejne kilkaset lat później pojawiły się nowe możliwości i walki powróciły na morza, a wraz z pojawieniem się samolotów wojna przeniosła się na zupełnie nową płaszczyznę. Podczas zimnej wojny realne stały się zagrożenia z przestrzeni kosmicznej. A teraz wędrujemy do cyberprzestrzeni, bo co innego nam zostało?
To będzie nowa, ale nie jedyna metoda prowadzenia wojny. Historia pokazuje, że nigdy wojna nie ograniczała się tylko do jednej z tych płaszczyzn - zawsze była obecna wszędzie, w każdej z nich. Tak samo będzie z wojną prowadzoną w cyberprzestrzeni.
A jeszcze rok temu mówiłeś, że cyberwojna to jeden wielki mit. Radykalna zmiana zdania?
Tutaj chodzi o semantykę, znaczenie i wagę słów. Nigdy nie lubiłem pojęcia "cyberwojna".
Dlaczego?
Bo było źle używane. Kiedy w gazetach i internecie pojawiała się w tytule "cyberwojna", najczęściej w towarzystwie mrocznego zdjęcia, to praktycznie zawsze chodziło zupełnie o coś innego. Z reguły było to po prostu szpiegostwo krajowych agencji wywiadowczych. Szpiegowanie i podsłuchiwanie się nawzajem trudno nagle nazwać wojną. Czy atak na rządowe strony internetowe można porównać do strzelania z broni albo innego działania wymierzonego w obywateli? Nie.
Co będzie wojną, skoro wszystkie wrogie działania rządów już tak nazwiemy? 99 proc. ataków przeprowadzonych przez rządy, o których wiemy i które analizowaliśmy, dotyczyło szpiegostwa.
Ale jest jeszcze ten 1 procent.
W grudniu ubiegłego roku najprawdopodobniej Rosjanie pokazali, że cyberwojna będzie chętnie wykorzystywana podczas prowadzenia regularnej wojny. Żeby było jasne - konflikt Ukrainy i Rosji nazywam wojną. Kiedy jeden kraj zabiera drugiemu jakieś tereny i wysyła tam żołnierzy, to mamy wojnę.
Co zrobili?
W środku zimy hakerzy na pewien czas wyłączyli jedną z większych krajowych elektrowni, a dokładnie Prykarpattyaoblenergo. To już nie jest szpiegostwo, gdy w grę wchodzi odcięcie setek tysięcy osób od dostępu do prądu w środku zimy. To jest próba unieszkodliwienia bardzo ważnej infrastruktury.
Ataku na elektrownię nie można przeprowadzić w ciągu jednego dnia. A to znaczy, że myśleli już o tym od dawna. Dopiero teraz to wykorzystali?
Wbrew pozorom, ten atak wcale nie był skomplikowany, chociaż na pewno przygotowywano go miesiącami. W zasadzie nie różnił się niczym od ataków, których doświadczają internauci każdego dnia. Wszystko zaczęło się od jednego maila, którego dostał któryś z pracowników. Niby miał być w środku dokument od przełożonego, a nie było nic. Dwa kliknięcia wystarczyły do zainfekowania komputera, a stamtąd do całego systemu była już prosta droga.
23 grudnia ten sam pracownik przed końcem swojej zmiany zauważył, że przestała działać mu myszka. I kiedy już miał wstawać i iść po baterie, zobaczył coś bardziej niepokojącego. Po ekranie monitora jeździł kursor. Sam. Kiedy twój kursor zaczyna jeździć ot tak, to nie jest dobrze. A tym bardziej, gdy na ekranie masz panel zarządzający pracą elektrowni. Kliknięcie za kliknięciem ktoś wyłączał generatory prądu, aż ostatecznie zgasił światło nawet w pokoju operatorów.
A skąd podejrzenie, że za sprawą stoją Rosjanie?
W tym samym czasie, gdy gasły generatory prądu, linie telefoniczne elektrowni zostały zablokowane przez tysiące połączeń z... Moskwy. Najpewniej po to, żeby nikt nie mógł zgłosić awarii.
Podobnych prób nie mają * *na swoim koncie * *Amerykanie?
Mają. Amerykanie we współpracy z Izraelem. Stuxnet, czyli wirus szukający jednego unikalnego komputera w fabryce nuklearnej w Iranie, to najprawdopodobniej ich sprawa. I to już prawie sześć lat temu!
Skąd przypuszczenia, że to sprawka USA? Biały Dom, po publikacji dziennikarza "The New York Times" na ten temat, nie odciął się od zarzutów. Powiedział za to, że będzie szukać odpowiedzialnego za przeciek. Amerykanie przyznali się bez faktycznego przyznawania się.
Trudno uznać to za błąd amerykańskiej dyplomacji.
To przyznanie to na pewno nie był błąd. Barack Obama był w środku drugiej kampanii wyborczej, najpewniej podjął sam decyzję o komunikacie. I w ten sposób uciął całą dyskusję, a USA wysłały sygnał, że są silne i sprawne.
