388 mld dol. – na tyle eksperci wyceniają straty ponoszone w ciągu roku przez globalną gospodarkę wskutek działań hakerów. A to może być jedynie wierzchołek góry lodowej: nie dość, że autorzy „Norton Cybercrime Report 2011” brali pod uwagę przede wszystkim 24 najbardziej rozwinięte kraje świata, to jeszcze ogromna pula ataków nie jest nawet raportowana. Ba, nie zostaje nawet zauważona.
Shamoon mógłby z powodzeniem trafić do Sevres jako wzorzec komputerowego wirusa. Program na początek kopiuje kluczowe dane z folderów takich jak „Dokumenty i ustawienia” oraz „Użytkownicy”, potem kasuje zawartość twardych dysków. Wirus miał spektakularną premierę w połowie sierpnia: w ciągu kilku godzin opanował sieć należącą do saudyjskiego giganta naftowego – firmy Aramco. Na kilka dni wyłączone zostało 30 tys. komputerów, których używali pracownicy koncernu. Aramco w pośpiechu wynajęło co najmniej sześć firm informatycznych, by zażegnać skutki ataku. I choć Saudyjczycy zapewniają, że nie doszło ani do zakłócenia produkcji, ani też firma nie poniosła strat, których nie dałoby się odrobić, eksperci z branży IT określają atak na Aramco jako „jeden z największych ataków hakerskich wymierzonych w pojedynczą firmę”.
To zresztą nie koniec. Pod koniec sierpnia Shamoon uderzył w kolejną bliskowschodnią firmę: katarski RasGas, jednego z największych światowych producentów gazu LPG. Zaatakowani Katarczycy również zostali sparaliżowani – musieli wyłączyć strony internetowe oraz system poczty e-mail.
– Kod tego wirusa jest amatorski, ale skuteczny – oceniali po kilku tygodniach śledztwa programiści z największych światowych firm zajmujących się bezpieczeństwem IT. Z przecieków z wewnętrznego dochodzenia prowadzonego przez Aramco z pomocą wynajętych ekspertów wynika też, że wirusa wpuścił do firmowej sieci kret – któryś z pracowników koncernu. Z kolei na internetowych forach hakerskich odpowiedzialność za atak wzięła grupa o nazwie Tnący Miecz Sprawiedliwości. Jej haktywiści twierdzą, że motyw ataku był stricte polityczny: było to uderzenie w finansowe fundamenty reżimu, który nie dość, że twardą ręką włada Arabią Saudyjską, to miażdży również wolnościowe zrywy na Bliskim Wschodzie, np. w Bahrajnie czy Syrii.
Sektor naftowy od miesięcy jest zresztą celem ataków. Dla branży dzień, w którym hakerzy zakłócą dostawy ropy lub doprowadzą do uszkodzenia maszyn pracujących w szybach lub przy przerobie surowca, jest bliski. – Jeśli ktoś dostanie się do strefy, w której kontroluje się otwieranie lub zamykanie zaworów, możecie sobie wyobrazić, co się stanie – przestrzegał kilka miesięcy temu na branżowym szczycie World Petroleum Congress szef IT w koncernie Shell Ludolf Luehmann. – To będzie kosztować ludzkie życie, odbije się na produkcji, spowoduje straty finansowe, wywoła pożary i utratę wydobytego surowca, szkody dla środowiska naturalnego. To będą olbrzymie, olbrzymie zniszczenia – dodał. Jego zdaniem hakerzy potrafią czaić się tygodniami, jeśli nie miesiącami, zanim dokonają bardzo precyzyjnego ataku na określone miejsce w strukturze firmowej sieci. – To nowy rodzaj ataków, który właśnie obserwujemy w Shellu – podkreślił.
Zabójcza triada
Apokalipsa może być bliższa, niż mogłoby się wydawać sceptykom. Szlak hakerom przetarł wirus, który uchodzi już za legendę – Stuxnet. Odkryty w czerwcu 2010 r. robak znajdował się na dyskach komputerów w co najmniej pięciu irańskich instytucjach zajmujących się energetyką nuklearną. Wirus został zaprojektowany tak, że nie atakuje niczego poza systemami nadzoru i kontroli pozyskiwania danych (SCADA) produkcji niemieckiej firmy Siemens. Takie systemy kontrolują m.in. pracę wirówek wzbogacających uran. Najprawdopodobniej za sprawą wirusa centryfugi zaczęły niedostrzegalnie zwalniać i przyspieszać, nie tylko zakłócając proces wzbogacania uranu, lecz także stopniowo niszcząc sprzęt używany w laboratoriach. Uderzenie zostało wymierzone precyzyjnie w Iran – około 60 proc. przypadków pojawienia się Stuxnetu zostało odnotowane w tym kraju. Do stworzenia robaka niemal otwarcie przyznali się Amerykanie i Izraelczycy próbujący od lat powstrzymać irański program nuklearny.
