“Hackiralo MVP”, viču naslovnice novinskih članaka, te u dramatičnom prikazu opisuju epsku i nadasve uspješnu borbu domaćih stručnjaka protiv tajnovitih cybernapdača neprijateljske države za koju se ne zna koja je ali sigurno je Rusija!
Hm.
Što se zaista dogodilo? Malo je informacija koje možemo uzeti ozbiljno kad skinemo pjenu senzacionalizma s uzburkane medijske tekućine.
Kad ne bi bilo izjave ministra Stiera kojom on potvrđuje događaj, ne bismo imali nikakav čvrst argument da se napad ili nešto slično napadu uopće dogodilo: prva izvješća pozivala su se na anonimne izvore iz MVEP, koji samom činjenicom da su anonimni nose puno manju težinu od izjave jednog ministra.
No, je li se zapravo išta dogodilo? Je li se dogodio pravi pravcati napad, ili je možda u pitanju lažna uzbuna? Postoji li mogućnost da se zapravo ništa nije dogodilo?
Na osnovu informacija dostupnih u novinama zapravo ne možemo složiti objektivnu sliku događaja i znati što se dogodilo: Jutarnji, koji je prvi izašao s tom informacijom, zapravo je panegirik moćnim državnim službama koje su na vrijeme otkrile napad i spriječile ga bez gubitka podataka – iako za to autor nema baš nikakvog dokaza, osim informacija koje je dostavio anonimni izvor, čiji motivi su nam, pak, nepoznati, kao i istinitost informacija. Drugi portali i novine više ili manje su prenosili Jutarnji, samim time i objektivnost i točnost izvornog teksta.
Da bismo stekli jasniji uvid što se to možda dogodilo, valja nam raspetljati priče i odbaciti one koje svoje uporište nemaju u čvrstim faktima (ili su malo “dotjerane” ne bi li bolje zvučale).
Prvo ćemo se riješiti zablude o ruskim hackerima, priče koja se nigdje ne spominje kao fakt, ali se provlači kao draga tema: Jutarnji tako u pošalici spominje: “… prepoznaje se ruskopis ruskih hakera”, a Večernji čak navodi naziv hackerske grupe koja je vjerojatno izvela napad.
Takve tvrdnje ostaju u domeni obične špekulacije jer nema nikakvih konkretnih podataka koji bi povezali tu grupu s ovim napadom. Dapače, sam tekst u Večernjaku proturječan je, jer u jednom poglavlju spominje iznimno sofisticiran napad koji je zaobišao sve “sustave zaštite”, toliko kompliciran da ga “nije mogla napraviti jedna osoba ili manja skupina hakera” – a odmah zatim spominju kako je prije pola godine već bilo nekoliko pokušaja napada na isto ministarstvo, ali su oni bili poluamaterski, odmah su i lako eliminirani, i za te je napade otkriveno kako ih je počinila Sofacy grupa. Kratak je put od amaterčine do autora sofisticiranog napada, čini se…
Zapravo, nemamo baš nikakvog dokaza da je riječ o toj grupi, poznatoj po napadima na zanimljive zapadne mete (otud i mišljenje kako je riječ o grupi sponzoriranoj od strane Moskve), krađi i objavljivanju podataka (taktika kakvu koriste Anonymous). Tako je jedna od nedavnih žrtava te grupe Svjetska antidopinška agencija čijih su se podataka i e-mail poruka dočepali i koje objavljuju s ciljem da organizaciju prokažu kao korumpiranu.
Od dva potencijalna traga koji bi mogli upućivati na počinitelja: IP adresu s koje je napad možda došao i analizu pronađenog malware-a koji bi mogao upućivati na alate kojima se koriste napadači, niti jedan nije dostatan za nedvojbenu identifikaciju napadača.
Napadač bi mogao biti bilo tko: tajne službe bilo koje države, organizacije građana (Anonymous?), pa čak i dobro motivirani pojedinac. Uključujući tu i građane Hrvatske.
No, valjda je najlakše okriviti Ruse – trenutna politička igra jako voli analogije s hladnim ratom, pa čemu onda tražiti pravog krivca kojeg možda nikad nećemo uloviti, kad je Pedro tu?