Wirus miał zniszczyć sprzęt w fabryce? To by potwierdziło, że cyberwojna nie jest medialną wydmuszką.
Nie mamy żadnego pojęcia, co miał zrobić, wiemy, że mógł wpływać na silniki i pompy. Ale co więcej? To wiedzą tylko twórcy, którzy nie byli amatorami. Podejrzewam jednak, że wirus zrobił to, na czym im zależało i to szybciej, niż odkryliśmy tę całą układankę.
Jakoś trudno mi uwierzyć w to, że komputery zastąpią broń atomową.
Przez ostatnie 60 lat żyliśmy w świecie, gdzie to broń atomowa dyktowała warunki gry. Następne 60 lat spędzimy w rzeczywistości, gdzie umiejętności komputerowe zdefiniują możliwości armii.
Która rzeczywistość groźniejsza?
Trudno jednoznacznie odpowiedzieć na to pytanie. Siłą broni atomowej nie jest jej używanie jej, a posiadanie. Nikt nie chce zadzierać z rządem, który ma dostęp do takiej siły. Co najważniejsze, doskonale wiedzieliśmy, kto ma dostęp do broni nuklearnej. Natomiast siłą cyberbroni będzie używanie jej i to na masową skalę. I tutaj nie mamy żadnej wiedzy, kto dysponuje jakim potencjałem, nie ma tutaj efektu odstraszania. Nie mamy pojęcia, jaką siłą w tej materii dysponuje Polska, Włochy, Wietnam albo Brazylia. To zjawisko nazywam mgłą cyberwojny.
Armie pokochają cyberbroń?
Taka broń jest efektywna, przystępna dla każdego budżetu i łatwo można się jej wyprzeć. W końcu nie trzeba przeprowadzać testów nuklearnych, które inne rządy zobaczą. I właśnie dlatego połączenie efektywności, przystępności i możliwości ukrycia czegoś to idealna sprawa dla armii.
A fiński rząd już po się pana zgłosił?
(śmiech)
Czyli?
W Finlandii mamy obowiązkową służbę wojskową, nie wiem jak to wygląda w Polsce.
Mamy armię zawodową.
W Finlandii sprawa wygląda tak, że każdy chłopak przechodzi służbę wojskową. Oczywiście mam to już za sobą, ale w przypadku jakiegokolwiek zagrożenia armia mogłaby mnie wezwać. Tak ten system działa, w przypadku konfliktu nikt by mnie nie pytał o zdanie, tylko wydał rozkaz.
Wojna nie toczy się tylko na arenie międzypaństwowej. Bliższe ludziom są ich komputery.
Gdybyś wziął listę "Fortune 500", największych światowych firm, to zapewniam cię, że w ciągu jednego dnia każda z nich doświadcza jakiejś próby ataku. Bo to się opłaca, ale trzeba być naprawdę dobrym hakerem.
Kiedyś hakerzy mieli fantazję i zależało im, by zarazić sto milionów komputerów w jak najkrótszym czasie. Dziś chodzi o pieniądze, a do tego wystarczy 10 tysięcy pecetów. Kiedy zaczynałem pracę, wirusami zajmowali się hobbyści. Hakowali, bo mogli i to był ich sposób na popisywanie się. Dziś się to zmieniło, ale nie mamy się czemu dziwić. Dobry programista na Zachodzie ma świetną pensję, programista ze slumsów w Brazylli nie ma zbyt wielkiego wyjścia.
Czy hakerzy okradają hakerów i dlaczego czasem warto być gosposią - o tym na następnej stronie
Przegrywamy wojnę z cyberprzestępcami?
Przegrywamy. Zarabianie na wirusach internetowych jest z nami dopiero 12 lat. Przestępcy w sieci myślą już o sobie jak o biznesmenach. Zależy im na tym, by zwiększyć liczbę klientów, czyli oszukanych, którzy za odzyskanie plików mają zapłacić. Tworzą system wsparcia dla użytkowników, bo to ważne dla ich biznesu. Jeżeli ich klient-poszkodowany ma problemy, to trzeba mu pomóc. Odzyskać jego pliki, za które przed chwilą wzięli 500 dolarów. Tam naprawdę zastanawiają się, jak sprawić, żeby klienci byli zadowoleni. Są też pytania o to, jak zwalczyć konkurencję. A skoro są przestępcami, to odpowiedź jest prostsza - okradają siebie nawzajem.
Hakerzy kradną od hakerów?
O tak. Najczęściej podbierają sobie tłumaczenia stron, bo tworzenie ich wymaga czasu i wynajęcia tłumacza. Cyberprzestępcy wiedzą, że ostatecznie każdy zapłaci za dostęp do swoich plików. Bo to dokumenty, bo do zdjęcia rodzinne. Dlatego dbają o renomę. W sieci nie może być informacji, że płacisz i nic nie dostajesz. O nie - w sieci mają być komentarze, że zapłaciłem i za 10 minut miałem wszystko. I dlatego czasami są promocje.