Ale atak Stuxneta był jedynie pierwszą bitwą w cyberwojnie. Przeszło rok później Węgrzy z budapeszteńskiej politechniki wykryli kolejnego wirusa. Tym razem był to programik tworzący możliwości przeprowadzania dalszych podbojów – choć zawierał opcje pozwalające wykradać dane, przede wszystkim zmieniał działanie zainstalowanych na dysku sterowników oraz tworzył narzędzia umożliwiające wpuszczanie do systemu kolejnych wirusów. Duqu – bo tak też ochrzczono robaka tworzącego własne pliki z prefiksem ~DQ – zdaniem ekspertów firmy Symantec wyszedł spod tej samej ręki, co Stuxnet. Twórcy musieli znać kod źródłowy tego ostatniego. – Duqu jest niemal identyczny jak Stuxnet, ale służy kompletnie innym celom – stwierdzili w swoim raporcie.
I być może przeciera drogę dla najnowszego robaka. Informacje o odkryciu Flame pojawiły się tuż przed wakacjami. Możliwości tego oprogramowania z powodzeniem odpowiadają fantazjom twórców wszelkich teorii spikowych: Flame może m.in. nagrywać rozmowy prowadzone przez Skype’a, a także te, które odbywają się blisko urządzenia. Rejestruje pracę na klawiaturze – a więc również hasła i loginy – oraz aktywność w internecie i sieci wewnętrznej. Co więcej, dzięki Flame komputer może uruchomić przekaźnik Bluetooth, połączyć się ze znajdującymi się w pobliżu telefonami, tabletami czy laptopami i ściągnąć dane z tychże urządzeń. Wykradane informacje lądują na rozsianych po świecie serwerach, nie pozwalając namierzyć używających wirusa hakerów. Jedyne, co można wywnioskować z zebranych dotąd informacji, to fakt, że twórcy Flame szczególnie interesowali się Bliskim Wschodem.
– Wirus taki jak Stuxnet nie jest w zasięgu byle amatorów – podkreśla w rozmowie z DGP Peter Sommer, ekspert od prawie trzydziestu lat monitorujący świat cyberprzestępczości. – Tworząc tak wymyślne narzędzie ataku, musisz doskonale znać sprzęt, który jest w użyciu. A w przypadku czegoś takiego, jak opracowana przez Siemensa SCADA, de facto musisz mieć dane wywiadowcze – wylicza. W konsekwencji tego typu technologia może zostać opracowana przez nielicznych i jej ewentualne użycie pozostanie domeną agencji rządowych.
Zamach, którego nie było
Hakerskie aspiracje agencji wywiadowczych z całego świata nie są niczym nowym. Gorzej, że większość opracowywanych w ich laboratoriach technologii wcześniej czy później trafia w ręce cyberprzestępców i cyberchuliganów. Chętnych do włamań nie brak – nawet jeśli z polskiej perspektywy problem wydaje się marginalny. Wystarczy spojrzeć na wydarzenia z pierwszych dni września: miesiąc zaczął się mocnym uderzeniem – kradzieżą danych dotyczących 12 mln urządzeń wyprodukowanych przez Apple’a. Kilkadziesiąt godzin później złodzieje wykradli dane z zeznań podatkowych Mitta Romneya, republikańskiego kandydata na prezydenta USA, i zażądali miliona dolarów okupu za zachowanie ich w tajemnicy. W kolejnych dniach hakerzy uderzyli też w serwis SMS katarskiej stacji Al-Dżazira, rozsyłając subskrybentom informacje o wydarzeniach, które nie miały miejsca – m.in. zamachu na premiera Kataru. Ujawniono też informację o tym, że chińscy hakerzy polują na konta użytkowników sieciowej gry „Guild Wars 2”. Na tym tle informacja o kradzieży danych osób zamawiających pizzę do domu w indyjskich restauracjach koncernu Domino’s mogłaby zakrawać na żart. Tyle że chodzi o numery telefonów, adresy, adresy e-mail i hasła 37 tys. ludzi. Jeśli komuś byłoby mało, firma BlueToad – ta, z której wykradziono dane należące do Apple’a – usprawiedliwiała się, podkreślając m.in., że odpiera tysiąc ataków hakerskich. Dziennie.
Cena takiego ataku może być astronomiczna. Ubiegłoroczne włamanie na serwery firmy Sony i kradzież danych 77 mln użytkowników konsoli PlayStation kosztowała firmę – tylko w tamtym roku – niemal 172 mln dol. To niewiele mniej niż straty poniesione wskutek tsunami, które przetoczyło się przez Japonię raptem na miesiąc przed włamaniem. Na dodatek mowa tu o stratach bezpośrednich – w zniszczonym sprzęcie czy przerwach w świadczeniu usług. Dodatkowy koszt to utracone zaufanie klientów, które przekłada się w nieunikniony sposób na sprzedaż w kolejnych latach. I reakcja giełd: po ujawnieniu ataku i niemrawej odpowiedzi Sony akcje spółki poszły w dół o 4 proc. Dodatkową cenę płacą obsługujące gigantów firmy takie jak BlueToad – po kradzieży danych 130 mln użytkowników kart kredytowych w 2009 r. firma Heartland Payments musiała zapłacić przeszło 140 mln dol. kar i odszkodowań.
