- Nikt nie wie, kto stworzył wirusa, ale nie byli to amatorzy - mówi w "Sygnałach Dnia" Paweł Reszczyński, ekspert do spraw bezpieczeństwa informatycznego z firmy Symantec. Tajemniczy wirus przejmuje kontrolę nad konkretnymi procesami przemysłowymi i potrafi unieruchomić urządzenia. - Ten wirus unieruchamia na przykład pompy lub turbiny - tłumaczy ekspert.
Jego zdaniem, w tej chwili wirusy komputerowe są groźniejsze niż bomba atomowa. Ktoś klikając myszka jest w stanie wstrzymać pracę elektrowni lub sparaliżować życie w wielkim mieście.
Ponieważ celem była elektrownia atomowa w Iranie, można jedynie spekulować, w czyim to leżało interesie, ale nikomu nic nie można udowodnić. Wirus wymknął się już spod kontroli. - Z Indii, a nawet z Chin raportują, że tam już jest ten wirus - mówi ekspert.
Reszczyński ostrzega, że w tej chwili nie ma już bezpiecznych komputerów i sieci. - Jeśli ktoś nie podłączył komputera do internetu i myśli, że jest bezpieczny, to pozostaje w błędzie - mówi gość Jedynki Krzysztofowi Grzesiowskiemu. I wyjaśnia, że nawet można zawirusować komputer wkładając pendriva do portu USB, lub podłączając do zamkniętej sieci prywatwego laptopa.
Ekspert ostrzega, że nasze domowe komputery mogą być wykorzystywane przez innych nawet bez naszej wiedzy. - Jeśli komputer działa wolniej, albo wykonuje jakieś dziwne operacje powinno to wzbudzić nasze podejrzenia. Bo w tej chwili bez naszej wiedzy może być wykorzystywany np. do łamania jakiegoś szyfru - mówi Paweł Reszczyński.
(ag)
Krzysztof Grzesiowski: Pan Paweł Reszczyński, specjalista ds. bezpieczeństwa infrastruktury IT czy mówiąc po ludzku – sprzętu komputerowego. Witamy w Sygnałach, dzień dobry.
Paweł Reszczyński: Witam państwa.
K.G.: Firma Symantec. Cytowaliśmy dziś fragment artykułu z najnowszego Tygodnika Powszechnego, że eksperci od bezpieczeństwa informatycznego twierdzą, że to początek nowej ery w dziejach ludzkości. Polem walki staje się cyberprzestrzeń. A o co chodzi? Chodzi o najpotężniejszy, jak mówią, w historii wirus komputerowy, który zaatakował irańską elektrownię atomową w Buszerze. Sprawa jest znana, sprawa jest głośna, zwłaszcza w środowisku informatycznym, jak sądzę. O co chodzi?
P.R.: Chodzi o to, że ktoś, że tak powiem, już publicznie wiadomo, że atakuje instalacje przemysłowe i tutaj nie jest celem wydobycie pieniędzy od użytkowników czy od jakiejś firmy, ale zaszkodzenie komuś. Taki cyberterroryzm, ale przeciwko instalacjom przemysłowym. Można by powiedzieć dla normalnego człowieka tak jakby przestały działać wszystkie światła, prąd, przestalibyśmy to otrzymywać, to mniej więcej tutaj jest to przeciwko instalacjom przemysłowym, w Iranie głównie, ale również Indie, ostatnio Chiny również są zagrożone (...).
K.G.: W tym przypadku chodzi o spowolnienie, o ile w ogóle, o uniemożliwienie stworzenia programu atomowego irańskiego, do tego to się sprowadza.
P.R.: Tutaj ciężko... Znaczy Iran jest pierwszym celem ataku, przynajmniej był głównym na początku. Można podejrzewać, że to właśnie Iran był celem, natomiast w chwili obecnej robak się rozprzestrzenił również na inne kraje, takie jak Indie, Indonezja i ostatnio nawet Chiny raportują, że u nich ten robak szaleje. Więc ciężko powiedzieć, kto jest w chwili obecnej głównym atakowanym.
K.G.: A kto to wymyślił?
P.R.: Tego nikt nie wie, znaczy my o tym nie wiemy. Można podejrzewać, że to na pewno nie wyszło spod ręki amatorów, tutaj jest zbyt dużo wiedzy i zbyt dużo wysiłku włożone w to, aby tego robaka stworzyć.
K.G.: Znaczy skojarzenie jest proste – skoro chodzi o program atomowy Iranu, to muszą to być Izraelczycy.