Promocje?
Znamy treść maili od „klientów-poszkodowanych” do przestępców. Jedna z oszukanych napisała, że nie jest w stanie zapłacić 500 dolarów, bo pracuje jako pomoc. Po kilkunastu minutach panie miały odpowiedź, że wystarczy 150 dolarów i komputer będzie jak nowy. Reputacja naprawdę dla nich jest ważna, gdyby mogli, to chcieliby być oceniani. 5/5 gwiazdek, polecam na przyszłość.
I wszyscy są tak mili?
Większość. Oczywiście zdarzają się wyjątki i oferty w drugą stronę. Jeżeli nie zapłacisz w ciągu godziny, to co 10 minut będziemy usuwać część twoich plików. Były też firmy, które nigdy nie planowały przywrócić dostępu do danych lub takie, które źle napisały programy i nie można było tego zrobić. Ale to margines.
W takim razie najlepiej twierdzić, że jest się gosposią. Może przynajmniej przyślą jakąś promocję. Dwanaście lat - wróćmy do tego - to jednak kawał czasu. I można było zrobić wiele, by w tym starciu wychodzić chociaż na remis.
Tak, ale nie wszystko mogą zrobić firmy tworzące oprogramowanie. Dla wielu cybergangi to wciąż czysta abstrakcja. I mówię nie tylko o użytkownikach komputerów, ale często też o decydentach. Łatwo im sobie wyobrazić, że w centrum Helsinek albo Warszawy przestępcy kradną komuś samochód. Są w stanie zrozumieć, że są przestępcy wyłudzający podatki, ale często nie potrafią pojąć, że takie gangi działają w sieci. I radzą sobie doskonale.
W sieci można znaleźć masę rzeczy, które nigdy nie powinny się tam znaleźć. Wyobrażasz sobie, że ogólnie dostępne są na przykład panele sterujące sprzętem w fabrykach? Nikt o to nie dba.
Na razie trudno sobie wyobrazić, by hakerzy zarabiali na przejmowaniu danych z łóżek pacjentów, bo i takie systemy można znaleźć w sieci.
Hakerzy-biznesmeni machną na to ręką, ale terroryści? Skoro wirus już dziesięć lat temu był w stanie zatrzymać pociągi miejskie w stolicy USA, to nie miejmy żadnych wątpliwości. Terroryści też będą myśleć o hakerach.
Jak piorą pieniądze cyberprzestępcy?
Wybierają Bitcoin. To i dobrze i źle. Bitcoin jest publiczną walutą, więc każdy może ściągnąć listę wszystkich transakcji od 2009 roku. Nie wiemy niestety dokładnie z nazwiska, kto i do kogo wysyła pieniądze, ale są wartości transakcji, dokładne daty i godziny przelewów. A przecież przestępcy podają adres swojego portfela w wiadomościach do oszukanych użytkowników. I ten portfel możemy już monitorować. Oczywiście niektórzy są tak pomysłowi, że każdemu nowemu użytkownikowi nadają inny adres do przelewu. Ale później z tego konta pieniądze trafiają do większego portfela. Wciąż możemy prześledzić ich drogę.
I jak dobry jest to biznes?
Przez jeden z takich bitcoinowych portfeli przewinęło się 300 mln euro w ciągu ostatnich kilku lat. Gdybyśmy mieli start-up z takimi zyskami, to nazwalibyśmy go jednorożcem. Przestępczym jednorożcem.
Ale kradzież i okup za dane to chyba niejedyny sposób na zarabianie.
Są dwa sposoby zarabiania przez hakerów. Albo żyją z okupów od użytkowników, albo z pieniędzy, które dostali za sprzedaż narzędzi i oprogramowania do szantażowania innych. Logika jest taka: boją się być złapani na łamaniu prawa, więc tworzą tylko programy, a nikogo nigdy nie szantażowali. To tak jak ze sprzedażą broni. Żaden sprzedawca nie odpowiada za masakrę dokonaną przez jakiegoś szaleńca.
Spotykaliśmy się ze względu na 25-lecie pańskiej pracy w F-Secure. Przez ten czas cyberprzestępcy nie próbowali wziąć pana na cel? Nie dostał pan maila z dziwnym załącznikiem?
W zasadzie mogę powiedzieć, że nie miałem ani jednego nudnego dnia w pracy. I wydaje mi się, że tak będzie też w przyszłości. Dlatego wciąż jestem w branży.
Zadam pytanie inaczej. Nie boi się pan, że będą chcieli wyeliminować konkurencję?
Trzymam się zasady, żeby nie mówić o swojej prywatności i o tym, jak dbam o siebie. Dzięki, że się martwisz, ale nie odpowiem na to pytanie.