Z punktu widzenia aktualnej sytuacji istotna jest odpowiedź na pytanie czy atak w cyberprzestrzeni może zostać potraktowany tak samo jak atak konwencjonalny i np. wywołać reakcję NATO w ramach art. 5? Odpowiedź zależy od skutków ataku – jeśli będą one równoważne ze skutkami konwencjonalnego ataku, to odpowiedź brzmi: tak.
Wojna i cyberwojna
Przyjrzyjmy się zagrożeniom i technikom będącym immanentnym elementem cyberwojny i wojny hybrydowej. Lista tych zagrożeń i technik jest dość długa, ale warto w szczególności zwrócić uwagę na następujące aspekty:
- dezinformację, czy też wojnę informacyjną,
- wykorzystywanie technik OSINT do pozyskiwania danych o ruchach wojsk i ludności cywilnej, czy też dokumentowania zbrodni wojennych,
- ataki na informatyczne elementy infrastruktury krytycznej i usługi kluczowe,
- próby włamań do sieci wewnętrznych kluczowych instytucji, np. próby infiltracji czy przejęcia sieci wojskowych,
- rozprzestrzenianie złośliwego oprogramowania w tym ransomware (czy to poprzez phishing czy metodą „zatrutego wodopoju” tj. poprzez zainfekowane strony), w przypadku Ukrainy atak fizyczny został poprzedzony atakami w cyberprzestrzeni z użyciem nowego złośliwego oprogramowania typu ransomware,
- ataki na portale prowadzące do zmniejszenia ich dostępności lub infekcji w celu np. wykorzystania ich w roli „zatrutego wodopoju”,
- przejmowanie serwerów i komputerów osobistych w celu wykorzystania ich do przeprowadzania ataków (np. ataków wolumenowych) lub pozyskiwania danych,
- próby przejęcia kont pocztowych i w serwisach społecznościowych (vide: ataki na skrzynki pocztowe polityków).
Niektóre aspekty są jak łatwo zauważyć tożsame z metodami wykorzystywanymi na co dzień przez cyberprzestępców jak np. phishing czy ransomware. Spróbujmy bliżej przeanalizować kilka wybranych najbardziej istotnych aspektów (wybranych w sposób subiektywny).
Wojna informacyjna
Wojna informacyjna stosowana jest przez wszystkie strony konfliktu, a także grupy interesów nie związane bezpośrednio z żadną ze stron. Cele są tu różnorodne m.in. sianie paniki prowadzącej do np. destabilizacji gospodarki i codziennego funkcjonowania (vide: kolejki na stacjach paliw, wypłaty pieniędzy z bankomatów), eskalacji strachu i wymuszania zaniechań działań pod groźbą reperkusji „o jakich nam się nie śniło”.
Ważną częścią kampanii dezinformacyjnych jest kreowanie polityki sukcesu w dwojakim kontekście, tj. w celu umocnienia pozycji strony atakującej, a także w celu umocnienia pozycji strony broniącej się.
Dla przykładu, Ukraina pokazuje przede wszystkim straty militarne przeciwnika – nie pokazuje swoich strat wojskowych i informuje tylko o własnych stratach cywilnych. Takie podejście ma na celu wzbudzanie współczucia – uwrażliwienie na krzywdy, a także dążenie do eskalacji sprzeciwu wobec odpowiedzialnych decydentów.
Natomiast Rosja kreuje propagandę sukcesu i negacji faktów– „wszystko idzie zgodnie z planem”, „Rosja nie zaatakowała Ukrainy”.
Warto również zauważyć, że poza głównymi stronami konfliktu o swoje interesy próbują zadbać grupy kapitałowe, czasem dokonując transakcji spekulacyjnych celowanych w szybki zysk. Tego typu interwencje powodują skokowe zmiany cen rozmaitych aktywów (nie zawsze deficytowych), nieadekwatne do rzeczywistego ryzyka.
Co możemy zrobić w dobie wojny informacyjnej. Przede wszystkim zachowajmy spokój – nie rozprzestrzeniajmy niesprawdzonych informacji, weryfikujmy informacje w kilku źródłach. W przypadku zauważenia podejrzanych treści na portalach społecznościowych czy informacyjnych, zgłaszajmy nasze podejrzenia operatorom tych portali (nie dotyczy portali rosyjskich).
Jeśli mamy przyjaciół w Rosji to możemy spróbować ich poinformować o rzeczywistej sytuacji. Osobiście nie zalecam rozsyłania masowej korespondencji – jest mało prawdopodobne by takie podejście odniosło zamierzony skutek, a prowadzi także do obciążania naszych łącz, zwiększonej utylizacji czasu procesorów itp.
Ciekawym pomysłem na dotarcie do Rosjan jest wysłanie wiadomości SMS w języku rosyjskim za pomocą dedykowanej bramki, aczkolwiek część z tych wiadomości może zostać odfiltrowana.
Techniki OSINT (ang. Open Source Inteligence)
OSINT to techniki wywiadowcze, bazujące na ogólnie dostępnych źródłach informacji.
Świetnym przykładem potencjału technik OSINT jest wykorzystanie informacji o ruchu drogowym w początkowym stadium inwazji – w środku nocy na mapach Google w okolicach Biełgorodu (przy granicy z Ukrainą) pojawiły się korki. Okazało się, że rosyjscy żołnierze nie wyłączyli geolokalizacji w swoich telefonach i w efekcie można było zidentyfikować rosyjskie konwoje. Te same informacje można by również użyć do identyfikacji aktywności Ukraińców i wytypowania celów ataku, dlatego prezentacja tych informacji została wyłączona przez Google-a na obszarze Ukrainy. Co nie znaczy, że Google już tych informacji nie zbiera.
