Cyberterroryzm – straszak czy realne zagrożenie?

cyberterroristsMedia z upodobaniem straszą nas nowym zagrożeniem, jakim rzekomo jest „cyberterroryzm”, prześcigając się przy tym w wymyślaniu najprzeróżniejszych scenariuszy. W większości z nich żądny krwi terrorysta siedząc przed komputerem na drugim końcu świata dokonuje wielkich zniszczeń wywołując tym samym przerażenie bogu ducha winnych obywateli. Często spotykane scenariusze to wstrzymanie dostaw prądu, a nawet skierowanie dwóch samolotów pasażerskich na kurs kolizyjny. Na ile są one realne?

[Disclaimer: To kolejny tekst napisany przeze mnie w 2007 roku – jako praca zaliczeniowa. Wróciłem do niego niedawno i byłem zaskoczony jak bardzo jest on aktualny mimo upływu 6 lat. Jeśli wiecie o czymś, co podważa stawiane w nim tezy, np. znacie przypadki ataków, które pasują do definicji cyberterroryzmu, to proszę napiszcie o tym w komentarzach. Tekst został tylko w niewielkim stopniu zaktualizowany w stosunku do oryginału.]

W 1980 Barry Collin z Institute for Security and Intelligence pierwszy raz użył terminu „cyberterroryzm” by połączyć pojęcia „cyberprzestrzeni” i „terroryzmu”. Wydawać by się mogło, że sprawa jest jasna – chodzi o akty terroryzmu dokonywane za pomocą sieci telekomunikacyjnych. Od dawna jednak trwają spory, czym jest „terroryzm”, który ma różne znaczenie dla różnych ludzi. Z kolei „cyberprzestrzeń” jest na tyle nowym zjawiskiem, że znaczenie słów służących do jej opisu wciąż się zmienia. Do dziś wśród naukowców, polityków i specjalistów od internetowych zabezpieczeń brak zgody co do tego czym jest cyberterroryzm. Autorzy publikacji prasowych, nawet jeśli cyberterroryzm jest ich głównym tematem, w zdecydowanej większości w ogóle nie zadają sobie trudu jego zdefiniowania.

Wg FBI jest to:

„zamierzony, politycznie motywowany atak wymierzony w komputerowe systemy, programy i/lub dane, który prowadzi do przemocy w stosunku do cywilnych celów, a dokonany przez podmioty sub-państwowe.”

Z kolei wg Wikipedii (z 24.01.2007) to:

„posługiwanie się zdobyczami technologii informacyjnej w celu wyrządzenia szkody z pobudek politycznych lub ideologicznych, zwłaszcza w odniesieniu do infrastruktury o istotnym znaczeniu dla gospodarki lub obronności atakowanego kraju”.

Wikipedia (25.08.2013):

“Cyberterrorism is the use of Internet based attacks in terrorist activities, including acts of deliberate, large-scale disruption of computer networks, especially of personal computers attached to the Internet, by the means of tools such as computer viruses.”

Co ciekawe, eksperci zajmujący się tym zagadnieniem w jednym są zgodni. Otóż, jeśli uwzględnimy pojawiające się w większości definicji kryterium wyrządzenia fizycznych szkód w realnym świecie, to jak do tej pory nie udokumentowano ANI JEDNEGO skutecznego cyberterrorystycznego ataku.

Zniszczenia fizyczne

Pierwszym znanym przypadkiem, gdy ktoś celowo wykorzystał cyfrowe metody komunikacji, by wyrządzić fizyczne szkody w realu miał miejsce w 2000 roku, w Queensland w Australii. Przez dwa miesiące Vitek Boden przy pomocy komputera, radioodbiornika i dostępnego na rynku oprogramowania przejmował kontrolę nad okolicznym systemem kanalizacyjnym. Wypuszczając zanieczyszczenia do rzek i strumieni wyrządził ogromne ekologiczne szkody. Boden był wcześniej pracownikiem firmy dostarczającej oczyszczalni sprzęt do zdalnego sterowania. Atakując przejmował całkowitą kontrolę nad systemem zarządzającym zarówno ściekami jak i dostarczaniem wody pitnej. Co się z tym wiąże, mógł wlać ścieki do wodociągów zaopatrujących okoliczną ludność.

Tym, co umożliwiło cyber-ataki Bodena są systemy SCADA (Supervisory Control And Data Acquisition). Podłączone do komputerów umożliwiają monitorowanie i zarządzanie całymi zakładami przemysłowymi lub np. elektrowniami. Systemy te działają na podstawie cyfrowo zapisywanych danych zbieranych przez czujniki, znajdujące się często w trudno dostępnych miejscach. Obsługa techniczna dokonuję jedynie okresowych kontroli poprzez łącza telekomunikacyjne. Oprogramowanie wykorzystywane do obsługi systemów SCADA uległo międzynarodowej standaryzacji i jest dostępne na rynku. W Internecie można znaleźć odpowiednie instrukcje obsługi. Ponadto systemy te co raz częściej łączy się poprzez Internet z biurami firm. Niektórzy eksperci uważają, że wiele takich systemów jest niedostatecznie zabezpieczonych.

