Igła w cyber-stogu

Igła w cyber-stogu

STY 18, 2016
535 VIEWS
Igła w cyber-stogu

Oprogramowanie firmy Bosch zainstalowane w samochodach koncernu Volkswagen było bardzo przebiegłe. Rozpoznawało, czy pojazd jest poddawany testom w laboratorium, czy mknie po autostradzie. Zmieniało parametry pracy silnika tak, żeby w laboratorium ograniczyć wydzielanie szkodliwych substancji, a na szosie zapewnić maksymalną moc i sprawność jednostki napędowej. Dopiero specjalne badania przeprowadzone podczas normalnej eksploatacji pozwoliły zdemaskować tę sztuczkę.

Dlaczego nikt wcześniej tego nie wykrył?

Dlaczego nikt nie zażądał dostępu do kodów źródłowych oprogramowania, nie przejrzał ich i nie zauważył oczywistej machlojki?

Dlatego, że jest to niezwykle trudne i kosztowne. Przejrzenie milionów linii kodu w celu zrozumienia jego poprawnego działania i wykrycia działania niepożądanego wymaga nakładu pracy porównywalnego ze stworzeniem własnego oprogramowania.

Miliardy zatrutych źdźbeł

Złożoność problemu wyszukiwania niepożądanej funkcjonalności w sprzęcie elektronicznym i jego oprogramowaniu najłatwiej pokazać, przenosząc się ze świata układów scalonych, bitów i bajtów na tradycyjną polską wieś.

Wyobraźmy sobie gospodarstwo rolne, którego podstawę stanowi kilkusethektarowe, ciągnące się aż po horyzont pole uprawne. Jest upalny letni dzień, a na tym bezkresnym polu w równych rzędach stoją stogi. Nieruchomo, niczym żołnierze na defiladzie, gdy wykonywany jest hymn narodowy. Dziesiątki tysięcy starannie ułożonych snopków, z których każdy składa się z setek źdźbeł. Zimą to będzie pasza do wykarmienia pokaźnego stada zwierząt hodowlanych.

Wyobraźmy sobie teraz, że nocą na pole zakrada się zawistny sąsiad gospodarza i do któregoś ze stogów podkłada zarażone zjadliwym wirusem źdźbło. Jeśli choć jedno zwierzę je zje, to całe stado zachoruje i padnie. Obecność wirusa w źdźble można wykryć pod mikroskopem, ale… należy je WSZYSTKIE zbadać!

Zagadnienie wykrycia niepożądanej funkcjonalności w sprzęcie informatycznym jest właśnie tego typu zadaniem, tyle że miliony razy bardziej złożonym i kosztownym. Każdy z miliardów tranzystorów w układach scalonych i każdy z miliardów bitów oprogramowania może być wirusem, który upośledzi działanie urządzenia elektronicznego.

Sytuację pogarsza fakt, że najczęściej wrogowi nie chodzi o wywołanie natychmiastowej awarii sprzętu. W większości przypadków niepożądana funkcjonalność służy do skrytego wykradania informacji albo czeka na sygnał do destrukcyjnego ataku.

Miliardy wrogów

W powyższym rolniczym przykładzie gospodarz zna swoich sąsiadów, więc może stosunkowo skutecznie przeciwdziałać ich złowrogim planom. W cyberprzestrzeni jest inaczej. Cyberprzestrzeń to globalna wioska zasiedlona mieszkańcami o bardzo różnych intencjach. Wielu z nich nie ujawnia lub wręcz maskuje swoją tożsamość i miejsce prowadzenia działalności. W dodatku realizują ją nie bezpośrednio, ale za pomocą autonomicznego oprogramowania, które potrafi zarażać systemy na podstawie dość ogólnych reguł określonych przez atakującego.

W cyberprzestrzeni koszty ataku są bardzo małe, a koszty obrony niewspółmiernie duże. Skalę wyzwania doskonale ilustrują dwie liczby: jeden z dostawców oprogramowania antywirusowego podał, że każdego dnia analizuje około 350 tysięcy plików z podejrzaną zawartością i wykrywa co najmniej 10 tysięcy różnych przypadków oprogramowania o niepożądanej funkcjonalności. KAŻDEGO DNIA! Skala zjawiska jest trudna do wyobrażenia, a co dopiero do opanowania.

Uzasadnionym w tym miejscu wydaje się pytanie: dlaczego tak się dzieje i kto do tego dopuścił?

Odpowiedź jest stosunkowo prosta. Obecne powszechne cyber-niebezpieczeństwo jest wynikiem działania ludzi dobrej woli! I nie chodzi tu o tani sarkazm. Naukowcy, którzy tworzyli fundamenty wszechświatowej sieci wymiany danych i architekturę oprogramowania przeznaczonego do powszechnego użytku, skupiali się na dostarczeniu pożytecznych narzędzi swoim kolegom – ludziom otwierającym przed ludzkością nowe możliwości. Zapomnieli tylko, że społeczeństwa nie składają się jedynie z samych aniołów. Ich członkami są również złodzieje, oszuści i zabójcy.