Kako su upali? Pokušali upasti? Probali, ali nisu uspjeli jer je Supercyberhrvoje zaustavio napad u zadnjem trenutku? Pokušaj probijanja zaštite posebno izrađenim softverom zaista je jedna od metoda kojom se napadači koriste u slučaju da ne uspiju naći bolji način; naime, u cilju je svakog napadača da napad izvede neopaženo ako je to ikako moguće: stoga će svaki ozbiljan napadač prvo pokušati “upasti” korištenjem propusta u dijelu IT sustava koji je što dalje od očiju korisnika: ako se napad može izvesti upadom kroz mrežnu opremu, to je puno bolji put napada od slanja korisniku lažirane e-mail poruke s privitkom kojeg korisnik treba pokrenuti i tako sam inicirati napad na vlastiti IT sustav. Šansa za otkrivanje zlog privitka puno je veća od šanse za otkrivanje sofisticiranog napada koji koristi ranjivosti mrežne opreme koju je moguće dohvatiti izvana.
I u ovom su slučaju informacije koje dobivamo iz medija kontradiktorne: “Hakeri su uspjeli probiti antivirusne programe koji štite cijeli sustav MVP-a”, tvrdi Jutarnji, dok Večernji navodi: “Napadači su koristili toliko sofisticiran spyware da ga ni jedan od nekoliko antivirusnih programa koje MVEP koristi u zaštiti svoje mreže nije prepoznao.”
Kako je posve nevjerojatno da bi ozbiljan profesionalac štitio računala tako da na njih instalira nekoliko antivirusnih programa istovremeno (to bi eventualno mogao biti dobar trik za gomilanje radnih sati korisničke podrške), ove citate vjerojatno treba čitati kao: “virus je prošao firewall s antivirusnim rješenjem, poslužitelj elektroničke pošte s antivirusnim rješenjem i najzad antivirusno rješenje na računalu korisnika” – a to, pak, upućuje na klasični način podmetanja zloćudnog softvera kao privitka e-mail poruke napisane tako da primatelja navede na pokretanje datoteke iz privitka.
To, ili je riječ o drugom najčešćem načinu zaražavanja: gledanjem web stranica sa (khm, khm) “zanimljivim” sadržajima. Pa je zato virus jako sofisticiran i sigurno je Moskva iza toga, jer naši vrijedni djelatnici, ne bi oni nikad bili nestašni za vrijeme radnog vremena…
I opet, to može ali ne mora biti dokaz o ciljanom napadu. On-line napadači danas napadaju sve i svašta, koristeći cijelu hrpu rješenja: od starih, prokušanih trojanaca koje otkriva svaki antivirus (ali ih propušta onaj ranjivi dio populacije koji nema, ne zna ili ne želi koristiti antivirusne programe: dakle, najlakša meta), pa sve do sofisticiranih alata koji koriste tzv. “zero-day” propuste i trikove za zaobilaženje antivirusnih alata; poanta priče je da ne morate biti ministarstvo da biste postali metom i takvog, vrlo sofisticiranog napada. Samo ako analiza pronađenog softvera pokaže kako je riječ o softveru koji je pisan upravo za napad na određena mjesta (poput famoznog Stuxneta) koji je napisan kako bi sabotirao iranski nuklearni program), možemo s izvjesnom sigurnošću govoriti kako je riječ o sofisticiranom i usko ciljanom napadu; u suprotnom, vrlo “kvalitetnog” malwarea možemo u većim količinama naći svugdje po Internetu, a zadaća mu je da zarazi sve što stigne.
No, obranili smo se… uz malu pomoć prijatelja iz sigurnosno-obavještajne službe koji koriste superantiviruse, kako barem tvrdi Večernji: “Isto tako, sofisticiranost programa uzrok je toga da ga MVEP sa svojim sposobnostima nije mogao eliminirati te su stoga u eliminaciji spywarea korišteni posebno razvijeni specijalni alati kojima raspolaže sigurnosno-obavještajni sustav.”
Hm… priča za malu djecu, rekao bih. Svaki malo ozbiljniji informatičar može se riješiti problema otkrivenog na računalu tako da isto jednostavno pregazi i iznova instalira OS i potrebne programe, s pretpostavkom da su dokumenti pospremljeni u na sigurno mjesto (hrvatski: backup). Jako je mali broj digitalnih beštija koje mogu preživjeti brisanje diska i ponovnu instalaciju svega (s izuzetkom metoda skrivanja zlog koda u softverskim komponentama hardvera, poput UEFI zamjene za BIOS ili firmware-a tvrdih diskova).
