uredi› krajšaj› T:166 M:473 Z: [×]

Zatrite hrošča

Ameriške obveščevalne agencije so izpadle precej neumne, ko je skupina, imenovana The Shadow Brokers, predstavljala kibernetična orožja, ki jih je ukradla ameriški nacionalni varnostni agenciji NSA.

Douglas Heaven, New Scientist

Napad z izsiljevalskim programom WannaCry, ki je onemogočil računalnike po vsem svetu in onemogočil delo britanskih bolnišnic, je bil izpeljan z enim od orožij iz tega arzenala in je izkoristil ranljivost Microsoftovega šifriranja.

V NSA niso znali povedati, koliko orožja jim je bilo speljanega iz arzenala. Če bi ZDA izgubile nadzor nad jedrsko bojno glavo, bi bil ves svet ogorčen, saj to nevarno orožje ureja mreža mednarodnih dogovorov. Za kibernetično orožje, ki bi lahko ohromilo infrastrukturo neke države, pa ni takšne ureditve.

Morda menite, da je to tematika za tehno grozljivko in izraz kibernetično orožje je zagotovo pretirano dramatičen za nekaj, kar je navsezadnje le nekajvrstična koda. A zlonamerna programska oprema povzroča otipljivo škodo. Države, kot je Ukrajina, doživljajo redne napade, marsikdo jih povezuje z Rusijo. Ker je Nato prosil članice, naj poleg tankov in letal ponudijo na razpolago tudi svoje kibernetične zmogljivosti, bi morali začeti globalen pogovor o tem, kako takšno orožje uporabljati.

ZDA so to razpravo začele z novo politiko v zvezi z razkrivanjem ranljivosti v računalniških sistemih, med drugim v takšnem, kot so ga uporabili napadalci z WannaCry. Nova pravila uravnavajo, kako določiti, kdaj izdelovalce programske opreme obvestiti o razpokah v varnosti – odkrite hrošče bi bilo namreč mogoče izrabiti za povzročitev škode.

Bi te smernice lahko pomenile začetek nadzora nad kibernetičnim orožjem? So ZDA z njimi na pravi poti? »Vsekakor je to zelo zgodnji previdni prvi korak v to smer,« je komentiral Stevens.

Smernice opisujejo najpomembnejše razloge za in proti, o katerih je treba razmisliti pred razkritjem. Po eni strani obvestilo programskemu podjetju, da ima nevarnega hrošča, omogoča popravke in zavarovanje uporabnikov. Po drugi strani pa ameriška vlada tega hrošča lahko izkoristi, če ga zamolči. Smernice pravijo, da bi se o tem moral odločiti odbor za revizijo in svojo odločitev posredovati kongresu.

Če bi ZDA izgubile nadzor nad jedrsko bojno glavo, bi bil ves svet ogorčen. Na kibernetično orožje, ki bi lahko ohromilo infrastrukturo neke države, pa niti ne pomislimo.

A smernice so le navodila, ne pravno zavezujoči zakoni. Edward Snowden, ki je leta 2013 razkril tajni ameriški program nadzorovanja, je bil kritičen do razpok, zaradi katerih so nekatere odkrite ranljivosti izjema in o njih ni treba obveščati razvijalcev programske opreme. »Škoda za javnost, če deset zelo hudih napak ostane skritih, daleč pretehta koristi razkritih devetdesetih bolj nedolžnih,« je napisal na Twitterju.

Poleg tega je tu še vprašanje, kdo odloča, kaj razkriti. Odbor za revizijo sestavljajo skoraj izključno varnostne in obveščevalne agencije, predstavnikov javnosti in programskih podjetij pa v njem ni prav veliko.

Kakorkoli, ranljivost zaradi razpok v varnosti je le eno orožje v digitalnem arzenalu. Predstavljajte si hišo, pravi raziskovalec kibernetične varnosti Max Smeets s Stanfordske univerze. Razpoka v varnosti omogoča, da izberete ključavnico na vhodnih vratih, a to vam popolnoma nič ne koristi, če sploh ne morete priti do hiše.

Črv Stuxnet, ki naj bi ga ustvarili ZDA in Izrael za napad na iranske jedrske objekte, se je razširil z okuženim ključkom USB, saj ciljni računalniki niso bili priklopljeni v internet. 

A četudi bi bilo nasprotno, bi učinkovita politika v zvezi s kibernetičnim orožjem morala zajemati številne države. »Nujna je mednarodna razprava o tem,« je dodal Stevens. Ugotavljanje, kaj države skrivaj pripisujejo druga drugi, bi prav tako preprečilo zaostrovanje, je prepričana strokovnjakinja za mednarodno pravo Louise Arimatsu z londonske ekonomske fakultete. »Vsi se skušamo izogniti neposrednim konfliktom.«

Programska inventura

Kakšen bi bil torej videti nadzor nad kibernetičnim orožjem? Pri drugem orožju je treba določiti jasne meje in se dogovoriti za postopek inšpekcijskega pregleda, ki zagotavlja spoštovanje teh meja. Pri kibernetičnem orožju bi bilo to težavno ali celo nemogoče.