Obecna architektura cyberprzestrzeni nie zapewnia jej użytkownikom praktycznie żadnego bezpieczeństwa. Wręcz przeciwnie – sprzyja osobom nieuczciwym ze względu na powszechną dostępność narzędzi informatycznych, łatwość podszywania się pod inne osoby oraz niedoskonałości oprogramowania realizującego podstawowe funkcje komunikacyjne.

Jak żyć?

Co zatem należałoby zrobić, żeby cyberprzestrzeń stała się bezpieczna?

Rozwiązaniem skutecznym byłaby radykalna jej przebudowa począwszy od fundamentów infrastruktury, a skończywszy na elementach wykorzystywanych przez wszystkich użytkowników sprzętu informatycznego. Niestety wygląda na to, że mimo istnienia technicznych możliwości, siła inercji związana z interesami producentów i konsumentów wykorzystywanych obecnie technologii jest zbyt duża. Bezkrytyczne stosowanie przez wiele państw rozwiązań firmy Microsoft jest znakomitym przykładem tego zjawiska. Ze wspomnianych wcześniej tysięcy zagrożeń wykrywanych codziennie przez specjalistów ponad 99% dotyczy systemu operacyjnego Microsoft Windows. Tymczasem polskie Ministerstwo Obrony Narodowej w swoich wytycznych od lat preferuje to właśnie oprogramowanie. Linux jest tylko tolerowany, choć w jego przypadku zagrożenia występują jedynie incydentalnie, a użytkownik może w pełni panować nad jego kodem źródłowym.

Rozwiązaniem na dziś – w sytuacji eksploatacji systemów o niedostępnych kodach źródłowych – jest dbanie o ich aktualność zgodnie z wytycznymi producenta, któremu z konieczności trzeba całkowicie zaufać.

Rozwiązaniem na przyszłość powinno być rozwijanie własnych opracowań opartych na sprawdzonych praktykach, algorytmach i protokołach. Takie podejście byłoby jednocześnie drogą ku gospodarce innowacyjnej, a nie odtwórczej, polegającej jedynie na weryfikacji i recenzowaniu czyichś dokonań podczas audytu zgodności i poprawności dostarczanych kodów źródłowych.

Krzysztof Wysocki

Krzysztof Wysocki

Popularyzator wiedzy o zasadach skutecznego działania. Autor przewodnika „Teraz! Jak już dziś zmienić jutro?” Współzałożyciel WB Electronics SA

PODOBNE ARTYKUŁY

Gazociąg OPAL a sprawa polska

Gazociąg OPAL a sprawa polska

Pod koniec roku 2016 Polska wnioskowała do Trybunału Sprawiedliwości UE o zawieszenie wykonania kontrowersyjnej decyzji Komisji Europejskiej, która będąc korzystną dla rosyjskiego koncernu Gazprom, stanowiła zagrożenie dla bezpieczeństwa energetycznego Europy

READ MORE
Refleksje po 53. Konferencji Bezpieczeństwa w Monachium

Refleksje po 53. Konferencji Bezpieczeństwa w Monachium

Transatlantyckie partnerstwo między Stanami Zjednoczonymi, a Europą przez przeszło 50 lat stanowiło podstawę dla wielkiej strategii USA, czyli zamorskiego równoważenia (więcej o tej strategii: Artur Brzeskot – Jaka strategia może odrodzić

READ MORE
Antidotum na intelektualną truciznę

Antidotum na intelektualną truciznę Popular

Cywilizacja europejska stoi w obliczu konfrontacji z zupełnie nowym zagrożeniem. Na chwile obecną, przegrywa tę konfrontację przede wszystkim na kluczowej płaszczyźnie – intelektualnej. Wyraźnie widoczny jest brak instrumentów skutecznej reakcji

READ MORE
Kultura relacji – II Międzynarodowa Konferencja Naukowa

Kultura relacji – II Międzynarodowa Konferencja Naukowa

W dniach 22-24.02.2017 w gościnnych progach Pałacu i Folwarku Galiny odbędzie się: II Międzynarodowa Konferencja Naukowa „Kultura Pokoju”. Hasło przewodnie tegorocznej konferencji to: „KULTURA RELACJI”. Celem konferencji jest rzeczowa wymiana

READ MORE
Jaka strategia może odrodzić wielkość USA i Polski?

Jaka strategia może odrodzić wielkość USA i Polski?

Po raz pierwszy w najnowszej historii politycznej Stanów Zjednoczonych duża liczba Amerykanów otwarcie zaczęła kwestionować wielką strategię ich kraju. W kwietniu 2016 r. według sondażu Pew 57% obywateli USA wyraziło

READ MORE
Dlaczego przegrana Clinton jest dobrą nowiną dla Polski?