Dowody zebrane w ostatnich latach mogą świadczyć o tym, że terroryści zdają sobie z tego sprawę. Na dysku zarekwirowanego w biurze Al-Kaidy komputera odnaleziono model zapory wraz z profesjonalnym oprogramowaniem umożliwiającym przeprowadzenie symulacji katastrofy. By zniszczyć zaporę potrzeba „ton ładunków wybuchowych”. Cyber-atak wydaje się dużo łatwiejszy. W 1998 roku 12-latek włamał się do systemu sterującego zaporą Roosvelta w Arizonie. Zapewne nie zdawał sobie z tego sprawy, ale władze federalne przyznały później, że był w stanie sterować potężnymi śluzami zapory.

Amerykanie, którzy zdają się najbardziej zaniepokojeni problemem cyberterroryzmu przeprowadzili szereg ćwiczeń mających symulować cyber-ataki. Zespoły „intruzów”, które testowały różnorodne scenariusze ataków na główne zakłady energetycznych, zawsze odnosiły sukces. Naukowcy zgodzili się, że nie mają pojęcia, jak amerykańska sieć energetyczna, będąca „najbardziej złożoną machiną w historii”, zareaguje na cyber-atak. Inne ćwiczenia przeprowadzone na potrzeby Departamentu Obrony USA w 1997 i 2002 roku ukazały podatność na cyber-ataki systemów informatycznych armii. Żywym tego dowodem są wydarzenia z 2001 roku, kiedy to Brytyjczyk Gary McKinnon na tydzień sparaliżował sieć komputerową bazy marynarki USA. Dodam tylko, że wspomniane systemy SCADA wykorzystywane są m.in. na amerykańskich lotniskowcach.

cyberterrorist school

Autor: biomek.

Mimo to nawet w ramach różnorodnych agencji bezpieczeństwa działających w USA występują skrajne rozbieżności co do oceny zagrożenia ze strony cyberterrorystów. Jedni (związani głównie z Departamentem Obrony) uważają Internet jedynie za dodatek do tradycyjnych działań terrorystów, przydatny głównie w celach propagandowych. Drudzy (np. FBI) z kolei są przekonani, że cyber-atak nie jest kwestią „czy, ale kiedy.” Za bardziej realny uważa się jednak scenariusz zsynchronizowanego cyber-ataku mającego wzmocnić efekt ataku fizycznego, np. wstrzymanie dostaw prądu lub zablokowanie telekomunikacji podczas dużego zamachu.

Cyberterroryzm, cyberprzestępczość czy hacktywizm?

Tak jak pisałem wcześniej, kwestia cyberterroryzmu budzi wiele kontrowersji. Oprócz kwestii definicji i realnego zagrożenia dyskutuje się obecnie i o tym, czy terroryści w ogóle są zainteresowani takimi formami cyberterroryzmu, o których wspomniałem. Pomimo informacji świadczących o wzroście zainteresowania terrorystów najnowszymi zdobyczami teleinformatyki, poziom wyszkolenia ich ludzi oceniany jest raczej nisko. Dorothy E. Denning, specjalistka w dziedzinie cyberterroryzmu, szacuje czas przygotowania złożonego ataku na 2-10 lat. Przeprowadzenie tak długotrwałych i skomplikowanych przygotowań nastręcza wiele trudności. Poza tym organizacje w rodzaju Al-Kaidy zdają się wciąż preferować stare i sprawdzone metody polegające na fizycznych atakach powodujących śmierć jak największej liczby osób.

Oprócz działań, które można by jednoznacznie określić jako cyberterroryzm, a niemające jak do tej pory miejsca, od kilku lat obserwować możemy trudną do zakwalifikowania aktywność. Czy jest to jeszcze cyberprzestępczość czy już cyberterroryzm? Czasem trudno rozsądzić.