»Ko se je pred nekaj leti začelo govoriti o nadzoru nad kibernetičnim orožjem, so mislili, da se bodo lahko oprli na izkušnje z jedrskim in kemičnim arzenalom in v desetih letih dosegli sporazum,« je povedal Smeets. »Zdaj ugotavljajo, da je kibernetično orožje nekaj posebnega.«

Pri konvencionalnem orožju je posameznim državam mogoče omejiti količine in potencialno škodo, ki bi jo lahko povzročile. Sporazum o omejevanju obsega jedrskih poskusov iz leta 1974 prepoveduje jedrsko orožje, močnejše od 150 kiloton, na primer. Pri kibernetičnem orožju takšne omejitve niso mogoče, saj se zlonamerna koda lahko širi nepredvidljivo, kot se je zgodilo z WannaCry. »Pri kodah ne morete napovedati, kakšno škodo bodo povzročile,« opozarja Smeets.

Četudi bi se dogovorili za omejitve, bi jih bilo težko nadzorovati. Inšpektorji lahko obiščejo obrate za bogatitev urana in pregledajo zaloge. Kako pa bi pregledovali kibernetične programe, uporabljene kot orožje? »Nemogoče je pregledati vsak ključek v državi,« je težavo ponazoril Smeets.

In nazadnje so orodja za izkoriščanje ranljivosti orožje le, če ostanejo tajna. Po pregledih, s katerimi bi jih odkrili, bi postala neuporabna, s tem pa se ne bo sprijaznila nobena država, je opozoril Smeets.

Po Smeetsovem mnenju bi se morali bolj posvetiti širjenju in ne toliko samemu orožju. Države bi morda lahko prepričali, naj kibernetičnega orožja ne prodajajo nevarnim državam, na primer. In če ne moremo nadzorovati samega orožja, bi države lahko sklenile vsaj dogovor o sprejemljivi rabi, na primer da si za cilj ne bi izbrale pomembne infrastrukture in finančnega sistema.

Arimatsujeva pravi, da morda sploh ne potrebujemo sporazuma o nadzoru nad kibernetičnim orožjem, saj mednarodni zakoni že urejajo, kaj države smejo in česa ne. Če država krši suverenost druge države ali povzroča škodo znotraj njenih meja, ni pomembno, na kakšen način je bilo to storjeno.

Citat: Inšpektorji lahko obiščejo obrate za bogatitev urana in pregledajo zaloge. Kako pa bi pregledovali kibernetične programe, uporabljene kot orožje?

Težava se skriva tudi v tem, da se države na srečanjih, na katerih govorijo o kibernetičnem orožju, o marsičem ne strinjajo. Leta 2004 je OZN sestavila skupino vladnih strokovnjakov, da bi izboljšala varnost računalniških in telekomunikacijskih sistemov na svetu. Po letih pogovorov se je leta 2013 25 držav članic vendarle dogovorilo, da mednarodna zakonodaja dejansko velja tudi za internet. »To je bil pomemben preboj,« je poudarila Arimatsujeva. »A nato so se morali dogovoriti, kako velja.«

Po dodatnih pogajanjih se je projekt junija lani klavrno končal. Vladni strokovnjaki niso sestavili niti poročila, saj se niso mogli dogovoriti, kaj sploh napisati. Kot je povedala Michele Markoff, ameriška predstavnica v tej skupini, nekatere države očitno menijo, da njihove spletne dejavnosti ne smejo biti omejene. »To je nevarno in nesprejemljivo stališče, ki ga odločno zavračam,« je povedala.

Smeets meni, da so pogovori propadli, ker se države niso znale dogovoriti, kakšen naj bo internetni prostor. Večina zahodnih državah verjame v svobodni in odprti internet, druge, kot Kitajska, pa menijo, da bi morale biti spletne meje, ki jih država ureja in varuje kot svoj podaljšek. Tretje, med njimi Kuba, se bojijo militarizacije kibernetičnega prostora.

Ta pomislek ni brez osnove. Junija je Nato napovedal, da bo okrepil svojo kibernetično obrambo in bo med 29 držav članic razdelil več tehnologije in znanja. Nato se je odločil tudi, da bi ob kibernetičnem napadu lahko uveljavili 5. člen svojega sporazuma, kar pomeni, da bi napad na eno od Natovih članic veljal kot napad na vse – in dejanska bi bila možnost povračilnih ukrepov. Odziv bi lahko bil povračilni kibernetični napad, sankcije ali celo raba konvencionalnega orožja.

Nekateri, kot je Stevens, so prepričani, da je bil sestanek skupine vladnih strokovnjakov naša zadnja priložnost za širok mednarodni sporazum o teh vprašanjih. Zdaj lahko upamo kvečjemu na to, da bo nekaj držav, denimo ZDA, dalo zgled, ki bi dobil posnemovalke, je bil pesimističen.

A tu gre še za drugo vprašanje. Pri kibernetičnem orožju je težko ugotoviti, kdo ga je uporabil, še težje je to dokazati brez varnostnega tveganja.

Vrnimo se k primeru s hišo. Lahko bi namestili kamero, ki bi posnela vlomilca. Človeka bi lahko celo poznali, a če bi svoje dokaze pokazali drugim, bi jim razkrili svoj varnostni sistem. »Naslednjič, ko boste skušali vlomiti v mojo hišo, se boste znali izogniti kameram,« je bil nazoren Smeets.

Kibernetični prostor torej ostala skrivnosten kraj. »Ni verjetno, da bomo dosegli mednarodni dogovor o uporabi tega orožja,« je prepričan Smeets. »In četudi bi ga, ne bi bil uresničljiv.«

Arimatsujeva je bolj optimistična. Napoveduje, da se bodo pogovori nadaljevali, ko bo več držav prizadetih zaradi kibernetičnih napadov. »Države so sebične,« je pojasnila. »Ko pa bodo kršene njihove lastne pravice, se bodo sklicevale na mednarodno pravo.«

Copyright New Scientist, distribucija Tribune Content Agency