Dlaczego przegrana Clinton jest dobrą nowiną dla Polski?

W Polsce większość publicystów, a nawet niektórzy amerykaniści, kiedy próbowali znaleźć argument przeciwko Hillary Clinton wymieniali przede wszystkim reset między USA i Rosją. W ich mniemaniu był on szkodliwy dla

READ MORE
Waszyngton vs Moskwa: możliwy zwrot o 180 stopni?

Waszyngton vs Moskwa: możliwy zwrot o 180 stopni?

Sondaże przedwyborcze w Stanach Zjednoczonych pokazują, iż kandydat partii republikańskiej Donald Trump ma duże poparcie wśród społeczeństwa amerykańskiego. Mimo ostatnio przegranych debat zajmuje on czołowe miejsce w rankingach politycznych i

READ MORE
Sprawa śmigłowców dla Polski politycznym balonem

Sprawa śmigłowców dla Polski politycznym balonem Popular

Polska scena polityczna a za nią świat mediów żyje niezrealizowanym kontraktem na francuskie śmigłowce Caracal dla polskiej armii. Niestety wszystkie strony – tak naprawdę politycznego i emocjonalnego – konfliktu żyją

READ MORE
Dlaczego broń atomowa nie zwiększy bezpieczeństwa Polski?

Dlaczego broń atomowa nie zwiększy bezpieczeństwa Polski?

Pod koniec 2015 r. medialne poruszenie w kraju wyzwoliły słowa podsekretarza stanu w Ministerstwie Obrony Narodowej Tomasza Szatkowskiego o ewentualnej możliwości przekazania Polsce broni atomowej przez USA. Z powodu informacyjnego

READ MORE
Suwerenność przemysłowa

Suwerenność przemysłowa

Streszczenie dla niecierpliwych: NIE CZARUJMY SIĘ! Inspektorat Uzbrojenia jest sformowaną przez Ministra Obrony Narodowej jednostką organizacyjną odpowiedzialną za pozyskiwanie uzbrojenia i sprzętu wojskowego na potrzeby Sił Zbrojnych RP. Obecne kierownictwo

READ MORE
Czy Wojsko Polskie budzi grozę?

Czy Wojsko Polskie budzi grozę? Popular

Chcę postawić zdecydowaną i prawdziwą tezę, że Siły Zbrojne RP są bez porównania i bezwzględnie najlepsze w subregionie Europy Środkowo-Wschodniej. Oczywiście, Wojsko Polskie ma wiele słabości na różnych obszarach: od

READ MORE
Turecki EXIT z NATO?

Turecki EXIT z NATO? Popular

Ostatnie relacje Turcji z Rosją a także z USA, a tym samym z NATO, uległy zmianie o 180 stopni. Aby bardziej przybliżyć okoliczności w jakich doszło do zmian, należy przeanalizować

READ MORE
Cele pokazu siły Putina

Cele pokazu siły Putina Popular

Władze i społeczeństwa państw strefy euroatlantyckiej z niepokojem patrzą na aktualną działalność prezydenta Rosji Władimira Putina. Czy faktycznie należy się obawiać rosyjskich manewrów? Jakie cele przyświecają rosyjskiemu przywódcy? Jak pokazuje

READ MORE
Trwa nabór do OS Commando dla kandydatów do Wojsk Specjalnych

Trwa nabór do OS Commando dla kandydatów do Wojsk Specjalnych Popular

Jeszcze tylko miesiąc pozostał zainteresowanym na złożenie wniosku przez kandydatów na żołnierzy Wojsk Specjalnych. 30 września 2016 r. upływa termin dla cywili ubiegających się o przyjęcie do Ośrodka Szkolenia „Commando”

READ MORE
Holandia walczy z rosyjską propagandą

Holandia walczy z rosyjską propagandą Popular

Holandia zmaga się z negatywnym wpływem rosyjskiej propagandy. Wciąż trwają prace nad niezależnym rosyjskojęzycznym portalem informacyjnym. Jednocześnie Holendrzy przyznają, że walka z rosyjską ‚siłą miękką’ nie jest łatwa.  Państwo znajduje się  pod

READ MORE
Dylematy bezpieczeństwa: prywatność

Dylematy bezpieczeństwa: prywatność

Jak bumerang powraca temat bezpieczeństwa danych użytkowników Internetu. Wycieki, handel metadanymi, ustawy inwigilacyjne to wątki, które tak zwykłych użytkowników Internetu, jak i internetowych aktywistów co jakiś czas elektryzują. Czy winne

READ MORE
Szósta kolumna czyli zagrożenia cyberbezpieczeństwa

Szósta kolumna czyli zagrożenia cyberbezpieczeństwa

„Stanęliśmy oko w oko z nieprzyjacielem i okazało się, że jesteśmy nim my sami” – Walt Kelly Określenie „piąta kolumna” pochodzi z czasów hiszpańskiej wojny domowej i oznacza dywersantów, sabotażystów,

READ MORE