P.R.: Czy muszą, to ciężko powiedzieć, my tego po prostu nie wiemy. Bo możemy mieć różne przesłanki, badać, analizować kod, natomiast tego wprost nie ma napisane: napisaliśmy to my.
K.G.: Jak taki wirus działa?
P.R.: To jest dosyć zaawansowany wirus. On tutaj wykorzystując komputery, które normalnie używamy albo są używane przez pracowników obsługi, tak naprawdę wkrada się do systemów sterujących procesami przemysłowymi. To można by porównać tak – dla nas, dla normalnego człowieka to tak jakby oddajemy samochód do serwisu, a poprzez te zawirusowane komputery diagnostyczne ktoś nam zmienia, nie wiem, obsługę silnika albo klimatyzacji, to mniej więcej tak można by porównać. Tak że wirus jest dosyć ciekawie napisany, bo atakuje konkretne systemy i szuka nawet konkretnych procedur i dopiero je modyfikuje i tam się zaszywa.
K.G.: Czy to jest coś takiego, że wirus lekko zmienia dane, co w przypadku prac nad bombą atomową ma swoje ogromne znaczenie.
P.R.: Ciężko powiedzieć „lekko zmieniają dane”. Zaczyna ingerować w procesy, które się odbywają. My niestety jako firma bezpieczeństwa nie mamy nie powiem, że dojścia, ale nie wiemy, jakie procedury są zmieniane. Wiemy tylko, że coś jest zmieniane, natomiast bez podania kontekstu nie wiemy, czy to była, nie wiem, turbina, czy to była pompa, czy to był zawór, tego po prostu nie wiemy. To tak jak – znowu wracając do samochodu – nie wiemy, czy ten wirus chciałby zmienić tam sterowanie silnika, czy może tylko sterowanie klimatyzacją, czy może turbosprężarką.
K.G.: A kiedy informatyk orientuje się, że coś tu jest nie tak?
P.R.: Dobry informatyk orientuje się wtedy, jak jego środowisko albo środowisko, którym zarządza, zaczyna dziwnie się zachowywać. Bardzo często dobry informatyk nawet nie musi mieć nie powiem, że programu antywirusowego, ale czuje coś przez palce, że coś jest nie tak. Później się okazuje, że albo ruch sieciowy jest pomiędzy komputerami dziwny, wzmożony, albo komputery przestają działać tak jak należy, są opóźnienia, jakieś problemy z aplikacjami się pojawiają. To są takie efekty uboczne posiadania robaka.
K.G.: W związku z tym wirusem, który zaatakował irańską elektrownię atomową, Teheran miał zwołać naradę swoich najlepszych komputerowców, dowiedzieć się, jak ten wirus działa, skąd się wziął, zresztą szef irańskiego wywiadu, no bo to już wiadomo, służby są zaangażowane w tego typu przypadkach, powiada, że władze aresztowały kilku szpiegów, którzy chcieli wykraść nuklearne tajemnice Iranu. Ale to jest tak na dobrą sprawę pojedynek, prawda? Zgodnie z zasadą: akcja równa się reakcja, my mamy swoich informatyków, którzy wpuszczają wirusa, a więc tamci informatycy teraz muszą wpaść na pomysł, jak sobie z tym wirusem dać radę i tak dalej. Nasi są lepsi, ich są lepsi i kto wygrywa ten pojedynek?
P.R.: Walka cały czas trwa. Właściwie w momencie jak powstał internet i zaczął być traktowany jako wspólny kanał albo dostępny dla wszystkich, to się nagle okazało, że przez ten wspólny kanał można się dostać do różnych systemów. No i wojna, która normalnie... czy tam zimna wojna, czy szpiegostwo przeniosło się już, brzydko mówiąc, ze świata rzeczywistego do internetu. I tutaj każda ścieżka czy każdy sposób na dojście do instalacji albo do środowisk obcych albo naszego wroga jest jak najbardziej warte zachodu.
K.G.: Cytowany przez Tygodnik Powszechny Frank Rieger, który jest rzecznikiem najstarszej organizacji zrzeszającej hakerów, kierujących się etosem dodajmy, jest taka organizacja, twierdzi, że pojawienie się tego wirusa, o którym mówimy, to może być porównane do użycia po raz pierwszy bomby atomowej. To nie przesada?
