Samo prvi talas hakerskih napada
16. maj 2017.
Nemački Chaos Computer Club (CCC) najveće je udruženje hakera Evrope. Ta nevladina organizacija savetuje između ostalih i nemačku vladu. S portparolom tog udruženja Falkom Garbšom razgovaramo o virusu „WannaCry“ koji ne samo da je poslednjih dana prouzrokovao ogromnu materijalnu štetu, već je direktno ugrozio i živote ljudi – žrtva je naime bila i računarska mreža britanskog zdravstvenog sistema.
DW: Predsednik Microsofta Bred Smit izneo je na svom blogu optužbu prema kojoj su američka vlada i služba NSA krive za širenje tog virusa, jer tajne službe brižljivo „sakupljaju“ propuste u bezbednosti računara kako bi same mogle da ih koriste za svoje poslove. Ima li u tome istine?
Falk Garbš: U osnovi to odgovara onome što mi već godinama prigovaramo. Znamo da tajne službe sakupljaju „rupe“ u bezbednosti operativnih sistema kako bi mogle da ih koriste kao digitalno oružje. One takva saznanja o „rupama“ čak kupuju i na crnom tržištu za takve stvari ili unajmljuju ljude koji za njih pronalaze takve propuste u bezbednosti. Onda ih koriste kako bi ciljano „provalili“ u nečiji sistem. Za američke tajne službe izuzetno zanimljiva su područja industrijska špijunaža, špijunaža privrednih i naučnih podataka i tu su izuzetno aktivni. Ali sakupljaju se i lični podaci i to digitalno oružje služi kako bi se zarazili udaljeni sistemi i ušlo u njihove računare.
To znači da službe bezbednosti nikad neće proizvođačima programa da otkriju nešto što u stvari ugrožava bezbednost zato što to i same žele da koriste?
Tačno tako. Ako na tržištu kupite takvu „rupu“ ili uložite veliki napor da je pronađete, naravno da vam je u interesu da ta „rupa“ bude što duže otvorena i da što više možete da je koriste, zato što se tu radi o mnogo novca. Ali ako se takvi propusti u bezbednosti odmah ne zatvore i sistemi u svetu ostanu nesigurni, onda mogu da ih koriste i kriminalci.
A službe bezbednosti sve to rade potpuno namerno i svesno?
Ne samo službe bezbednosti – i političarima je potpuno jasan rizik u koji se upuštaju. Vidimo svojevrsno digitalno naoružavanje nakon rasprava o manipulacijama izbornih rezultata proteklih meseci. Nedostaci u bezbednosti računara sada se stavljaju pod okrilje nacionalne obrane i time se ruše stvarni sistemi odbrane. Ovi poslednji napadi samo su prvi talas. Ako se tako nastavi, ako mi naše tajne službe i dalje budemo opremali digitalnim oružjem umesto da te nedostatke uklanjamo, moramo da računamo s tim da će biti još gore. Jedina mogućnost da se obranimo od napada hakera jeste politika odbrane.
Vlade su valjda i same zainteresirane za bezbednost, jer su i one žrtve napada?
Naravno da jesu. Zato me i čudi što puštaju tajne službe da imaju takva sredstva. Političari konačno moraju da shvate da tu nije reč o prostoru jedne države, već da je to međunarodna konstrukcija. Naravno da svi imaju koristi ako se zatvori neki propust u bezbednosti, ali ovo nije isto kao u klasičnoj vojnoj politici gde se kupuje oprema i postoji trka u naoružavanju, pa se onda misli: Glavno je da mi imamo bolje oružje. Ovde važi sledeće: ako ste ranjivi, onda ste ranjivi, bez obzira na to šta imate. Ako u svojoj kući ugradim sigurnosne prozore, ali uopšte nemam vrata, onda provalnik može da uđe kad god hoće.
A zar ne pokušava Majkrosoft sada da svu krivicu svali na tajne službe? Na kraju krajeva radi se o nedostatku u njihovom operativnom sistemu.
Naravno da Majkrosoft sada upire prstom u druge i priča: Gledajte, oni nas nisu upozorili. Ali ovaj nedostatak jeste bio otklonjen. Umesto što ga je samo tiho zatvorio, Majkrosoft je trebalo da izađe u javnost i preko medija upozori svoje korisnike da bi trebalo da apdejtuju sistem. Oni to nisu uradili. S druge strane, naravno da imaju pravo kad kažu da to što radi NSA – neće proći. Koliko je meni poznato, NSA je još prošle godine znao da su detalji o ovom nedostatku „procureli“ i da svako može da napadne računare. Oni su bar tada mogli da informišu Majkrosoft.
Virus „WannaCry“ uspeo je da blokira ogroman broj računara. Mislite da će to podstaći promenu u načinu razmišljanju?
Naravno da bi trebalo da se nadamo da će političari razumeti o čemu se ovde radi. Ali s obzirom na izjave proteklih dana, ja baš i nisam preterani optimista. Nemački ministar saobraćaja Aleksander Dobrint zahteva da se poboljša Zakon o bezbednosti informatičkih sistema. To je u stvari samo simulacija nekakve bezbednosti i od toga nema baš nikakve stvarne koristi. Politički koncepti i smernice moraju se promeniti i mora se razmisliti o uvođenju propisa koji bi nalagao svaki bezbednosni propust u računarima na koji se nađe – mora prijaviti. U suprotnom se tajne službe nikada neće toga odreći. Samo tako se trajno mogu zaštititi računarski sistemi.
A šta je s nama „običnim“ korisnicima? Zar pored vlada, tajnih službi i informatičara, i nas ne bi trebalo prisiliti na više odgovornosti?
Naravno. Svi mi koristimo tu tehnologiju i moramo biti odgovorni za to šta radimo. Moramo da razumemo da su nadogradnje sistema bezbednosti važne i da, kada dobijemo obaveštenje o apdejtu, ne bi trebalo da čekamo mesecima da „nađemo vremena“ da ih instaliramo. To bi trebalo uraditi odmah. Moramo da naučimo odakle stižu opasnosti i kako da se odbranimo. To je odgovornost svakoga od nas.