Vojna programskih vrstic

Pred kratkim sem se prvič srečal z nenavadnim novim računalniškim virusom, mi je pred približno tremi leti na mednarodni varnostni konferenci povedal poljski programer.

Zjutraj ga je poklical obupan prijatelj, ki je moral čez nekaj dni oddati gradivo za pomemben raziskovalni projekt, s katerim se je ukvarjal več mesecev. Dokončati bi moral še nekaj izračunov, a ga je na računalniku pričakalo obvestilo, da so vse njegove datoteke zaklenjene. Neznani izsiljevalci so mu sporočili, da jim mora v dveh dneh poslati odkupnino v elektronski kriptovaluti (bitcoinih), sicer bodo vsoto najprej podvojili in nato dokončno zaklenili računalnik.

Nisem vedel, kaj naj mu svetujem, je ob kavi in energijskih napitkih slikovito razlagal sogovornik. Najprej sem se pozanimal, ali ima gradivo spravljeno še na kakem drugem računalniku ali varnostnem disku (»seveda ga ni imel«). Nato sem celo dopoldne brskal po internetu in iskal morebitne rešitve, kako odkleniti napadeno napravo. Po nekaj urah iskanja in pogovoru s kolegi sem se moral sprijazniti z mislijo na odkupnino, saj druge rešitve še nismo poznali. Ampak kje naj moj znanec – ki seveda nima pojma o računalnikih ali kriptovalutah – na Poljskem kupi bitcoine in jih nakaže izsiljevalcem? Pomagal sem mu poiskati trgovca z bitcoini in nazadnje sta komaj ujela rok plačila, saj sta zaradi hitrega nihanja tečaja najprej kupila za nekaj desetink premalo elektronskega denarja. Datoteke so bile rešene, izsiljevalci pa so pridobili skoraj tisoč evrov.

V naslednjih nekaj letih sem slišal še veliko podobnih zgodb – tudi v Sloveniji. Izsiljevalski virusi so izkoriščali neprevidnost uporabnikov, ki so obiskovali tvegane spletne strani (pornografijo, spletne zmenkarije, izmenjevalnice piratskih datotek …) ali odpirali neznane priponke v elektronskih pismih. Elektronski izsiljevalci so najraje napadali posameznike in manjša podjetja, ki pogosto niso izdelovali varnostnih kopij in so uporabljali zastarelo programsko opremo (starejša Microsoftova okna, za katera ni več varnostnih popravkov). Med strokovnjaki za kibernetsko varnost so veljali za nadležne, a razmeroma nedolžne, saj so jih zamejile že varnostne kopije in redno posodabljanje oken. Okužba je bila lokalna in se ni širila po omrežju, odkupnine pa so bile nizke, saj so jih večinoma uporabljali posamezni hekerji ali hekerske skupine iz revnejših predelov sveta. Dokler se ni prejšnji teden njihov sloves dramatično spremenil.

Kibernetski napadalci uporabljajo za razvoj računalniških virusov podobne metode kot razvijalci biološkega orožja. Neznani napadalci so uporabili programske vrstice izsiljevalskega virusa, ki na računalniku zaklene (šifrira) vse datoteke. Nato so ga križali z virusom, ki zna okužiti osebne računalnike in se samodejno razširiti po celotnem povezanem omrežju. S takšnim gensko spremenjenim elektronskim organizmom so prejšnji konec tedna okužili na stotine tisočev računalnikov po vsem svetu. Med drugim so ohromili britanski zdravstveni sistem, napadli številna zasebna podjetja in javno infrastrukturo ter za nekaj časa ustavili proizvodnjo v novomeškem Revozu. Škoda bi bila lahko še veliko večja, če ne bi britanski programer po naključju odkril napake v virusu, zaradi katere jim ga je uspelo zelo hitro onemogočiti.

Kaj se je v resnici zgodilo? Odgovor je bilo treba tudi tokrat sestaviti iz drobcev uradnih in neuradnih informacij. Napadalci – domnevno iz Severne Koreje – so uporabili varnostno luknjo v operacijskem sistemu windows, ki jo je marca letos objavila spletna skupnost wikileaks. Razkriti dokumenti iz serije objav vault 7 so pokazali, da so ameriške obveščevalne agencije že dolgo poznale to okensko ranljivost, ampak so jo obdržale zase in niso opozorile proizvajalca. Pri Microsoftu so zato šele pred dvema mesecema pripravili varnostni popravek, a le za novejše različice oken. Starejša okna (windows xp, vista …) so ostala nezavarovana.