P.R.: Nie, właściwie to rzeczywiście można by tak powiedzieć, bo do tej pory były takie różne podjazdy, podchody: spróbujemy się dostać do waszej sieci, może ukraść jakieś dane i one, te dane tam wypływały i wchodziliśmy w ich posiadanie, natomiast tu już jest nie tylko kradzież czy wyciągnięcie, ale wręcz wrzucenie i zmiana działania środowiska, do którego się dostaliśmy. Więc tutaj jest to już przeniesienie sposobu ataku czy sposobu wojowania na zupełnie inny poziom. Najpierw próbujemy wkraść się do środowiska, zostawić tam swoje tego typu narzędzie i wpływać na to, jak to obce środowisko się zachowuje. Więc jak przychodzi do momentu, że chcemy coś zrobić, wysyłamy tylko sygnał i, nie wiem, przestają działać komputery, ale to już dalej idzie, przestają działać wręcz urządzenia przemysłowe.
K.G.: A zatem takie zdanie, że to jest bezpieczne, ta instalacja jest bezpieczna, wobec faktów, o których rozmawiamy, jest nieaktualne?
P.R.: Żadna instalacja nie jest bezpieczna. Tutaj bardzo często właściciele instalacji przemysłowych mają nadzieję, że jeżeli tylko nie podłączą ich bezpośrednio do Internetu, to właściwie mogą się czuć bezpieczni. I mówią, że tutaj takim bezpieczeństwem jest taka dziura powietrzna. Natomiast my jako ludzie zapełniamy tę dziurę. I albo kluczyk USB, albo własny laptop przepięty z naszego środowiska, które jest w Internecie, właśnie do tej instalacji, powoduje, że ta dziura znika i takie środowisko właśnie jest atakowane.
K.G.: No dobrze, to zejdźmy na poziom zwykłego śmiertelnika, użytkownika komputera osobistego, tak w domu jak to mamy. Podobno w naszym kraju tych komputerów jest 16 milionów, z czego 1 milion to tak zwane zombie.
P.R.: No tak, to są te komputery, które służą nie tylko swojemu właścicielowi, ale komuś jeszcze w internecie, pracują na jego pożytek.
K.G.: No ale skąd ja mogę wiedzieć, że mój komputer stanowi zagrożenie?
P.R.: Bardzo często dzisiaj...
K.G.: Moja rola ogranicza się tylko do klikania myszką i otwierania kolejnych stron i zamykania i tak dalej.
P.R.: O właśnie, właśnie. Dzisiaj ataki już nie...
K.G.: Bo pan powiedział, że informatyk wyczuje to, że coś tu nie gra. Ja nie mam takiej możliwości.
P.R.: Informatyk wyczuje i użytkownik też wyczuje, że mu strona się dłużej ładuje albo pojawiają się mu jakieś nowe okienka. Natomiast w chwili obecnej każdy komputer, który stoi w firmie, i użytkownika indywidualnego jest dobrym celem ataku, bo może posłużyć do różnych celów – albo do rozsyłania spamów i w tym momencie my jako użytkownik zorientujemy się na przykład, czy możemy się zorientować, że nagle z naszego komputera jakoś dane wypływają albo jest wzmożony ruch sieciowy do Internetu, nie tylko z, może się okazać, że nasz komputer jest mocniej obciążony, bo na przykład może nasz komputer dostał zadanie liczenia czegokolwiek, nie wiem, łamania haseł, jakkolwiek by to nazwać, albo wręcz nasz komputer szpieguje nas samych, nas jako użytkowników i próbuje wykradać wszystko to, co wpisujemy, nie wiem – numery kont, hasła nawet do stron społecznościowych czy portali społecznościowych – po to, żeby później z tego hasła skorzystać dalej. Często jest tak, że korzystamy z jednego hasła we wszystkich portalach czy w usługach i to jest największe niebezpieczeństwo dla nas jako użytkownika, że coś, co w jednym miejscu wycieknie, posłuży do ataku w innym miejscu w innych miejscach przeciwko nam.
K.G.: To, co, Mariusz, stoi przed tobą, może być groźne, jak się okazuje.
Mariusz Syta: Ej, słucham, słucham i minę mam nietęgą, bo właśnie sobie uświadomiłem, że mi się w domu wolniej strona ładuje albo strony w ogóle. I ja się boję, że mam zombie prawdziwe.
K.G.: Oby nie. Ale tak może być. Dziękujemy za rozmowę. Nasz gość: Paweł Reszczyński, specjalista od spraw bezpieczeństwa sprzętu komputerowego, gość Sygnałów Dnia.
(J.M.)