Stosunkowo często „zamierzone, politycznie motywowane ataki wymierzone w komputerowe systemy, programy i/lub dane” przybierają postać ataków na strony internetowe instytucji powiązanych z aktualnymi wydarzeniami na arenie międzynarodowej. Przykładowo, w 1999 w proteście przeciw nalotom NATO w Kosowie na strony WWW Paktu przeprowadzono zmasowany atak Denial of Service blokując do nich dostęp na krótki czas. Od października 2000 do stycznia 2001, równolegle do Intifady, trwała „bliskowschodnia cyberwojna”. Przeszło 30 pro-palestyńskich agresorów zaatakowało co najmniej 166 izraelskich stron, w tym rządowe, giełdy w Tel Avivie, Banku Izraela, izraelskich dostawców Internetu oraz zajmujących się e-handlem. Z kolei przeszło 10 pro-izraelskich agresorów zaatakowało ponad 34 strony, głównie związane z islamskimi organizacjami terrorystycznymi. W wyniku tej walki wiele serwisów zostało całkowicie zablokowanych. Doszło nawet do paraliżu giełdy w Tel Avivie. Wykazano związki pro-palestyńskich grup z Hezbollahem (Unity) lub Al-Kaidą (al-Muhajiroun). Po zamachach z 11 września 2001 doszło do kolejnej, podobnej cyberwojny. W jej trakcie dochodziło głównie do paraliżowania i umieszczania na stronach przeciwnika swoich postulatów. Zawiązał się wówczas  Onlineowy Sojusz Al-Kaidy (Al-Qaeda Alliance Online), w którego skład weszły m.in. hakerskie grupy GForce Pakistan, Pakistan Hackerz Club i Anti India Crew. Pierwsze dwie miały „na koncie” setki przerobionych stron, głównie należących do amerykańskich instytucji. Co jednak istotne, grupy te oświadczały, że potępiają zabijanie niewinnych ludzi, zarówno w World Trade Center jak i w Afganistanie. Niszczenie danych uznały za nieetyczne i zadeklarowały jednoznacznie, że nie są cyberterrorystami. Druga strona uderzyła głównie w serwisy wspierające Talibów i organizacje terrorystyczne.

Cyberprzestrzeń wykorzystywana jest przez terrorystów również jako narzędzie pozyskiwania informacji użytecznych przy dokonywaniu fizycznej przemocy. Zdarzały się przypadki wykradania tajnych materiałów szkoleniowych amerykańskiej armii, np. podręczników dla snajperów. Rzadki, udokumentowany przypadek współpracy terrorystów z hakerami miał miejsce w 1998 roku, gdy członek indyjskiej organizacji Harkat-ul-Ansar próbował kupić militarne oprogramowanie wykradzione przez hakera z komputerów Departamentu Obrony USA. Z kolei w Wielkiej Brytanii działacze Tymczasowej IRA wynajęli hakerów, by ci wykradli dane o adresach brytyjskich funkcjonariuszy policji i oficerów wywiadu. Mieliby oni zostać zamordowani podczas „nocy długich noży”, gdyby brytyjski rząd nie dotrzymał warunków zawieszenia broni.

Terror na YouTube

Celem każdego aktu terroryzmu jest to, by zaszokował jak najwięcej osób. Myślisz, że amerykańscy chłopcy doskonale radzą sobie z zaprowadzeniem pokoju w Iraku? W takim razie wejdź na youtube.com i poszukaj „Juba”. Juba to niezidentyfikowany snajper działający w rejonie Bagdadu, który filmuje swoje ataki na amerykańskie patrole. Przyznaje się do 37 trafień. Wielu zapewne śmiertelnych. Sceny zamachów są montowane z przemówieniami głównego bohatera, dołączana jest muzyka, a następnie sugestywną całość umieszcza się w Internecie. Nie sposób ocenić, czy ataków było właśnie tyle i czy rzeczywiście dokonała ich jedna osoba. Niewątpliwe jednak, oglądnięcie w ciągu pięciu minut kilkunastu postrzałów szokuje. W cyberprzestrzeni każdy ma możliwość zaistnieć ze swoim przekazem. Sądząc po reakcji przedstawicieli amerykańskiej armii, fakt ten wcale im się nie podoba.

Żeby jednak nie kończyć tak pesymistycznie, wspomnę o wynikach konferencji specjalistów od zabezpieczeń, która odbyła się na komputerowych targach CeBIT w 2003 roku. Uznali oni, że zagrożenie cyberterroryzmem jest przedstawiane w przejaskrawiony sposób. Celuje w tym amerykański rząd oraz prasa. Wiadomo, sensacyjny materiał o nowym i nieznanym zagrożeniu świetnie się sprzedaje. Eksperci radzą, by skupić się na obecnych problemach, głównie wykorzystywaniu Internetu przez organizacje przestępcze. Według Bruce’a Schneier’a, zakłócenie funkcjonowania telekomunikacji wywoła więcej zdenerwowania niż strachu.

If I cannot get my e-mail for a day I am not terrorised.

Co prawda firmy zajmujące się zabezpieczeniami donoszą o podwajaniu się co roku liczby elektronicznych ataków, których część skierowana jest przeciw obiektom stanowiącym infrastrukturę energetyczną i finansową. Równocześnie jednak z siedmiu państw określonych przez amerykański Departament Stanu jako sponsorzy terroryzmu, w 2002 roku pochodziło niespełna 1% wszystkich ataków.