Innymi przykładami OSINTu jest wykorzystanie informacji z mediów społecznościowych do identyfikacji przypadków użycia bomb kasetowych, monitorowanie konwojów wojskowych i humanitarnych.
Należy ograniczyć publikowanie informacji mogących ograniczyć potencjał obronny Ukrainy np. informacji o transportach z bronią.
Z wykorzystaniem technik OSINT można zbierać materiały dowodowe pokazujące niehumanitarne zachowania armii rosyjskiej.
Ataki na infrastrukturę krytyczną i usługi kluczowe
Infrastruktura krytyczna obejmuje rzeczywiste i cybernetyczne systemy niezbędne do funkcjonowania państwa i jego obywateli. Do systemów krytycznych należą m.in. wodociągi, gazociągi, ropociągi, sieci energetyczne, systemy telekomunikacyjne, systemy bankowe. Jak widać nie są to systemy tylko i wyłącznie informatyczne, ale większość z tych systemów posiada komponenty informatyczne, które mogą podlegać atakom. Warto zauważyć, że systemy te mogą być atakowane również w sposób pośredni np. poprzez podłączenie zainfekowanych nośników lub zainfekowanych komputerów do odizolowanej od Internetu sieci. Dobrym, szeroko znanym przykładem tego typu ataków był atak sprzed kilku lat na wirówki uranu w Iranie.
Kluczowa jest tutaj właściwa polityka aktualizacji i zapewnienia bezpieczeństwa fizycznego, nie tylko odizolowanych systemów. Warto podkreślić, że systemy odizolowane od Internetu też muszą być aktualizowane.
Część systemów jest dostępna bezpośrednio z Internetu jak np. serwery DNS czy portale bankowe i można się spodziewać, że dostawcy tych usług mogą stać się celem ataku.
Celem ataku mogą stać się również elementy infrastruktury operatorów sieci teleinformatycznych.
Atakujący mogą próbować przeprowadzać ataki typu DDoS, wykorzystywać znane podatności w oprogramowaniu (w tym układowym (ang. firmware)), przeprowadzać ataki siłowe (ang. brute-force) z użyciem list haseł, przeprowadzać kampanie phishingowe w celu pozyskania danych logowania lub skłonienie do instalacji złośliwego oprogramowania tzw. malware (w tym szpiegującego). Warto podkreślić raz jeszcze, że na Ukrainie zaobserwowano szereg zdarzeń związanych z rozprzestrzenianiem nowych odmian malware w tym szyfrującego dane.
Operatorzy usług kluczowych są prawnie zobligowani w KSC do właściwej obsługi incydentów.
Stopień alarmowy CHARLIE-CRP
W celu zwiększenia czujności operatorów usług kluczowych RCB wprowadziło w całym kraju stopień alarmowy CHARLIE-CRP. W trakcie obowiązywania tego stopnia alarmowego należy realizować zadania takie jak: „całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa tych systemów; przegląd zasobów pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku; przygotowanie się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym szybkiego i bezawaryjnego zamknięcia serwerów.” Wg. wydanego rozporządzenia, „wszelkie niepokojące i nietypowe sytuacje oraz zagrożenia powinny być zgłaszane Policji za pośrednictwem numeru telefonu 112.”
Zgodnie z KSC incydenty związane z cyberbezpieczeństwem w sektorze cywilnym należy zgłaszać do CSIRT NASK, w sektorze rządowym do CSIRT GOV, w sektorze wojskowym do CERT MON. W przypadku incydentów dotyczących sieci PIONIER w miarę możliwości prosimy również o informowanie zespołu PIONIER CERT (cert@pionier.gov.pl).
Bieżąca sytuacja, czyli co możemy zrobić
Sytuacja w cyberprzestrzeni, na ten moment, nie jest dramatyczna – poza informacją o skutecznym ataku na stronę money.pl brak sygnałów o innych incydentach. W naszej infrastrukturze obserwujemy, jak zwykle, głównie liczne ataki typu brute-force, duże wolumeny SPAMu oraz próby przełamywania zabezpieczeń portali.
Co możemy zrobić, aby chronić siebie i infrastrukturę? Na ten moment istotne jest usunięcie znanych podatności (jeśli występują), śledzenie aktualnych doniesień na temat nowych podatności i potencjalnych wektorów ataku oraz reagowanie na nie. Reakcja powinna w szczególności polegać na instalacji odpowiednich łatek lub wdrażaniu rozwiązań typu „workaround”. Szybka reakcja jest szczególnie istotna w przypadku tzw. podatności 0-day, luk dnia zerowego. W przypadku 0-day, publicznie znane są sposoby wykorzystania podatności już w momencie pojawienia się informacji o jej wykryciu.
Podsumowując, dbajmy o aktualność użytkowanego przez nas oprogramowania, nie reagujmy w sposób impulsywny, ale reagujmy szybko. Weryfikujmy udostępniane informacje. W przypadku otrzymania e-maili lub SMS-ów (lub innego typu wiadomości), jak zwykle, nie klikajmy podejrzanych linków i załączników – warto zajrzeć do poradników na stronach rządowych. Chrońmy dostęp do naszych kont zarówno w systemach pocztowych jak i portalach usługowych (w szczególności bankowych). Tam, gdzie możemy stosujmy dodatkowe zabezpieczenia np. 2-składnikowe uwierzytelnianie.
dr inż. Maciej Miłostan