Kibernetski napad je potrdil nenehna opozorila kibernetskih strokovnjakov, da je varnostna kultura v podjetjih in javnih ustanovah še vedno zelo pomanjkljiva. Upravljavci okuženih računalnikov najmanj od marca niso posodobili operacijskega sistema in namestili ustreznega popravka. Britanski primer je pokazal, da zdravstveni domovi in bolnišnice še vedno uporabljajo veliko starih računalnikov. Delno zato, ker so jim starejši sistemi normalno delovali, a tudi zaradi varčevanja. Javni in zasebni sektor sta v zadnjih desetih letih bistveno znižala naložbe v informatiko, zato njihovi načrtovalci informacijskih sistemov niso kupovali sodobnejše opreme, izobraževali zaposlenih ali zaposlovali informatikov.

Izbruh izsiljevalskega virusa bi moral spodbuditi zelo konkretne ukrepe glede kibernetske varnosti, saj je mogoče v prihodnosti pričakovati vse več podobnih napadov. Kako se lahko tako nekritično zanašamo na sedanje informacijske in komunikacijske rešitve, če jih je v nekaj urah ohromil že slabo napisan računalniški program? Ali smemo zasebnemu softverskemu monopolistu (Microsoftu) dovoliti, da zaradi poslovnih motivov preneha podpirati računalnike, ki upravljajo kritično javno infrastrukturo? S kakšno pravico smejo obveščevalne agencije prikrivati ali celo namenoma nameščati varnostne luknje, ki jih lahko izrabijo tudi teroristi in kriminalci ter ogrozijo na milijone življenj? Vendar so bili odzivi medijev in politike čisto drugačni.

Ruski predsednik Vladimir Putin je za napad okrivil Američane (podobno so namigovali kitajski uradni viri). Ameriški politiki in komentatorji takšne incidente že vnaprej pripišejo »ruskim hekerjem«. Domnevna domovina napadalcev – Severna Koreja – postaja novo prizorišče boja proti terorizmu, ki ji je mogoče brez dokazov pripisati skoraj vsako sovražno dejavnost ali naklep. Na spletnih forumih je vzniknilo na desetine različnih razlag in zarotniških teorij, v katerih nastopajo tajne službe, velika informacijska podjetja in izdelovalci protivirusnih programov. Vsi omenjeni scenariji se zdijo enako verjetni ali neverjetni, kar je bistvena značilnost kulture nezaupanja in alternativnih dejstev, ki se je po svetu razširila še hitreje kot računalniški virus.

V takšni kulturi ni več mogoče govoriti o temeljnih problemih informacijske družbe: zasebnih monopolih, družbi nadzora in veliki koncentraciji moči. Skoraj nemogoče je pomisliti, da so napadalci izrabili tehnične in človeške pomanjkljivosti sistema samo zato, da bi zaslužili nekaj denarja – kar velja za vse vrste kriminala. Namesto tega postajajo programske vrstice vse bolj podobne jedrskim bombam in raketam, ki so jih velike vojaške sile nakopičile med hladno vojno, da bi z njimi ustrahovale nasprotnike in lastno javnost. Politiki so tako izrabili nedavni virusni napad za obtoževanje domnevnih zunanjih sovražnikov. Nenadzorovane tajne službe – objektivno najbolj odgovorne za okensko luknjo – pa so v imenu teroristične grožnje takoj zahtevale nova pooblastila in odpravo zakonskih varovalk, namesto da bi priznale napako in opustile nevarne prakse. Kar velja tudi za slovensko Sovo.

Prihodnjih kibernetskih napadov – kriminalnih, terorističnih ali vojaških – ne bo nikoli mogoče popolnoma preprečiti ali predvideti njihovih posledic. Pred novimi vrstami računalniških virusov se ne bo mogel ubraniti noben posameznik ali organizacija. Edina učinkovita zaščita bi bilo sistematično izboljšanje informacijske varnosti, strožji nadzor nad delom obveščevalnih agencij, omejevanje informacijskih monopolov in obvezujoči mednarodni dogovori, ki bi po zgledu ženevske konvencije omejili uporabo kibernetskega orožja. Toda takšnega poziva ni po zadnjem virusnem napadu izrekel noben domači ali svetovni voditelj. Gensko spremenjeni elektronski organizem zato ni samo zamrznil osebnih računalnikov, temveč je hkrati razgalil še vso nemoč in nazadnjaškost sedanje svetovne politike.