Naravno, Ministarstvo vanjskih poslova je potencijalno vrijedna meta, pa je svakako moguće da ga je netko napao kakvim zlom koje se zavlači duboko u hardver računala (ali i to se može riješiti dobrim čekićem, nisu matične ploče ni tvrdi diskovi baš toliko izvan dometa proračuna ministarstva). Dapače, pravi sigurnosni stručnjak odmah bi izolirao takvo računalo i ostavio ga za neku buduću forenzičku analizu, ne bi tek tako reinstalirao računalo – tim više što ne može biti u potpunosti siguran da je računalo posve očišćeno od vrlo sofisticiranog malwarea.
Ideja hitnog čišćenja računala (i time uništavanja dokaza) umjesto zamjene (jednog jedinog, hvale se u ministarstvu) zaraženog računala novim nije uobičajena u sigurnosnim krugovima: analogija je to liječnika koji hitno da kremirati osobu umrlu od misteriozne bolesti umjesto da tijelo odveze na patologiju kako bi se saznalo što se zbilja dogodilo.
Stoga mi ta priča o tome kako iz SOA dolazi neki Supercyberhrvoje i moćnim setom alata spašava stvar od zlog Petruške kojeg je identificirao zato što je ovaj na tvrdom disku ostavio poruku: “All your database are belong to us, cyka!” – ne zvuči realno.
No, ono što me najviše brine u toj priči je izjava ministra Stiera kako niti jedna strateška informacija nije bila kompromitirana: kako on to zna?
Očito je, naime, kako do provale u sustav jest došlo, malware je pronađen i izoliran, identificiran, transferiran i što već sve ne. Problem je u vremenu između infekcije i otkrića: nitko ne može biti siguran da zna što se u tom vremenskom razdoblju događalo. Ministru su vjerojatno tako rekli, no mogu li i ti koji su mu to rekli biti sigurni u to što su rekli? Malware je do trenutka uništenja mogao učiniti mnogo stvari: mogao je pokrasti neke podatke, primjerice. No, mogao je instalirati i neki puno gori malware koji još uvijek čuči negdje na mreži ministarstva, neotkriven, i čeka svoju priliku. Mogao je promjeniti operacijski sustav tako da ga učini ranjivim na neku drugu vrstu napada.
U redu je reći kako je računalo čisto kad ga očistite od nekog do gomiletine “uobičajenih” virusa koji kruže Internetom, no kad se u članku istovremeno spominje vrlo sofisticiran malware kojeg su jedva počistili i izjava ministra da nikakvi podaci nisu procurili – onda je to još jedna ozbiljna kontradikcija.
Teško je reći što se tamo uistinu dogodilo, posebice baratajući s izjavama pouzdanih izvora, škrtim objašnjenjima ministra i općenitom nepoznavanju događaja. Novinski članci pritom ne pomažu puno, dapače – više zbunjuju nego što rasvjetljuju slučaj. Tako otvaraju vrata različitim interpretacijama, a napad zlih hackera samo je jedan od njih.
Ima i drugačijih potencijalnih tumačenja: možda uopće nije bilo sofisticiranog napada, možda se netko od djelatnika zaigrao na veselim web stranicama i pokupio kakav CryptoLocker koji je zaključao dokumente i traži otkupninu, pa da ne ispadne velika sramota ajmo reći kako nam je neka špijunska agentura pokušala upasti u sustav, ali mi smo srčano odbili njihov napad i spasili podatke!
Treće tumačenje, podjednako nategnuto, tiče se činjenice da je informacija o napadu koji se dogodio za prošlog ministra objavljena za ovog ministra, i to od strane pouzdanog anonimnog izvora. Kako je riječ o osjetljivim stvarima, bilo bi prirodno da MVEP i svi u to uključeni šute poput ribe, tim više što je riječ o staroj informaciji koja medijima više i nije tako interesantna; dapače, kako su oba ministra iz iste stranke (HDZ), ovakvo iznošenje u javnost nečeg što je u svojoj biti ipak povjerljivi podatak (napad na infrastrukturu ministarstva vanjskih poslova, klasična obavještajna priča) otvara prostora sumnji kako sukus priče nije uzbudljiva međunarodna špijunaža već obično domaće političko potkusurivanje.
Visits: 176