Jednak wbrew pozorom to nie branżowi giganci są największą ofiarą hakerów. Z badań firmy Symantec wynika, że w ciągu ostatnich dwóch lat aż 40 proc. ataków hakerzy przypuścili na komputery małych i średnich przedsiębiorstw, a tylko 28 proc. na sieci wielkich koncernów. – Hakerzy sięgają po nisko wiszące owoce, te przedsiębiorstwa, które nie są świadome zagrożeń i nie mają odpowiednich środków obrony – twierdzi jeden z menedżerów Symantecu Ross Walker. – Dla nich to opcja niskiego ryzyka – dodaje. Z badań innej agencji IT – Modis – wynika choćby, że pracownicy co piątej firmy przesyłają poufne informacje biznesowe za pomocą niezabezpieczonych sieci WiFi. A zdobyte w takich słabych punktach dane są często chodliwe: obejmują numery kart kredytowych, dane personalne pracowników czy hasła i loginy.
Bez kreta można się obyć
Jeśli w poprzedniej dekadzie do co bardziej skomplikowanego włamania potrzebny był kret, to w ostatnich latach jedynie w 4 proc. przypadków stwierdzono, że hakerzy korzystali z pomocy kogoś z wewnątrz. Pośrednio to oczywiście skutek błyskawicznego rozwoju technologii, od bezprzewodowego przesyłu danych po produkcję dziesiątków najróżniejszych gadżetów, od trywialnych pamięci USB po ultranowoczesne tablety i smartfony, zawierające opcje, o których nie śniło się niegdyś szefom bezpieczeństwa IT.
Ale też jest to efekt statystyczny. Od 2010 r. w sieci trwa cyberwojna, a statystyki ataków hakerskich wystrzeliły w górę. W badaniu przeprowadzonym przez konsultantów PwC aż 93 proc. dużych firm przyznało się do tego, że było obiektem ataku. W przypadku spółek średniej wielkości wskaźnik wyniósł 76 proc. Przeciętna duża firma przyznaje się do 54 prób wdarcia się do jej systemu przez nieautoryzowanego intruza. 15 proc. ma odwagę przyznać, że nie udało się powstrzymać włamywacza. Tak czy inaczej poziom zagrożeń w sieci wzrósł praktycznie dwukrotnie w stosunku do 2010 r. Tylko w pierwszych trzech miesiącach poprzedniego roku w sieci znalazło się sześć milionów nowych wirusów komputerowych – coś, co jeszcze kilka lat temu przekraczało możliwości wyobraźni ekspertów z branży.
Technologia z filmów SF spauperyzowała się. – Podstawowe technologie potrzebne do przeprowadzenia ataku informatycznego są już ogólnodostępne – mówi Sommer. – Ich używanie nie jest zresztą wyłączną domeną przestępców. Wystarczy nie lubić lub kontestować działania jakiejś firmy czy instytucji. Kiedyś niezadowoleni szli protestować z transparentami pod jej siedzibę, dziś ściągają z sieci jakiegoś robaka czy trojana i próbują zainfekować obiekt ataku. W rezultacie w sieci kłębi się dziki tłum aktywistów, rozczarowanych pracowników, przestępców, szpiegów – podkreśla.
Nie ma się jednak czemu dziwić, stawka jest coraz wyższa. Wirtualne dane są na wagę złota: na czarnym rynku milion adresów e-mail może być warty 20 dol. (na Ukrainie), 66 dol. (w Wielkiej Brytanii), a nawet i 166 dol. (w Portugalii). Numery telefonów czy inne dane personalne są oczywiście odpowiednio droższe. Ale kradzież takich informacji to wciąż w pewnej mierze domena płotek. Największe pieniądze są gdzie indziej. Jak się szacuje, obecnie 81 proc. giełdowej wartości 500 największych firm z listy S&P to „majątek intelektualny”: patenty, projekty nowych rozwiązań, plany marketingowe na kolejne miesiące i lata. To po nie starają się sięgać grube ryby. Tu ceny mogą szybować swobodnie: wystarczy wspomnieć historię sprzed kilku lat, która przydarzyła się jednemu z koncernów motoryzacyjnych w USA. Rozgoryczony pracownik przerzucił dane dotyczące opracowywanego właśnie nowego modelu na pamięć USB i z nośnikiem w kieszeni wyszedł z firmy. Przeciek kosztował firmę miliard dolarów. Dziś ta historia jest za oceanem przytaczana jako sentymentalne wspomnienie dawnych dobrych czasów.